Если вы не видите здесь изображений, то используйте VPN.

суббота, 25 января 2020 г.

CryptoPatronum

CryptoPatronum Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в # BTC или ETH, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: crsss.exe. Фальш-копирайт: Microsoft.

Обнаружения:
DrWeb -> Trojan.Encoder.30847
BitDefender -> Generic.Ransom.Hiddentear.A.BAAECAB7
Avira (no cloud) -> TR/Ransom.royka
ESET-NOD32 -> A Variant Of MSIL/Filecoder.FU
McAfee -> RDN/Ransom
Symantec -> Downloader, Trojan.Gen.MBT
Tencent -> Win32.Trojan.Generic.Wnck
TrendMicro -> Ransom_Ryzerlo.R002C0DAR20
Microsoft -> Ransom:MSIL/Ryzerlo.A
Rising -> Ransom.Ryzerlo!8.782 (CLOUD)
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: HiddenTear + ? >> CryptoPatronum
CryptoPatronum Ransomware
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .enc

Фактически используется составное расширение: 
.cryptopatronum@protonmail.com.enc




Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.txt
CryptoPatronum Ransomware note записка
Записка в Notepad++

Записка в Блокноте Windows

Содержание записки о выкупе:
Your files are now encrypted!
Your personal identifier:
J5O570VJECXMK729NN53TDRNA1VP90HBPCMBYSVV*** [всего 128 знаков]
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: cryptopatronum@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
For decrypt all of files you must transfer 1 (one) BTC or 50 (fifty) ETH to this requisites:
Bitcoin address: 17mriroop9nWyNT8hoHS1XodEucBm9AgMq
Ethereum address: 0xD994268684e694C81C8C7214E4fc4Ca792AD4B3A
You should provide payment details(payment time, payment address or transaction link (https://www.blockchain.com)) via email
How to obtain Bitcoins, Ethereum?
  * The easiest way to buy bitcoins is cex.io and coinbase.com sites. You have to register, click
    'Buy bitcoins', and select the payment method:
      https://cex.io/cards/
  https://www.coinbase.com/buy-bitcoin
  * Also you can buy bitcoins on Binex:      https://www.binance.com/en/buy-sell-crypto
  * Also you can find other places to buy Bitcoins and beginners guide here:
      http://www.coindesk.com/information/how-can-i-buy-bitcoins
   Attention!
    * Do not rename encrypted files.
  * Do not try to decrypt your data using third party software, it may cause permanent data loss.
   * Decryption of your files with the help of third parties may cause increased price
     (they add their fee to our) or you can become a victim of a scam.
  

Перевод записки на русский язык:
Ваши файлы теперь зашифрованы!
Ваш личный идентификатор:
J5O570VJECXMK729NN53TDRNA1VP90HBPCMBYSVV*** [всего 128 знаков]
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК.
Теперь вы должны отправить нам письмо с вашим личным идентификатором.
Это письмо будет подтверждением того, что вы готовы заплатить за ключ расшифровки.
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы напишите нам.
После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
Свяжитесь с нами, используя этот адрес email: cryptopatronum@protonmail.com
Бесплатная расшифровка как гарантия!
Перед оплатой вы можете отправить нам до 3 файлов для бесплатной расшифровки.
Общий размер файлов должен быть не более 10 МБ (не в архиве), и файлы не должны содержать ценную информацию (базы данных, резервные копии, большие таблицы Excel и т. д.).
Для расшифровки всех файлов вы должны передать 1 (один) BTC или 50 (пятьдесят) ETH по следующим реквизитам:
Адрес Bitcoin: 17mriroop9nWyNT8hoHS1XodEucBm9AgMq
Адрес Ethereum: 0xD994268684e694C81C8C7214E4fc4Ca792AD4B3A
Вы должны предоставить реквизиты платежа (время оплаты, адрес платежа или ссылка на транзакцию (https://www.blockchain.com)) по email 
Как получить биткойны, Ethereum?
  * Самый простой способ купить биткойны - сайты cex.io и coinbase.com. Вы должны зарегистрироваться, нажмите
    «Купить биткойны» и выбрать способ оплаты:
      https://cex.io/cards/
https://www.coinbase.com/buy-bitcoin
  * Также вы можете купить биткойны на Binex: https://www.binance.com/en/buy-sell-crypto
  * Также вы можете найти другие места, чтобы купить биткойны и руководство для начинающих здесь:
      http://www.coindesk.com/information/how-can-i-buy-bitcoins
   Внимание!
  * Не переименовывайте зашифрованные файлы.
  * Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
  * Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свой гонорар к нашему), или вы можете стать жертвой мошенничества.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использование RNG (Random Number Generator, Генератор Случайных Чисел) позволяет сделать шифрование устойчивым к перебору.

➤ Деструктивные действия (удаление теневых копий файлов, завершение работы Microsoft SQL Server, программ 1С:Предприятие 8 и TeamViewer):

vssadmin.exe delete shadows /all /quiet
taskkill.exe /f /im 1cv8.exe
net.exe stop mssqlserver /y (PID: 3360) 
 net1.exe %WINDIR%\system32\net1 stop mssqlserver /y
 net.exe stop TeamViewer /y (PID: 3276) 
 net1.exe %WINDIR%\system32\net1 stop TeamViewer /y

Список файловых расширений, подвергающихся шифрованию:
.aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bmp, .brd, .cfg, .cgm, .class, .cmd, .conf, .cpp, .crt, .csr, .csv, .dbf, .dbm, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .ini, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mpeg, .mpg, .ms11, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sql, .sqlite33, .sqlitedb, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .sys, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vhd, .vhdx, .vim, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (144 расширения) 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр., и файлы wallet.dat

Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.txt - название записки о выкупе
crsss.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URLs: archivecaslytosk.darknet.to  <- https://www.inwx.de/
hcwyo5rfapkytajg.darknet.to
xfmro77i3lixucja.darknet.to
torrentzwealmisr.darknet.to
v4u3zio7rhmgkzzk5jvekgojl6an3dthyxzapy3zhdhhaelnj6iicfqd.darknet.to/sk.php
<random>.darknet.to
Email: cryptopatronum@protonmail.com
BTC: 17mriroop9nWyNT8hoHS1XodEucBm9AgMq
ETH: 0xD994268684e694C81C8C7214E4fc4Ca792AD4B3A
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as CryptoPatronum)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Alex Svirid
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 22 января 2020 г.

AlphaBetaCrypt

AlphaBetaCrypt Ransomware

Alphasup Ransomware

Betasup Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью RSA + AES (режим CFB) + Salsa20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Написано на языке Go.  

Обнаружения: 
DrWeb -> Trojan.MulDrop11.30131, Trojan.Encoder.30788
BitDefender -> Trojan.AgentWDCR.YEH, Trojan.GenericKD.42280992
Kaspersky -> Trojan-Ransom.Win32.Crypren.agcn
Microsoft -> Trojan:Win32/Skeeyah.A!MTB
Rising -> Ransom.Crypren!8.1D6C (KTSE)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Crypren.R002C0GL519
VBA32 -> TrojanRansom.Crypren
Tencent -> Win32.Trojan.Crypren.Wvum
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .CRYPT


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2020 г. Как потом оказалось, в декабре распространялся более ранний вариант с другими email-адресами. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_README_README_README.txt

Содержание записки о выкупе:
===============================================
                                  WARNING!!!!
        read this carefully!!!!!!
===============================================
Your personal identifier
88-45-NI20EKEIV***
All your files are encrypted
Your documents, photos, databases and other important data were encrypted.
Data recovery requires a decryptor.
To receive the decryptor, you should send an email to the email address: 
alphasup@mail.ee
supalpha@cock.li
In the letter, indicate your personal identifier (see the beginning of this document).
Next, you pay the cost of the decryptor. In the reply letter you will receive the address
Bitcoin-purse, to which you need to transfer money.
When the money transfer is confirmed, you will receive a file decryption for your computer.
After starting the decryption program, all your files will be restored.
Attention!
  * Do not attempt to uninstall the program or run antivirus software
  * Attempts to self-decrypt files will result in the loss of your data
  * Decoders of other users are incompatible with your data, as each user
unique encryption key
===============================================

Перевод записки на русский язык:
===============================================
ПРЕДУПРЕЖДЕНИЕ!!!!
прочитайте это внимательно !!!!!!
===============================================
Ваш личный идентификатор
88-45-NI20EKEIV***
Все ваши файлы зашифрованы
Ваши документы, фото, базы данных и другие важные данные зашифрованы.
Восстановлению данных нужен расшифровщик.
Чтобы получить расшифровщик, вы должны отправить письмо на email-адреса:
alphasup@mail.ee
supalpha@cock.li
В письме укажите свой персональный идентификатор (см. Начало этого документа).
Далее вы оплачиваете стоимость расшифровщика. В ответном письме вы получите адрес Биткойн-кошелька, на который нужно перевести деньги.
После подтверждения перевода вы получите расшифровку файла для вашего компьютера.
После запуска программы расшифровки все ваши файлы будут восстановлены.
Внимание!
  * Не пытайтесь удалить программу или запустить антивирусное программное обеспечение
  * Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
  * Декодеры других пользователей несовместимы с вашими данными, так как каждый пользователь имеет уникальный ключ шифрования
===============================================


➤ Содержание записки о выкупе заимствовано из Scarab Ransomware, где этот текст использовался во многих его вариантах. Можно предположить, что кто-то из распространителей Scarab, использующий почтовый сервис домена .ee (Эстония), теперь распространяет безымянную программу-вымогатель, которую я назвал здесь Alphasup Ransomware по логину почты. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_README_README_README.txt - название файла записки
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: alphasup@mail.ee, supalpha@cock.li
Email: betasup@mail.ee, Betasup@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as BetaSup)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Vitali Kremez
 Andrew Ivanov (author)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Cripto Py

Cripto Py Ransomware

Aliases: Cripto, CriptoPy

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. Написан на языке Python. Для Windows x64.

Обнаружения:
DrWeb -> Python.Encoder.37
BitDefender -> Trojan.GenericKD.33293579
ALYac -> Trojan.Ransom.Python
Avira (no cloud) -> TR/Ransom.pfnam
ESET-NOD32 -> Python/Filecoder.DF
Kaspersky -> Trojan-Ransom.Win32.Encoder.gwq
Symantec -> Ransom.Wannacry
Tencent -> Win32.Trojan.Encoder.Isx
---

© Генеалогия: другие Python-вымогатели >> Cripto Py Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .cripto


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину января - начало февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: hackeado.txt


Содержание записки о выкупе:
We encrypt your files
you have been hacked, contact < juniorwanme@tutanota.com >

Перевод записки на русский язык:
Мы зашифровали ваши файлы
Вас взломали, свяжитесь с < juniorwanme@tutanota.com >



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hackeado.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: juniorwanme@tutanota.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 21 января 2020 г.

Makop

Makop Ransomware

Oled-Makop Ransomware

Variants: Carlos, Shootlock, Shootlock-2, Origami, Tomas, Zbw, Fireee, Zes, Hidden, Captcha, Fair

(шифровальщик-вымогатель, RaaS) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-1024 + CryptGenRandom, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп в # BTC и вернуть файлы. Оригинальное название: CryptoLocker 
MAKOP, криптолокер MAKOP, Makop Ransomware. Написан на C++. На файле написано: makop.exe, 1NS.exe или что-то другое. Для всех Windows, от XP до 10. 
Наши радары заметили украинский след в этом вымогательстве. 
---
Обнаружения:
DrWeb -> 
Trojan.Encoder.30970, Trojan.Encoder.31070, Trojan.Encoder.31101, Trojan.Encoder.31144, Trojan.Encoder.31169, Trojan.Encoder.31220, Trojan.Encoder.31279, Trojan.Encoder.31328, Trojan.Encoder.31458, Trojan.Encoder.31687, Trojan.Encoder.31942, Trojan.Encoder.31973, Trojan.Encoder.32395, Trojan.Encoder.32954, Trojan.Encoder.33304, Trojan.Encoder.34012
ALYac -> Trojan.Ransom.Filecoder, Trojan.Ransom.Makop
Avira (no cloud) -> HEUR/AGEN.1102422,
TR/RedCap.ywmmq, TR/Kryptik.zoptz, TR/AD.PhobosRansom.ujryg
BitDefender -> Gen:Heur.Kelios.1, Gen:Variant.Razy.624632
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E, A Variant Of MSIL/Kryptik.VFM
Malwarebytes -> 
Ransom.FileCryptor, Ransom.Oled, Ransom.Oled.Generic, Ransom.Phobos
Microsoft - > Ransom:Win32/Phobos.PA!MTB, Ransom:Win32/Makop.M!MTB
Rising -> Ransom.Agent!1.C24B (CLOUD), Rising -> Ransom.Phobos!8.10B6C
Symantec -> 
Downloader, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Pbfg, Win32.Trojan.Filecoder.Eane
TrendMicro 
-> Ransom.Win32.MAKOP.A, Ransom.Win32.MAKOP.B, TROJ_GEN.R002C0PE120
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!


© Генеалогия: Oled 2017 ⇒ Oled 2019 + ✂️ Phobos  > Makop 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .makop

Зарегистрированные партнеры могут менять расширения на желаемые, среди известных из обновлений: 
.CARLOS
.shootlock
.shootlock2
.origami
.tomas
.zbw
.fireee
.zes
.Hidden
.captcha
.fair
и другие

Фактически используется составное расширение, шаблон которого можно записать следующими равнозначными способами: 
.[<ID>].[<email>].makop 
.[<ID{8}>].[<email>].makop 
.[victim's_ID].[<email>].makop 

Пример раннего варианта: .[XXXXXXXX].[makop@airmail.cc].makop 

В некоторых случаях к ID добавляется через дефис 
еще одна буква. Причина неясна. Примеры:
.[XXXXXXXX-D].[<email>].makop 
.[XXXXXXXX-W].[<email>].makop 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. и продолжалась в течение года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme-warning.txt



Содержание записки о выкупе:
::: Greetings :::
Little FAQ:
.1. 
Q: Whats Happen?
A: Your files have been encrypted and now have the "makop" extension. The file structure was not damaged, we did everything possible so that this could not happen.
.2. 
Q: How to recover files?
A: If you wish to decrypt your files you will need to pay in bitcoins.
.3. 
Q: What about guarantees?
A: Its just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. Its not in our interests.
To check the ability of returning files, you can send to us any 2 files with SIMPLE extensions(jpg,xls,doc, etc... not databases!) and low sizes(max 1 mb), we will decrypt them and send back to you. That is our guarantee.
.4.
Q: How to contact with you?
A: You can write us to our mailbox: makop@airmail.cc
.5.
Q: How will the decryption process proceed after payment?
A: After payment we will send to you our scanner-decoder program and detailed instructions for use. With this program you will be able to decrypt all your encrypted files.
.6.
Q: If I don’t want to pay bad people like you?
A: If you will not cooperate with our service - for us, its does not matter. But you will lose your time and data, cause only we have the private key. In practice - time is much more valuable than money.
:::BEWARE:::
DON'T try to change encrypted files by yourself! 
If you will try to use any third party software for restoring your data or antivirus solutions - please make a backup for all encrypted files!
Any changes in encrypted files may entail damage of the private key and, as result, the loss all data.

Перевод записки на русский язык:
::: Приветствие :::
Небольшой FAQ:
.1.
Q: Что случилось?
О: Ваши файлы зашифрованы и получили расширение "makop". Файловая структура не повреждена, мы сделали все возможное, чтобы этого не произошло.
.2.
В: Как восстановить файлы?
О: Если вы хотите расшифровать свои файлы, вам нужно заплатить биткойнами.
.3.
В: А как насчет гарантий?
A: Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения выгоды. Если мы не будем выполнять свою работу и обязательства - с нами никто не будет сотрудничать. Это не в наших интересах.
Чтобы проверить возможность возврата файлов, вы можете прислать нам любые 2 файла с ПРОСТЫМ расширением (jpg, xls, doc и т.д ... не с базами данных!) И небольшого размера (не более 1 МБ), мы их расшифруем и отправим обратно вам. Это наша гарантия.
.4.
Q: Как с вами связаться?
О: Вы можете написать нам на наш email: makop@airmail.cc
.5.
В: Как будет проходить процесс расшифровки после оплаты?
О: После оплаты мы вышлем Вам нашу программу сканер-декодер и подробную инструкцию по эксплуатации. С помощью этой программы вы сможете расшифровать все ваши зашифрованные файлы.
.6.
В: Если я не хочу платить таким плохим людям, как вы?
О: Если вы не будете сотрудничать с нашим сервисом - для нас это не имеет значения. Но вы потеряете свое время и данные, потому что только у нас есть закрытый ключ. На практике время гораздо дороже денег.
::: ВНИМАНИЕ :::
НЕ пытайтесь самостоятельно изменить зашифрованные файлы!
Если вы попытаетесь использовать сторонние программы для восстановления ваших данных или антивирусные решения - сделайте резервную копию всех зашифрованных файлов!
Любые изменения в зашифрованных файлах могут повлечь за собой повреждение закрытого ключа и, как следствие, потерю всех данных.



Технические детали

 Распространяется на форумах кибер-андеграунда как партнерская программа. 

Скриншоты с форума crdclub4wraumez4.onion
Тема: crdclub4wraumez4.onion/showthread.php?t=69498

Шапка форума

 

Первое сообщение-представление CryptoLocker MAKOP.

Выдержка из сообщения первичного распространителя:

Некоторые особенности нашего локера:
- Криптолокер написан на С++, не требует никаких дополнительных библиотек;
- Успешно работает на всей линейке Windows начиная с XP;
- Малый размер исполняемого файла: 27 кб и 34 кб(2 сборки);
- Шифрование происходит с помощью алгоритмов AES256+RSA1024;
- Файлы ВСЕГДА имеют возможность корректной расшифровки;
- Приоритетные расширения шифруются полностью независимо от веса, не приоритетные: до 1.5 Mb - 100%, более 1.5 Mb - блоками по 256 Kb в трёх местах файла. Если вы захотите повысить скорость обработки файлов, мы удалим для вашей сборки обработку приоритетных расширений, и троян начнёт летать;
- Расширение ставится по вашему выбору, при этом троян в любом случае не будет шифровать любые расширения других партнёров;
- Зашифрованные файлы не имеют, и не будут иметь в ближайшем будущем возможности расшифровки на стороне - RSA1024 не скоро взломают.
- Для обработки файлов локеру не нужен интернет;
- При шифровании выделяется 1 поток на 1 том, а так же дополнительный поток для обработки сети. Сеть обрабатывается после обработки всех дисков;
- Есть возможность шифрования текущей папки, в которой находится программа;
- Перед запуском шифрования локер выключает распространённые процессы, которые могут мешать качественному шифрованию файлов;
- В процессе обработки файлов, локер при необходимости изменяет атрибуты;
- Локер генерирует уникальный ID для машины, с которой был запуск. ID после перезапуска не меняется;
- Локер чистит Shadow Copy;
- Локер не повреждает системного каталога ОС;
- Присутствует защита от повторного запуска;
- Каждый партнёр имеет свой приватный мастер ключ;
- Локер не работает на территории СНГ.

В комплект входят:
- Универсальная сборка исполняемого файла. При запуске добавляется в автозагрузку и стартует шифрование, после окончания троян находится в ждущем режиме и следит за появлением новых файлов или дисков;
- Сборка исполняемого файла для ручной обработки материала. При запуске открывается визуальная панель. В данной панели присутствуют некоторые полезные опции для более качественного шифрования, такие как: 1) Детальный отчёт о текущем состоянии шифрования файлов, данный отчёт обновляется каждые 15 секунд. Есть возможность копирования отчёта одной кнопкой; 2) Шифрование в данной сборке стартует с кнопки, есть возможность остановки шифрования в любой момент; 3) Визуальная панель может быть скрыта горячей комбинацией в любой момент, и так же восстановлена. Скрыть панель можно так же одной кнопкой; 4) Есть возможность шифрования только каталога запуска (с подпапками) отдельной кнопкой;
- Сканнер/дешифратор;
- Утилита для монтирования ресурсов из сети в виде сетевых дисков.
---

 

Последующие сообщения в той же теме. 

После заключения договора может начать распространяться другим способами (на усмотрение аффилированного партнера), например, путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Список не был получен. 
Файлы с приоритетными расширениями шифруются полностью, независимо от веса. Файлы с неприоритетными расширениями размером до 1.5 Mb шифруются полностью (100%), файлы более 1.5 Mb шифруются блоками по 256 Кб в трёх местах файла. 
Наверняка будут зашифрованы документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

➤ При первом запуске добавляется в Автозагрузку Windows и запускает шифрование, после окончания работает в ждущем режиме и следит за появлением новых файлов или дисков.
➤ Шифрование выполняется оффлайн. При шифровании выделяется 1 поток на 1 том, а так же дополнительный поток для обработки сети. Сеть обрабатывается после обработки всех дисков. Сетевые ресурсы монтирует в сетевые диски. 
➤ Для каждого компьютера генерируется уникальный ID машины, после перезапуска не меняется. 
➤ Makop завершает текущие процессы, которые могут помешать шифрованию файлов. Есть защита от повтороного запуска шифровальщика. 
➤ Удаляются теневые копии файлов. 

Обнаруженные действия Makop-Oled: 
Пишет в файл меню "Пуск". 
Изменяет файлы в папке расширений Chrome. 
Действия выглядят как кража личных данных. 
Изменяет в реестре значение Автозапуска. 
Создает файлы инструкций от вымогателей. 
Читает куки Google Chrome, Mozilla Firefox. 
Пишет в файл desktop.ini (для маскировки папок). 
Запускает CMD.EXE для выполнения команд. 

Список пропускаемых расширений:
.makop
.oled
.Carlos
.Tomas

Список пропускаемых директорий:
директории ОС Windows

Список исключаемых стран:
страны СНГ

Файлы, связанные с этим Ransomware:
readme-warning.txt - название файла с требованием выкупа
makop.exe - название вредоносного файла

 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Форум для первичного распространения: crdclub4wraumez4.onion
JABBER первичного распространителя: makop@exploit.im, makop@thesecure.biz
Email: makop@airmail.cc
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Скриншоты от исследователя:




Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: высокая
Подробные сведения собираются регулярно. Присылайте образцы. 


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Oled 2017 Ransomware - май 2017, шёл параллельно с Amnesia-2
Вымогатели из Oled 2017 участвовали в других проектах вымогателей. 
Далее вымогатели (или кто-то из той же группы) перешли на другую разработку - Oled 2019. 

Oled 2019 Ransomware - от мая 2019 до января 2020
Makop Ransomware с .makop расширением - с января 2020
Makop Ransomware .CARLOS расширением - с февраля 2020
Makop Ransomware с .tomas расширением - июнь-июль 2020
Makop Ransomware с .zbw расширением - июль 2020
и более новые


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Вариант от 25-27 января 2020:
Расширение: .makop
Записка: readme-warning.txt 

 

Результаты анализов: VT + IA
 Обнаружения: 
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/RedCap.ywmmq
BitDefender -> Gen:Heur.Kelios.1
DrWeb -> Trojan.Encoder.30970
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Phobos.PA!MTB
Rising -> Ransom.Agent!1.C24B (CLOUD)
Symantec -> Downloader
Tencent -> Win32.Trojan.Filecoder.Eane
TrendMicro -> Ransom.Win32.MAKOP.A
---

Вариант от 6 февраля 2020:
Расширение: .CARLOS
Составное расширение (пример): .[16A95E8C].[carlosrestore2020@aol.com].CARLOS
Составное расширение (пример): .[4E1245B8].[carlosrestore2020@aol.com].CARLOS
Записка: readme-warning.txt
Email: carlosrestore2020@aol.com

 

  

Схема сравнения кода подтверждает родство Carlos с семейством Oled-Makop. 
---
Результаты анализов: VT + AR + IA + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31070
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/AD.PhobosRansom.juklk
BitDefender -> Trojan.GenericKD.33048692
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E
Malwarebytes -> Ransom.Oled
Microsoft -> Ransom:Win32/Phobos.PB!MTB
Rising -> Ransom.Agent!1.C24B (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Ecju
TrendMicro -> Ransom.Win32.MAKOP.B
---


Вариант от 19 февраля 2020: 
Расширение: .makop
Составное расширение (пример): .[119A5569].[somalie555@tutanota.com].makop
Email: somalie555@tutanota.com
Записка: readme-warning.txt



Вариант от 21 февраля 2020: 
Расширение: .makop
Составное расширение (пример): .[7D091AD0].[luntik2316@protonmail.com].makop
Email: luntik2316@protonmail.com, luntik2316@tutanota.com
Записка: readme-warning.txt



Вариант от 28 февраля 2020: 
Расширение: .shootlock
Email: troubleshooter@cock.li
Записка: readme-warning.txt



Вариант от 3 марта 2020 или раньше: 
Расширение: .makop
Составное расширение (пример): .[4B2E4630].[helpdesk_makp@protonmail.ch].makop
Email: helpdesk_makp@protonmail.ch
Записка: readme-warning.txt


Замечен в корейской спам-кампании. 
 

Штамп даты: 6.06.2019
Результаты анализов: VT + VMR  / VT + VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31169
ALYac -> Trojan.Ransom.Makop
Avira (no cloud) -> HEUR/AGEN.1126869
BitDefender -> Trojan.GenericKD.33503594
ESET-NOD32 -> A Variant Of Win32/Kryptik.HBPU
Microsoft -> Ransom:Win32/Makop.PA!MTB
Rising -> Trojan.Kryptik!1.C45C (CLASSIC)
Tencent -> Win32.Trojan-spy.Spyeyes.Afhk
TrendMicro -> Trojan.Win32.BANDIT.SM
---



Варианты от 6 марта 2020: 
Расширение: .makop
Email-1: Veracry@protonmail.com
Email-2: data.compromised@protonmail.com

Варианты от 7 марта 2020:
Расширение: .makop
Примеры: .[12A34B56].[cock89558@cock.li].makop
.[12A34B56].[prndssdnrp@mail.fr].makop
Email-1: cock89558@cock.li
Email-2: prndssdnrp@mail.fr
Записка: readme-warning.txt


Результаты анализов: VT + VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31101, Trojan.Encoder.31220
ALYac -> Trojan.Ransom.Makop
BitDefender -> Gen:Variant.Ransom.LockCrypt.7
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E
Tencent -> Win32.Trojan.Filecoder.Alif, Win32.Trojan.Filecoder.Wsai
TrendMicro -> Ransom_Cryptor.R035C0WBS20, Ransom_Phobos.R002C0DC720
---

Вариант от 10-18 марта 2020:
Расширение: .CARLOS
Составное расширение (пример): .[73D25415].[markmontgomery2020@hotmail.com].CARLOS
Записка: readme-warning.txt
Email: markmontgomery2020@hotmail.com


Файл: CARLOS_nowin.exe
Штамп даты: 24 февраля 2020. 
Результаты анализов: VT + HA + IA + AR
---
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31144
ALYac -> Trojan.Ransom.Makop
Avira (no cloud) -> HEUR/AGEN.1116831
BitDefender -> Gen:Variant.Ransom.LockCrypt.7
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E
Malwarebytes -> Ransom.Oled
Microsoft -> Ransom:Win32/Phobos.PB!MTB
Rising -> Ransom.Agent!1.C24B (CLASSIC)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Lpvf
TrendMicro -> Ransom.Win32.PHOBOS.SMTH
---

Вариант от 17 марта 2020:
Расширение: .makop
Записка: readme-warning.txt
В тексте упоминается тема на форуме BleepingComputer. 



Варианты от 19 марта 2020: 
Расширение: .makop
Записка: readme-warning.txt
Email-1: buydecryptor@aol.com, buydecryptor@cock.li
Email-3: xaodecrypt@protonmail.com, xaodecrypt@airmail.cc
Email-2: calwaykitty@aol.com
Результаты анализов: VT + HA



Вариант от 21 марта 2020:
Расширение: .CARLOS
Составное расширение (пример): .[73D25415].[markmontgomery2020@hotmail.com].CARLOS
Записка: readme-warning.txt
Штамп даты: 24 февраля 2020. 
Результаты анализов: VT + IA + AR
---
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31328
ALYac -> Trojan.Ransom.Makop
Avira (no cloud) -> TR/Cryptor.sijbx
BitDefender -> Gen:Variant.Razy.646472
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E
Malwarebytes -> Ransom.Phobos
Microsoft -> Ransom:Win32/Phobos.PB!MTB
Rising -> Ransom.Agent!1.C24B (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Svhl
TrendMicro -> Ransom_Phobos.R002C0DCL20
---

Вариант от 22 марта 2020:
Расширение: .makop
Составное расширение (пример): .[52D75310].[established01@protonmail.com].makop
Email: established01@protonmail.com, fargodrops@cock.li
Записка: readme-warning.txt

Вариант от 23 марта 2020: 
Расширение: .shootlock
.[12A34B56].[n0pr0blems@protonmail.com].shootlock
Email: n0pr0blems@protonmail.com
Записка: readme-warning.txt
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31458
ALYac -> Trojan.Ransom.Makop
Avira (no cloud) -> TR/AD.PhobosRansom.jhmwd
BitDefender -> Gen:Variant.Razy.608062
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E
Malwarebytes -> Ransom.Oled.Generic
Microsoft -> Ransom:Win32/Phobos.PB!MTB
Rising -> Ransom.Phobos!8.10B6C (TFE:4:4v083dnCOmS)
Symantec -> Downloader
Tencent -> Win32.Trojan.Filecoder.Aosu
TrendMicro -> Ransom.Win32.PHOBOS.SMTH
---

Вариант от 26 марта 2020 или раньше: 
Расширение: .makop
Составное расширение (пример): .[031B551A].[verilerimialmakistiyorum@inbox.ru].makop
Email: verilerimialmakistiyorum@inbox.ru
Записка: readme-warning.txt


Содержание записки на турецком языке. 
Файл: makop_nowin.exe (штамп даты: 3 марта 2020). 
Результата анализов: VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31144
ALYac -> Trojan.Ransom.Makop
Avira (no cloud) -> TR/AD.PhobosRansom.hjsna
BitDefender -> Gen:Heur.Kelios.1
ESET-NOD32 -> Win32/Filecoder.Phobos.E
Microsoft -> Ransom:Win32/Phobos.PB!MTB
Rising -> Ransom.Phobos!8.10B6C (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Wofk
TrendMicro -> Ransom_Phobos.R002C0DCQ20
---

Вариант от 9 апреля 2020: 
Расширение: .shootlock2
Email: datewatchman@protonmail.com

Вариант от 13 апреля 2020: 
Расширение: .makop
Email: maknop@cock.li

Варианты от 22 апреля 2020: 
Расширение: .makop
Email-1: fooox1@protonmail.com
Email-2: giantt1@protonmail.com
Email-3: akzhq12@cock.li


Вариант от 28 апреля 2020: 
Расширение: .makop
Составное расширение (пример): .[DE3DF956].[KILLYOUASS@protonmail.com].makop
Записка: readme-warning.txt
Email: KILLYOUASS@protonmail.com, killyouass@horsefucker.org


Результаты анализов: VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31687
ALYac -> Trojan.Ransom.Makop
Avira (no cloud) -> TR/Kryptik.zoptz
BitDefender -> Gen:Variant.Razy.624632
ESET-NOD32 -> A Variant Of MSIL/Kryptik.VFM
---

Вариант от 3 мая 2020:
Расширение: .makop
Составное расширение (пример): .[1BDD9F1B].[buydecryptor@aol.com].makop
Email: buydecryptor@aol.com
Файл: makop_nowin.exe
Результаты анализов: VT + IA + AR
➤ Обнаружения: 
DrWebTrojan.Encoder.31458
ALYacTrojan.Ransom.Makop
Avira (no cloud)TR/AD.PhobosRansom.ckypp
BitDefenderTrojan.AgentWDCR.ABFZ
ESET-NOD32Win32/Filecoder.Phobos.E
MalwarebytesRansom.Oled.Generic
MicrosoftRansom:Win32/Phobos.PB!MTB
RisingRansom.Phobos!8.10B6C (KTSE)
SymantecML.Attribute.HighConfidence
TrendMicroRansom.Win32.MAKOP.E

Вариант от 5 мая 2020:
Расширение: .makop
Email: payfordecoder@hotmail.com, payforkey@protonmail.com

Вариант от 6 мая 2020:
Расширение: .makop
Составное расширение (пример): .[32BCBC0C-D].[restoring.data@protonmail.com].makop
Записка: readme-warning.txt
Email: restoring.data@protonmail.com, compromised@airmail.cc


Найденные файлы: Desktop_Locker.exe, Desktop_Locker.ini
Результаты анализов: VT + IA + VMR


Вариант от 12 мая 2020:
Расширение: .CARLOS
Составное расширение (пример): .[C019BC27].[markmontgomery2020@hotmail.com].CARLOS
Записка: readme-warning.txt
Email: markmontgomery2020@hotmail.com


Вариант от 15 мая 2020: 
Расширение: .makop
Составное расширение (пример): .[F566C894-D].[makop@tuta.io].makop
Email: makop@tuta.io, makop@elude.in
Записка: readme-warning.txt




Вариант от 25 мая 2020: 
Расширение: .makop
Составное расширение (пример): .[F464FEE2].[savedata2@protonmail.com].makop
Записка: readme-warning.txt
Email: savedata2@protonmail.com, savedata@cumallover.me



Варианты от 26-28 мая 2020: 
Расширение: .makop
Email-1: makop@cock.li
Email-2: helpmakop@cock.li

Вариант от 8 июня 2020:
Расширение: .makop
Email: ruthlessencry@qq.com

Вариант от 9 июня 2020 (или раньше): 
Штамп даты: 30 мая 2020. 
Расширение: .makop
Составное расширение (пример): .[4B2E4630].[akzhq530@protonmail.com].makop
Email: akzhq530@protonmail.com
Записка: readme-warning.txt
Результаты анализов: VT + IA + IA + VMR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31973
ALYac -> Trojan.Ransom.Makop
Avira (no cloud) -> TR/Redcap.arwem
BitDefender -> Gen:Variant.Razy.599308
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E
Malwarebytes -> Ransom.Oled
Microsoft -> Ransom:Win32/Phobos.MK!MSR
Rising -> Ransom.Phobos!8.10B6C (TFE:4:4v083dnCOmS)
Symantec -> Downloader
Tencent -> Malware.Win32.Gencirc.1192d356
TrendMicro -> Ransom_Phobos.R002C0DJQ20
---

Вариант от 10 июня 2020: 
Расширение: .origami
Составное расширение (пример): .[XXXXXXXX].[origami7@firemail.cc].origami
Записка: readme-warning.txt
Email: origami7@firemail.cc or prosoft@tutanota.com


Результаты анализов: VT + IA + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31942
ALYac -> Trojan.Ransom.Makop
Avira (no cloud) -> TR/AD.PhobosRansom.lzraf
BitDefender -> Gen:Variant.Razy.608062
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E
Malwarebytes -> Ransom.Oled.Generic
Rising -> Ransom.Phobos!8.10B6C (TFE:4:4v083dnCOmS)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Pkqs
TrendMicro -> Ransom.Win32.PHOBOS.SMTH
---

Вариант от 23-24 июня 2020: 
Расширение: .makop
Составное расширение (пример): .[XXXXXXXX].[akzhq615@protonmail.com].makop
Email: akzhq615@protonmail.com

Варианты от 24 июня 2020:
Расширение: .makop
Email: PANDORAMAN@TUTANOTA.COM
Результаты анализов: VT
---
Расширение: .makop
Составное расширение (пример): .[XXXXXXXX].[genfiles@protonmail.com].makop
Email: genfiles@protonmail.com
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31279
BitDefender -> Gen:Variant.Razy.646472
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E
Tencent -> Win32.Trojan.Filecoder.Hqvr
TrendMicro -> Ransom_Phobos.R002C0DFK20

Вариант от 29 июня 2020: 
Расширение: .makop
Email-1: helpdesk_makp@protonmail.ch
Email-2: keymaster@cock.li

Вариант от 3 июля 2020 (или раньше): 
Расширение: .tomas
Составное расширение (пример): .[E3CEFA3F].[tomasrich2020@aol.com].tomas
Записка: readme-warning.txt
Email-1: tomasrich2020@aol.com
Email-2: tomasrich2020@protonmail.com
Telegram: @tomasrich


➤ Содержание записки: 
Hi!
Your files are encrypted.
All encrypted files for this computer has extension: .tomas
--
If for some reason you read this text before the encryption ended,
this can be understood by the fact that the computer slows down,
and your heart rate has increased due to the ability to turn it off,
then we recommend that you move away from the computer and accept that you have been compromised.
Rebooting/shutdown will cause you to lose files without the possibility of recovery.
--
Our  encryption algorithms are very strong and your files are very well protected,
the only way to get your files back is to cooperate with us and get the decrypter program.
Do not try to recover your files without a decrypter program, you may damage them and then they will be impossible to recover. 
For us this is just business and to prove to you our seriousness, we will decrypt you one file for free.
Just contact us in one of the ways :.
email: tomasrich2020@aol.com
reserve email: tomasrich2020@protonmail.com
telegram: @tomasrich
Additionally, your data may have been stolen and if you do not cooperate with us, it will become publicly available on our blog.
---
Вымогатели используют сайт xxxxs://privnote.com для написания ответа 
➤ Пример ответа:
Your files are encrypted - If you need them, you have to pay in bitcoins.
Attempting to recover files yourself will result in permanent data loss.
Your price : 3000$
Time to pay: 12 hours (You have 12 hours to pay, when the time is up the price will be doubled)
Immediately after payment you will receive a scanner-decoder and instructions for recovering your files.
Where to buy bitcoins?
https://localbitcoins.com/
https://www.abra.com/
Or user google «buy bitcoin»
Wallet for payment: https://privnote.com/RE8rMp1F#o62LIV8w5
---

Вариант от 8 июля 2020:
Расширение: .makop
Составное расширение (пример): .[D1C708F0].[akzhq00705@protonmail.com].makop
Записка: readme-warning.txt
Email: akzhq00705@protonmail.com
Результаты анализов: VT + IA + AR



Вариант от 8 июля 2020:
Расширение: .makop
Составное расширение (пример): .[587087A6].[Crypt@qbmail.biz].makop
Email: Crypt@qbmail.biz
Результаты анализов: VT

Варианты от 10 июля 2020:
Расширение: .makop
Email-1: paco@airmail.cc
Email-2: getdataback@qbmail.biz

Вариант от 13 июля 2020:
Расширение: .zbw
Записка: readme-warning.txt
Email: decryption@zimbabwe.su, zimbabwe@msgsafe.io



Вариант от 23 июля 2020: 
Расширение: .fireee
Записка: readme-warning.txt
Email: helpforyou@firemail.cc
Jabber: mrdoc8869@xmpp.jp



Вариант от 24 июля 2020: 
Расширение: .makop
krymaster@mail.com

Вариант от 4 августа: 
Расширение: .makop
Email: datalost@foxmail.com
Email: encryptboys@tutanota.com


Вариант от 5 августа 2020:
Расширение: .zes
Составное расширение (пример): .[4B2E4630].[johncastle@msgsafe.io].zes
Записка: readme-warning.txt
Email: johncastle@msgsafe.io, JohnCastle1000@protonmail.com
Файл: zes.exe
Результаты анализов: VT + IA + VMR



Вариант от 7 августа 2020:
Расширение: .makop
Записка: readme-warning.txt
Email: myfiles@msgsafe.io
Результаты анализов: VT

Варианты от 7 августа 2020:
Расширение: .makop
Email-1: votrefile@tuta.io
Email-2: paymantsystem@cock.li

Вариант от 12 августа 2020:
Расширение: .makop
Записка: readme-warning.txt
Email: akzhq808@cock.li, akzhq808@tutanota.com
Результаты анализов: VT + IA



Вариант от 14 августа 2020:
Расширение: .makop
Email: ranbarron88@qq.com

Вариант от 18 августа 2020:
Расширение: .makop
Составное расширение (пример): .[E2CA123F].[akzhq808@tutanota.com].makop
Записка: readme-warning.txt
Email: akzhq808@tutanota.com
Результаты анализов: VT + HA + IA

Вариант от 24 августа 2020:
Расширение: .makop
Email: Crypt@zimbabwe.su

Вариант от 28 августа 2020:
Расширение: .zbw
Записка: readme-warning.txt
Email-1: decryption@zimbabwe.su - контакт взломан
Email-2: decryption.zimbabwe@protonmail.com - новый контакт

Вариант от 1 сентября 2020: 
Расширение: .makop
Записка: readme-warning.txt
Email: decryptdocs@msgsafe.io, decryptdocs@firemail.cc



Вариант от 7 сентября 2020: 
Расширение: .CARLOS
Email: decryption@zimbabwe.su, zimbabwe@msgsafe.io

Вариант от 9 сентября 2020: 
Расширение: .makop
Email: Genovo@protonmail.com

Вариант от 10 сентября 2020: 
Штамп даты: 1 августа 2020. 
Расширение: .makop
Составное расширение (пример): .[2C1B4235].[akzhq915@tutanota.com].makop
Записка: readme-warning.txt
Email: akzhq915@tutanota.com, akzhq915@protonmail.ch, akzhq915@airmail.cc
Результаты анализов: VT + IA + JSB

Варианты от 20-22 октября 2020: 
Расширение: .makop
Составное расширение (пример): .[4B2E4630].[akzhq1010@tutanota.com].makop
Записка: readme-warning.txt
Email: akzhq1010@tutanota.com, akzhq1010@cock.li
Результаты анализов: VTVT + VT

Вариант от 26 октября 2020: 
Расширение: .Hidden
Записка: readme-warning.txt
Email: Wannadecryption@gmail.com

Вариант от 28 октября 2020 (см. выше 23 июля 2020): 
Расширение: .fireee
Записка: readme-warning.txt
Email: helpforyou@firemail.cc
Jabber: mrdoc8869@xmpp.jp



Вариант от 28 октября 2020: 
Расширение: .captcha
Составное расширение: .[4B2E4630].[garantos@mailfence.com].captcha
Email: garantos@mailfence.com, element444@keemail.me
Записка: build note.txt

 


➤ Содержание записки:
We took advantage of your server's weakness and blocked your files.
Server protection is an important part of successful and trouble-free
use of files and sharing of your company's private information.
PLEASE note that third-party recovery programs will DAMAGE your files
and cause permanent loss of important data. Any experiments on recovery
are done at your own risk.
When requesting recovery assistance, please specify the KEY
that can be found in the name of the blocked files.
If you refuse to restore your files, they will remain locked forever.
=======Mailing address for communication =======
Main = garantos@mailfence.com (we respond within 24 hours)
Spare = element444@keemail.me (write here if you have not received a response from the main email address)
Please pay attention
We will also help you protect your server from threats from the
network and point out errors made by the administrator and moderators.
--The time limit for recovery is limited!--
---
Перевод на русский язык: 
Мы воспользовались слабостью вашего сервера и заблокировали ваши файлы.
Защита сервера - важная составляющая успешного и безотказного использования файлов и обмен личной информацией вашей компании.
ПОЖАЛУЙСТА, учтите, что сторонние программы восстановления ПОВРЕДЯТ ваши файлы и вызовут безвозвратную потерю важных данных. Любые эксперименты по восстановлению производятся на ваш страх и риск.
При запросе помощи в восстановлении укажите КЛЮЧ, который можно найти в названии заблокированных файлов.
Если вы откажетесь восстанавливать файлы, они останутся блокированными навсегда.
======= Почтовый адрес для связи =======
Главный = garantos@mailfence.com (отвечаем в течение 24 часов)
Запасной = element444@keemail.me (напишите сюда, если не получили ответ с основного адреса электронной почты)
Пожалуйста, обратите внимание
Также мы поможем защитить ваш сервер от угроз из сети и укажем на ошибки, допущенные администратором и модераторами.
- Срок восстановления ограничен! -
---
Файл: captcha_visual.exe
Результаты анализов: VT + VMR + AR + TG
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32954
ALYac -> Trojan.Ransom.Makop
Avira (no cloud) -> HEUR/AGEN.1102422
BitDefender -> Gen:Variant.Razy.599308
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E
Malwarebytes -> Ransom.Phobos
Microsoft -> Ransom:Win32/Phobos.PB!MTB
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Pfiw
TrendMicro -> Ransom_Phobos.R002C0DJR20
---

Вариант от 1 декабря 2020: 
Расширение: .fair
Составное расширение (пример): .[70A25B35].[fairexchange@qq.com].fair
Email: fairexchange@qq.com
Записка: readme-warning.txt

Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32395
ALYac -> Trojan.Ransom.Makop
Avira (no cloud) -> HEUR/AGEN.1137775
BitDefender -> Gen:Heur.Kelios.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E
Malwarebytes -> Ransom.Oled.Generic
Microsoft -> Ransom:Win32/Phobos.PB!MTB
Rising -> Ransom.Phobos!8.10B6C (TFE:4:4v083dnCOmS)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.PHOBOS.SMTH
---

Вариант от 1 декабря 2020:
Расширение: .zes
Email: davidcastle@msgsafe.io

Вариант от 2 декабря 2020:
Расширение: .makop
Email: loyaldecrypt@privatemail.com

Вариант от 8 декабря 2020: 
Расширение: .CARLOS
Составное расширение (пример): .[587087A6].[johnlennoncr@hotmail.com].CARLOS
Email: johnlennoncr@hotmail.com
Записка: readme-warning.txt
Результаты анализов: VT 
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32954
ALYac -> Trojan.Ransom.Makop
Avira (no cloud) -> HEUR/AGEN.1102422
BitDefender -> Gen:Variant.Razy.646472
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E
Malwarebytes -> Ransom.Phobos
Microsoft -> Ransom:Win32/Phobos.PB!MTB
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Phobos.R002C0DL820

Вариант от 8 декабря 2020: 
Расширение: .makop
Составное расширение (пример): .[72A35B55].[moloch_helpdesk@tutanota.com].makop
Email: moloch_helpdesk@tutanota.com, moloch_helpdesk@protonmail.ch
Записка: readme-warning.txt
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33304
ALYac -> Trojan.Ransom.Makop
Avira (no cloud) -> TR/AD.PhobosRansom.ujryg
BitDefender -> Gen:Variant.Razy.599308
ESET-NOD32 -> A Variant Of Win32/Filecoder.Phobos.E
Malwarebytes -> Ransom.Oled
Microsoft -> Ransom:Win32/Makop.M!MTB
Rising -> Ransom.Phobos!8.10B6C (TFE:4*
Symantec -> Downloader
TrendMicro -> TROJ_GEN.R002C0PL820
---

Вариант от 9 декабря 2020: 
Расширение: .makop
Email: dino_rans@protonmail.ch, dino@rape.lol
Jabber: dino_rans@xmpp.jp

Вариант от 11 декабря 2020: 
Расширение: .makop
Email-1: poyasecurity@protonmail.com, poyasecur@gmail.com
Email-2: manage.file@messagesafe.io, morrith_smith@tutanota.com

Вариант от 11 декабря 2020: 
Расширение: .CARLOS
Email: johnlennoncr@hotmail.com

Вариант от 12 декабря 2020: 
Расширение: .makop
Email: filerecov3ry@keemail.me


Дополнение без указания даты:
Раскрытие информации о злоумышленниках-вымогателях. 
По данным сайта PCrisk.com в разное время в 2020 году Makop-вымогатели также использовали следующие email-адреса:
admcphel@protonmail.ch, 
akzhq412@aol.com, 
akzhq710@protonmail.com, 
akzhq725@tutanota.com, 
akzhq830@tutanota.com, 
antiransomware@aol.com, 
backup_499@protonmail.com, 
checkfilelock@protonmail.ch, 
cloudfiles@airmail.cc, cloudfiles@msgsafe.io, 
davidrecovery@protonmail.com, 
farik1@protonmail.com, 
greenreed007@qq.com, 
irisaneby@aol.com, 
joshua_antony@aol.com, 
makop.support@secmail.pro, 
makop@keemail.me, 
makopfiles@aol.com, 
MikeyMaus77@protomail.com, 
modeturbo@aol.com, 
moncler@cock.li, 
mrdjohni@tutanota.com, 
myfilesdecrypt@cock.li, 
steaknshake@gmx.us, 
viginare@aol.com, 
ww6666@protonmail.com
---
Я не перепроверял все адреса, поэтому просто даю их в виде списка. 


=== 2021 ===

Вариант от 4 января 2021: 
Расширение: .moloch
Составное расширение (пример): .[1f5bb265].[moloch_helpdesk@tutanota.com].moloch
Записка: readme-warning.txt
Email: moloch_helpdesk@tutanota.com, moloch_helpdesk@protonmail.ch
Результаты анализов: VT + IA



Вариант от 14 января 2021: 
Расширение: .moloch
Составное расширение (пример): .[4B2E4560].[agares_helpdesk@tutanota.com].moloch
Email: agares_helpdesk@tutanota.com, agares@airmail.cc
Результаты анализов: VT + IA



Вариант от 15 января 2021: 
Расширение: .makop
Email: Yamer2@protonmail.com
Результаты анализов: VT + VT + TG



Вариант от 17 февраля - 2 марта 2021: 
Расширение: .[DE3DF956].[vassago0213@airmail.cc].vassago
Записка: readme-warning.txt
Email: vassago0213@airmail.cc, vassago_0213@tutanota.com
Результаты анализов: VT + AR


Вариант от 23 февраля 2021: 
Расширение: .[DE3DF956].[admindevon@cock.li].makop
Записка: readme-warning.txt
Email: admindevon@cock.li, ryuk1@cock.li
Результаты анализов: VT + AR


Вариант от 24 марта 2021: 
Расширение: .pecunia
Записка: readme-warning.txt
Email: pecunia0318@airmail.cc, pecunia0318@goat.si, pecunia0318@tutanota.com
Результаты анализов: VT + IA


Вариант от 29 марта 2021:
Дата на файле: 12 марта 2021. 
Расширение: .id2020
Шаблон расширения: .[<id>].[<email>].id2020
Пример расширение: .[61486C00].[metasload2021@protonmail.com].id2020
Записка: build note.txt
Email: metasload2021@protonmail.com, sploitmeta@mailfence.com
Результаты анализов: VT



Вариант от 1 апреля 2021: 
Расширение: .dark
Шаблон расширения: .[XXXXXXXX].[revilsupport@privatemail.com].dark
Записка: readme-warning.txt
Email: revilsupport@privatemail.com
Результаты анализов: VT



Вариант от 12 апреля 2021: 
Расширение: .makop
Email: decryptinfo@msgsafe.io, decrypt1nfo@airmail.cc


Вариант от 20 апреля 2021: 
Расширение: .makop
Шаблон расширения: .[XXXXXXXX].[honestandhope@qq.com].makop
Записка: readme-warning.txt
Email: honestandhope@qq.com

Вариант от 25 мая 2021: 
Расширение: .xdqd
Шаблон расширения: .[XXXXXXXX][xdatarecovery@msgsafe.io].xdqd
Записка: readme-warning.txt
Email: xdatarecovery@msgsafe.io, xdatarecovery@mail.com



--- пропущенные варианты ---


Вариант от 6 сентября 2021:
Расширение: .harmagedon
Шаблон расширения: .[XXXXXXXX].[harmagedon0707@airmail.cc].harmagedon
Записка: readme-warning.txt


Email: harmagedon0707@airmail.cc, pecunia0318@protonmail.ch,  pecunia0318@goat.si
Результаты анализов: VT + AR + IA

Вариант от 12 сентября 2021: 
Расширение: .makop
Шаблон расширения: .[XXXXXXXX].[Paybackformistake@qq.com].makop
Записка: readme-warning.txt
Email: Paybackformistake@qq.com

Вариант от 8 октября 2021: 
Расширение: .code
Email: code666@msgden.com, elit.code@protonmail.com


Вариант от 26 декабря 2021 или раньше:
Расширение: .[XXXXXXXX].Dekrypt24@tutanota.com.mkp
Записка: +README-WARNING+.txt
Email: Dekrypt24@tutanota.com or decrypt24@nerdmail.co





*** пропущенные варианты ***

=== 2022 ===


Вариант от 10 марта 2022:
Расширение (пример): .[25B4FB29].[hopeandhonest@smime.ninja].mkp
Записка: +README-WARNING+.txt
Email: hopeandhonest@smime.ninja






=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + myMessage 
 ID Ransomware (ID as Makop)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri, Michael Gillespie, quietman7, Emmanuel_ADC-Soft, 
 Andrew Ivanov (article author), al1963, Tomas Meskauskas, 
 Kangxiaopao, Jirehlov, M. Shahpasandi, dnwls0719, GrujaRS 
 to researches and victims who sent the samples. 
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *