Hydra (Hidra)

Hydra Ransomware

Hydra Go Ransomware

Hydra 2020 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы заплатить за расшифровщик в # BTC и вернуть файлы. Оригинальное название: Hydra Ransomware. На файле написано: mafi.exe или что-то еще. Написан на языке Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.31197

ALYac -> Trojan.Ransom.HydraCrypt

Avira (no cloud) -> HEUR/AGEN.1131867

BitDefender -> Trojan.GenericKD.42830376

ESET-NOD32 -> A Variant Of Win32/Filecoder.OBA

Kaspersky -> Trojan-Ransom.Win32.Gen.wdk

Malwarebytes -> Ransom.Hydra.GO

Microsoft -> Trojan:Win32/Occamy.C00

Tencent -> Win32.Trojan.Gen.Lkdz

TrendMicro -> Ransom_Gen.R02CC0GE921

Symantec -> ML.Attribute.HighConfidence, Trojan Horse
---

© Генеалогия: Jigsaw (modified) > Hydra

Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется. Название файла не меняется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на сердину января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __________WHY FILES NOT WORK__________.txt

Содержание записки о выкупе:
Attention!
Your network has been compromised and all of your files has been encrytped by "Hydra Ransomware" team!
We used nextgen strong cryptography in order to encrypt your files.
The only way to restore your files is to buy decryptor!
* You must know the worst thing is happened now and you cannot hide our successful attack!
  Understand if payment is not made on time. All your company data will be permanently destroyed.
  Your backups has been fatal and it is just a waste of your precious time if going to try them!
* IF YOU UNDERSTAND THE SITUATION, FOLLOW THE RECOVERY INSTRUCTIONS BELOW
1. Copy your Network ID and send to our email.
   Network ID : DM5V6T5***
   Email      : crossroads2371@protonmail.ch
2. You will receive a amount and payment order.
3. We will send you decryptor with private key to recovery your files.
* You can ask for 1 free file decryption as proof of work in the first correspondence!
* Your time for save your files has limited to one week (from first impact) before we delete our temporary email address!
* Data manipulation cause permanent loss of files!

Перевод записки на русский язык:
Внимание!
Ваша сеть взломана, и все ваши файлы зашифрованы командой "Hydra Ransomware"!
Мы использовали сильную криптографию nextgen для шифрования ваших файлов.
Единственный способ восстановить ваши файлы - это купить расшифровщик!
* Вы должны знать, что сейчас случилось худшее, и вы не можете скрыть нашу успешную атаку!
  Поймите, если оплата не произведена вовремя. Все данные вашей компании будут навсегда уничтожены.
  Ваши бэкапы фатальны, и если вы попробуете их, это просто пустая трата вашего драгоценного времени!
* Если вы понимаете ситуацию, следуйте инструкциям по восстановлению ниже
1. Скопируйте свой ID сети и отправьте на наш email.
   ID сети: DM5V6T5 ***
   Email: crossroads2371@protonmail.ch
2. Вы получите сумму и платежное поручение.
3. Мы вышлем вам расшифровщик с закрытым ключом для восстановления ваших файлов.
* Вы можете запросить 1 бесплатную расшифровку файла как доказательство работы при первой переписке!
* Ваше время для сохранения ваших файлов ограничено одной неделей (от первого удара) до того, как мы удалим наш временный email-адрес!
* Манипулирование данными вызовет постоянную потерю файлов!

Технические детали

Распространяется как фальшивый Firefox на сайтах, распространяющих бесплатное ПО под видом Free-версий. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует утилиту SDelete для очистки освободившегося места. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Маркер зашифрованных файлов:
MZ HIDRA - с буквой I, хотя в записке Hydra написана с буквой Y.

Файлы, связанные с этим Ransomware:
__________WHY FILES NOT WORK__________.txt
firefox.exe - фальшивый файл, замаскированный под браузер Mozilla Firefox
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: crossroads2371@protonmail.ch
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis (UPX) >>
𝚺  VirusTotal analysis (UPX) >>
🐞 Intezer analysis (UPX) >>
ᕒ  ANY.RUN analysis (UPX) >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Hydra)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Coom

Coom Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.015 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файлах может быть написано: EmailExtractor, Super Email Validator, contract.scr.

Обнаружения:
DrWeb -> Trojan.Encoder.31056, Trojan.PWS.Siggen2.43833
BitDefender -> Trojan.GenericKD.42604037
Avira (no cloud) -> TR/NetWire.dtrpn
ESET-NOD32 -> A Variant Of MSIL/Packed.SmartAssembly.AY, A Variant Of MSIL/Kryptik.SXL
Kaspersky -> HEUR:Trojan.MSIL.NetWire.gen
Rising -> Trojan.NetWire!8.FAFE (CLOUD), Trojan.Kryptik!8.8 (CLOUD)
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
TrendMicro -> TROJ_FRS.VSNTBI20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: EDA2 >> Coom

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .coom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
YOUR FILES HAVE BEEN ENCRYPTED
Your USERID is USER-PC
To unlock your files send 0.015 BTC (about $150 USD) to the following
bitcoin wallet address:
bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
Once you have sent the bitcoin, make note of your USERID above and the
transaction id of your bitcoin payment and go to http://192.30.89.67:11344/unlock.php
and you will be able to get your decryption key and the decryption tool.
If you are wondering how to purchase bitcoin easily, using paxful.com
with store bought gift cards is quick and easy, but there are many other ways
to buy bitcoin as well.

Перевод записки на русский язык:
Ваши файлы были зашифрованы
Ваш USERID - USER-PC
Чтобы разблокировать файлы, отправьте 0.015 BTC (около $150 USD) на следующий адрес кошелька биткойн:
bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
После того, как вы отправили биткойн, запишите свой USERID, указанный выше, и идентификатор транзакции вашего биткойн-платежа и перейдите по адресу http://192.30.89.67:11344/unlock.php
и вы сможете получить свой ключ дешифрования и инструмент дешифрования.
Если вам интересно, как легко купить биткойн, использовать paxful.com с подарочными картами, купленными в магазине, можно легко и быстро, но есть и много других способов купить биткойн.

---
Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола.

Примеры таких рабочих столов на разных системах (зашифрованные файлы и записки).

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt - текстовый файл записки о выкупе
EmailExtractor.exe
Super Email Validator.exe
contract.scr
svhost.exe
<random>.exe - случайное название вредоносного файла
ransom.jpg - загруженный с сайта 192.30.89.67:11344/x/background.jpg 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper
%HOMEPATH%\ransom.jpg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2\ProgramsCache
HKEY_LOCAL_MACHINE\Software\eda2\eda2\2.1.0.0   %TEMP%\svhost.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: http://192.30.89.67:11344/x/createkeys.php
http://192.30.89.67:11344/x/background.jpg
http://192.30.89.67:11344/x/savekey.php

Email:
BTC: bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, S!Ri, Jirehlov
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

MuchLove

MuchLove Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать, как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: WinUpdt и WinUpdt.exe

Обнаружения:
DrWeb -> Trojan.EncoderNET.HiddenTear.1
BitDefender -> Gen:Heur.Ransom.Imps.3
Avira (no cloud) -> HEUR/AGEN.1044331
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
Malwarebytes -> Trojan.MalPack.NRU.Generic
McAfee -> RDN/Ransom
Rising -> Dropper.Generic!8.35E (TFE:*)
Tencent -> Win32.Trojan.Ransom.Lorr
TrendMicro -> Ransom_RAMSIL.SM
Symantec -> Ransom.HiddenTear!g1
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: EDA2 (modified) >> MuchLove

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля 2020 г. Штамп даты 15 февраля 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
All your files have been encrypted with MILITARY GRADE encryption
No one besides US can recover your files, Contact us at uzuvnkyh@protonmail.com
After we will settle a price and you will pay you will get your files back.
Your unique code is *****KBPuUrft?zKB(zPO(u59fAZAh2)
Much Love

Перевод записки на русский язык:
Все ваши файлы  зашифрованы с шифрованием ВОЕННОГО УРОВНЯ
Никто, кроме НАС, не восстановит ваши файлы, пишите нам на uzuvnkyh@protonmail.com
После того, как мы определим цену, и вы заплатите, вы получите свои файлы обратно.
Ваш уникальный код *****KBPuUrft?zKB(zPO(u59fAZAh2)
Много любви

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ На основе EDA2 с небольшой модификацией. 

➤ Имеет особенность: если по какой-либо причине ему не удается отправить ключ на C&C-сервер, например, компьютер был выключен или сервер недоступен, то ключ потеряется навсегда и восстановить его будет невозможно. В таком случае уплата выкупа будет бесполезной.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt - название текстового файла
WinUpdt.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%APPDATA%\WinUpdt.exe
C:\Users\User\AppData\Roaming\WinUpdt.exe

Записи реестра, связанные с этим Ransomware:
Ключ: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Имя: WinUpdt

Значение: "C:\Users\User\AppData\Roaming\WinUpdt.exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: uzuvnkyh@protonmail.com
C&C: xxxxs://enxy2sgq5yv5.x.pipedream.net
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>  VMR>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 2 марта 2020:
Пост в Твиттере >>
Скриншот изображения:

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author)
 GrujaRS
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Gibberish, Velar

Gibberish Ransomware

Variants: Anenerbex, Velar, UPPER

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.30868, Trojan.Encoder.31489
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD -> 32A Variant Of Win32/Filecoder.NSF, A Variant Of Win32/Kryptik.HCPQ
Microsoft -> Ransom:Win32/Filecoder!MSR
Qihoo-360 -> Generic/Trojan.Ransom.ec8
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Hvix
TrendMicro -> Ransom_Filecoder.R002C0DBJ20
VBA32 -> BScope.TrojanRansom.Kuntala
Symantec -> ML.Attribute.HighConfidence
---

© Генеалогия: ??? >> Gibberish, Anenerbex, Velar, UPPER

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .uk6ge или .<random>

Этимология названия:
Нет никаких данных о том, как вымогатели могли назвать свое "творение". С неизвестного "взятки гладки". Но они использовали слово "gibberish" (в переводе с англ. "тарабарщина") в одном из логинов почты, как бы подчеркивая это слово. Поэтому Gibberish стало названием и заголовком статьи. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в середине февраля 2020 г. Штамп даты: 4 июля 2019 г. (Где ж его носило столько времени?) Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: info.txt

Содержание записки о выкупе:
Congratulation!!!
All your data been crypted!
Our contacts:
Write to mail: DamianOlsonsnowdrop@cock.li
If we not respond 24h: gibberishEdmundBass@protonmail.com
In subject: key[160313537d]
There is no other way to get you files back, only we have key for decryption.

Перевод записки на русский язык:
Поздравляем!!!
Все ваши данные зашифрованы!
Наши контакты:
Писать на почту: DamianOlsonsnowdrop@cock.li
Если мы не ответим за 24 часа: gibberishEdmundBass@protonmail.com
В теме: key[160313537d]
Иного пути вернуть файлы нет, только у нас есть ключ для расшифровки.

Я сравнил несколько вариантов записок и обнаружил, что каждый раз генерируется новый ключ. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Удаляет теневые копии файлов с помощью команды:
vssadmin delete shadows /all /quiet


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
info.txt - текстовый файл записки о выкупе
A1.exe
A2.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: DamianOlsonsnowdrop@cock.li
Email-2: gibberishEdmundBass@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 марта 2020:
Топик на форуме >>
Расширение: .anenerbex
Записка: anenerbex-info.txt
Email: anenerbex@protonmail.com, anenerbex@cock.li

➤ Содержание записки:
Nice to meet
Unfortunately a malware has infected your computer and a large number of your files has been encrypted using a hybrid encryption scheme
By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
What guarantees?
It's just a business. We absolutely do not care about you and your deals, except getting benefits.
You can get proof by mail, just need to ask
Mail for contact With your ID 1a2b3c5***
anenerbex@protonmail.com
anenerbex@cock.li
There is no other way to get you files back, only we have key for dceryption

Обновление от 18-19 марта 2020:
Пост в Твиттере >>
Расширение: .Velar
Записка: readme.txt
Email-1: lanthanumRosaKiddgentile@cock.li
Email-2: affrontUmerSummers@tutanota.com
Файл: 1,2.exe
Результаты анализов: VT + HA + IA + AR
Обнаружения: 
DrWeb -> Trojan.Encoder.30868
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NSF
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_FRS.0NA103CI20

➤ Содержание записки: 
Hello
Unfortunately a malware has infected your computer and a large number of your files has been encrypted using a hybrid encryption scheme!
Contact us:
1. lanthanumRosaKiddgentile@cock.li
2. affrontUmerSummers@tutanota.com
In subject: ID-7a55359***
There is no possibility to decrypt these files without a special decrypt program!
---


Обновление от 22 марта 2020:
Пост в Твиттере >>
Расширение: .UPPER
Записка: infoUPPER.txt
Email-1: TentwenUpper1@protonmail.com
Email-2: Wenuptwen1@tutanota.com
Результаты анализов: VT + HA + IA + AR

➤ Содержание записки: 
Welcome
You have your data been crypted
Contact us with key ca67d9b***
1 - TentwenUpper1@protonmail.com
2 - Wenuptwen1@tutanota.com
There is no other way to get you files back, only we have key for dceryption
Free decryption as guarantee!
Before paying you send us up to 2 files for free decryption.
Send pictures, text files. (files no more than 1mb)
If you upload the database, your price will be doubled

Обновление от 9 апреля 2020: 
Пост в Твиттере >>
Топик на форуме >>
Расширение: .~~~~
Записка: Read_ME.txt
Email: cryptofiles20202020@protonmail.com, cryptofiles20202020@cock.li
Результаты анализов: VT + VMR + AR

➤ Содержание записки:
Dear user! Your data is encrypted!
Any attempts to decrypt your data yourself will lead to loss of information !! Be careful!
Our mail:
1. cryptofiles20202020@protonmail.com
2. cryptofiles20202020@cock.li
Attention!
Decryption of your files is a paid service.
If you do not have money, then you can not apply. All is serious.
Contact us at the address and indicate your id in the subject line.
Your ID: ae3cfd7***

Обновление от 16 апреля 2020:
Топик на форуме >>
Расширение: .<random>, например: .fevrbdy
Email: fevrbdy@airmail.cc, fevrbdy@protonmail.com
Записка: README.txt

➤ Содержание записки:
Congratulation
You have your data been crypted
Write to the mail: fevrbdy@airmail.cc
If we dont respond 24h: fevrbdy@protonmail.com
Send us you key 0e0de602f7
Free decryption as guarantee
Before paying you can send us up to 2 files for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information, (databases, backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site.You have to register, click 'Buy bitcoins", and select the seller by payment method and price,
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/informati on/now-can-i-buy-bitcoins/
There is no possibility to decrypt these files without a special decrypt program!

Обновление от 29 апреля 2020:
Пост в Твиттере >>
Расширение: .<random>, например: .xHIlEgqxx
Email: sodinsupport@cock.li, ReftuOne@protonmail.com

Результаты анализов: VT + HA + VMR


Обновление от 20 ноября 2020:

Сообщение >>

Первые пострадавшие были из США. 

Расширение: .esexz или .<random>

Записка: readme.txt

Email: costestu@cock.li, setestco@protonmail.com, zetterlow@tutanota.com

Содержание записки о выкупе: 

Your ID: xxxxxxxxxx

Congrats! I have a bad news for you. All of yours data has been encrypted&stollen_!_

Also there is a good news - there is the one and the only who can help you to restore yours Data ( u need to write here about restoring yours data, and write in the subject  of the letter yours ID : costestu@cock.li, setestco@protonmail.com, zetterlow@tutanota.com)

As faster you are - depends on discount of price. As slower you are - depends on higher price. Don't forget about stollen data its can become public_!_(depends on also on you)

Also dear, you must know that it's impossible to restore infected computers by 

yourself\somebody else_!_ 

As a proof for test, in a letter  u can upload 3 files not bigger than 10 mb not contains important or secure info.

Перевод записки на русский язык: 

Ваш ID: xxxxxxxxxx

Поздравляю! У меня для вас плохие новости. Все ваши данные зашифрованы и уничтожены _! _

Также есть хорошие новости - мы единственные, кто может помочь вам восстановить ваши данные (про восстановление ваших данных нужно писать сюда, и написать в теме письма ваш ID: costestu@cock.li, setestco@protonmail.com, zetterlow@tutanota.com)

Чем быстрее напишите - цена меньше. Чем медленнее - цена выше. Не забывайте об украденных данных, которые могут быть опубликованы _! _ (зависит от вас)

Также дорогой, вы должны знать, что невозможно восстановить зараженные компьютеры самим \ кем-то другим _! _

Как доказательство для теста в письме вы можете загрузить 3 файла не более 10 мб, не содержащих важной или защищенной информации.

Вариант от 22 марта 2021:

Повторяет вариант от 20 ноября 2020. 

Расширение: .esexz

Email: costestu@cock.li, setestco@protonmail.com, zetterlow@tutanota.com

*** пропущенные варианты ***

Вариант от 3  ноября 2022:

Сообщение: twitter.com/pcrisk/status/1588435327064363008

Расшиение: .dom

Записка: ENCRYPTED.txt

IOC: VT: 49010614f2c6847c02cc3f9652fdc038

Обнаружения: 

DrWeb -> Trojan.Encoder.36216

ESET-NOD32 -> A Variant Of Win32/Filecoder.NSF

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet + Tweet
 ID Ransomware (ID as Gibberish)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.