Если вы не видите здесь изображений, то используйте VPN.

суббота, 22 февраля 2020 г.

MarraCrypt

MarraCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: MarraCrypt и MARRACRYPT RANSOMWARE. На файле написано: svchosta.exe

Обнаружения:
DrWeb -> Win32.HLLW.Autoruner.25074 (о семействе)
BitDefender -> Trojan.GenericKD.33362147
Kaspersky -> Trojan.MSIL.DOTHETUK.wds
McAfee -> RDN/Generic.rp
Tencent -> Msil.Trojan.Dothetuk.Ebhp
TrendMicro -> Trojan.Win32.MALREP.THBBDBO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: ✂️ Hermes + HildaCrypt >> MarraCrypt



Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .MARRA

Фактически используется составное расширение по шаблону: 
[<email>].MARRA

На момент написания статьи это было: 
[newpatek@cock.li].MARRA

Примеры зашифрованных файлов:
AccessMUI.xml[newpatek@cock.li].MARRA

Proofing.png[newpatek@cock.li].MARRA
search.txt[newpatek@cock.li].MARRA


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: MARRACRYPT_INFORMATION.HTML


Содержание записки о выкупе:
MARRACRYPT 1.0 RANSOMWARE
Your files has been encrypted using RSA-4096 algorithm with unique public-key stored on your PC.
There is  only one way   to get your files back:  contact with us,  pay,  and get  decryptor software. 
We accept Bitcoin, and other cryptocurrencies,  you can find exchangers on bestbitcoinexchange.io  
You have unique idkey (in a yellow frame), write it in letter when contact with us.
Also you can decrypt 2 files as a test, its a guarantee we can decrypt your files.
!!! IDKEY !!!
>>>6eaf312be7b4a94b3687406ecba910beeeeb86fc7803577ee6c42ca3405218a3d3645e93d41fe9b380d686df77ea032a7f019ae04acae3aaafc7bb8610735a378***<<< [всего 3410 знаков вместе с <>]
:: CONTACT INFORMATION ::
E-mail #1:  newpatek@cock.li
E-mail #2: onmywrist@cock.li

Перевод записки на русский язык:
MARRACRYPT 1.0 RANSOMWARE
Ваши файлы зашифрованы с помощью алгоритма RSA-4096 с уникальным открытым ключом, хранящимся на вашем ПК.
Есть только один способ вернуть ваши файлы: связаться с нами, оплатить и получить программу для расшифровки.
Мы принимаем биткойны и другие криптовалюты, вы можете найти обменники на bestbitcoinexchange.io
У вас есть уникальный idkey (в желтой рамке), напишите его в письме, когда свяжетесь с нами.
Также вы можете расшифровать 2 файла как тест, это гарантия, что мы можем расшифровать ваши файлы.
!!! IDKEY !!!
>>>6eaf312be7b4a94b3687406ecba910beeeeb86fc7803577ee6c42ca3405218a3d3645e93d41fe9b380d686df77ea032a7f019ae04acae3aaafc7bb8610735a378***<<< [всего 3410 знаков вместе с <>]
:: КОНТАКТНАЯ ИНФОРМАЦИЯ ::
E-mail #1:  newpatek@cock.li
E-mail #2: onmywrist@cock.li


Согласно данным из Hybrid-Analisys связан с этим адресом:
xxxxs://discord.gg/hilda






Технические детали

Использует функционал червя для распространения с помощью флеш-накопителей, логических дисков, включая смонтированных и всех видов внешних накопителей. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Добавляется в автозагрузку системы для

➤ Стремится удалить теневые копии файлов со наиболее часто используемых логических дисков C, D, E, F, H:

vssadmin Delete Shadows /all /quiet
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
vssadmin Delete Shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MARRACRYPT_INFORMATION.HTML - название записки о выкупе
sys.bat
onmywrist.bat
svchosta.exe
PUBLIC_KEY_DO_NOT_TOUCH
MARRACRYPT_ID_DO_NOT_TOUCH
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\svchosta.exe
%PUBLIC%\sys.bat
%ALLUSERSPROFILE%\newpatek\onmywrist.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: newpatek@cock.li, onmywrist@cock.li
URL related: xxxxs://discord.gg/hilda
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as MarraCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

четверг, 20 февраля 2020 г.

EncoderCSL

EncoderCSL Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: EncoderCSL. На файле написано: EncoderCSL.exe (Copyright © 2019).

Обнаружения:
DrWeb -> Trojan.Encoder.10598, Trojan.PackedNET.30
BitDefender -> Gen:Heur.Ransom.Imps.3, Trojan.GenericKD.33298767
ALYac -> Trojan.Ransom.HiddenTear
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJ
Malwarebytes -> Ransom.EncoderCSL
McAfee -> Ransomware-FTD!24299F2C9376
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan-dropper.Agent.Eade
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 


© Генеалогия: HiddenTear >> EncoderCSL


Изображение — логотип статьи (мини-копия экрана)

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ.txt или READ_IT.txt

Другим информатором жертвы выступает экран блокировки: 

Содержание записки о выкупе:
Your files has been safely encrypted
Please open READ_ ME file on your desktop for decryption
Don't try to decrypt files yourself! It can be damage your files forever!
User ID:  admin
Machine ID:  USER-PC

Перевод записки на русский язык:
Ваши файлы надежно зашифрованы
Откройте файл READ_ ME на рабочем столе для расшифровки
Не пробуйте сами расшифровать файлы! Это повредит ваши файлы!
User ID:  admin
Machine ID:  USER-PC



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
На момент написания статьи шифрует только файлы с расширениями .txt и .test
Но после доработки вполне может начать шифровать документы MS Office, OpenOffice, PDF, все текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
EncoderCSL.exe
READ.txt или READ_IT.txt - текстовый файл записки
tesing.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\Desktop\EncoderCSL.pdb
\Desktop\READ.txt
F:\projects\CSL Encoder\CSL Encoder\EncoderCSL\EncoderCSL\obj\Release\EncoderCSL.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: suporthermes@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT> VT> VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 19 февраля 2020 г.

Hydra (Hidra)

Hydra Ransomware

Hydra Go Ransomware

Hydra 2020 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы заплатить за расшифровщик в # BTC и вернуть файлы. Оригинальное название: Hydra Ransomware. На файле написано: mafi.exe или что-то еще. Написан на языке Go. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.31197
ALYac -> Trojan.Ransom.HydraCrypt
Avira (no cloud) -> HEUR/AGEN.1131867
BitDefender -> Trojan.GenericKD.42830376
ESET-NOD32 -> A Variant Of Win32/Filecoder.OBA
Kaspersky -> Trojan-Ransom.Win32.Gen.wdk
Malwarebytes -> Ransom.Hydra.GO
Microsoft -> Trojan:Win32/Occamy.C00
Tencent -> Win32.Trojan.Gen.Lkdz
TrendMicro -> Ransom_Gen.R02CC0GE921
Symantec -> ML.Attribute.HighConfidence, Trojan Horse
---

© Генеалогия: Jigsaw (modified) > Hydra

Hydra Ransomware
Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется. Название файла не меняется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на сердину января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __________WHY FILES NOT WORK__________.txt

Hydra Ransomware note

Содержание записки о выкупе:
Attention!
Your network has been compromised and all of your files has been encrytped by "Hydra Ransomware" team!
We used nextgen strong cryptography in order to encrypt your files.
The only way to restore your files is to buy decryptor!
* You must know the worst thing is happened now and you cannot hide our successful attack!
  Understand if payment is not made on time. All your company data will be permanently destroyed.
  Your backups has been fatal and it is just a waste of your precious time if going to try them!
* IF YOU UNDERSTAND THE SITUATION, FOLLOW THE RECOVERY INSTRUCTIONS BELOW
1. Copy your Network ID and send to our email.
   Network ID : DM5V6T5***
   Email      : crossroads2371@protonmail.ch
2. You will receive a amount and payment order.
3. We will send you decryptor with private key to recovery your files.
* You can ask for 1 free file decryption as proof of work in the first correspondence!
* Your time for save your files has limited to one week (from first impact) before we delete our temporary email address!
* Data manipulation cause permanent loss of files!

Перевод записки на русский язык:
Внимание!
Ваша сеть взломана, и все ваши файлы зашифрованы командой "Hydra Ransomware"!
Мы использовали сильную криптографию nextgen для шифрования ваших файлов.
Единственный способ восстановить ваши файлы - это купить расшифровщик!
* Вы должны знать, что сейчас случилось худшее, и вы не можете скрыть нашу успешную атаку!
  Поймите, если оплата не произведена вовремя. Все данные вашей компании будут навсегда уничтожены.
  Ваши бэкапы фатальны, и если вы попробуете их, это просто пустая трата вашего драгоценного времени!
* Если вы понимаете ситуацию, следуйте инструкциям по восстановлению ниже
1. Скопируйте свой ID сети и отправьте на наш email.
   ID сети: DM5V6T5 ***
   Email: crossroads2371@protonmail.ch
2. Вы получите сумму и платежное поручение.
3. Мы вышлем вам расшифровщик с закрытым ключом для восстановления ваших файлов.
* Вы можете запросить 1 бесплатную расшифровку файла как доказательство работы при первой переписке!
* Ваше время для сохранения ваших файлов ограничено одной неделей (от первого удара) до того, как мы удалим наш временный email-адрес!
* Манипулирование данными вызовет постоянную потерю файлов!



Технические детали

Распространяется как фальшивый Firefox на сайтах, распространяющих бесплатное ПО под видом Free-версий. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует утилиту SDelete для очистки освободившегося места.
 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Маркер зашифрованных файлов:
MZ HIDRA - с буквой I, хотя в записке Hydra написана с буквой Y.
MZ HIDRA

Файлы, связанные с этим Ransomware:
__________WHY FILES NOT WORK__________.txt
firefox.exe - фальшивый файл, замаскированный под браузер Mozilla Firefox
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: crossroads2371@protonmail.ch
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis (UPX) >>
𝚺  VirusTotal analysis (UPX) >>
🐞 Intezer analysis (UPX) >>
ᕒ  ANY.RUN analysis (UPX) >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Hydra)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 18 февраля 2020 г.

Coom

Coom Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.015 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файлах может быть написано: EmailExtractor, Super Email Validator, contract.scr.

Обнаружения:
DrWeb -> Trojan.Encoder.31056, Trojan.PWS.Siggen2.43833
BitDefender -> Trojan.GenericKD.42604037
Avira (no cloud) -> TR/NetWire.dtrpn
ESET-NOD32 -> A Variant Of MSIL/Packed.SmartAssembly.AY, A Variant Of MSIL/Kryptik.SXL
Kaspersky -> HEUR:Trojan.MSIL.NetWire.gen
Rising -> Trojan.NetWire!8.FAFE (CLOUD), Trojan.Kryptik!8.8 (CLOUD)
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
TrendMicro -> TROJ_FRS.VSNTBI20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: EDA2 >> Coom


Coom Ransomware
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .coom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt
Coom Ransomware note

Содержание записки о выкупе:
YOUR FILES HAVE BEEN ENCRYPTED
Your USERID is USER-PC
To unlock your files send 0.015 BTC (about $150 USD) to the following
bitcoin wallet address:
bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
Once you have sent the bitcoin, make note of your USERID above and the
transaction id of your bitcoin payment and go to http://192.30.89.67:11344/unlock.php
and you will be able to get your decryption key and the decryption tool.
If you are wondering how to purchase bitcoin easily, using paxful.com
with store bought gift cards is quick and easy, but there are many other ways
to buy bitcoin as well.

Перевод записки на русский язык:
Ваши файлы были зашифрованы
Ваш USERID - USER-PC
Чтобы разблокировать файлы, отправьте 0.015 BTC (около $150 USD) на следующий адрес кошелька биткойн:
bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
После того, как вы отправили биткойн, запишите свой USERID, указанный выше, и идентификатор транзакции вашего биткойн-платежа и перейдите по адресу http://192.30.89.67:11344/unlock.php
и вы сможете получить свой ключ дешифрования и инструмент дешифрования.
Если вам интересно, как легко купить биткойн, использовать paxful.com с подарочными картами, купленными в магазине, можно легко и быстро, но есть и много других способов купить биткойн.

---
Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола.
Coom Ransomware screen lock

Примеры таких рабочих столов на разных системах (зашифрованные файлы и записки).





Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt - текстовый файл записки о выкупе
EmailExtractor.exe
Super Email Validator.exe
contract.scr
svhost.exe
<random>.exe - случайное название вредоносного файла
ransom.jpg - загруженный с сайта 192.30.89.67:11344/x/background.jpg 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper
%HOMEPATH%\ransom.jpg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StartPage2\ProgramsCache
HKEY_LOCAL_MACHINE\Software\eda2\eda2\2.1.0.0   %TEMP%\svhost.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: http://192.30.89.67:11344/x/createkeys.php
http://192.30.89.67:11344/x/background.jpg
http://192.30.89.67:11344/x/savekey.php
Email:
BTC: bc1q7v0lv6rwak3tyxdm4k95ay2kdasywwcwdqpymk
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT> VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS, S!Ri, Jirehlov
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *