Gibberish, Velar

Gibberish Ransomware

Variants: Anenerbex, Velar, UPPER

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.30868, Trojan.Encoder.31489
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD -> 32A Variant Of Win32/Filecoder.NSF, A Variant Of Win32/Kryptik.HCPQ
Microsoft -> Ransom:Win32/Filecoder!MSR
Qihoo-360 -> Generic/Trojan.Ransom.ec8
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Tencent -> Win32.Trojan.Filecoder.Hvix
TrendMicro -> Ransom_Filecoder.R002C0DBJ20
VBA32 -> BScope.TrojanRansom.Kuntala
Symantec -> ML.Attribute.HighConfidence
---

© Генеалогия: ??? >> Gibberish, Anenerbex, Velar, UPPER

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .uk6ge или .<random>

Этимология названия:
Нет никаких данных о том, как вымогатели могли назвать свое "творение". С неизвестного "взятки гладки". Но они использовали слово "gibberish" (в переводе с англ. "тарабарщина") в одном из логинов почты, как бы подчеркивая это слово. Поэтому Gibberish стало названием и заголовком статьи. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в середине февраля 2020 г. Штамп даты: 4 июля 2019 г. (Где ж его носило столько времени?) Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: info.txt

Содержание записки о выкупе:
Congratulation!!!
All your data been crypted!
Our contacts:
Write to mail: DamianOlsonsnowdrop@cock.li
If we not respond 24h: gibberishEdmundBass@protonmail.com
In subject: key[160313537d]
There is no other way to get you files back, only we have key for decryption.

Перевод записки на русский язык:
Поздравляем!!!
Все ваши данные зашифрованы!
Наши контакты:
Писать на почту: DamianOlsonsnowdrop@cock.li
Если мы не ответим за 24 часа: gibberishEdmundBass@protonmail.com
В теме: key[160313537d]
Иного пути вернуть файлы нет, только у нас есть ключ для расшифровки.

Я сравнил несколько вариантов записок и обнаружил, что каждый раз генерируется новый ключ. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Удаляет теневые копии файлов с помощью команды:
vssadmin delete shadows /all /quiet


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
info.txt - текстовый файл записки о выкупе
A1.exe
A2.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: DamianOlsonsnowdrop@cock.li
Email-2: gibberishEdmundBass@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 марта 2020:
Топик на форуме >>
Расширение: .anenerbex
Записка: anenerbex-info.txt
Email: anenerbex@protonmail.com, anenerbex@cock.li

➤ Содержание записки:
Nice to meet
Unfortunately a malware has infected your computer and a large number of your files has been encrypted using a hybrid encryption scheme
By the way, everything is possible to restore, but you need to follow our instructions. Otherwise, you cant return your data (NEVER).
What guarantees?
It's just a business. We absolutely do not care about you and your deals, except getting benefits.
You can get proof by mail, just need to ask
Mail for contact With your ID 1a2b3c5***
anenerbex@protonmail.com
anenerbex@cock.li
There is no other way to get you files back, only we have key for dceryption

Обновление от 18-19 марта 2020:
Пост в Твиттере >>
Расширение: .Velar
Записка: readme.txt
Email-1: lanthanumRosaKiddgentile@cock.li
Email-2: affrontUmerSummers@tutanota.com
Файл: 1,2.exe
Результаты анализов: VT + HA + IA + AR
Обнаружения: 
DrWeb -> Trojan.Encoder.30868
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NSF
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_FRS.0NA103CI20

➤ Содержание записки: 
Hello
Unfortunately a malware has infected your computer and a large number of your files has been encrypted using a hybrid encryption scheme!
Contact us:
1. lanthanumRosaKiddgentile@cock.li
2. affrontUmerSummers@tutanota.com
In subject: ID-7a55359***
There is no possibility to decrypt these files without a special decrypt program!
---


Обновление от 22 марта 2020:
Пост в Твиттере >>
Расширение: .UPPER
Записка: infoUPPER.txt
Email-1: TentwenUpper1@protonmail.com
Email-2: Wenuptwen1@tutanota.com
Результаты анализов: VT + HA + IA + AR

➤ Содержание записки: 
Welcome
You have your data been crypted
Contact us with key ca67d9b***
1 - TentwenUpper1@protonmail.com
2 - Wenuptwen1@tutanota.com
There is no other way to get you files back, only we have key for dceryption
Free decryption as guarantee!
Before paying you send us up to 2 files for free decryption.
Send pictures, text files. (files no more than 1mb)
If you upload the database, your price will be doubled

Обновление от 9 апреля 2020: 
Пост в Твиттере >>
Топик на форуме >>
Расширение: .~~~~
Записка: Read_ME.txt
Email: cryptofiles20202020@protonmail.com, cryptofiles20202020@cock.li
Результаты анализов: VT + VMR + AR

➤ Содержание записки:
Dear user! Your data is encrypted!
Any attempts to decrypt your data yourself will lead to loss of information !! Be careful!
Our mail:
1. cryptofiles20202020@protonmail.com
2. cryptofiles20202020@cock.li
Attention!
Decryption of your files is a paid service.
If you do not have money, then you can not apply. All is serious.
Contact us at the address and indicate your id in the subject line.
Your ID: ae3cfd7***

Обновление от 16 апреля 2020:
Топик на форуме >>
Расширение: .<random>, например: .fevrbdy
Email: fevrbdy@airmail.cc, fevrbdy@protonmail.com
Записка: README.txt

➤ Содержание записки:
Congratulation
You have your data been crypted
Write to the mail: fevrbdy@airmail.cc
If we dont respond 24h: fevrbdy@protonmail.com
Send us you key 0e0de602f7
Free decryption as guarantee
Before paying you can send us up to 2 files for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information, (databases, backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site.You have to register, click 'Buy bitcoins", and select the seller by payment method and price,
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/informati on/now-can-i-buy-bitcoins/
There is no possibility to decrypt these files without a special decrypt program!

Обновление от 29 апреля 2020:
Пост в Твиттере >>
Расширение: .<random>, например: .xHIlEgqxx
Email: sodinsupport@cock.li, ReftuOne@protonmail.com

Результаты анализов: VT + HA + VMR


Обновление от 20 ноября 2020:

Сообщение >>

Первые пострадавшие были из США. 

Расширение: .esexz или .<random>

Записка: readme.txt

Email: costestu@cock.li, setestco@protonmail.com, zetterlow@tutanota.com

Содержание записки о выкупе: 

Your ID: xxxxxxxxxx

Congrats! I have a bad news for you. All of yours data has been encrypted&stollen_!_

Also there is a good news - there is the one and the only who can help you to restore yours Data ( u need to write here about restoring yours data, and write in the subject  of the letter yours ID : costestu@cock.li, setestco@protonmail.com, zetterlow@tutanota.com)

As faster you are - depends on discount of price. As slower you are - depends on higher price. Don't forget about stollen data its can become public_!_(depends on also on you)

Also dear, you must know that it's impossible to restore infected computers by 

yourself\somebody else_!_ 

As a proof for test, in a letter  u can upload 3 files not bigger than 10 mb not contains important or secure info.

Перевод записки на русский язык: 

Ваш ID: xxxxxxxxxx

Поздравляю! У меня для вас плохие новости. Все ваши данные зашифрованы и уничтожены _! _

Также есть хорошие новости - мы единственные, кто может помочь вам восстановить ваши данные (про восстановление ваших данных нужно писать сюда, и написать в теме письма ваш ID: costestu@cock.li, setestco@protonmail.com, zetterlow@tutanota.com)

Чем быстрее напишите - цена меньше. Чем медленнее - цена выше. Не забывайте об украденных данных, которые могут быть опубликованы _! _ (зависит от вас)

Также дорогой, вы должны знать, что невозможно восстановить зараженные компьютеры самим \ кем-то другим _! _

Как доказательство для теста в письме вы можете загрузить 3 файла не более 10 мб, не содержащих важной или защищенной информации.

Вариант от 22 марта 2021:

Повторяет вариант от 20 ноября 2020. 

Расширение: .esexz

Email: costestu@cock.li, setestco@protonmail.com, zetterlow@tutanota.com

*** пропущенные варианты ***

Вариант от 3  ноября 2022:

Сообщение: twitter.com/pcrisk/status/1588435327064363008

Расшиение: .dom

Записка: ENCRYPTED.txt

IOC: VT: 49010614f2c6847c02cc3f9652fdc038

Обнаружения: 

DrWeb -> Trojan.Encoder.36216

ESET-NOD32 -> A Variant Of Win32/Filecoder.NSF

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet + Tweet
 ID Ransomware (ID as Gibberish)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DeathHiddenTear

DeathHiddenTear Ransomware

Large&Small HT Ransomware

DeathHiddenTear-2 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA для ключа, а затем требует написать на email, чтобы узнать, как вернуть файлы. Оригинальное название: DeathV2 (указано в коде). На файле написано: SSvchost и ssvchost.exe

Обнаружения:
DrWeb -> Trojan.Encoder.31055
BitDefender -> Generic.Ransom.Small.A8C082EF
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AK
GData -> MSIL.Trojan-Ransom.Remind.B
Kaspersky -> HEUR:Trojan.MSIL.DelShad.gen
McAfee -> Ransomware-FTD!B550E47DE0ED
Rising -> Ransom.Genasom!8.293 (CLOUD)
TrendMicro -> TROJ_GEN.R002C0OBJ20
Symantec -> Ransom.HiddenTear!g1
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: HiddenTear >> DeathHiddenTear

Изображение — логотип статьи (согласно данным)

К зашифрованным файлам добавляются разные расширения: 
.encryptedL  - к файлам размером более 50 Мб (L - Large - "большой")
.encryptedS - к файлам размером менее 50 Мб (S - Small - "небольшой")

Таким образом, большинство файлов на компьютере после шифрования получают расширение .encryptedS

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decrypt Instructions.txt

Просмотр в Notepad++

Просмотр в Блокнот

Содержание записки о выкупе:
All of your files are encrypted, to decrypt them write us to email: AllZData@cock.li
187,15,28,244,249,77,21,50,58,239,19,98,217,252,245,41,144,76,92,172,94,107,219,158,195,132,13,151,57,147,72,99,82,58,125,154,230,223,31,147,10,1***

Перевод записки на русский язык:
Все ваши файлы зашифрованы, для расшифровки, пишите на email: AllZData@cock.li
187,15,28,244,249,77,21,50,58,239,19,98,217,252,245,41,144,76,92,172,94,107,219,158,195,132,13,151,57,147,72,99,82,58,125,154,230,223,31,147,10,1***

---
Комментарий от Майкла Джиллеспи: "Набор чисел в записке о выкупе является ключом AES, зашифрованным RSA этой функцией. Это малораспространенный способ, обычно используется hex." 
 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Удаляет теневые копии файлов после шифрования.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decrypt Instructions.txt - название записки
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\user\Desktop\New_Latest_Version_2\DeathV2
***\Death\obj\Release\ssvchost.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: AllZData@cock.li
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 марта 2020:
Пост в Твиттере >>
Расширение: .enc
Записка: Decrypt Instructions.txt
Email: jakejake1234@cock.li

Файл: ssvchost.exe (написано SSvchost)
Результаты анализов: VT + VMR
Обнаружения: 
DrWeb -> Trojan.MulDrop11.51630
BitDefender -> Generic.Ransom.Small.773EC97D
ESET-NOD32 -> MSIL/Filecoder.YN
Rising -> Ransom.Filecoder!8.55A8 (CLOUD)
TrendMicro -> Ransom_Filecoder.R002C0DCN20

Обновление от 12 мая 2020:
Пост в Твиттере >>
Расширение: .enc
Записка: Decrypt Instructions.txt

Email: Datauser17234@protonmail.ch
Результаты анализов: VT + HA 

Обновление от 17 мая 2020: 
Пост на форуме >>
Расширение: .enc
Записка: Decrypt Instructions.txt
Email: craftech@protonmail.ch 
Файлы: NC.exe, C.exe

➤ Содержание записки: 
All of your files are encrypted, to decrypt them write us to email: craftech@protonmail.ch 
48,203,3,201,128,23,71,132,161,***

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as DeathHiddenTear)
 Write-up, Topic of Support, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Nomikon

Nomikon Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в ~0.041-0.0.45 BTC / ~400$, чтобы вернуть файлы. По истечении срока выплаты сумма увеличивается в 2 раза (до ~800$). Оригинальное название: Nomikon 1.0 (указано в заголовке записки о выкупе и в логинах email вымогателей). На файле написано: ms.exe или что-то другое.

Обнаружения:
DrWeb -> нет образца вредоноса
BitDefender -> нет образца вредоноса
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: предыдущие варианты >> Nomikon 1.0

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: или .<random>

Примеры расширений: 
.cnmhr 
.jrmcu


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2020 г. По некоторым данным, ранние упоминания встречались с ноября 2019 года, но исполняемых образцов не было найдено. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPT.html

 

Содержание записки о выкупе:
Your computer has been infected
All your documents, photos, databases and other important files are encrypted
To decrypt your files you need to buy our special software - UmtxCnMh4r-Decryptor
You can do it right now. Follow the instruction below. But remember that you do not have much time
UmtxCnMh4r-Decryptor
You have EXPIRED TIME
*If you do not pay on time the price will be doubled
*Time ends on February 19, 01:37:43
Current price
0.04114785 BTC $400 USD
After time ends 0.08229571 BTC $800 USD
---
Instructions
How to decrypt files?
You will not be able to decrypt the files yourself. If you try, you will lose your files forever.
To decrypt your files you need to buy our special software -
UmtxCnMh4r-Decryptor.
*If you need guarantees, use trial decryption below.
How to buy UmtxCnMh4r-Decryptor?
1. Send us an email to: nomikonfirst@tuta.io, nomikonsecond@tuta.io
In subject line of your message write your personal
ID: umtxcnmh4r-1813464-88f974fb-08d6-4347-8ae1-aaede4cdb8ba-cnmhr
2. Create a Bitcoin Wallet (we recommend Blockchain.info)
3. Buy the necessary amount of Bitcoins. Current price for buying is 0.08229571 BTC
4. Send 0.08229571 BTC to the address that you receive when
write to us
5. Wait for 3 confirmations
6. Download decryptor from the email message
*We guarantee that you can decrypt all your files quickly and safely.
---
Trial decryption
This file should be an encrypted image. Example
your-file-name.jpg.cnmhr
your-file-name.png.cnmhr
your-file-name.gif.cnmhr
Send us one image for free decryption
*Please note image size must be less than 5Mb.
---
Buy Bitcoin with Bank
Account or Bank Transfer
Coinmama BitPanda Korbit Coinfloor Coinfinity BTCDirect CEX.io Gemini Paymium Bity Safello Buy Bitcoin with Credit/Debit Card CEX.io Coinmama Huobi Bittylicious BitPanda CoinCafe Luno Buy Bitcoin with PayPal LocalBitcoins VirWox Paxful Buy Bitcoin with Cash or Cash Deposit LocalBitcoins BitQuick
---
Support
If you have any questions please write us to email
nomikonfirst@tuta.io
nomikonsecond@tuta.io
Our support team can solve any of your problems
---
FAQ
What happen?
Your files are encrypted and currently unavailable. By the way, it's possible to recover (restore), you need to follow our instructions. Otherwise, you can't return your data (NEVER).
When can I get my files back?
After payment, you will receive an email with decryptor software. It automatically decrypts all your files.
What guarantees?
It's just a business. We absolutely do not care about you and your deals, except getting benefits. If we do not do our work and liabilities - nobody will cooperate with us. It's not in our interests.
If I don't have enough money right now, can I pay later?
You can pay later, but in 3 days the price will be doubled.
What if I try to decrypt my files with another solution?
All your data is encrypted with very serious and powerful algorithms (AES256 and RSA-2048). Those algorithms now in use in military intelligence NSA and CIA. No one can help you to restore your data without our special decryptor. Do not try to modify files or use your own private key in this case you will lose your files forever.
Can I recover my old files via Windows recovery point or other solution?
Unfortunately no, all backups and Windows shadow copies were removed. In addition, hard disk sectors have been overwritten several times, in this case even computer forensics will not be able to recover your files.
Can I decrypt my document with trial decryption (for free)?
No, you can decrypt only one image.
Current price btc 0.08229571

Перевод записки на русский язык:
Ваш компьютер инфицирован
Все ваши документы, фотографии, базы данных и другие важные файлы зашифрованы
Для расшифровки ваших файлов вам нужно купить нашу специальную программу - UmtxCnMh4r-Decryptor
Вы можете сделать это прямо сейчас. Следуйте инструкциям ниже. Но помните, что у вас не так много времени
UmtxCnMh4r-Decryptor
У вас истекло время
* Если вы не заплатите вовремя, цена удвоится
* Время заканчивается 19 февраля, 01:37:43
Текущая цена
0.04114785 BTC $400 USD
По истечении времени 0.08229571 BTC $800 USD
---
Инструкции
Как расшифровать файлы?
Вы не сможете сами расшифровать файлы. Если вы попытаетесь, вы потеряете ваши файлы навсегда.
Для расшифровки ваших файлов вам нужно купить нашу специальную программу -
UmtxCnMh4r-Decryptor.
* Если вам нужны гарантии, используйте пробную расшифровку ниже.
Как купить UmtxCnMh4r-Decryptor?
1. Отправьте нам email по адресу: nomikonfirst@tuta.io, nomikonsecond@tuta.io
В строке темы вашего сообщения напишите свой личный
ID: umtxcnmh4r-1813464-88f974fb-08d6-4347-8ae1-aaede4cdb8ba-cnmhr
2. Создайте биткойн-кошелек (мы рекомендуем Blockchain.info)
3. Купите нужное количество биткойнов. Текущая цена для покупки 0.08229571 BTC
4. Отправьте 0.08229571 BTC на адрес, который вы получите, когда
напишите нам
5. Подождите 3 подтверждения
6. Скачать расшифровщик из сообщения email
* Мы гарантируем, что вы сможете расшифровать все ваши файлы быстро и безопасно.
---
Пробная расшифровка
Этот файл должен быть зашифрованным изображением. пример
ваш-файл-name.jpg.cnmhr
ваш-файл-name.png.cnmhr
ваш-файл-name.gif.cnmhr
Отправьте нам одно изображение для бесплатной расшифровки
* Обратите внимание, что размер изображения должен быть менее 5 МБ.
---
Купить биткойн в банке
Счет или банковский перевод
Coinmama BitPanda Korbit Coinfloor Coinfinity BTCDirect CEX.io Джемини Paymium Bity Safello Купить Биткойн с помощью кредитной / дебетовой карты CEX.io Coinmama Huobi Bittylicious BitPanda CoinCafe Luno Купить биткойны с PayPal МестныеБиткойны
---
Служба поддержки
Если у вас есть какие-либо вопросы, пожалуйста, напишите нам на email
nomikonfirst@tuta.io
nomikonsecond@tuta.io
Наша служба поддержки может решить любые ваши проблемы
---
Вопросы-Ответы
Что происходит?
Ваши файлы зашифрованы и в настоящее время недоступны. Кстати, можно восстановить (вернуть), нужно следовать нашим инструкциям. В противном случае вы не сможете вернуть свои данные (НИКОГДА).
Когда я смогу вернуть свои файлы?
После оплаты вы получите письмо с программой для расшифровки. Она автоматически расшифровывает все ваши файлы.
Какие гарантии?
Это просто бизнес. Мы абсолютно не заботимся о вас и ваших сделках, кроме получения льгот. Если мы не будем выполнять свою работу и обязательства - никто не будет с нами сотрудничать. Это не в наших интересах.
Если у меня сейчас недостаточно денег, могу ли я заплатить позже?
Вы можете оплатить позже, но через 3 дня цена будет удвоена.
Что если я попытаюсь расшифровать мои файлы другим решением?
Все ваши данные зашифрованы с помощью очень серьезных и мощных алгоритмов (AES256 и RSA-2048). Эти алгоритмы сейчас используются в военной разведке АНБ и ЦРУ. Никто не может помочь вам восстановить ваши данные без нашего специального расшифровщика. Не пытайтесь изменить файлы или использовать свой собственный закрытый ключ, в этом случае вы потеряете ваши файлы навсегда.
Могу ли я восстановить свои старые файлы через точку восстановления Windows или другое решение?
К сожалению, нет, все резервные копии и теневые копии Windows были удалены. Кроме того, сектора жесткого диска были перезаписаны несколько раз, в этом случае даже компьютерная криминалистика не сможет восстановить ваши файлы.
Могу ли я расшифровать свой документ пробной расшифровкой (бесплатно)?
Нет, вы можете расшифровать только одно изображение.
Текущая цена BTC 0.082295

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ms.exe
DECRYPT.html - название текстового файла
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nomikonfirst@tuta.io, nomikonsecond@tuta.io
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта. Но есть более раннее свидетельство активности этого вымогателя 14 ноября 2019 года.  Ссылка на сайт >>

Уже тогда это называлось Nomikon 1.0 Ransomware, поэтому описанный здесь вариант тот же самый по сути. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Nomikon)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, 
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.