BarakaTeam

BarakaTeam Ransomware

Pinkiwinki78 Ransomware

BarakaTeam Hand-Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп написать на email, чтобы узнать как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: tk3787.exe или DDESHARE.EXE. Написан на AutoIt.

Обнаружения:
DrWeb -> Trojan.PWS.Siggen2.44034
BitDefender -> Trojan.GenericKD.42681104, Trojan.Ransom.CryptAIT.D
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> TR/Drop.Agent.lador
ESET-NOD32 -> Win32/Filecoder.Autoit.AG, A Variant Of Win32/TrojanDropper.Agent.SHH
Kaspersky  -> Trojan-Ransom.Win32.Encoder.hhi, Trojan-Ransom.Win32.CryFile.aabz
Malwarebytes -> Trojan.FileCryptor
Rising -> Ransom.Baraka/Autoit!1.C310 (CLASSIC), Ransom.CryFile!8.20D (CLOUD)
Symantec -> Trojan Horse, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Encoder.Wtej, Win32.Trojan.Cryfile.Szvb
---

© Генеалогия: Autoit ransomware >> BarakaTeam (Pinkiwinki78)

Изображение — логотип статьи

К зашифрованным файлам сначала никакое расширение не добавлялось, потом стало добавляться расширение: .pinkiwinki78@mail.ru


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в феврале 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadmeCrypto.txt

Содержание записки о выкупе:
baraka team
your files are encrypted to recover them back contact us on pinkiwinki78@mail.ru
Your userid is: 44lq8R6 we will need it to help you recovering your files.


Перевод записки на русский язык:
baraka team
твои файлы зашифрованы, чтобы восстановить их, пишите нам на pinkiwinki78@mail.ru
Твой userid: 44lq8R6, он нам нужен, чтобы восстановить твои файлы.


Информатором также выступает изображение с email-контактом, заменяющее обои Рабочего стола. Видимо своеобразный автопортрет от вымогателя с "любовью". 

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP, запускается вручную после взлома сайта или сервера. В автоматическом режиме не шифрует. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Добавляет в Автозагрузку меню Пуск файл ReadmeCrypto.txt. Считывает информацию из браузера Google Chrome. Завершает работу Windows или перезагружает ПК, используя команду /c shutdown /r /t 1. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadmeCrypto.txt - название файла с требованием выкупа
tk3787.exe - исполняемый файл
DDESHARE.EXE - исполняемый файл
pl.bmp - изображение, заменяющее обои Рабочего стола
4f4dbd505348c33b9435351252aeddba1199df72011e4f83a643790d02231906.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\4f4dbd505348c33b9435351252aeddba1199df72011e4f83a643790d02231906.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name: crytoMSG
Value: C:\Users\admin\ReadmeCrypto.txt
---
HKEY_CURRENT_USER\Control Panel\Desktop
Name: WallPaper
Value: C:\Users\admin\pl.bmp
---
HKEY_CURRENT_USER\Software\Microsoft\IAM
Name: Server ID

Value: 2
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pinkiwinki78@mail.ru
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 июня (вошло в состав статьи):
Расширение: .pinkiwinki78@mail.ru
Email: pinkiwinki78@mail.ru


Обновление от 22 мая 2021:

Обнаружен сайт, атакованный 22 мая 2021 г. в 5:58.

Расширение: .pusheken91@bk.ru

Email: pusheken91@bk.ru

Повторение в июле - августе 2021: 

Сообщение >>
Сообщение >>

Сообщение >>

Шифрует только файлы, определенные в файле "y.txt", который он ищет.

Вероятно файлы не шифруются должным образом, вместо перезаписи добавляется шифрованный текст. 

Расширение: .pusheken91@bk.ru

Email: pusheken91@bk.ru

Результаты анализов: VT + HA + TG + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать!
Обращайтесь по ссылке к Michael Gillespie >>
***

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as BarakaTeam)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SepSys

SepSys Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Оригинальное название: sepSys. На файле написано: нет данных. Получатель криптовалюты: Silicon Venom.

Обнаружения:
DrWeb -> Trojan.Encoder.31095
BitDefender -> Trojan.GenericKD.42682853, Gen:Variant.Razy.618273
Emsisoft -> Trojan-Ransom.SepSys (A)
ESET-NOD32 -> Win64/Filecoder.BM, A Variant Of Win64/Filecoder.BM
Fortinet -> W32/Ransom.FVG!tr
Kaspersky -> Trojan.Win32.Zudochka.ebg
Malwarebytes -> Ransom.SepSys
Microsoft -> Ransom:Win32/SepSys!MTB
Qihoo-360 -> Trojan.Generic
Rising -> Ransom.SepSys!1.C30A (CLOUD)
TrendMicro -> Ransom.Win64.SEPSYS.A, Ransom_Filecoder.R002C0DC520, Ransom_Henasome.R002C0DDB20
---

© Генеалогия: ??? > SepSys > Silvertor

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sepsys


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.html

Содержание записки о выкупе:
ATTENTION! Your computer has been infected by sepSys!
Your files have been encrypted with a random key and no decryption tool can save them
To regain access to your files, please make a $100 donation to Silicon Venom
We only accept payments in Bitcoin (BTC). Check this out to learn more: https://bitcoin.org/en/buy
Your donation should be sent to the following BTC wallet address: 3BL1TbL96gQFTR9EJFKX7JSp889oj2nJmj
Once you have paid, contact us at iaminfected.sac@elude.in to receive your unique password and instructions on how to use it
The sooner you pay the better! Your files will be permanently corrupted over time, so act quickly
We appreciate your cooperation.

Перевод записки на русский язык:
ВНИМАНИЕ! Ваш компьютер был заражен sepSys!
Ваши файлы зашифрованы случайным ключом, и никакой инструмент расшифровки не может их сохранить
Чтобы вернуть доступ к вашим файлам, пожертвуйте 100$ на Silicon Venom
Мы принимаем платежи только в биткойнах (BTC). Проверьте это, чтобы узнать больше: https://bitcoin.org/en/buy
Ваше пожертвование должно быть отправлено на следующий адрес BTC-кошелька: 3BL1TbL96gQFTR9EJFKX7JSp889oj2nJmj
После оплаты пишите нам на адрес iaminfected.sac@elude.in, чтобы получить уникальный пароль и инструкции по его использованию.
Чем раньше вы заплатите, тем лучше! Ваши файлы будут повреждены, поэтому действуйте быстро
Мы ценим ваше сотрудничество.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Использует Windows PowerShell для атаки. Это в очередной раз подтверждает вредоносность этой технологии Microsoft. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.html
destructy-1.0.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\README.html

Оригинальное название проекта: 
C:\Users\tinop\Documents\Experiments\virusTests\sepSys1-0\target\debug\deps\sepSys1_0-ebd9526c88434a09.pdb

Прочее:
Desktoppasswordhere.txtajsndhcuyofklqwghftdgcbsmdfkiops.sepsyssepsyssrc\main.rs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL - IP: http://www.myip.ch/
URL - icon: https://2no.co/3mAp64
Email: iaminfected.sac@elude.in
BTC: 3BL1TbL96gQFTR9EJFKX7JSp889oj2nJmj
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

SepSys Ransomware - февраль 2020

Silvertor Ransomware - июль 2020

RedRoman Ransomware - ноябрь 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 апреля 2020:
Пост в Твиттере >>
Расширение: .sepsys
Выдает себя за SMBGhoster_1.2.exe
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS, MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Pxj, XVFXGW

Pxj Ransomware

XVFXGW Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.31087
BitDefender -> Trojan.GenericKD.33369615
ESET-NOD32 -> A Variant Of Generik.KNUTYFN
Microsoft -> Ransom:Win32/Genasom
Rising -> Ransom.Genasom!8.293 (CLOUD)
Symantec -> Downloader
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 



© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .pxj


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - вторую половину февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: LOOK.txt

Содержание записки о выкупе:
Hello.
All your files like photos, databases, videos, documents and other importants are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
Guarantee:
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only one for free. File must not contain valuable information.
If you do not contact us within 3 days, the price will double every day.
And if you do not get in touch for a week, your files will be lost forever.
Our mail address:
xvfxgw3929@protonmail.com
Reserved mail address:
xvfxgw213@decoymail.com

Перевод записки на русский язык:
Привет.
Все ваши файлы, такие как фото, базы данных, видео, документы и другие важные, зашифрованы с самым надежным шифрованием и уникальным ключом.
Единственный способ восстановления файлов - приобрести для вас инструмент дешифрования и уникальный ключ.
Гарантия:
Вы можете отправить один из ваших зашифрованных файлов с вашего ПК, и мы расшифруем его бесплатно.
Но мы можем расшифровать только один бесплатно. Файл не должен содержать ценную информацию.
Если вы не свяжетесь с нами в течение 3 дней, цена будет удваиваться каждый день.
И если вы не связываетесь в течение недели, ваши файлы будут потеряны навсегда.
Наш адрес почты:
xvfxgw3929@protonmail.com
Резервный адрес почты:
xvfxgw213@decoymail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {current} recoveryenabled no
bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LOOK.txt - название текстового файла
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Мьютекс:
XVFXGW DOUBLE SET

Прочее:
Crypto\rsa.cpp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: xvfxgw3929@protonmail.com, xvfxgw213@decoymail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Raby
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

MarraCrypt

MarraCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: MarraCrypt и MARRACRYPT RANSOMWARE. На файле написано: svchosta.exe

Обнаружения:
DrWeb -> Win32.HLLW.Autoruner.25074 (о семействе)
BitDefender -> Trojan.GenericKD.33362147
Kaspersky -> Trojan.MSIL.DOTHETUK.wds
McAfee -> RDN/Generic.rp
Tencent -> Msil.Trojan.Dothetuk.Ebhp
TrendMicro -> Trojan.Win32.MALREP.THBBDBO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: ✂️ Hermes + HildaCrypt >> MarraCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .MARRA

Фактически используется составное расширение по шаблону: 
[<email>].MARRA

На момент написания статьи это было: 
[newpatek@cock.li].MARRA

Примеры зашифрованных файлов:
AccessMUI.xml[newpatek@cock.li].MARRA

Proofing.png[newpatek@cock.li].MARRA
search.txt[newpatek@cock.li].MARRA


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: MARRACRYPT_INFORMATION.HTML


Содержание записки о выкупе:
MARRACRYPT 1.0 RANSOMWARE
Your files has been encrypted using RSA-4096 algorithm with unique public-key stored on your PC.
There is  only one way   to get your files back:  contact with us,  pay,  and get  decryptor software. 
We accept Bitcoin, and other cryptocurrencies,  you can find exchangers on bestbitcoinexchange.io  
You have unique idkey (in a yellow frame), write it in letter when contact with us.
Also you can decrypt 2 files as a test, its a guarantee we can decrypt your files.
!!! IDKEY !!!
>>>6eaf312be7b4a94b3687406ecba910beeeeb86fc7803577ee6c42ca3405218a3d3645e93d41fe9b380d686df77ea032a7f019ae04acae3aaafc7bb8610735a378***<<< [всего 3410 знаков вместе с <>]
:: CONTACT INFORMATION ::
E-mail #1:  newpatek@cock.li
E-mail #2: onmywrist@cock.li

Перевод записки на русский язык:
MARRACRYPT 1.0 RANSOMWARE
Ваши файлы зашифрованы с помощью алгоритма RSA-4096 с уникальным открытым ключом, хранящимся на вашем ПК.
Есть только один способ вернуть ваши файлы: связаться с нами, оплатить и получить программу для расшифровки.
Мы принимаем биткойны и другие криптовалюты, вы можете найти обменники на bestbitcoinexchange.io
У вас есть уникальный idkey (в желтой рамке), напишите его в письме, когда свяжетесь с нами.
Также вы можете расшифровать 2 файла как тест, это гарантия, что мы можем расшифровать ваши файлы.
!!! IDKEY !!!
>>>6eaf312be7b4a94b3687406ecba910beeeeb86fc7803577ee6c42ca3405218a3d3645e93d41fe9b380d686df77ea032a7f019ae04acae3aaafc7bb8610735a378***<<< [всего 3410 знаков вместе с <>]
:: КОНТАКТНАЯ ИНФОРМАЦИЯ ::
E-mail #1:  newpatek@cock.li
E-mail #2: onmywrist@cock.li


Согласно данным из Hybrid-Analisys связан с этим адресом:
xxxxs://discord.gg/hilda

Технические детали

Использует функционал червя для распространения с помощью флеш-накопителей, логических дисков, включая смонтированных и всех видов внешних накопителей. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Добавляется в автозагрузку системы для

➤ Стремится удалить теневые копии файлов со наиболее часто используемых логических дисков C, D, E, F, H:
vssadmin Delete Shadows /all /quiet
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=401MB
vssadmin resize shadowstorage /for=d: /on=d: /maxsize=unbounded
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=401MB
vssadmin resize shadowstorage /for=e: /on=e: /maxsize=unbounded
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=401MB
vssadmin resize shadowstorage /for=f: /on=f: /maxsize=unbounded
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=401MB
vssadmin resize shadowstorage /for=g: /on=g: /maxsize=unbounded
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=401MB
vssadmin resize shadowstorage /for=h: /on=h: /maxsize=unbounded
vssadmin Delete Shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MARRACRYPT_INFORMATION.HTML - название записки о выкупе
sys.bat
onmywrist.bat
svchosta.exe
PUBLIC_KEY_DO_NOT_TOUCH
MARRACRYPT_ID_DO_NOT_TOUCH
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\svchosta.exe
%PUBLIC%\sys.bat
%ALLUSERSPROFILE%\newpatek\onmywrist.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: newpatek@cock.li, onmywrist@cock.li
URL related: xxxxs://discord.gg/hilda
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as MarraCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.