Rhino, Marvel

Rhino Ransomware

Marvel Ransomware

Aliases: Marvel, Parrot, GeneralChin, Coka, Termit

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей и компаний с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Rhino. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.31725, Trojan.MulDrop11.51709, Trojan.Encoder.32865

BitDefender -> Generic.Ransom.Mole.CD9EA986, Generic.Ransom.Mole.E1C541BA, Generic.Ransom.Mole.AAA9A073
ESET-NOD32 -> A Variant Of Win32/Filecoder.NPI, A Variant Of Win32/Filecoder.NHQ, A Variant Of Win32/Filecoder.NPI
Malwarebytes -> Ransom.Marvel
Rising -> Ransom.Agent!8.6B7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Higuniel.R002C0DCN20, Ransom_Higuniel.R002C0DE420
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: DCRTR >> Rhino

Изображение — логотип статьи

По всей видимости, персонаж Rhino взят из Marvel Comics. Потому что в зашифрованных файлах используется маркер файлов Marvel.

К зашифрованным файлам добавляется расширение: .rhino

Фактически используется составное расширение: .[generalchin@countermail.com].rhino


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа может называться: 
info.hta
Decryptor_Info.hta

Содержание записки о выкупе:
Warning!
All your files have been encrypted due to a security problem with your PC.
If you want to restore them, write us to the e-mail:
1) generalchin@countermail.com
2) generalchin@smime.ninja (if you do not receive a response from the first mailbox)
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 files for free decryption.
The total size of files must be less than 500 Kb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.)

Перевод записки на русский язык:
Предупреждение!
Все ваши файлы зашифрованы из-за проблем с безопасностью вашего ПК.
Если вы хотите вернуть их, напишите нам на email:
1) generalchin@countermail.com
2) generalchin@smime.ninja (если вы не получили ответ от первого почтового ящика)
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы напишите нам.
После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия
Перед оплатой вы можете отправить нам до 1 файла для бесплатной расшифровки.
Общий размер файлов должен быть менее 500 Кб (не в архиве) и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т. д.)

Также имеется текстовый файл ReadMe_Decryptor.txt, который повторяет содержание hta-файла. 

Содержание txt-записки о выкупе:
All your files have been encrypted due to a security problem with your PC. if you want to restore them, write us to the e-mail:
1) generalchin@countermail.com
2) generalchin@smime.ninja (if you do not receive a response from the first mailbox)
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 1 files for free decryption.
The total size of files must be less than 500 Kb (non archived), and files should not contain valuable information. 
(databases,backups, large excel sheets, etc.)

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Останавливает некоторые системные службы, в том числе Windows Defender, пытается остановить Microsoft Exchange, SQL Server и SQL Writer. Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами.
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
cmd.exe /c vssadmin delete shadows /all /quiet
cmd.exe /c wmic shadowcopy delete
cmd.exe /c wbadmin delete catalog -quiet
taskkill /f/im MSExchange*
taskkill /f /im Microsoft.Exchange.*
taskkill /f /im sqlserver.exe
taskkill /f /im sqlwriter.exe

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает файлы следующих типов:
.dll, .exe, .lnk, .msi, .sys и собственные записки с требованиями выкупа

Файлы, связанные с этим Ransomware:
info.hta - название файла с требованием выкупа
Decryptor_Info.hta - другое название файла с требованием выкупа
ReadMe_Decryptor.txt - текстовый файл записки
<random>.exe - случайное название вредоносного файла
s.exe - вредоносный файл

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%AppData%\Decryptor_Info.hta

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MarvelHost
E294A2E58181E49190E59181E29581E6B59CE791A8E781AFE388B3E6A5A2E2B9B4E7A1A5E289A500
HKEY_CURRENT_USER\S-1-5-21-1482476501-1645522239-1417001333-500\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHost
E294A2E58181E49190E59181E29581E6B59CE791A8E781AFE388B3E6A5A2E2B9B4E7A1A5E289A500
См. ниже результаты анализов.

Мьютексы:
Marvel
Marvel01

Скриншот от исследователя S!Ri:
Это второй вариант, где записка называется Decryptor_Info.hta

Сетевые подключения и связи:
Email: generalchin@countermail.com, generalchin@smime.ninja
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

DCRTR Ransomware - 

DCRTR-WDM или WDM Ransomware

Rhino или Marvel Ransomware

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вероятно более ранний или промежуточный вариант от DCRTR к Rhino (Marvel). 

Обновление от 10 февраля 2020:
Дата создания файла: 15 декабря 2018: 
Сообщение >>
Расширение: .parrot
Пример составного расширения: .[cryptonationusa@protonmail.com].parrot

Маркер зашифрованного файла: Marvel

Записка: ReadMe_Decryptor.txt
Email: cryptonationusa@protonmail.com
Файл: Marvel.exe
Результаты анализов: VT + AR + VMR + IA

➤ Содержание записки:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: cryptonationusa@protonmail.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 1 files for free decryption. The total size of files must be less than 500 Kb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Обновление от 4-5 мая 2020:
Сообщение >>
Сообщение >>
Статья от VMRay >>
Расширение (не изменилось): .[generalchin@countermail.com].rhino
Записка: Decryptor_Info.hta

Файл: cake4.exe
Результаты анализов: VT + VMR + AR + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.31725
BitDefender -> Generic.Ransom.Mole.E1C541BA
ESET-NOD32 -> A Variant Of Win32/Filecoder.NHQ
Malwarebytes -> Ransom.Marvel
TrendMicro -> Ransom_Higuniel.R002C0DE420

Обновление от 11-19 июня 2020:
Сообщение >>
Сообщение >>
Расширение: .coka
Пример составного расширения: .[servicemanager@yahooweb.co].coka
Записка: ReadMe_Decryptor.txt
Email: servicemanager@yahooweb.co, servicemanager2020@protonmail.com
Jabber: servicemanager@jabb.im
Маркер файлов: Marvel101

Обновление от 15 октября 2020:

Расширение: .[ashtray@outlookpro.net].termit

Записки: Decryptor_Info.hta, ReadMe_Decryptor.txt

Email: ashtray@outlookpro.net, askebeger@protonmail.com

Xabber: askebeger@xmpp.jp

Маркер файлов: Marvel01

Файл: .coco.exe

Результаты анализов: VT + IA

➤ Содержание записки: 

Warning!

For decryption write here - : ashtray@outlookpro.net (Write only in English) 

If you do not receive an answer write here - askebeger@protonmail.com 

Jabber contact for online communication (not always available, but I will answer as I see) - askebeger@xmpp.jp (xmpp.jp - registration, web client - https://web.xabber.com ) 

Don't modify the files - you will ruin them. Test decryption < 500 kb (not databases and important files, only for demonstration of decryption) 

---

➤ Обнаружения:
DrWeb -> Trojan.Encoder.32865
BitDefender -> Generic.Ransom.Mole.AAA9A073
ESET-NOD32 -> A Variant Of Win32/Filecoder.NPI

---

Вместе с вредоносным файлом Файл: .coco.exe был обнаружена хакерская программа NetTool.Scan или Network Scanner (NS2.exe, n.exe).

Результаты анализов: VT + IA + JSB

Обновление от 16 декабря 2020: 

Сообщение >>

Расширение: .[ashtray@outlookpro.net].termit

Записки: Decryptor_Info.hta, ReadMe_Decryptor.txt

Email: ashtray@outlookpro.net

Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message: myTweet
 ID Ransomware (ID as Rhino)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author), Michael Gillespie, S!Ri
 PCRisk (Tomas Meskauskas)
 Petrovic, AnyRun, VMRay
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

PonyFinal

PonyFinal Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей и компаний с помощью AES-128 + RSA-4096, а затем требует выкуп в 300 BTC, чтобы вернуть файлы. Оригинальное название: PonyFinal. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Java.Encoder.4, Java.Encoder.10
BitDefender -> Trojan.Agent.EPAQ
ALYac -> Trojan.JAVA.Agent.Gen
Avira (no cloud) -> JAVA/Agent.tlcur
ESET-NOD32 -> Java/Filecoder.AK
Kaspersky -> HEUR:Trojan.Java.Alien.gen
Symantec -> Ransom.TorrentLocker
Tencent -> Java.Trojan.Alien.Akfb
TrendMicro -> TROJ_FRS.VSNTDC20
---

© Генеалогия: Defray 2018 ??? >> Java ransomware > PonyFinal

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .enc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_files.txt

Содержание записки о выкупе:
Dear **** GROUP,
All your important files were encrypted on all computers.
You can verify this by click on see files an try open them.
Encryption was produced using unique KEY generated for this computer.
To decrypted files, you need to obtain private key.
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 72 hours after encryption completed.
Pay us 300 BTC , and we will decode upto 3 sample files you send us via email for verification to prove we deliver master key, send file sample to: thecurelegion@protonmail.com
Bitcoins have to be sent to this address: 3JKX3VWDPW7gvVaXFVv3UazY29pE2LGV7b
After you've sent the payment send us an email to : thecurelegion@protonmail.com with subject : Decryption of files
If you are    not familiar with bitcoin you can buy it from here :
SITE : www.localbitcoin.com
After we confirm the payment , we send the private key so you can decrypt your system.

Перевод записки на русский язык:
Уважаемая **** GROUP,
Все ваши важные файлы зашифрованы на всех компьютерах.
Вы можете убедиться в этом, нажав на кнопку 'see files' и попробуйте открыть их.
Шифрование было сделано с уникальным ключом, сгенерированным для этого компьютера.
Чтобы расшифровать файлы, вам надо получить закрытый ключ.
Единственная копия закрытого ключа, с которой вы сможете расшифровать файлы, находится на секретном сервере в Интернете;
Сервер уничтожит ключ через 72 часов после завершения шифрования.
Заплатите нам 300 BTC, и мы расшифруем до 3 образцов файлов, которые вы отправите нам по email, чтобы подтвердить, что мы предоставим мастер-ключ, отправьте образец файла по адресу: thecurelegion@protonmail.com
Биткойны должны быть отправлены по этому адресу: 3JKX3VWDPW7gvVaXFVv3UazY29pE2LGV7b
После того, как вы отправили платеж, отправьте нам письмо по адресу: thecurelegion@protonmail.com с темой: Decryption of files
Если вы не знакомы с биткойнами, вы можете купить их здесь:
САЙТ: www.localbitcoin.com
После подтверждения оплаты мы отправим закрытый ключ, чтобы вы могли расшифровать свою систему.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Согласно исследованиям специалистов из Microsoft, злоумышленники, использующие PonyFinal, получают доступ посредством грубых атак на сервер управления системами целевой компании. Они развертывают VBScript для запуска обратной оболочки PowerShell, развертывают систему удаленного манипулятора для обхода регистрации событий, в некоторых случаях внедряют Java Runtime Environment.  

➤  PonyFinal поставляется через файл MSI, который содержит два пакетных файла и пейлоад программы-вымогателя. UVNC_Install.bat создает запланированное задание с именем "Java Updater" и вызывает RunTask.bat, который запускает пейлоад PonyFinal.JAR.

➤ Запуск в работу: 

➤ PonyFinal шифрует файлы в определенную дату и время. 

Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .7z, .900, .accdb, .ai, .apk, .arc, .arch00, .arj, .arw, .asp, .aspx, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .cas, .cda, .cdr, .cer, .cfr, .config, .cr2, .crt, .crw, .cs, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db, .db0, .dba, .dbf, .dcr, .deb, .der, .des, .desc, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .gz, .hkdb, .hkx, .hplg, .html, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .lay, .layout, .lbf, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .md, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpqge, .mrw, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .ogg, .orf, .ost, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkg, .pkpass, .png, .pot, .pps, .ppt, .ppt, .pptm, .pptx, .ps, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rpm, .rtf, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sie, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tar, .tar.gz, .tax, .tif, .tiff, .tor, .TSF, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wbk, .wma, .wmo, .wmv, .wotreplay, .wpd, .wpl, .wps, .x3f, .xf, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xxx, .z, .zip, .ztmp (243 расширения) и файлы wallet. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_files.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла
tmp.jar
PonyFinal.jar
RunTask.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%USERPROFILE%\tmp.jar

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: thecurelegion@protonmail.com
BTC: 3JKX3VWDPW7gvVaXFVv3UazY29pE2LGV7b
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  - тип файла не поддерживается
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 15 декабря 2020:

Сообщение >>

Расширение: .crypted

Записка: README_files.txt

Email: thecurelegion@protonmail.com

Результаты анализов: VT + AR

➤ Обнаружения: 

DrWeb -> Java.Encoder.10

BitDefender -> Java.Trojan.GenericGBA.28370

ESET-NOD32 -> Java/Filecoder.AN

Kaspersky -> HEUR:Trojan-Ransom.Java.Generic

Tencent -> Java.Trojan.Generic.Gvk

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as PonyFinal)
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CyberThanos

CyberThanos Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует только тестовые файлы с помощью AES+RSA и пока не требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CyberThanos. На файле написано: CyberThanos.exe

Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Trojan.GenericKD.42974026
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> HEUR/AGEN.1129970
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AJ
Malwarebytes -> Ransom.Thanatos
Microsoft -> Ransom:Win32/Thanos.A!MTB
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Symantec -> Trojan Horse
TrendMicro -> Trojan.MSIL.MALREP.THDACBO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: HiddenTear >> CyberThanos

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в первой половине апреля 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка пока без требования выкупа называется: README_CyberThanos.txt

Содержание записки:
We have launched the test of CyberThanos
Files which have suffix of .testfile have been encrypted

Перевод записки на русский язык:
Мы запустили тест CyberThanos
Файлы с суффиксом .testfile были зашифрованы

Технические детали

На момент написания статьи ничего неизвестно о распространении и дальнейшей активности этого крипто-вымогателя. 

После доработки вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Только специальные текстовые файлы с расширением .testfile

После доработки это могут быть уже документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_CyberThanos.txt - название файла с требованием выкупа
CyberThanos.exe - оригинальное название исполняемого файла
CyberThanos.pdb - оригинальное название проекта
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\CyberThanos.exe
C:\Users\wzl21\Documents\CyberThanos\obj\Debug\CyberThanos.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.