CryCryptor

CryCryptor Ransomware

(шифровальщик-вымогатель для Android) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей Android-устройств с использованием алгоритма AES (режим CBC) со случайно сгенерированным 16-символьным ключом, а затем требует выкуп, чтобы вернуть файлы. Для информации используется только записка, само устройство не блокируется. Оригинальное название: CryCryptor. Специалисты ESET создали дешифровщик для файлов, зашифрованных CryCryptor Ransomware. 

Обнаружения:
DrWeb -> Android.Locker.1292.origin
AhnLab-V3 -> Trojan/Android.CryCryptor.960774
Avast-Mobile -> APK:RepSandbox [Trj]
Avira (no cloud) -> ANDROID/Locker.uobvj
ESET-NOD32 -> Android/CryCryptor.A
Kaspersky -> HEUR:Trojan-Ransom.AndroidOS.CryCrypt.a
Microsoft -> Ransom:AndroidOS/CryCryptor.A!MTB
Symantec -> Trojan.Gen.MBT
Symantec Mobile Insight -> Trojan:Simplocker
Tencent -> A.rogue.LockerCryCryptor
TrendMicro -> TROJ_FRS.0NA103FQ20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: OSR CryDroid >> CryCryptor

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .enc

Подробнее: после того, как CryCryptor зашифрует файлы, создаются три новых файла и исходный файл удаляется. Зашифрованный файл имеет добавленное расширение .enc
Алгоритм генерирует соль, уникальную для каждого зашифрованного файла (сохраняется в файле с расширением .enc.salt) и вектор инициализации (сохраняется в файле с расширением .enc.iv). См. примеры на скриншоте. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на июнь 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первоначально был ориентирован на пользователей Канады. 

 

Вредонос загружался с двух поддельных сайтов, выдавая себя за приложение для отслеживания COVID-19. Поддельное приложение стало распространяться через несколько дней после того, как правительство Канады объявило о своем намерении поддержать разработку общенационального приложения для предупреждение контактов инфицированными. Это мобильное приложение под названием COVID Alert должно предупреждать пользователей, если они вступают в контакт с кем-то, у кого подтвердился диагноз с COVID-19. Официальное приложение должно быть выпущено в июле 2020. 

ESET проинформировал Канадский центр кибербезопасности об этой угрозе, как только она была выявлена. Домены, распространяющие вредоносную программу заблокированы. 

После запуска вымогатель запрашивает доступ к файлам на устройстве. После получения этого разрешения он шифрует файлы на внешнем носителе. 

После шифрования файлов на экране выводится сообщение:
Personal files encrypted, see readme_now.txt

Перевод:

Личные файлы зашифрованы, см. readme_now.txt

 

Записка с требованием выкупа называется: readme_now.txt

Содержание записки о выкупе:
Your files have been Encrypted!
Send an Email to rescue them:
supportdoc@protonmail.ch
Your id is c9703808-ea73-4278-bec4-e349e5559d98

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Отправьте email для их спасения:
supportdoc@protonmail.ch
Ваш id c9703808-ea73-4278-bec4-e349e5559d98

Технические детали

Распространяется через два веб-сайта под видом официального приложения для отслеживания COVID-19, предоставленного Health Canada. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 
Пользователям Android рекомендуется устанавливать приложения только из надежных источников, таких как магазин Google Play.


➤ Контролирует BOOT_COMPLETED, чтобы активироваться и запускаться при каждом запуске Android-устройства.

➤ Ключи шифрования вшиты в настройки CryCryptor. Благодаря этому и проблеме безопасности (CWE-926) стало возможным расшифровать зашифрованные файлы.

 

Список файловых расширений, подвергающихся шифрованию:
.avi, .db, .doc, .docx, .jpg, .png. .pdf, .ppt, .pptx, .tmp, .txt, .xls, .xlsx, .YCF, 
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, временные файлы и пр. Шифруются только файлы, найденные на внешнем носителе информации (карте памяти, подключенной флешке и пр.). 

Файлы, связанные с этим Ransomware:
tracershield.apk - исполняемый APK-файл для Android
readme_now.txt - название файла с требованием выкупа

Сетевые подключения и связи:
URL: xxxxs://covid19tracer.ca/
URL: xxxs://tracershield.ca/
URL: xxxps://tracershield.ca/download/tracershield.apk
Email: supportdoc@protonmail.ch
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>  JOE>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 июля 2020:
Пост в Твиттере >>

Сообщение от Lukas Stefanko, связанное с CryDecryptor и дешифрованием файлов. 

Обновление от 18 июля 2020:
Пост в Твиттере >>
Сообщение от Lukas Stefanko, связанное с ключом шифрования. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tw + Tw + myTweet
 ID Ransomware (ID as CryCryptor)
 Write-up, Topic of Support
 * 

 - видеообзор шифрования и дешифрования, подготовленный специалистами ESET

 Thanks: 
 Lukas Stefanko, ESET research, Michael Gillespie
 Andrew Ivanov (author)
 Re-ind, NtRaiseException()
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

PL

PL Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: PL. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> PL Ransomware

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .encoded_PL


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июня 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !ALL_YOUR_FILES_ARE_ENCRYPTED!.txt

Содержание записки о выкупе:
All your files are encrypted.
You are not able to decrypt it by yourself!
Only we can recover your files.
To check the ability of returning files, you should write to us by email.
There you can decrypt one file for free. That is our guarantee.
Write to email: qqxxxxxqq@protonmail.com
Reserved email: wwxxxxxww@protonmail.com
Your personal ID: ***
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.

Перевод записки на русский язык:
Все ваши файлы зашифрованы.
Вы не можете расшифровать это сами!
Только мы можем восстановить ваши файлы.
Чтобы проверить возможность возврата файлов, вы должны написать нам на email.
Там вы можете расшифровать один файл бесплатно. Это наша гарантия.
Пишите на email: qqxxxxxqq@protonmail.com
Резервный email: wwxxxxxww@protonmail.com
Ваш личный ID: ***
Внимание!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!ALL_YOUR_FILES_ARE_ENCRYPTED!.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: qqxxxxxqq@protonmail.com
Email-2: wwxxxxxww@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as PL Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author) 
 Michael Gillespie
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

RansomEXX

RansomEXX Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные компаний, организаций и бизнес-пользователей с помощью AES-256 (режим ECB) + RSA-4096 (для шифрования AES-ключа), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: ransom.exx (указано в коде). На файле написано: mspusf.exe или что попало. Использует открытую библиотеку mbed TLS (tls.mbed.org). Для Windows и Linux систем. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.32006, Trojan.Encoder.32587
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.OCN
Kaspersky -> Trojan-Ransom.Win32.Encoder.jdq
Malwarebytes -> Ransom.RansomEXX
Microsoft -> Ransom:Win32/FileCoder.TX!MSR
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_Encoder.R002C0PFE20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: Defray777 (Defray 2018-2020) + mix >> RansomEXX

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение по шаблону: 
.<company_name>
.<abbreviated_company_name>
.<org_name> 

.<domain_name>
или что-то около того. 

В любом случае это будет связано с названием той организации или компании, против которой это направлено. 

Примеры:
.txd0t
.dbe
.0s

Этимология названия: 

Видимо от английских слов "ransom" (выкуп) и "extension" (расширение). 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на май-июнь 2020 г. 

См. например: BCnews on May 11. BCnews on May 18. 

Тогда вымогатели атаковали Техасскую судебную систему (TxCourts - сайт www.txcourts.gov) и Техасский транспортный департамент (TxDOT - сайт www.txdot.gov). Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Исследователи сообщили об этом только в июне 2020 г. 

Записка с требованием выкупа для Техасского транспортного департамента называлась: !TXDOT_READ_ME!.txt

Таким образом шаблон записки можно записать так: 
!XXXXX_READ_ME!.txt
!<abbreviated_company_name>_READ_ME!.txt

Здесь XXXXX будет сокращенным названием атакованной компании (аббревиатурой) с необходимым количеством заглавных букв. 

Содержание записки о выкупе:
Greetings, Texas Department of Transportation!
Read this message CAREFULLY and contact someone from IT department..
Your files are securely ENCRYPTED.
No third party decryption software EXISTS.
MODIFICATION or RENAMING encrypted files may cause decryption failure.
You can send us an encrypted file (not greater than 400KB) and we will decrypt it FOR FREE, so you have no doubts in possibility to restore all Files
From all aFFected systems ANY TIME.
Encrypted File SHOULD NOT contain sensitive inFormation (technical, backups, databases, large documents).
The rest oF data will be available aFter the PAYMENT.
infrastructure rebuild will cost you MUCH more.
Contact us ONLY if you officially represent the whole affected network.
The ONLY attachments we accept are non archived encrypted files For test decryption.
Speak ENGLISH when contacting us.
Mail us: ***@protonmail.com
We kindly ask you not to use GMAIL, YAHOO or LIVE to contact us.
The PRICE depends on how quickly you do it. 

Перевод записки на русский язык:
Приветствую, Техасский департамент транспорта!
Прочитайте это сообщение ВНИМАТЕЛЬНО и свяжитесь с кем-то из ИТ-отдела.
Ваши файлы надежно зашифрованы.
Никакой сторонней программы для расшифровки не существует.
ИЗМЕНЕНИЕ или ПЕРЕИМЕНОВАНИЕ зашифрованных файлов может вызвать сбой расшифровки.
Вы можете отправить нам зашифрованный файл (не более 400 КБ), и мы расшифруем его БЕСПЛАТНО, чтобы у вас не было сомнений в возможности восстановить все файлы из всех затронутых систем в ЛЮБОЕ ВРЕМЯ.
Зашифрованный файл НЕ ДОЛЖЕН содержать конфиденциальную информацию (техническую информацию, резервные копии, базы данных, большие документы).
Остальные данные будут доступны после ОПЛАТЫ.
Перестройка инфраструктуры обойдется вам НАМНОГО больше.
Свяжитесь с нами ТОЛЬКО если вы официально представляете всю затронутую сеть.
ЕДИНСТВЕННЫЕ вложения, которые мы принимаем, являются неархивированными зашифрованными файлами для тестовой расшифровки.
Говорите по-английски при обращении к нам.
Пишите нам: ***@protonmail.com
Мы просим вас не использовать GMAIL, YAHOO или LIVE для связи с нами.
ЦЕНА зависит от того, как быстро вы это сделаете.

Технические детали

Используется в целевых атаках на беизнес-пользователей и уязвимые корпоративные сети, централизованные системы хранения данных, в том числе работающие под управлением Linux. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, бэкапы системы, манипулирует размером теневого хранилища, отключает функции восстановления и исправления Windows на этапе загрузки, очищает журналы Windows (Application, System, Setup, Security), используя команды:
cipher /w %s
wbadmin.exe delete catalog -quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
schtasks.exe /Change /TN "\Microsoft\Windows\SystemRestore\SR" /disable
wevtutil.exe cl Application
wevtutil.exe cl System
wevtutil.exe cl Setup
wevtutil.exe cl Security
wevtutil.exe sl Security /e:false
fsutil.exe usn deletejournal /D C:

Отключает восстановление системы через Планировщик заданий: 
"C:\Windows\System32\schtasks.exe" /Change /TN "\Microsoft\Windows\SystemRestore\SR" /disable

Завершает 289 процессов, связанных с защитным ПО, серверами баз данных, программным обеспечением MSP, инструментами удаленного доступа и почтовыми серверами. 

Подробности о шифровании: 

Шифрование выполняется с помощью открытой библиотеки mbed TLS. После запуска генерируется 256-битный ключ, который используется для шифрования всех файлов, применяя блочный шифр AES-256 в режиме ECB. Каждую секунду генерируется новый AES-ключ, т.е. разные файлы шифруются разными AES-ключами. Каждый AES-ключ шифруется при помощи публичного RSA-4096-ключа, встроенного в код шифровальщика и прикрепляется к каждому зашифрованному файлу. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых расширений: 
.ani, .cab, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .hlp, .icl, .icns, .ico, .iso, .ics, .lnk, .idx, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rtp, .scr, .shs, .spl, .sys, .theme, .themepack, .exe, .bat, .cmd, .url, .mui,

Пропускает следующие файлы, системные и загрузочные директории: 
!TXDOT_READ_ME!.txt
ProgramFiles
ProgramW6432
iconcache.db
thumbs.db
ntldr
bootsect.bak
debug.txt
boot.ini
desktop.ini
autorun.inf
ntuser.dat
ntdetect.com
bootfont.bin
\windows\system32\
\windows\syswow64\
\windows\system\
\windows\winsxs\
\appdata\roaming\
\appdata\local\
\appdata\locallow\
\all users\microsoft\
\inetpub\logs\
\boot\
\perflogs\
\programdata\
\drivers\
и другие...

Пропускает три папки, которые ему, вероятно, нужны:
crypt_detect
cryptolocker
ransomware

Файлы, связанные с этим Ransomware:
!TXDOT_READ_ME!.txt - название файла с требованием выкупа
mspusf.exe - исполняемый файл
cipher.exe - инструмент для стирания свободного места на диске, чтобы с помощью программ для восстановления данных нельзя было ничего вернуть; 
4cae449450c07b7aa74314173c7b00d409eabfe22b86859f3b3acedd66010458.exe - случайное название вредоносного файла

ELF-файл

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Admin\AppData\Local\Temp\4cae449450c07b7aa74314173c7b00d409eabfe22b86859f3b3acedd66010458.exe

➤ Информация о названии, текст записки и другие строки из кода.

 

 

Записи реестра, связанные с этим Ransomware:
Модифицирует следующие ключи реестра: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableConfig
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR
См. ниже результаты анализов.

Мьютексы:
{5DC7D478-7E59-A370-11D2-2BF9CFE472D4}
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: txdot911@protonmail.com

Для каждой атаки и каждой новой жертвы email будет другой. 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 30 июля 2020: 

Статья на сайте BleepingComputer >>

Расширение: .K0N1M1N0

Записка: !!KONICA_MINOLTA_README!!.txt

Обновление от 2-3 сентября 2020:
Пост в Твиттере >>
Еще один образец. 
Результаты анализов: VT

Обновление от 27 октября 2020: 

Расширение: .tjpe911

Записка: !NEWS_FOR_TJPE! 

Пострадала судебная система бразильского штата Пернамбуку (Tribunal de Justiça do Estado de Pernambuco - TJPE).

Email (вероятно): tjpe911@protonmail.com

Обновление от 6 ноября 2020:

Статья от Kaspersky Lab "RansomEXX Trojan attacks Linux systems" >>
Образец для Linux есть в статье. 

Обновление без указания даты:

Сообщение >>

Вымогатели создали и стали использовать сайт публикации украденных данных. 

Обновление от 8 декабря 2020: 

Сообщение >>

Расширение: .3mbr43r

Записка: !NEWS_FOR_EMBRAER!.TXT

Email (вероятно): embraer@protonmail.com

Контакт: ссылка на Tor-сайт.

=== 2021 ===

Обновление от 5 февраля 2021:

Расширение: .MNH

Пострадавшая компания: Французская страховая компания Mutuelle Nationale des Hospitaliers (MNH)

Статья об этом инциденте >>

Сообщение вымогателей на Tor-сайте. 

Сообщение от 6 августа 2021: 

Тайваньский производитель материнских плат Gigabyte подтвердил, что подвергся кибератаке банды вымогателей RansomEXX, которая угрожает опубликовать 112 ГБ украденных данных, если не будет уплачен выкуп. Было затронуто небольшое количество серверов. 

Статья на сайте BleepingComputer >>

Сообщение от 30 сентября 2021: 

Компания Profero выпустили дешифровщик для файлов, котрый исправляет ошибкув дешифровании файлов, которую имеет оригинальный дешифровщик от вымогателей. Расшифровать файлов смогут только те, кто купил ключ дешифрования у вымогателей. 

Статья на сайте BleepingComputer >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID: 1st as RansomEXX, 2nd as Defray777 / RansomEXX)
 Write-up, Write-up, Write-up, Topic of Support
 Write-up about PyXie >>  Write-up by Kaspersky (November 6, 2020) >>

 Thanks: 
 MalwareHunterTeam, Vitali Kremez, Michael Gillespie, Bart
 Andrew Ivanov (author)
 Akhmed Taia
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.