Devos

Devos Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->


© Генеалогия: ??? >> Devos

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 

.devos

.devoscpu

Зашифрованный файл

Незашифрованный файл

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decrypt text.txt

Содержание записки о выкупе: 

问： 我的文件怎么了？

答: 糟糕，您的重要文件己加密。这意味着您将无法再访问它们，直到它们被解密。

如果您进循我们的指示，我们保证您可以快速安全地解密所有文件！

让我们开始解密！

问： 我该怎么办？

答: 首先，您需要支付解密服务费。

请犮送0.1个比特币到该比特币地址： 1CyPFUjebf2SuzAbDY5it4uacMfaBmQRCt

您的密钥: hkmkZMF4gRC4te2Og+Ib4boG+EV+Q6/er7tufBjWlXJPKoqZ/LTLra***

您的密钥和您向我们支付比特币的时间将犮送到我们的电子邮件地址： devosapp@aaathats3as.com

收到比特币后，我们会将您的解密密码和解密软件发送到您的邮箱。获取密码后，在此软件上输入密码，即可解密所有文件！

问： 我如何信任？

答: 不用担心解密。

我们肯定会解密您的文件，因为如果我们欺骗用户，没人会相信我们

Перевод записки на русский язык: 

Вопрос: Что случилось с моими файлами?

Ответ: Увы, ваши важные файлы зашифрованы. Это значит, что вы не сможете получить к ним доступ, пока они не будут расшифрованы.

Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все файлы!

Приступим к расшифровке!

Вопрос: Что мне делать?

Ответ: Во-первых, вам нужно оплатить за расшифровку.

Пожалуйста, отправьте 0.1 биткойн на этот биткойн-адрес: 1CyPFUjebf2SuzAbDY5it4uacMfaBmQRCt

Ваш ключ: hkmkZMF4gRC4te2Og+Ib4boG+EV+Q6 /er7tufBjWlXJPKoqZ/LTLra ***

Ваш ключ и время, когда вы заплатили нам биткойны, нужно отправить на наш email-адрес: devosapp@aaathats3as.com

После получения биткойнов мы отправим ваш пароль для расшифровки и программу для дешифрования на ваш email. После получения пароля введите его в этой программе, чтобы расшифровать все файлы!

В: Почему я должен доверять?

Ответ: Не беспокойтесь о расшифровке.

Мы обязательно расшифруем ваши файлы, потому что если мы обманем пользователей, нам никто не поверит

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decrypt text.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: devosapp@aaathats3as.com
BTC: 1CyPFUjebf2SuzAbDY5it4uacMfaBmQRCt
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

В некоторых случаях файлы можно расшифровать!
Сообщение Kangxiaopao >>
Нужен 360 Ransomware Decryption Tools или 360 TotalSecurity

 Read to links: 
 Message + Message 
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CryptoJoker 2020

CryptoJoker 2020 Ransomware

CryptoJoker-Nocry Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 50€ в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: CryptoJoker.exe и NoCryCryptor. Новая вариация CryptoJoker, которая появляется каждый год, начиная с 2016 года. 

---
Обнаружения:
DrWeb -> Trojan.Encoder.33011
BitDefender -> DeepScan:Generic.Ransom.Hiddentear.A.17A920E3
ALYac -> Trojan.Ransom.CryptoJoker
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CryptoJoker.C
Malwarebytes -> Ransom.CryptoJoker

Microsoft -> Ransom:MSIL/CryptJoke.B!bit
Rising -> Ransom.CryptJoke!8.EC67 (TFE*
Symantec -> ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_CryptJoke.R002C0DKA20


© Генеалогия: CryptoJoker 2016 ✂️ + EDA2 >> Executioner ⇔ CryptoJoker 2017 > ExecutionerPlus > CryptoNar (CryptoJoker 2018) > CryptoJoker 2019 > CryptoJoker 2020

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .nocry

Но используется, как в предыдущих вариантах в составе двух типов:

.partially.nocry

.fully.nocry

Одно используется для частичного шифрования файлов, другое для полного шифрования файлов. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: CryptoJoker Recovery Information.txt

Содержание записки о выкупе: 

Hello! I am NocryCrypt0r

My name is NocryCrypt0r. I have encrypted all your precious files including images, videos, songs, text files, word files and etc.  So long story short, you are screwed... but you are lucky in a way. Why is that ?? I am ransomware that leave you an unlimited amount of time to gather the money

to pay me. I am not gonna go somewhere, neither do your encrypted files.

FAQ:

1. Can i get my precious files back??

Answer: Ofcourse you can. There is just a minor detail. You have to pay to get them back.

2. Ok, how i am gonna get them back?

Answer: You have to pay 50�  in bitcoin.

3. There isn't any other way to get back my files ?

Answer: Nahhh. Just our service.

4. Ok, what i have to do then ?

Answer: Simply, you will have to pay 50�  to this bitcoin address: 1yh3eJjuXwqqXgpu8stnojm148b8d6NFQ . When time comes to send me the money, make sure to include your e-mail and your personal ID(you can see it bellow) in the extra information box (it may apper also as 'Extra Note' or 'optional message') in order to get your personal decryption key. It may take up to 6-8 hours to take your personal decryption key.

5. What the heck bitcoin is ?

Answer: Bitcoin is a cryptocurrency and a digital payment system. You can see more information here: https://en.wikipedia.org/wiki/Bitcoin . I recommend to use 'Coinbase' or 'Bitcoin Wallet' as a bitcoin wallet, if you are new to the bitcoin-wallet. Ofcourse you can pay me from whatever bitcoin wallet you want, it deosn't really matter.

6. Is there any chance to unclock my files for free ?

Answer: Not really. After 1-2 or max 3 years there is propably gonna be released a free decryptor. So if you want to wait... it's fine. As i said, i am not gonna go somewhere.

7. What i have to do after getting my decryption key ?

Answer: Simple. Just press the decryption button bellow. Enter your decryption key you received, and wait until the decryption process is done.

Your personal ID: C4BA3647178BFBFF00050***

Перевод записки на русский язык: 

Привет! Я NocryCrypt0r

Меня зовут NocryCrypt0r. Я зашифровал все ваши драгоценные файлы, включая изображения, видео, песни, текстовые файлы, word-файлы и т.д. Короче говоря, вы облажались ... но в каком-то смысле вам повезло. Почему это?? Я программа-вымогатель, которая оставляет вам неограниченное время на сбор денег заплатить мне. Я никуда не уйду, и твои зашифрованные файлы тоже.

ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:

1. Могу ли я вернуть свои драгоценные файлы?

Ответ: Конечно, можно. Небольшая деталь. Вы должны заплатить, чтобы вернуть их.

2. Хорошо, как мне их вернуть?

Ответ: Вы должны заплатить 50 евро в биткойнах.

3. Нет другого способа вернуть мои файлы?

Ответ: Неее. Просто наш сервис.

4. Хорошо, что мне тогда делать?

Ответ: Просто вам нужно будет заплатить 50 евро на этот биткойн-адрес: 1yh3eJjuXwqqXgpu8stnojm148b8d6NFQ. Когда придет время отправить мне деньги, обязательно укажите свой адрес email и свой личный ID (вы можете увидеть его ниже) в поле для дополнительной информации (оно может также отображаться как «Дополнительная заметка» или «дополнительное сообщение») в чтобы получить персональный ключ дешифрования. Получение личного ключа дешифрования может занять до 6-8 часов.

5. Что такое биткойн?

Ответ: Биткойн - это криптовалюта и цифровая платежная система. Вы можете увидеть дополнительную информацию здесь: https://en.wikipedia.org/wiki/Bitcoin. Я рекомендую использовать Coinbase или Bitcoin Wallet в качестве биткойн-кошелька, если вы новичок в биткойн-кошельке. Конечно, вы можете заплатить мне из любого биткойн-кошелька, какой захотите, это не имеет особого значения.

6. Есть ли шанс бесплатно разблокировать мои файлы?

Ответ: Не совсем. Через 1-2 или максимум 3 года, вероятно, будет выпущен бесплатный дешифратор. Так что если вы хотите подождать ... все в порядке. Как я уже сказал, я никуда не пойду.

7. Что мне делать после получения ключа дешифрования?

Ответ: просто. Просто нажмите кнопку дешифрования ниже. Введите полученный ключ дешифрования и дождитесь завершения процесса дешифрования.

Ваш личный ID: C4BA3647178BFBFF00050***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoJoker Recovery Information.txt - название файла с требованием выкупа
NoCryDecrypt0r.exe - название вредоносного файла

CryptoJoker.pdb - название оригинального файла проекта

CryptoJoker.exe - название оригинального имполняемого файла

 

 

 

Используемые названия:

CryptoJoker A.E

CryptoJokerDecryptor

CryptoJoker 2017

NoCryCryptor

NoCry

NoCryDecrypt0r

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\aguim\Desktop\CryptoJoker-master\CryptoJoker-master\CryptoJoker\obj\Debug\CryptoJoker.pdb

C:\Users\Revolution\documents\visual studio 2017\Projects\CryptoJoker\CryptoJokerGUI\obj\Debug\CryptoJoker.pdb

Примечательно, что это тот же разработчик, что и в OnyxLocker (2020). 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 1yh3eJjuXwqqXgpu8stnojm148b8d6NFQ
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoJoker 2016 Ransomware - январь 2016
Executioner Ransomware - начало июня 2017
CryptoJoker 2017 Ransomware - середина июня 2017
ExecutionerPlus Ransomware - декабрь 2017
CryptoNar (CryptoJoker 2018) Ransomware - август 2018
CryptoJoker 2019 Ransomware - сентябрь 2019
CryptoJoker 2020 Ransomware - ноябрь 2020
CryptoJoker 2021 Ransomware - октябрь 2021

CryptoJoker 2022 Ransomware - март 2022

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 ноября 2020:

Сообщение >>

Используемые расширения: .nocry

.partially.nocry

.fully.nocry

.partially@aaathats3as.com.partially.nocry

Email: partially@aaathats3as.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

В некоторых случаях файлы можно расшифровать!
Сообщение Kangxiaopao >>
Нужен 360 Ransomware Decryption Tools или 360 TotalSecurity

 Read to links: 
 Message + Message
 ID Ransomware (ID as CryptoJoker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

SifreCikis

SifreCikis Ransomware

TurkSifre-2 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $500 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Malwarebytes ->
Rising ->
Symantec ->
TrendMicro ->


© Генеалогия: SifreCozucu > SifreCikis

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение, шаблон которого можно записать как: 

.<RANDOM_PC_ID{12}>

или 

.<PC_ID{12}>

Пример такого расшиения: .E02F4934FC5A

Этимология названия:

Используемый вымогателями адрес sifrecikx7s62cjv.onion начинается на фразу "sifrecikx", это созвучно sifre cikis (по-турецки: şifre çıkış - шифр + выход). 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г., но могла бы и раньше. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***нет данных***

Содержание записки о выкупе: 

DOSYALARINIZ SIFRELENDI....

DOSYALARINIZIN SIFRESINI COZMEK ICIN.

nitas811@protonmail.com MAIL ADRESIMIZE

KONU KISMINDA PC ID'NIZ [xxxxxxxxxxxx] OLAN MAIL ATINIZ..

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

PROGRAM UCRETI : 500 $

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

MAIL ADRESIMIZDEN AYNI GUN ICINDE CEVAP ALAMAZSANIZ EGER..!

WEB SITEMIZDEN GUNCEL MAIL ADRESIMIZE ULASABILIRSINIZ..

WEB SITEMIZ : http://www.sifrecikx7s62cjv.onion

WEB SITEMIZ SADECE TOR BROWSER ILE ACILMAKTADIR..

TOR BROWSER INDIRME ADRESI : https://www.torproject.org/tr/download

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

DATA KURTARMA SERVISLERI YADA PROGRAMLARI KULLANMAK ISTERSENIZ

LUTFEN DOSYALARINIZIN YEDEGINI ALIN..

ALDIGINIZ BU YEDEKLER UZERINDEN ISLEM YAPINIZ VEYA YAPTIRINIZ.

DOSYALARINIZI SILMEYINIZ VE ISIMLERINI DEGISTIRMEYINIZ.

ASIL DOSYALARIN BOZULMASI,

VERILERINIZIN GERI DONULEMEZ SEKILDE ZARAR GORMESINE NEDEN OLACAKDIR.

Перевод записки на русский язык: 

Ваши файлы зашифрованы....

Для расшифровки ваших файлов

Пишите на наш email nitas811@protonmail.com

В теме письма укажите email адрес с PC ID[xxxxxxxxxxxx].

- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = 

Стоимость программы: 500 $

- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = 

Если вы не получите ответ с нашего email адреса в тот же день..!

Вы можете связаться с нами по email адресу на нашем веб-сайте.

Наш сайт: http://www.sifrecikx7s62cjv.onion

Наш сайт работает только с браузером Tor.

Адрес загрузки браузера Tor: https://www.torproject.org/tr/download

- = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = - = 

Если вы хотите использовать сервисы или программы восстановления данных

Пожалуйста, сделайте резервную копию ваших файлов..

Примите меры к этим резервным копиям, которые вы сделали или уже сделали.

Не удаляйте файлы и не меняйте их имена.

Повреждение исходных файлов,

приведет к необратимому повреждению ваших данных.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://www.sifrecikx7s62cjv.onion

Email-1: nitas811@protonmail.com

Email-2: niduz59@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлениеот 12 ноября 2020:

Пост на форуме >>

Расширение: .<RANDOM_PC_ID{12}>

Email: niduz59@protonmail.com

Tor-URL: http://www.sifrecikx7s62cjv.onion

➤ Содержание записки:

Dosyalariniz sifrelendi, dosyalarinizin sifresini cozmek icin.

niduz59@protonmail.com mail adresimize

Konu kisminda PC ID'niz [000A5E3E6B8C] olan mail atiniz.

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

             Program Ucreti : 500 $

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Cok fazla sikayet oldugu icin mail adreslerimiz surekli kapatilmaktadir.!

Bu yuzden mailinize 3/4 saat icinde cevap alamazsaniz

Web sitemizden guncel mail adresimize ulasabilirsiniz..

Web sitemiz : http://www.sifrecikx7s62cjv.onion

Web sitemiz sadece Tor Browser ile acilmaktadir..

Tor Browser indirme adresi : https://www.torproject.org/tr/download

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Data kurtarma servisleri yada programlari kullanmak isterseniz

Lutfen dosyalarinizin yedegini aliniz..

Aldiginiz bu yedekler uzerinde islem yapiniz veya yaptiriniz..

Dosyalarinizi silmeyiniz ve isimlerini degistirmeyiniz..

Asil dosyalarinizin bozulmasi..

VERILERINIZIN KURTARILAMAYACAK SEKILDE ZARAR GORMESINE NEDEN OLACAKDIR.

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Not : iLetisim icin lutfen FIRMA MAILINIZI kullaniniz.

Firma maili olmayan BUTUN mailler okunmadan  'SPAM' olarak isaretlenip silinmektedir..

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 quietman7
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Tripoli

Tripoli Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Tripoli ransomware. На файле написано: нет данных.
---
Обнаружения (образец от 31 марта 2021): 
DrWeb -> Trojan.Encoder.33744
BitDefender -> Trojan.GenericKD.36620265

ESET-NOD32 -> A Variant Of Win32/TrojanDownloader.Nymaim.BA

Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Malwarebytes -> Trojan.Nymaim

Microsoft -> Trojan:Win32/Vundo.gen!L

Rising -> Ransom.Encoder!8.FFD4 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> TROJ_GEN.R011C0DD421

---

© Генеалогия: ???  >> Tripoli

Изображение — логотип статьи

К зашифрованным файлам добавляется составное расширение, состоящее из сокращенного названия атакованной компании (компьютера) + слово "crypt".

Шаблон: .<company_name>crypt или .<pc_name>crypt

Пример: .bestsoftcrypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало ноября 2020 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: HOW_FIX_FILES.htm

Содержание записки о выкупе:

All files including videos, photos and documents on your computer are encrypted by Tripoli ransomware.

File decryption costs money.

In order to decrypt the files, you need to perform the following steps:

1. You should download and install this browser http://www.torproject.org/projects/torbrowser.html.en

2. After installation, run the browser and enter the address: 7v2fgph2jakawhul.onion

3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

Guaranteed recovery is provided within 10 days.

IMPORTANT INFORMATION

You should enter the personal code on the tor site.

Your Personal CODE:

E4D50***** [total 40 HEX characters]

Перевод записки на русский язык:

Все файлы, включая видео, фото и документы на вашем компьютере, зашифрованы Tripoli ransomware.

Расшифровка файлов стоит денег.

Для расшифровки файлов вам надо сделать следующие шаги:

1. Вам надо загрузить и установить этот браузер http://www.torproject.org/projects/torbrowser.html.en

2. После установки запустите браузер и введите адрес: 7v2fgph2jakawhul.onion

3. Следуйте инструкциям на сайте. Напоминаем, что чем раньше вы это сделаете, тем больше будет шансов восстановить файлы.

Гарантированное восстановление только в течении 10 дней.

ВАЖНАЯ ИНФОРМАЦИЯ

Вам надо ввести личный код на сайте tor.

Ваш личный КОД:

E4D50***** [всего 40 знаков HEX]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_FIX_FILES.htm - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 7v2fgph2jakawhul.onion

 

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов: для раннего варианта не найдены.
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант января 2021:

Пост на форуме >>

Вариант от 31 марта 2021:

Сообщение >>

Сообщение >>

Расширение (пример): .uniwinnicrypt

Расширение (шаблон): .<company_name>crypt

Записка: HOW_FIX_FILES.htm

 

Файл: SearchUI.exe

Результаты анализов: VT + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.33744

BitDefender -> Trojan.GenericKD.36620265

ESET-NOD32 -> A Variant Of Win32/TrojanDownloader.Nymaim.BA

Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen

Malwarebytes -> Trojan.Nymaim

Microsoft -> Trojan:Win32/Vundo.gen!L

Rising -> Ransom.Encoder!8.FFD4 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

TrendMicro -> TROJ_GEN.R011C0DD421

*** пропущенные варианты ***

Вариант от 7 декабря 2021:

Расширение: .Cat4er

Записка: HOW_FIX_FILES.htm

➤ Содержание записки: 

Hello

All files including videos, photos and documents on your computer are encrypted by Cat4er ransomware.

File decryption costs money.

In order to decrypt the files, you need to perform the following steps:

1. You should download and install this browser: https://www.torproject.org/download/

2. After installation, run the browser and enter the address: b6eiwvxyjjsiesbtimdyaif6dzmnxepq5ye7j4g6tejw3k56fqehrbyd.onion

3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

Guaranteed recovery is provided within 10 days.

IMPORTANT INFORMATION

You should enter the personal code on the tor site.

Your Personal CODE:

CCD001*** [всего 40 знаков HEX]

---

Скриншоты с сайта вымогателей

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + myTweet
 ID Ransomware (ID as Tripoli)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, PolarToffee
 Andrew Ivanov (article author)
 quietman7
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.