Если вы не видите здесь изображений, то используйте VPN.

пятница, 8 января 2021 г.

Hello (WickrMe)

Hello (WickrMe) Ransomware

Variants: Hello, Strike, Hemming

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email-адреса вымогателей или связаться с ними с помощью мессенджера WickrMe, чтобы узнать как купить ключ и программу для дешифрования файлов. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->

---

© Генеалогия: ??? >> Hello (WickrMe)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .hello


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
---

Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: Readme!!!.txt


Содержание записки о выкупе: 
Oops, some files in your computer are encrypted! If you want to decrypt these files, you need to contact me and pay some fees. Then, I will give the decryption key and software.
File Name Extension:
.hello
Contact Emails:
CandieTodd@tutanota.com
KevinDeloach@protonmail.com
Contact WickrMe Usernames:
candietodd
kevindeloach
Warning, please send mail to all mailboxes at the same time. If the email does not reply within 48 hours, please use WickrMe to contact me.
If you contact a security or data company and cause my account is blocked, you will never be able to decrypt these files.
Encrypted UUID: c4969e38-0fb2-47ab-b3f4-7cfa4ebed***

Перевод записки на русский язык: 
Упс, некоторые файлы на вашем компьютере зашифрованы! Если вы хотите расшифровать эти файлы, вам нужно написать мне и заплатить некоторую плату. Затем я дам ключ дешифрования и программу.
Расширение файла:
.hello
Контактные email-адреса:
CandieTodd@tutanota.com
KevinDeloach@protonmail.com
Связь в WickrMe. Имя пользователя:
candietodd
kevindeloach
Внимание, отправьте письма сразу на все почтовые ящики. Если email не ответит за 48 часов, используйте WickrMe для связи со мной.
Если вы напишите в компанию по безопасности или данным и мой аккаунт блокируют, вы никогда не сможете расшифровать эти файлы.
Шифрованный UUID: c4969e38-0fb2-47ab-b3f4-7cfa4ebed***


Кроме того используется спеицальный файл list.hello, в котором есть список зашифрованных файлов.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1
---

Список файловых расширений, подвергающихся шифрованию:
В одном из списков зашифрованными оказались файлы с расширениями 
.csv, .db, .db-shm, .db-wal, .doc, .docx, .mydocs, .pdf, .rar, .rptproj, .sql, .sqlite, .tar.gz, .txt, .xls, .xlsx, .zip

Это говорит о том, что среди зашифрованных наверняка будут документы MS Office, PDF, текстовые файлы, базы данных, фотографии, файлы проектов, архивы и пр. 

Файлы, связанные с этим Ransomware:
Readme!!!.txt - название файла с требованием выкупа; 
list.hello - файл со списком зашифрованных файлов; 
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: CandieTodd@tutanota.com, KevinDeloach@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 января 2021:
Расширение: .strike
Записка: Readme!!!.txt
Email: KellyReiff@tutanota.com, AsaUribe@tutanota.com



Вариант от 7 февраля 2021: 
Расширение: .strike
Записка: Readme!!!.txt
Email: SheilaBeasley@tutanota.com, CarolynDixon@tutanota.com



Вариант от 16 марта 2021 (предположительное родство): 
Расширение: .hemming
Записка: HOW_TO_RESTORE_FILES.TXT
Email: SeanHemming@tutanota.com
JeremyCampbel@protonmail.com


➤ Содержание записки: 
Now your files are crypted with RSA and AES.
No one can help you to restore files without our special decryptor.
Repair tools are useless and can destroy your files irreversibly.
If you want to restore your files write to emails (contacts are at the bottom of the sheet) and attach 2-3 encrypted files (Less than 5 Mb each and your files should not contain valuable information (Databases, backups, large excel sheets, etc.)).
You will receive decrypted samples and our conditions how to get the decryptor.
Please don't forget to write the encrypted UUID of your company in the subject of your e-mail.
The final price depends on how fast you write to us.
Every day of delay will cost you additional $10,000.
UUID:
fb7f1846058-00b2-4e4b-af6c-93c57032154f
extension:
.hemming
contact emails:
SeanHemming@tutanota.com
or
JeremyCampbel@protonmail.com





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as Hello (WickrMe))
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author)
 quietman7, Michael Gillespie
 Samario
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

среда, 6 января 2021 г.

DEcovid19

DEcovid19 Ransomware

Covid19 Ransomware

Aliases: DeCovid19, BitchLock, Noputana, RapidRunDll

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные серверов с помощью AES+RSA, а затем требует выкуп в 0.15 BTC или больше, чтобы вернуть файлы. Оригинальное название: DEcovid19 (указано в контакте Telegram). На файле написано: noputana.exe, FTS.exe, noputana.exe, RunAsDll.exe или что-то еще. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33439 + Win32.HLLP.Neshta, Trojan.Encoder.33445
BitDefender ->Gen:Heur.Ransom.REntS.Gen.1, Gen:Variant.Bulz.103956
Avira (no cloud) -> HEUR/AGEN.1128003, TR/Ransom.rdobz
ESET-NOD32 -> A Variant Of Win32/Filecoder.Rapid.E, A Variant Of MSIL/Filecoder.ACK
Kaspersky -> HEUR:Trojan.Win32.Generic, HEUR:Trojan-Ransom.MSIL.Gen.gen
Malwarebytes -> Generic.Malware/Suspicious, Trojan.Dropper
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:MSIL/CobraLocker.DE!MTB
Rising -> Trojan.Generic@ML.94 (RDMK:f0J*, Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09AU21, Ransom_Gen.R002C0WB321
---

© Генеалогия: Rapid, Rapid NextGen >> DEcovid19, RapidRunDll

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.covid19
.locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записки с требованием выкупа называются: 
!DECRYPT_FILES.txt 
ATTENTION!!!.txt 


Содержание 1-й записки о выкупе:
I am the second wave of COVID19, now we infect even PCs. But unlike the human virus, there is a vaccine, but you have to buy it! =)
*
Attention!
Please read these important instructions.
All your content, files, photos, documents, databases, and other important files are encrypted.
All encrypted files have the extension: .covid19.
This is all very sad.
The only way to recover files is to buy a unique private key.
Only we can give you this key and only we can restore your files.
*
!!!!! For decryption, please contact us at Telegram messadger operator contact, follow the instructions below:
*
[1] - Install Telegram.
[2] - Telegram browser download link - > https://telegram.org/     
[3] - send operator contact hxxxs://t.me/decovid19bot
[4] - enter your (Covid version) and (ID) in the subject line. And how many computers need to be decrypted. (Covid version) and (ID) at the bottom of the message.Attach 1-2 infected files that do not contain important information (less than 2 MB) necessary for generating the decoder and restoring the test file.
[5] - hurry up.Time is limited.Attention. (72 hours).
[6] - if you do not pay within 72 hours, the ransom for decryption will be doubled.
[7] - we don't bite. We are waiting for your emails.
*
[**] Covid Version : 700001
!!!If you contact a file decryption company, they usually trick you, they just write to us and negotiate a ransom. And you only pay them for what they wrote to us. Remember, only we can decrypt the files, and no one can help you! Don't waste your time trying to decipher it, it's impossible without our help. And in 72 hours, the ransom will become even more expensive.
The police won't help you either!
[ * ] Is the ID = .
BJMT2WF17TC***

Перевод 1-й записки на русский язык:
Я вторая волна COVID19, теперь мы заражаем даже ПК. Но в отличие от человеческого вируса, вакцина есть, но ее нужно купить! =)
*
Внимание!
Пожалуйста, прочтите эти важные инструкции.
Весь ваш контент, файлы, фото, документы, базы данных и другие важные файлы зашифрованы.
Все зашифрованные файлы имеют расширение: .covid19.
Это все очень печально.
Единственный способ восстановить файлы - это купить уникальный закрытый ключ.
Только мы можем предоставить вам этот ключ и только мы можем восстановить ваши файлы.
*
!!!!! Для расшифровки свяжитесь с нами по контакту оператора мессенджера Telegram, следуя инструкциям ниже:
*
[1] - Установить Telegram.
[2] - Ссылка для скачивания браузера Telegram -> https://telegram.org/
[3] - отправить контакт оператора hxxxs://t.me/decovid19bot
[4] - введите свою (версию Covid) и (ID) в теме письма. И сколько компьютеров нужно расшифровать. (Версия Covid) и (ID) внизу сообщения. Прикрепите 1-2 зараженных файла, не содержащих важной информации (менее 2 МБ), необходимой для генерации декодера и восстановления тестового файла.
[5] - поторопитесь. Время ограничено. Внимание. (72 часа).
[6] - если вы не оплатите в течение 72 часов, выкуп за расшифровку будет удвоен.
[7] - не кусаемся. Ждем ваших писем.
*
[**] Версия Covid: 700001
!!! Если вы обратитесь в компанию по расшифровке файлов, они обычно обманывают вас, они просто пишут нам и договариваются о выкупе. И вы платите им только за то, что они нам написали. Помните, только мы можем расшифровать файлы, и никто не сможет вам помочь! Не тратьте время на его расшифровку, без нашей помощи это невозможно. А через 72 часа выкуп станет еще дороже.
Полиция тебе тоже не поможет!
[*] Это ID =.
BJMT2WF17TC ***


Содержание 2-й записки о выкупе: 
You are unlucky. The terrible virus has captured your files. 
For decryption, please contact us at 
Telegram messadger operator contact hxxx://t.me/decovid19bot ,
Enter your ID in the subject line. And how many computers need to be decrypted. 
Attach 1-2 infected files that do not contain importent information (less thet 2mb) 
are required to generate the decoder and restore the test file.
Hurry up.Time is limited.Attention. (72 hours)
At the end of this time,the private key for generating 
the decoder will de destroyed. Files will not be restored.
Your id: 370A3624-5C8C-481D-9E0D-358748663***


Перевод 2-й записки о выкупе: 
Вам не повезло. Ужасный вирус захватил ваши файлы.
Для расшифровки свяжитесь с нами по адресу
Контакты оператора мессенджера Telegram hxxx://t.me/decovid19bot,
Введите свой ID в теме письма. И сколько компьютеров нужно расшифровать.
Прикрепите 1-2 зараженных файла, не содержащих важной информации (не более 2 МБ)
требуются для генерации декодера и восстановления тестового файла.
Поторопись. Время ограничено. Внимание. (72 часа)
По истечении этого времени закрытый ключ для генерации декодера будет уничтожен. Файлы не будут восстановлены.
Ваш id: 370A3624-5C8C-481D-9E0D-358748663***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!DECRYPT_FILES.txt - название 1-го файла с требованием выкупа; 
ATTENTION!!!.txt - название 2-го файла с требованием выкупа; 
FTS.exe, noputana.exe, RunAsDll.exe - названия вредоносных файлов;
noputana.exe - название вредоносного файла;
svchost.com - название вредоносного файла;
local_enc_private_key;
local_public_key_len;
userkey.dat - файл с ID;
!DECRYPT_FILES.txt.locked - в некоторых случаях шифруется даже собственный файл !DECRYPT_FILES.txt, но оставляется ATTENTION!!!.txt

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
O:\FileLocker-master\RunDll_4\obj\Debug\RunAsDll.pdb

Записи реестра, связанные с этим Ransomware:
HKU\S-1-5-21-***-1000\Software\Microsoft\Windows\CurrentVersion\Run\HelloAV
HKU\S-1-5-21-***-1000\Software\Microsoft\Windows\CurrentVersion\Run\WelcomeBack
HKU\S-1-5-21-***-1000\Software\EncryptKeys\local_enc_private_key
HKU\S-1-5-21-***-1000\Software\EncryptKeys\local_public_key_len
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: hxxx://t.me/decovid19bot


Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis: VT> VT> VT>
𝚺  VirusTotal analysis RapidRunDll >>  MD5: 22aa5c5cdabeae3b53f8cc1fe0b0b3d9
🐞 Intezer analysis DEcovid19 >>
🐞 Intezer analysis RapidRunDll >> MD5: 22aa5c5cdabeae3b53f8cc1fe0b0b3d9
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 22 февраля 2021: 
Расширение: .bitchlock
Telegram: hxxx://t.me/iHELPdecodebot
Email: Cris_Horth@protonmail.com 
Записка: !DECRYPT_FILES.txt


➤ Содержание записки: 
Don't worry, all files can be recovered. 
Attention! 
Please read these important instructions. 
All your content, files, photos, documents, databases, and other important files are encrypted. 
All encrypted files have the extension: .bitchlock 
This is all very sad. 
The only way to recover files is to buy a unique private key. 
Only we can give you this key and only we can restore your files. 
!!!!! For decryption, please contact us at Telegram messadger operator contact, follow the instructions below: 
[1] - Install Telegram. 
[2] - Telegram browser download link - > https://telegram.org/   
[3] - send operator contact hxxx://t.me/iHELPdecodebot
[3.1] If you don't get a response right away, don't worry, the  operator  bot is not broken, messages are handled manually, it can take anywhere from 1 minute to 6 hours to respond due to time zone differences.  
[4] - enter your (ID version) and (*ID PC) in the subject line. And how many computers need to be decrypted. (ID version) and (*ID PC) at the bottom of the message.Attach 1-2 infected files that do not contain important information (less than 2 MB) necessary for generating the decoder and restoring the test file. 
[5] - hurry up.Time is limited.Attention. (72 hours).  
[6] - if you do not pay within 72 hours, the ransom for decryption will be doubled.  
[7] - we don't bite. We are waiting for your emails. 
[8] - If you don't have Telegram, we have an Email for you at Cris_Horth@protonmail.com 
!!!!! If you do not get an answer right away, do not worry because of the possible difference in time zones, the answer can take up to 12 hours. 
!!!If you contact a file decryption company, they usually trick you, they just write to us and negotiate a ransom. And you only pay them for what they wrote to us. Remember, only we can decrypt the files, and no one can help you! Don't waste your time trying to decipher it, it's impossible without our help. And in 72 hours, the ransom will become even more expensive. 
The police won't help you either! 
[*] ID version : 7007007 
[**] Your ID =ZVWM3CLMLY25DN


Вариант от 16 марта 2021: 
Расширение: .lock
Имя файл меняется на случайные 10 символов в верхнем регистре, например: SPW5FPAZ41.lock
Записка: !!!_FILES_RECOVERY.txt
BTC: 3EPqX7yo8kkT9WTNwbnwwMkgxfR48eRRq4
Telegram: hxxx://t.me/decovid19bot 
Файл: noputana.exe
Результаты анализов: IOS: VT, TG
MD5: bcd0cf45d8a8b16efc9970d3c02b93e7



Вариант от 4 мая 2021: 
Расширение: .bumcoder
Записка: !DECRYPT_FILES.txt
Telegram: hxxx://t.me/iHELPdecodebot
Email: Cris_Horth@protonmail.com 



Вариант от 22 июня 2021:
Файлы можно расшифровать, обращайтесь к Майклу по ссылке >>
Расширение: .snoopdog
Записка: !DECRYPT_FILES.txt
Telegram: @SENDMYiDbot
Tor-URL: contactya3ry35pb.onion
Мьютекс: ZASKRINILPIDORAS
Результаты анализов: IOS: VT, IA
MD5: d9589a925b3d963c4861ce95e6ec653f
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34070
BitDefender -> Gen:Trojan.Heur.GZ.gqW@bCv8gdj
ESET-NOD32 -> A Variant Of Win32/Filecoder.Rapid.E



Вариант от 27 июня 2021: 
Записка: !DECRYPT_FILES.txt
Расширение зашифрованных файлов меняется на .jpg
Оригинальные названия файлов переименовываются. 
Jabber: otp_crypte@exploit.im
Email: otpcrypte@protonmail.com


Результаты анализов: IOS: VT, IA
MD5: b8cdac3c9c1d7f00ee659d0ee365c5d7
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.34090
BitDefender -> Generic.Ransom.Rapid2.82931C8C
ESET-NOD32 -> A Variant Of Win32/Filecoder.Rapid.E
Microsoft -> Trojan:Win32/Wacatac.B!ml
TrendMicro -> TrojanSpy.Win32.RAPID.USMANFS21


Вариант от 5 августа 2021: 
Записка: !DECRYPT_FILES.txt
Расширение зашифрованных файлов меняется на .jpg
Оригинальные названия файлов переименовываются. 
Jabber: otp_crypte@exploit.im
Email: systems32x@gmail.com


Результаты анализов: IOS: VT, HA
MD5: 35d152ed15b3843fb2ef68e5d02eebe5




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно расшифровать!
Для этого пишите в тему поддержки >> 
Attention! Encrypted files can be decrypted!
Get personal decrypt in the Support Topic >>
 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as DEcovid19, RapidRunDll)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (article author), S!Ri
 Michael Gillespie
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

вторник, 5 января 2021 г.

Judge

Judge Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Classico.exe
---
Обнаружения:
DrWeb -> Trojan.Siggen11.57428
BitDefender -> Gen:Variant.MSILHeracles.9049
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> HEUR/AGEN.1136145
ESET-NOD32 -> A Variant Of MSIL/Injector.PKW
Kaspersky -> HEUR:Trojan-Ransom.MSIL.GenericCryptor.gen
Malwarebytes -> ***
Microsoft -> Trojan:Win32/Ymacco.AA73
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_GenericCryptor.R002C0PAD21
---

© Генеалогия: SYSDOWN + Stupid >> Judge

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .judge

Фактически используется составное расширение по шаблону: .[judgemebackup@tutanota.com].judge 

Пример такого файла: 1.jpg.[judgemebackup@tutanota.com].judge

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: info.txt


Содержание записки о выкупе: 
If you access this page so your device has been encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted, Maybe you are busy looking for a way to recover your files, but do not waste your time. NOBODY can recover your files without our decryption service.
How Recover My Files?
Sure, We guarantee that you can recover all your files safely and easily, But you have not so enough time,
After the end of the specified time, which is listed below, the price will be raised to double the specified amount
Speed is required, We will close all our accounts after a certain period, so you will never be able to retrieve your files if u late.
How To Pay?
Only one payment is accepted (Bitcoin)
Please check the current price of Bitcoin and buy some bitcoins
And send the correct amount to the address
After payment
After you send the specified amount to the Bitcoin wallet immediately,
click on Contact Us and send us an email with the ID of your device and the transfer number for the bitcoins
---------------------------------------------
YOUR DEVICE ID: admin_703E6FEDDC9B
BTC Address: 1M3EDJdQtPNY5t2nHAeRTgQRFDu2U6QNCG
BTC Price: 100$
E-Mail: judgemebackup@tutanota.com
Telegram: @judgebackup
---------------------------------------------
What happened to my device?
If you access this page so your device has been encrypted.
Many of your documents, photos, videos, databases and other files are no longer
accessible because they have been encrypted, Maybe you are busy looking for a way to recover
your files, but do not waste your time. NOBODY can recover your files without our decryption service.
How Recover My Files?
Sure, We guarantee that you can recover all your files safely and easily, But you have not so enough time,
After the end of the specified time, which is listed below, the price will be raised to double the specified amount
Speed is required, We will close all our accounts after a certain period, so you will never be able to retrieve your files if u late.
How To Pay?
Only one payment is accepted (Bitcoin)
Please check the current price of Bitcoin and buy some bitcoins
And send the correct amount to the address
After payment
After you send the specified amount to the Bitcoin wallet immediately,
click on Contact Us and send us an email with the ID of your device and the transfer number for the bitcoins

Перевод записки на русский язык: 
Если вам доступна эта страница, значит, ваше устройство зашифровано.
Многие из ваших документов, фото, видео, базы данных и другие файлы недоступны, потому что они зашифрованы. Возможно, вы ищете способ восстановить свои файлы, но не тратьте зря время. НИКТО не может восстановить ваши файлы без нашей службы дешифрования.
Как восстановить мои файлы?
Конечно, мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы, но у вас мало времени,
По истечении указанного времени, указанного ниже, цена увеличится в два раза выше указанной суммы.
Торопитесь. Мы закроем все наши учетные записи через определенный период, поэтому вы никогда не сможете восстановить свои файлы, если опоздаете.
Как платить?
Принимается только один платеж (биткойн)
Проверьте текущую цену биткойнов и купите биткойны
И отправьте правильную сумму на адрес
После оплаты
После того, как вы немедленно отправите указанную сумму на биткойн-кошелек,
нажмите "Contact Us" и отправьте нам email с ID вашего устройства и номером перевода биткойнов.
---------------------------------------------
ID ВАШЕГО УСТРОЙСТВА: admin_703E6FEDDC9B
Адрес BTC: 1M3EDJdQtPNY5t2nHAeRTgQRFDu2U6QNCG
Цена BTC: 100 $
Email: judmebackup@tutanota.com
Телеграмма: @judgebackup
---------------------------------------------
Что случилось с моим устройством?
Если вам доступна эта страница, значит, ваше устройство зашифровано.
Многие из ваших документов, фото, видео, базы данных и другие файлы недоступны, потому что они зашифрованы. Возможно, вы ищете способ восстановить ваши файлы, но не тратьте время зря. НИКТО не может восстановить ваши файлы без нашей службы дешифрования.
Как восстановить мои файлы?
Конечно, мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы, но у вас мало времени,
По истечении указанного времени, указанного ниже, цена увеличится в два раза выше указанной суммы.
Торопитесь. Мы закроем все наши учетные записи через определенный период, поэтому вы никогда не сможете восстановить свои файлы, если опоздаете.
Как платить?
Принимается только один платеж (биткойн)
Проверьте текущую цену биткойнов и купите биткойны
И отправьте правильную сумму на адрес
После оплаты
После того, как вы немедленно отправите указанную сумму на биткойн-кошелек,
нажмите "Contact Us" и отправьте нам email с ID вашего устройства и номером перевода биткойнов.z


Другим информатором жертвы выступает экран блокировки:


Часть текста совпадает с тем, что есть в текстовой записке. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Использует, к позору Microsoft, технологии PowerShell, WScript, CMD для выполнения вредоносных команд и запуска шифрования: 
%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe -ExecutionPolicy Bypass -command Copy-Item <Full path to file>

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
info.txt - название файла с требованием выкупа
Classico.exe - название вредоносного файла
Использует IntelliLock Packer для защита файла от исследования. 


Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\%Namee%
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: judgemebackup@tutanota.com
Telegram: @judgebackup
BTC: 1M3EDJdQtPNY5t2nHAeRTgQRFDu2U6QNCG
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Stupid)
 Write-up, Topic of Support
 * 
 Thanks: 
 Kangxiaopao
 Andrew Ivanov (article author)
 Michael Gillespie
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *