Bonsoir

Bonsoir Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на NAS-устройствах с помощью AES-256 (режим CFB), а затем требует выкуп в 0.045 BTC (или больше), чтобы вернуть файлы. Оригинальное название: Bonsoir Ransomware. Дешифровщик написан на языке Go.  
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Bonsoir

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .bonsoir


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW-RECOVER-MY-FILES.txt

Содержание записки о выкупе:

  .::: Bonsoir Ransomware :::.

~ We have to notify you that your device has been infected and all of your files are encrypted ~

~ This means you can not access any of your files without purchasing the "Bonsoir Decryptor" from us ~

The decryption solution is easy:

To buy decryptor instantly, you must visit our website using the TOR BROWSER!

1. Download and install the Tor browser on your computer: https://www.torproject.org/download/

2. Visit the our website with Tor browser: 5w4okefqrb66br3ibnb573ac7ds77buxtjxozhvvnbs4wy6cqmwhsyad.onion/login/*

3. Enter Login-Code: 

096573B4F67B03BF6C37381205ED517BE432ECD7DA [всего 512 знаков]

4. Takes the necessary steps by following the instructions provided on the our website.

5. We look forward to seeing you on cold winter nights.

Перевод записки на русский язык:

  .::: Bonsoir Ransomware :::.

~ Мы должны сообщить вам, что ваше устройство заражено и все ваши файлы зашифрованы ~

~ Это означает, что вы не можете получить доступ ни к одному из своих файлов, не купив у нас "Bonsoir Decryptor" ~

Решение расшифровки простое:

Чтобы купить дешифратор немедленно, вам надо посетить наш сайт, используя TOR БРАУЗЕР!

1. Загрузите и установите Tor-браузер на ваш компьютер: https://www.torproject.org/download/

2. Посетите наш веб-сайт с Tor-браузером: 5w4okefqrb66br3ibnb573ac7ds77buxtjxozhvvnbs4wy6cqmwhsyad.onion/login/*

3. Введите Логин-Код:

096573B4F67B03BF6C37381205ED517BE432ECD7DA [всего 512 знаков]

4. Сделайте необходимые шаги, следуя инструкциям на нашем веб-сайте.

5. Мы будем ждем вас холодными зимними ночами.

Скриншот с Tor-сата вымогателей:

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 
---

Атакует только NAS-устройства, используя их многочисленные уязвимости.  

Целевые устройства: QNAP-420 NAS и другие. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW-RECOVER-MY-FILES.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

decryptor.exe - Bonsoir Decryptor - оригинальный дешифровщик

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:/Users/Admin/go/src/LinuxDecrypt/Test/main.go

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://5w4okefqrb66br3ibnb573ac7ds77buxtjxozhvvnbs4wy6cqmwhsyad.onion/***

Email: - 
BTC: 1PZsqzRY8mwqs5VtZfCdeUmX33c2WjaV9o
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis (decryptor.exe) >>
🐞 Intezer analysis (decryptor.exe) >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 января 2021:

Топик на форуме >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание, оригинальный дешифровщик работает некорректно!
Если вы заплатили выкуп, но не можете расшифровать файлы, 
то обратитесь за помощью на форум по этой ссылке >>
***

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as Bonsoir)
 Write-up, Topic of Support
 * 

 Thanks: 
 Emmanuel_ADC-Soft, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Hello (WickrMe)

Hello (WickrMe) Ransomware

Variants: Hello, Strike, Hemming

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует написать на email-адреса вымогателей или связаться с ними с помощью мессенджера WickrMe, чтобы узнать как купить ключ и программу для дешифрования файлов. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Hello (WickrMe)

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .hello


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
---

Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: Readme!!!.txt

Содержание записки о выкупе: 

Oops, some files in your computer are encrypted! If you want to decrypt these files, you need to contact me and pay some fees. Then, I will give the decryption key and software.

File Name Extension:

.hello

Contact Emails:

CandieTodd@tutanota.com

KevinDeloach@protonmail.com

Contact WickrMe Usernames:

candietodd

kevindeloach

Warning, please send mail to all mailboxes at the same time. If the email does not reply within 48 hours, please use WickrMe to contact me.

If you contact a security or data company and cause my account is blocked, you will never be able to decrypt these files.

Encrypted UUID: c4969e38-0fb2-47ab-b3f4-7cfa4ebed***

Перевод записки на русский язык: 

Упс, некоторые файлы на вашем компьютере зашифрованы! Если вы хотите расшифровать эти файлы, вам нужно написать мне и заплатить некоторую плату. Затем я дам ключ дешифрования и программу.

Расширение файла:

.hello

Контактные email-адреса:

CandieTodd@tutanota.com

KevinDeloach@protonmail.com

Связь в WickrMe. Имя пользователя:

candietodd

kevindeloach

Внимание, отправьте письма сразу на все почтовые ящики. Если email не ответит за 48 часов, используйте WickrMe для связи со мной.

Если вы напишите в компанию по безопасности или данным и мой аккаунт блокируют, вы никогда не сможете расшифровать эти файлы.

Шифрованный UUID: c4969e38-0fb2-47ab-b3f4-7cfa4ebed***

Кроме того используется спеицальный файл list.hello, в котором есть список зашифрованных файлов.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 
---

Список файловых расширений, подвергающихся шифрованию:
В одном из списков зашифрованными оказались файлы с расширениями .csv, .db, .db-shm, .db-wal, .doc, .docx, .mydocs, .pdf, .rar, .rptproj, .sql, .sqlite, .tar.gz, .txt, .xls, .xlsx, .zip

Это говорит о том, что среди зашифрованных наверняка будут документы MS Office, PDF, текстовые файлы, базы данных, фотографии, файлы проектов, архивы и пр. 

Файлы, связанные с этим Ransomware:
Readme!!!.txt - название файла с требованием выкупа; 

list.hello - файл со списком зашифрованных файлов; 
<random>.exe - случайное название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: CandieTodd@tutanota.com, KevinDeloach@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 28 января 2021:

Сообщение >>

Расширение: .strike
Записка: Readme!!!.txt

Email: KellyReiff@tutanota.com, AsaUribe@tutanota.com

Вариант от 7 февраля 2021: 

Сообщение >>

Расширение: .strike
Записка: Readme!!!.txt

Email: SheilaBeasley@tutanota.com, CarolynDixon@tutanota.com

Вариант от 16 марта 2021 (предположительное родство): 

Расширение: .hemming

Записка: HOW_TO_RESTORE_FILES.TXT

Email: SeanHemming@tutanota.com

JeremyCampbel@protonmail.com

➤ Содержание записки: 

Now your files are crypted with RSA and AES.

No one can help you to restore files without our special decryptor.

Repair tools are useless and can destroy your files irreversibly.

If you want to restore your files write to emails (contacts are at the bottom of the sheet) and attach 2-3 encrypted files (Less than 5 Mb each and your files should not contain valuable information (Databases, backups, large excel sheets, etc.)).

You will receive decrypted samples and our conditions how to get the decryptor.

Please don't forget to write the encrypted UUID of your company in the subject of your e-mail.

The final price depends on how fast you write to us.

Every day of delay will cost you additional $10,000.

UUID:

fb7f1846058-00b2-4e4b-af6c-93c57032154f

extension:

.hemming

contact emails:

SeanHemming@tutanota.com

or

JeremyCampbel@protonmail.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as Hello (WickrMe))
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 quietman7, Michael Gillespie
 Samario
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DEcovid19

DEcovid19 Ransomware

Covid19 Ransomware

Aliases: DeCovid19, BitchLock, Noputana, RapidRunDll

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные серверов с помощью AES+RSA, а затем требует выкуп в 0.15 BTC или больше, чтобы вернуть файлы. Оригинальное название: DEcovid19 (указано в контакте Telegram). На файле написано: noputana.exe, FTS.exe, noputana.exe, RunAsDll.exe или что-то еще. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33439 + Win32.HLLP.Neshta, Trojan.Encoder.33445
BitDefender ->Gen:Heur.Ransom.REntS.Gen.1, Gen:Variant.Bulz.103956
Avira (no cloud) -> HEUR/AGEN.1128003, TR/Ransom.rdobz
ESET-NOD32 -> A Variant Of Win32/Filecoder.Rapid.E, A Variant Of MSIL/Filecoder.ACK
Kaspersky -> HEUR:Trojan.Win32.Generic, HEUR:Trojan-Ransom.MSIL.Gen.gen
Malwarebytes -> Generic.Malware/Suspicious, Trojan.Dropper
Microsoft -> Trojan:Win32/Wacatac.B!ml, Ransom:MSIL/CobraLocker.DE!MTB
Rising -> Trojan.Generic@ML.94 (RDMK:f0J*, Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002H09AU21, Ransom_Gen.R002C0WB321
---

© Генеалогия: Rapid, Rapid NextGen >> DEcovid19, RapidRunDll

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 

.covid19

.locked

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записки с требованием выкупа называются: 
!DECRYPT_FILES.txt 

ATTENTION!!!.txt 

Содержание 1-й записки о выкупе:

I am the second wave of COVID19, now we infect even PCs. But unlike the human virus, there is a vaccine, but you have to buy it! =)

*

Attention!

Please read these important instructions.

All your content, files, photos, documents, databases, and other important files are encrypted.

All encrypted files have the extension: .covid19.

This is all very sad.

The only way to recover files is to buy a unique private key.

Only we can give you this key and only we can restore your files.

*

!!!!! For decryption, please contact us at Telegram messadger operator contact, follow the instructions below:

*

[1] - Install Telegram.

[2] - Telegram browser download link - > https://telegram.org/     

[3] - send operator contact hxxxs://t.me/decovid19bot

[4] - enter your (Covid version) and (ID) in the subject line. And how many computers need to be decrypted. (Covid version) and (ID) at the bottom of the message.Attach 1-2 infected files that do not contain important information (less than 2 MB) necessary for generating the decoder and restoring the test file.

[5] - hurry up.Time is limited.Attention. (72 hours).

[6] - if you do not pay within 72 hours, the ransom for decryption will be doubled.

[7] - we don't bite. We are waiting for your emails.

*

[**] Covid Version : 700001

!!!If you contact a file decryption company, they usually trick you, they just write to us and negotiate a ransom. And you only pay them for what they wrote to us. Remember, only we can decrypt the files, and no one can help you! Don't waste your time trying to decipher it, it's impossible without our help. And in 72 hours, the ransom will become even more expensive.

The police won't help you either!

[ * ] Is the ID = .

BJMT2WF17TC***

Перевод 1-й записки на русский язык:

Я вторая волна COVID19, теперь мы заражаем даже ПК. Но в отличие от человеческого вируса, вакцина есть, но ее нужно купить! =)

*

Внимание!

Пожалуйста, прочтите эти важные инструкции.

Весь ваш контент, файлы, фото, документы, базы данных и другие важные файлы зашифрованы.

Все зашифрованные файлы имеют расширение: .covid19.

Это все очень печально.

Единственный способ восстановить файлы - это купить уникальный закрытый ключ.

Только мы можем предоставить вам этот ключ и только мы можем восстановить ваши файлы.

*

!!!!! Для расшифровки свяжитесь с нами по контакту оператора мессенджера Telegram, следуя инструкциям ниже:

*

[1] - Установить Telegram.

[2] - Ссылка для скачивания браузера Telegram -> https://telegram.org/

[3] - отправить контакт оператора hxxxs://t.me/decovid19bot

[4] - введите свою (версию Covid) и (ID) в теме письма. И сколько компьютеров нужно расшифровать. (Версия Covid) и (ID) внизу сообщения. Прикрепите 1-2 зараженных файла, не содержащих важной информации (менее 2 МБ), необходимой для генерации декодера и восстановления тестового файла.

[5] - поторопитесь. Время ограничено. Внимание. (72 часа).

[6] - если вы не оплатите в течение 72 часов, выкуп за расшифровку будет удвоен.

[7] - не кусаемся. Ждем ваших писем.

*

[**] Версия Covid: 700001

!!! Если вы обратитесь в компанию по расшифровке файлов, они обычно обманывают вас, они просто пишут нам и договариваются о выкупе. И вы платите им только за то, что они нам написали. Помните, только мы можем расшифровать файлы, и никто не сможет вам помочь! Не тратьте время на его расшифровку, без нашей помощи это невозможно. А через 72 часа выкуп станет еще дороже.

Полиция тебе тоже не поможет!

[*] Это ID =.

BJMT2WF17TC ***

Содержание 2-й записки о выкупе: 

You are unlucky. The terrible virus has captured your files. 

For decryption, please contact us at 

Telegram messadger operator contact hxxx://t.me/decovid19bot ,

Enter your ID in the subject line. And how many computers need to be decrypted. 

Attach 1-2 infected files that do not contain importent information (less thet 2mb) 

are required to generate the decoder and restore the test file.

Hurry up.Time is limited.Attention. (72 hours)

At the end of this time,the private key for generating 

the decoder will de destroyed. Files will not be restored.

Your id: 370A3624-5C8C-481D-9E0D-358748663***

Перевод 2-й записки о выкупе: 

Вам не повезло. Ужасный вирус захватил ваши файлы.

Для расшифровки свяжитесь с нами по адресу

Контакты оператора мессенджера Telegram hxxx://t.me/decovid19bot,

Введите свой ID в теме письма. И сколько компьютеров нужно расшифровать.

Прикрепите 1-2 зараженных файла, не содержащих важной информации (не более 2 МБ)

требуются для генерации декодера и восстановления тестового файла.

Поторопись. Время ограничено. Внимание. (72 часа)

По истечении этого времени закрытый ключ для генерации декодера будет уничтожен. Файлы не будут восстановлены.

Ваш id: 370A3624-5C8C-481D-9E0D-358748663***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!DECRYPT_FILES.txt - название 1-го файла с требованием выкупа; 
ATTENTION!!!.txt - название 2-го файла с требованием выкупа; 

FTS.exe, noputana.exe, RunAsDll.exe - названия вредоносных файлов;

noputana.exe - название вредоносного файла;

svchost.com - название вредоносного файла;

local_enc_private_key;
local_public_key_len;

userkey.dat - файл с ID;

!DECRYPT_FILES.txt.locked - в некоторых случаях шифруется даже собственный файл !DECRYPT_FILES.txt, но оставляется ATTENTION!!!.txt

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

O:\FileLocker-master\RunDll_4\obj\Debug\RunAsDll.pdb

Записи реестра, связанные с этим Ransomware:

HKU\S-1-5-21-***-1000\Software\Microsoft\Windows\CurrentVersion\Run\HelloAV

HKU\S-1-5-21-***-1000\Software\Microsoft\Windows\CurrentVersion\Run\WelcomeBack

HKU\S-1-5-21-***-1000\Software\EncryptKeys\local_enc_private_key

HKU\S-1-5-21-***-1000\Software\EncryptKeys\local_public_key_len

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: hxxx://t.me/decovid19bot

Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>

𝚺  VirusTotal analysis: VT> VT> VT>

𝚺  VirusTotal analysis RapidRunDll >>  MD5: 22aa5c5cdabeae3b53f8cc1fe0b0b3d9

🐞 Intezer analysis DEcovid19 >>

🐞 Intezer analysis RapidRunDll >> MD5: 22aa5c5cdabeae3b53f8cc1fe0b0b3d9

ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 22 февраля 2021: 

Пост на форуме >>

Расширение: .bitchlock

Telegram: hxxx://t.me/iHELPdecodebot

Email: Cris_Horth@protonmail.com 

Записка: !DECRYPT_FILES.txt

➤ Содержание записки: 

Don't worry, all files can be recovered. 

* 

Attention! 

Please read these important instructions. 

All your content, files, photos, documents, databases, and other important files are encrypted. 

All encrypted files have the extension: .bitchlock 

This is all very sad. 

The only way to recover files is to buy a unique private key. 

Only we can give you this key and only we can restore your files. 

* 

!!!!! For decryption, please contact us at Telegram messadger operator contact, follow the instructions below: 

* 

[1] - Install Telegram. 

[2] - Telegram browser download link - > https://telegram.org/   

[3] - send operator contact hxxx://t.me/iHELPdecodebot

[3.1] If you don't get a response right away, don't worry, the  operator  bot is not broken, messages are handled manually, it can take anywhere from 1 minute to 6 hours to respond due to time zone differences.  

[4] - enter your (ID version) and (*ID PC) in the subject line. And how many computers need to be decrypted. (ID version) and (*ID PC) at the bottom of the message.Attach 1-2 infected files that do not contain important information (less than 2 MB) necessary for generating the decoder and restoring the test file. 

[5] - hurry up.Time is limited.Attention. (72 hours).  

[6] - if you do not pay within 72 hours, the ransom for decryption will be doubled.  

[7] - we don't bite. We are waiting for your emails. 

[8] - If you don't have Telegram, we have an Email for you at Cris_Horth@protonmail.com 

!!!!! If you do not get an answer right away, do not worry because of the possible difference in time zones, the answer can take up to 12 hours. 

* 

!!!If you contact a file decryption company, they usually trick you, they just write to us and negotiate a ransom. And you only pay them for what they wrote to us. Remember, only we can decrypt the files, and no one can help you! Don't waste your time trying to decipher it, it's impossible without our help. And in 72 hours, the ransom will become even more expensive. 

The police won't help you either! 

[*] ID version : 7007007 

[**] Your ID =ZVWM3CLMLY25DN

Вариант от 16 марта 2021: 

Сообщение >>

Расширение: .lock

Имя файл меняется на случайные 10 символов в верхнем регистре, например: SPW5FPAZ41.lock

Записка: !!!_FILES_RECOVERY.txt

BTC: 3EPqX7yo8kkT9WTNwbnwwMkgxfR48eRRq4

Telegram: hxxx://t.me/decovid19bot 

Файл: noputana.exe

Результаты анализов: IOS: VT, TG

MD5: bcd0cf45d8a8b16efc9970d3c02b93e7

Вариант от 4 мая 2021: 

Сообщение >>

Расширение: .bumcoder

Записка: !DECRYPT_FILES.txt

Telegram: hxxx://t.me/iHELPdecodebot

Email: Cris_Horth@protonmail.com 

Вариант от 22 июня 2021:

Сообщение >>

Файлы можно расшифровать, обращайтесь к Майклу по ссылке >>

Расширение: .snoopdog

Записка: !DECRYPT_FILES.txt

Telegram: @SENDMYiDbot

Tor-URL: contactya3ry35pb.onion

Мьютекс: ZASKRINILPIDORAS

Результаты анализов: IOS: VT, IA

MD5: d9589a925b3d963c4861ce95e6ec653f

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34070

BitDefender -> Gen:Trojan.Heur.GZ.gqW@bCv8gdj

ESET-NOD32 -> A Variant Of Win32/Filecoder.Rapid.E

Вариант от 27 июня 2021: 

Записка: !DECRYPT_FILES.txt

Расширение зашифрованных файлов меняется на .jpg

Оригинальные названия файлов переименовываются. 

Jabber: otp_crypte@exploit.im

Email: otpcrypte@protonmail.com

Результаты анализов: IOS: VT, IA

MD5: b8cdac3c9c1d7f00ee659d0ee365c5d7

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34090

BitDefender -> Generic.Ransom.Rapid2.82931C8C

ESET-NOD32 -> A Variant Of Win32/Filecoder.Rapid.E

Microsoft -> Trojan:Win32/Wacatac.B!ml

TrendMicro -> TrojanSpy.Win32.RAPID.USMANFS21

Вариант от 5 августа 2021: 

Записка: !DECRYPT_FILES.txt

Расширение зашифрованных файлов меняется на .jpg

Оригинальные названия файлов переименовываются. 

Jabber: otp_crypte@exploit.im

Email: systems32x@gmail.com

Результаты анализов: IOS: VT, HA

MD5: 35d152ed15b3843fb2ef68e5d02eebe5

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! Файлы можно расшифровать!
Для этого пишите в тему поддержки >> 
Attention! Encrypted files can be decrypted!
Get personal decrypt in the Support Topic >>

 Read to links: 
 myMessage + Message + Message
 ID Ransomware (ID as DEcovid19, RapidRunDll)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author), S!Ri
 Michael Gillespie
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.