Anton, Artemon

Anton-Artemon Ransomware

Variants: Anton, Artemon, AutoHello

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Anton Ransomware и Artemon Ransomware. Вымогатели используют два названия одновременно. Видимо они очень хотели замаскироваться под русских вымогателей, что не смогли выбрать имя. Для пользователей некоторых неевропейских алфавитов и иероглифов такая путаница в порядке вещей. Имя Anton написано на экране. Имя Artemon написано в текстовой записке. На исполняемом файле написано: WORD и Word document.exe. Кроме того есть файлы с названиями, в которых есть Petya, Mischa и WNCRY. В заголовке окна ещё написано "Trojan.Ransom.Anton.A".

---
Обнаружения:
DrWeb -> Trojan.Encoder.33478
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ALYac -> Trojan.Ransom.HiddenTear
Avira (no cloud) -> TR/Agent.rkywk
ESET-NOD32 -> MSIL/Filecoder.AFY
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:MSIL/ArtemonCrypt.PA!MTB
Rising -> Ransom.ArtemonCrypt!8.12494 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Agent.Lmaq
TrendMicro -> TROJ_GEN.R002H09BF21
---

© Генеалогия: HiddenTear + (Petya+Mischa=WNCRY) >> Anton, Artemon и вся их компания

Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется или файлы вообще не шифруются. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: Artemon.txt

Содержание записки о выкупе:

Hello! You victim on ARTEMON RANSOMWARE!

your files encrypted

For decryption, you must send us 0.001 BTC

For decryption, you must send us 0.001 BTC

For decryption, you must send us 0.001 BTC

For decryption, you must send us 0.001 BTC

Adress BTC: 36bUzEo3hksCZfQ4GTCogZnWc5ZTTtv3MD

Your key that you should send to us: eycfs-50dsY-YiVip-GoP00X

Your key that you should send to us: eycfs-50dsY-YiVip-GoP00X

Your key that you should send to us: eycfs-50dsY-YiVip-GoP00X

Within 1-2 days, we will send you a password and instructions for decryption.

Copyring 2020-2021

Перевод записки на русский язык:

Привет! Вы жертва ARTEMON RANSOMWARE!

ваши файлы зашифрованы

Для расшифровки надо отправить нам 0,001 BTC

Для расшифровки надо отправить нам 0,001 BTC

Для расшифровки надо отправить нам 0,001 BTC

Для расшифровки надо отправить нам 0,001 BTC

Адрес BTC: 36bUzEo3hksCZfQ4GTCogZnWc5ZTTtv3MD

Ваш ключ, который нужно отправить нам: eycfs-50dsY-YiVip-GoP00X

Ваш ключ, который нужно отправить нам: eycfs-50dsY-YiVip-GoP00X

Ваш ключ, который нужно отправить нам: eycfs-50dsY-YiVip-GoP00X

В течение 1-2 дней мы пришлем вам пароль и инструкцию по расшифровке.

Copyring 2020-2021

Запиской с требованием выкупа также выступает экран блокировки: 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
4744b7794744b7799b9946468040822243e318299b9946468040822243e31829.pdb - оригинальное название файла проекта; 

Artemon.txt - название файла с требованием выкупа; 
Word document.exe - название вредоносного файла; 

a.MischaMyFriend - бинарный файл в анализе; 

b.PetyaMyFriend  - бинарный файл в анализе; 

exeexeexe1.ArtemonTrojan  - бинарный файл в анализе; 

encrypt.Ransom  - бинарный файл в анализе. 

В пути, где лежат файлы проекта вымогателей, видно, что используются папки с названиеми "исходники" и "ИСХОДНИКИ". Сразу видно, что им было мало одной папки с таким названием, потому сделали еще одну с большими буквами, чтобы показать, какие они "русские". Далее есть ещё две папки "AutoHello". Видимо программисты "ещё те субчики" и у них голова совсем "ку-ку". 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\server33\исходники\ИСХОДНИКИ\AutoHello\AutoHello\obj\Debug\4744b7794744b7799b9946468040822243e318299b9946468040822243e31829.pdb

Ошибки в программе:

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 36bUzEo3hksCZfQ4GTCogZnWc5ZTTtv3MD
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Steel

Steel Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Язык программирвоания: Delphi. Использует OpenSSL. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.33544

Avira (no cloud) -> TR/FileCoder.itptc, TR/FileCoder.kwezc

BitDefender -> Trojan.GenericKD.45770090

ESET-NOD32 -> Win32/Filecoder.OFS

Malwarebytes -> Malware.AI.4275350409

Microsoft -> Trojan:Win32/Ymacco.AA55

Qihoo-360 -> Win32/Ransom.Encoder.HgIASQAA, Win32/Heur.Generic.HwYDSicA

Rising -> Downloader.Banload!8.15B (CLOUD), Trojan.Filecoder!8.68 (CLOUD)

Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.MBT

Tencent -> Win32.Trojan.Filecoder.Htci, Win32.Trojan.Encoder.Afhu

TrendMicro -> Ransom_Encoder.R002C0PBI21

---

© Генеалогия: ??? >> Steel

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random{4}>

Примеры таких расширений:

.A1WJ

.SO0i

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: HOW_TO_RESTORE_FILES.txt 

Содержание записки о выкупе:

******************************ATTENTION!******************************

All your important files have been encrypted by STEEL Ransomware!

For encryption we use reliable algorithms! You can read more here:

https://en.wikipedia.org/wiki/RSA_(cryptosystem)

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Many of your documents, photos, videos, images and other files are no longer

accessible because they have been encrypted. It means that your files are not

damaged, but modified. The reverse process is called decryption.

We use strong algorithms so it impossible to crack key. You can easily restore all your files.

We guarantee that all your files will be successfully decrypted after paying.

We can decrypt 2 files for free (size <2mb) as proof that we can decrypt your files.

Warning! After 7 days price will be doubled!

How to decrypt files ?

1) Contact us via email x_coded@protonmail.com

2) Pay $350 on our monero wallet (we will send you wallet address)

3) Send your personal key to our email (It's located at the end of this document)

4) Get decryption key and program

5) Decrypt all your files

******************************????????!******************************

??? ???? ????? ??????????? STEEL Ransomware!

??? ?????????? ???????????? ???????? ????????? ??????????.

?? ?????? ???????????? ????????? ?????:

https://en.wikipedia.org/wiki/RSA_(cryptosystem)

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

???? ?????????, ?????, ????, ???????? ? ?????? ????? ?????? ??????????,

?????? ??? ??? ???????????. ??? ??????, ??? ???? ????? ?? ??????????, ??

??????????????. ???????? ??????? ?????????? ????????????.

???????? ??? ????????? ????? ???????????? ??????????! ?? ?????? ?????

???????????? ??? ?????. ?? ???????????, ??? ??? ???? ????? ????? ???????

???????????? ????? ??????. ? ???????? ?????????????? ??????????? ?????-

??????? ?? ????? ????????? ???????????? 2 ????? ???????? ?? ????? 2 ??.

????????! ????? 7 ???? ???? ????? ???????!

??? ???????????? ??????

1)????????? ? ???? ????? e-mail X_coded@protonmail.com

2)???????? 350 USD ?? monero ???????, ??????? ?? ?????? ???

3)????????? ??? ????, ????????????? ? ????? ????? ?????????.

4)???????? ?????????-?????????? ? ????

5)??????????? ???? ?????

YOUR PERSONAL KEY HERE:

----------BEGIN STEEL KEY----------

m7uF2wMnEjZPWZk77en5lFKHnG8KBKeyUEWu {всего 344 знака}

----------END STEEL KEY----------

Реконструкция текста, который оказался неопознанным.

Идентифицирован как русский:

******************************ВНИМАНИЕ!******************************

Все ваши файлы зашифрованы STEEL Ransomware!

Для шифрования использованы надежные алгоритмы шифрования! 

Вы можете ознакомиться подробнее здесь:

https://en.wikipedia.org/wiki/RSA_(cryptosystem)

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Ваши документы, видео, фото, картинки и другие файлы теперь не

доступны, потому что они зашифрованы. Это значит, что ваши файлы не 

повреждены, но модифицированы. Обратный процесс называется расшифровкой.

???????? ??? ????????? файлы расшифровать невозможно. 

Вы можете легко восстановить все файлы. Мы гарантируем, что все ваши файлы будут успешно расшифрованы после оплаты.

 В качестве доказательства возможности ?????-??????? мы можем бесплатно расшифровать 2 файла размером не более 2 МБ

Внимание! Через 7 дней цена будет удвоена!

Как расшифровать файлы?

1) Свяжитесь с нами по почте e-mail x_coded@protonmail.com

2) Оплатите 350 USD на monero кошелек, который мы вышлем вам

3) Отправьте ваш ключ, располагается в конце этого документа.

4) Получите программу-дешифратор и ключ

5) Расшифруйте свои файлы

Перевод записки на русский язык:

******************************ВНИМАНИЕ!****************** ************

Все ваши важные файлы зашифрованы STEEL Ransomware!

Для шифрования мы используем надежные алгоритмы! Вы можете прочитать больше здесь:

https://en.wikipedia.org/wiki/RSA_(cryptosystem)

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Многие из ваших документов, фото, видео, изображений и других файлов теперь недоступны, потому что они зашифрованы. Это значит, что ваши файлы не повреждены, но модифицированы. Обратный процесс называется расшифровкой.

Мы используем сильные алгоритмы, поэтому ключ невозможно взломать. Вы сможете легко восстановить все свои файлы.

Мы гарантируем, что все ваши файлы будут успешно расшифрованы после оплаты.

Мы можем бесплатно расшифровать 2 файла (размером <2 МБ) как  доказательство того, что мы можем расшифровать ваши файлы.

Предупреждение! Через 7 дней цена удвоится!

Как расшифровать файлы?

1) Свяжитесь с нами по email x_coded@protonmail.com

2) Заплатите 350 долларов на наш кошелек monero (мы отправим вам адрес кошелька)

3) Отправьте свой личный ключ на наш email (он находится в конце этого документа)

4) Получите ключ дешифрования и программу

5) Расшифруйте все свои файлы

****************************** ????????! *********** *******************

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Добавляет 8 уникальных байтов к файлам и использует разные ключи для разных файлов. 

Файлы, связанные с этим Ransomware:
HOW_TO_RESTORE_FILES.txt - название файла с требованием выкупа; 

KMSAuto Net.exe - название вредоносного файла; 

SWEfghd678hfjbbhbGFrca.exe - случайное название вредоносного файла.

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\loader.exe

C:\Users\Admin\AppData\Local\Temp\selfdstr.bat

C:\Users\Admin\AppData\Local\Temp\libeay32.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: x_coded@protonmail.com

BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Kangxiaopao, Michael Gillespie 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Hog

Hog Ransomware

Hog-Discord Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует присоединиться Discord-серверу вымогателей, чтобы автоматически расшифровать файлы. Оригинальное название: Hog Ransomware. На файле написано: HogRansomware.exe версия 1.0.0.0.

---
Обнаружения:
DrWeb -> Trojan.Encoder.33567
BitDefender -> Gen:Heur.Ransom.MSIL.1
Avira (no cloud) -> TR/Ransom.knzit
ESET-NOD32 -> MSIL/Filecoder.AFW
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Agent.gen
Malwarebytes -> Ransom.Hog
Microsoft -> Ransom:MSIL/Hog.DA!MTB

Qihoo-360 -> Win32/Ransom.Generic.HgIASO8A
Rising -> Ransom.Hog!1.D38D (CLOUD)
Symantec -> ***
Tencent -> Msil.Trojan.Agent.Phzs
TrendMicro -> Ransom_Hog.R011C0DBG21
---

© Генеалогия: ??? >> Hog

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .hog


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - конец февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Запиской с требованием выкупа выступает файл DECRYPT-MY-FILES.exe, представлющий собой информационный экран со следующим текстом и модулем расшифровки файлов: 

Содержание текста со скриншота:

Attention!

Your personal files have been encrypted by the Hog Ransomware.

They have been encrypted using unbreakable AES-256 encryption.

A ".hog" file extension has been appended to the encrypted files.

Please do not remove it, as it is needed to locate and decrypt them.

Attempting to modify the encrypted files can result in irreversible data loss.

In order to decrypt your files, you will need to join our Discord server.

Once you have joined, enter your Discord account token in the box below.

Press "Decrypt My Files!" and if you have joined, your files will be decrypted.

Have a nice day!

Перевод текста на русский язык:

Внимание!

Ваши личные файлы зашифрованы Hog Ransomware.

Они зашифрованы с помощью неуязвимого шифрования AES-256.

К зашифрованным файлам добавлено расширение ".hog".

Не удаляйте его, т.к. оно нужно для их обнаружения и расшифровки.

Попытка изменить зашифрованные файлы может привести к потере данных.

Для расшифровки файлов нужно присоединиться к нашему Discord-серверу.

После присоединения введите токен своего аккаунта Discord в поле ниже.

Нажмите "Decrypt My Files!" и если вы присоединились, ваши файлы расшифруются.

Хорошего дня!

Таким образом, пострадавшему сообщается, что случилось, что нужно сделать и предлагается ввести свой токен пользователя Discord. 

Токен Discord позволяет программе-вымогателю пройти аутентификацию в API Discord в качестве пользователя и проверить, присоединились ли они к их серверу, как показано в исходном коде ниже.

Если пострадавший присоединился к серверу или сервер уже не существует, Hog Ransomware расшифрует файлы, используя встроенный статический ключ. 

Хотя эта программа-вымогатель еще находится в разработке, она в очередной раз подтверждает, что злоумышленники все чаще используют Discord для злонамеренных действий. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа; 
HogRansomware.exe - название вредоносного файла; 

DECRYPT-MY-FILES.exe - название файла с информацией и модулем расшифровки файлов. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Ссылка на Discord: hxxxs://discord.com/invite/9ac282CEqh

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! 
Файлы можно расшифровать, выполнив простое требование. 
Кроме того, статический ключ вшит в саму программу. 

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Random30

Random30 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ALYac ->
Avira (no cloud) ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Random30

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .Random

Фактически используется составное расширение по шаблону: __[ID <30>][Mail datas_back_help112@tutanota.com].Random

Пример такого расширения: __[ID tF471uBu07Te7FuJo1V$6It1JmHoFm][Mail datas_back_help112@tutanota.com].Random

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: Read__Me.txt

Содержание записки о выкупе:

All Your Files Encryped!!!

don't try to Recover or change file names ... because it should damage files

contact us for decrypting your files Your ID : tF471uBu07Te7FuJo1V$6It1J*****

Our Email :datas_back_help112@tutanota.com

Перевод записки на русский язык:

Все ваши файлы зашифрованы!!!

не пытайтесь Вернуть или менять имена файлов ... т.к. это повредит файлы

напишите нам для расшифровки ваших файлов Ваш ID: tF471uBu07Te7FuJo1V$6It1J *****

Наш Email: datas_back_help112@tutanota.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read__Me.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: datas_back_help112@tutanota.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.