DarkRadiation

DarkRadiation Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель нацелен на дистрибутивы Linux на базе Red Hat и Debian. Оригинальное название: в записке не указано. Представляет собой большой набор Bash-скриптов. 
---
Обнаружения:
DrWeb -> Linux.BackDoor.Shell.107
ALYac -> Trojan.Linux.Generic.200858
BitDefender -> Trojan.Linux.Generic.200858
ESET-NOD32 -> Linux/TelegramBot.B
Kaspersky -> Backdoor.Shell.Agent.h
Symantec -> Ransom.DarkRadiation
TrendMicro -> Trojan.SH.TEGBOT.A
---

© Генеалогия: DarkRadiation

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в конце мая - начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Вся цепочка атак DarkRadiation реализована в виде Bash-скрипта. Вероятно, пока в стадии разработки. Большинство компонентов этой атаки нацелено на дистрибутивы Red Hat и CentOS Linux, но в некоторые сценарии — на дистрибутивы Linux на основе Debian. 

Bash-сценарий, или сценарий командной строки (скрипт), написанный для оболочки Bash, представляет собой текстовый файл с набором команд, которые выполнятся в определенном порядке, с определенными условиями. Bash-скрипт нужен для решения частых задач, помогает облегчить пользователям Linux ввод множества различных команд. Существуют и другие оболочки, например: zsh, tcsh, ksh. Ссылка >> 

Сценарии DarkRadiation имеют ряд зависимостей , включая wget, curl, sshpass, pssh и openssl. Если какие-то из них недоступны на инфицированном устройстве, то вредоносная программа попытается загрузить нужные инструменты с помощью YUM (Yellowdog Updater, Modified), менеджера пакетов на основе Python, широко используемого в популярных дистрибутивах Linux, таких как RedHat и CentOS.

Артефакты кода в том же сценарии показывают, что программа-вымогатель пытается остановить, отключить и удалить каталог /var/lib/docker , используемый Docker для хранения образов, контейнеров и локальных именованных томов. Несмотря на название функции, docker_stop_and_encrypt в своей текущей форме она действует исключительно как стиратель образов Docker. В инфраструктуре злоумышленника обнаружено несколько версий этих скриптов, вероятно, они находятся в стадии разработки и еще не готовы к полному развертыванию.

Программа-вымогатель использует другой скрипт bt_install.sh для настройки и тестирования бота Telegram, вписанного в локальный путь к файлу по адресу 

"/usr/share/man/man8/mon.8.gz". Поклонники кинотрилогии "Матрица" узнают сообщение "Knock knock Neo", включенный в bt_install сценарий оболочки.

Тот же сценарий устанавливает и включает службу под названием "griphon" для устойчивости. Если вредоносная программа запущена с правами администратора, служба устанавливается как "griphon.service" по умолчанию в путь "/etc/systemd/system/" и обеспечивает запуск Telegram-бота при каждой перезагрузке устройства. 

Сообщение написано в motd (приветствие в консоли): 

Содержание сообщения:

YOU WERE HACKED

Contact us on mail: nationalsiense@protonmail.com

您己被黑客入侵 ! 您的發据己被下莪并加密。请咲系 Email: nationalsiense@protonmail.com. 扣不联系皤件, 锊会袪采取更严重的措旌。

Перевод записки на русский язык:
ВЫ ВЗЛОМАНЫ

Пишите нам на mail: nationalsiense@protonmail.com

Вас взломали ! Ваши данные загружены и зашифрованы. Напишите нам на Email: nationalsiense@protonmail.com. Если не напишите, мы примем более серьезные меры.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Список не предоставлен, вероятно, среди зашифрованных могут оказаться файлы, аналогичные тем, что являются наиболее ценными в ОС Windows. 

Это документы, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр. Возможно, что следующий скриншот и демонстрирует типы файлов, которые могут быть зашифрованы. 

Файлы, связанные с этим Ransomware:
motd - файл с сообщением; 
mon.8.gz - название вредоносного файла; 

скрипты в наборе. 

Расположения:
/bin/bash

/etc

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nationalsiense@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 9731cda791dae2d9443ce27547b0df7e

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as DarkRadiation)
 Research, Research, Topic of Support
 * 

 Thanks: 
 r3dbU7z, TrendMicro
 Andrew Ivanov (article author)
 Michael Gillespie
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WowSmithAgain

WowSmithAgain Ransomware

Petna Nextgen Ransomware

NotPetya Nextgen Ransomware

(шифровальщик-вымогатель, rar-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель (точнее, несколько разных вариантов) использует разные возможности для вымогательства: один вариант помещает файлы в rar-архив, защищенный паролем, а другой шифрует данные пользователей с помощью комбинации алгоритмов. Оба требуют выкуп в долларах и BTC, чтобы вернуть файлы. Оригинальное название: нигде не указано. Оба варианта объединены в одну статью на основе email-логина вымогателя и используемого им BTC-кошелька. 
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: NotPetya (Petna) >> WowSmithAgain

Сайт "ID Ransomware" в некоторых случаях идентифицирует это как Petna, а в других случаях не идентифицирует. 

Информация для идентификации

Активность этого варианта крипто-вымогателя была замечена в начале июня 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К помещенным в архив файлам добавляется расширение: .ramsome.encrypt(rsw).nat

Записка с требованием выкупа называется: readme-instructions.txt

Содержание записки о выкупе:

Ooops, your important files are encrypted. If you see this text, 

then your files are no longer accessible, because they have been encrypted. 

files, but don't waste your tiMe. decrypt ion service. Perhaps you are busy 

looking for a way to recover your Nobody can recover your files without our 

All you We guarantee that you can recover all your files safely and easily. 

need to do is submit the payment and purchase the decrypt ion key. Please f

ollow the instructions: 1. Send  1 Bitcoin to following address: 

1Mz7153HMuxXTuR2R1t78MGSdzaftNbBWX 2. Send your Bitcoin wallet ID and personal 

installation key to e-mail WOWSMith123456@encripted.net. Your personal 

installation key: [redacted 10 groups of 5 alphanum separated by dashes] 

If you already purchased your key, please enter it below. Key: welivesecurity

Текст выглядит урезанным или умышленно искажённым. 

Перевод записки на русский язык:

Упс, ваши важные файлы зашифрованы. Если вы видите этот текст,

то ваши файлы больше не доступны, потому что они зашифрованы, но не тратьте ваше время ***

службы расшифровки. Возможно, вы заняты поиском способа восстановить свои ***

Никто не сможет восстановить ваши файлы без нашего ***

Все вы ***

Мы гарантируем, что вы сможете легко и безопасно восстановить все свои файлы.

*** необходимо сделать оплату и купить ключ дешифрования.

Пожалуйста, следуйте инструкциям:

1. Отправьте 1 биткойн на следующий адрес:

1Mz7153HMuxXTuR2R1t78MGSdzaftNbBWX

2. Отправьте ID своего биткойн-кошелька и персональный установочный ключ на email адрес WOWSMith123456@encripted.net. Ваш личный установочный ключ: ***

Если вы уже приобрели ключ, введите его ниже. Ключ: welivesecurity

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme-instructions.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: WOWSMith123456@encripted.net
Email-2: wowsmith123456@posteo.net

BTC: 1Mz7153HMuxXTuR2R1t78MGSdzaftNbBWX

Аккаунт вымогателей в Твиттере: hxxps://twitter.com/wowsmith12345

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 31 января - 12 февраля 2022: 

Сообщение >>

Аккаунт вымогателей в Твиттере: hxxps://twitter.com/wowsmith12345

Email (целиком как у NotPetya): wowsmith123456@posteo.net

Записка: README_5652206.txt

➤ Содержание записки: 

Ooops, your important files are encrypted.

Your personal Id:

d1Z86IIka***

If you see this text, then your files are no longer accessible, because they have been encrypted. 

Perhaps you are busy looking for a way to recover your files, but don't waste your time. Nobody can recover your files without our decryption service. 

We guarantee that you can recover all your files safely and easily. 

All you need to do is submit the payment and purchase the decryption key.

 Please follow the instructions: 

1. Send $300 worth of Bitcoin to following address: 33Ui4qyDn3UNJgjY8UJJLsC5xydbQTgQKP

2. Send your Bitcoin wallet ID and personal id to e-mail wowsmith123456@posteo.net.

---

Файл: xaqipaxowq.exe

Результаты анализов: IOC: VT + AR + IA + TG

MD5: 11fea5d1914bb2a69c21d33e4d57075e

SHA-1: 0805389d789d5d7cc1445c0b49563f8646975613

SHA-256: 9378b1a61cd599f6b2f21f7449d6cf35d260a7096aa1fdb9dfa2743457dfc9fc

Vhash: 254036651511e0ad2d253061

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.34915

BitDefender -> Generic.Ransom.Blackout.23D5CA96

ESET-NOD32 -> A Variant Of MSIL/Filecoder.Fantom.R

Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic

Malwarebytes -> Malware.AI.2960142392

Microsoft -> Ransom:MSIL/Kelnoc.A

Symantec -> Ransom.HiddenTear!g1

Tencent -> Win32.Trojan.Generic.Dzas

TrendMicro -> TROJ_FRS.0NA103BC22, Ransom.MSIL.PETYA.THBADBB

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Petrovic
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Motocos

Motocos Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем, чтобы вернуть файлы, требует выкуп, который увеличивается через каждые 6 часов на в 0.025 BTC (0.1 в сутки).  Оригинальное название: Motocos, указано в записке. На файле написано: taskhos.exe.

---
Обнаружения:
DrWeb -> Trojan.Encoder.33982
ALYac -> Trojan.Ransom.Filecoder
Avira (no cloud) -> DR/Delphi.Gen7
BitDefender -> Trojan.GenericKD.36977710
ESET-NOD32 ->  ***
Kaspersky -> HEUR:Trojan.Win32.Agentb.gen
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Ransom:Win32/Filecoder!ml
Rising -> Ransom.Destructor!1.B060 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> ***
TrendMicro -> Trojan.Win32.MOTOCOS.A
---

© Генеалогия: ??? >> Motocos

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .mo2

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в конце мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записка с требованием выкупа называется: 
Readme.txt, 

Motocos_Readme.txt, 

Ransomware_Readme.txt 

Содержание записки о выкупе:

Not your language? Use https://translate.google.com

--------------------------------------------------------------

What happens to your files?

It's clear, your files encrypted with [RSA-2048] algorithm and the decryption key is safe with us.

Don't worry, you can get all your data back.

- To decrypt your files send this readme file to (@Motocos_bot) bot in Telegram messenger and follow the instructions, (https://telegram.org)

*** Don't waste your time and money on forensics or recovery techniques to restore files, it definitely makes your files unrecoverable :(

*** To ensure you'll get a working decrypter, you can decrypt 2 files for free using the bot.

*** Remember, the entire process from payment to decryption will be handle by a stupid automated bot, so don't beg on it!

*** From now [05-27-2021] you have exactly 5 days to contact our bot to pay the requested money.

There's a pressure about time on you! An extra 0.025 BTC will be add to

the price every 6 hours (0.1 a day), which calculated by the bot as well.

After 5 days, the bot stops responding to you, but you can still pay negotiation price to make a deal.

*** The bot needs below information to decrypt your files, so don't remove or modify any part of this file ***

-----BEGIN PUBLIC KEY-----

MIIBIjANBgkqhkiG9wOBAQEFAAOCAQ8AMIIBCgKCAQEAnbsRBXMv7IHWJXdHv3F***

.....END PUBLIC KEY-----

Перевод записки на русский язык:

Не твой язык? Используй https://translate.google.com

-------------------------------------------------- ------------

Что случилось с вашими файлами?

Понятно, что ваши файлы зашифрованы с алгоритмом [RSA-2048] и ключ дешифрования находится у нас.

Не волнуйтесь, вы можете вернуть все свои данные.

- Чтобы расшифровать ваши файлы, отправьте этот файл readme боту (@Motocos_bot) в мессенджере Telegram и следуйте инструкциям (https://telegram.org)

*** Не тратьте свое время и деньги на форензику или способы восстановления файлов, это точно сделает ваши файлы невосстановимыми :(

*** Чтобы получить работающий дешифратор, вы можете бесплатно расшифровать 2 файла с помощью бота.

*** Помните, что весь процесс от оплаты до расшифровки будет обрабатываться тупым автоматическим ботом, так что не просите его!

*** С этого момента [05-27-2021] у вас есть ровно 5 дней, чтобы связаться с нашим ботом и выплатить запрошенные деньги.

Время давит на тебя! Дополнительные 0.025 BTC будут добавлены к

цена каждые 6 часов (0.1 в день), которая также рассчитывается ботом.

Через 5 дней бот перестанет вам отвечать, но вы все равно можете заплатить договорную цену, чтобы заключить сделку.

*** Боту требуется указанная ниже информация для расшифровки ваших файлов, поэтому не удаляйте и не изменяйте никакую часть этого файла ***

-----BEGIN PUBLIC KEY-----

MIIBIjANBgkqhkiG9wOBAQEFAAOCAQ8AMIIBCgKCAQEAnbsRBXMv7IHWJXdHv3F***

.....END PUBLIC KEY-----

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, манипулирует параметрами, отключает функции восстановления и исправления Windows на этапе загрузки, дополнительно удаляет каталог общей командой:
vssadmin.exe delete shadows /all /quiet;wmic shadowcopy delete;bcdedit /set {default} bootstatuspolicy ignoreallfailures;bcdedit /set {default} recoveryenabled no;wbadmin delete catalog -quiet

➤ Очищает журналы системы с помощью команды: 

PowerShell.exe Clear-EventLog -LogName application, system, security 

➤ Блокирует доступ к следующим сайтам: 
google.com,youtube.com,baidu.com,facebook.com,amazon.com,360.cn,yahoo.com,wikipedia.org,zoom.us,live.com,reddit.com,netflix.com,microsoft.com,instagram.com,vk.com,alipay.com,myshopify.com,office.com,bing.com,ebay.com,microsoftonline.com,aliexpress.com,adobe.com,apple.com,twitter.com

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme.txt, Motocos_Readme.txt, Ransomware_Readme.txt - названия файлов с требованием выкупа;
0046562091.exe - название вредоносного файла; 

taskhos.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Lucas\AppData\Local\Temp\0046562091.exe 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @Motocos_bot

Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 88af65ad6b23ee2f9745ddacff604748

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

PayOrGrief

PayOrGrief Ransomware

Pay_0r_Grief Ransomware

Aliases: Grief, P0G 

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп $350000 в криптовалюте Monero, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Используется группировкой Grief для атаки на организации и учреждения. Является продолжением DoppelPaymer Ransomware.  
---
Обнаружения:
DrWeb ->
ALYac ->
Avira (no cloud) ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: DoppelPaymer >> PayOrGrief

Изображение — логотип статьи

К зашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в конце мая 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа написана на экран блокировки на голубом фоне: 

Содержание текста на экране:

Clover Park School District, you are f*****.

DO NOT TOUCH ANYTHING!

What to do ( password: &qN9fU$Rn ): 

http://payorgz3j6hs2gj66nk6omfw65atgmqwzxqbbxnqi3bv2mlwgcirunad.onion/hypothesize/2b53b9e90ac51e9f60ecd868ea12d8f4

USE TOR

P0G

Перевод текста на русский язык:

Школьный округ Кловер-Парк, вы взломаны.

НИЧЕГО НЕ ТРОГАЙТЕ!

Что делать ( пароль: &qN9fU$Rn ):

http://payorgz3j6hs2gj66nk6omfw65atgmqwzxqbbxnqi3bv2mlwgcirunad.onion/hypothesize/2b53b9e90ac51e9f60ecd868ea12d8f4

ИСПОЛЬЗУЙТЕ ТОР

P0G

При переходе на сайт вымогателей нужно ввести пароль из голобого экрана, иначе страница с требованием выкупа не откроется.

Содержание текста с требованиями выкупа:

Clover Park School District, you've been hacked

This page and your decryption key will expire in 21 days after your systems were infected.

PAY OR Grief

Sensetive information will be shared to public.

Grief_list represents the companies which were hacked and didn't pay.

Current price for solution:

$350000 / 1387.47929378 XMR

Pay with monero [Copy monero wallet number:8BPNWZT4bqdbnTiYNGcAFiJ1CKto1YXayWtyHAK6nHZsHbRtgUzdciL1pD6qvm3jc1DXGRi52SByrc3BsW5VG9up9oUwkQU]

    To test that we have working solution: couple files can be unlocked. Ask specialist in chat to do it.

    Each few days new portion of data exfiltrated from your company will be published at Grief_list .

    There are no any third-party solution which can help you. But you can damage your information.

    GDPR at Article 33 requires that, in the event of a personal data breach, data controllers should notify the appropriate supervisory authority. 

Use previous conversation key, or start new

***

Перевод текста на русский язык:

Clover Park School District, вас взломали

Срок действия этой страницы и вашего ключа дешифрования истечет через 21 день после заражения вашей системы.

PAY OR Grief

Деликатная информация будет опубликована.

Grief_list показывает компании, которые были взломаны и не заплатили.

Текущая цена решения:

$350000 / 1387.47929378 XMR

Оплата с помощью monero [Скопируйте номер monero-кошелька: 8BPNWZT4bqdbnTiYNGcAFiJ1CKto1YXayWtyHAK6nHZsHbRtgUzdciL1pD6qvm3jc1DXGRi52SByrc3BsW5VG9up9oUwkQU]

     Для проверки, что у нас есть работающее решение: пару файлов можно разблокировать. Попросите специалиста в чате сделать это.

     Каждые несколько дней новая порция данных, полученных от вашей компании, будет публиковаться в Grief_list.

     Нет никаких сторонних решений, которые могли бы вам помочь. Но вы можете повредить свою информацию.

     Статья 33 GDPR требует, чтобы в случае утечки персональных данных контролеры данных уведомили соответствующий надзорный орган.

Используйте предыдущий ключ разговора или начните новый

***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://payorgz3j6hs2gj66nk6omfw65atgmqwzxqbbxnqi3bv2mlwgcirunad.onion/hypothesize/2b53b9e90ac51e9f60ecd868ea12d8f4

Email: - 
XMR: 8BPNWZT4bqdbnTiYNGcAFiJ1CKto1YXayWtyHAK6nHZsHbRtgUzdciL1pD6qvm3jc1DXGRi52SByrc3BsW5VG9up9oUwkQU
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as PayOrGrief)
 Write-up, Topic of Support
 * 

 Thanks: 
 NewsWithKevin, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.