IceFire

IceFire Ransomware

IceFire Doxware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в криптовалюте Monero, чтобы вернуть файлы. Угрожает через 5 дней опубликовать украденные файлы. Оригинальное название: IceFire. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> IceFire

Сайт "ID Ransomware" идентифицирует это как IceFire. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине марта 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. В первые дни уже были пострадавшие из нескольких стран. 

К зашифрованным файлам добавляется расширение: .iFire


Записка с требованием выкупа называется:  iFire-readme.txt

Содержание записки о выкупе:

********************Your network has been infected!!!********************

IMPORTANT : DO NOT DELETE THIS FILE UNTIL ALL YOUR DATA HAVE BEEN RECOVERED!!!

All your important files have been encrypted. Any attempts to restore your files with thrid-party software will be fatal for your files! 

Restore your data posible only buying private key from us. We have also downloaded a lot of private data from your network. If you 

do not contact us in a 5 days, we will post information about your breach on our public news webs.

You should get more information on our page, which is located in a Tor hidden network.

1.Download Tor browser - https://www.torproject.org/

2.Install Tor browser

3.Open link in Tor browser : kf6x3mjeqljqxjznaw65jixin7dpcunfxbbakwuitizytcpzn4iy5bad.onion

4.Follow the instructions on this page

Your account on our website

*************************************************************************

username: ***

password: ***

ATTENTION:

1.Do not try to recover files yourself, this process can damage your data and recovery will become impossible.

2.Do not waste time trying to find the solution on the internet. The longer you wait, the higher will become the decryption key price.

3.Tor Browser may be blocked in your country or corporate network. Use Tor Browser over VPN.

Перевод записки на русский язык:

*** Ваша сеть заражена!!! ***

ВАЖНО: НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ, ПОКА ВСЕ ВАШИ ДАННЫЕ НЕ БУДЕТ ВОССТАНОВЛЕНЫ!!!

Все ваши важные файлы зашифрованы. Любые попытки вернуть ваши файлы с помощью сторонних программ будут фатальными для ваших файлов! Вернуть свои данные можно только купив закрытый ключ у нас. Мы также загрузили много личных данных из вашей сети. Если вы не свяжетесь с нами в течение 5 дней, мы опубликуем информацию о вашем нарушении на наших публичных новостных сайтах.

Вы должны получить больше информации на нашей странице, которая находится в скрытой сети Tor.

1. Скачайте браузер Tor - https://wwiv.torproject.org/

2. Установите браузер Тор

3. Откройте ссылку в браузере Tor: ***

4. Следуйте инструкциям на странице

Ваш аккаунт на нашем сайте

***

имя пользователя: ***

пароль: ***

ВНИМАНИЕ:

1. Не пытайтесь восстанавливать файлы сами, этот процесс может повредить ваши данные и восстановление станет невозможным.

2. Не тратьте время на поиски решения в Интернете. Чем дольше вы ждете, тем выше будет цена за ключ дешифрования.

3. Браузер Tor может быть заблокирован в вашей стране или корпоративной сети. Используйте Tor Browser через VPN.

Текст с требованием выкупа есть также на сайте вымогателей. 

Содержание текстана сайте:

Your network has been infected

All your important files have been encrypted. Any attempts to restore file with third-party software will be fatal for your files. Restore your data possible only buying private key from us. We have also downloaded a lot of private data from your network. If you do not contact us in five days, we will post information about your breach on our public news webs.

You can pay directly following the steps:

• Log into the website with your account.

• Get the Monero address and number of XMR you should pay.

• Pay XMR to our Monero address.

• Send the blockchain transaction ID to us.

• Download decrypt application from our website.

• We will send private key to you within six hours.

• Finally, decrypt all your files.

Перевод на русский язык: 

Ваша сеть заражена

Все ваши важные файлы зашифрованы. Любые попытки вернуть файл с помощью сторонних программ будут фатальными для ваших файлов. Вернуть ваши данные можно только купив закрытый ключ у нас. Мы также загрузили много личных данных из вашей сети. Если вы не свяжетесь с нами за пять дней, мы опубликуем информацию о вашем нарушении на наших публичных новостных сайтах.

Вы можете оплатить сразу после шагов:

• Войдите на сайт под своей учетной записью.

• Получите адрес Monero и количество XMR, которое надо заплатить.

• Оплатите XMR на наш адрес Monero.

• Отправьте нам ID транзакции блокчейна.

• Загрузите приложение для расшифровки с нашего сайта.

• Мы отправим вам закрытый ключ за шесть часов.

• Наконец, расшифруйте все ваши файлы.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
 iFire-readme.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: kf6x3mjeqljqxjznaw65jixin7dpcunfxbbakwuitizytcpzn4iy5bad.onion

Email: - 
XMR (Monero): 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: средний.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 14 августа 2022:

Сообщение на форуме >>
Есть некоторые изменения на сайте вымогателей. 

 

 

Обновление от 9 марта 2023:

IceFire теперь шифрует системы Linux.

Важные части системы не шифруются и остаются в рабочем состоянии. 

Добавляется расширение: .iFire

Статья об этом >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

AntiWar

AntiWar Ransomware

(шифровальщик-не-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем выдвигает требования прекратить войну в Украине, но не сообщает о том, как можно вернуть файлы. Оригинальное название: в записке не указано. На файле написано: encryptor.x64.exe. По сообщению исследователя, это распространяется из Польши, но скорее всего из Украины. Для Windows x64. 

---

Не нужно обольщаться и соглашаться с распространителем вредоносного файла. Совершенно не важны его намерения и текст на экране, пусть даже призывающие к миру с его точки зрения. Если файлы реально зашифрованы, а способа вернуть их не сообщается, то это такой же Ransomware и деструктор, причиняющий вред системе и файлам пользователей, как и многие другие. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.35080

Avast -> Win64:Malware-gen
BitDefender -> Trojan.GenericKD.39198247
ESET-NOD32 -> A Variant Of Win64/Filecoder.Dark.B
Kaspersky -> Trojan-Ransom.Win32.Encoder.pxt
Malwarebytes -> Ransom.FileCryptor
Microsoft -> Trojan:Win32/Sabsik.FL.B!ml
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Encoder.Lkec
TrendMicro -> Ransom.Win64.NITUPBURNCRYPT.THCAEBB
---

© Генеалогия: ??? >> AntiWar

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в начале - первой половине марта  2022 г. Ориентирован на русскоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется расширение: .putinwillburninhell

Записка называется: RUSSKIJ VOENNIJ KORABL IDI NA***.html

Содержание текста в записке:

Это НЕ мирная операция

Идет полноценная ВОЙНА

Тысячи погибших людей, как украинцев, так и русских.

Больше всего бомбят жилые дома, также школы, больницы и садики.

Люди ночуют в метро, в подвалах, парковках и бомбоубежищах.

(может среди них Ваши родственники, друзья, любимые)

Российские СМИ это не транслируют и не будут!!!

Если не верите нашим СМИ, посмотрите заграничные

Русские, очнитесь! Один человек лишил вас и вашу страну

УВАЖЕНИЯ и ПРИЗНАНИЯ НАВСЕГДА!

Мы не хотим, чтобы Россия становилась все беднее и была изолирована от мира, страной, нападающей на другие страны

Перевод записки на русский язык:
*** уже сделан ***



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ UAC не обходит, требуется разрешение на запуск вредоносного файла. 

➤ В коде есть фраза: "You think this bad neighborhood?" (Думаешь, это плохой район?). Это может говорить о том, что был использован чей-то готовый шаблон, в который был подставлен другой текст. Или же этот Ransomware был сделан наспех. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RUSSKIJ VOENNIJ KORABL IDI NA***.html - название файла с текстом;
encryptor.x64.exe - название вредоносного файла. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 3b3a50b242841e1789a919b1291051f1

SHA-1: 7b74a50352bb16ba94201c8a9e35b3c1d8a9dc8c

SHA-256: 9f3c1668ee44bfcd1afd599215f5bd73c76609776b78cb04bb6ef1121cc80d37

Vhash: 055066655d1555155098z77hz1lz

Imphash: 5fc54744cef988b57c81266931fa99ba 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, 
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CryptoJoker 2022

CryptoJoker 2022 Ransomware

CryptoJoker-CAD Ransomware

(шифровальщик-не-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем вместо того, чтобы требовать  выкуп за расшифровку файлов, он оставляет записку, в которой рассказывает историю саудовского певца и композитора Талал Мадда. Оригинальное название: CryptoJoker. На файле написано: CAD.exe. 

---

➤ Для получения программы для расшифровки файлов пишите в тему поддержки - Demonslay335 может помочь.
---
Обнаружения:
DrWeb -> Trojan.Encoder.35078
BitDefender -> Trojan.Ransom.CryptoJoker.A
ESET-NOD32 -> A Variant Of MSIL/Filecoder.CryptoJoker.D
Kaspersky -> UDS:DangerousObject.Multi.Generic
Malwarebytes -> Trojan.MalPack
Microsoft -> Trojan:Win32/AgentTesla!ml
Rising -> Ransom.CryptoJoker!1.D0E2 (CLASSIC)
Tencent -> Win32.Trojan.Generic.Dygq
TrendMicro -> TROJ_GEN.R002C0RCB22
---

© Генеалогия: более ранние варианты > CryptoJoker 2020 > CryptoJoker 2021 > CryptoJoker 2022 

Сайт "ID Ransomware" идентифицирует это как CryptoJoker. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине марта 2022 г. Ориентирован на арабоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .fucked

Но оно используется, как и в предыдущих вариантах, в составе двух типов:

.partially.fucked

.fully.fucked

Записка без требований выкупа называется: CAD Recovery Information.txt

Да, в ней нет требований выкупа и контактов для связи. 

Текст при открытии выглядит не читаемым, вероятно, потому что он предназначен для пользователей, на компьютере которых языком по умолчанию установлен арабский. 

Путем некоторых манипуляций (Big thanks to MalwareHunterTeam) получаем арабский текст, в котором вместо требований выкупа рассказывается о моментах жизни Талал Мадда (Talal Maddah), саудовском музыканте и композиторе.  

Переводчик Google в помощь, разумеется. 

Содержание части текста на арабском: 

ےطلال مداح (5 اغسطس 1940   11 اغسطس 2000) هو مغن وملحن سعودي

ألقاب

ع.ُرف طلال مداح بألقاب عديدة منها  الحنجرة الذهبية  و قيثارة الشرق   و صوت الأرض  و فارس الأغنية السعودية  و فيلسوف النغم الأصيل  و زرياب   (أطلقه عليه موسيقار الأجيال محمد عبد الوهاب) و أستاذ الجميع  (أطلقه عليه الفنان محمد عبده) له تأثير هائل على الثقافة العربية في القرن 20 وهو رائد الحداثة بالأغنية السعودية

***

Перевод части текста на русский язык:

Талал Мадда (5 августа 1940 — 11 августа 2000) — саудовский певец и композитор. 

Прозвища. 

Талал Мадда известен под многими титулами, в том числе «Золотое горло», «Восточная гитара», «Голос Земли», «Рыцарь саудовской песни», «Философ аутентичных мелодий», «Зирьяб« (так называл музыкант многих поколений Мохамед Абдель Вахаб) и Профессор всех (художник Мохамед Абдо), оказавший огромное влияние на арабскую культуру 20 века, пионер современности в саудовской песне.

Краткое содержание его жизни. 

Его настоящее имя было Талал бин Абдул Шейх бин Ахмед бин Джаафар Аль-Джабри. Художник Талал Мадда родился в Мекке 5 августа 1940 года. 

***

Согласно найденным в коде строкам, должен быть еще экран блокировки, в котором есть сообщение, email-адрес и адрес BTC-кошелька, но это информационное сообщение не отобразилось. Кроме того имеются различные ссылки, но вставлять их сюда рискованно. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CAD Recovery Information.txt - название файла, заменяющего записку;
CAD.exe - название вредоносного файла; 

CADdecryptor.exe - название файла дешифровщика; 

w.jpg - файл изображения, заменяющий обои; 

encKey.fucked - специальный файл; 

cad.fucked - специальный файл.  

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

D:\ksm\fucking work\TMACv6.0\CryptoJoker-master - Copy\CryptoJoker\obj\Debug\CAD.pdb

C:\Users\MBA\Desktop\fucking work\TMACv6.0\CryptoJoker-master - Copy\CryptoJokerDecryptor\obj\Debug\CADdecryptor.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cadransomware@gmail.com
BTC: 19iaqy7bkvcTFCoqkUHm7WdYRV4sPNRrqV

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 1c249309871bae43fe787df7976df355

SHA-1: 12da8b967fd7a4a64f3836372430c5862ee24528

SHA-256: 8a1d46b80f61c17f62139c1b46be9208e09055e821d8bed59532089fa5b21b48

Vhash: 225036755514c0171a5d3b60d4

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoJoker 2016 Ransomware - январь 2016

Executioner Ransomware - начало июня 2017

CryptoJoker 2017 Ransomware - середина июня 2017

ExecutionerPlus Ransomware - декабрь 2017

CryptoNar (CryptoJoker 2018) Ransomware - август 2018

CryptoJoker 2019 Ransomware - сентябрь 2019

CryptoJoker 2020 Ransomware - ноябрь 2020

CryptoJoker 2021 Ransomware - октябрь 2021

CryptoJoker 2022 Ransomware - март 2022

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, MalwareHunterTeam
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

DonnaRenniCrypt

DonnaRenniCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в $300, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: ??? >> DonnaRenniCrypt

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине марта 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .crypt

Записка с требованием выкупа называется: WARNING.txt

Содержание записки о выкупе:

Your identification number: 10***

E-mail to contact us: DONNARENNI292@mail.com

Identification number: 10***

Your computer has been hacked!

All files with extentions (*.txt *.xls *.docx *.doc *.cer *.key *.rtf *.xlsx *.text *.ppt *.pdf *.cdx *.cdr  *.js *.css *.asm *.jpg *.dbf *.mdb *.sql *.pgp)

and many othes have been blocked. To purchase unlock code please contact us: DONNARENNI292@mail.com Price 300 USD.If you attempt to remove the informer, you may lose all your files forever.

Q: How can I make sure that you can really decipher my files?

A: You can send one of ciphered file by email DONNARENNI292@mail.com (Indicate your ID in the message title),

in the response message you receive the deciphered file.

Перевод записки на русский язык:

Ваш идентификационный номер: 10***

Email для контакта: DONNARENNI292@mail.com

Идентификационный номер: 10***

Ваш компьютер взломан!

Все файлы с расширениями (*.txt *.xls *.docx *.doc *.cer *.key *.rtf *.xlsx *.text *.ppt *.pdf *.cdx *.cdr *.js *.css *.asm *.jpg *.dbf *.mdb *.sql *.pgp)

и многие другие заблокированы. Для покупки кода разблокировки напишите нам: DONNARENNI292@mail.com Цена 300$ США. Если вы попытаетесь удалить информер, вы можете навсегда потерять все свои файлы.

В: Как я могу убедиться, что вы действительно можете расшифровать мои файлы?

О: Вы можете отправить один из зашифрованных файлов на email DONNARENNI292@mail.com (укажите свой ID в заголовке сообщения),

в ответном сообщении вы получите расшифрованный файл.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
.asm, .cdr, .cdx, .cer, .css, .dbf, .doc, .docx, .jpg, .js, .key, .mdb, .pdf, .pgp, .ppt, .rtf, .sql, .text, .txt, .xls, .xlsx и другие. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WARNING.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: DONNARENNI292@mail.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (article author)
 quietman7
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.