понедельник, 23 апреля 2018 г.

JabaCrypter

JabaCrypter Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: хитрожопый криптер (в записке). На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .cryptfile

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !  ПРОЧТИ МЕНЯ.html
В заголовке файла написано: :: help ::
Yes

Содержание записки о выкупе:
Отчёт: Все ваши файлы успешно зашифрованны.
Без паники, Дамы и Господа!
-----------------------------------
Все ваши файлы и базы успешно зашифрованны нашим хитрожопым криптером.
Расшифровка всего вашего добра не имея уникального "расшифровщика" практически НЕВОЗМОЖНА!, Вы просто уничтожите все ваши данные.
Если вы не жадный, а очень щедрый человек, то мы готовы обменять всю вашу драгоценную информацию на жалкие бумажки именуемые бабками.
Поверьте бабло, побеждает зло, отдайте его нам.
-----------------------------------
По вопросу приобретения "расшифровщика" писать на почту: jabanenok@gmail.com
В письме - не забудьте указать ваш "id" указанный в конце каждого зашифрованного файла.
Мы бесплатно расшифруем несколько ваших файлов, что бы вы убедились что дешифратор у нас есть, возможно будет и у вас.
-----------------------------------
© 2018 Всё будет хорошо!  


Перевод записки на русский язык:
Уже сделан. Разберём "грамотность" вымогателей. 
Несмотря на русский текст, имеется ряд ошибок:
- Слово "зашифрованны" дважды написано с ошибочным удвоением - нн.
- Деепричастный оборот "не имея уникального "расшифровщика"" не отмечен запятыми с двух сторон. 
- После восклицательного знака "!," стоит запятая, хотя дальше по смыслу новое предложение. 
- Во фразе "бумажки именуемые бабками" не поставлена запятая. 
- Во фразе "Поверьте бабло, побеждает зло" запятая поставлена неправильно. 
- Во фразе "В письме - не забудьте указать ваш "id"" поставлено ненужное тире и после "id" не поставлена запятая. 
- Слова "что бы" в данном предложении играют роль подчинительного союза "чтобы", потому их надо писать вместе. 
В общем довольно много ошибок в орфографии и пунктуации. 


Перевод записки на английский язык / in English (orthography of the original):
Report: All your files are successfully encrypted.
Without panic, Ladies and Gentlemen!
-----------------------------------
All your files and databases are successfully encrypted by our sly-ass cryptor.
Deciphering all your goods without having a unique "decryptor" is virtually impossible !, you simply destroy all your data.
If you are not greedy, but a very generous person, then we are ready to exchange all your precious information for pathetic paper called bucks.
Believe me, the loot wins the evil, give it to us.
-----------------------------------
On the acquisition of "decryptor" write to the mail: jabanenok@gmail.com
In the letter - do not forget to indicate your "id" specified at the end of each encrypted file.
We will decrypt  for free several of your files, so that you can make sure that we have the decoder, maybe he will be by you.
-----------------------------------
© 2018 Everything will be fine!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!  ПРОЧТИ МЕНЯ.html
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: jabanenok@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Alex Svirid, Andrew Ivanov
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 22 апреля 2018 г.

AutoTRON

AutoTRON Ransomware
TRON-AutoIt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. Написан на AutoIt.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: другие AutoIt Ransomware >> AutoTRON (TRON-AutoIt)

К зашифрованным файлам добавляется расширение .TRON

Не путайте с предыдущим Tron Ransomware

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recovery your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can i Recover my Files ?
Sure, We guarantee that you can recover ll your files safely and easily. But you have not so enough time.
You have only have 10 days to submit the payment. Also, if you don't pay in 10 days, you won't be able to recover your files forever.
How Do I pay?
Payment is accepted in bitcoin only. For more inforrmation. Please check the current price of bitcoin and buy some bitcoins.
And send the correct amount to the address specifiled in the window.
After your payment you need to write to us on mail ( bitcoin.change.manager@gmail.com ) 
We will decrypt your files.
We strongly recommend you to not remove this software, and disable your anti-virus for a while, untill you pay and the payment gets processed. If your anti-virus gets updated and removes this software autmatically, it will not be able to recover your files even if you pay!
To unlock the computer, you must transfer the bitcoins to this address: 1GFDAKpVsGskvn4RmnjjUxmcrX54xC41nY
to contact us, write here: bitcoin.change.manager@gmail.com
For buy bitcoins, i can advise
Website: xxxxs://localbitcoins.com
Website: xxxxs://www.bestchange.com
The essence of the work through the exchangers is very simple: Choose what currency to change.
Then what currency you want to ( in our case - want to receive bitcoins )
Indicate the requisites of your wallet pay and a few minutes receive bitcoins to your wallet.
if you do not understand, you can watch the video how to exchange your money for bitcoin xxxxs://www.youtube.com/watch?v=Jck4GeBB3-c

Перевод записки на русский язык:
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов не доступны, и.к. они зашифрованы. Возможно, вы ищете способы восстановления ваших файлов, но не тратьте свое время.
Никто не сможет восстановить ваши файлы без нашей службы расшифровки.
Могу ли я восстановить мои файлы?
Конечно, мы гарантируем, что вы сможете безопасно и легко восстановить 11 файлов. Но у вас мало времени.
У вас есть только 10 дней, чтобы заплатить. Кроме того, если вы не платите за 10 дней, вы не сможете восстановить свои файлы никогда.
Как мне заплатить?
Оплата принимается только в биткоинах. Для получения информации. Пожалуйста, проверьте текущую цену биткоина и купите несколько биткоинов.
И отправьте правильную сумму по адресу, указанному в окне.
После вашего платежа вам нужно написать нам на почту (bitcoin.change.manager@gmail.com)
Мы расшифруем ваши файлы.
Мы настоятельно рекомендуем вам не удалять эту программу и отключить антивирус на некоторое время, пока вы не заплатите, и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, он не сможет восстановить ваш файлы, даже если вы заплатите!
Чтобы разблокировать компьютер, вы должны перевести биткоины по этому адресу: 1GFDAKpVsGskvn4RmnjjUxmcrX54xC41nY
для связи с нами напишите на : bitcoin.change.manager@gmail.com
Для покупки биткоинов я могу посоветовать
сайт: xxxxs://localbitcoins.com
сайт: xxxxs://www.bestchange.com
Суть работы через обменники очень проста: Выберите, какую валюту обменять.
Потом, какую валюту вы хотите (в нашем случае - хотите получать биткоины)
Укажите реквизиты своего кошелька и через несколько минут получите биткоины на свой кошелек, если вы не понимаете, вы можете посмотреть видео, как обменять деньги на биткоины.
xxxxs://www.youtube.com/watch?v=Jck4GeBB3-c



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.dat, .db, .doc, .exe, .jpg, .mp3, .pdf и другие
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://www.youtube.com/watch?v=Jck4GeBB3-c
Email: bitcoin.change.manager@gmail.com
BTC: 1GFDAKpVsGskvn4RmnjjUxmcrX54xC41nY
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 21 апреля 2018 г.

BlackHeart, BlackRouter

BlackHeart Ransomware

BlackRouter Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: BlackHeart и BlackRouter. На файлах разных вариантов написано: SF.exe, TR.exe, BLACKROUTER.EXE.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Общий крипто-строитель SF Ransomware >> SpartacusSatyrBlackRouter, BlackHeart


К зашифрованным файлам добавляются расширения (в разных вариантах):
.BlackRouter или .pay2me 

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadME-BLackHeart.txt

Содержание записки о выкупе:
All your data has been locked us. You want to return? Contact to:
vahidkhazl23@qmail.com Your Personal key:
Vz**********************************************q==

Перевод записки на русский язык:
Ваши данные блокированы нами. Вы хотите вернуть? Связь на:
vahidkhazl23@qmail.com Ваш персональный ключ:
Vz**********************************************q==

Запиской с требованием выкупа также выступает экран блокировки:

Своеобразное приложение к экрану блокировки

Разработчик-вымогатель, видимо, фанат новых Star Wars. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Зашифрованный файл в версиях BlackHeart и BlackRouter немного отличается. 
Оригинальный файл и зашифрованный BlackHeart и BlackRouter

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SF.exe
TR.exe (TR.EXE)
BLACKROUTER.EXE
ReadME-BLackHeart.txt
<random>.exe - случайное название
aut3.tmp, aut4.tmp, aut5.tmp
jrw.gif

Расположения:
\Desktop\ ->
\User_folders\ ->
\Temp\BLACKROUTER.EXE
\Temp\TR.EXE
\Temp\aut3.tmp
\Temp\aut4.tmp
\Temp\aut5.tmp
\AppData\Local\temp\tmp\jrw.gif

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >> VT>> VT>>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Общий крипто-строитель SF Ransomware - апрель 2018
Spartacus Ransomware - 15 апреля 2018
BlackRouter Ransomware  - 15 апреля 2018
Satyr Ransomware  - 18 апреля 2018
BlackHeart Ransomware - 21 апреля 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Spartacus)
 Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek, Bart
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DotZeroCMD

DotZeroCMD Ransomware

(фейк-шифровальщик, RaaS)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: DotZeroCMD.Ransom - v1.2 - RaaS RansomWare. На файле написано: Ransom DotZero CMD.Ransom. Целевая система: Windows x64.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

Файлы не шифруются. Имитируются процессы шифрования и дешифрования. Используется жёлтый экран из GoldenEye (Petya-3) Ransomware

Образец этого крипто-вымогателя был найден во второй половине апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Dot Zero CMD.Ransom - v1.2
Powered by Rekt-Cheats.ML DigitalGroup LLC
This is a ransonware virus!
You need to pay to get your files back!
Q: What happened?
A: All your files have been ecnrypted!
Q: How nuch i need to pay?
A: 13? via with a cryptocurrency!
@: cmdransom@rekp-cheats.ml
xxxxs://cmdh5gz4ku7kop4l.onion
Files will be encrypted in [ 12 ] seconds.
Copyright (c) 2003-2015 All rights reserved.
---
Status: Completed
Encrypted 100/100 files.
All files have been encrypted!
You need to buy a key to get your files back!
15? via cryptocurrency! (BTC, LTC, TH, RPL ..etc)
@: cmdranson@rekt-cheats.ml
Press any key to continue to the decryption screen...
---
DotZero CMD.Ransom - v1.2 - RaaS RansomWare!
Public-Key: 3xd8ZmAQ2V9zW PersonalID: d7:16:ae
You need to buy a key to get your files back?
15? via cryptocurrency! (BTC, LTC, TH, RPL ..etc)
@: cmdransom@rekt-cheats.ml
Enter private-key: 0xjh8tXH
Valid key!
Starting de-crypting...
Decrypting was successfully!
Your files have been recovered successfully! BB
Press any key to exit...

Перевод текста на русский язык:
Dot Zero CMD.Ransom - v1.2
Поддержка Rekt-Cheats.ML DigitalGroup LLC
Это вирус ransonware!
Вам нужно заплатить за возврат своих файлов!
Вопрос: Что случилось?
Ответ: Все ваши файлы зашифрованы!
Вопрос: Как мне нужно платить?
Ответ: 13? с помощью криптовалюты!
@: cmdransom@rekp-cheats.ml
xxxxs: //cmdh5gz4ku7kop4l.onion
Файлы будут зашифрованы через [12] секунд.
Copyright (c) 2003-2015 Все права защищены.
---
Статус: завершено
Зашифровано файлов 100/100.
Все файлы зашифрованы!
Вам нужно купить ключ, чтобы вернуть ваши файлы!
15? в криптовалюте! (BTC, LTC, TH, RPL ..etc)
@: cmdranson@rekt-cheats.ml
Нажмите любую клавишу, чтобы перейти к экрану дешифрования...
---
DotZero CMD.Ransom - v1.2 - RaaS RansomWare!
Открытый ключ: 3xd8ZmAQ2V9zW PersonalID: d7:16:ae
Вам нужно купить ключ, чтобы вернуть ваши файлы?
15? в криптовалюте! (BTC, LTC, TH, RPL ..etc)
@: cmdransom@rekt-cheats.ml
Введите секретный ключ: 0xjh8tXH
Правильный ключ!
Запуск дешифрования ...
Дешифрование успешно!
Ваши файлы были успешно восстановлены! BB
Нажмите любую клавишу для выхода...



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RansomDotZeroCMD.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxxs://cmdh5gz4ku7kop4l.onion
Email: cmdransom@rekt-cheats.ml
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Jakub Kroustek
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 18 апреля 2018 г.

Satyr

Satyr Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в 0.018 BTC, чтобы вернуть файлы. Оригинальное название: Satyr и SF. На файле написано: SF.exe. Написан на языке .NET. Разработчик: Javad или tony_montana. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Общий крипто-строитель SF Ransomware >>  Spartacus, Satyr, BlackRouter, BlackHeart



К зашифрованным файлам добавляется расширение .Satyr

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ ME.txt

Содержание записки о выкупе:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us the Telegram: https://t.me/tony_montana10928 or @tony_montana10928 and send personal ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***
For Decrypt Your Personal Files Send 0.018 BTC to this address:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
You have to pay for decryption in Bitcoins. The price depends on how you write to us. After payment we will send you the\r\ndecryption tool that will decrypt all your files.
Your personal ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***

Перевод записки на русский язык:
Советы по безопасности
Все ваши файлы зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, пишите нам Telegram: xxxxs://t.me/tony_montana10928 или @ tony_montana10928 и отправьте персональный ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***
Для расшифровки ваших личных файлов пришлите 0.018 BTC по этому адресу:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, когда вы напишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Ваш персональный ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***


Запиской с требованием выкупа также выступает экран блокировки, встающий поверх Рабочего стола:


Содержание текста о выкупе:
Security tips
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us the Telegram: xxxxs://t.me/tony_montana10928 or @tony_montana10928 and send personal ID KEY:
AbU2ZqRplR1wWLAuw9PL4A***
For Decrypt Your Personal Files Send 0.018 BTC to this address:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
You have to pay for decryption in Bitcoins. The price depends on how you write to us. After payment we will send you the decryption tool that will decrypt all your files.

Перевод текста на русский язык:
Советы по безопасности
Все ваши файлы зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, пишите нам Telegram: xxxxs://t.me/tony_montana10928 или @ tony_montana10928 и отправьте персональный ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***
Для расшифровки ваших личных файлов пришлите 0.018 BTC по этому адресу:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, когда вы напишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов командами:
cmd.exe /c vssadmin.exe delete shadows /all /quiet
vssadmin.exe delete shadows /all /quiet

➤ Исследователи вредоносных программ подтвердили родство двух вредоносных программ: Spartacus и Satyr, которое я предположил, сравнив имеющиеся визуальные элементы этих двух вымогательств.  


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SF.exe
Satyr.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: tony_montana10928
BTC: 19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Общий крипто-строитель SF Ransomware - апрель 2018
Spartacus Ransomware - 15 апреля 2018
BlackRouter Ransomware  - 15 апреля 2018
Satyr Ransomware  - 18 апреля 2018
BlackHeart Ransomware - 21 апреля 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Satyr)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton