NSMF

NSMF Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 5 BTC, чтобы вернуть файлы. Оригинальное название написано на файле и в записке.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> NSMF

К зашифрованным файлам добавляется расширение .nsmf

Активность этого крипто-вымогателя пришлась на середину июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
Files has been encrypted with NSMF (Nigga Stone My Files)
Send me 5 bitcoins or pizza
And I also hate night clubs, desserts, being drunk.
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMW

Перевод записки на русский язык:
Файлы были зашифрованы с NSMF (Nigga Stole My Files)
Пришлите мне 5 биткоинов или пиццу
И я тоже ненавижу ночные клубы, десерты, пьяных.
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMW

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

На момент публикации шифровались только файлы на Рабочем столе. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
NSMF.exe
readme.txt

Расположения:
\Desktop\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***vistafan12.eu***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Trojan-Syria

Trojan-Syria Ransomware

Wana Decrypt0r Trojan-Syria Editi0n

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: Wana Decrypt0r Trojan-Syria Editi0n.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Hidden Tear >> Trojan-Syria

Имеет функционал для шифрования (код из Hidden Tear), но на момент написания статьи ещё не шифровал файлы. После шифрования к файлам должно было добавляться расширение: .Wana Decrypt0r Trojan-Syria Editi0n

Первый образец этого крипто-вымогателя был найдет в середине июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Новый образец был презентован 18 июня. Он уже шифрует файлы и добавляет к зашифрованным файлам расширение .wannacry

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops, Your Files Have Been Encrypted !!!
What Happened To My Computer?
your important files are encrypted.
many of your documents, photos, videos, and other files are no longer
accessible because they have been encrypted, maybe you are busy looking
way to recover your files, but do not waste your time, nobody can recover
your files without our decryption service.
Can I Recover My Files?
sure we guarantee that you can recover all your files safely and easily.
but you have not so enough time.
if you need to decrypt your files, yo need to pay.
you only have 3 days to submit the payment.
after that the price will be doubled or your files and computer will be destroyed
How Do I Pay?
payment is accepted in bitcoin only, for more information, click <About Bitcoin>
check the current price of bitcoin and buy some bitcoin. for more information,
click <HowTo Buy Bitcoin>
and send correct amount to the address below
after your payment, click <Check Payment> to to decrypt your files.
Send $50 Worth In Bitcoin To This Address
[BTC] button [Copy]
button [Check Payment]

Перевод записки на русский язык:
Упс, ваши файлы зашифрованы !!!
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео и других файлов больше не являются, потому что они зашифрованы, может быть, вы заняты поиском способа восстановления ваших файлов, но не тратьте впустую свое время, никто не сможет восстановить ваши файлы без нашей службы расшифровки.
Могу ли я восстановить мои файлы?
Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко.
Но у вас недостаточно времени.
Если вам нужно расшифровать ваши файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы отправить платеж.
После этого цена будет удвоена или ваши файлы и компьютер будут уничтожены.
Как мне оплатить?
Оплата принимается только в биткоинах, для получения информации нажмите <О биткоинах>
Проверьте текущую цену биткоина и купите биткоины. Чтобы получить больше информации,
нажмите ссылку <HowTo Buy Bitcoin> и отправьте правильную сумму по указанному ниже адресу.
После оплаты нажмите кнопку <Check Payment>, чтобы расшифровать ваши файлы.
Отправьте $50 в биткоинах в этот адрес
[BTC] кнопка [Copy]
кнопка [Check Payment]

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .bmp, .csv, .doc, .docx, .exe, .flv, .gif, .html, .jpeg, .jpg, .mdb, .mp3, .mp4, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .rtf, .sln, .txt, .xls, .xlsx, .xml, .zip (29 расширений).
Это документы MS Office, PDF, текстовые файлы, веб-файлы, файлы изображений, файлы проектов, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
Wana Decrypt0r Trojan-Syria Editi0n.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ 1st sample >>
VirusTotal анализ 2st sample >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 февраля 2018:
Пост в Твиттере >>
🎥 Видеоролик >>
Файл: Wana Decrypt0r New Editi0n1.exe
Название файла: Wana Decrypt0r Trojan-Syria Editi0n
Сумма выкупа: $250
BTC: 1NZopt9YGRuCP6XDDVSE4g468Jv3XEmWBH
Файл на обои: %APPDATA%\img.jpg
Результаты анализов: HA + VT

Экран блокировки, изображение на обои и значок файла на рабочем столе

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 🎥 Video review

 - видеообзор от CyberSecurity GrujaRS

 Thanks: 
 MalwareHunterTeam
 Karsten Hahn
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Fake Cerber

Fake Cerber Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название не указано, т.к. выдаёт себя за Cerber Ransomware.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.
Фактически является блокировщиком-вымогателем. 

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: index.html

Содержание записки о выкупе на английском и немецком:
CERBER RANSOMWARE
Your computer has been blocked and your documents, photos, databases and other important files have been encrypted!
To unblock your computer and decrypt your files you must follow the instructions below.
This is the only possibility to unblock your computer and get your files back.
All transactions should be performed via Bitcoin network only.
Instructions:
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins (0.1 Bitcoins)
          Here are our recommendations : 
          LocalBitcoins.com - the fastest and easiest way to buy and sell Bitcoins; 
          CoinCafe.com - the simplest and fastest way to buy, sell and use Bitcoins; 
          BTCDirect.eu - the best for Europe; 
          CEX.IO - Visa / MasterCard; 
          CoinMama.com - Visa / MasterCard; 
          HowToBuyBitcoins.info - discover quickly how to buy and sell bitcoins in your local currency.
3. Send 0.1 BTC(Bitcoins) to the following address: 
1MBCWxpbzn6xPsg9VxABgP7avHaKeR4jJP
4. Your computer will be unblocked and your files will be decrypted automatically!

CERBER RANSOMWARE
Ihr Computer wurde blockiert und Ihre Dokumente, Fotos, Datenbanken und andere wichtige Dateien wurden verschlüsselt! 
Um Ihren Computer zu entsperren und Ihre Dateien zu entschlüsseln, müssen Sie die unten stehenden Anweisungen befolgen.
Dies ist die einzige Möglichkeit Ihren Computer freizuschalten und Ihre Dateien zurück zu bekommen.
Alle Transaktionen sollten nur über das Bitcoin - Netzwerk erfolgen.
Anweisungen:
1. Erstellen Sie einen Bitcoin Wallet (wir empfehlen Blockchain.info)
2. Kaufen Sie die notwendige Menge an Bitcoins(0.1 Bitcoins)
          Hier sind unsere Empfehlungen: 
          LocalBitcoins.com - Bitcoin - Marktplatz, einfach und schnell; 
          CoinCafe.com - schnell und einfach Bitcoins kaufen; 
          BTCDirect.eu - das Beste für Europa; 
          CEX.IO - Visa / MasterCard; 
          CoinMama.com - Visa / MasterCard; 
          HowToBuyBitcoins.info - Entdecken Sie schnell, wie man Bitcoins in Ihrer Währung kauft und verkauft.
3. Senden Sie 0.1 BTC(Bitcoins) an die folgende Adresse: 
1MBCWxpbzn6xPsg9VxABgP7avHaKeR4jJP
4. Ihr Computer wird freigegeben und Ihre Dateien werden automatisch entschlüsselt!

Перевод записки на русский язык:
CERBER RANSOMWARE
Ваш компьютер заблокирован, а ваши документы, фото, базы данных и другие важные файлы зашифрованы!
Чтобы разблокировать ваш компьютер и расшифровать ваши файлы, вы должны следовать инструкциям ниже.
Это единственная возможность разблокировать ваш компьютер и вернуть файлы.
Все транзакции должны выполняться только через сеть Bitcoin.
Инструкции:
1. Создайте Биткоин-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткоинов (0.1 биткойна)
          Вот наши рекомендации:
          LocalBitcoins.com - самый быстрый и простой способ купить и продать биткойны;
          CoinCafe.com - самый простой и быстрый способ купить, продать и использовать биткойны;
          BTCDirect.eu - лучший для Европы;
          CEX.IO - Visa / MasterCard;
          CoinMama.com - Visa / MasterCard;
          HowToBuyBitcoins.info - быстро узнайте, как купить и продать биткоины в местной валюте.
3. Отправьте 0.1 BTC (биткоин) по следующему адресу:
1MBCWxpbzn6xPsg9VxABgP7avHaKeR4jJP
4. Ваш компьютер будет разблокирован, а ваши файлы будут дешифрованы автоматически!

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, а затем выключает компьютер, используя команды:
%WINDIR%\system32\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
 vssadmin.exe vssadmin delete shadow /all /quiet
 WMIC.exe wmic shadowcopy delete
 bcdedit.exe bcdedit /set {default} boostatuspolicy ignoreallfailures
 bcdedit.exe bcdedit /set {default} recoveryenabled no
 wbadmin.exe wbadmin delete catalog -quiet
 cmd.exe %WINDIR%\system32\cmd.exe /c shutdown -r -f -t 0
 shutdown.exe shutdown -r -f -t 0

Заменяет Winlogon. Скрывает диспетчер задач. 
Похищает конфиденциальную информацию из браузеров. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Update.exe
test.exe
<random>.exe
index.bat
index.html

Расположения:
%TEMP%\random\random.exe
%APPDATA%\index.bat
%APPDATA%\index.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://5.199.164.235/load/Update.exe*** (5.199.164.235:80 Литва)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

BTCWare-Master

Master Ransomware

BTCWare-Master Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (только первые 10 Мб), а затем требует написать на email вымогателей, чтобы узнать сумму выкупа в BTC и как вернуть файлы. Оригинальное название: Master Ransomware. 

This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare > BTCWare-Master 

К зашифрованным файлам добавляется составное расширение по шаблону 
.[<email>].master 

На данный момент это было: .[teroda@bigmir.net].master

Активность этого крипто-вымогателя пришлась на середину июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !#_RESTORE_FILES_#!.inf

Другим информатором жертвы выступает скринлок, встающий изображением рабочего стола. 

Содержание записки о выкупе:
[WHAT HAPPENED]
Your important files produced on this computer have been encrypted due a security problem
If you want to restore them, write us to the e-mail: teroda@bigmir.net 
or BM-2cWscKHR4SVHDYp4FqVHC5D5fJFNAWNwcc@bitmessage.ch
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
[FREE DECRYPTION AS GUARANTEE]
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information
and their total size must be less than 1Mb
For test decryption send on our email !#_RESTORE_FILES_#!.inf
and 3 encrypted files from ONE FOLDER
[HOW TO OBTAIN BITCOINS]
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller
by payment method and price
https://localbitcoins.com/buy_bitcoins
[ATTENTION]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files
Your ID: 
bZ/+3h5*****

Перевод записки на русский язык:
[ЧТО СЛУЧИЛОСЬ]
Ваши важные файлы, созданные на этом компьютере, были зашифрованы из-за проблемы с безопасностью.
Если вы хотите их восстановить, напишите нам на e-mail: teroda@bigmir.net или BM-2cWscKHR4SVHDYp4FqVHC5D5fJFNAWNwcc@bitmessage.ch
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифровки, который расшифрует все ваши файлы.
[БЕСПЛАТНАЯ ДЕШИФРОВКА КАК ГАРАНТИЯ]
Перед оплатой вы можете отправить нам до 3 файлов для бесплатной дешифровки.
Обратите внимание, что файлы НЕ должны содержать ценную информацию и их общий размер должен быть меньше 1 Мб.
Для тестовой дешифровки отправьте по email ! #_ RESTORE_FILES _ # !. inf и 3 зашифрованных файла из ОДНОЙ ПАПКИ.
[КАК ПОЛУЧИТЬ БИТКОИНЫ]
Самый простой способ купить биткоины - сайт LocalBitcoins.
Вам нужно зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца.
По способу оплаты и цене
https://localbitcoins.com/buy_bitcoins
[ВНИМАНИЕ]
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это приведёт к безвозвратной потере данных.
Если вы не напишете по email через 36 часов - ваш ключ будет удален, и вы не можете расшифровать свои файлы.
Ваш ID:
bZ/+3h5*****

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
"vssadmin.exe" with commandline "Delete Shadows /All /Quiet"
"bcdedit.exe" with commandline "/set {default} recoveryenabled No"
"bcdedit.exe" with commandline "/set {default} bootstatuspolicy ignoreallfailures"
"%WINDIR%\System32\cmd.exe" /c vssadmin.exe Delete Shadows /All /Quiet""
"%WINDIR%\System32\cmd.exe" /c bcdedit.exe /set {default} recoveryenabled No""
"%WINDIR%\System32\cmd.exe" /c bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures""

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!#_RESTORE_FILES_#!.inf
svchost.exe
teroda@bigmir.net.exe
<random>.exe

Расположения:
C:\Users\User\AppData\Roaming\svchost.exe
%APPDATA%\!#_RESTORE_FILES_#!.inf

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BM-2cWscKHR4SVHDYp4FqVHC5D5fJFNAWNwcc@bitmessage.ch
Email: teroda@bigmir.net 
bigmir.net - это Украина
Другие email:
darkwaiderr@cock.li
stopstorage@qq.com
westbleep@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 января 2018:
Расширение: .master
Записка: !#_RESTORE_FILES_#!.inf
Email: look1213@protonmail.com
Результаты анализов: VT
***

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCWare Master)
 Write-up, Topic of Support
 Video review

 Thanks: 
 Alex Svirid
 Michael Gillespie
 MalwareHunterTeam
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

WinUpdatesDisabler

WinUpdatesDisabler Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название: WinUpdatesDisabler. На файле написано: Windows 10 Updates Disabler

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> WinUpdatesDisabler

К зашифрованным файлам добавляется расширение .zbt

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на пользователей, понимающих сербско-хорватский язык, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
Payment information for decryption.txt

Содержание записки о выкупе:
Ej sestriće, moraš da gi platiš.
Ako gi ne platiš, zaključani fajlovi nema da gi vratiš.

Перевод записки на русский язык:
Эй, сестра, требуется платить. 
Если не платить, блокированные файлы не вернуть.

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WinUpdatesDisabler.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

CryptoSpider

CryptoSpider Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем оставляет надпись на изображении. Оригинальное название: CryptoSpider. На файле написано: CryptoSpider.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> CryptoSpider

К зашифрованным файлам добавляется расширение .Cspider

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение на обоях (на экране блокировки?):

Содержание текста о выкупе:
HACKED BY ./Mr.Gh0s7_C47
./Mr.Gh0s7_C47
ARE YOU SAFE?

Перевод текста на русский язык:
ВЗЛОМАНО ./Mr.Gh0s7_C47
./Mr.Gh0s7_C47
ВЫ В БЕЗОПАСНОСТИ?

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoSpider.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.