Если вы не видите здесь изображений, то используйте VPN.

среда, 24 мая 2017 г.

MoWare H.F.D

MoWare H.F.D Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в 0.02 BTC, чтобы вернуть файлы. Если оплата не поступит в течение 4 дней, то сумма выкупа увеличится до 0.5 BTC.  Оригинальное название: MoWare H.F.D.


шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> MoWare H.F.D

К зашифрованным файлам должно добавляться расширение .H_F_D_locked
Но что-то в шифровании не доработано или ключ шифрования не поступает с сервера, потому файлы не шифруются. 

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Your Personal Files has been Encrypted and Locked
Your documents, photos, databases and other important files have been encrypted with strongest encryption and locked with unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
Caution: Removing of MoWare H.F.D will not restore access ti your encrypted files.
Frequently Asked Questions
What happened to my files ? understanding the issue
How can i get my files back ? the only way to restore your
What should i do next ? Buy decryption key
Now you have the last chance to decrypt your files.
1. Buy Bitcoin (https://blockchain.info)
2. Send amount of 0.02 BTC to address: 15nbyuacLHfm3FrC5hz1nigNVqEbDwRUJq
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at heyklog@protonmail.com
Click here to restore and recovery your files

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы и блокированы
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с использованием самого сильного шифрования и защищены ключом, созданным для этого компьютера.
Частный ключ дешифрования хранится на секретном интернет-сервере, и никто не может расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
Предупреждение: Удаление MoWare H.F.D не восстановит доступ к вашим зашифрованным файлам.
Часто задаваемые вопросы
Что случилось с моими файлами? Понимание проблемы
Как я могу вернуть свои файлы? Единственный способ восстановить
Что я должен делать дальше ? Купить ключ дешифрования
Теперь у вас есть последний шанс для расшифровки файлов.
1. Купить биткоин (https://blockchain.info)
2. Отправить сумму 0.02 BTC на адрес: 15nbyuacLHfm3FrC5hz1nigNVqEbDwRUJq
3. Для подтверждения транзакции требуется около 15-30 минут.
4. Когда транзакция подтверждена, отправьте нам email по адресу heyklog@protonmail.com.
Нажмите здесь, чтобы восстановить и вернуть ваши файлы

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Особенности: Отключает реестр, диспетчер задач, командную строку.

Список файловых расширений, подвергающихся шифрованию:
.#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .aet, .afm, .ai, .aif, .amj, .as, .as3, .asc, .asf, .asm, .asp, .asx, .ati, .avi, .back, .bak, .bat, .bay, .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .cat, .cb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .cfp, .cgm, .cgn, .ch, .chg, .cht, .clas, .clk, .cmd, .cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .csr, .css, .csv, .cur, .cus, .d07, .dac,.dat, .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsb, .dsf, .dtau, .dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs, .efsl, .efx, .emd, .eml, .emp, .ens, .ent, .epa, .epb, .eps, .eqb, .ert, .esk, .ess, .esv, .etq, .ets, .exp, .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem, .gfi, .gif, .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12, .hbk, .hif, .hpp, .hsr, .html, .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int?, .intu, .inv, .inx, .ipe, .ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .key, .kmo, .kmy, .lay, .lay6, .lcd, .ldc, .ldf, .ldr, .let, .lgb, .lhr, .lid, .lin, .lld, .lmr, .log, .lua, .lz, .m, .m10, .m11, .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max, .mbsb, .md, .mda, .mdb, .mdf, .mef, .mem, .met, .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc, .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd, .nef, .nl2, .nni, .npc, .nv, .nv2, .oab, .obi, .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc, .ofx, .old, .omf, .op, .orf, .ost, .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct, .pcx, .pd6, .pdb, .pdd, .pdf, .pem, .per, .pfb, .pfd, .pfx, .pg, .php, .pic, .pl, .plb, .pls, .plt, .pma, .pmd, .png, .pns, .por, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptdb, .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rsspptm, .rtf, .rtp, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .say, .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .seam, .ses, .set, .shw, .sic, .skg, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .tax, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .text, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv, .zdb, .ziparc, .zipx, .zix, .zka (666 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MoWare H.F.D.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.google.fr
safakguvenkaya.com (144.76.48.33:80 Германия)
Email: heyklog@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24 сентября 2018:
Расширение: нет данных. 
Файл: MoWare H.F.D.exe
Результаты анализов: VT


Обновление от 28 сентября 2018:
Пост в Твиттере >>
Файл: SexyNude.exe
Результаты анализов: VT




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MoWare)
 Write-up, Topic
 * 
 Thanks: 
 Karsten Hahn
 Marcelo Rivero
 Andrew Ivanov, Alex Svirid
 S!Ri
 

© Amigo-A (Andrew Ivanov): All blog articles.

WTDI

WTDI Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на номер ICQ, чтобы узнать сумму выкупа за файлы. Оригинальное название неизвестно. На файле написано: CryptoWall. Фальш-имя: CryptoWall. Написан на языке программирования .NET. Файлы можно дешифровать. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .wtdi

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе (ошибки на совести вымогателей):
В общем сори, но мы тут немного пошалили и зашифровали все твои документы. Если хочешь расшифровать их то нужно платить. Как говорится бесплатна только мышь в мишиловке =)) Будь паенькой и заплати. А то не ведать тебе файликов твоих =)
Вот номер счета: 8978967983
А это связь с нами: 150 893770
мы там скажем столько будет стоить дешифратор...

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoWall.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Это можно дешифровать
См. информацию по ссылке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Deos

Deos Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальные названия: Deos и Locker.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Deos

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа является изображение. По всей видимости работа над шифровальщиком ещё не завершена. 

Содержание записки о выкупе:
ALERT !
ALL YOUR FILES HAVE BEEN ENCRYPTED
THE KEY FOR DECRYPTION IS STORED ON OUR PRIVATE SERVER, TO GET IT YOU NEED TO
PAY A RANSOM IN BITCOIN OF 0.1 BTC TO THE FOLLOWING ADDRESS:
1XU9D0WA0IDWAI0DAWWDA09
AFTER PAYMENT, INSERT THE
TRANSACTION URL IN THE SPACE BELOW AND WAIT FOR DECRYPT.
THERE IS NO OTHER WAY TO DECRYPT YOUR FILES, EXCEPT PAYING.
YOUR KEY WILL BE DESTROYED AFTER THE TIMER REACHES 0.

Перевод записки на русский язык:
Тревога!
Все ваши файлы были зашифрованы
Ключ для дешифрования хранится на нашем частном сервере, для его получения вам надо
уплатить выкуп в 0.1 биткойна на следующий адрес:
1XU9D0WA0IDWAI0DAWWDA09
После оплаты вставьте URL-адрес транзакции в поле ниже и дождитесь расшифровки.
Не существует другого способа расшифровки ваших файлов, кроме оплаты.
Ваш ключ будет уничтожен после того, как таймер достигнет 0.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql,.txt, .xls, .xlsx, .xml (20 расширений). 

Это документы MS Office, OpenOffice, текстовые файлы, веб-страницы, базы данных, фотографии и пр.

Файлы, связанные с этим Ransomware:
Locker.exe
графическое изображение

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 23 мая 2017 г.

Priapos

Priapos Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1.5 BTC, чтобы вернуть файлы. Оригинальное название: PRIAPOS. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .PRIAPOS

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instructions!!!.hta

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC.
15643990****
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.If you want to restore them, write us to the e-mail mk.priapos@bigmir.net 
Before paying you can send us up to 1 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information.
The amount you need to pay to receive your files 1.5(Bitcoin)
How to obtain Bitcoins
• The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
• Bitcoin: 
http://www.localbitcoins.com (Visa/MasterCard, QIWI Visa Wallet, Bank Transfer.) 
1.5 BTC 
If I can not connect through the mail, I can not
• mk.priapos@bigmir.net
In the reply letter you will receive a program for decryption.
After starting the decryption program, all your files will be restored.
Attention!
• Do not try to uninstall the program or run antivirus software
• Attempts to self-decrypt the files will lead to the loss of your data
• Decoders of other users are incompatible with your data, as each user has a unique encryption key

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью на вашем ПК.
15643990 ****
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы нам напишете. После оплаты мы вышлем вам инструмент расшифровки, который расшифрует все ваши файлы. Если вы хотите их восстановить, напишите нам на email mk.priapos@bigmir.net
Перед оплатой вы можете отправить нам 1 файл на бесплатную расшифровку. Общий размер файлов должен быть меньше 10 МБ (не архив), а файлы не должны содержать ценной информации.
Сумма, которую вы должны заплатить, чтобы получить ваши файлы 1.5 (биткоин)
Как получить биткоины
• Самый простой способ купить биткоины - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать «Купить биткоины» и выбрать продавца по способу оплаты и цене.
• Биткоин:
http://www.localbitcoins.com (Visa/MasterCard, QIWI Visa Wallet, банковский перевод.)
1,5 BTC
Если я не могу подключиться к почте, я не могу
• mk.priapos@bigmir.net
В ответном письме вы получите программу для расшифровки.
После запуска программы дешифрования все ваши файлы будут восстановлены.
Внимание!
• Не пытайтесь удалить программу или запустить антивирусную программу.
• Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
• Декодеры других пользователей несовместимы с вашими данными, т.к. каждый пользователь имеет уникальный ключ шифрования

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Instructions!!!.hta
<random>.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mk.priapos@bigmir.net
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (n/a)
 Topic of Support
 * 
 Thanks: 
 sectionsecure (owner of the affected PC)
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CVLocker

CVLocker Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
CVLocker
oops, your files are encrypted.
why you ask? well, you been have found doing the following:
- Watching MLG Montage Parodies
- Expanding Dong
- Creating Bonzi Buddy
Time left untill your files are deleted:
60
To decrypt your files, send an email to fuck-off-from-my-p...

Перевод записки на русский язык:
CVLocker
Упс, твои файлы зашифрованы.
почему, спросишь ты? Ну ты нашел следующее:
- Смотреть пародии на MLG Montage
- Расширить Dong
- Создать Bonzi Buddy
Время, оставшееся до удаления ваших файлов:
60
Для расшифровки файлов отправьте письмо на fuck-off-from-my-p ..

Позиционируется как программа-шутка. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CVLocker.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Widia

Widia Ransomware
WidiaLocker Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует неназванный выкуп, чтобы вернуть файлы. Оригинальное название. На файле написано: client. Разработчик: Sorin. Фальш-копирайт: Microsoft 2017. Ничего не шифрует или находится в разработке. Для Windows x86. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской с требованием выкупа выступает экран блокировки. Его можно закрыть комбинацией клавиш: Alt+F4. В левом верхнем углу есть надпись на румынском: De la Sorin pt voi. (перевод: "От Сорина тебе"). 


Содержание записки о выкупе:
Your documents, photos, databases and other important files have been encryptedwith the strongest encryption and unique key, generated for this computer. Privatedecryption key is stored on a secret Internet server and nobody can decrypt yourfiles until you pay and obtain the private key. The server will eliminate the key after atime period specified in this window.

Перевод записки на русский язык:
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с самым мощным шифрованием и уникальным ключом, созданным для этого компьютера. Закрытый ключ дешифрования хранится на секретном интернет-сервере и никто не может расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ. Сервер удалит ключ после периода времени, указанного в этом окне.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
client.exe
b60e87widia.exe
<random>.exe
oops.rr
oobelx.dt
b60e87widia.ini
wd0w.exe

Расположения:
%WINDIR%\b60e87widia.exe
%WINDIR%\oops.rr
%WINDIR%\oobelx.dt
%WINDIR%\b60e87widia.ini
%WINDIR%\wd0w.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

VMola

VMola Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам расширение не добавляется. 
Вместо этого используется комбинация filemarker ***Encrypted by vmola.com*** + base64

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Ransom.rtf

Содержание записки о выкупе:
! YOUR FILES HAVE BEEN ENCRYPTED !
To decrypt your files send 0.1 BTC to 3HuREAXxTzx9XnmTKz1xi7RPycjsQsc7NN9
and add your email as note.

Перевод записки на русский язык:
! ТВОИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Для расшифровки файлов пошли 0.1 BTC на 3HuREAXxTzx9XnmTKz1xi7RPycjsQsc7NN9
и добавь свой email как примечание.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
1c24e5b9cf7dbc0630ac528ba36ae6cb(Encrypted_By_VMola.com).ico - переименованный exe-файл
Ransom.rtf
<random>.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VMola)
 Write-up, Topic
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 22 мая 2017 г.

Damoclis gladius

Damoclis Gladius Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Damoclis gladius Ransomeware
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© ГенеалогияX3M ⟺ Nemesis ⟺ СryptON > Cry9, Cry36, Cry128 > Damoclis gladius

К зашифрованным файлам добавляется расширение .damoclis

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOWTODECRYPTFILES.html 

Содержание записки о выкупе:
ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED
Damoclis gladius Ransomeware
To decrypt your files you need to buy the special software - «Damoclis gladius decryptor»
To recover data, follow the instructions!
You can find out the details/ask questions in the e-mail:
ransomed@india.com
You can find out the details/ask questions in the chat:
xxxx://45pivhvier7acz3d.onion.to (not need Tor)
xxxxs://45pivhvier7acz3d.onion.cab (not need Tor)
xxxx://45pivhvier7acz3d.onion (need Tor)
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address https://www.torproject.orq/download/download-easv.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://45pivhvier7acz3d.onion/ in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
// If you have any problems installing or using please visit the video tutorial xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q
Your personal identification ID: 369209069

Перевод записки на русский язык:
ВСЕ ВАША РАБОТЫ И ПЕРСОНАЛЬНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Damoclis gladius Ransomeware
Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - «Damoclis gladius decryptor»
Чтобы восстановить данные, следуйте инструкциям!
Вы можете узнать подробности / задать вопросы по email:
ransomed@india.com
Вы можете узнать подробности / задать вопросы в чате:
xxxx://45pivhvier7acz3d.onion.to (не нужен Tor)
xxxxs://45pivhvier7acz3d.onion.cab (не нужен Tor)
xxxx://45pivhvier7acz3d.onion (нужен Tor)
Если ресурс недоступен долгое время, установите и используйте Tor-браузер:
1. Запустите свой интернет-браузер.
2. Введите или скопируйте адрес https: //www.torproject.orq/download/download-easv.html в адресную строку вашего браузера и нажмите клавишу ВВОД
3. На сайте будет предложено загрузить Tor-браузер, загрузите и установите его. Запустите.
4. Подключитесь кнопкой "Connect" (если вы используете английскую версию)
5. После подключения откроется обычное окно Tor-браузера
6. Введите или скопируйте адрес xxxx://45pivhvier7acz3d.onion/ в адресную строку Tor-браузера и нажмите клавишу ВВОД
7. Подождите, пока сайт загрузится.
// Если у вас возникли проблемы с установкой или использованием, посетите видеоурок xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q
Ваш личный идентификатор ID: 369209069

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOWTODECRYPTFILES.html 
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ransomed@india.com
Tor: xxxx://45pivhvier7acz3d.onion.to
xxxxs://45pivhvier7acz3d.onion.cab
xxxx://45pivhvier7acz3d.onion
См. ниже результаты анализов.


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.





=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


См. выше Генеалогия


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 июля 2018:
Email: ransomed@india.com
Bitmessage: BM-2cWzhoNFbjQ3X8pULiWSyKhc6dedQ54zQ1
Tor-URL: xxxxs://cryptxf3zamy5kfz.tor2web.link

xxxxs://cryptxf3zamy5kfz.onion.plus
xxxx://cryptxf3zamy5kfz.onion/
➤ Содержание записки:
You can learn more / request e-mail:
ransomed@india.com
You can learn more/questions in the chat:
xxxxs://cryptxf3zamy5kfz.tor2web.link (not need Tor)
xxxxs://cryptxf3zamy5kfz.onion.plus (not need Tor)
xxxx://cryptxf3zamy5kfz.onion/ (need Tor)
You can learn more problem out bitmessage:
xxxxs://bitmsg.me/ BM-2cWzhoNFbjQ3X8pULiWSyKhc6dedQ54zQ1
- If the resource is unavailable for a long time to install and use the terms of reference of the browser:
1. + Start the Internet browser
2. + Type or copy the address xxxxs://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. + On the website you will be prompted to download the Tor browser, download and install it. To work.
4. + Connection, click "connect" (using English version)
5. + After connecting, open a normal window Tor-browser
6. + Type or copy the address xxxx://cryptxf3zamy5kfz.onion/ in the address bar of Tor-browser and press key ENTER
7. + Wait for the download site
// + If you have any problems with installation or usage, please visit the video: 
xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q
Топик на форуме >>





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 victim in the topic of support
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *