Если вы не видите здесь изображений, то используйте VPN.

вторник, 30 мая 2017 г.

Gomme

Gomme Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $25 в BTC, чтобы вернуть файлы. Оригинальное название: Gomme Ransom. На файле написано: gmm33.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .gommemode

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***нет данных***

Содержание записки о выкупе:
=====Gomme Ransom=====
ALL OF YOUR FILES HAVE BEEN ENCRYPTED!
Everything, Music, Documents, Programs etc, has been encrypted!
WARNING: IF YOU RESTART YOUR COMPUTER WE WON’T BE ABLE TO RESTORE YOUR FILES & YOU WILL LOSE THEM FOREVER!
How can I get my files back?
You will need to pay $25, as soon as you did, you will receive your files back.
You will find the 'TOR Browser' on your desktop.
lf you don't own BTC, purchase some at paxful.com or localbitcoins.
SEND THE MONEY TO THIS ADDRESS: 
3FryHKYhynqDYHr24kFaoBWGW9ghzsTwMP

Перевод записки на русский язык:
=====Gomme Ransom=====
Все ваши файлы были зашифрованы!
Все, музыка, документы, программы и т.д. были зашифрованы!
Предупреждение. Если вы перезагрузите компьютер, мы не сможем восстановить ваши файлы, и вы потеряете их навсегда!
Как я могу вернуть свои файлы?
Вам нужно будет заплатить 25 долларов, как только вы это сделаете, вы получите свои файлы обратно.
На рабочем столе вы найдете «TOR-браузер».
Если вы не имеете BTC, купите их на paxful.com или localbitcoins.
Отправьте деньги по этому адресу:
3FryHKYhynqDYHr24kFaoBWGW9ghzsTwMP

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
gmm33.exe
TORBrowser.exe

Расположения:
/Desktop/TORBrowser.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://fatulatti.pro/gommeransom/1231.php
xxxx://fatulatti.pro/gommeransom/btc.txt
Ранее мной с адреса fatulatti.pro/gommeransom/1231.php получен код justajokem9
Сейчас fatulatti.pro/gommeransom/btc.txt - показывает BTC-адрес 3FryHKYhynqDYHr24kFaoBWGW9ghzsTwMP
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT+ 
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Blooper

Blooper Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: Blooper. На файле написано: fakeransom. Фальш-копирайт: Microsoft. В заголовке: Bloopers Encrypter 1.0.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступают два диалоговых окна и экран блокировки с заголовком Bloopers Encrypter 1.0. Впрочем, он его можно просто вырубить в процессах и удалить. 

Содержание записки о выкупе:
Ops! Look like your files have been encrypted!
What just Happened?
Your files have been encrypted. This indudes your documents, videos, photos, etc.
How can I recover them?
You just need to send a $500 bitcoin to this address:
14pdrBSvJYvrQ3QWka4sQXpyc9NJg64o7V
in 5 hours before the payment will rise to $700. And if you dont pay after another 5 hours, all of your data will be deleted permenantly. Don't try to decrypt the files on your own. It's useless.
We use RSA-2048 encryption method. But if you still want to decrypt it yourself, you can try.
How can I pay?
Payment only accept in bitcoin. If you don't know that bitcoin is. It just a crptocurreny. And if you don't know how to use bitcoin, google it.
How can I trust you?
You dont have other choice, we promise that if you pay, all of your files will be decrypted. But if you don't, we will delete all of your files.
If I have a question?
Click the "Contact Us" button.
Bitcoin Address  14pdrBSvJYvrQ3QWka4sQXpyc9NJg64o7V
Have a question? [Contact Us]

Перевод записки на русский язык:
Упс! Похоже, ваши файлы были зашифрованы!
Что сейчас произошло?
Ваши файлы были зашифрованы. Это относится к вашим документам, видео, фото и т.д.
Как я могу их восстановить?
Вам просто нужно отправить биткоины на $500 по этому адресу:
14pdrBSvJYvrQ3QWka4sQXpyc9NJg64o7V
За 5 часов, иначе платеж вырастет до $700. И если вы не платите еще через 5 часов, все ваши данные будут удалены навсегда. Не пытайтесь дешифровать файлы самостоятельно. Это бесполезно.
Мы используем метод шифрования RSA-2048. Но если вы все еще хотите расшифровать его самостоятельно, вы можете попробовать.
Как я могу заплатить?
Оплата принимается только в биткоинах. Если вы не знаете, что такое биткоин, это просто криптовалюта. И если вы не знаете, как использовать биткоины, погуглите это.
Как я могу доверять тебе?
У вас нет другого выбора, мы обещаем, что если вы заплатите, все ваши файлы будут расшифрованы. Но если вы этого не сделаете, мы удалим все ваши файлы.
Если у меня есть вопрос?
Нажмите кнопку "Contact Us".
Биткоин-адрес 14pdrBSvJYvrQ3QWka4sQXpyc9NJg64o7V
Есть вопрос? [Contact Us]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются. 

Вымогательский проект изначально был задуман как фейк.

Файлы, связанные с этим Ransomware:
Blooper.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Blooper)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

TeslaWare

TeslaWare Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 / AES-256, а затем требует выкуп в 300 евро в BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Suicide. Фальш-копирайт: Hewlett-Packard 2017. В доработанной версии требуется выкуп в $100. На файле написано: SystemLDriver86. Фальш-копирайт на файле: Microsoft© Windows©. Вымогатель написан на .NET. Разработчик: WAZIX.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Tesla

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки (ниже представлены два варианта):


Содержание записки о выкупе:
What Happened to My Computer?
Your important files are encrypted with AES 128 bit encryption.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for way to recover your files, but do not waste your time. Nobody can recover your files without our decryption key.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have noy so enough time.
If you want to decrypt your files, you need to pay.
If you dont pay in 7 days, you wont be able to recover your files forever.

Перевод записки на русский язык:
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы с использованием AES-128 шифрования.
Многие из ваших документов, фото, видео, баз данных и других файлов больше не доступны, т.к. они были зашифрованы. Возможно, вы заняты поиском путей для восстановления ваших файлов, но не тратьте впустую свое время. Никто не может восстановить ваши файлы без нашего ключа дешифрования.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас мало времени.
Если вы хотите расшифровать свои файлы, вам нужно заплатить.
Если вы не заплатите через 7 дней, вы не сможете восстановить ваши файлы никогда.


Скриншоты экрана блокировки доработанной версии

Экран блокировки содержит два таймера. Первый таймер с барабаном от револьвера представляет собой 59-минутный обратный отсчет для русской рулетки «Особенность» TeslaWare. Когда таймер достигнет 0, то TeslaWare удалит 10 случайных файлов с рабочего стола или подпапок жертвы. Второй таймер с черепом, отсчитывает 72 часа, а когда он достигает 0, то TeslaWare удалит все файлы на диске "C".

Новая записка о выкупе находится на экране блокировки, справа.
Содержание этой записки:
All of your important files have been encrypted.
To decrypt them you need to obtain the private key from us. 
We are the only who can provide you the key, so don't try to recover the files by yourself, it will only make the situation worse for you. 
To get this key you have to send 100$ worth of bitcoins to the address that you can see in the left. For more info please check the links.

After payment, please paste the TX ID and press "Check". If our system detected the payment as succesfull, your files will be decrypted and you will use your pc as nothing happened.

Онлайн догружается изображение Николы Теслы и голосовое сообщение. 
Догружаемая картинка

Использованное изображение

Пока продается на сайтах Black Hat (за 35-70 евро в зависимости от настроек), но может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифруются все файлы, кроме имеющих расширение .Tesla, .lnk, .exe, .dll, .sys
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
TeslaWare.exe
image.jpg
voice.vbs
windowsdrivers.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WindowsDrivers   WindowsDrivers.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
free-stuff-here.netne.net/RW/image.jpg - изображение
free-stuff-here.netne.net/RW/voice.vbs - голосовое сообщение
windowsdrivers.exe  - 145.14.144.171:80 (Нидерланды)
deos.esy.es
btc.blockr.io
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ файла от 20 июня >>
VirusTotal анализ >> Ещё >> 
VT от 20-22 июня >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 21 июня 2017:
Статья на BC >>
Алгоритм шифрования: AES-256
Файл: windowsdrivers.exe
Результаты анализов: HA+VT


Внимание! Дешифровка возможна! 
Многочисленные недостатки позволяют бесплатно дешифровать файлы. 
За помощью в дешифровке файлов обращайтесь в эту тему поддержки. 
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as TeslaWare)
 Write-up, Topic of Support
 * 
 Thanks: 
 JAMESWT‏ 
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 29 мая 2017 г.

R3store

R3store Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $450 в BTC, чтобы вернуть файлы. Оригинальное название: R3store. Фальш-имя: Windows-Restore. Фальш-копирайт: Mircrosoft © 2017
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> R3store 

К зашифрованным файлам добавляется расширение .r3store

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt
Другим информатором жертвы выступает экран блокировки с заголовком: Restore.

Содержание текста о выкупе:
Your Files are encrypted. 
(Pictures,Docs,Music etc..) Please do not close this window as that will result in serious computer damage. If you wish to use your computer ever again and unlock your files, Please send $450 Dollars in bitcoins to the address at the bottem of the page.
F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
Can i pay with anything else?
Encrypted Files.
How to buy Bitcoins?
I paid,Give me my files back!

Перевод текста на русский язык:
Ваши файлы зашифрованы.
(Картинки, документы, музыка и т.д.). Не закрывайте это окно, т.к. это приведёт к серьёзному повреждению компьютера. Если вы хотите снова использовать свой компьютер и разблокировать свои файлы, пожалуйста, отправьте 450 долларов США в биткоинах по адресу в нижней части страницы.
F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
[Могу ли я заплатить что-то еще?]
[Зашифрованные файлы.]
[Как купить биткойны?]
[Я заплатил, верни мне мои файлы!]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
Restore.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Marcelo Rivero
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ImSorry

ImSorry Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: ImSorry.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .imsorry

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Read me for help thanks.txt
Другим информатором жертвы является экран блокировки.

Содержание текста о выкупе:
Im Sorry
Hello, I hate to inform you but your files have been encrypted.
To get them back you must pay me a small fee.
Instructions are buy btc then pay me then ill simply give you. your encryption key.
Step 1.
Make a account here
https://blockchain.info/wallet/#/signup
Step 2.
Buy bitcoin
Use one of the trade centers below to recieve bitcoin to pay me off
https://www.coinbase.com/
https://1ocalbitcoins.com/register/
Step 3.
Send the payment of 500 USD to the BTC address below
then i'll give you the key.
Places you can read about bitcoin
https://blog.newegg.comAhe-fastest-way-to-get-started-with-bitcoin/
https://bitcoin.ong/en/getting-started
You have 3 weeks to pay else i might delete the key or i might just give you the key idk
Be sure you put your btc address in the box below as this is how i track payments,
if you fuck around ill delete your key.
Once again,Sorry
button [I've Paid]
[Key goes here]
button [Decrypt Files]
BTC Address: 17JbNMFQeeSm6B5BM2zzoEeZ1o9x74JCsF
Your Address: Your adress goes here to check payment
button [Delete Backups]

Перевод текста на русский язык:
Прости
Привет, я ненавижу сообщать вам, но ваши файлы были зашифрованы.
Чтобы вернуть их, вы должны заплатить мне небольшую сумму.
Инструкции - это купить btc, заплатить мне, а потом просто дам вам ваш ключ шифрования.
Шаг 1.
Сделать учетную запись здесь
https://blockchain.info/wallet/#/signup
Шаг 2.
Купить биткоины
Используйте один из торговых центров ниже, чтобы получить биткоины для оплаты мне
https://www.coinbase.com/
https://1ocalbitcoins.com/register/
Шаг 3.
Отправьте платеж в размере 500 долларов США на BTC-адрес ниже
Тогда я дам вам ключ.
Места, которые вы можете прочитать о биткоинах
https://blog.newegg.comAhe-fastest-way-to-get-started-with-bitcoin/
https://bitcoin.ong/en/getting-started
У вас есть 3 недели, чтобы заплатить, иначе я могу удалить ключ, или я могу просто дать вам ключ idk
Убедитесь, что вы поместите свой адрес btc в поле ниже, так как я отслеживаю платежи,
Если вы ***, удалите свой ключ.
Еще раз извините
кнопка [I've Paid]
[Key goes here]
кнопка [Decrypt Files]
BTC-адрес: 17JbNMFQeeSm6B5BM2zzoEeZ1o9x74JCsF
Ваш адрес: ваш адрес вставьте сюда, чтобы проверить платеж.
кнопка [Delete Backups]


Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read me for help thanks.txt
ImSorry.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Июль 2018:
Спустя год еще проявляет активность. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ImSorry)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BlackSheep

BlackSheep Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название. Написано также на файле. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid / FTSCoder >> BlackSheep

К зашифрованным файлам добавляется расширение .666

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.


Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
ALL YOUR IMPORTANT FILES, DOCUMENTS, MP3s, VIDEOS, AND EVEN YOUR COMPUTER SCREEEN IS HACKED. THERE IS NO SOLUTION ANYWHERE UNLESS YOU PAY $500 TO GET THE KEY TO DECRYPT WE CAN BE NICE AND WE CAN BE SO MEAN, IT ALL DEPENDS ON YOU. PAY WITHIN 54 HOURS. PAY INTO THE BITCOIN ADDRESS BELOW.
1CdW4EdRUeXf6ydy4HfZ4gDiWcxb9QnXxb

Перевод записки на русский язык:
Все ваши важные файлы, документы, mp3, видео и даже скриншоты на вашем компьютере взломали. Нет никакого решения, если вы не заплатите 500 долларов, чтобы получить ключ для дешифрования, мы можем быть хорошими, и мы можем быть также злыми, все зависит от вас. Оплатите в течение 54 часов. Обратите внимание на нижеуказанный биткоин-адрес.
1CdW4EdRUeXf6ydy4HfZ4gDiWcxb9QnXxb


Экран, имитирующий обновление Windows. За ним фоном выполняется шифрование файлов. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BLACKSHEEP.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kamil

Kamil Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: Kamil. На файле написано: Important.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .lock

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your files have been blocked
Your files is blocked. You need a individual key to unlock your files.
To unlock follow the steps:
Firstly you need have a BitCoin wallet, (fe. coinbase.com) then you have to pay 50$ to this wallet.
When you done, now you have to send 50 usd (calculate to btc) to below bitcoin address. Great! Now you can type your bitcoin address to below field, and
click "unlock"!
Thats it! Now you can enjoy your computer and unlocked files :)
Remember! If you will delete this program, you lose one chance to unlock your files.
Warning: If you already paid and you have information "We don't have your payment yet", you must waiting.. (Usually max. 12h)
Pay 50 usd to this BTC address
1CrRCDkw2oknEcKSAXivCekupirMwAoztb
If you already paid
Enter the bitcoin address which you sent btc
button [Unlock and remove the program]

Перевод записки на русский язык:
Ваши файлы блокированы
Ваши файлы блокированы. Для разблокировки файлов нужен отдельный ключ.
Для разблокировки выполните следующие действия:
Сначала вам нужен кошелек BitCoin (например, coinbase.com), потом вы должны заплатить 50$ с этого кошелька.
Как создадите, вам нужно отправить 50 usd (в расчете на btc) на биткоин-адрес ниже. Отлично! Теперь вы можете ввести свой биткоин-адрес в поле ниже и нажать "unlock"!
Есть! Теперь можете наслаждаться компьютером и разблокированными файлами :)
Запомните! Если вы удалите эту программу, вы потеряете единственный шанс разблокировать свои файлы.
Предупреждение: если вы уже заплатили и у вас есть информация "We don't have your payment yet", вы должны ждать.. (Обычно максимум 12 часов)
Заплатите $50 на этот адрес BTC
1CrRCDkw2oknEcKSAXivCekupirMwAoztb
Если вы уже заплатили
Введите биткоин-адрес, на который вы отправили btc
Кнопка [Unlock and remove the program] (Разблокировать и удалить программу)

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Стало известно, что файлы могли быть расшифрованы через 3 часа, после четырёхкратного нажатия на кнопку [Unlock and remove the program], 
но из-за плохого кодирования дешифрование невозможно.  

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Important.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *