Если вы не видите здесь изображений, то используйте VPN.

понедельник, 14 мая 2018 г.

Rapid-3

Rapid 3.0 Ransomware

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Подробнее для пострадавших из РоссииБеларуси и Казахстана >>>


Информация о шифровальщике

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.07 BTC, чтобы вернуть файлы. Оригинальное название: rapid3.0 (указано в коде) и RAPID v3 (указано в записке). На файле написано.

© Генеалогия: Rapid > Rapid 2.0 Rapid 3.0


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение как и у варианта Rapid 2.0, по шаблону: .[5-random-chars]

К зашифрованным файлам добавляется составное расширение по шаблону .
Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из следующих стран: США, Иран, Германия, Япония, Бенин, Южная Корея, Индонезия, Испания, Малайзия, Индия.

Сначала я написал о записке следующее. 
Записка с требованием выкупа называется как и у варианта Rapid 2.0, по шаблону: DECRYPT.[5-random-chars].txt

Позже оказалось (см. Hybrid Analysis ниже), что у записки статичное название: ReadMe.txt


Содержание записки о выкупе:
[ RAPID RANSOMWARE V3 ]
Hello, dear friend!
All your files have been ENCRYPTED
The only way to decrypt your files is to receive the private key and decryption program.
To get the key and decryption program see instruction below:
1. Download Tor browser - https://www.torproject.org/
2. Install Tor browser
3. Run Tor Browser
4. In the Tor Browser open website: http://vgon3ggilr4vu32q.onion/?id=BTC
Note! This page available via Tor Browser only!
5. Follow the instruction at this website
On our page you can see all instruction how to decrypt your system and decrypt for free 1 file!
ATTENTION!
Do not try to decrypt your data using third-party software, it may cause permanent data loss.

Перевод записки на русский язык:
Здравствуй, дорогой друг!
Все ваши файлы были ЗАШИФРОВАНЫ
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Для получения ключа и программы дешифрования см. Инструкцию ниже:
1. Загрузите Tor-браузер - https://www.torproject.org/
2. Установите Tor-браузер
3. Запустите Tor-браузер
4. В открывшемся Tor-браузере: http://vgon3ggilr4vu32q.onion/?id=BTC
Заметка! Эта страница доступна только через Tor-браузер!
5. Следуйте инструкциям на этом веб-сайте
На нашей странице вы можете увидеть все инструкции по расшифровке вашей системы и расшифровке бесплатно 1 файла!
ВНИМАНИЕ!
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к потере данных.

Скриншоты с сайта вымогателей

 В качестве поддержки вымогатели нахально демонстрируют свой  новый email: demonslay335@rape.lol
В котором используется ник demonslay335, принадлежащий на форуме BleepingComputer, в Твиттере и на других сайтах известному исследователю вредоносных программ и разработчику ID-Ransomware Майклу Джиллеспи. Им это известно, потому они так выделили этот адрес. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов с помощью команды:
wmic shadowcopy delete

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT.[5-random-chars].txt
ReadMe.txt
<random>.exe - случайное название
Rapid Decryptor

Расположения:
\Desktop\ ->
\User_folders\ ->
%APPDATA%\54A180163002F493\ReadMe.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: vgon3ggilr4vu32q.onion/?id=BTC
Email-вымогателей: demonslay335@rape.lol
BTC-вымогателей: 1HoUDMGrNkeG1WoxiRVJCxUXdY35EwZq1i
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Rapid Ransomware - январь 2018
Rapid 2.0 Ransomware - март 2018
Rapid 3.0 Ransomware - май 2018
Rapid-Gillette Ransomware - март 2019



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 24 мая 2018:
Расширение: .EZYMN



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Rapid 3.0)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

StalinLocker

StalinLocker Ransomware

(блокировщик-пугатель, не шифровальщик, деструктор)

Этот блокировщик не требует денег, однако жертве нужно как-то угадать код разблокировки и вести его, иначе StalinLocker удалит все данные со всех дисков компьютера. Оригинальное название StalinLocker и StalinScreamer. На файле написано: StalinLocker.exe

© Генеалогия: нет данных.

Образец этого крипто-вымогателя был найден в первой половине мая 2018 г. Ориентирован на русскоязычных пользователей. Возможно, функционал ещё не доработан и потом к нему что-то ещё прикрутят. 

Записка с требованием выкупа отсутствует. Нет никакого текста о выкупе.

Имеется только экран блокировки с Сталиным на фоне плакатов с лозунгами. Текст на лозунгах относится ко времени СССР. 

Текст на лозунгах полностью:
Победа социализма в нашей стране обеспечена
Фундамент социалистической экономики завершен
"Реальность нашего производственного плана - это миллионы трудящихся творящие новую жизнь."
И. Сталин.  

Оригинальный файл со всем текстом, который не вошел в скриншот экрана. 
Вымогатель-разработчик не создавал его, а нашёл картинку в Интернете. 
Вот оригинал использованного изображения. Его нет в блокировщике. Оно осталось в истории социализма и коммунизма и вошло в книги того времени. 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок (в том числе под видом изображений), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

  Исполняемый файл StalinLocker не может обойти UAC Windows, ему требуется разрешение на запуск. 

 При запуске StalinLocker выполняет следующие действия:
- извлекает файл USSR_Anthem.mp3 в папку %UserProfile%\AppData\Local\
- копирует копию себя stalin.exe в папку %UserProfile%\AppData\Local\ 
- добавляет файл stalin.exe в Автозагрузку системы с именем "Stalin";
- создаёт файлы fl.dat и ul.dat в папке %UserProfile%\AppData\Local\
- записывает в файл fl.dat текущее количество секунд, делённое на 3;
- пытается завершить другие процессы, кроме Skype и Discord;
- завершает работу системных процессов Explorer.exe и taskmgr.exe;
- пытается запланировать задачу "Driver Update" для запуска Stalin.exe

➤ Денег не требует. При запуске StalinLocker устанавливает экран блокировки и воспроизводит в фоновом режиме файл под названием USSR_Anthem.mp3 (Гимн СССР). Затем даёт 600 + 60 секунд на ввод ключа, иначе, как только таймер отсчитает отведённое время, блокировщик удалит с дисков от A до Z всё, что сможет. Насчёт системного и загрузочного дисков ничего не сказано, возможно и не сможет.

 Где взять ключ жертве? Не сказано. Нет никаких контактных данных.
Получается недоделанный вымогатель и деструктор, который может удалить файлы со всех дисков. 

 По сообщению исследователя в расчете ключа используется дата: 1922.12.30
Эта дата не простая. 30 декабря 1922 считалось датой образования СССР. 
Ссылка на описание в Википедии >>

 Ключ разблокировки можно получить, если вычесть из даты, когда программа была запущена, дату 1922.12.30. 
Если пользователь введёт правильный ключ, то StalinLocker покажет уведомление "Правильный ключ", закроется и удалит свой автозапуск.

 По сообщению исследователя MalwareHunterTeam в ресурсах есть ещё серп-и-молот.

Список файлов, подвергающихся удалению:
Это все данных на дисках, в том числе, конечно, документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
StalinLocker.exe (stalin.exe)
USSR_Anthem.mp3
fl.dat
ul.dat

Расположения:
\Desktop\ ->
\User_folders\ ->
%UserProfile%\AppData\Local\USSR_Anthem.mp3
%UserProfile%\AppData\Local\stalin.exe
%UserProfile%\AppData\Local\fl.dat
%UserProfile%\AppData\Local\ul.dat

Название проекта в ресурсах: 
D:\Stalin\StalinScreamer\StalinScreamer\obj\Release\StalinLocker.pdb

Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Stalin %UserProfile%\AppData\Local\stalin.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
https://yadi.sk/d/Jje1tRgT3VtZgQ - моя ссылка на исправленный файл USSR_Anthem.mp3 для прослушивания.
См. ниже результаты анализов. 

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up (add May 15, 2018), Topic of Support
 * 
  - видео-демонстрация работы StalinLocker 
 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 Andrew Ivanov, ANY.RUN
 
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 12 мая 2018 г.

Scarab-Walker

Scarab-Walker Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Walker (написано в записке о выкупе и в её названии). Написан на Delphi. См. генеалогию ниже. Написан на Delphi. Файлы можно дешифровать!

© Генеалогия / Genealogy: Scarab > Scarab Family > Scarab-Amnesia > Scarab-Walker

К зашифрованным файлам добавляется расширение / Appends to encrypted files the extension:
.JohnnieWalker

Сами файлы переименовываются с помощью Base64. 

Примеры зашифрованных файлов / Examples of encrypted files:
2HKV=7gPH1MqncQDkkRAtN32YfpNGj+lrw16apF4Dmw4gsmClGZPV8rWGcNzW3hd.JohnnieWalker
2x+G=ZKSHK0fRWOHqhyP74YDH=CB+nIL3TqIlLshBMhe854QO+xrYa5E3k1M7xSGj5.JohnnieWalker
bHCWVKtaePXraYrUUJZ376JPcDNXoeWlnO1gYGZA693HLYHwo4OagZR3IRqXgCy=lhC.JohnnieWalker

Этимология названия: 
1) Джон Энтони Уокер (англ. John Anthony Walker) — шифровальщик Уокер, офицер связи штаба командующего подводным флотом США в атлантическом регионе, агент внешней разведки КГБ СССР. Арестован в мае 1985 года, провёл в заключении почти 30 лет. Умер 28 августа 2014 года в возрасте 77 лет. 
2) Джонни Уокер (Johnnie Walker) — известная марка скотча (шотландский виски). 

Активность этого крипто-вымогателя пришлась на первую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется Name of ransom note
 HOW TO DECRYPT WALKER INFO.TXT
Scarab-Walker Ransomware

Содержание записки о выкупе / Contents of ransom note:
=================================================
Walker
=================================================
YOUR FILES ARE ENCRYPTED! 
Your personal ID
6A02000000000000***78F201
Your documents, photos, databases, save games and other important data was encrypted. 
Data recovery the necessary decryption tool. To get the decryption tool, should send an email to:
JohnnieWalker@firemail.cc
Letter must include Your personal ID (see the beginning of this document).
In the proof we have decryption tool, you can send us 1 file for test decryption.
Next, you need to pay for the decryption tool. 
In response letter You will receive the address of Bitcoin wallet which you need to perform the transfer of funds.
If you have no bitcoins
* Create Bitcoin purse: https://blockchain.info
* Buy Bitcoin in the convenient way
https://localbitcoins.com/ (Visa/MasterCard)
https://www.buybitcoinworldwide.com/ (Visa/MasterCard)
https://en.wikipedia.org/wiki/Bitcoin (the instruction for beginners)
- It doesn't make sense to complain of us and to arrange a hysterics. 
- Complaints having blocked e-mail, you deprive a possibility of the others, to decipher the computers.
 Other people at whom computers are also ciphered you deprive of the ONLY hope to decipher. FOREVER.
- Just contact with us, we will stipulate conditions of interpretation of files and available payment, 
in a friendly situation
- When money transfer is confirmed, You will receive the decrypter file for Your computer. 
Attention! 
* Do not attempt to remove a program or run the anti-virus tools 
* Attempts to decrypt the files will lead to loss of Your data 
* Decoders other users is incompatible with Your data, as each user unique encryption key
=================================================

Перевод записки на русский язык:
=================================================
Walker
=================================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный идентификатор
6A02000000000000 *** 78F201
Ваши документы, фото, базы данных, сохранения игр и другие важные данные зашифрованы.
Восстановить данные нужен инструмент дешифрования. Чтобы получить инструмент дешифрования нужно отправить email на:
JohnnieWalker@firemail.cc
Письмо должно содержать Ваш персональный ID (см. начало этого документа).
В доказательство наличия инструмента дешифрования, вы можете отправить нам 1 файл для тест-дешифровки.
Затем вам нужно заплатить за инструмент дешифрования.
В ответном письме вы получите адрес биткоин-кошелька, который вам нужен для перевода средств.
Если у вас нет биткоинов
* Создать биткоин-кошелек: https://blockchain.info
* Купить биткоины удобным способом
https://localbitcoins.com/ (Visa / MasterCard)
https://www.buybitcoinworldwide.com/ (Visa / MasterCard)
https://en.wikipedia.org/wiki/Bitcoin (инструкция для новичков)
- Не имеет смысла жаловаться на нас и устраивать истерику.
- Жалобы, заблокировавшие email, лишают возможности других расшифровать компьютеры.
 Других людей, у которых компьютеры также зашифрованы, вы лишаете ЕДИНСТВЕННОЙ надежды расшифровать. НАВСЕГДА.
- Просто свяжитесь с нами, мы предусмотрим условия интерпретации файлов и доступных платежей,
в дружественной ситуации
- Когда денежный перевод подтвержден, вы получите декриптер для Вашего компьютера.
Внимание!
* Не пытайтесь удалить программу или запустить антивирусные инструменты
* Попытки расшифровать файлы приведут к потере Ваших данных
* Декодеры других пользователей несовместимы с Вашими данными, т.к. пользователь получает уникальный ключ шифрования 
=================================================



Технические детали / Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ ID в этом варианте содержит 646 знаков. 

 Файл декриптора от вымогателей:
Scarab DecryptorScarab Decryptor

Я проверил. Да, декриптор работает и расшифровывает файлы. Но только зашифрованные этой версией и только у конкретного пользователя. 

Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware / Files of Rw:
HOW TO DECRYPT WALKER INFO.TXT
<random>.exe - случайное название

Расположения / Files locations:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email: JohnnieWalker@firemail.cc
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ на файл декриптора tool.exe >>
ᕒ  ANY.RUN анализ и обзор файла tool.exe >>
🐞 Intezer анализ и сравнение генов файлов tool.exe >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
и другие...



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Файлы можно дешифровать, если они зашифрованы до 18 июня 2018 года!




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Unlock filesВнимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Emmanuel_ADC-Soft >>
---
Attention!
Files can be decrypted!
I recommend getting help with this link to Emmanuel_ADC-Soft >>
link http Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
Big thanks Thanks: 
 Emmanuel_ADC-Soft
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 11 мая 2018 г.

FBLocker

FBLocker Ransomware

(шифровальщик-вымогатель, деструктор

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. Название проекта: svchost. На файле написано: svchost.exe и MicrosoftWindowsOperating System.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .facebook

Образец этого крипто-вымогателя был найден в первой половине мая 2018 г. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно, сделан с целью дискретизации социальной сети и личной неприязни. О скандалах можно прочитать в Интернете. 

Записка с требованием выкупа отображается на экране как обои, рядом с фотографией Цукерберга, одного из разработчиков и основателей социальной сети Facebook. Фото мы решили не публиковать, см. по ссылке в Твиттере в "Блоке ссылок и спасибок", под текстом статьи.  


Содержание записки о выкупе:
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы. Многие из ваших документов, фотографий, видео, баз данных и других файлов больше не доступны, поскольку они были зашифрованы. Не тратьте свое время на поиск способа восстановления файлов. Никто не может восстановить ваши файлы.
Могу ли я восстановить мои файлы?
Нет. Меня зовут Марк Цукерберг, и я зашифровал ваши файлы, не сохраняя никаких ключей шифрования. Я ценю, что вы выполняете мою программу, потому что вы позволили мне разрушить больше жизней. 

What Happened to My Computer?
Your important files are encrypted. Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Do not waste your time looking for a way to recover your files. Nobody can recover your files.
Can I Recover My Files?
No. My name is Mark Zuckerberg and I have encrypted your files without saving any encryption keys. I appreciate you executing my program because you have allowed me to ruin more lives.
"A squirrel dying in front of your house may be more relevant to your interests right now than people dying in Africa."

Анализ русского текста в записке:
Я заметил довольно много ошибок в лексике и пунктуации. Затем проверил его в Google-переводчике. Да, текст пропустили через Google-переводчик. 
Сравнение текста с тем, что даёт переводчик. Слово в слово. 

В реальности русский текст записки был бы таким:
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы. Многие из ваших документов, фотографий, видео, баз данных и других файлов теперь не доступны, потому что они были зашифрованы. Не тратьте свое время на поиск способа восстановления файлов. Никто не сможет восстановить ваши файлы.
Могу ли я восстановить мои файлы?
Нет. Меня зовут Марк Цукерберг и я зашифровал ваши файлы, не сохранив никаких ключей шифрования. Я ценю, что вы запустили мою программу, так как вы позволили мне погубить больше жизней. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Требования: наличие .NET Framework 4.6.1

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
svchost.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
93.184.221.240:80 - Европейский союз
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *