Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 1679 След.
WannaCash
по образу автозапуска.

1. деинсталлируйте один из ваших антивирусов.
Cezurity Antivirus

2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\MEDIAGET2

delref %SystemDrive%\PROGRAM FILES (X86)\YANDEXSOVETNIK\CHECKUPD.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_5428_1104207715\RESPONSE
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_6700_1211880324\RESPONSE
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_2788_1677662345\RESPONSE
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_6500_1887389379\RESPONSE
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_8072_751173789\RESPONSE
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_5080_1498004045\RESPONSE
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_2964_1886695349\RESPONSE
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_3940_244424872\RESPONSE
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_3940_1492278053\RESPONSE
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_7988_1115282426\RESPONSE
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_1948_2103596912\RESPONSE
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_6040_135030435\RESPONSE
delref %SystemDrive%\USERS\A4F7~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_5344_2118091637\RESPONSE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref %Sys32%\COMPATTELRUNNER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVLTWU.INF_AMD64_0221CE4EC0827F74\NVINIT.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVLTWU.INF_AMD64_0221CE4EC0827F74\NVINITX.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {09A47860-11B0-4DA5-AFA5-26D86198A780}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref %Sys32%\DRIVERS\USBAUDIO.SYS
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref %Sys32%\DRIVERS\RDPENCDD.SYS
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS
delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS
delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref E:\HISUITEDOWNLOADER.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов, при наличие лицензии напишите в support@esetnod32.ru
WannaCash
[QUOTE]Сергей Родин написал:
Здравствуйте, что скажете по моей проблеме. Случай тот же как и Владислава.[/QUOTE]
проверьте личные сообщения
WannaCash
[QUOTE]Владислав Мазеин написал:
что насчет дешифровки файлов? там тысячи фотографий накопленных годами. очень не хотелось бы их терять. спасибо![/QUOTE]
ответил в личные сообщения.

делаем бэкапы важных документов на отдельный носитель,
это всегда поможет вам восстановить их в случае шифрования или повреждения диска.
WannaCash
Владислав,
по очистке в uVS выполните следующий скрипт, без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIKFLKCANBLCCFAHDHDONEHDALIBJNIF%26INSTALLSOURCE%3D­ONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR\REI_AXCONTROL.DLL
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
WannaCash
[QUOTE]Владислав Мазеин написал:
Здравствуйте! Вирус wannacash зашифровал все фото на компьютере. Помогите пожалуйста, не знаю что дальше делать. Спасибо!Файл зашифрован. Пиши. Почта  clubnika@elude.in  [9140].WANNACASH NCOV v310320[/QUOTE]
добавьте образ автозапуска системы

при наличие лицензии на продукт ESET напишите в техническую поддержку support@esetnod32.ru
WannaCash
[QUOTE]Иван Саныч написал:
Файл зашифрован. Пиши. Почта  [URL=mailto:clubnika@elude.in]clubnika@elude.in[/URL] [6066].WANNACASH NCOV v310320[/QUOTE]
добавьте образ автозапуска системы
+
добавьте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/
WannaCash
[QUOTE]Сергей Родин написал:
Здравствуйте. Помогите!!! Вирус шифрует файлы. Файлы все становятся с таким заголовком "Файл зашифрован. Пиши. Почта  [URL=mailto:clubnika@elude.in]clubnika@elude.in[/URL] [2936].WANNACASH NCOV v310320" Как победить и как вернуть файлы. [/QUOTE]
шифрование продолжается?
судя по образу, активного шифрования уже нет.
это новый вариант wannacash
[QUOTE]New variant WannaCash Ransomware from March, 31 changes filename as Файл зашифрован. Пиши. Почта clubnika@elude.in [number].WANNACASH NCOV v310320[/QUOTE]
https://twitter.com/thyrex2002/status/1245376533126098950
если у вас установлен лицензионный продукт ESET, напишите в техническую поддержку
support@esetnod32.ru
файлы зашифрованы с расширением .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Евгений,
сделайте образ автозапуска системы,
возможно, что файлы шифратора еще активны в системе.
+
добавьте во вложение несколько зашифрованных файлов и записку о выкупе (info.hta, FILES ENCRYPTED.txt),
лучше все упаковать в архив.
прежде чем приступить к восстановлению документов и приложений, необходимо будет проверить и очистить систему от файлов шифратора.
Коронавирус
GROUP-IB:

[QUOTE] Шифровальщик из аптеки
🔻Дата рассылки: 27 марта
🔻Тема письма: Как не заболеть коронавирусом
🔻 Отправитель: "Аптека.ру"
🔻 Получатели: Нефтегаз, ТЭК
🔻Степень опасности: Malware
🔻Функционал: Шифровальщик
🔻Семейство: Обновленная версия шифровальщика Aurora
CERT-GIB зафиксировал 27 марта две рассылки вируса-шифровальщика по российским нефтегазовым компаниям —  в списке получателей оказались более 70 адресов. Письма, отправленные якобы от компании “Аптека.ру”, содержали презентацию  “лучших средств профилактики по доступной цене” под заголовком “Дарим “вакцину” от коронавируса!”. Кроме того, отправитель письма предлагал продажу противоинфекционных масок в любых количествах. В письме находилась ссылка на веб-ресурс, с которого происходила загрузка ZIP-архива с вредоносным файлом внутри — обновленной версией шифровальщика Aurora. Домен вредоносного ресурса был зарегистрирован 25 февраля 2020 года.[/QUOTE]
Cryakl/CryLock - этапы "большого пути"
Первая информация о шифраторе Cryakl опубликована на [URL=https://securelist.ru/shifrovalshhik-cryakl-ili-fantomas-razbushevalsya/24070/]securelist.ru[/URL] в октябре 2014 года.

  [QUOTE] В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла. Кроме того, в конец файла помещается служебная структура, содержащая:

   - информацию о размере и расположении зашифрованных блоков,
   - MD5-хэши от оригинального файла и его заголовка,
   - константы для генерации файлового ключа из мастер-ключа и хэш для проверки его правильности,
   - ID жертвы,
   - оригинальное имя зашифрованного файла,
   - метку заражения {CRYPTENDBLACKDC}.[/QUOTE]


скорее всего, Cryakl известен с начала 2014 года

ранние версии:
[B]ver-4.0.0.0[/B]
пример зашифрованного файла:
gpgsh378.zip.id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}-email-masfantomas@aol.com-ver-4.0.0.0.cbf

[B][B]известные почты:[/B][/B]

  [SIZE=8pt] email-masfantomas@aol.com
   email-HELPFILEDESKRIPT111@GMAIL.COM
   email-helpdecrypt@gmail.com
   email-helpdecrypt123@gmail.com
   email-deskripshen1c@gmail.com
   email-deskr1000@gmail.com
   email-mserbinov@onionmail.in
   email-vernutfiles@gmail.com
   email-base1c1c1c@gmail.com[/SIZE]


[B]примеры автозапуска в системе:[/B]

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
   progrmma C:\Program Files\temp\WINRAR.EXE

[B]ver-6.1.0.0[/B]
пример зашифрованного файла:
qyfmtbhovbipwcjpxdkqxdlrzfmsag.nub.id-{EJPUBGLRXCINTYEJPUAFLQWBHMSYDIOUZEKQ-12.03.2015 11@22@168550646}-email-moshiax@aol.com-ver-6.1.0.0.b.cbf

[B]известные почты:[/B]
[SIZE=8pt]
   email-moshiax@aol.com
   email-mserbinov@aol.com
   email-watnik91@aol.com
   email-vpupkin3@aol.com[/SIZE]

возможно, их гораздо больше
[B]примеры автозапуска в системе:[/B]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\1\svchost.exe

[B]ver-8.0.0.0[/B]
пример зашифрованного файла:
iqxeltzgoubiqwdkryfmtahowcjqxe.lta.id-{ZFKPWCHMSYDJPUZFLQVBHMSYDJOUAFKQWBHM-30.03.2015 12@49@155029625}-email-moshiax@aol.com-ver-8.0.0.0.cbf

[B]известные почты:[/B]

[SIZE=8pt]email-moshiax@aol.com
   email-watnik91@aol.com[/SIZE]

[B]примеры автозапуска в системе:[/B]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
C:\Program Files\xexe\info.exe

[B]ver-CL 0.0.1.0[/B]

[B]пример зашифрованного файла:[/B]
email-mserbinov@aol.com.ver-CL 0.0.1.0.id-SBGKPTXBEIMPUYBFJMQUYCFJNQVZCGJNRVZD-05.05.2015 23@58@548191739.randomname-DJNRWAEJNQUYBFJNRVYCGKOSWZDHLP.TXB.cbf

[B]известные почты:[/B]

  [SIZE=8pt]email-mserbinov@aol.com
   d_madre@aol.com
   trojanencoder@aol.com
   iizomer@aol.com[/size]

[B]примеры автозапуска в системе:[/B]

   HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\monitor.exe

[B]ver-CL 1.0.0.0[/B]

[B]пример зашифрованного файла:[/B]
email-cryptolocker@aol.com.ver-CL 1.0.0.0.id-NTZXEKPVBHMSYDIOUZFLRWCHNSYEJPVBGLRX-15.07.2015 13@36@284834316.randomname-HGCVMANYIQXEKPUXBDGIKMNPQRSTTU.UUV.cbf
видим, что закодированное имя перемещено в конец заголовка.

[B]известные почты:[/B]

   [SIZE=8pt]email-gerkaman@aol.com
   email-Seven_Legion2@aol.com
   email-gcaesar2@aol.com
   email-Igor_svetlov2@aol.com
    email-ninja.gaiver@aol.com
    email-bekameka777@aol.com
    email- last.centurion@aol.com
    email-a_princ@aol.com
    email-Cryptolocker@aol.com
    email-ivanov34@aol.com
    email-vpupkin3@aol.com
    email-oduvansh@aol.com
    email-trojanencoder@aol.com
    email-iizomer@aol.com
    email-moshiax@aol.com
    email-load180@aol.com
    email-watnik91@aol.com[/size]

[B]примеры автозапуска в системе:[/B]

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\simpleinf.exe

[B]ver-CL 1.0.0.0u[/B]

пример зашифрованного файла:
[IMG WIDTH=685 HEIGHT=63]https://chklst.ru/uploads/editor/bj/rfaa3s2ssup6.jpg[/IMG]

[B]известные почты:[/B]

   [SIZE=8pt]email-iizomer@aol.com
   email-cryptolocker@aol.com_graf1
   email-cryptolocker@aol.com_mod
   email-byaki_buki@aol.com_mod2[/size]


[B]ver-CL 1.1.0.0[/B]

пример зашифрованного файла:
email-eric.decoder10@gmail.com.ver-CL 1.1.0.0.id-TBHMTZDJPVAFLRWCHNSYEJOUAFKQWBHMSYDI-06.08.2015 14@39@447462257.randomname-MSYEKQWBHMSXDJPTZFLQWCHMSYDJPU.AGM.cbf
[B]известные почты:[/B]

   [SIZE=8pt]email-hontekilla@india.com
   email-gerkaman@aol.com
   email-oduvansh@aol.com
   eric.decoder10@gmail.com
   email-trojanencoder@aol.com
   email-watnik91@aol.com
   seven_legin2@aol.com
   email-obamausa7@aol.com
   email-gcaesar2@aol.com[/size]

[B]примеры автозапуска в системе:[/B]

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\1C\карточка предприятия.exe

[b]ver-CL 1.2.0.0[/b]

[b]пример зашифрованного файла:[/b]
email-trojanencoder@aol.com.ver-CL 1.2.0.0.id-YELRXEJPWBHOTZFLRXDJPUBHMTZELRWCKQWC-29.04.2016 17@04@497267438.randomname-HOUASYEKQWDIOUAGMSZEKRWCJOUAGN.SZF.cbf

[b]известные почты:[/b]

   [size=8pt]email-anton_ivanov34@aol.com
   email-trojanencoder@aol.com
   email-iizomer@aol.com
   email-ivan_fedorov16@aol.com
   !email-cryptoloker@aol.com
   email-zed.zorro1@aol.com
   email-fedor_pavlov13@yahoo.com
   email-agent.vayne@india.com
   email-moshiax@aol.com
   ! email-oduvansh@aol.com
   email-gcaesar2@aol.com
   email-crypt.cryptor@aol.com
   email-age_empires@ aol.com[/size]

примеры автозапуска в системе:

   ссылка: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\pr
   C:\Program Files\service.exe

[b]ver-CL 1.3.0.0[/b]
пример зашифрованного файла:
email-moshiax@aol.com.ver-CL 1.3.0.0.id-WCHMSXBGLPUZEJOTYDHMRWBFKPUZEINSXCHM-24.05.2016 20@08@033014428.randomname-AKPUUAFKPUZEINSXCHMRWAFKPUZDIN.TXC.cbf
известные почты:

   [SIZE=8pt]email-moshiax@aol.com
   cryptolocker@aol.com[/size]

примеры автозапуска в системе:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sopropool­
C:\Program Files\tr.exe

[b]ver-CL 1.3.1.0[/b]

пример зашифрованного файла:
[IMG WIDTH=684 HEIGHT=82]https://chklst.ru/uploads/editor/i7/k6b5cju7r7id.jpg[/IMG]
известные почты:

   [size=8pt]byaki_buki@aol.com_grafdrkula@gmail.com
   email-byaki_buki@aol.com
   email-iizomer@aol.com
   email-crypthelp@qq.com
   email-tapok@tuta.io
   email-iizomer.iizomer@yandex.ru_iizomer@aol.com
   email-v_pupkin@aol.com
   email-mortalis_certamen@aol.com
   email-salazar_slytherin10@yahoo.com
   email-200usd@india.com
   email-eugene_danilov@yahoo.com[/size]
   ...

примеры автозапуска в системе:

   Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\00F5-A4D1
   00F5-A4D1 C:\Program Files\WinRar\резюме.exe

[b]fairytail (CL 1.4.0.0, CL 1.4.1.0, CL 1.5.0.0)[/b]

пример зашифрованного файла:

   email-blackdragon43@yahoo.com.ver-CL 1.4.0.0.id-3908370012-23.03.2018 10@01@539726651.fname-Правила поведения вахтеров.jpg.fairytail

известные почты:

    [SIZE=8pt]email-blackdragon43@yahoo.com
   email-hola@all-ransomware.info[/size]

примеры автозапуска в системе:

   HKEY_USERS\S-1-5-21-1417001333-1004336348-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\390837001­2
   C:\DOCUME~1\user\LOCALS~1\Temp\bd.exe

[b]doubleoffset (CL 1.5.1.0)[/b]

пример зашифрованного файла:
email-blackdragon43@yahoo.com.ver-CL 1.5.1.0.id-1747396157-41244152820380734004031.fname-Правила поведения вахтеров.jpg.doubleoffset

известные почты:

[size=8pt]email-3nity@tuta.io
   email-butterfly.iron@aol.com
   email-n_nightmare@yahoo.com
   email-vally@x-mail.pro
   email-blackdragon43@yahoo.com
   email-dorispackman@tuta.io
   email-hola@all-ransomware.info
   email-coolguay@tutanota.com
   email-biger@x-mail.pro
   email-tapok@tuta.io
   email-komar@tuta.io[/size]

примеры автозапуска в системе:
HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\174739615­7
C:\DOCUME~1\user\LOCALS~1\Temp\XEKOVAFKPT.exe

[b]CS 1.6.0.0[/b]

пример зашифрованного файла:

известные почты:

   [size=8pt]email-sugarman@tutamail.com
   email-3nity@tuta.io
   email-mr.yoba@aol.com[/size]

[b]CS 1.7.0.1[/b]
пример зашифрованного файла:
desktop.ini[CS 1.7.0.1][opensafezona@protonmail.com].git
известные почты:

   [size=8pt]opensafezona@protonmail.com[/size]

[b]CS 1.8.0.0[/b]
пример зашифрованного файла:
branding.xml[grand@horsefucker.org][2094653670-1579267651].whv
известные почты:

[size=8pt] graff_de_malfet@protonmail.ch
   grand@horsefucker.org
   tomascry@protonmail.com[/size]

[B]CryLock 1.9.0.0[/B]

   Опознан как

   sample_bytes: [0x3472F - 0x3473D] 0x7B454E4352595054454E4445447D

https://id-ransomware.malwarehunterteam.com/identify.php?case=5e55ddb65eac5f52e424de270004ffeeef08563f

пример зашифрованного файла:
VTS_01_0.BUP[reddragon3335799@protonmail.ch][special].[10ABB6A7-867BCEF7]

известные почты:
[size=8pt]
reddragon3335799@protonmail.ch
   graff_de_malfet@protonmail.ch
   coronovirus@protonmail.com[/size]
Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 1679 След.