Форум esetnod32.ru [тема: Шифровирусы шумной толпою] http://forum.esetnod32.ru Новое в теме Шифровирусы шумной толпою форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 10:54:06 +0300 Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
Avast выпустил дешифратор для модифицированного Conti.

(На текущий момент дешифруются файлы, зашифрованные с расширением *.PUTIN, *.KREMLIN, *.RUSSIA)
 
====quote====
 Feb 2022: #Conti #ransomware data was leaked, we created a decryptor in hope for some keys to be released. To no avail.

   Mar 2023: #MeowCorp (a Conti 2.0 clone) keys were published, we released a Conti decryptor, and hope for more keys to come. #DontPayUp
=============
------------------

Февраль 2022: произошла утечка данных #Conti #ransomware, мы создали дешифратор в надежде, что некоторые ключи будут выпущены. Но безрезультатно.

Март 2023: Опубликованы ключи #MeowCorp (клон Conti 2.0), мы выпустили расшифровщик Conti и надеемся, что появятся новые ключи
28.03.2023 11:35:33, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message115606/ http://forum.esetnod32.ru/messages/forum35/topic11658/message115606/ Tue, 28 Mar 2023 11:35:33 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
После того как были слиты приватные ключи от FONIX, злоумышленники применили тактические приемы маскировки FONIX под другие типы шифровальщиков.
FONIX может маскироваться под harma, eking и под RYUK.


====quote====
Сообщение >>  - найдено 21 апреля 2021.
Расширение: .harma
Имитация под Dharma Ransomware.
Email: decryptioner@airmail.cc, decryptioner@uncryptfile.com
Файл проекта: C:\~Ransomware\Fonix - 4.3.2 - DharmaVersion\x64\Release\Fonix.pdbVT: C53F1932C9B1AEF9869B856ADB05F587 - непубличный образец
=============

Возможно, один из вариантов FONIX, который был замаскирован под Phobos/eking


====quote====
7z1604-x64.exe.ID-50C4BDFF.[decoder@firemail.cc].eking
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Phobos.exe [2021-08-18] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.hta [2021-08-07] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.txt [2021-08-07] () [File not signed]
2021-08-07 16:22 - 2021-08-07 16:22 - 000001436 _____ C:\Users\Administrator\AppData\Roaming\Data000.Phobos
2021-08-07 16:22 - 2021-08-07 16:22 - 000000194 _____ C:\Users\Administrator\AppData\Roaming\info.txt
2021-08-07 16:22 - 2021-08-07 16:22 - 000005333 _____ C:\Users\Administrator\AppData\Roaming\info.hta
2021-08-07 16:22 - 2021-08-07 16:22 - 000000160 _____ C:\Users\Administrator\AppData\Roaming\Data001.Phobos
2021-08-07 16:22 - 2021-08-07 16:22 - 000000008 _____ C:\Users\Administrator\AppData\Roaming\id.Phobos

=============

Data000.Phobos может быть аналогом CPriv.key (FONIX)
info.txt - Help.txt (FONIX)
info.hta - How To Decrypt Files.hta (FONIX)
Data001.Phobos - CPub.key (FONIX)
id.Phobos - SystemID (FONIX)


====quote====
Вариант от 24 августа 2021:
Сообщение >>
Расширение: .RYK
Записка: RyukReadMe.txt
Email: decryptioner@uncryptfile.com, decoder@firemail.com
сэмпл:
https://www.virustotal.com/gui/file/5f91aa43d5c5d9202277ddde4d4125be780c0c5ad146604­804a618da8dfadf1e

Это не первый раз, когда Fonix выдает себя за другой Ransomware.
=============

https://id-ransomware.blogspot.com/2020/06/fonixcrypter.html


update:
прописывается в автозапуск:
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUK.EXE

C:\USERS\***\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUK.EXE
"Скрытый" или "Системный" [типично для вирусов]
в задачи:
C:\WINDOWS\SYSTEM32\TASKS\RYK
C:\WINDOWS\SYSTEM32\TASKS\RYUK

Update1:
Avast выпустил обновление для FONIX/RYUK
текущая версия 1.0.0.537

Пользователь добавил изображение

известные недостатки:
ошибки при расшифровке zip файлов, возможно повреждены при шифровании
проблема с расшифровкой больших vhd - ошибка при шифровании
не смогли расшифровать зашифрованный архив *.tib размером 70Гб
пропуск зашифрованных файлов, если после шифрования файлы переименованы прописными буквами ryk - исправлено!
Пример:
Folder.jpg.[Vulcanteam@cyberfear.com].ryk --- здесь будет достаточно вручную исправить расширение на RYK

update2:
известные почты с расшифровкой:
dec.station@onionmail.org
vulcanteam@onionmail.org
Vulcanteam@CYBERFEAR.COM
filereopening@msgden.com
RyanRinse@mailfence.com
back.your.files@firemail.de
MaicoLion@firemail.de
qblisq@mailfence.com

update3:

Определенные группы файлов просто полностью испорчены вредоносной программой
краткое резюме:

* Any File [<300KB] = Good
* .zip [300KB - 2GB] = Unrecoverable
* .zip [2GB+] = Recoverable
* "Important" [300KB - 2GB] = Good
* "Important" [2GB+] = Unrecoverable
* Other File [300KB - 2GB] = Good
* Other File [2GB+] = Recoverable

С «Важными» расширениями, которые они вносят в белый список, например .MDF, .SQL, .VHD и т. д.
22.02.2023 09:45:28, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message115449/ http://forum.esetnod32.ru/messages/forum35/topic11658/message115449/ Wed, 22 Feb 2023 09:45:28 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
Возможно, в ближайшее время будет расшифровка по расширениям:
.Fonix, .FONIX, .repter, .XINOF.
для шифратора FONIX,

При шифровании FONIX использовал заставку с имитацией обновления системы.

ожидаем решения
пока что возможна расшифровка по отдельным файлам:

====quote====
Loading Key ...

Enter File name :
Decrypting File ...

Decrypt: keygpg.rar.Email=[decryptyourfiles@firemail.cc]ID=[D45CE646].XINOF
ECC4333C83EB88179A5AF7D95BF4ECB5
5C7597E6F829E5B4
Done
=============


31.01.2021 13:07:06, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message111788/ http://forum.esetnod32.ru/messages/forum35/topic11658/message111788/ Sun, 31 Jan 2021 13:07:06 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Мартынов Николай написал:
santy ,  подскажи  пжлст.
=============
>>>>некоторый специалист создал утилиту шифрования, которая якобы не шифрует/ либо шифрует с обратным алгоритмом...
не совсем понятно, какие свойства утилиты имеется ввиду.

похоже на русские загадки:
шифратор, а не шифрует, или шифрует обратным алгоритмом. (ответ не известен)
Палят и варят, а не едят. ...
В избу идут — плачут, из избы идут — пляшут. ...
Жужжит, жужжит, а с места не улетит ...
:)

может, речь идет о шифраторе xorist, который является одновременно и шифратором и дешифратором (если добавить ключ)?
не рекомендую тестировать в рабочей сети.
только на изолированной виртуалке.
20.01.2021 15:42:31, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message111638/ http://forum.esetnod32.ru/messages/forum35/topic11658/message111638/ Wed, 20 Jan 2021 15:42:31 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
Мартынов Николай
Может это: ?

Появился бесплатный дешифровщик для малвари DarkSide
https://xakep.ru/2021/01/12/darkside/
Я так понимаю нашли уязвимость в самом вирусе и появилась возможность дешифровки.
20.01.2021 08:17:43, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message111636/ http://forum.esetnod32.ru/messages/forum35/topic11658/message111636/ Wed, 20 Jan 2021 08:17:43 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
santy, подскажи пжлст.
19.01.2021 23:51:25, Мартынов Николай.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message111635/ http://forum.esetnod32.ru/messages/forum35/topic11658/message111635/ Tue, 19 Jan 2021 23:51:25 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
Команда McAfee Advanced Threat Research Team наблюдала, как в мае 2019 года появилось новое семейство программ-вымогателей под названием «Buran». Buran работает как модель RaaS, как и другие семейства программ-вымогателей, такие как REVil, GandCrab (ныне несуществующие), Phobos и т. Д.

Реклама программ-вымогателей Buran

Об этой программе-вымогателе было объявлено на известном форуме следующим сообщением:

 
====quote====
Buran - стабильный оффлайн криптоклокер с гибкой функциональностью и круглосуточной поддержкой.
=============


Исследователи опрделили, что Buran был доставлен через Rig Exploit Kit. Важно отметить, что Rig Exploit Kit является предпочтительным EK, используемым для доставки последних кампаний вымогателей.

Rig Exploit Kit использовал CVE-2018-8174 (Microsoft Internet Explorer VBScript Engine, выполнение произвольного кода) для использования на стороне клиента. После успешной эксплуатации эта уязвимость доставит в систему вымогатель Buran.

VegaLocker, Jumper и теперь Buran Ransomware

Buran - это эволюция программы-вымогателя Jumper. VegaLocker является источником этого семейства вредоносных программ.

Авторы вредоносных программ развивают свой вредоносный код, чтобы улучшить его и сделать более профессиональным. Попытка скрытно сбить с толку исследователей безопасности и AV-компании может быть одной из причин смены названия между версиями.

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/buran-ransomware-the-evolution-of-vegalocker/

https://app.any.run/tasks/2062e9ba-79f0-4e7b-ac68-de306001eebe/
18.01.2021 17:03:49, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message111632/ http://forum.esetnod32.ru/messages/forum35/topic11658/message111632/ Mon, 18 Jan 2021 17:03:49 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
Даниель Толочко написал:
Да чтоб вас ногой удалили тему
=============
сообщения перенесены в общую тему Wannacash
https://forum.esetnod32.ru/messages/forum35/topic15002/message109358/#message109358
20.07.2020 19:34:27, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message109363/ http://forum.esetnod32.ru/messages/forum35/topic11658/message109363/ Mon, 20 Jul 2020 19:34:27 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
#CryLock #Ransomware version 2.0.0.0 was released. Many changes in encoder code.

https://twitter.com/thyrex2002/status/1284852948296781824
20.07.2020 15:18:42, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message109360/ http://forum.esetnod32.ru/messages/forum35/topic11658/message109360/ Mon, 20 Jul 2020 15:18:42 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
будьте готовы к тому, что ваши данные могут быть не только зашифрованы, но и перед шифрованием скопированы на ресурс злоумышленников,
с тем, чтобы оказать на вас дополнительное давление, шантажируя возможностью публикации ваших данных на сторонних ресурсах,
и продажей ваших данных конкурентам, и прочим третьим лицам.


====quote====
Операторы Sodinokibi Ransomware (REvil) начали призывать своих партнеров копировать данные своих жертв перед шифрованием компьютеров, чтобы их можно было использовать в качестве рычага на новом сайте по утечке данных, который скоро будет запущен.

Операторы Sodinokibi Ransomware - предоставляют услуги Ransomware-as-a-Service, где управляют платежным порталом и разрабатывают вымогателей, а сторонние «партнеры» распространяют вымогателей.

Затем операторы и партнеры делятся платой за вымогателей, сделанной жертвами.

=============
https://www.bleepingcomputer.com/news/security/sodinokibi-ransomware-may-tip-nasdaq-on-attacks-to-hurt-stock-prices/
27.02.2020 15:53:17, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message108394/ http://forum.esetnod32.ru/messages/forum35/topic11658/message108394/ Thu, 27 Feb 2020 15:53:17 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
злоумышленники распространяют Dharma Ransomware в новой спам-кампании, ориентированной на пользователей Windows в Италии.

Dharma Ransomware была активна в течение многих лет и основана на другой семье вымогателей под названием Crysis. Тем не менее, не принято видеть, как это семейство вымогателей распространяется через malspam, поскольку оно чаще устанавливается через взломанные службы удаленных рабочих столов.

Исследователи безопасности недавно заметили новую спам-кампанию, которая заражает пользователей с помощью кейлоггера Ursniff или Dharma Ransomware.

В электронном письме содержится ссылка на предполагаемый счет-фактуру, который при нажатии приводит пользователя на страницу OneDrive, на которой размещен файл с именем «New documentmento 2.zip». Этот файл будет автоматически загружен, когда пользователь заходит на страницу.

Внутри этого zip-файла находятся два файла; сценарий VBS под названием «Nuovo documentmento 2.vbs» и файл изображения под названием «yuy7z.jpg», который отображает DNS-запись для домена tuconcordancia.com.

Если пользователь запускает «Nuovo documentmento 2.vbs», то обнаруживаются различные вредоносные программы.

Ранее в тот же день TG Soft увидела, как троянец кражи данных Ursniff устанавливается скриптом VB, а с раннего утра переключился на установку Dharma Ransomware.

Установленная версия Dharma Ransomware добавляет расширение .ROGER к зашифрованным файлам и отображает записку с требованием выкупа, в которой жертва обращается к sjen6293@gmail.com за информацией о платеже.

Пользователь добавил изображение

https://www.bleepingcomputer.com/news/security/dharma-ransomware-attacks-italy-in-new-spam-campaign/
19.02.2020 16:40:15, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message108331/ http://forum.esetnod32.ru/messages/forum35/topic11658/message108331/ Wed, 19 Feb 2020 16:40:15 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
ФБР выдает предупреждение по LockerGoga и MegaCortex Ransomware

ФБР предупреждает частную индустрию о двух заражениях вымогателями и о том, как они атакуют сеть.

«С января 2019 года LockerGoga Ransomware предназначался для крупных корпораций и организаций в Соединенных Штатах, Великобритании, Франции, Норвегии и Нидерландах. MegaCortex Ransomware, впервые идентифицированный в мае 2019 года, аналогичен LockerGoga. "

Согласно предупреждению, участники LockerGoga и MegaCortex закрепятся в корпоративной сети, используя эксплойты, фишинговые атаки, инъекции SQL и украденные учетные данные для входа.

Как только сеть взломана, субъекты угроз установят инструмент тестирования на проникновение под названием Cobalt Strike. Этот инструмент позволяет злоумышленникам развертывать «маяки» на скомпрометированном устройстве для «создания оболочек, выполнения сценариев PowerShell, повышения привилегий или запуска нового сеанса для создания прослушивания в системе жертвы».

Когда сеть подвергается атаке, субъекты будут находиться в сети в течение нескольких месяцев, прежде чем развернуть заражение вымогателями LockerGoga или MegaCortex.

злоумышленники в этот период, вероятно, извлекают данные, внедряют трояны, крадущие информацию, и еще больше компрометируют рабочие станции и серверы.

После того, как в сети будет собрано что-то ценное, злоумышленники развернут заражение LockerGoga или MegaCortex, чтобы начать шифрование устройств в сети. Это создаст окончательный источник дохода для злоумышленников.

Во время развертывания субъекты выполняют пакетный файл kill.bat или stop.bat, который завершает процессы и службы, связанные с программами безопасности, отключает функции сканирования Защитника Windows и отключает службы, связанные с безопасностью.

Участники угрозы также будут использовать различные LOLBins и законное программное обеспечение, такое как

   7-Zip, сценарии PowerShell, wmic, nslookup, adfind.exe, mstds.exe, Mimikatz, Ntsdutil.exe и massscan.exe.


К сожалению, оба из этих вымогателей используют безопасный алгоритм шифрования, что означает, что невозможно дешифровать их бесплатно.

ФБР рекомендует меры предупреждения

ФБР предлагает рекомендации по предупреждению последствий, которые владельцы бизнеса должны использовать, чтобы минимизировать свой риск для вымогателей LockerGoga и MegaCortex.

 
====quote====
 - Самое важное предупреждение состоит в том, чтобы вы «регулярно делали резервные копии данных, сохраняли резервные копии в автономном режиме и проверяли целостность процесса резервного копирования».

   Имея работающие и проверенные резервные копии, особенно автономные, вымогатели не представляют большой угрозы, так как вы всегда можете восстановить свои данные.

   Другие меры по предупреждению включают в себя:

   - Убедитесь, что все установленное программное обеспечение и операционные системы постоянно обновляются. Это помогает предотвратить использование уязвимостей злоумышленниками.
   - Включите двухфакторную аутентификацию (2fa) и надежные пароли, чтобы блокировать фишинговые атаки, украденные учетные данные или другие компрометации при входе в систему.
   - Поскольку общедоступные серверы удаленных рабочих столов являются обычным способом для злоумышленников сначала получить доступ к сети, предприятиям следует проводить аудит журналов для всех протоколов удаленного подключения.
   - Аудит создания новых учетных записей.
   - Сканирование открытых или прослушивающих портов в сети и блокирование их доступности.
   - Отключите SMBv1, поскольку в протоколе существует множество уязвимостей и слабостей.
   - Отслеживайте изменения в Active Directory и группе администраторов организации для неавторизованных пользователей.
   - Убедитесь, что вы используете самую последнюю версию PowerShell, и удалите все старые версии.
   - «Включить ведение журнала PowerShell и отслеживать необычные команды, особенно выполнение PowerShell в кодировке Base64»
=============


Это руководство является достаточно общим, что оно применимо ко всем инфекциям-вымогателям и должно соблюдаться всеми организациями и даже потребителями.

https://www.bleepingcomputer.com/news/security/fbi-issues-alert-for-lockergoga-and-megacortex-ransomware/
27.12.2019 15:17:25, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message107884/ http://forum.esetnod32.ru/messages/forum35/topic11658/message107884/ Fri, 27 Dec 2019 15:17:25 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
Как атакуют шифраторы? Что защитники должны знать о наиболее распространенных и постоянных семействах вредоносных программ? Поведение вымогателей - это его ахиллесова пята, поэтому Sophos тратит так много времени на его изучение. В этом отчете мы собрали некоторые из поведенческих моделей десяти наиболее распространенных, разрушительных и постоянных вымогателей. Наша цель состоит в том, чтобы дать операторам безопасности руководство по пониманию основных моделей поведения....


====quote====
Dharma is also known as CrySIS. Deletes volume shadow copies via VSSADMIN.EXE, both before and after the documents are encryptedÌMulti-threaded, i.e. it encrypts multiple documents at a timeÌOpens original document for read/write but doesn’t change contents. Instead, it sets the file size of original document to 0 bytes before it is deletedÌCreates an encrypted copy of the original document on free available disk sectors; theoretically, if not overwritten by other data, the original document would be recoverable from disk. However, this is complicated as the file size of the document is set to 0 bytes before it is deletedÌSetting the file size of the original document to 0 bytes may hinder behavior-based detection in anti-ransomware technology
=============

Dharma также известен как CrySIS. Удаляет теневые копии томов с помощью VSSADMIN.EXE как до, так и после шифрования документов. Многопоточный, то есть он шифрует несколько документов одновременно. Открывает исходный документ для чтения / записи, но не изменяет его содержимое. Вместо этого он устанавливает размер файла оригинального документа равным 0 байтам перед его удалением. Создает зашифрованную копию оригинального документа на свободных доступных секторах диска; теоретически, если не перезаписать другие данные, исходный документ будет восстановлен с диска. Однако это сложно, поскольку размер файла документа устанавливается в 0 байт, прежде чем он будет удален. Установка размера файла исходного документа в 0 байт может помешать обнаружению на основе поведения в технологии защиты от вымогателей.

https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-ransomware-behavior-report.pdf
15.11.2019 09:36:44, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message107622/ http://forum.esetnod32.ru/messages/forum35/topic11658/message107622/ Fri, 15 Nov 2019 09:36:44 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
Bitdefender выпустил дешифровку для текущей версии GandCrab 5.2


====quote====
мы выпустили обновление для инструмента, который нейтрализует последние версии GandCrab, включая версию 5.2. Инструмент доступен сразу и может быть загружен бесплатно ниже или из проекта No More Ransom.
=============

https://labs.bitdefender.com/2019/06/good-riddance-gandcrab-were-still-fixing-the-mess-you-left-behind


====quote====
Decryptor Started at Mon Jun 17 18:29:08 2019

Looking for ransom note ... [G:/DATA/shifr/encode_files/GandCrab/5.2/10\GSTDMCUTBY-DECRYPT.txt]
Looking for EXT ... [.gstdmcutby]
Looking for decryption KEY ... [OK]

Decrypt Files ...

Decrypt [ 0] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\changesreply.png.gstdmcutby] ... [OK]
Decrypt [ 1] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\classespartner.jpg.gstdmcutby] ... [OK]
Decrypt [ 2] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\filezilla.xml.gstdmcutby] ... [OK]
Decrypt [ 3] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\layout.xml.gstdmcutby] ... [OK]
Decrypt [ 4] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\NoMail.xml.gstdmcutby] ... [OK]
Decrypt [ 5] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\Outlook.xml.gstdmcutby] ... [OK]
Decrypt [ 6] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\sonar_policy.xml.gstdmcutby] ... [OK]
Decrypt [ 7] [G:/DATA/shifr/encode_files/GandCrab/5.2/10\test.xml.gstdmcutby] ... [OK]

Total decrypted files: [8]

Scan finished!
=============

17.06.2019 16:22:57, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message106805/ http://forum.esetnod32.ru/messages/forum35/topic11658/message106805/ Mon, 17 Jun 2019 16:22:57 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
Спустя почти полтора года операторы GandCrab Ransomware прекращают свою работу, и предлагают аффилированным лицам прекратить распространение вымогателей.

Заполняя на свободное место ("денежное место пустым не бывает"), оставшееся после прекращения масштабных компаний по вымогательству, таких как TeslaCrypt, CryptoWall и Spora, GandCrab ворвался в мир вымогателей 28 января 2018 года, когда они начали продавать свои услуги на подпольных криминальных сайтах.

С тех пор они стали одним из доминирующих, если не самым доминирующим, участников операций по вымогательству, и их операции только начали замедляться в течение последних нескольких месяцев.

По словам исследователей безопасности Дамиана и Дэвида Монтенегро, которые следили за эксплойтами GandCrab на подпольном форуме по взлому и вредоносным программам Exploit.in, операторы GandCrab объявили, что закрывают свою работу.

https://www.bleepingcomputer.com/news/security/gandcrab-ransomware-shutting-down-after-claiming-to-earn-25-billion/
02.06.2019 08:20:24, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message106727/ http://forum.esetnod32.ru/messages/forum35/topic11658/message106727/ Sun, 02 Jun 2019 08:20:24 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
по Crysis появились новые варианты в мае-июне 2019

@JakubKroustek

'.video' - 'tetty86@cock.li' - https://www.virustotal.com/#/file/18235049b46f8cbdf1ac47a48e84b9efb163aa89f9d38c07aca09d­03c164a444/ … … - #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1123557475477872640
+
@demonslay335:
#Dharma #Ransomware with extension ".wal", email "decryptdocs@protonmail.com" spotted on ID Ransomware.
https://twitter.com/demonslay335/status/1124008826196328454
+
JakubKroustek:
'.MERS' - 'crypt1style@aol.com' - https://www.virustotal.com/#/file/14397f138ef0d80c00d8999d21e072973ecb1d49297d33478bda44­6117bf1f34/detection … - #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1124998932294184962
+
@JakubKroustek:
'.bat' 🤦‍♂️ - 'idecryptyourdata@cock.li' and 'decryptyourdata@qq.com' - https://www.virustotal.com/#/file/907f48f3480d0de1c0fc7a518e31e38f7d2da11fefaef88a5888e8­9194ace07e … and https://www.virustotal.com/#/file/b9ba37832d0446610aae07218b31ea25ae68d72da68d8bb70a9e16­3efed72a5b … - #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1125158175550902272
+
@JakubKroustek:
'.qbix' - 'backdata@qq.com' - https://www.virustotal.com/#/file/abbcff728043498c875932756d21ffde3e4bc5a9681db49eb3d612­d57bf0df56 … - #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1125361989482614785
+
JakubKroustek:
more and more variants coming - '.aa1' - 'who8@mail.fr' - https://www.virustotal.com/#/file/4b8271802c7cfec3b5258b581f4cb871edcc0c7bfb3bb7621707bd­ca094049a0 … and '.wal' - 'decryptdocs@protonmail.com' - https://www.virustotal.com/#/file/955544abc801355ee1e8e48488c6e9150d431fec63b7e74d19f229­82b396e637- … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1125481677130797056
+
Jakub Kroustek:
'.qbtex' - '1btc@decryption.biz' - https://www.virustotal.com/#/file/4711834782c7fa715330b488ab239b66c2d4583b4dea1e3100f1af­63ea6219fc/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1127224843596959744
+
Jakub Kroustek:
‏'.yG' - 'sysadmin@mail.fr' - https://www.virustotal.com/#/file/27e7b3e8d83534469332b5e3e524e95f365a7471eab5b49f1ea3cc­0eade381c9/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1127312008590786560
+
Jakub Kroustek:
'.drweb' 🤣 - 'dr.web24@aol.com' - https://www.virustotal.com/#/file/0cecae21feb9f59d4e7f8eaa87bb278d195e96385af8e5a92f0c27­dac6e929c6 … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1127875580081451008
+
Jakub Kroustek:
'.jack' - 'lockhelp@qq.com' - https://www.virustotal.com/#/file/57cc351d441fc30eb7c4f585ee35bfce5b32bb82ec8dd99f004043­d5ace7bd90/ … and '.PLUT' - 'adolfhackler@tutanota.com' - https://www.virustotal.com/#/file/f70ea3eb366419d6535fd6e41ec408d24c0368a8323933a69e0907­7cc236b9b6/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1128409486400552964
+
'.DDOS' - 'decripted@cock.li' - https://www.virustotal.com/#/file/e66e7468f8206abe35e6be8b046f687c101e08fc93c51383ff075a­46c4eb9b5b/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1128590100793839616
+
'.cry' - 'decryptoperator@qq.com' - https://www.virustotal.com/#/file/9c63223d5cc284ed38c982e4dd7e292289b96a836f4fd472e57a68­03976b96b9/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1129126283206692864
+
'.4k' - 'rocosmon@cock.li' - https://www.virustotal.com/#/file/f7dbe91a4a782e5648dce337c8d67035fbdf41f423089c8ed83d81­6681b68b07/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1129276977653927937
+
'.TOR13' - 'chanelcrypt@aol.com' - https://www.virustotal.com/#/file/22b683b0e05f20e2f7a28deae8b605707c2f10791891212a982f16­ac50cdb2a2/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1130392693706756097
+
'.good' - 'onecrypt@aol.com' - https://www.virustotal.com/#/file/51e52c47abfa87af9273727e943b9d81fd9a23c090e18ba5f83896­0fb727d771/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1131574667687399424
+
#Dharma #Ransomware with extension ".qbx" spotted on ID Ransomware
https://twitter.com/demonslay335/status/1132338341695905792
+
'.beets' - 'vombombom@cock.li' - https://www.virustotal.com/#/file/f6708aea2a0d9f1f01b62ba5624af05b249c296bab9dec0cc2d7da­cc19660f20/ … #CrySiS #Dharma #ransomware
https://twitter.com/JakubKroustek/status/1133375374853906433
+
demonslay335:
#Dharma #Ransomware spotted with extension ".zoh", email "restdoc@protonmail.com" on ID Ransomware
+
#Dharma #Ransomware spotted with extension ".harma" on ID Ransomware
+
JakubKroustek:
'.BSC' - 'basecrypt@aol.com' - https://www.virustotal.com/gui/file/2e0490c69212fb4ad20cd342bc8d257450f7602930700dc­582196032d572f34d/ … #CrySiS #Dharma #ransomware
+
'.zoh' - 'restdoc@protonmail.com' - https://www.virustotal.com/gui/file/5a612b52f7180a4ba37ae9dd2998a02f34939730bd60b5f­2753137a0a4a69af3/ … #CrySiS #Dharma #ransomware
+
'.kjh' - 'datareturn@protonmail.com' - https://www.virustotal.com/gui/file/52259c86b51cafc15fad9f92ed5d0d9fb0b8b94ea7676fa­2102cd2698bd6e59e/ … #CrySiS #Dharma #ransomware
+
'.html' 🤦‍♂️ - 'paydra@cock.li' - https://www.virustotal.com/gui/file/4e1729be38023e15056914fab40c9ff3e04990c998c5c97­11b4376acb919fdae/ … #CrySiS #Dharma #ransomware
+
'.HACK' - 'mr.hacker@tutanota.com' - https://www.virustotal.com/gui/file/5d4e9a73323a109fb00d56ac8ab28cbfa056616d502d0bf­985a56855ef28bfb5/ … #CrySiS #Dharma #ransomware
+
#Dharma #Ransomware spotted with extension ".0day" on ID Ransomware

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:


====quote====
  .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13, .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save
=============

01.05.2019 20:01:41, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message106562/ http://forum.esetnod32.ru/messages/forum35/topic11658/message106562/ Wed, 01 May 2019 20:01:41 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
по Crysis появились новые варианты в марте-апреле 2019:

'.aqva' - 'crypted_files@qq.com' - https://www.virustotal.com/#/file/57b7d93d19816aa8fd7987594ddd18e2f583285a02dfa74ce13381­fe926766e6/detection … cc @demonslay335 #CrySiS #Dharma #ransomware

+
'.AYE' - 'sebekgrime@tutanota.com' - https://www.virustotal.com/#/file/3145ce9af8f1e44e2c0f0a9123f8201a3aab013c7bfaf1f120fa4d­7e50a67259/detection … … cc @demonslay335 #CrySiS #Dharma #ransomware

'.korea' - 'omfg@420blaze.it' - https://www.virustotal.com/#/file/068f9ed02827dd12d13bdb8aaa42837e1a10a69fa065e87353daef­8530584219/detection … cc @demonslay335 #CrySiS #Dharma #ransomware


'.plomb' - 'plombiren@hotmail.com' - https://www.virustotal.com/#/file/e4448bff0545df8f441f6b7a75a7e507483ee3b632f062ece72db8­abb37ff6b1/detection

'.NWA' - 'dr.crypt@aol.com' - https://www.virustotal.com/#/file/e18a0428781c243fa909d0a8296312192d462a15a67fe978d0e8c5­8b99ff43f5/detection … #CrySiS #Dharma #ransomware

'.com' 🤦‍♂️ - 'trupm@protonmail.com' - https://www.virustotal.com/#/file/b8a87647159792fbf4e3b96609ecb8b465e493b8bc4491b760f82c­1c2b662c7c/detection … #CrySiS #Dharma #ransomware



'.azero' - 'cryptor55@cock.li' - https://www.virustotal.com/#/file/07d0532783a3c1f7007f7f58f4002a64083719f81d77c855a30c24­41ebe97835/detection … #CrySiS #Dharma #ransomware

'.bk666' - 'berserk666@tutanota.com' - https://www.virustotal.com/#/file/9b4612a52d0f9e52689383fa264c68300fd550af5f41f0af1accce­f705d855c3/detection … #CrySiS #Dharma #ransomware

#Dharma #Ransomware spotted on ID Ransomware with extension ".stun", email "unlockdata@foxmail.com"

==================
'.ms13' - 'ms_13@aol.com' - https://www.virustotal.com/#/file/7459000c5cd1fd22aa03849f734131539ef5dd3f0b58dad4d01126­1a430ad70f/detection … #CrySiS #Dharma #ransomware

Jakub Kroustek:
‏'.carcn' - 'carcinoma24@aol.com' - https://www.virustotal.com/#/file/482722e411bf8148dc5b88b7ad234b02d000285efed9c7ad15e8f0­eb9bd08434/detection … #CrySiS #Dharma #ransomware
+
JakubKroustek
'.btix' - 'encrypt11@cock.li' - https://www.virustotal.com/#/file/6a9fe57f144ce99ab8545a305ad8a94dc7f53fb7e8d0688c4d4f45­d9400b576b/detection … #CrySiS #Dharma #ransomware
+
demonslay335
#Dharma #Ransomware with extension ".gate" spotted on ID Ransomware
+
JakubKroustek:
'.LOVE' - 'seeyoubro@tutanota.com' - https://www.virustotal.com/#/file/1c5c91bf6f4b2764070f050f0a64731cca2a68a419bfb4702cf813­2b22c7283d/detection … - #CrySiS #Dharma #ransomware
+
".LDPR" - mr.crypt@aol.com
https://www.bleepingcomputer.com/forums/t/696218/infected-win-7-mrcryptaolcomldpr/
+
Michael Gillespie:
#Dharma #Ransomware extension ".FREDD" spotted on ID Ransomware.
https://twitter.com/demonslay335/status/1122866935774023681

Michael Gillespie:
#Dharma #Ransomware spotted on ID Ransomware with extension ".txt"
https://twitter.com/demonslay335/status/1123362429105266690

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:


====quote====
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt
=============

02.04.2019 09:51:34, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message106302/ http://forum.esetnod32.ru/messages/forum35/topic11658/message106302/ Tue, 02 Apr 2019 09:51:34 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
GandCrab Decrypter доступен для v5.1, однако злоумышленники на шаг/версию впереди,

новый вариант 5.2  уже выпущен без возможности расшифровки текущим дешифратором

Для пользователей, чьи компьютеры были заражены последними подтвержденными версиями GandCrab, доступен бесплатный инструмент для расшифровки файлов. Он может разблокировать данные, зашифрованные версиями вредоносного ПО с версий 4 по 5.1, и некоторыми более ранними выпусками угрозы.

Этот инструмент является плодом сотрудничества между компанией Bitdefender, полицией Румынии, Европолом и другими правоохранительными органами по всему миру.

https://www.bleepingcomputer.com/news/security/gandcrab-decrypter-available-for-v51-new-52-variant-already-out/
20.02.2019 12:51:59, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message105925/ http://forum.esetnod32.ru/messages/forum35/topic11658/message105925/ Wed, 20 Feb 2019 12:51:59 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
Ransomware Attacks Target MSPs to Mass-Infect Customers


====quote====
   Ransomware distributors have started to target managed service providers (MSPs) in order to mass-infect all of their clients in a single attack. Recent reports indicate that multiple MSPs have been hacked recently, which has led to hundreds, if not thousands, of clients being infected with the GandCrab Ransomware.

   With the mass distribution of ransomware increasingly becoming more difficult through methods such a spam, attackers are coming up with more creative ways to infect their victims. This includes hacking into RDP, teaming up with criminal download monetization companies, renting the services of botnet operators, and now attacking MSPs.

   A managed service provider is a company who remotely manages and supports the IT infrastructure and technical support for their clients. One of the benefits of an MSP is that they monitor their client's networks and proactively fix problems that they discover.


=============
Распространители Ransomware начали нацеливаться на поставщиков управляемых услуг (MSP), чтобы заразить всех своих клиентов одной атакой. Недавние сообщения указывают на то, что в последнее время было взломано несколько MSP, что привело к заражению сотен, если не тысяч клиентов, с помощью GandCrab Ransomware.

Массовое распространение вымогателей становится все более затруднительным с помощью таких методов, как спам, злоумышленники находят более творческие способы заражения своих жертв. Это включает в себя взлом RDP, объединение усилий с компаниями, занимающимися монетизацией криминальных загрузок, аренду услуг операторов ботнетов и теперь атаку на MSP.

Поставщик управляемых услуг - это компания, которая дистанционно управляет и поддерживает ИТ-инфраструктуру и техническую поддержку своих клиентов. Одним из преимуществ MSP является то, что они контролируют сети своих клиентов и активно устраняют обнаруженные проблемы.

https://www.bleepingcomputer.com/news/security/ransomware-attacks-target-msps-to-mass-infect-customers/
16.02.2019 19:15:31, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message105899/ http://forum.esetnod32.ru/messages/forum35/topic11658/message105899/ Sat, 16 Feb 2019 19:15:31 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
Новый вариант шифратора: по классификации ESET Win32/Filecoder.Buhtrap
https://app.any.run/tasks/0826b150-e05d-4bf2-a800-e3cba4fc679c
https://www.virustotal.com/ru/file/4a9db92bd756018a61b0a2a7d8f7dc424a84ded2f0ea1375­5466a97e6bf96735/analysis/
https://id-ransomware.blogspot.com/2019/02/vegalocker-ransomware.html

файлы зашифрованы без изменения расширения
записка о выкупе:
Скрытый текст


файлик шифратора с цифровой подписью

====quote====
File version 2, 4, 0, 0
Description Master Blankov
Signature verification Signed file, verified signature
Signing date 2:51 AM 2/12/2019
Signers
[+] VERY EXCLUSIVE LTD.
[+] COMODO RSA Code Signing CA
[+] COMODO SECURE™
Counter signers
[+] Symantec Time Stamping Services Signer - G4
[+] Symantec Time Stamping Services CA - G2
[+] Thawte Timestamping CA
=============
[FILE ID=110369]

14.02.2019 16:43:48, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message105887/ http://forum.esetnod32.ru/messages/forum35/topic11658/message105887/ Thu, 14 Feb 2019 16:43:48 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
по Crysis появились новые варианты в феврале 2019:

+
'.qwex' - 'backdata@qq.com' #CrySiS #Dharma #ransomware https://www.virustotal.com/#/file/b50caa0122798f2ac48d63af82676f57ac2bdbe1f5d9662a1d14cf­f55f444b17/detection
+
'.ETH' - helpfilerestore@india.com - https://www.virustotal.com/#/file/f6b1831e8f3968b96cac1c046846e3a1f46b9add401e14a2720a87­2286342951/detection
+
'.air' - 'satco@tutanota.com' - https://www.virustotal.com/#/file/e0259f5e4c6f9fcbe12437c3e8d7c38f8775f5f9f77a88574ab470­ad71a040c3/detection
+
'.888' - donald888@mail.fr - https://www.virustotal.com/#/file/8e31a1b861e61c077f2cd8957a4f1c2872a4a06da85c8e6bccefc7­c7451d4fe4/detection
+
'.amber' and '.frend' - 'korvin0amber@cock.li' and 'undogdianact1986@aol.com' - https://www.virustotal.com/#/file/ca8f6f2650d8bdcc25616fe247a73229ff73f2871612d111ba49be­c41f21d2b5/detection … and https://www.virustotal.com/#/file/3235e03928b204a9586cbdf7956c83108e102d6a1538ef58c1c381­2420c8908a/detection

вариант .ETH уже засветился на российских форумах.
https://virusinfo.info/showthread.php?t=221895
09.02.2019 13:34:19, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message105832/ http://forum.esetnod32.ru/messages/forum35/topic11658/message105832/ Sat, 09 Feb 2019 13:34:19 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
анализ работы шифратора Ransom.Shade:
https://app.any.run/tasks/65ed86fe-e71f-4949-9a55-4bb1eb0bed08

видим что в реестр добавлен public RSA key

HKEY_LOCAL_MACHINE\SOFTWARE\System32\Configuration
Name:
xpk
Value:
====code==== 
-----BEGIN PUBLIC KEY-----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-----END PUBLIC KEY-----
=============
30.01.2019 17:56:08, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message105660/ http://forum.esetnod32.ru/messages/forum35/topic11658/message105660/ Wed, 30 Jan 2019 17:56:08 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
Новая атака шифратора Shade нацелена на российских бизнес-пользователей


====quote====
В январе 2019 года мы зафиксировали резкий рост числа обнаружений вредоносных почтовых вложений JavaScript (в 2018 году данный вектор атаки использовался минимально). В «новогоднем выпуске» можно выделить рассылку на русском языке, предназначенную для распространения шифратора Shade (он же Troldesh), который детектируется продуктами ESET как Win32/Filecoder.Shade.
=============

https://habr.com/ru/company/eset/blog/437982/
29.01.2019 15:29:04, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message105644/ http://forum.esetnod32.ru/messages/forum35/topic11658/message105644/ Tue, 29 Jan 2019 15:29:04 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
Таки наглядный сервис анализа сэмплов реализован на https://app.any.run (ANY.RUN)

Пользователь добавил изображение

пример анализа сэмпла Crysis.adobe здесь:
https://app.any.run/tasks/ed3b5c7e-dcd1-498f-8003-ae1921ae7d47
25.01.2019 13:24:24, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message105588/ http://forum.esetnod32.ru/messages/forum35/topic11658/message105588/ Fri, 25 Jan 2019 13:24:24 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
по Crysis появились новые варианты в январе:

New variant of #CrySiS / #Dharma - ".gif" extension - email "payadobe@yahoo.com" - https://www.virustotal.com/#/file/9ecc9ae378a335453d58fe44c95a8f5b40595b8a2e11eedfe86521­e6f61fdbc1/detection

#CrySiS / #Dharma #ransomware - ".AUF" extension - "Decisivekey@tutanota.com" - https://www.virustotal.com/#/file/5280edad1dcecca9b0542556a775961bc620c31a06f2fe6383792a­6f300ed81e/detection

#CrySiS/#Dharma #ransomware again and again: extensions ".USA" and ".xwx", extortion email addresses "usacode@aol.com" and "data@decoding.biz". https://www.virustotal.com/#/file/35ade951e0713f31cbdc4844ea0e7c8ffff795efd6ab7e8d22fad5­d3cf87ac0c/detectionhttps://www.virustotal.com/#/file/60f5a7aa2216c5688d56a59a0fe4e87320dd22f4606e2ad06dae04­69c952b965/detection
+
".best" - 'bestdecoding@cock.li' - https://www.virustotal.com/#/file/73bf556b35606c9b9ea033d4e93f057e890698126b0cc8cb7b8560­4c3688434f/detection
+
New Dharma / CrySiS Ransomware variant appends ".heets" to encrypted file extensions.
.heets  extension; mail polmacpol@cock.li
https://www.virustotal.com/#/file/eb67ad08ce4989d0106cc59f5954367a22c182e6e73ad88b649bd8­ba3f3ac4f3/
https://id-ransomware.malwarehunterteam.com/identify.php?case=892b45aedd9929f8d5620491c7956e13c8de981b

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:


====quote====
   .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets
=============

.USA вариант уже есть на российских форумах.


====quote====
Помогите в расшифровки файлов
Поймали сегодня ночью - все расшариные папки зашифровал
Расширение у файлов - id-1814CB43.[usacode@aol.com].USA
=============
https://forum.kasperskyclub.ru/index.php?showtopic=61706
23.01.2019 19:39:19, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message105552/ http://forum.esetnod32.ru/messages/forum35/topic11658/message105552/ Wed, 23 Jan 2019 19:39:19 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
вводная статья в тему работы с дешифраторами, но содержит ряд методических неточностей и ошибок:
=============

примерный алгоритм работы с системой, если она подверглась атаке шифратора:

Инфекции вымогателей могут быть уникальными во многих отношениях. Самое главное, что привычки, которые обычно правильны при работе с вредоносными программами, могут ухудшить ситуацию при работе с вымогателями. Пожалуйста, ознакомьтесь с приведенными ниже инструкциями в качестве руководства по борьбе с заражением вымогателями.

Не удаляйте инфекции вымогателей
Естественная реакция большинства пользователей заключается в том, чтобы сначала удалить инфекцию как можно быстрее. Этот инстинкт, к сожалению, неверен. В большинстве случаев нам потребуется исполняемый файл вымогателя, чтобы выяснить, что именно вымогатель сделал с вашими файлами. Поиск правильного образца вымогателей становится бесконечно более сложным, когда вы удалили инфекцию и не можете предоставить нам вымогателей. Можно отключить заражение, отключив все записи автозапуска, указывающие на него, или поместив заражение в карантин. Однако важно не удалять его из карантина или удалять вредоносные файлы сразу без резервного копирования.

Немедленно отключите любое программное обеспечение для оптимизации и очистки системы
Многие вымогатели будут хранить либо сами, либо необходимые файлы в папке временных файлов. Если вы используете инструменты очистки или оптимизации системы, такие как CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk / Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic или что-либо подобное, немедленно отключите эти инструменты и убедитесь, что автоматические запуски не запланированы. В противном случае эти приложения могут удалить зараженные или необходимые файлы-вымогатели из вашей системы, которые могут потребоваться для восстановления ваших данных.

Создайте резервную копию ваших зашифрованных файлов
Некоторые вымогатели имеют скрытые полезные нагрузки, которые будут удалять и перезаписывать зашифрованные файлы через определенное время. Расшифровщики также могут быть не на сто процентов точными, поскольку вымогатель часто обновляется или просто глючит и может повредить файлы в процессе восстановления. В этих случаях лучше использовать зашифрованную резервную копию, чем не иметь ее вообще. Поэтому мы настоятельно рекомендуем вам сначала создать резервную копию ваших зашифрованных файлов, прежде чем делать что-либо еще.

Если пострадал сервер: выясните точку входа и закройте ее
Особенно в последнее время мы видели много заражений серверов. Обычный способ - это перебор паролей пользователей через RDP / Remote Desktop. Мы настоятельно рекомендуем вам проверить журналы событий на наличие большого количества попыток входа в систему. Если вы обнаружите такие записи или если ваш журнал событий будет пустым, ваш сервер был взломан через RDP. Крайне важно немедленно изменить все пароли учетных записей пользователей. Мы также предлагаем отключить RDP, если это возможно, или хотя бы изменить порт.

   Кроме того, важно проверить все учетные записи пользователей на сервере, чтобы убедиться, что злоумышленники не создали собственных учетных записей, которые позволили бы им позднее получить доступ к системе.


Выясните, какой из вымогателей заразил вас
И последнее, но не менее важное: важно определить, какой вымогатель заразил вас. Такие сервисы, как VirusTotal, который позволяет вам сканировать вредоносные файлы, и ID Ransomware, который позволяет загружать записку с выкупом и зашифрованные файлы для идентификации семейства вымогателей, невероятно полезны, и мы, вероятно, в конечном итоге попросим вас предоставить результаты любого из этих Сервисов. Таким образом, предоставляя их сразу, вы можете ускорить процесс возврата ваших файлов.

https://support.emsisoft.com/topic/29386-first-steps-when-dealing-with-ransomware/
07.01.2019 08:08:03, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message105428/ http://forum.esetnod32.ru/messages/forum35/topic11658/message105428/ Mon, 07 Jan 2019 08:08:03 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
Что такое Dharma Ransomware и как защитить свой бизнес от этого

Dharma / CrySIS - широко распространенный тип крипто-вымогателей. Этот вымогатель является потомком семейства Cesar, и основные варианты, циркулирующие сегодня, появились в дикой природе в 2016 году.

Некоторые из ранних вариантов были взломаны Kaspersky и ESET, и был опубликован бесплатный расшифровщик. К сожалению, новые варианты Dharma Ransomware в настоящее время не расшифровываются, так как код вредоносных программ продолжает развиваться и получил широкое распространение.

Каковы общие векторы атаки для Dharma Ransomware

Главный вектор атаки для вымогателей Dharma - через порты по протоколу удаленного рабочего стола или RDP. RDP порт, который обычно используется сотрудниками или поставщиками услуг для удаленного доступа к сети. Доступ по протоколу RDP обходит защиту конечных точек, значительно облегчая перемещение между конечными точками, разделенными сетями и системами резервного копирования.

Злоумышленники могут взломать RDP несколькими различными способами:

   С помощью сканирования портов с помощью таких веб-сайтов, как Shodan, а затем с помощью перебора RDP-сеансов, пока учетные данные не будут скомпрометированы.

   Покупка и использование взломанных учетных данных для продажи на таких сайтах, как XDedic.

   Фишинг сотрудника компании для получения доступа и контроля над их машиной. Затем используйте этот доступ для прямого доступа RDP изнутри сети.

На темных интернет-площадках продается десятки тысяч корпоративных учетных данных RDP всего за 3 доллара.

В то время как множество крупных организаций продолжают оставлять этот вектор незащищенным, небольшие компании полагают, что они слишком малы, чтобы быть целью, и не понимают, насколько легко они могут быть подвержены атакам. Многим также не хватает ресурсов, людей или знаний о том, как правильно обеспечить доступ.

Как Вы можете защитить свой бизнес от Dharma Ransomware?

брутфорсинг к удаленным рабочим столам остается главным вектором атаки для Dharma Ransomware. Чтобы обезопасить себя от атак, вы должны обеспечить безопасность этих служб.

Популярные способы защиты RDP включают в себя:

   Двухфакторная проверка подлинности (2FA). Подавляющее большинство корпоративных атак вымогателей может быть предотвращено путем включения двухфакторной проверки подлинности для удаленных сеансов и всех удаленно доступных учетных записей.

   Ограничение доступа: ограничьте доступ, разместив RDP за брандмауэром, используя VPN для доступа к нему, изменив порт по умолчанию и / или разрешив доступ по выбранному белому списку диапазонов IP-адресов, что может помочь снизить риск компрометации. Кроме того, рассмотрите положения о блокировке, чтобы пресечь попытки брутфорса.

   ЗАщита конечных точек и альтернативные решения. Современные решения защиты для конечных точек могут обнаруживать аномалии в использовании сети (например, на рабочей станции в офисе, пытающейся выполнить сеанс RDP) и останавливать их до нанесения ущерба.

Помимо защиты вашего бизнеса от атак, важно иметь адекватные резервные копии и тщательные планы аварийного восстановления (DR) и реагирования на инциденты (IR).

Если конфигурации RDP будут скомпрометированы, очень важно, чтобы ваши планы DR и IR были систематизированы и обновлены. Системы резервного копирования должны иметь последние версии всех данных, доступных локально, в облаке и в системах, расположенных отдельно от корпоративной сети.

Доступ к этим резервным копиям должен быть правильно разделен и доступен только избранной группе администраторов безопасности, а доступ к администрированию их защищен 2FA. Фирмы IR должны быть подготовлены, чтобы минимизировать затраты и время для восстановления в случае нарушения.


https://www.coveware.com/blog/remove-dharma-ransomware
22.12.2018 09:11:32, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message105262/ http://forum.esetnod32.ru/messages/forum35/topic11658/message105262/ Sat, 22 Dec 2018 09:11:32 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.

====quote====
santy написал:
Цитата RP55 RP55  написал:Список: Инструменты дешифрования и т.д.  https://www.comss.ru/page.php?id=4120  >>>>Первоначально рекомендуется использовать инструмент Crypto Sheriff, который позволяет определить ваш тип шифровальщика и проверить, существует ли для него декриптор.
=============
имхо,
вводная статья в тему работы с дешифраторами, но содержит ряд методических неточностей и ошибок:

1. сервис Crypto Sheriff крайне неточен при детектировании вариантов шифраторов.
вот пример:


====quote====
Hello everyone.

I work with IT here in Brazil. One customer that call me only when needed had a very hard time this last week. I tried to identify the ransomware that got him, but the id.ransonware website and the nomoreransom.org said that he got 2 different types.

The id.ransomware said that the Dharma (.cezar family) was the infection (and there is no decryptor), but the nomoreransom.org said that the CryptXXX v1 was the infection and there is two decrytptors capable of decrypting it.

The company is about to close because of this. They were recovering from the economic recession that we had here in Brazil, but the extortionists are asking for U$5000,00 for the keys and the decrypt tool.

i tried to download the tools that nomoreransom indicated, but no effect. The Kaspersky tool was incapable of decrypt and the thendmicro tool, once I selected the "I Don´t know the ransomwarename" it says that it is Crisis. But it has no effect too.
=============
https://www.bleepingcomputer.com/forums/t/688347/idransomware-and-nomoreransomorg-idetifies-different-ransonware/#entry4636396

неверное детектирование на Crypto Sheriff привело к неверному решению.


====quote====
The files are infected with the .adobe extension and the note says:

FILES ENCRYPTED.TXT

"all your data has been locked us
You want to return?
write email stopencrypt@qq.com"
=============

если бы база определений в Crypto Sheriff регулярно обновлялась, думаю не составило бы труда определить что это Crysis, а не CryptXXX v1

2.

====quote====
Crypto Sheriff обработает эту информацию с помощью собственной базы данных и определит, существует ли готовое решение. Если инструменты не обнаружены, не стоит отчаиваться. Одни из декрипторов все-равно может сработать, хотя вам придется загрузить и протестировать все доступные инструменты. Это медленный и трудоемкий процесс, но это дешевле, чем платить выкуп злоумышленникам.
=============

в таком случае есть большой риск повредить зашифрованные документы и окончательно утратить возможность их восстановления.
если пытаться дешифровать всем подряд.
как минимум, необходимо тестировать дешифраторы на копиях зашифрованных документов.

На ID Ransomware более точный подход:



====quote====
Можно расшифровать мои данные?

Нет.
Данный сервис только для определения вымогателя, зашифровавшего файлы.
Мы хотим указать правильное направление, чтобы вы знали, есть ли способ расшифровки файлов.
Способа восстановления может и не быть, т.к. каждый случай индивидуален.

=============

Какие вымогатели идентифицируются?


====quote====
Наш сервис идентифицирует 661 вымогателя(ей). Вот пополняемый список того, что уже определяется:
010001, 24H Ransomware, 4rw5w, 777, 7ev3n, 7h9r, 7zipper, 8lock8, AAC, ABCLocker, ACCDFISA v2.0, AdamLocker, AES_KEY_GEN_ASSIST, AES-Matrix, AES-NI, AES256-06, Al-Namrood, Al-Namrood 2.0, Alcatraz, Alfa, Allcry, Alma Locker, Alpha, AMBA, Amnesia, Amnesia2, AnDROid, AngryDuck, Anubi, Anubis, Apocalypse, Apocalypse (New Variant), ApocalypseVM, ApolloLocker, AresCrypt, Argus, Armage, ArmaLocky, ASN1 Encoder, Atchbo, Aurora, AutoLocky, AutoWannaCryV2, AVCrypt, AxCrypter, aZaZeL, B2DR, BadBlock, BadEncript, BadRabbit, Bam!, BananaCrypt, BandarChor, Bart, Bart v2.0, BitCrypt, BitCrypt 2.0, BitCryptor, BitKangoroo, Bitpaymer, Bitshifter, BitStak, BKRansomware, Black Feather, Black Shades, BlackHeart, Blackout, BlackRuby, Blind, Blind 2, Blocatto, BlockFile12, Blooper, Blue Blackmail, Booyah, BrainCrypt, Brazilian Ransomware, BrickR, BTCamant, BTCWare, BTCWare Aleta, BTCWare Gryphon, BTCWare Master, BTCWare PayDay, Bubble, Bucbi, Bud, BugWare, BuyUnlockCode, Cancer, Cassetto, Cerber, Cerber 2.0, Cerber 3.0, Cerber 4.0 / 5.0, CerberTear, Chimera, ChinaYunLong, CHIP, ClicoCrypter, Clouded, CmdRansomware, CockBlocker, Coin Locker, CoinVault, Comrade Circle, Conficker, CorruptCrypt, Coverton, CradleCore, CreamPie, Creeper, Cripton, Cry128, Cry36, Cry9, Cryakl, CryFile, CryLocker, CrypMic, CrypMic, Crypren, Crypt0, Crypt0L0cker, Crypt12, Crypt38, CryptConsole, CryptConsole3, CryptFuck, CryptGh0st, CryptInfinite, CryptoDefense, CryptoDevil, CryptoFinancial, CryptoFortress, CryptoGod, CryptoHasYou, CryptoHitman, CryptoJacky, CryptoJoker, CryptoLocker3, CryptoLockerEU, CryptoLuck, CryptoMix, CryptoMix Revenge, CryptoMix Wallet, CryptON, Crypton, CryptorBit, CryptoRoger, CryptoShield, CryptoShocker, CryptoTorLocker, CryptoViki, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptoWire, CryptXXX, CryptXXX 2.0, CryptXXX 3.0, CryptXXX 4.0, CryPy, CrySiS, Crystal, CTB-Faker, CTB-Locker, Dablio, Damage, DarkoderCryptor, DataKeeper, Dcrtr, DCry, DCry 2.0, Deadly, DeathNote, DEDCryptor, Defender, Defray, DeriaLock, Dharma (.cezar Family), Dharma (.dharma Family), Dharma (.onion Family), Dharma (.wallet Family), Digisom, DilmaLocker, DirtyDecrypt, District, Djvu, DMA Locker, DMA Locker 3.0, DMA Locker 4.0, DMALocker Imposter, Domino, Done, DoNotChange, Donut, DoubleLocker, DriedSister, DryCry, Dviide, DXXD, DynA-Crypt, eBayWall, ECLR Ransomware, EdgeLocker, EduCrypt, EggLocker, El Polocker, EnCrypt, EncrypTile, EncryptoJJS, Encryptor RaaS, Enigma, Enjey Crypter, EnkripsiPC, EOEO, Erebus, Eternal, Everbe, Everbe 2.0, Evil, Executioner, ExecutionerPlus, Exocrypt XTC, Exotic, Extortion Scam, Extractor, Fabiansomware, Fadesoft, Fantom, FartPlz, FCPRansomware, FenixLocker, Fenrir, FilesLocker, FindZip, FireCrypt, Flatcher3, FLKR, Flyper, FrozrLock, FRSRansomware, FS0ciety, FuckSociety, FunFact, GandCrab, GandCrab v4.0 / v5.0, GandCrab2, GarrantyDecrypt, GC47, Gerber, GhostCrypt, GhostHammer, Gibon, Globe, Globe (Broken), Globe3, GlobeImposter, GlobeImposter 2.0, Godra, GOG, GoldenEye, Gomasom, GPAA, GPCode, GPGQwerty, GusCrypter, GX40, Hacked, HadesLocker, Halloware, HappyDayzz, hc6, hc7, HDDCryptor, Heimdall, HellsRansomware, Help50, HelpDCFile, Herbst, Hermes, Hermes 2.0, Hermes 2.1, Heropoint, Hi Buddy!, HiddenTear, HollyCrypt, HolyCrypt, HPE iLO Ransomware, Hucky, HydraCrypt, IEncrypt, IFN643, ImSorry, Incanto, InducVirus, InfiniteTear, InfinityLock, InsaneCrypt, iRansom, Iron, Ishtar, Israbye, JabaCrypter, Jack.Pot, Jaff, Jager, JapanLocker, JeepersCrypt, Jigsaw, JobCrypter, JosepCrypt, JuicyLemon, JungleSec, Kaenlupuf, Kali, Karma, Karmen, Karo, Kasiski, Katyusha, KawaiiLocker, KCW, Kee Ransomware, KeRanger, Kerkoporta, KeyBTC, KEYHolder, KillerLocker, KillRabbit, KimcilWare, Kirk, Kolobo, Kostya, Kozy.Jozy, Kraken, Kraken Cryptor, KratosCrypt, Krider, Kriptovor, KryptoLocker, L33TAF Locker, Ladon, Lalabitch, LambdaLocker, LeChiffre, LightningCrypt, Lime, LittleFinger, LLTP, LMAOxUS, Lock2017, Lock93, LockBox, LockCrypt, LockCrypt 2.0, Locked_File, Locked-In, LockedByte, LockeR, LockLock, LockMe, Lockout, Locky, LongTermMemoryLoss, Lortok, LoveServer, LowLevel04, Lucky, MadBit, MAFIA, MafiaWare, Magic, Magniber, Maktub Locker, MalwareTech's CTF, Marlboro, MarsJoke, Matrix, MauriGo, MaxiCrypt, Maykolin, Maysomware, MCrypt2018, Meteoritan, Mikoyan, Minotaur, MirCop, MireWare, Mischa, MMM, MNS CryptoLocker, Mobef, MoonCrypter, MOTD, MoWare, MRCR1, MrDec, Mystic, n1n1n1, NanoLocker, NCrypt, NegozI, Nemucod, Nemucod-7z, Nemucod-AES, NETCrypton, Netix, NewHT, Nhtnwcuf, NM4, NMoreira, NMoreira 2.0, Noblis, NotAHero, Nozelesn, NSB Ransomware, Nuke, NullByte, NxRansomware, ODCODC, OhNo!, OoPS, OopsLocker, OpenToYou, Ordinypt, OzozaLocker, PadCrypt, Paradise, Paradise B29, PayDay, PaySafeGen, PClock, PClock (Updated), PEC 2017, Pendor, Petna, PGPSnippet, Philadelphia, Phobos, Pickles, PoisonFang, PopCornTime, Potato, PowerLocky, PowerShell Locker, PowerWare, Pr0tector, Predator, PrincessLocker, PrincessLocker 2.0, PrincessLocker Evolution, Project34, Protected Ransomware, PshCrypt, PUBG Ransomware, PyCL, PyCL, PyL33T, PyLocky, qkG, QuakeWay, QwertyCrypt, Qweuirtksd, R980, RAA-SEP, RackCrypt, Radamant, Radamant v2.1, Radiation, Random6, RandomLocker, Ranion, RanRan, RanRans, Rans0mLocked, RansomCuck, Ransomnix, RansomPlus, RansomWarrior, Rapid, Rapid 2.0 / 3.0, RaRansomware, RarVault, Razy, RedBoot, RedEye, REKTLocker, Rektware, RemindMe, RenLocker, RensenWare, Reyptson, Roga, Rokku, RoshaLock, RotorCrypt, Roza, RSA-NI, RSA2048Pro, RSAUtil, Ruby, Russenger, Russian EDA2, Ryuk, SAD, SADStory, Sage 2.0, Salsa, SamSam, Sanction, Sanctions, Satan, Satana, Saturn, Scarab, Sepsis, SerbRansom, Serpent, ShellLocker, Shifr, Shigo, ShinigamiLocker, ShinoLocker, ShivaGood, Shrug, Shujin, Shutdown57, Sifreli, Sigma, Sigrun, SilentSpring, Simple_Encoder, SintaLocker, Skull Ransomware, SkyFile, Smrss32, SnakeLocker, SNSLocker, SoFucked, Solo Ransomware, Spartacus, Spectre, Spider, Spora, Sport, SQ_, Stampado, Stinger, STOP, StorageCrypter, Storm, Striked, Stroman, Stupid Ransomware, Styx, SuperB, SuperCrypt, Surprise, SynAck, SyncCrypt, SYSDOWN, SZFLocker, Team XRat, Telecrypt, Termite, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, TeslaWare, Thanatos, TheDarkEncryptor, THT Ransomware, tk, Torchwood, TotalWipeOut, TowerWeb, ToxCrypt, Trojan.Encoder.6491, Troldesh / Shade, Tron, TrueCrypter, TrumpLocker, UCCU, UIWIX, Ukash, UmbreCrypt, UnblockUPC, Ungluk, Unknown Crypted, Unknown Lock, Unknown XTBL, Unlock26, Unlock92, Unlock92 2.0, Unlock92 Zipper, Useless Disk, UselessFiles, UserFilesLocker, USR0, Uyari, V8Locker, Vapor v1, VaultCrypt, vCrypt, Velso, Vendetta, VenisRansomware, VenusLocker, ViACrypt, VindowsLocker, VisionCrypt, VMola, Vortex, Vurten, VxLock, Waffle, WannaCash, WannaCry, WannaCry.NET, WannaCryOnClick, WannaDie, WannaPeace, WannaSmile, WannaSpam, WhatAFuck, WhiteRose, WildFire Locker, WininiCrypt, Winnix Cryptor, WinRarer, WonderCrypter, Wooly, X Locker 5.0, XCrypt, XData, XiaoBa, XiaoBa 2.0, Xorist, Xort, XRTN, XTP Locker 5.0, XYZWare, YouAreFucked, YourRansom, Yyto, ZariqaCrypt, zCrypt, Zekwacrypt, Zenis, ZeroCrypt, ZeroRansom, Zilla, ZimbraCryptor, ZinoCrypt, ZipLocker, Zipper, Zoldon, Zyklon
=============

16.12.2018 08:12:53, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message105223/ http://forum.esetnod32.ru/messages/forum35/topic11658/message105223/ Sun, 16 Dec 2018 08:12:53 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
добавьте несколько зашифрованных и незашифрованных файлов,
+ записку о выкупе, если есть
+
сделайте образ автозапуска системы, где произошло шифрование.
14.11.2018 14:43:29, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message104941/ http://forum.esetnod32.ru/messages/forum35/topic11658/message104941/ Wed, 14 Nov 2018 14:43:29 +0300 Шифровальщики файлов и подбор дешифраторов Шифровирусы шумной толпою Шифровирусы шумной толпою в форуме Шифровальщики файлов и подбор дешифраторов.
Зашифровались файлы на жд шифровальщиком John Travolta, может кто возьмётся расшифровать их за денежное вознаграждение? Зашифрованные файлы и их незашифрованные оригиналы можем предоставить.
14.11.2018 14:28:48, Андрей Журович.]]> http://forum.esetnod32.ru/messages/forum35/topic11658/message104940/ http://forum.esetnod32.ru/messages/forum35/topic11658/message104940/ Wed, 14 Nov 2018 14:28:48 +0300 Шифровальщики файлов и подбор дешифраторов