# RotorCrypt

**[id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html](https://id-ransomware.blogspot.com/2016/10/rotorcrypt-ransomware.html)**

## RotorCrypt (RotoCrypt) Ransomware

 Tar Ransomware

### (шифровальщик-вымогатель)

 Translation into English

**Как удалить? Как расшифровать? Как вернуть данные?**
По [ссылке выберите Управление "К" МВД России и подайте онлайн-заявление.](https://xn--b1aew.xn--p1ai/request_main)
См. также [статьи УК РФ:](http://www.consultant.ru/document/cons_doc_LAW_10699/)
ст. 272 "Неправомерный доступ к компьютерной информации"
ст. 273 "Создание, использование и распространение вредоносных компьютерных
программ"

### Информация о шифровальщике

Этот крипто-вымогатель шифрует данные пользователей и серверов организаций с
помощью RSA, а затем требует связаться с вымоагтелями по email, чтобы вернуть
файлы. За возвращение файлов в нормальное состояние вымогатели требуют выкуп в
7 биткоинов, 2000-5000 долларов или евро. Аппетит обнаглевших от безнаказанности
вымогателей растёт не по дням, а по часам.

**Обнаружения:**

**Dr.Web -> Trojan.Encoder.5342, Trojan.Encoder.29037**

**BitDefender -> Gen:Variant.Razy.109164, Gen:Variant.Ransom.RotorCrypt.1,**


-----

Trojan.Ransom.RotorCrypt.A, Trojan.GenericKD.12470370,
Gen:Variant.Ransom.RotorCrypt.2
**Kaspersky -> Trojan-Ransom.Win32.Rotor.*, HEUR:Trojan.Win32.Generic**

**© Генеалогия:** **[Gomasom > RotorCrypt](http://id-ransomware.blogspot.ru/2016/05/gomasom-ransonware.html)**

Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляются составные расширения по шаблону:

**<file_name>.<file_extension><ransom_extension>**

На данный момент это расширения .c400, .c300 на конце файла и email вымогателей
перед ними:
!___ELIZABETH7@PROTONMAIL.COM____.c400
!_____LIKBEZ77777@GMAIL.COM____.c400
!_____GEKSOGEN911@GMAIL.COM____.c300

Таким образом файл Document.doc после шифрования станет:
Document.doc!____ELIZABETH7@PROTONMAIL.COM____.c400
Document.doc!_____LIKBEZ77777@GMAIL.COM____.c400
Document.doc!_____GEKSOGEN911@GMAIL.COM____.c300

Активность этого крипто-вымогателя пришлась на конец октября - ноябрь 2016 г., но
продолжилась и в 2017-2019 годах с другими расширениями (см. внизу "Блок
обновлений").

Записки с требованием выкупа называются:
**readme.txt или ***readme.txt**

**Содержание записки о выкупе (из версии Tar):**
Good day
Your files were encrypted/locked


-----

As evidence can decrypt file 1 to 3 1-30MB
The price of the transcripts of all the files on the server: 7 Bitcoin
Recommend to solve the problem quickly and not to delay
Also give advice on how to protect Your server against threats from the network
(Files sql mdf backup decryption strictly after payment)!

**Перевод записки на русский язык:**
Добрый день
Ваши файлы зашифрованы / заблокированы
Как доказательство можем расшифровать файл 1 до 3 1-30MB
Стоимость расшифровки всех файлов на сервере: 7 Bitcoin
Рекомендуем решить эту проблему быстро и без задержки
Кроме того, дадим советы о том, как защитить свой сервер от угроз из сети
(Файлы sql mdf backup дешифруем только после оплаты)!

**Email вымогателей:**
ELIZABETH7@PROTONMAIL.COM
LIKBEZ77777@GMAIL.COM
GEKSOGEN911@GMAIL.COM
и другие (см. внизу в обновлениях)

**Технические детали**

Может распространяться путём взлома через незащищенную конфигурацию RDP, с
помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, вебинжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См.
также "Основные способы распространения криптовымогателей" на вводной странице
блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления
Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /Quiet
bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {current} recoveryenabled no

**Список файловых расширений, подвергающихся шифрованию:**

.1cd, .avi, .bak, .bmp, .cf, .cfu, .csv, .db, .dbf, .djvu, .doc, .docx, .dt, .elf, .epf, .erf, .exe, .flv,
.geo, .gif, .grs, .jpeg, .jpg, .lgf, .lgp, .log, .mb, .mdb, .mdf, .mxl, .net, .odt, .pdf, .png, .pps,
.ppt, .pptm, .pptx, .psd, .px, .rar, .raw, .st, .sql, .tif, .txt, .vob, .vrp, .xls, .xlsb, .xlsx, .xml,
.zip (53 расширения).


-----

Расширений может быть больше, в основном это файлы документов MS Office,
изображения, архивы, базы данных, в том числе российского ПО 1C-Бухгалтерия, а
также R-Keeper, Sbis и пр. Шифрованию подвержены общие сетевые ресурсы (диски,
папки).

Файлы, связанные с RotorCrypt Ransomware:
iuy.exe
<random_name_8_chars>.exe
<random_name_8_chars>___.exe
DNALWmjW.exe и другие
GWWABPFL_Unpack.EXE
<random_name_8_chars>.lnk
jHlxJqfV.lnk и другие

**Расположения:**
%TEMP%\<random_name_8_chars>.exe
C:\Users\User_name\AppData\local\<random_name_8_chars>.exe
C:\Users\User_name\Desktop\<random_name_8_chars>.exe
C:\GWWABPFL_Unpack.EXE
%LOCALAPPDATA%\Microsoft Help\DNALWmjW.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\jHlxJqfV.lnk

**Записи реестра, связанные с RotorCrypt Ransomware:**
См. ниже гибридные анализы.

**Результаты анализов по версиям:**
[Гибридный анализ на Tar >>](https://www.hybrid-analysis.com/sample/e4a60a227edaff8c43cf1b318f45e70d23fa5c068fb5d578cb8aeb87358866f6?environmentId=100)
[Гибридный анализ для ELIZABETH >>](https://www.hybrid-analysis.com/sample/e3735eade96e628fc9a22377402fdcbf69613b6aba2b853dcb7ff850202fe0b8?environmentId=100)
[Гибридный анализ для LIKBEZ >>](https://www.hybrid-analysis.com/sample/bb08cc9cfdfeebf1c55bf72909a0b5feac87494d6d0cbdd25b0e91968258952d?environmentId=100)
[Гибридный анализ на GEKSOGEN >>](https://www.hybrid-analysis.com/sample/0c336544c1d014de99354ff7f69bf342edf30b2ddda8a8c98faf1de1496d15e0?environmentId=100)
[VirusTotal анализ на Tar >>](https://www.virustotal.com/ru/file/e4a60a227edaff8c43cf1b318f45e70d23fa5c068fb5d578cb8aeb87358866f6/analysis/)
[VirusTotal анализ для ELIZABETH >>](https://www.virustotal.com/ru/file/e3735eade96e628fc9a22377402fdcbf69613b6aba2b853dcb7ff850202fe0b8/analysis/)
[VirusTotal анализ для LIKBEZ >>](https://www.virustotal.com/ru/file/bb08cc9cfdfeebf1c55bf72909a0b5feac87494d6d0cbdd25b0e91968258952d/analysis/)
[VirusTotal анализ на GEKSOGEN >>](https://www.virustotal.com/ru/file/0c336544c1d014de99354ff7f69bf342edf30b2ddda8a8c98faf1de1496d15e0/analysis/)

Степень распространённости: средняя.
Подробные сведения собираются.

**=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===**

**Предыстория 1:**
На переходном периоде от Gomasom до Tar и RotorCrypt, и параллельно с их ранними
версиями, использовались другие составные расширения "roto" и "crypt", от которых,


-----

собственно, и произошло название шифровальщика RotorCrypt, через обнаружение
Trojan-Ransom.Win32.Rotor, используемое в продуктах ЛК.
Время распространения: от июня 2015 до января 2016, с продолжением до октября
2016.

Шаблон расширений:
**<file_name>.<file_extension><ransom_extension>**

Список расширений (List of extensions):
.-.DIRECTORAT1C8@GMAIL.COM.roto
.-.DIRECTORAT1C@GMAIL.COM.roto
.-.directorat1c@gmail.com.roto
.-.CRYPTSb@GMAIL.COM.roto
!-==kronstar21@gmail.com=--.crypt
!==helpsend369@gmail.com==.crypt
!__crypthelp12@gmail.com_.crypt
!___prosschiff@gmail.com_.crypt
!____moskali1993@mail.ru___.crypt
!______sufnex331@gmail.com______.crypt
!______bigromintol971@gmail.com______.crypt
!_______GASWAGEN123@GMAIL.COM____.crypt
!_________pkigxdaq@bk.ru_______.crypt
!______________DESKRYPTEDN81@GMAIL.COM.crypt

Для некоторых из них, возможно и для всех, была выпущена утилита дешифровки
RakhniDecryptor.
[Официальная ссылка >>](https://support.kaspersky.ru/viruses/disinfection/10556#block1)

**Предыстория 2: Tar Ransomware**
**Ранняя версия Tarдобавляла к зашифрованным файлам расширение .tar или ___tar**
Распространение Tar пришлось на вторую половину сентября - октябрь-ноябрь 2016.
[Сообщения на форуме BC.](http://www.bleepingcomputer.com/forums/t/629699/rotorcrypt-rotocrypt-ransomware-support-help-topic-tar-c400-extensions/)

Расширения того времени:
!____GLOK9200@GMAIL.COM____.tar
!____cocoslim98@gmail.com____.tar
[Результаты анализов: HA+VT](https://www.hybrid-analysis.com/sample/e4a60a227edaff8c43cf1b318f45e70d23fa5c068fb5d578cb8aeb87358866f6?environmentId=100)

**Обновление от 22 сентября 2016:**
Расширение: !_____ELIZABETH7@PROTONMAIL.COM____.tar
[Результаты анализов: VT](https://www.virustotal.com/#/file/75d6d4a28f9779e38fc336b9ecc3b0fc55d28483445ac1a0ccb1736fe8bdac74/detection)


-----

**Обновление от 10 ноября 2016:**
Email: GEKSOGEN911@GMAIL.COM
Расширение по шаблону:
!_____GEKSOGEN911@GMAIL.COM____.c300

**Обновление от 2 декабря 2016:**
Email: DILINGER7900@GMAIL.COM
Расширение по шаблону:
!_____DILINGER7900@GMAIL.COM_____.GRANIT

**Обновление от 16 декабря 2016:**
Расширение: !__recoverynow@india.com__.v8
См. статью **[V8Locker Ransomware](https://id-ransomware.blogspot.ru/2016/12/v8locker-ransomware.html)**

**Обновление от 26 декабря 2016:**
Email: hamil8642@gmail.com
Расширение по шаблону:
!____hamil8642@gmail.com___.GRANIT

**=== 2017 ===**

**Обновление от 20 марта 2017:**
Расширение: !===contact by email=== tokico767@gmail.com.adamant
Email: tokico767@gmail.com.adamant
[Пример темы >>](https://virusinfo.info/showthread.php?t=210499)
[Описание этого варианта у Dr.Web >>](https://vms.drweb.ru/virus/?i=15008110)
[Результаты анализов: HA+VT](https://www.hybrid-analysis.com/sample/f4e91f4127d59090e1a9e362c2c953cc5fe3885aee70775df6d1e1b587450949?environmentId=100)

**Обновление: апрель 2017:**
Email: edgar4000@protonmail.com
[Пример темы >>](https://forum.kasperskyclub.ru/index.php?showtopic=55406)
Расширение по шаблону:
edgar4000@protonmail.com____.granit
Email: edgar4000@protonmail.com

**Обновление от 5 июня 2017:**
Расширение: ________DILIGATMAIL@tutanota.com________.pgp
[Ссылка на топик >>](https://forum.kasperskyclub.ru/index.php?showtopic=55954)

**Обновление от 18 июня - 15 августа 2017:**
[Пост в Твиттере >>](https://twitter.com/jiriatvirlab/status/897500164297969664)
Расширение по шаблону:
!______DILIGATMAIL7@tutanota.com______.OTR


-----

Email: diligatmail7@tutanota.com
[Результаты анализов: HA+VT](https://www.virustotal.com/ru/file/9ae4435a7ad4b055cf13edc9e68d2ef8823b300391e49d65856c196dbaf28333/analysis/1502812190/)

**Обновление от 23 августа 2017:**
Расширение по шаблону:
!______PIFAGORMAIL@tutanota.com______.SPG
Email: PIFAGORMAIL@tutanota.com
Примеры зашифрованных файлов:
Анкета.docx!______PIFAGORMAIL@tutanota.com______.SPG
Resume.docx!______PIFAGORMAIL@tutanota.com______.SPG

**Обновление от 12 сентября 2017:**
Расширение по шаблону: _______PIFAGORMAIL@tutanota.com_____.rar
Email: PIFAGORMAIL@tutanota.com

**Обновление от 20 сентября 2017:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/910508556453105665)
Расширение по шаблону: !_____INKASATOR@TUTAMAIL.COM____.ANTIDOT
Email: INKASATOR@TUTAMAIL.COM
[Результаты анализов: VT](https://www.virustotal.com/ru/file/77caaff559b908e4d3010d7c8d07c286a61feaccf8c7314dd495425054304219/analysis/)

**Обновление от 13-20 сентября 2017:**
[Пост в Твиттере >> +](https://twitter.com/Chrisadriva/status/907932894219440133) [Пост в Твиттере >>](https://twitter.com/demonslay335/status/910581199944454144)
Расширение по шаблону: !-=solve a problem=-=grandums@gmail.com=-.PRIVAT66
Email: grandums@gmail.com
[Результаты анализов: VT](https://www.virustotal.com/ru/file/256946520472b89a39e066ff88560a8c1967fd1d46ba888129856046c5a012be/analysis/)

**Обновление от 20 сентября 2017:**
[Пост в Твиттере >>](https://twitter.com/Amigo_A_/status/916359111142494208)
Расширение по шаблону: !==solve a problem==stritinge@gmail.com===.SENRUS17
Email: stritinge@gmail.com
Сумма выкупа: 1 BTC
Результаты анализов: VT

**Обновление от 10 октября 2017:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/917740730310946816)
Расширение по шаблону: !_____FIDEL4000@TUTAMAIL.COM______.biz
Email: FIDEL4000@TUTAMAIL.COM
[Результаты анализов: VT](https://www.virustotal.com/ru/file/f3844930e6ed425e353d9534dc724d981080843afb0627f027e290b01a85409d/analysis/)

**Обновление от 17 октября 2017:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/920280974394580992)
Файлы: dead rdp.exe, RarYBiHI.exe


-----

Расширение: !____________DESKRYPT@TUTAMAIL.COM________.rar
Email: DESKRYPT@TUTAMAIL.COM
[Результаты анализов: VT](https://virustotal.com/ru/file/5c7b8a75294bb7e4ce4879739c5b24d038a675bdce4f44b9236c129f1c97d97c/analysis/)

**Обновление от 27 ноября 2017:**
[🎥 Video review](https://www.youtube.com/watch?v=mqxr1C8mf8w)
**[Пост в Твиттере +](https://twitter.com/Amigo_A_/status/935557305650860032)** **[Tweet >>](https://twitter.com/GrujaRS/status/935610187158781952)**
Расширение: !____________ENIGMAPRO@TUTAMAIL.COM_______.PGP
Email: ENIGMAPRO@TUTAMAIL.COM
Записка: info.txt
Файлы: <random8>.exe
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/34dbb3f2c9d3789331bd020aaabc3a31fbeb29f7c67f209ad0e2636c32974f1a/detection) [HA](https://www.hybrid-analysis.com/sample/34dbb3f2c9d3789331bd020aaabc3a31fbeb29f7c67f209ad0e2636c32974f1a?environmentId=100)
Скриншоты записки и файлов >>

**Обновление от 25 декабря 2017:**
Расширение: !___________ANCABLCITADEL@TUTAMAIL.COM__________.PGP
Email: ANCABLCITADEL@TUTAMAIL.COM
Файл: <random>.exe
[Результаты анализов: VT](https://virustotal.com/ru/file/2727dde7418284bd2b16a032346a9c6921cbfb5e950ad21c9468792b71ee3898/analysis/)

**=== 2018 ===**

**Обновление от 25 января 2018:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/956586546639134720)
Расширение: !==SOLUTION OF THE
PROBLEM==blacknord@tutanota.com==.Black_OFFserve!
Email: blacknord@tutanota.com
[Результаты анализов: VT](https://www.virustotal.com/gui/file/568a79ce585dac32af237cb187b663cb6d2e4f594d66860c7ea1b3c66e4b7919/detection)

**Обновление от 9 февраля 2018:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/962048717506269185)
Расширение: !decrfile@tutanota.com.crypo
Email: decrfile@tutanota.com
[Результаты анализов: VT](https://www.virustotal.com/gui/file/4213288a599af1981743832866461d735f2b25d80869a9da5f75ad1357449cda/detection)


-----

**Обновление от 5 марта 2018:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/970712599196323842)
Расширение с пробелами: !,--, Revert Access,--, starbax@tutanota.com,-,.BlockBax_v3.2
Email: starbax@tutanota.com
[Результаты анализов: VT](https://www.virustotal.com/#/file/bfb543ce93b97fa301c695fdcd5cf23ab5942a6c1a2f8a6e1f7360892d4ae11b/)

**Обновление от 21 мая 2018:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/998619385190379521)
Расширение: !________INKOGNITO8000@TUTAMAIL.COM_________.SPG
Email: INKOGNITO8000@TUTAMAIL.COM
[Результаты анализов: VT](https://www.virustotal.com/#/file/0ed58c615e2701e06458e2a4eac9d698584f4197681430fc2ad9924cf57185f7/)

**Обновление от 03 июня 2018:**
[Пост на форуме >>](https://www.bleepingcomputer.com/forums/t/608564/xorist-enciphered-ransomware-support-and-help-topic-how-to-decrypt-filestxt/?p=4506432)
Расширение: !_______INKOGNITO7000@TUTAMAIL.COM_______.SPG
Email: INKOGNITO7000@TUTAMAIL.COM

**Обновление от 11 июня 2018:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1006216594169753601)
Расширение: !@#$%______PANAMA1@TUTAMAIL.com_____%$#@.mail
Email: PANAMA1@TUTAMAIL.com
[Результаты анализов: VT](https://www.virustotal.com/#/file/3637c9f27d8599d1c79a1de6f4eb2bf2795f831d43d9d4b0c821e73bdbebafcf/)

**Обновление от 14 июня 2018:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1007315938222530560)
Расширение: !@!@!@_contact mail___boroznsalyuda@gmail.com___!@!@.psd
Email: boroznsalyuda@gmail.com
Файл: WbshKnkR.exe
[Результаты анализов: VT](https://www.virustotal.com/#/file/4eedb08df4d2ad613bd935e17187e62e13988f7ddf6d7da31ea1f120b9bfb1bb/)


-----

Так выглядят зашифрованные файлы

**Обновление от 14 июня 2018:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1007418665577472000)
[Пост в Твиттере >>](https://twitter.com/GrujaRS/status/1008289660085456896)
[Видеообзор от CyberSecurity GrujaRS >>](https://www.youtube.com/watch?v=wa_o7WDkgBI)
Расширение: !@#$_____ISKANDER@TUTAMAIL.COM_____$#@!.RAR

Скриншот с зашифрованными файлами
Email: ISKANDER@TUTAMAIL.COM
Записка: INFO.txt
Содержание записки:
Для связи с нами используйте почту
ISKANDER@TUTAMAIL.COM

[Результаты анализов: VT](https://www.virustotal.com/#/file/2c4ccb8e6a510e4e73435b6fd740ed3047ae790ee3bd1f3a80d8d8d2acc8f952/)

Так выглядят зашифрованные файлы

**Обновление от 24 июня 2018:**
Расширение: !@#$_____INKASATOR1@TUTAMAIL.COM_____$#@!.RAR


-----

Email: INKASATOR1@TUTAMAIL.COM
[Топик на форуме >>](https://forum.kasperskyclub.ru/index.php?showtopic=59721)

**Обновление от 25 июня 2018:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1011266336184569858)
Зашифрованные файлы без расширения.
Email: patagonoa92@tutanota.com
Записка: Help.txt
➤ Содержание записки:
help mail
PATAGONIA92@TUTANOTA.COM
[Результаты анализов: VT](https://www.virustotal.com/#/file/143503a7670bf5c20bc45082fccbbba7862ee2c1a3d034e9ed8761480e16923c/)

**Обновление от 9 июля 2018:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1016354267756748801)
Расширение: !@$#-unlock-email______zepro190@gmail.com______#$!...ES_HELPs
Email: zepro190@gmail.com
[Результаты анализов: VT](https://www.virustotal.com/#/file/48e4346eeffde667a99431d9ddd92a2f625a894feacbc5df3529c88622e7ebb6/)

Так выглядят зашифрованные файлы

**Обновление от 19 июля 2018:**
Расширение: !@#$%______PANAMA1@TUTAMAIL.com_____%$#@.mail
Email: PANAMA1@TUTAMAIL.com
[Топик на форуме >>](https://forum.kasperskyclub.ru/index.php?s=102f1c2627d4d8083818884410f2df8c&showtopic=59954)

**Обновление от 21 августа 2018:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1031934386579464192)
Расширение:
!@#$_(decryp in the EMail)____nautilus369alarm@gmail.com____$#@..AlfaBlock

Email: nautilus369alarm@gmail.com
[Результаты анализов: VT](https://www.virustotal.com/#/file/564ff6b22920c92792e4eff32e02e582fc6c603ea71fb0185cd1420a11aa680c/)


-----

**Обновление от 10 октября 2018:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1050115391547162626)
Расширение: !@#$%^&-()_+.1C
Записка: INFO.txt
Email: inkognitoman@tutamail.com, inkognitoman@firemail.cc

➤ Содержание записки:

Для связи с нами используйте почту

inkognitoman@tutamail.com

inkognitoman@firemail.cc

[Результаты анализов: VT +](https://www.virustotal.com/#/file/6e2db44578ff2fdcab7938517973ed9bfd3532d7b29b7798ceb9f04ed079c1ac/) [HA +](https://www.hybrid-analysis.com/sample/6e2db44578ff2fdcab7938517973ed9bfd3532d7b29b7798ceb9f04ed079c1ac?environmentId=100) [AR](https://app.any.run/tasks/ecb424b7-3067-418a-ae97-b624f84297dd)

**Обновление от 11 декабря 2018:**

[Топик на форуме >>](https://forum.drweb.com/index.php?showtopic=331181)

Расширение: !@#$%^&-().1-C

Записка: INFO.TXT

Email: PREDSEDATEL@TUTAMAIL.COM

➤ Содержание записки:

Для связи с нами используйте почту

PREDSEDATEL@TUTAMAIL.COM

**=== 2019 ===**

**Обновление от 4 февраля 2019:**

[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1092446835053117441)

Расширение: !ymayka-email@yahoo.com.cryptotes

Записка: readme.txt


-----

[Результаты анализов: VT](https://www.virustotal.com/#/file/5841aab1bb45515daeb32fada67a668cdcba32ffa893caeb7e06dbb2b8c4b3da/detection)

**Обновление от 1 марта 2019:**

[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1101487998229770242)

Расширение: !_!email__ prusa@goat.si __!..PAYMAN

Записка: open_payman.txt

Email: prusa@goat.si, prusa@tutanota.de

[Результаты анализов: VT](https://www.virustotal.com/gui/file/68f16835e46a569f90dbf8b76f837bf455b991ce098d896844a666ad0b1aed6d/detection)

➤ Содержание записки:

КАК ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ ИНСТРУКЦИЯ

Внимание!!!
Мы действительно сожалеем сообщить вам, что все ваши файлы были зашифрованы

нашим автоматическим программным обеспечением. Это стало возможным из-за
плохой безопасности сервера.

Внимание!!!
Пожалуйста не потревожьтесь, мы смогите помочь вам восстановить ваш сервер к
оригиналу государство и расшифровать все ваши файлы, быстро и безопасно!

Информация!!!

Файлы не сломаны!!!

Файлы были зашифрованы с помощью алгоритмов шифрования AES-128+RSA-2048.

Невозможно расшифровать файлы без уникального ключа дешифрования и


-----

специального программного обеспечения. Ваш уникальный ключ расшифровки
хранится на нашем сервере. Для нашей безопасности вся информация о вашем
сервере и ключе для расшифровки будет автоматически удалена через 7 дней! Вы
безвозвратно потеряете все свои данные!

- Обратите внимание, что все попытки восстановить файлы самостоятельно или с
помощью сторонних инструментов приведет только к безвозвратной потере ваших
данных!

- Обратите внимание, что восстановить файлы можно только с помощью уникального
ключа расшифровки, который хранится на нашей стороне. Если вы будете
пользоваться помощью третьих лиц, то добавите только посредника.
КАК ВОССТАНОВИТЬ ФАЙЛЫ???
Пожалуйста, напишите нам на e-mail (пишите на английском или используйте
профессионального переводчика):айлы можно только с помощью уникального ключа
расшифровки, который хранится на нашей стороне.
1 email: prusa@goat.si (Response time within 24 hours)
2 email: prusa@tutanota.de (replacement mail in the event that no reply in 24 hours by email
1)
--HOW TO RECOVER YOUR FILES INSTRUCTION
ATENTION!!!
We are realy sorry to inform you that ALL YOUR FILES WERE ENCRYPTED
by our automatic software. It became possible because of bad server security.
ATENTION!!!
Please don't worry, we can help you to RESTORE your server to original
state and decrypt all your files quickly and safely!
INFORMATION!!!
Files are not broken!!!
Files were encrypted with AES-128+RSA-2048 crypto algorithms.
There is no way to decrypt your files without unique decryption key and special software.
Your unique decryption key is securely stored on our server. For our safety, all information
about your server and your decryption key will be automaticaly DELETED AFTER 7 DAYS!
You will irrevocably lose all your data!

- Please note that all the attempts to recover your files by yourself or using third party tools
will result only in irrevocable loss of your data!

- Please note that you can recover files only with your unique decryption key, which stored
on our side. If you will use the help of third parties, you will only add a middleman.
HOW TO RECOVER FILES???
Please write us to the e-mail (write on English or use professional translator):
1 email: prusa@goat.si (Response time within 24 hours)
2 email: prusa@tutanota.de (replacement mail in the event that no reply in 24 hours by email
1)
You have to send your message on each of our 3 emails due to the fact that the message


-----

may not reach their intended recipient for a variety of reasons!
We recommed you to attach 3 encrypted files to your message. We will demonstrate that we
can recover your files.

- Please note that files must not contain any valuable information and their total size must
be less than 5Mb.
OUR ADVICE!!!
Please be sure that we will find common languge. We will restore all the data and give you
recommedations how to configure the protection of your server.
Recovery time from 30 minutes to 10 hours, including local drives and connected devices.
We will definitely reach an agreement ;) !!!

**Обновление от 13 марта 2019:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1105585440357339136)
Расширение: !__help2decode@mail.com__.a800
Записка: recovery.instruction.txt
Email: help2decode@mail.com

➤ Содержание записки:
What happened to your files ?
All of your files were protected by a strong encryption with RSA-2048. More information
about the encryption keys using RSA-2048 can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you
will not be able to work with them, read them or see them, it is the same thing as losing them
forever, but with our help, you can restore them.
CONTACT US BY EMAIL: help2decode@mail.com
[Результаты анализов: VT +](https://www.virustotal.com/#/file/f9278221ef8e4155b7261b7908281a3fea9011e29df61db92769ff28d688e146/) [AR](https://app.any.run/tasks/a84e466d-aa99-4338-89e8-2a7ebfe49bb0)

**Обновление от 15 марта 2019:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1106636001055772672)
Расширение: !@#$%^&-().1c
Email: admin1c@airmail.cc, rezerved1c@tuta.io
Записка: INFO.txt


-----

➤ Содержание записки:
для связи с нами используйте почту
admin1c@airmail.cc
rezerved1c@tuta.io
[Результаты анализов: VT +](https://www.virustotal.com/#/file/f76e753a6cddf87fee501a91a7050b3ef2bdac0a8693df846b273f3307fcc635/detection) **[AR +](https://app.any.run/tasks/970be4ee-fa02-424f-a483-22ed316ae81c)** **[IA +](https://analyze.intezer.com/#/analyses/2dcd20f1-612b-4950-9945-f84a33562c7d)** **[HA](https://www.hybrid-analysis.com/sample/f76e753a6cddf87fee501a91a7050b3ef2bdac0a8693df846b273f3307fcc635?environmentId=120)**

**Обновление от 18 марта 2019:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1107779206585483264)
Расширение: !!!! prusa@rape.lol !!!.prus
Записка: informprus.txt
Текст записки очень корявый. Содержание, как в тексте от 1 марта 2019.

Скриншот оригинального текста записки

Показатель безграмотного текста на русском

📌 Текст на русском языке написан так безграмотно и коряво, что вызывает сомнения,
что его писали знавшие русский язык. Конечно, это могли сделать и умышленно.
Email-1: prusa@rape.lol


-----

Email-2: prusa@tutanota.de
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/aec796b0317c54109efc2135d490100325e5533b492abba3aa3da41c46df2587/detection) **[AR](https://app.any.run/tasks/05ecde5f-4758-4ab3-9b94-be221f10a248)**

**Обновление от 31 мая 2019:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1134465262034595844)
Расширение: !__prontos@cumallover.me__.bak
Email: prontos@cumallover.me
[Результаты анализов: VT +](https://www.virustotal.com/gui/file/0e5232a37178f23ac946254c34bdbf0d551fefac9fe83a5cf3f276335948f80f/detection) [VMR](https://www.virustotal.com/gui/file/0e5232a37178f23ac946254c34bdbf0d551fefac9fe83a5cf3f276335948f80f/community)

**Обновление от 21 июня 2019:**
[Пост в Твиттере >>](https://twitter.com/demonslay335/status/1152938864354500608)
Расширение: !-information-...___ingibitor366@cumallover.me___....RT4BLOCK
Записка: NEWS_INGiBiToR.txt
Email: ingibitor366@cumallover.me
[Результаты анализов: VT + HA + VMR](https://www.virustotal.com/gui/file/b40e49e41b27eb6f04b34de77e448e351f258e8f75ac53985e03f11103cfb393/detection)

**=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===**
```
        Read to links: 
 ID Ransomware
 Topic on BC
 Topic on KC

```

-----

```
https://youtu.be/mqxr1C8mf8w
         Thanks: 
 Michael Gillespie
 Andrew Ivanov (author), mike 1, thyrex, GrujaRS
 *
 victims in the topics of support

```
© Amigo-A (Andrew Ivanov): All blog articles.


-----