When this new ransomware variant is installed on a victim’s computer, it executes and decrypts data as necessary from the .data resource section. Initially, the entire .data section is encrypted using the RC4 algorithm and a 128byte key stored at the beginning of the data block. The malware then uses the key to decrypt the strings, step by step. Firstly, API names and addresses are decrypted and stored into the stack, which are then loaded. In addition, the malware decrypts commands used to delete shadow copies, file extension list, attacker email addresses, the encrypted file extension, the ransom note, and other various strings that are also encrypted.
Когда Dharma Ransomware установлен на компьютере жертвы, он выполняет и расшифровывает данные по мере необходимости из раздела ресурсов .data. Первоначально весь раздел .data зашифровывается с использованием RC4-алгоритма и 128-байт-ключа, сохраненного в начале блока данных. Затем вредоносное ПО использует ключ для дешифрования строк, шаг за шагом. Во-первых, имена и адреса API дешифруются и сохраняются в стеке, которые затем загружаются. Кроме того, вредоносное ПО расшифровывает команды, используемые для удаления теневых копий, список расширений файлов, адреса электронной почты злоумышленника, зашифрованного расширения файла, примечания о выкупе и других различных строк, которые также зашифровываются. https://www.fortinet.com/blog/threat-research/dharma-ransomware--what-it-s-teaching-us.html
по классификации DrWeb - CrySis - это Trojan.Encoder.3953
Известны как минимум 4 его модификации, отличающиеся способом шифрования файлов, и 4 версии, различающиеся способом их именования. Имеются основания полагать, что авторами этого энкодера являются вирусописатели, ранее создавшие Trojan.Encoder.741/(Filecoder.DG по классиф. ESET) и Trojan.Encoder.2667.
Сервер под управлением ОС Windows server 2008 R2 стал жертвой вируса шифровальщика, часть системных файлов и базы данных 1С v7 были зашифрованы, пример "1SBLOB.DBF.id-04CC5A56.[newsantaclaus@aol.com].santa", также на рабочем столе появился файл FILES ENCRYPTED.txt с таким содержимым:
all your data has been locked usYou want to return?
write email newsantaclaus@aol.com
Вирус зашифровал компьютер, все файлы стали с раширением .id-1C4E1AD1.[newsantaclaus@aol.com].santa
Сейчас выводит сообщение:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail newsantaclaus@aol.com
Write this ID in the title of your message 1C4E1AD1
In case of no answer in 24 hours write us to theese e-mails:newsantaclaus@aol.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
+
набирает силу Phobos, который по ряду внешних признаков напоминает клон Crysis/Dharma:
1. по структуре заголовка зашифрованного файла:
filename + .ID-Hex[8].[mail].phobos
filename + .ID-84D66217.[bad_boy700@aol.com].phobos
2. по записке о выкупе:
однако же отличается от них по структуре зашифрованного файла:
нет характерных для Crysis/Dharma маркеров в конце зашифрованного файла, а так же нет наименования оригинала файла.
(но есть таки маркер почты в самом конце файла: bad_boy700@aol.com --BAB166. )
(которые есть в crysis/dharma)
Новая атака шифратора Shade нацелена на российских бизнес-пользователей
В январе 2019 года мы зафиксировали резкий рост числа обнаружений вредоносных почтовых вложений JavaScript (в 2018 году данный вектор атаки использовался минимально). В «новогоднем выпуске» можно выделить рассылку на русском языке, предназначенную для распространения шифратора Shade (он же Troldesh), который детектируется продуктами ESET как Win32/Filecoder.Shade.
January 2019 has seen a dramatic uptick in detections of malicious JavaScript email attachments, an attack vector that mostly lay dormant throughout 2018. Among the “New Year edition” of malicious spam campaigns relying on this vector, we have detected a new wave of Russian-language spam that distributes ransomware known as Shade or Troldesh, and detected by ESET as Win32/Filecoder.Shade.
Ransomware Attacks Target MSPs to Mass-Infect Customers
Ransomware distributors have started to target managed service providers (MSPs) in order to mass-infect all of their clients in a single attack. Recent reports indicate that multiple MSPs have been hacked recently, which has led to hundreds, if not thousands, of clients being infected with the GandCrab Ransomware.
With the mass distribution of ransomware increasingly becoming more difficult through methods such a spam, attackers are coming up with more creative ways to infect their victims. This includes hacking into RDP, teaming up with criminal download monetization companies, renting the services of botnet operators, and now attacking MSPs.
A managed service provider is a company who remotely manages and supports the IT infrastructure and technical support for their clients. One of the benefits of an MSP is that they monitor their client's networks and proactively fix problems that they discover.
Распространители Ransomware начали нацеливаться на поставщиков управляемых услуг (MSP), чтобы заразить всех своих клиентов одной атакой. Недавние сообщения указывают на то, что в последнее время было взломано несколько MSP, что привело к заражению сотен, если не тысяч клиентов, с помощью GandCrab Ransomware.
Массовое распространение вымогателей становится все более затруднительным с помощью таких методов, как спам, злоумышленники находят более творческие способы заражения своих жертв. Это включает в себя взлом RDP, объединение усилий с компаниями, занимающимися монетизацией криминальных загрузок, аренду услуг операторов ботнетов и теперь атаку на MSP.
Поставщик управляемых услуг - это компания, которая дистанционно управляет и поддерживает ИТ-инфраструктуру и техническую поддержку своих клиентов. Одним из преимуществ MSP является то, что они контролируют сети своих клиентов и активно устраняют обнаруженные проблемы.
Комментарии
Another two #CrySiS / #Dharma #ransomware variants - extensions ".like" and ".gdb" - emails "GetDataBack@fros.cc" and "help@decrypt-files.info" - https://www.virustotal.com/#/file/bf20b92755cd5c2542cdcef804ee795932cc4b0e070ca6b81ff8fd30908a8f97/detection … and https://www.virustotal.com/#/file/71506a3322b0e0bc6fc2c1a1f0ac844a82a8c3fbbfeb4e6452013b4ade7610fb/detection …, cc @demonslay335
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
Another #Dharma #Ransomware variant spotted on ID Ransomware, extension ".adobe". cc @JakubKroustek
#Dharma #Ransomware with extension ".tron", interestingly uses a .NET dropper. https://www.virustotal.com/#/file/8c2d2276dd1b98ad4c3958d466f8cf650d499f06c7ed2ef8ef9e026b457d3402/ …
Two new #CrySiS/#Dharma #ransomware variants: ".AUDIT": https://www.virustotal.com/#/file/1945c44901e7aa9dd5b6e7e6e07a777d57f7e76120a3ca5a46a0f983d30ce37e/ … & ".cccmn" https://www.virustotal.com/#/file/841367a29ca9fb0e95cbdae260d6ed020c1328552ca08bd2bf27c2cd11092c53 …; "payransom@qq.com" & "decrypt_arena@india.com"
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
#Dharma #Ransomware spotted on ID Ransomware with extension ".back". cc @JakubKroustek
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
#CrySiS / #Dharma #ransomware variant ".Bear" - email "Grizzly@airmail.cc" - sample https://www.virustotal.com/#/file/15caa34266878c1e1fa51c9798393290a26364f3775e776e8d6b448bdd138ab3/detection … - unpack https://www.virustotal.com/#/file/2a12686e4ab990c47ad5e89c883988b1a0907c4fa1c2e7c475f77b988143c138/detection … - cc @demonslay335
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
Когда Dharma Ransomware установлен на компьютере жертвы, он выполняет и расшифровывает данные по мере необходимости из раздела ресурсов .data. Первоначально весь раздел .data зашифровывается с использованием RC4-алгоритма и 128-байт-ключа, сохраненного в начале блока данных. Затем вредоносное ПО использует ключ для дешифрования строк, шаг за шагом. Во-первых, имена и адреса API дешифруются и сохраняются в стеке, которые затем загружаются. Кроме того, вредоносное ПО расшифровывает команды, используемые для удаления теневых копий, список расширений файлов, адреса электронной почты злоумышленника, зашифрованного расширения файла, примечания о выкупе и других различных строк, которые также зашифровываются.
https://www.fortinet.com/blog/threat-research/dharma-ransomware--what-it-s-teaching-us.html
по классификации DrWeb - CrySis - это Trojan.Encoder.3953
https://vms.drweb.ru/virus/?i=8051858&virus_name=Trojan.Encoder.3953
Yet another #CrySiS/#Dharma #ransomware variant - extension '.fire' - email 'suppfirecrypt@qq.com' - https://www.virustotal.com/#/file/151921dc5a3d72cdce14bf08c728c40b7ff0b1a555014163cbff375886ea411d/detection …
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
and another one... #CrySiS/#Dharma #ransomware - extension 'myjob' - ransom email address 'goodjob24@foxmail.com' - https://www.virustotal.com/#/file/e75ee5dcc9921d016f9d33989cfebe97db006354699f7d005d82801a3daa8920/detection …. cc @demonslay335
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
New variant of #Dharma #Ransomware Ext: .[cyberwars@qq.com].war R/n: FILES ENCRYPTED.txt Email: cyberwars@qq.com
+
#Dharma #Ransomware spotted on ID Ransomware with extension ".risk"
+
+
and another one - "bkpx" - Admin@decryption.biz - https://www.virustotal.com/#/file/9998c841464ffed15b17c5cf7893bce953d013241ae9b3bf4ba93409afa64f75/ …
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
VT/HA/ID_RSM_WARE
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
Another #CrySiS / #Dharma #ransomware variant - extension ".bizer" - email address "silver@decryption.biz" https://www.virustotal.com/#/file/b03fe8e7f53f7f705b8a1a019b194a11d4f7a7c384099ef3b289e08e35b47ab8/detection …
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
New variant of #CrySiS / #Dharma - ".gif" extension - email "payadobe@yahoo.com" - https://www.virustotal.com/#/file/9ecc9ae378a335453d58fe44c95a8f5b40595b8a2e11eedfe86521e6f61fdbc1/detection … / https://beta.virusbay.io/sample/browse?q=9ecc9ae378a335453d58fe44c95a8f5b40595b8a2e11eedfe86521e6f61fdbc1 … cc @demonslay335 #MalwareAuthorsGoingBackToWorkAfterVacation
+
H-A
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
#CrySiS / #Dharma #ransomware - ".AUF" extension - "Decisivekey@tutanota.com" - https://www.virustotal.com/#/file/5280edad1dcecca9b0542556a775961bc620c31a06f2fe6383792a6f300ed81e/detection … - cc @demonslay335
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
#CrySiS/#Dharma #ransomware again and again: extensions ".USA" and ".xwx", extortion email addresses "usacode@aol.com" and "data@decoding.biz". https://www.virustotal.com/#/file/35ade951e0713f31cbdc4844ea0e7c8ffff795efd6ab7e8d22fad5d3cf87ac0c/detection … https://www.virustotal.com/#/file/60f5a7aa2216c5688d56a59a0fe4e87320dd22f4606e2ad06dae0469c952b965/detection … cc @demonslay335
+
".best" - 'bestdecoding@cock.li' - https://www.virustotal.com/#/file/73bf556b35606c9b9ea033d4e93f057e890698126b0cc8cb7b85604c3688434f/detection …
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
набирает силу Phobos, который по ряду внешних признаков напоминает клон Crysis/Dharma:
1. по структуре заголовка зашифрованного файла:
filename + .ID-Hex[8].[mail].phobos
filename + .ID-84D66217.[bad_boy700@aol.com].phobos
2. по записке о выкупе:
однако же отличается от них по структуре зашифрованного файла:
нет характерных для Crysis/Dharma маркеров в конце зашифрованного файла, а так же нет наименования оригинала файла.
(но есть таки маркер почты в самом конце файла: bad_boy700@aol.com --BAB166. )
(которые есть в crysis/dharma)
New Dharma / CrySiS Ransomware variant appends ".heets" to encrypted file extensions.
Job1_11.PNG.id-085CDA53._polmacpol@cock.li_.heets
H-A/VT/ IDR
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
https://habr.com/ru/company/eset/blog/437982/
https://www.welivesecurity.com/2019/01/28/russia-hit-new-wave-ransomware-spam/
'.qwex' - 'backdata@qq.com' #CrySiS #Dharma #ransomware https://www.virustotal.com/#/file/b50caa0122798f2ac48d63af82676f57ac2bdbe1f5d9662a1d14cff55f444b17/detection …
+
'.ETH' - helpfilerestore@india.com - https://www.virustotal.com/#/file/f6b1831e8f3968b96cac1c046846e3a1f46b9add401e14a2720a872286342951/detection …
+
'.air' - 'satco@tutanota.com' - https://www.virustotal.com/#/file/e0259f5e4c6f9fcbe12437c3e8d7c38f8775f5f9f77a88574ab470ad71a040c3/detection …
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
#Paradise #ransomware - '.STUB' + 'paradise@all-ransomware.info' + 'Instructions with your files.txt' - https://www.virustotal.com/#/file/e42467e017214bb53145bd63578a569bd03186650e276634ee390304e1ba751d/detection …
'.888' - donald888@mail.fr - https://www.virustotal.com/#/file/8e31a1b861e61c077f2cd8957a4f1c2872a4a06da85c8e6bccefc7c7451d4fe4/detection …
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
'.amber' and '.frend' - 'korvin0amber@cock.li' and 'undogdianact1986@aol.com' - https://www.virustotal.com/#/file/ca8f6f2650d8bdcc25616fe247a73229ff73f2871612d111ba49bec41f21d2b5/detection … and https://www.virustotal.com/#/file/3235e03928b204a9586cbdf7956c83108e102d6a1538ef58c1c3812420c8908a/detection …
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
вариант .ETH/.[ethpay@airmail.cc].ETH/ уже есть на российских форумах.
https://virusinfo.info/showthread.php?t=221895
'.KARLS' - 'karlosdecrypt@outlook.com' - https://www.virustotal.com/#/file/c52e8e22a74c9eba98b265bc2c9438e9aa1664a7ed91d5d6a38191807358a0a1/detection …
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
Распространители Ransomware начали нацеливаться на поставщиков управляемых услуг (MSP), чтобы заразить всех своих клиентов одной атакой. Недавние сообщения указывают на то, что в последнее время было взломано несколько MSP, что привело к заражению сотен, если не тысяч клиентов, с помощью GandCrab Ransomware.
Массовое распространение вымогателей становится все более затруднительным с помощью таких методов, как спам, злоумышленники находят более творческие способы заражения своих жертв. Это включает в себя взлом RDP, объединение усилий с компаниями, занимающимися монетизацией криминальных загрузок, аренду услуг операторов ботнетов и теперь атаку на MSP.
Поставщик управляемых услуг - это компания, которая дистанционно управляет и поддерживает ИТ-инфраструктуру и техническую поддержку своих клиентов. Одним из преимуществ MSP является то, что они контролируют сети своих клиентов и активно устраняют обнаруженные проблемы.
https://www.bleepingcomputer.com/news/security/ransomware-attacks-target-msps-to-mass-infect-customers/
https://www.vmray.com/analyses/329b3ddbf1c0/report/overview.html …
https://www.virustotal.com/gui/file/329b3ddbf1c00b7767f0ec39b90eb9f4f8bd98ace60e2f6b6fbfb9adf25e3ef9/community …
'.aqva' - 'crypted_files@qq.com' - https://www.virustotal.com/#/file/57b7d93d19816aa8fd7987594ddd18e2f583285a02dfa74ce13381fe926766e6/detection … cc @demonslay335 #CrySiS #Dharma #ransomware
+
'.AYE' - 'sebekgrime@tutanota.com' - https://www.virustotal.com/#/file/3145ce9af8f1e44e2c0f0a9123f8201a3aab013c7bfaf1f120fa4d7e50a67259/detection … … cc @demonslay335 #CrySiS #Dharma #ransomware
+
'.korea' - 'omfg@420blaze.it' - https://www.virustotal.com/#/file/068f9ed02827dd12d13bdb8aaa42837e1a10a69fa065e87353daef8530584219/detection … cc @demonslay335 #CrySiS #Dharma #ransomware
+
'.plomb' - 'plombiren@hotmail.com' - https://www.virustotal.com/#/file/e4448bff0545df8f441f6b7a75a7e507483ee3b632f062ece72db8abb37ff6b1/detection
App.Any.Run
+
'.NWA' - 'dr.crypt@aol.com' - https://www.virustotal.com/#/file/e18a0428781c243fa909d0a8296312192d462a15a67fe978d0e8c58b99ff43f5/detection … #CrySiS #Dharma #ransomware
вариант с "NWA" уже есть на российских форумах:
https://forum.kasperskyclub.ru/index.php?showtopic=62227
+
'.com' ?♂ - 'trupm@protonmail.com' - https://www.virustotal.com/#/file/b8a87647159792fbf4e3b96609ecb8b465e493b8bc4491b760f82c1c2b662c7c/detection … #CrySiS #Dharma #ransomware
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
'.azero' - 'cryptor55@cock.li' - https://www.virustotal.com/#/file/07d0532783a3c1f7007f7f58f4002a64083719f81d77c855a30c2441ebe97835/detection … #CrySiS #Dharma #ransomware
+
JakubKroustek:
'.bk666' - 'berserk666@tutanota.com' - https://www.virustotal.com/#/file/9b4612a52d0f9e52689383fa264c68300fd550af5f41f0af1acccef705d855c3/detection … #CrySiS #Dharma #ransomware
+
demonslay335:
#Dharma #Ransomware spotted on ID Ransomware with extension ".stun", email "unlockdata@foxmail.com"
JakubKroustek:
'.ms13' - 'ms_13@aol.com' - https://www.virustotal.com/#/file/7459000c5cd1fd22aa03849f734131539ef5dd3f0b58dad4d011261a430ad70f/detection … #CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.carcn' - 'carcinoma24@aol.com' - https://www.virustotal.com/#/file/482722e411bf8148dc5b88b7ad234b02d000285efed9c7ad15e8f0eb9bd08434/detection … #CrySiS #Dharma #ransomware +
JakubKroustek:
'.btix' - 'encrypt11@cock.li' - https://www.virustotal.com/#/file/6a9fe57f144ce99ab8545a305ad8a94dc7f53fb7e8d0688c4d4f45d9400b576b/detection … #CrySiS #Dharma #ransomware
+
demonslay335:
#Dharma #Ransomware with extension ".gate" spotted on ID Ransomware +
JakubKroustek:
'.LOVE' - 'seeyoubro@tutanota.com' - https://www.virustotal.com/#/file/1c5c91bf6f4b2764070f050f0a64731cca2a68a419bfb4702cf8132b22c7283d/detection … - #CrySiS #Dharma #ransomware
+
".LDPR" - mr.crypt@aol.com
https://www.bleepingcomputer.com/forums/t/696218/infected-win-7-mrcryptaolcomldpr/
+ +
Michael Gillespie:
#Dharma #Ransomware extension ".FREDD" spotted on ID Ransomware.
+
Michael Gillespie:
#Dharma #Ransomware spotted on ID Ransomware with extension ".txt"
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:
https://app.any.run/tasks/beb0a281-30cb-4da3-9ec4-8c1de589bbbb
***********************UNDER NO CIRCUMSTANCES DO NOT DELETE THIS FILE, UNTIL ALL YOUR DATA IS RECOVERED***********************
*****FAILING TO DO SO, WILL RESULT IN YOUR SYSTEM CORRUPTION, IF THERE ARE DECRYPTION ERRORS*****
Attention!
All your files, documents, photos, databases and other important files are encrypted and have the extension: .UJVDW
The only method of recovering files is to purchase an unique private key. Only we can give you this key and only we can recover your files.
Only us can recover your files
You need follow the next instructions:
JakubKroustek:
'.video' - 'tetty86@cock.li' - https://www.virustotal.com/#/file/18235049b46f8cbdf1ac47a48e84b9efb163aa89f9d38c07aca09d03c164a444/ … … - #CrySiS #Dharma #ransomware
+
demonslay335:
#Dharma #Ransomware with extension ".wal", email "decryptdocs@protonmail.com" spotted on ID Ransomware.
+
JakubKroustek:
'.MERS' - 'crypt1style@aol.com' - https://www.virustotal.com/#/file/14397f138ef0d80c00d8999d21e072973ecb1d49297d33478bda446117bf1f34/detection … - #CrySiS #Dharma #ransomware
R/n:RETURN FILES.txt и info.hta +
JakubKroustek:
'.bat' ?♂ - 'idecryptyourdata@cock.li' and 'decryptyourdata@qq.com' - https://www.virustotal.com/#/file/907f48f3480d0de1c0fc7a518e31e38f7d2da11fefaef88a5888e89194ace07e … and https://www.virustotal.com/#/file/b9ba37832d0446610aae07218b31ea25ae68d72da68d8bb70a9e163efed72a5b … - #CrySiS #Dharma #ransomware
+
JakubKroustek:
'.qbix' - 'backdata@qq.com' - https://www.virustotal.com/#/file/abbcff728043498c875932756d21ffde3e4bc5a9681db49eb3d612d57bf0df56 … - #CrySiS #Dharma #ransomware
+
JakubKroustek:
more and more variants coming - '.aa1' - 'who8@mail.fr' - https://www.virustotal.com/#/file/4b8271802c7cfec3b5258b581f4cb871edcc0c7bfb3bb7621707bdca094049a0 … and '.wal' - 'decryptdocs@protonmail.com' - https://www.virustotal.com/#/file/955544abc801355ee1e8e48488c6e9150d431fec63b7e74d19f22982b396e637- … #CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.qbtex' - '1btc@decryption.biz' - https://www.virustotal.com/#/file/4711834782c7fa715330b488ab239b66c2d4583b4dea1e3100f1af63ea6219fc/ … #CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.yG' - 'sysadmin@mail.fr' - https://www.virustotal.com/#/file/27e7b3e8d83534469332b5e3e524e95f365a7471eab5b49f1ea3cc0eade381c9/ … #CrySiS #Dharma #ransomware
+
Jakub Kroustek:
'.drweb' ? - 'dr.web24@aol.com' - https://www.virustotal.com/#/file/0cecae21feb9f59d4e7f8eaa87bb278d195e96385af8e5a92f0c27dac6e929c6 … #CrySiS #Dharma #ransomware
+
demonslay335:
#Dharma #Ransomware spotted on ID Ransomware with extension ".PLUT" and creative email "adolfhackler@tutanota.com"
+
Jakub Kroustek:
'.jack' - 'lockhelp@qq.com' - https://www.virustotal.com/#/file/57cc351d441fc30eb7c4f585ee35bfce5b32bb82ec8dd99f004043d5ace7bd90/ … and '.PLUT' - 'adolfhackler@tutanota.com' - https://www.virustotal.com/#/file/f70ea3eb366419d6535fd6e41ec408d24c0368a8323933a69e09077cc236b9b6/ … #CrySiS #Dharma #ransomware
+
'.DDOS' - 'decripted@cock.li' - https://www.virustotal.com/#/file/e66e7468f8206abe35e6be8b046f687c101e08fc93c51383ff075a46c4eb9b5b/ … #CrySiS #Dharma #ransomware
+
'.cry' - 'decryptoperator@qq.com' - https://www.virustotal.com/#/file/9c63223d5cc284ed38c982e4dd7e292289b96a836f4fd472e57a6803976b96b9/ … #CrySiS #Dharma #ransomware
+
'.4k' - 'rocosmon@cock.li' - https://www.virustotal.com/#/file/f7dbe91a4a782e5648dce337c8d67035fbdf41f423089c8ed83d816681b68b07/ … #CrySiS #Dharma #ransomware
+
'.TOR13' - 'chanelcrypt@aol.com' - https://www.virustotal.com/#/file/22b683b0e05f20e2f7a28deae8b605707c2f10791891212a982f16ac50cdb2a2/ … #CrySiS #Dharma #ransomware
+
'.good' - 'onecrypt@aol.com' - https://www.virustotal.com/#/file/51e52c47abfa87af9273727e943b9d81fd9a23c090e18ba5f838960fb727d771/ … #CrySiS #Dharma #ransomware
+
demonslay335:
#Dharma #Ransomware with extension ".qbx" spotted on ID Ransomware
+
Jakub Kroustek:
'.beets' - 'vombombom@cock.li' - https://www.virustotal.com/#/file/f6708aea2a0d9f1f01b62ba5624af05b249c296bab9dec0cc2d7dacc19660f20/ … #CrySiS #Dharma #ransomware
+
demonslay335:
#Dharma #Ransomware spotted with extension ".zoh", email "restdoc@protonmail.com" on ID Ransomware
+
#Dharma #Ransomware spotted with extension ".harma" on ID Ransomware
на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа: