суббота, 16 сентября 2017 г.

InfinityLock

InfinityLock Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 0.17 BTC, чтобы вернуть файлы. Оригинальное название: InfinityLock. На файле написано: PremiereCrack.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Ко всем зашифрованным файлам добавляется одинаковое случайное расширение, которое берется из HWID компьютера. 

Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: INFINITYLOCK_UNIQEID.TXT

Другим информатором жертвы выступает изображение, встающее обоями рабочего стола. Текст на фоне плохо читается. Но после моей обработки изображения текст стал доступен. 
Оригинальное изображение
Обработанное изображение

Содержание текста о выкупе:
YOU BECAME A VICTIM Of THE INFINITYLOCK RANSOMWARE!
ALL YOUR FILES HAVE BEEN ENCRYPTED WITH RSA 2048
DONT TRY TO DELETE ME
FOR EACH TRY TO DO ANYTHING I WILL DELETE FILES
PAY 0.17 BITCOINS TO THIS ADDRESS : 1LSgvYFY7SDNje2MhsmS1FxhqPsbvXEhpE
YOU CAN BUY BITCOINS ON "BLOCKCHAIN.INFO"
SEND YOUR UNIQE ID IN THE DESCRIPTION OF THE BITCOIN PAYMENT
YOU CAN FIND THEM ON YOUR DESKTOP IN "INFINITYLOCK_UNIQEID.TXT"
AFTER THE PAYMENT YOUR FILES WILL BE DECRYPTED!

Перевод текста на русский язык:
ВЫ СТАЛИ ЖЕРТВОЙ INFINITYLOCK RANSOMWARE!
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ С RSA 2048
НЕ ПЫТАЙТЕСЬ УДАЛИТЬ МЕНЯ
ПОСЛЕ КАЖДОЙ ПОПЫТКИ СДЕЛАТЬ ЧТО-ТО Я УДАЛЮ ФАЙЛЫ
ПЛАТИТЕ 0.17 БИТКОИНА НА ЭТОТ АДРЕС: 1LSgvYFY7SDNje2MhsmS1FxhqPsbvXEhpE
ВЫ МОЖЕТЕ КУПИТЬ БИТКОИНЫ НА "BLOCKCHAIN.INFO"
ОТПРАВЬТЕ СВОЙ УНИКАЛЬНЫЙ ID В ОПИСАНИИ БИТКОИН-ОПЛАТЫ
ВЫ НАЙДЁТЕ ЕГО НА РАБОЧЕМ СТОЛЕ В "INFINITYLOCK_UNIQEID.TXT"
ПОСЛЕ ОПЛАТЫ ВАШИ ФАЙЛЫ БУДУТ ДЕШИФРОВАНЫ!




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Выдаёт себя за крак для ПО Adobe Premiere. Отсюда название PremiereCrack.exe

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INFINITYLOCK_UNIQEID.TXT
PremiereCrack.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware  (ID as InfinityLock)
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 15 сентября 2017 г.

Bud

Bud Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 500 евро в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .bud 

Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops, your important files are encrypted!
If you see this text, then your files are no longer accessible,because they have been encrypted
Perhaps you are busy looking for a way to recover your files
Nobody can recover your files without our decryption key
We guarantee that you can recover your files safely and easily
All you need to do is to submit the payment to the BTC address down below
After the payment is sent, click the check -(payment button) and you get your files back ***
Dont try to close me or to restart the computer
The fun starts now, every hour more files will get lost forever, so hurry up!
---
More files get lost every hour!
[View encrypted files]
Send 500€ to the bitcoin adress:
1AQ6zWonMjTmHUy3dMNH2PXomZAFY7yHqi
[I want my files back, check if payment was made!]

Перевод записки на русский язык:
Упс, ваши важные файлы зашифрованы!
Если вы видите этот текст, то ваши файлы не доступны, потому что они были зашифрованы
Возможно, вы ищете способ восстановления файлов
Никто не сможет восстановить ваши файлы без нашего ключа дешифрования
Мы гарантируем, что вы сможете безопасно и безопасно восстанавливать файлы
Все, что вам нужно сделать, это отправить платеж на адрес BTC ниже
После отправки платежа нажмите кнопку проверки (payment button), и вы получите файлы назад
Не пытайтесь закрыть меня или перезагрузить компьютер.
Чтобы было весело, ежечасно часть файлов будут уничтожаться, поэтому поторопитесь!
---
Больше файлов уничтожатся каждый час!
Просмотр зашифрованных файлов.
Отправьте 500 евро на адрес биткойна:
1AQ6zWonMjTmHUy3dMNH2PXomZAFY7yHqi
[Я хочу вернуть свои файлы, проверьте сделанную оплату!]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
bud.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1AQ6zWonMjTmHUy3dMNH2PXomZAFY7yHqi
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Bud)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 14 сентября 2017 г.

Kryptonite RBY

Kryptonite RBY Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Kryptonite. На файле написано: Kryptonite.exe и Copyright RBY.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение с надписями на русском и английском.

Содержание записки о выкупе:
ВНИМАНИЕ!
В этой фотографии скрывается флаг.

ATTENTION!
All the files on your disk were encrypted.



Translation of the first phrase into English:
ATTENTION!
In this photo the flag is hidden.

Перевод второй фразы на русский язык:
ВНИМАНИЕ!
Все файлы на вашем диске были зашифрованы.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Kryptonite.exe
<image>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 13 сентября 2017 г.

Mystic

Mystic Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 1.01 BTC, чтобы вернуть файлы. Оригинальное название: Mystic
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется. Маркер файлов не используется. 

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ransom.txt

Содержание записки о выкупе:
Your computer has been hacked and your files have been locked.
You have 5 days left to recover your files so quickly follow recovery process below.
Recovery Process in 3 easy steps (Automated System. No human intervention. Works 24/365):
1) Buy 1.01 BitCoin Approx 280$. (Easiest buying option is www.localbitcoins.com) and goto the following website:
xxxx://qgpkqxybsm6hk72j.onion.cab/pay/Yf8*****==
2) Send payment of 1.01 Bitcoin to the address in the website given above.
3) In approx 15 minutes after making the payment to the bitcoin address, Go back to the above website. If payment is successful then you will receive unlock instructions.
Don't delete or modify this ransom file till recovery of files as no recovery is possible without this file. This file is on your desktop for future use.
 List of files which have been locked are given below.
-- MYSTIC

Перевод записки на русский язык:
Ваш компьютер взломан, а ваши файлы заблокированы.
У вас осталось 5 дней для восстановления файлов, следуйте за быстрым процессом восстановления ниже.
Процесс восстановления в 3 простых шага (автоматическая система без вмешательства человека. Работает 24/365):
1) Купить 1.01 BitCoin около 280$. (Самый простой вариант покупки - www.localbitcoins.com) и перейти на следующий веб-сайт:
хххх://qgpkqxybsm6hk72j.onion.cab/pay/Yf8*****==
2) Отправить платеж в размере 1.01 биткойн на адрес указанного выше веб-сайта.
3) Примерно через 15 минут после внесения платежа в биткоин-адрес вернитесь к вышеуказанному веб-сайту. Если платеж будет успешным, вы получите инструкции по разблокировке.
Не удаляйте и не изменяйте этот файл выкупа до восстановления файлов, т.к. без этого файла восстановление невозможно. Этот файл находится на вашем рабочем столе для будущего использования.
  Список блокированных файлов приведен ниже.
-- MYSTIC


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransom.txt - содержит список зашифрованных файлов на компьютере жертвы

Расположения:
\Desktop\ransom.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://adtracker.tk***
xxxx://qgpkqxybsm6hk72j.onion.cab/pay/***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Mystic)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

RestoLocker

RestoLocker Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: restolocker. На файле написано: restolocker.exe и WpfApplication1.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> RestoLocker

К зашифрованным файлам добавляется расширение .HeroesOftheStorm
Изображение относится к игре

Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: What is it?.txt

Содержание записки о выкупе:
Hi. I encrypted your personal files. 
Heroes Of The Storm is the god game. But, people don't know that.
So, I made this program that make people to play Heroes Of The Storm.
To dectrypt your files, follow this procedure. First, You have to install Heroes Of The Storm. Second, Play Heroes Of The Storm 24hours. (Only Play Time Will Be Recorded)
NOW, Let's play the King God Emperor General Chungmoogong Majesty Game HEROES OF THE STORM
*Warning* Do NOT KILL This Program and Computer.


Имеется надпись:
Play Heroes Of The Storm and decrypt your files

Перевод на русский: 
Играй в "Герои Шторма" и расшифруешь свои файлы


Перевод записки на русский язык:
Привет. Я зашифровал твои личные файлы.
"Герои Шторма" - божественная игра. Но люди этого не знают.
Итак, я сделал эту программу, которая заставит людей играть в "Герои Шторма".
Чтобы дешифровать твои файлы, выполни следующую процедуру. Во-первых, тебе нужно установить Heroes Of The Storm. Во-вторых, играй в Heroes Of The Storm 24 часа. (Будет записано только время игры)
ТЕПЕРЬ, Давай сыграем в Короля-Бога-Императора-Генерала-Чунгмуганга-Величество-Игру "ГЕРОИ ШТОРМА"
* Предупреждение * НЕ ВЫРУБАЙТЕ эту программу и компьютер.


Запиской с требованием выкупа также выступает экран блокировки:
Содержание текста с экрана:
Play Heroes Of The Storm!
Your personal files are encrypted
The King God Game Ever

Перевод на русский:
Играй в "Герои Шторма"
Твои личные файлы зашифрованы
Это Король-Бог-Игра


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Воспроизводит звуковой файл hiosu.wav из ресурсов WpfApplication1. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
restolocker.exe
What is it?.txt
\hiosu.wav
\test\

Расположения:
\Desktop\test\What is it?.txt
User_name\Documents\Visual Studio 2013\Projects\WpfApplication1\WpfApplication1\Resources\hiosu.wav

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: xxxxs://172.30.1.28/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 12 сентября 2017 г.

Blackhat

Blackhat Ransomware

Blackhat H.F.D Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: Blackhat. На файле написано: MoWare H.F.D и Blackbat. Основан на MoWare H.F.D Ransomware.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> MoWare H.F.D > Blackhat H.F.D

К зашифрованным файлам добавляется расширение .H_F_D_locked

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your Personal Files has been Encrypted and Locked
Your documents, photos, databases and other important files have been encrypted with strongest encryption and locked with unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
Caution: Removing of Blackhat will not restore access to your encrypted files.
Frequently Asked Questions
What happened to my files ? understanding the issue
How can i get my files back ? the only way to restore your files
What should i do next ? Buy decryption key
Now you have the last chance to decrypt your files.
1. Buy Bitcoin (https://blockchain.info)
2. Send amount of 200 dollar to address: to 1LZnKJDsiygvLuYpbSJr1iyT6bav7VyWM5
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at blackhatdarkmatrix@gmail.com
Click here to restore and recovery your files

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы и блокированы
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с использованием самого сильного шифрования и защищены ключом, созданным для этого компьютера.
Частный ключ дешифрования хранится на секретном интернет-сервере, и никто не может расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
Предупреждение: Удаление Blackhat не восстановит доступ к вашим зашифрованным файлам.
Часто задаваемые вопросы
Что случилось с моими файлами? понимание проблемы
Как я могу вернуть свои файлы? только способ восстановить ваши файлы
Что я должен делать дальше ? Купить ключ дешифрования
Теперь у вас есть последний шанс для расшифровки файлов.
1. Купить биткоин (https://blockchain.info)
2. Отправить сумму в 200 долларов США на адрес: 1LZnKJDsiygvLuYpbSJr1iyT6bav7VyWM5
3. Для подтверждения транзакции требуется около 15-30 минут.
4. Когда транзакция подтвердится, отправьте нам письмо на blackhatdarkmatrix@gmail.com.
Нажмите здесь, чтобы восстановить и вернуть ваши файлы



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Пока шифрует только тестовую папку на рабочем столе и извлекает ключ XOR из локальный веб-сервера. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Blackbat.exe
\test\

Расположения:
\Desktop\test\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: blackhatdarkmatrix@gmail.com
BTC: 1LZnKJDsiygvLuYpbSJr1iyT6bav7VyWM5
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SoFucked

SoFucked Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .fff

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READTHISHIT.txt
Другим информатором жертвы выступает изображение, встающее обоями рабочего стола.


Содержание записки о выкупе:
ok, your files are gone, sort of. they are all encrypted,
you cannot fix them, av companies won't help you. if you really
want to get them back you need to pay for them.
email me: sofucked@freespeechmail.org

Перевод записки на русский язык:
ок, ваши файлы пришли в негодность. все они зашифрованы,
вы не сможете их исправить, а АВ-компании не помогут. если вы точно 
хотите вернуть их, вам нужно заплатить за них.
мыльте мне: sofucked@freespeechmail.org



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
secret.key
READTHISHIT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SoFucked)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

HappyCrypter

HappyCrypter Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.9 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: HappyCrypter.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Видимо, пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
Oh no!
All your personal files have been locked.
You will be unable to access them until the payment has been recived. Any new files you create will be encrypted. If you attempt to uninstall or tamper with this virus then all your files will be deleted permantly. You need to pay 0.9 bitcoin to have your files restored. Please pay into account  bitcoin.com/account/43243247623476762323423.fder32

Перевод текста  на русский язык:
О нет!
Все ваши личные файлы блокированы.
Вы не получите к ним доступ, пока платеж не будет получен. Все новые созданные вами файлы будут шифроваться. Если вы попробуете удалить или изменить этот вирус, то все ваши файлы будут удалены. Вам нужно заплатить 0.9 биткоина за восстановление файлов. Платите на аккаунт  bitcoin.com/account/43243247623476762323423.fder32

Другим информатором жертвы является следующее изображение.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HappyCrypter.exe
<image>

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *