Xorist-Vandev

Xorist-Vandev Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записках не указано. На файле написано: что попало.

Обнаружения: 
Kaspersky Lab ->Trojan-Ransom.Win32.Xorist / Trojan-Ransom.MSIL.Vandev.a
Dr.Web -> Trojan.Encoder.157

© Генеалогия: ранний Xorist >> Xorist-Vandev > Xorist 2013-2015 > Xorist 2016-2019

К зашифрованным файлам добавлялись расширения: 
.rsa1024
.ENC
.EBF
и другие.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Начало распространения пришлось на середину февраля 2012 г. Активность этого крипто-вымогателя продолжалась на протяжении 2012 года, а затем и позже. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру. Встречались варианты и на английском языке. 

Записки с требованием выкупа называются: 
HOW TO DECRYPT FILES.txt
HOW_TO_DECRYPT_FILES.txt
КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT

Содержание записки о выкупе:
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо написать нам письмо на адрес cryptosupport@tormail.net К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
A18E9DCE1300CD4E6C55F78F4F24580F6C1477CF580110FAE2D508D90DFED9DBEE62D3892B96E441EDA94F3423A128C31765C996E9DCE5E529FF821076C774DA
BA8872322F9676FF85570C2F158B78C9DF94D8A950387B262FF9A18E1DD3DC82D945F147613F0917D71F120E2493BC3D2CE92921112C342422D5BF8413309891

Перевод записки на русский язык:
уже сделан

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию (мог отличаться в разных версиях):
.3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .aspx, .asr, .atom, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bin, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .css, .ctt, .cty, .cwf, .dal, .dap, .db, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dxe, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idx, .img, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lnk, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mid, .midi, .mip, .mlx, .mm6, .mm7, .mm8, .mmf, .mod, .moz, .mp1, .mp3, .mp4, .mpa, .mpga, .mpu, .msg, .msi, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .nrt, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qdf, .qel, .qif, .qpx, .qtiq, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .ram, .rar, .raw, .res, .rev, .rgn, .rnc, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .srf, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tiff, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xml, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (463 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и прочие.

Файлы, связанные с этим Ransomware:
Cryptomaster.exe (CryptoMaster.exe)
ps.ce
tx.ce
<random>.exe - случайное название
HOW TO DECRYPT FILES.txt
HOW_TO_DECRYPT_FILES.txt
КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT
CryptLogFile.txt
Deleter.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cryptosupport@tormail.net
blocksupport@tormail.net
the1024rsa@i2pmail.org
decrypting-files@yandex.ru
decrypting@tormail.org
blockage@tormail.org
beryukov.mikuil@gmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 20 февраля 2012:
Пост на форуме >>
Email: cryptosupport@tormail.net
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
написать нам письмо на адрес cryptosupport@tormail.net К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
A18E9DCE1300CD4E6C55F78F4F24580F6C1477C*** (256 знаков)

Обновление от 27 февраля 2012:
Пост на форуме >>
Email: blocksupport@tormail.net
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
написать нам письмо на адрес blocksupport@tormail.net К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
245AB9144C0A5C834686FD4F2F2D1693FD6B4600*** (256 знаков)

Обновление от 15 апреля 2012:
Пост на форуме >>
Расширение: .rsa1024
Email: the1024rsa@i2pmail.org
Записка: HOW TO DECRYPT FILES.TXT

Обновление от 29 июня 2012:
Пост на форуме >>
Email: blockage@tormail.org
Записка: HOW TO DECRYPT FILES.TXT
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
написать нам письмо на адрес blockage@tormail.org К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================
E7B0FCCFB10E410D07B207E5498B782F89F1D62FA3CAE7E91E249B04D35A9B2D
3149BE86AE715E2426DFBBA26571873926741C385E7A833317B7FC917F79668D
A30ECE0C47E75AA1DF370CB7937F53DA4945AE7ACF6AFFD39A0D3A6DF1D1296B
75B36C08DA8C3968214A227D69EC1F74BB9DAE2DB449920517D9B183B45D02A4
19535D5E525A5056549B472BCA7B3DFBE9F8812F0DB4DD203243019F16D2486C
====================

Обновление от 5 сентября 2012:
Пост на форуме >>
Расширение: .ENC
Email: decrypting-files@yandex.ru
Записка: HOW TO DECRYPT FILES.TXT
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting-files@yandex.ru чтобы узнать как получить дескриптор и пароль.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
U05m67u4UtFXCFcU60N2H0l620KXa5j
====================================================================

Обновление от 7-8 сентября 2012:
Пост на форуме >>
Пост на форуме >>
Расширение: .ENC
Email: decrypting-files@yandex.ru
Записка: HOW TO DECRYPT FILES.TXT
Содержание записок: аналогично предыдущему от 5 сентября 2012. Только другие ID жертв. 

Ответ вымогателей с указанием стоимости расшифровки (10000 рублей на счет QIWI).

Обновление от 14 сентября 2012:
Пост на форуме >>
Расширение: .ENC
Email: decrypting@tormail.org
Записка: HOW TO DECRYPT FILES.TXT
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода. 
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting@tormail.org чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! 
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
4j1BanT7Ere70s0GAjS36A70UYUPpq4
====================================================================

Обновление от 20 сентября 2012:
Статья об этом варианте >>
Расширение: .ENC
Email: decrypting-files@yandex.ru
Записка: HOW TO DECRYPT FILES.TXT

➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting-files@yandex.ru чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
pLE4TieL3KK0660G4s0Kla4N085Y0iY
====================================================================

Ответ вымогателей на просьбу снизить цену.

Обновление от 21 сентября 2012:
Топик на форуме >>
Расширение: .ENC
Записка: HOW_TO_DECRYPT_FILES.txt 
Ссылка на способ расшифровки >>

Обновление от 24 сентября 2012:
Топик на форуме >>
Расширение: .ENC
Email: decrypting@tormail.org, beryukov.mikuil@gmail.com
Записка: HOW TO DECRYPT FILES.TXT
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода. 
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting@tormail.org (если в течение суток вам не ответят то на beryukov.mikuil@gmail.com) чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! 
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
================================================== ============
Wc7l4d1631e288ih60p2A012TC0xBU4
================================================== ============

Обновление от 10 октября 2012:
Пост на форуме >>
Расширение: .ENC
Email: blockage@tormail.org
Записка: HOW TO DECRYPT FILES.TXT
Файлы EXE: exzi.exe, hoky.exe, taskhost.exe и другие. 
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
написать нам письмо на адрес blockage@tormail.org К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================
2F25ED3DB73D36F19975BE2CECB03FCFFA07F814E07226D0ED370B13616EF305
EDABA9C9C218E8B28BCEDFA029AAE1421ADE51143FA052179E361D6B90B8CD69
D5256486E90FC736D4B56EB80E1F42170147D627D087266F189B8584E91DBA87
CCE2AC8DD02F569ADEAC59B942FA2DA67AB73F9B1974C28F3D0C1ED661CA2411
19535D5E525A505654BEC2B2F6AEE642AA0E7A365AAC5484306C241000E804CD
====================

Обновление от 10 октября 2012:
Пост на форуме >>
Расширение: .EBF
Email: decrypting@tormail.org, beryukov.mikuil@gmail.com

Записки: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT 

HOW_TO_DECRYPT_FILES.TXT

Файл EXE: rundll16.exe

➤ Содержание записки: 
Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .EBF
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода. 
Не в коем случае не изменяйте файлы!
Напишите нам письмо на адрес decrypting@tormail.org (если в течение суток вам не ответят то на beryukov.mikuil@gmail.com) чтобы узнать как получить дешифратор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-5 часов.
К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt".
Письма с угрозами будут угрожать только Вам и Вашим файлам! 
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
sugMQ3tI4L4jjG8UVmqjP4thR8YiqWq0
====================================================================

Обновление от 17 октября 2012:

Топик на форуме >>

Используется алгоритм шифрования Blowfish (EBF - EncryptBlowFish)

Расширение: .EBF
Email: decrypting@tormail.org, beryukov.mikuil@gmail.com
Записки: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT 

HOW_TO_DECRYPT_FILES.TXT

Формат записок аналогичен предыдущему. 

➤ Ответ вымогателей: 

Здравствуйте!

Чтобы получить дешифратор с уникальным для Вашего пк паролем, необходимо пополнить наш счет QIWI на сумму 10 000 рублей.

После поступления средств мы вышлем вам инструкцию для дешифровки ваших файлов вместе с расшифровщиком и паролем.

Скидок нет. Рассрочек тоже.

Мы готовы расшифровать любой небольшой текстовый документ или фотографию для подтверждения своих намерений.

Базы данных прикреплять не нужно, бесплатно их вам никто не расшифрует.

Вместе с ним прикрепите КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT либо HOW_TO_DECRYPT_FILES.TXT

Реквизиты вышлем за несколько часов до оплаты, потому как они постоянно меняются.

Кошелек действует в течение 24 часов после отправки его вам.

Пожалуйста, не изменяйте тему сообщения.

Обновление от 7 февраля 2013:

Топик на форуме >>

Расширение: .EBF

Записка: ЧТО_НУЖНО_СДЕЛАТЬ.TXT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Для зашифрованных файлов есть разные дешифровщики: 
от Dr.Web (ссылка)
от ЛК (ссылка на статью)
*
*

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Thyrex
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Codemanager

Codemanager Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп на сумму в 100$ с помощью банковского перевода, чтобы вернуть файлы. Подробности должны прийти в обратном письме. Оригинальное название: в записке не указано. На файле написано: нет данных. По некоторым данным это распространялось из Украины. 

© Генеалогия: предыдущие варианты >> Codemanager

К зашифрованным файлам добавляется расширение: .ENCODED


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2010 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Мы узнали об этом спустя 9 лет и нашли сообщения пострадавших из Чехии, Венгрии, России. 

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
   Attention!!!    
All your personal files (photo, documents, texts, certificates, kwm-files, video) were encrypted by a very strong cypher RSA-1024. The original files deleted.  You can check it yourself - just look for this in all folders.
 There is no possibility to decrypt these files without a special decrypt program! Nobody can help you - even don't try to find another method or tell someone because after 3 days all encrypted files will be completely deleted and you will have no chance to get it back.
 We can help you with a decrypt-program for 100$ via wire transfer (bank transfer:  SWIFT/IBAN). 
For details you have to send your request on this e-mail (with serial key from text-file on desktop) : codemanager@fastmail.fm
D619DB3F92FE7E57D3003A5648924B39FE9E7C1721CFCFA6D37C2238246AE34B0854A68796CF93F0FED1AE438AFC80C32A25135A90BAD13FF90B6AE875465971***

Перевод записки на русский язык:
Внимание!!!
Все ваши личные файлы (фото, документы, тексты, сертификаты, kwm-файлы, видео) были зашифрованы очень надежным шифром RSA-1024. Исходные файлы удалены. Вы можете проверить это сами - просто поищите это во всех папках.
  Невозможно расшифровать эти файлы без специальной программы дешифрования! Никто не может помочь вам - даже не пытайтесь найти другой метод или сказать кому-либо, потому что через 3 дня все зашифрованные файлы будут полностью удалены, и у вас не будет возможности вернуть его.
  Мы можем помочь вам с расшифровкой программы за 100$ с помощью банковского перевода (банковский перевод: SWIFT / IBAN).
Для получения подробной информации вы должны отправить запрос на это письмо (с серийным ключом из текстового файла на рабочем столе): codemanager@fastmail.fm
D619DB3F92FE7E57D3003A5648924B39FE9E7C1721CFCFA6D37C2238246AE34B0854A68796CF93F0FED1AE438AFC80C32A25135A90BAD13FF90B6AE875465971***

---

Подробнее о SWIFT и IBAN

SWIFT (Society for Worldwide Interbank Financial Telecommunications) — сообщество всемирных межбанковских финансовых телекоммуникаций. Для коммуникации используется специальная защищенная сеть. 
IBAN (International bank account number) — международный номер банковского счета. Используется при международных расчетах. Соответствует стандартам ISO 13616.
Каждый банк в сообществе имеет свой уникальный SWIFT-код, который может состоять из 8 или 11 символов, где первые четыре знака означают короткое название банка, остальные — страну, город и подразделение банка. Наличие такого кода ускоряет и упрощает передачу платежа. Для выполнения межбанковского перевода между европейскими банками, входящими в сообщество, достаточно знать SWIFT-код банка-получателя и IBAN получателя. Но ввиду некоторых особенностей, а также того, что далеко не все участники SWIFT поддерживают IBAN, зачастую требуется больше реквизитов.

Что удалось найти в старых темах на форумах:

На Рабочем столе (по словам пострадавших) также было сообщение:
ALL YOUR PERSONAL FILES WERE ENCRYPTED WITH A RTRONG ALGORYTHM RSA-1024 AND YOU CAN'T GET AN ACCESS TO THEM WITHOUT MAKING OF WHAT WE NEED!
READ THE TEXT FILE ON DESKTOP!

Перевод на русский язык: 
ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ С НАДЕЖНЫМ АЛГОРИТМОМ RSA-1024, И ВЫ НЕ МОЖЕТЕ ПОЛУЧИТЬ К НИМ ДОСТУП, НЕ СДЕЛАВ ТОГО, ЧТО НАМ НУЖНО!
ПРОЧТИТЕ ТЕКСТОВЫЙ ФАЙЛ НА РАБОЧЕМ СТОЛЕ!

В английском тексте мы видим два слова с ошибками. Возможно, что из сделал пострадавший при публикации текста. Но также возможно, что эти ошибки сделали вымогатели. 

Технические детали

Распространялся с помощью программ взлома, кейгенов, других программ для нелегитимной активации платных программ. 
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Ориентирован на поиск кошельков WebMoney Keeper Classic (kw-файлов) и других денежных онлайн-систем. После его вредоносной работы на компьютере обнаруживались банковские трояны, бэкдоры, похитителей паролей:
\AppData\Local\Temp\0125626.exe (Backdoor.Bot)
\Temporary Internet Files\Content.IE5\0CQSA40P\i[1].Exe (Backdoor.Bot)
\Windows\Temp\_ex-08.exe (Trojan.Dropper)
\Users\Public\Documents\Server\server.dat (Malware.Trace)
\winrsvn.exe - BackDoor.Generic12.CIRC
\crssn.exe - Trojan Crypt.ZRO
\winusbmngr.exe - Trojan BackDoor.Generic12.CKTJ

➤ Форумы, где остались упоминания:
https://forum.viry.cz/viewtopic.php?f=13&t=105289
https://forum.viry.cz/viewtopic.php?f=13&t=105270

➤ Начало файла перезаписывалось нулями, остальная часть выглядит зашифрованной. Специалисты проанализировлаи и сказали, что этот шифровальщик не имеет отношения к Xorist, который в то время уже был активен. 

 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: codemanager@fastmail.fm
Банковский перевод: SWIFT / IBAN
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis на неосновные файлы >> + VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: высокая во время активности.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author)
 Alex Svirid, quietman7
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

RarCrypt

RarCrypt Ransomware

Cryzip 2010 Ransomware

(шифровальщик-вымогатель, rar-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель помещает пользовательские файлы в архив, а затем требует выкуп в 1000 рублей переводом на Яндекс.Деньги, чтобы получить ссылку на программу для расшифровки и вернуть файлы. В последующих случаях сумма выкупа увеличилась до 2000 рублей. Оригинальное название: в записке не указано. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.68
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> Trojan-Ransom.Win32.Cryzip.c
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: предыдущие похожие варианты >> RarCrypt

Информация для идентификации

Активность этого крипто-вымогателя началась в декабре 2009 и продолжилась в январе-марте 2010 г.. Ориентирован на русскоязычных пользователей, может распространяться по всему миру. Первоначально среди пострадавших были граждане России, Казахстана, Украины. 

К помещенным в архив файлам добавляется расширение .rar, но перед ним добавляется метка _crypt_

Таким образом файлы в архиве будут иметь составное расширение _crypt_.rar

В статье DrWeb говорится, что для архивация используется zip-архив, несмотря на то, что к файлам добавляется .rar. 

Пароль уникален для каждой заражённой системы. Длина пароля — 47 символов. Пострадавшие сообщают, что каждый файл помещается в "свой" архив, с тем же именем + _crypt_.rar

Записка с требованием выкупа находится в каждой папке, где есть архив с зашифрованными файлами и называется: AUTO_RAR_REPORT.TXT

Текст записки написан на русском языке. Оригинальный файл записки получить не удалось, т.к. на момент написания статьи прошло много лет. Статья понадобилась для того, чтобы показать более ранний вариант архиватора-вымогателя и сопоставить его с последующими случаями. 

Содержание записки о выкупе:

Наш счет в системе Яндекс Деньги: ***

================================================

ИНСТРУКЦИЯ: "КАК ВЕРНУТЬ ВАШИ ФАЙЛЫ"

ЧИТАЙТЕ ВНИМАТЕЛЬНО, ЕСЛИ НЕ ПОНЯЛИ, ЧИТАЙТЕ ЕЩЕ РАЗ. 

Это автоматический отчет созданный программой зашифровавшей ваши файлы. Ваш компьютер подвергся атаке троянской программы шифрующей данные. 

Все ваши документы, текстовые файлы, базы данных, фотографии, зашифрованы в rar архивы, с очень длинным паролем. Подбор пароля невозможен, так как его длинна более 30 символов. Взлом rar архивов невозможен, так как для шифрования используется надежный алгоритм AES. Восстановить оригиналы ваших файлов вы не сможете. Они удалены без возможности восстановления. Искать в системе программу, которая зашифровала ваши файлы -  бессмысленно. Программа уже удалена с вашей системы. Обращаться за помощью к кому-либо бессмысленно. Они не знают пароль, поэтому ни чем вам не помогут. Сообщение где либо о нашем Яндекс счете вам не поможет вернуть данные. Но не все так плохо. Если вам действительно нужны ваши файлы, вы можете их вернуть.

Для этого, вам нужно перевести на наш Яндекс счет 1000р.

После перевода денег, вы получите программу, которая вернет все ваши файлы. Это ваш единственный вариант. Для того чтобы перевести 1000р на наш счет в системе Яндекс деньги. Вам необходимо: 

1. Зарегистрироваться в системе Яндекс деньги.

2. Пополнить свой счет.

3. Перевести 1000р на наш Яндекс счет. Все это делается быстро и просто. Далее будет подробно рассказано, как все это сделать. Все данные, которые вы будете вводить, нужно где-то записывать. 

====== 

Пункт 1. Регистрируемся в системе Яндекс деньги. 

====== 

Для начала вам нужно завести почту на Яндексе. 

1. Открываете страницу в интернете http://mail.yandex.ru/

2. Нажимаете ссылку: "Заведите почту на Яндексе"

3. Теперь нужно заполнить следующие поля:

-Имя: (Ваше имя)

-Фамилия: (Ваша фамилия)

-Логин: (Придумайте логин для вашей новой почты) 

4.Нажимаете "Далее" 

5. Заполняете поля:

-Придумайте пароль: (Пароль для вашей новой почты)

-Подтвердите пароль: (Пароль для вашей новой почты)

-Секретный вопрос: (Выберете вопрос. Он потребуется если вы забудете пароль)

-Ответ: (Ваш ответ на секретный вопрос) 

6. Вводите цифры с картинки.

7. Нажимаете "Зарегистрировать"

Откроется страница "Поздравляем, регистрация успешно завершена!" 

8. Нажимаете "Начать пользоваться Почтой"

Откроется ваша почта. 

9. Нажимаете на ссылку "Деньги", она находиться наверху в центре.

Откроется страница платежной системы Яндекс Деньги. 

10. Нажимаете "Открыть счет"

Придумайте платежный пароль и код восстановления (в коде можно использовать только цифры). Запишите ваши пароли где-нибудь. 

11.Заполните соответствующие поля:

-Придумайте платежный пароль:

-Придумайте код восстановления:

-Ваш день рождения:

-И еще раз - платежный пароль: 

12. Нажимаете "Открыть счет в Яндекс Деньгах"

Откроется страница "Поздравляем, вы открыли счет в Яндекс Деньгах! 

13. Запишите на бумагу номер вашего счета. Регистрация в системе "Яндекс Деньги" завершена. 

===== 

Пункт 2. Пополняем свой счет в системе Яндекс деньги. 

====== 

На этой странице вам предлагают различные способы пополнения счета. Вы можете выбрать любой. Но самый простой и быстрый - пополнить через  Терминал. Далее его и рассмотрим. Для пополнения через терминал нужно:

1. Записать "Номер вашего счета" на бумагу. Взять с собой.

2. Найти терминал оплаты, в котором можно пополнить счет "Яндекс Деньги". Это просто.

Таких терминалов большинство. 

3. В терминале выбираете "Яндекс деньги".

4. Вводите (Внимание!) ВАШ НОМЕР СЧЕТА, который вы только что зарегистрировали.

Если в терминале вы укажете наш счет, то мы не сможем дать вам программу для расшифровки. Терминал берет комиссию за пополнение счета, поэтому,  чтобы перевести 1000р, нужно пополнить свой счет примерно на 1100р. 

5. Нажимаете Оплатить. Возьмите чек терминала. В течении 24 часов, на ваш счет поступят деньги. Для проверки поступления денег, нужно:

1. Зайти на сайт http://money.yandex.ru/

2. Слева ввести свой логин и пароль от почты, которую регистрировали с самого начала.

Откроется страница, слева будет видно, сколько денег на вашем счете. 

======= 

Пункт 3. Переводите 1000р на наш Яндекс счет 

======== 

После того, как деньги поступят на ваш счет:

1. Нажимаете ссылку "Перевести".

Откроется страница "Перевести деньги" 

2. Выбираете "перевод на счет" 

3. Заполняете поля:

-Назначение платежа: Перевод с Яндекс.Кошелька

-№ счета получателя: ***

-Сумма: (заполнится автоматически)

-Сумма к получению: 1000

-Название платежа: Перевод на e-mail/счет Внимание, платежи с протекцией не принимаются. 

4. Нажимаете "Перевести"

Откроется страница "Подтверждение платежа" 

5. Вводите ваш платежный пароль

6. Нажимаете "Платить"

Откроется страница "Платеж завершен успешно" На этом все. Больше от вас ни чего не требуется. В течении 24 часов, на ваш счет поступит 10р.

В информации о платеже будет ссылка на программу для расшифровки ваших файлов. На следующий день вы:

1. Заходите на http://money.yandex.ru/

2. Вводите свой логин и пароль от почты, которую регистрировали с самого начала.

Откроется страница вашего счета.

3. Нажимаете "История"

4. Вводите ваш платежный пароль.

5. Нажимаете "Войти"

Откроется страница: "История платежей и зачислений". Здесь вы уведете перевод 10р

на ваш счет.

6. Справа нажимаете "Перевод с Яндекс.Кошелька"

Откроется страница с деталями платежа.

В "Сообщении отправителя" будет ссылка на программу для расшифровки файлов. Скачиваете и запускаете программу.

Все ваши файлы автоматически расшифруются. ====================================================

Помните, всего 1000р и ваши файлы вернутся.

(всего 1000 =) )

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Dr.Web: Троянцы — шифровальщики — Угроза №1

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ После выполнения вымогательской архивации файлов вредоносная программа самоудаляется. 

Список типов файлов, подвергающихся шифрованию:
.1cd, .7z, .abw, .ade, .adp, .mda, .arh, .arj, .asm, .asp, .bas, .bpg, .c, .cab, .cdr, .cdt, .cdx, .cer, .cgi, .chm, .cls, .cpp, .cs, .css, .db, .db1, .db2, .db3, .dbf, .dbt, .dbx, .dd, .ddt, .dfm, .djv, .djvu, .doc, .docm, .docx, .dpk, .dpkw, .dpr, .dsn, .dt, .dwg, .frm, .gz, .gzip, .h, .hpp, .htm, .html, .jpe, .jpeg, .jpg, .js, .key, .kwm, .lzh, .lzo, .md, .mdb, .mde, .mht, .mhtml, .odc, .pab, .pak, .pas, .pass, .pdf, .pgp, .php, .php3, .phtml, .pl, .pm, .pps, .ppt, .pst, .psw, .pwd, .pwt, .py, .rar, .rb, .rbw, .rtf, .sql, .stp, .tar, .text, .txt, .udl, .usr, .vbp, .vbs, .vsd, .wri, .xfm, .xl, .xlc, .xlk, .xls, .xlsm, .xlsx, .xlw, .xsf, .xsn, .zip, .zipx (111 расширений). 

Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, файлы образов, архивы и пр. 

После вымогательского архивирования оригинальные файлы удаляются без возможности восстановления. 

Системные файлы не затрагиваются. 

Файлы, связанные с этим Ransomware:
AUTO_RAR_REPORT.TXT - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: средняя.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13-17 марта 2010:

Статья на сайте компании Dr.Web >>

Процесс вымогательства аналогичен описанному выше. 

Составное расширение: _crypt_.rar

Записка: AUTO_RAR_REPORT.TXT

Записка отличается от первоначальной. 

URL: hxxx://fo-google.hut.ru/f2.php

hxxx://fo-google.hut.ru/s2.php

Содержание записки:

ID: ***-***-***

ИНСТРУКЦИЯ: «КАК ВЕРНУТЬ ВАШИ ФАЙЛЫ»

ЧИТАЙТЕ ВНИМАТЕЛЬНО, ЕСЛИ НЕ ПОНЯТНО, ЧИТАЙТЕ ЕЩЕ РАЗ.

Это автоматический отчет созданный программой зашифровавшей ваши файлы.

При просмотре нелегального порнографического материала, ваш компьютер подвергся атаке троянской программы шифрующей данные. Все ваши документы, текстовые файлы, базы данных, фотографии, зашифрованы в rar архивы, с очень длинным паролем. Подбор пароля невозможен, так как его длинна более 40 символов. Взлом архивов невозможен, так как для шифрования используется надежный алгоритм AES. Программы для восстановления удаленных файлов вам не помогут, потому что оригиналы файлов удалены без возможности восстановления. Искать в системе программу, которая зашифровала ваши файлы - бессмысленно.

Программа уже удалена с вашей системы. Обращаться за помощью к кому-либо бессмысленно.

Они не знают пароль, поэтому ни чем вам не помогут.

Но если вам действительно нужны ваши файлы, вы можете заплатить нам 2000р и вернуть свои файлы.

В течении суток после оплаты, мы вышлем вам пароль. Вам останется только скачать и запустить программу, которая автоматически расшифрует все ваши файлы.

Для получения пароля отправьте письмо на ***@gmx.com или ***@gawab.com

В теме письма напишите: "ID: ***-***-***"

Программу для автоматической расшифровки вы можете скачать по ссылкам:

hxxx://depositfiles.com/files/m4et618ej 

hxxx://www.sharemania.ru/0135226 

hxxx://webfile.ru/4346046dGу

---

Текст скрыт под "звездочками" авторами статьи на сайте компании Dr.Web. 

В URL-адресах протокол "http" деактивирован на "hxxx". 

Сохранился скриншот загрузки файла с depositfiles.

---

Специалисты компании Dr.Web разработали утилиту для подбора пароля к архивам, созданным вымоагтелями. Форма для получения пароля расположена на специальной странице сайта компании Dr.Web. 

---

Специалисты компании "Лаборатория Каспесркого" также разработали утилиту для подбора пароля к архивам. Этот сервис был активен несколько лет, пока была активна вредоносная программа. Потом его отключили. 

См. на скриншотах, как он выглядел. 

Дополнение от 25 мая 2010:

Статья в Securitylab.ru >>

Подробности работы вредоносной программы. 

После запуска вредонос проверяет подключение к Интернету и подключается к сайту "fo-google.hut.ru". 

- Если подключение отсутствует, то вредонос создает в своем рабочем каталоге файл командного интерпретатора, запускает его и завершает свою работу. Этот файл удаляет оригинальный файл вредоноса и самоуничтожается.

- Если подключение есть, то вредонос извлекает из своего тела файлы, которые сохраняются в системе как 

%System%\stdbvl30.dll

%System%\rml32ht.dll

- Создает ключи системного реестра:

[HKLM\Software\Microsoft\Windows

NT\CurrentVersion\Winlogon\Notify\smlgntfy]

"DLLName" = "stdbvl30.dll"

"Logon" = "WLEventLogon"

"Impersonate" = "0"

"Asynchronous" = "1"

Таким образом, извлеченная DLL будет подгружаться в адресное пространство процесса "winlogon.exe" при каждом запуске системы. 

Дополнение по распространению:

Как оказалось, случаи подобного вымогательского ZIP или RAR-архивирования были зафиксированы не только в России, Казахстане, Украине, но и в Латвии, Польше, Молдове, Египте, во Франции, Индии, Италии, Мексике, Саудовской Аравии, Испании, США и в других странах.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (n/a)
 Write-up, Topic of Support + Topic + Topic
 ***

Внимание! 
В Dr.Web разработали утилиту для подбора пароля к архивам. 
Получить пароль к архивам можно на сайте Dr.Web по ссылке >>

 Thanks: 
 DrWeb
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.