El-Polocker

El-Polocker Ransomware

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные с помощью AES (для файлов) + RSA (для ключа шифрования), а затем требует выкуп в $450 AUD (австралийский доллар). Цели шифрования: документы, PDF, фотографии, музыка, видео, общие папки, общие сетевые ресурсы и пр. 

Зашифрованные файлы получают расширение .ha3. 

Название на скринлоке: Los Pollos Hermanos (исп. "Братья-цыплята"). Известен с начала 2015 г. Специалисты нашли в коде вредоноса румынский след, указывающий на румынское происхождение вредоноса. 

Происхождения названия:  
Los Pollos Hermanos — сеть фастфуд-ресторанов с жареной курицей, известная в Мексике и юго-западе США. По английски: "The Chicken Brothers". Основатели сети: Густаво "Gus" Фринг и Максимино "Max" Арчинега. В народе ассоциируется с мафией и отмыванием денег. По мотивам истории в США был снят сериал "Breaking Bad", сюжет которого главным образом раздут и надуман. 

Записки о выкупе называются: qwer.html, qwer2.html, locked.bmp. 

Содержание текста с экрана:
Your important files have been encrypted: photos, documents, videos, etc.
If you want to decrypt your files you must pay the fee of $450 AUD
Failure to pay within the specified time will mean you must pay $1000 AUD
For support related inquires contact:
theonewhoknocks6969@mailinator.com

Перевод на русский язык: 
Ваши важные файлы зашифрованы: фото, документы, видео и т.д.
Если хотите дешифровать файлы, вы должны заплатить $ 450 AUD
Не уплатив за указанное время будете должны заплатить $1000 AUD
Для помощи свяжитесь с нами:
theonewhoknocks6969@mailinator.com

Список файловых расширений, подвергающихся шифрованию: 
.ai, .crt, .csv, .db, .doc, .docm, .docx, .dotx, .gif, .jpg, .jpeg, .lnk, .mp3, .msi, .ods, .one, .ost, .p12, .pdf, .pem, .pps, .ppsx, .ppt, .pptx, .psd, .pst, .pub, .rar, .raw, .rtf, .tif, .txt, .vsdx, .wma, .xml, .xls, .xlsm, .xlsx, .zip

El-Polocker удаляет теневые копии файлов, отключает функции восстановление системы и автоматического исправления ошибок при загрузке системы. Шифрует каждый файл данных со своим собственным симметричным ключом AES-шифрования. Этот ключ шифруется с помощью ключа RSA, который загружается с сервера вымогателей, и сохраняется в seckeys.DONOTDELETE вместе с именем файла.

El-Polocker распространяется через поддельные штрафные уведомления DHL, содержащие ссылку на файл, размещенный на DropBox, который содержит файл VBS Penalty.vbs. Если этот файл запустить, то он загрузит и выполнит скрипт PowerShell, являющийся основным компонентом вымогателя El-Polocker. Скрипт PowerShell запустившись инжектирует Reflect.dll в Explorer.exe с помощью сценария из PowerSploit, а затем выполняет VoidFunc. Эта функция загружает t.dll для выполнения зачистки на компьютере: удаления теневых копий файлов, отключения в реестре восстановление системы и автоматического исправления ошибок при загрузке Windows. 

По окончании шифрования и всех зачисток на экран выводится сообщение о выкупе, которое содержит инструкции о том, как заплатить выкуп за дешифровку.

Файлы, связанные с Ransomware:
C:\1\locked.bmp - изображение, заменяющее обои рабочего стола;
C:\1\reflect.dll - DLL, инжектируемая в Explorer.exe
C:\1\t.dll - другая инжектируемая DLL для функции зачистки;
C:\ReflectiveLoaderTest\DllMain.txt.ha3 - лог инжекции, зашифрованный El-Polocker;
%Desktop%\customer.Id - биткоин-адрес для жертвы;
%Desktop%\encrypted.htm - список зашифрованных файлов;
%Desktop%\qwer.html - записка о выкупе №1;
%Desktop%\qwer2.html - записка о выкупе №2;
%Desktop%\seckeys.DONOTDELETE - ключи шифрования для каждого зашифрованного файла. 

Записи реестра, связанные с Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR 1
HKCU\Control Panel\Desktop\Wallpaper "C:\1\locked.bmp"

Подробные технические детали >>>
Статья от Symantec >>

Степень распространенности: средняя.
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles. 

AlphaCrypt

AlphaCrypt Ransomware

(шифровальщик-вымогатель)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле может быть написано, что попало.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:  TeslaCrypt 2.x  > AlphaCrypt

К зашифрованным файлам добавляется расширение .ezz

Активность этого крипто-вымогателя пришлась на май 2015 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает текстовый файл, экран блокировки и изображение, встающее обоями Рабочего стола:
HELP_TO_SAVE_FILES.txt
HELP_TO_SAVE_FILES.bmp 

Другим информатором жертвы выступает платежный сайт для Alpha Crypt, который называется Alpha Tool Decryption Service.

Содержание текста о выкупе:
Your personal files are encrypted!
Your files have been safely encrypted on this PC: photos, videos, documents, etc.
Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this.
Encryption was produced using a unique public key RSA-2048 generated for this computer. To decrypt files you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after a time period specified in this window.
Once this has been done, nobody will ever be able to restore files...
In order to decrypt the files press button to open your personal page
[File decryption site] and follow the instruction.
in case of "File decryption button" malfunction use one of our gates:
xxxx://qcuikaiye577q3p2.s24f53mnd7w31.com
xxxxs://qcuikaiye577q3p2.tor2web.blutmagie.de
Use your Bitcoin address to enter the site:
15y9NZv59SFbg1zG6iZ5rYALQGJNcbHi24
[Click to copy address to clipboard]
if both button and reserve gate not opening, please follow the steps:
You must install this browser www.torproect.org/proects/torbrowser.html.en
After instalation, run the browser and enter address 3kxwjihmkgibht2s.onion
Follow the instruction on the web-site. We remind you that the sooner you do so, the more chances are left to recover the files.
Any attempt to remove or corrupt this software will result in immediate elimination of the private key by the server. 
[Click for Free Decryption on site]
[Show files] [Enter Decrypt Key]

Перевод записки на русский язык:
Ваши личные файлы зашифрованы!
Ваши файлы были надёжно зашифрованы на этом компьютере: фото, видео, документы и т.д.
Нажмите кнопку "Show encrypted files", чтобы просмотреть полный список зашифрованных файлов, и вы можете лично убедиться в этом.
Шифрование было создано с использованием уникального открытого ключа RSA-2048, сгенерированного для этого компьютера. Чтобы расшифровать файлы, вам нужно получить секретный ключ.
Единственная копия закрытого ключа, которая позволит вам расшифровать ваши файлы, находится на секретном сервере в Интернете; сервер удалит ключ после периода времени, указанного в этом окне.
Когда это будет сделано, никто никогда не сможет восстановить файлы...
Чтобы дешифровать файлы, нажмите кнопку, чтобы открыть свою личную страницу.
Нажмите [File decryption site] и следуйте инструкциям.
при несрабатывании "File decryption button" используйте один из наших входов:
xxxx://qcuikaiye577q3p2.s24f53mnd7w31.com
xxxxs://qcuikaiye577q3p2.tor2web.blutmagie.de
Используйте свой Bitcoin-адрес для входа на сайт:
15y9NZv59SFbg1zG6iZ5rYALQGJNcbHi24
[Click to copy address to clipboard]
если обе кнопки и резервные входы не открываются, выполните следующие действия:
Вы должны установить этот браузер www.torproect.org/proects/torbrowser.html.en
После установки запустите браузер и введите адрес 3kxwjihmkgibht2s.onion
Следуйте инструкциям на веб-сайте. Напоминаем, что чем раньше вы это сделаете, тем больше шансов восстановить файлы.
Любая попытка удалить или испортить эту программу приведёт к немедленному удалению сервером закрытого ключа.
[Click for Free Decryption on site]
[Show files] [Enter Decrypt Key]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов (Angler EK), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Когда Alpha Crypt шифрует файл, он сначала копирует его, шифрует копию и удаляет оригинал. Благодаря этому можно использовать ПО для восстановления файлов, такое как GetDataBack, R-Studio, Photorec и другие, чтобы восстановить некоторые из ваших исходных файлов. 

AlphaCrypt, разработан параллельно с TeslaCrypt, однако принцип его действия соответствует функционалу Cryptowall 3.0.

В него добавлены некоторые улучшения, в частности, возможность удаления теневых копий файлов командой:
vssadmin.exe delete shadows /all /Quiet

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt .sql, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (186 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP_TO_SAVE_FILES.txt
HELP_TO_SAVE_FILES.bmp 
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1H66iejHkDY9SZJRrFrnhLjHff6MRMhKu6
15y9NZv59SFbg1zG6iZ5rYALQGJNcbHi24
1376QscZ5svHVpasrFcinn3jZn7nAfRdvi
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 мая 2015:
Название: Alpha Crypt или TeslaCrypt
Расширение: .exx
Записки: %Desktop%\HELP_RESTORE_FILES.bmp
%Desktop%\HELP_RESTORE_FILES.txt
%Documents%\RECOVERY_FILE.TXT
Файлы: %LocalAppData%\<random>.exe
%LocalAppData%\log.html
%LocalAppData%\storage.bin
%Desktop%\Save_Files.lnk
Записи в реестре:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AVrSvc   %LocalAppData%\<random>.exe
HKCU\Control Panel\Desktop\Wallpaper   "%Desktop%\HELP_RESTORE_FILES.bmp"
Список целевых расширений:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx,.sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (187 расширений). 
Примечательно, что только в этой версии экран блокировки совсем другой. 

Скриншот экрана блокировки

Тема на форуме BC >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support, Malware-traffic-analysis
 Write-up 

 Thanks: 
 Brad Duncan
 Lawrence Abrams
 Webroot blog
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Crypt0L0cker

Crypt0L0cker Ransomware

(шифровальщик-вымогатель)

Translation into English

   Этот крипто-вымогатель шифрует данные с помощью AES-256, а затем требует 2 биткоина за расшифровку. Не путайте его с CryptoLocker, т.к. у нового крипто-вымогателя буквы "o" в названии заменены нулями. Это название дано самими разработчиками-вымогателями. 

К зашифрованным файлам добавляется расширение .encrypted. 
С августа 2016 использовалось новое расширение .enc

  Специалисты считают Crypt0L0cker обновленной версией более раннего вымогателя TorrentLocker. Впервые замечен в конце апреля 2015 в странах Европы, Азии и в Австралии. 

© Генеалогия: TorrentLocker > Crypt0L0cker 

  Crypt0L0cker прописывается в автозагрузку, запрещает браузеру Internet Explorer использование антифишингового фильтра, создает папки и файлы со случайными именами в системных и программных директориях. Теневые копии файлов удаляются, повреждаются или инфицируются. 

Записки о выкупе называются:
DECRYPT_INSTRUCTIONS.HTML
DECRYPT_INSTRUCTIONS.TXT

HTML-вариант записки о выкупе 

TXT-вариант записки о выкупе

Crypt0L0cker распространяется по email, как уведомление от австралийской федеральной полиции (AFP) за нарушения ПДД и превышения скорости. 

Первоначально был ориентирован на Австралию и сопредельные страны Азии, но на деле атакует практически все страны, кроме США. Компьютеры, использующие IP-адрес США пока не инфицируются. C&C-сервера находятся в зоне .RU, но в данный момент эти домены свободны и не делегированы.

Список файловых расширений, НЕ подвергающихся шифрованию:
.avi, .bat, .bmp, .chm, .cmd, .dll, .exe, .gif, .html, .ico, .inf, .ini, .lnk, .log, .manifest, .mp3, .msi, .png, .scr, .sys, .tmp, .txt, .url, .wav (24 расширения). 

Сетевые подключения и связи:
tidisow.ru (62.173.145.212)
lepodick.ru (62.173.145.212)

Степень распространённости: высокая. 

Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 августа 2016
Новая спам-кампания по распространению Crypt0L0cker использует email-спам, приходящий якобы от итальянской энергетической компании Enel. Письма содержат вложения под названием ENEL_BOLLETA.zip, в котором находится JS- файл ENEL_BOLLETA.js. 

Если этот файл будет запущен на выполнение, то он загрузит исполняемый файл TorrentLocker, сохранит его в папке %Temp% и запустит. После выполнения, он будет шифровать файлы пользователя и добавлять к ним расширение .enc. Затем будет создана со случайным именем записка с требованием выкупа, содержащая инструкции о том, как получить доступ к платежному сайту Crypt0L0cker. Ориентирован на итальяноязычных пользователей. 
Детект на VirusTotal >>

HTML-вариант записки о выкупе (август 2016)

Содержание записки на итальянском: 
ATTENZIONE
abbiamo criptato vostri file con il virus Crypt0L0cker
I vostri file importanti (compresi quelli sui dischi di rete, USB, ecc): foto, video, documenti, ecc sono stati criptati con il nostro virus Crypt0L0cker.
L'unico modo per ripristinare i file è quello di pagare noi. In caso contrario, i file verranno persi.
Attenzione: La rimozione di Crypt0L0cker non ripristinare l'accesso ai file crittografati.
Per recuperare i file si deve pagare
Al fine di ripristinare i file aperti nostro sito http://vrvmpoqs5ra34nfo.torvievv.pl/tutu6a.php7*** e seguire le istruzioni.
Se il sito non è disponibile si prega di attenersi alla seguente procedura:
1. Scaricare e installare TOR-browser da questo link: https://www.torproject.org/download/dovvnload-easv.html.en
2. Dopo l'installazione eseguire il browser e digitare l'indirizzo: http://vrympoqs5ra34nfo.onion/tutu6a.php? user_code***
3. Seguire le istruzioni sul sito.

Перевод на русский:
ВНИМАНИЕ!
Мы зашифровали файлы вирусом Crypt0L0cker
Ваши важные файлы (также файлы на сетевых дисках, USB и т.д.): фото, видео, документы и пр. зашифрованы с помощью нашего вируса Crypt0L0cker.
Единственный способ вернуть файлы, это платить нам. Иначе файлы будут потеряны.
Знайте: Удаление Crypt0L0cker не вернёт доступ к зашифрованным файлам.
Как мне вернуть файлы, которые нужно оплатить
Для восстановления файлов, откройте наш веб-сайт http://vrvmpoqs5ra34nfo.torvievv.pl/tutu6a.php7*** и следуйте инструкции.
Если сайт недоступен, пожалуйста, выполните следующие действия:
1. Скачайте и установите TOR-браузер по этой ссылке: https://www.torproject.org/download/dovvnload-easv.html.en
2. После установки, запустите браузер и введите адрес: http://vrympoqs5ra34nfo.onion/tutu6a.php? user_code ***
3. Следуйте инструкциям на сайте.


Обновление от 21 сентября 2018:
Расширение: .encrypted
URL: xxxx://2ymh2gnnbg6pgq2r.tigercity.pl
Tor- URL: xxxx://gdzll7bykhnvtajj.onion
Записка: COMMENT_RESTAURER_DES_FICHIERS.txt
COMMENT_RESTAURER_DES_FICHIERS.html

➤ Содержание текстовой записки: 
==================================================================
            !!! WE HAVE ENCRYPTED YOUR FILES WITH Crypt0L0cker !!!
==================================================================
Your important files (including those on the network disks, USB, etc): photos,
videos, documents, etc. were encrypted with our Crypt0L0cker. The only way to
get your files back is to pay us. Otherwise, your files will be lost.
You have to pay us if you want to recover your files.
In order to restore the files open our website
http://2ymh2gnnbg6pgq2r.tigercity.pl/vcrriq.php?user_code=zs4zr&user_pass=4117
and follow the instructions.
If the website is not available please follow these steps:
1. Download and run TOR- browser from this link: https://www.torproject.org/download/download-easy.html.en
2. After installation run the browser and enter the address: http://gdzll7bykhnvtajj.onion/vcrriq.php?user_code=zs4zr&user_pass=4117
3. Follow the instructions on the website.
==================================================================

Обновление от 23 мая 2019:
Пост в Твиттере >>
Расширение: .encrypted
Записка: wichtige information zum wiederherstellen der daten.htm
Результаты анализов: VT
URL: xxxx://sslv3.at/ - редирект на https://www.youtube.com/watch?v=ApfohIra5LA&feature=youtu.be

URL картинки: xxxx://sslv3.at/cryptolocker/bg.jpg
URL записки: http://sslv3.at/cryptolocker/msg.htm

➤ Содержание записки (на немецком языке):
WARNUNG
Wir verschlüsseln Ihre Dateien mit Crypt0L0cker Virus
Ihre wichtigen Dateien (einschließlich der an den Netzwerk-Festplatten, USB, etc.): Fotos, Videos, Dokumente, etc. wurden mit Crypt0L0cker Virus verschlüsselt. Der einzige Weg, um Ihre Dateien wiederherzustellen, ist an uns zu zahlen. Andernfalls wird Ihre Dateien verloren gehen. 
Vorsicht: Entfernen von Crypt0L0cker nicht wiederherstellen Zugriff auf Ihre verschlüsselten Dateien.
Zum Wiederherstellen von Dateien müssen Sie bezahlen.
Um die Dateien zu öffnen unsere Website http://anbqjdoyw6wkmpeu.tormidle.at/isu7lz7.php?user_code=gyddh0&user_pass=###key### und folgen Sie den Anweisungen wiederherzustellen.
Wenn die Website nicht verfügbar ist, folgen Sie bitte diesen Schritten:
1. Herunterladen und TOR- Browser von diesem Link installieren: https://www.torproject.org/download/download-easy.html.en
2. Nach der Installation der Browser ausgeführt wird und die Adresse eingeben: http://banbqjdoyw6wkmpeu.onion/isu7lz7.php? user_code=gyddh0&user_pass=###key###
3. Folgen Sie den Anweisungen auf der Website.


Обновление от 27 мая 2019:
Пост на форуме >>
Расширение: .encrypted
Записка (на турецком языке): SIFRE_COZME_TALIMATI.txt

➤ Содержание записки: 

==========================================================================

     !!! Tüm dosyalarınız Crypt0L0cker virüs tarafından şifrelenmiştir !!!
==========================================================================
Bilgisayarınızda, Ağ sürücü ve USB bellek üzerinde olan Sizin için önemli
dosyalarınız: fotoğraflar, videolar ve kişisel bilgiler Crypt0L0cker virüsü
ile sonsuza şifrelenmiştir. Eğer dosyalarınız geri almak istiyorsanız - Bizim
şifreleme çözme yazılımı satın almanız tek olan yoludur. İnternet´te çözüm
bulmak için boşuna zaman harcamayın - şifreleme çözme yazılımı satın alın ve
mutlu bir hayat yaşamaya devam edin.
Yazılım Nasıl Satın Alınır.
Yazılım sitemizden satın alabilirsiniz:
http://de2nuvwegoo32oqv.toradmin.li/y544n0d.php?user_code=2p3ri9&user_pass=6313
Web sitemiz çalışmıyorsa Antivirus tarafından kapatılmış olabilir. Aşağıdaki
adımları yaparak sitemize girebilirsiniz.
1. TOR tarayıcı bilgisayarınıza yükleyin: https://www.torproject.org/download/download-easy.html.en
2. TOR tarayıcı çalıştırın ve başlatma için bekleyin
3. Adres çubuğuna bu site adresi yazın: http://de2nuvwegoo32oqv.onion/y544n0d.php?user_code=2p3ri9&user_pass=6313
4. Web sitemize girin
==========================================================================

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы, зашифрованные некоторыми вариантами TorrentLocker, могут быть дешифрованы! 
Компания Dr.Web расшифрует после атаки TorrentLocker, Crypt0L0cker и др.
Что нужно сделать, чтобы дешифровать файлы? 
- составить запрос на пробную дешифровку (бесплатно) - на русском или на 
английском языках.
- приложить к запросу записку о выкупе и несколько зашифрованных файлов (doc, docx, jpg, png, pdf);
- терпеливо подождать несколько дней, пока вам не сообщат о результате в вашем тикете. 

 Read to links: 
 Message
 ID Ransomware (ID as Crypt0L0cker)
 Topic of Support, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kriptovor

Kriptovor Ransomware

(шифровальщик-вымогатель)

Translation into English

  Этот крипто-вымогатель шифрует данные с помощью AES-шифрования, а затем требует написать на email-адрес вымогателей, чтобы узнать стоимость декриптора. 

© Генеалогия: Rakhni > Rakhni Family > Kriptovor > Neitrino 

Изображение только логотип статьи

К зашифрованным файлам добавляется расширение .Just. 

Впервые Kriptovor был обнаружен в 2014 году. 

  Данные шифруются на всех локальных и подключенных сетевых дисках. После шифрования удаляются теневые копии файлов. 

  Записка о выкупе называется MESSAGE.txt и оставляется в каждой папке с зашифрованными файлами, на Рабочем столе и в папках Автозагрузки. 

  Говорящее название происходит от слов "крипто" и "вор" и говорит о краже данных. Первоначально Kriptovor и был похитителем паролей, но потом получил дополнительный вымогательский функционал. 

  Kriptovor обнаруживает выполнение в виртуальной среде или отсутствие подключения к Интернету, после чего прерывает шифрование до "лучших" времен. В "лучшее" время устанавливает на ПК фальшивый сертификат и загружает специальный файл с атрибутом "скрытый" — защищенный паролем RAR-архив. Для заражения используется содержащийся в этом архиве файл AdobeSystems.exe. Кроме поиска целевых типов файлов Kriptovor выполняет поиск строк в этих файлах, которые содержат информацию для входа в систему или пароль. Такие файлы помечаются и информация из них собирается до процесса шифрования. Для шифрования файлов используется LockBox 3. 

  Целями вымогателя в основном являются российские предприятия или международные компании, занимающиеся бизнесом в России. 

  Главная особенность, которая отличает Kriptovor от других вымогателей, заключается в том, что Kriptovor может удалить себя независимо от того, была ли успешной задача кражи данных и получения выкупа или нет. Эта особенность делает Kriptovor трудно обнаруживаемым.

Распространяется через email-вложения, которые могут называться примерно так "Резюме на вакантную должность". 
Адреса отправителей постоянно меняются. В ранее собранный список входят:
y.volkova@i-jazz.ru
kirova.l@mutualizm.ru
kirova.ls@orangedv.tmweb.ru
kirova-l@wibor5.ru
abramova.l@wibor5.ru
abramova@sabona.ru
l_abramova@festivalps.ru
l_abramova@wibor5.ru

При неосторожном открытии вложения с названием типа "488ba9382c9ee260bbca1ef03e843981" жертва видит документ Word, предлагающий: "Дважды щелкните, чтобы открыть резюме в Adobe Reader". 

Если жертва и тут бездумно щелкает, то действительно открывается PDF-документ, содержащий резюме девушек, якобы претенденток на вакантную должность, но при этом в систему тайно устанавливается похититель паролей KRIPTOVOR.Infostealer и поддельный сертификат. 

Подробности см. в блоге FireEye.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .accdb, .accdc, .adp, .afp, .bfa, .bpk, .bsk, .cdr, .cer, .cf, .cfn, .crt, .csr, .dbc, .dbf, .dbt, .dbx, .der, .djvu, .doc, .docm, .docx, .dt, .dwf, .dwg, .dws, .dxe, .dxl, .ebd, .edb, .efb, .efn, .egg, .emd, .eml, .enc, .epf, .eql, .erf, .fb, .fb2, .fc2, .fcz, .fg, .fp3, .htm, .html, .jbc, .jif, .jiff, .jpe, .jpeg, .jpf, .jpg, .just, .kdb, .kdbx, .key, .ldf, .lgp, .md, .mdb, .mdf, .mht, .mxl, .oab, .ost, .p7, .p7b, .p7c, .pab, .pcx, .pdf, .pem, .pfx, .ply, .png, .pov, .ppsx, .ppt, .pptx, .prefab, .psb, .psd, .pst, .rar, .raw, .rev, .rtf, .rzk, .rzx, .sec, .sef, .sgn, .shy, .snk, .sql, .sqlite, .sqlite3, .sqlitedb, .stl, .tbb, .tbn, .tif, .tiff, .txt, .xcf, .xls, .xlsm, .xlsx, .xof, .zip, .zipx (115 расширений).

Степень распространённости: средняя. 
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles.

BandarChor, Rakhni 2015

BandarChor Ransomware

Rakhni 2015 Ransomware

(шифровальщик-вымогатель)

Translation into English

  Этот крипто-вымогатель шифрует файлы с помощью AES-256. Известен с ноября 2014. Другое название: Rakhni (रखनी в переводе с хинди - "медведь"). Исследован F-Security в марте 2015 г. Последнее распространение в марте-апреле 2016 г. 

 © Генеалогия: Rakhni > Rakhni Family > BandarChor > Paycrypt 

  К зашифрованным файлам добавляется расширение, создаваемое по шаблону: 
.id-[ID]_[email_address]
Например, .id-4361716884_europay@india.com

Таким образом, зашифрованный файл будет выглядеть так: 
[original_file_name].id-[random-10-digit-number]_europay@india.com

  Вместо текстовой записки о выкупе используется графическое изображение fud.bmp (или bytor.bmp или др.), встающее обоями рабочего стола. Время от времени меняется только email вымогателей. 

Содержание текста на изображении: 
Attention! Your computer was attacked by virus-encoder.
All your files are encrypted cryptographically strong, without the original key recovery is impossible!
To get the decoder and the original key, you need to write to us at the e-mail fud@india.com with the subject "encryption" stating your id.
Write on the case, do not waste your and our time on empty threats.
Responses to letters only appropriate people are not adequate ignore.
fudx@lycos.com

Перевод на русский: 
Внимание! Ваш компьютер атакован вирусом-шифровальщиком.
Все ваши файлы были зашифрованы, без оригинального ключа вернуть невозможно!
Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на fud@india.com с темой "encryption" и указать ваш ID.
Пишите по делу, не тратьте свое и наше время на пустые угрозы.
Письма от неадекватных людей будут игнорироваться.
fudx@lycos.com

Адреса email в других вариантах записок: 
fud@lycos.com и fudx@lycos.com
fud@india.com
decode@india.com
decrypt@india.com
europay@india.com
info@cryptedfiles.biz и salutem@protonmail.com

bingo@opensourcemail.org

doctor@freelinuxmail.org

johndoe@weekendwarrior55.com

sos@encryption.guru

av666@weekendwarrior55.com

email_info@cryptedfiles.biz

email1_info@cryptedfiles.biz

milarepa.lotos@aol.com

и другие...

Технические детали

Список файловых расширение, подвергающихся шифрованию в версии с fud.bmp: 
.001, .113, .1cd, .3gp, .73b, .a3d, .abf, .abk, .accdb, .ace, .arj, .as4, .asm, .asvx, .ate, .avi, .bac, .bak, .bck, .bkf , .bup, .bvd, .cdr, .cer, .cng, .cpt, .cryptra, .csv, .db3, .dbf, .dco, .doc, .docx, .dwg, .enx, .erf, .fbf, .fbk, .fbw, .fbx, .fdb, .fdp, .gbk, .gho, .gzip, .iv2i, .jac, .jbc, .jpeg, .jpg , .kbb, .key, .keystore, .ldf, .m2v, .m3d, .max, .mdb, .mkv, .mov, .mpeg , .nba, .nbd, .nrw, .nx1, .odb, .odc, .odp, .ods, .odt, .old, .orf, .p12, .pdf, .pef, .pkey, .ppsx, .ppt, .pptm, .pptx, .pst, .ptx, .pwm, .pz3, .qic, .r3d, .rar, .raw, .rtf, .rwl, .rx2, .rzx , .safe, .sbs , .sde, .sgz, .sldasm, .sldprt, .sle, .sme, .sn1, .sna, .spf, .sr2, .srf, .srw, .tbl, .tib, .tis, .txt, .vhd, .wab, .wallet, .wbb, .wbcat, .win, .wps, .x3f, .xls, .xlsb, .xlsk, .xlsm, .xlsx, .zip (124 расширения). 

Этот список от 2015 года уже дополнен расширениями, определёнными в новой версии вымогателя в начале марта 2016. 

Список файловых расширение, подвергающихся шифрованию в версии с bytor.bmp: 

.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx  (67 расширений). По данным Symantec. 

➤ Запустившись в системе, BandarChor сканирует все папки, за исключением: 
Windows
Program Files
Program Files (x86)
ProgramData
System Volume Information
Temp

➤ BandarChor не трогает файлы, которые больше 30 мегабайт. Шифрует до 30000 байтов заголовка каждого файла и сохраняет количество шифрованных байт в первые 4 байта (добавляет перезаписываемые байты в конец файла). Когда все файлы заблокированы, устанавливает изображение fud.bmp в качестве обоев рабочего стола с вымогательским текстом. Затем вредонос удаляет себя.

➤ BandarChor (Rakhni) использует TurboPower LockBox 3 (криптографическая библиотека с открытым кодом, написанная на Delphi). 

➤ Распространяется с помощью email-спама и вредоносных вложений, а ссылки могут вести на зараженный сайт, содержащий эксплойты на веб-страницах или вредоносную рекламу. Письма приходят якобы от PayPal, Amazon, eBay и Facebook, а их содержание ссылается на изменения в политике конфиденциальности, возвраты и недавно сделанные покупки. Файлы во вложении имеют двойное расширение. Вложение упаковано UPX, после вскрытия содержит исполняемый файл написан в Delphi. Восстановление зашифрованных файлов невозможно без ключа, который хранится на сервере злоумышленников и не сохраняется на диск.

➤ Запустившись в системе добавляет себя в папку автозагрузки Windows. Затем он генерирует случайную последовательность из 10 цифр для  ID компьютера и формирует строку запроса из него, имени компьютера, фиксированного номера, и суффикса, содержащего ID и email-адрес автора вредоносной программы. 
Например: number=31&id=4361716884&pc=FOOBAR&tail=.id-4361716884_europay@india.com

Дальнейшее развитие — Paycrypt и другие.

Файлы, связанные с этим Ransomware:
<random>.exe
<random>.tmp.exe
<random>.dll
fud.bmp или bytor.bmp
edgE528.exe - утилита запроса сервера терминалов

Утилита запроса сервера терминалов

Ключи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Control Panel\Desktop\"Wallpaper" = "%UserProfile%\Application Data\bytor.bmp" 
...или "%UserProfile%\Application Data\fud.bmp"

Сетевые подключения и связи:
martyanovdrweb.com
www.fuck-isil.com
www.ahalaymahalay.com
kapustakapaet.com
www.decryptindia.com
www.enibeniraba.com
www.netupite.com
89025840.com
xsmailsos.com
sosxsmaillockedwriteonxsmailindia.com
baitforany.com
euvalues.com

intelligence1938.com
и другие...

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Symantec: Ransom.BandarChor (до августа 2016: Trojan.Ransomcrypt.Q)

Степень распространённости: средняя. 
Подробные сведения собираются. 

Обновление от 15 марта 2016:
Email: info@cryptedfiles.biz
Составное расширение: original_name.jpg.id-1334533118_info@cryptedfiles 


Обновление от 15 декабря 2016:
 Статья >> + ID Shigo
Записка: HOW TO DECRYPT.txt
Расширение по шаблону: .id-[ID]_[email_address]
Email: help@decryptservice.info, Shigorin.Vitolid@gmail
Пример зашифр. файла: test.jpg.id-1235240425_help@decryptservice.info



Обновление от 4 сентября 2017: 
Email: kiaracript@email.cz и kiaracript@gmail
Расширение: .SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail
Шаблон расширения: .SN-<ID>-kiaracript@email.cz_kiaracript@gmail
Пример заш-файла: 
archive2015.rar.SN-3351241893235244-kiaracript@email.cz_kiaracript@gmail


Обновление от 26 сентября 2017:
Email: kiaracript@gmail.com
Расширение: .SN-6633475505259148-kiaracript@gmail.com и другие
Шаблон расширения: .SN-<ID>-kiaracript@gmail.com
Примеры заш-файлов: 
archive2010.zip.SN-6633475505259148-kiaracript@gmail.com
archive2014.rar.SN-6633475505259148-kiaracript@gmail.com
document2.txt.SN-6862051502902366-kiaracript@gmail.com

 Внимание!
Некоторые зашифрованные файлы можно вернуть
За помощью обращайтесь в тему на форуме >>
*
*

 Read to links: 
 Topic on BC
 ID Ransomware (ID as BandarChor and Shigo)
 Write-up
 *

 Thanks: 
 Michael Gillespie
 F-Security
 Emmanuel_ADC-Soft
 *

© Amigo-A (Andrew Ivanov): All blog articles.