CTB-Faker

CTB-Faker Ransomware

(фейк-шифровальщик, zip-вымогатель)

   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,08686 биткоина ($50) якобы за дешифровку. На самом деле он помещает файлы в защищенный паролем ZIP-архив, а выкуп нужен, чтобы получить пароль для этих файлов. Заявление якобы от CTB-Loker — обман. 

Remove CTB-Faker Decrypt CTB-Faker Decode Restore files Recovery data Удалить CTB-Faker Дешифровать Расшифровать Восстановить файлы

  Основной исполняемый файл CTB-Faker содержит множество изображений, которые используются в качестве фона для записки с требованием выкупа. Похоже, что девелоперы являются посетителями BleepingComputer, потому что одно из этих изображений от старого вымогателя под названием ZeroLocker имеет водяной знак BleepingComputer. Приведенное ниже изображение найдено в исполняемом файле help.exe.

  CTB-Faker в настоящее время распространяется через поддельные страницы профилей на сайтах для взрослых, которые содержат пароли и ссылки на якобы защищенное паролем стриптиз-видео. 

  Когда пользователь нажимает на ссылку в профиле, она загружает ZIP-файл, который размещен в JottaCloud. После того, как пользователь извлекает содержимое zip-файлов и запускает находящийся там исполняемый файл, то вымогатель начинает шифрование файлов.

  CTB-Faker представляет собой файл WinRAR SFX, который при выполнении извлекает множество пакетных файлов, VBS-файлы и исполняемые файлы в папку С:\ProgramData. Основной установщик запускает VBS-файл, который отображает сообщение якобы об ошибке в работе графической карты, которая якобы не позволяет просмотреть стриптиз-видео.

При этом вымогатель создает архив Users.zip с собранными из C:\Users файлами пользователя и помещает его в корень диска C:\. Этот процесс проходит очень медленно и потребляет очень много ресурсов ПК, при этом потерпевшие могут обнаружить, что их жесткие диски постоянно используются и процессор загружен гораздо больше, чем обычно.

Когда создание архива будет завершено, CTB-Faker удалит все VBS и пакетные файлы из папки C:\Programdata, а затем перезагрузит компьютер. После перезагрузки ПК и входа жертвы в систему ей будет представлен экран блокировки со следующим требованием выкупа.

Сообщается, что файлы были зашифрованы и жертва должна заплатить 50 долларов США в биткоинах на указанный адрес. После того, как оплата будет произведена нужно написать на miley@openmailbox.org, чтобы получить пароль. 

Есть также альтернативное изображение, которое содержит Bitcoin-адрес вымогателей и email-адрес help@openmailbox.org, как показано ниже. 

Bitcoin-адрес c этого изображения имеет много выплат, уже произведенных пострадавшими.

Список файловых расширений, помещающихся в архив с паролем: 

 .7z, .avi, .bmp, .cab, .dat, .data, .dll, .exe, .gif, .iso, .jpeg, .jpg, .mp3, .mp4, .msi, .png, .psd, .rar, .wav, .zip, (20 расширений).

Файлы, связанные с CTB-Faker:
C:\ProgramData\7zxa.dll
C:\ProgramData\Default.SFX
C:\ProgramData\Descript.ion
C:\ProgramData\Rar.exe
C:\ProgramData\RarExt.dll
C:\ProgramData\RarExt64.dll
C:\ProgramData\RarFiles.lst
C:\ProgramData\UNACEV2.DLL
C:\ProgramData\UnRAR.exe
C:\ProgramData\Uninstall.lst
C:\ProgramData\WinCon.SFX
C:\ProgramData\WinRAR.exe
C:\ProgramData\Zip.SFX
C:\ProgramData\archiver.bat
C:\ProgramData\archiver.vbs
C:\ProgramData\copy.bat
C:\ProgramData\copy.vbs
C:\ProgramData\help.exe
C:\ProgramData\index.html
C:\ProgramData\rarnew.dat
C:\ProgramData\restore.exe
C:\ProgramData\startup.exe
C:\ProgramData\startup.vbs
C:\ProgramData\untitled.png
C:\ProgramData\untitled.vbs
C:\ProgramData\your personal files are encrypted.txt
C:\ProgramData\zipnew.dat
C:\your personal files are encrypted.txt

Т.к. файлы всё же не шифруются, то CTB-Faker Ransomware я отношу к фейк-шифровальщикам. 

Степень распространенности: средняя.
Подробные сведения собираются. 

PizzaCrypts

PizzaCrypts Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на посту вымогателей и приложить 1 зашифрованный файл. Сумма выкупа будет указана в ответном письме. 

© Genealogy: JuicyLemon > PizzaCrypts

Remove PizzaCrypts Decrypt PizzaCrypts Decode Restore files Recovery data Удалить PizzaCrypts Дешифровать Расшифровать Восстановить файлы

Зашифрованные файлы получают расширение по шаблону .id-[victim_id]-maestro@pizzacrypts.info

Зашифрованные файлы

Pizzacrypts Info.txt

Записка о выкупе

Содержание записки о выкупе:
Attention!
All your files are encrypted cryptographically strong algorithm!
Decoding is not possible without our help!
In order to start the process of decoding the files, you need to contact us on the below
contacts, attached the example of an encrypted file:
- Primary email: maestro@pizzacrypts.info
- Secondary email: pizzacrypts@protonmail.com
- Bitmessage: BM-NBRCUPTenKgYbLVCAfevuHVsHFK6ue2F
How To use Bitmessage see https://www.youtube.com/watch?v=ndqlffqCMaM
We encourage you to contact us for all three contacts!
- Very important:
We recommend to write email us with gmail address, otherwise your email may not reach us !
Do not try to decrypt files by third-party decipherers, otherwise you will spoil files!

Перевод на русский язык: 
Внимание!
Все ваши файлы зашифрованы криптостойким алгоритмом!
Дешифровка невозможна без нашей помощи!
Для того, чтобы начать дешифровку файлов, вам надо связаться с нами, см. контакты ниже,
и приложить 1 зашифрованный файл:
- Первый email: maestro@pizzacrypts.info
- Второй email: pizzacrypts@protonmail.com
- Bitmessage: BM-NBRCUPTenKgYbLVCAfevuHVsHFK6ue2F
Как пользоваться Bitmessage см. xxxxs://www.youtube.com/watch?v=ndqlffqCMaM
Мы рекомендуем связь с нами для всех трех контактов!
- Очень важно:
Мы рекомендуем писать нам на email с Gmail-адреса, иначе ваш email не может до нас не дойти!
Не пытайтесь дешифровать файлы другими декриптерами, можете испортить файлы!

Технические детали

Распространяется с помощью набора эксплойтов Neutrino. Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Pizzacrypts Info.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: maestro@pizzacrypts.info
Email-2: pizzacrypts@protonmail.com
Bitmessage: BM-NBRCUPTenKgYbLVCAfevuHVsHFK6ue2F
Video: xxxxs://www.youtube.com/watch?v=ndqlffqCMaM
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Другой анализ >>

Степень распространенности: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID under JuicyLemon)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Michael Gillespie
 BleepingComputer
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Это сотый пост блога!!!

CryptoFinancial

CryptoFinancial Ransomware

Ranscam Ransomware

(фейк-шифровальщик)

   Этот крипто-вымогатель якобы шифрует данные, а затем требует выкуп в 0,2 BTC, чтобы вернуть файлы обратно. Цели вымогателя: базы данных, документы, PDF, фотографии, музыка, видео, общие папки и пр. Другие названия вымогателя: Ranscam.

Вместо текстовых записок о выкупе используется скринлок с текстом.

Текст со скринлока:
YOUR COMPUTER AND FILES ARE ENCRYPTED
YOU MUST PAY 0,2 BITCOINS TO UNLOCK YOUR COMPUTER
---------------------------------------------------------------------------------------------
YOUR FILES HAVE BEEN MOVED TO A HIDDEN PARTITION AND CRYPTED.
ESSENTIAL PROGRAMS IN YOUR COMPUTER HAVE BEEN LOCKED
AND YOUR COMPUTER WILL NOT FUNCTION PROPERLY.
— 0 —
ONCE YOUR BITCOIN PAYMENT IS RECEIVED YOUR COMPUTER AND
FILES WILL BE RETURNED TO NORMAL INSTANTLY.
---------------------------------------------------------------------------------------------
YOUR BITCOIN PAYMENT ADDRESS IS:
1 G6tQeWrwp6TU1qunLJdNmLTPQu7PnsMYd
[COPY THE ADDRESS EXACTLY I CASE SENSITIVE]
[CONFIRM PAYMENT BELOW TO UNLOCK COMPUTER AND FILES]
IF YOU DO NOT HAVE BITCOINS VISIT WWW.LOCALBITCOINS.COM TO PURCHASE
---------------------------------------------------------------------------------------------
IF YOU HAVE MADE THE BITCOIN PAYMENT CLICK BELOW TO UNLOCK YOUR COMPUTER AND FILES
----------------------------------------------
I MADE PAYMENT
PLEASE VERIFY
AND UNLOCK MY COMPUTER
----------------------------------------------

Перевод на русский язык:
ВАШ КОМПЬЮТЕР И ФАЙЛЫ ЗАШИФРОВАНЫ
ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ 0,2 БИТКОИНА ЗА РАЗБЛОК ПК
-------------------------------------------------- ------------------------------------------
Ваши файлы перенесены в скрытый раздел и зашифрованы.
Необходимые программы в вашем ПК блокированы
И ваш компьютер будет работать неправильно.
- 0 -
Когда биткоин-платёж будет получен, ваш компьютер и
файлы будут возвращены в нормальное состояние.
-------------------------------------------------- ------------------------------------------
Ваш платежный биткоин-адрес:
1G6tQeWrwp6TU1qunLJdNmLTPQu7PnsMYd
[Копируйте адрес без ошибок, он чувствителен к регистру]
[Подтвердите оплату ниже для разблокировки ПК и файлов]
Если нет биткоинов, посетите www.localbitcoins.com для приобретения
-------------------------------------------------- ------------------------------------------
Если вы перевели биткоины, кликните кнопку ниже для снятия блокировки ПК и файлов
--------------------------------------
Я сделал оплату
Пожалуйста, проверьте
И разблокируйте мой ПК
--------------------------------------

На самом деле CryptoFinancial не шифрует файлы, а просто удаляет их без возможности восстановления, даже если жертва заплатит выкуп.

  На скринлоке внизу имеется жёлтая кнопка для подтверждения платежа, но после нажатия на неё она преобразуется в красную с сообщением: "Ваш платеж не подтвержден" с угрозой удаления одного файла при каждой неподтвержденной оплате. Вымогатели действуют как террористы. 

  Это уведомление получают все жертвы в независимости от того заплатили они выкуп или просто попробовали нажать на кнопку. Имитация верификационного процесса как бы происходит, но это обман. На самом деле, никакой проверки не происходит, а все файлы уже были удалены ранее.

Технические детали

  Исполняемый файл, подписанный с использованием цифрового сертификата, выданного reca.net 6 июля 2016, копирует себя в %AppData% и использует планировщик заданий для создания запланированного задания, чтобы запускаться при каждом запуске системы. А также распаковывает и сохраняет исполняемый файл в %TEMP%. Запускается пакетный скрипт, который размножается и заполняет систему жертвы. Затем скрипт удаляет ряд важных системных файлов, в том числе, отвечающий за восстановление системы, службу теневого копирования. Также удаляет ключи реестра Windows, связанные с загрузкой в безопасном режиме, отключает диспетчер задач. Настраивает установку Keyboard Scancode Map. После этих действий скрипт инициирует принудительное выключение системы.

  После новой загрузки системы жертве показывается экран блокировки, а по истечении 60 секунд снова инициируется выключение системы специальной командой:
@echo off
C:\Windows\System32\shutdown.exe -s -t 60 -c "Shutting Down In 60 Seconds."

Файлы вымогателя:
%APPDATA%\winstrsp.exe
%TEMP%\winopen.exewinopen.exe  

Список файловых расширений, подвергающихся блокировке:
Вероятно все пользовательские файлы.

Описание составлено автором 8 июля 2016, дополнено информацией от Cisco Talos 12 июля 2016. 
Talos придумали свое название: Ranscam — от слов ransom (англ. выкуп) и scam (афера). 

Т.к. файлы всё же не шифруются, то CryptoFinancial (Ranscam) Ransomware я отношу к фейк-шифровальщикам. 

Степень распространенности: низкая.
Подробные сведения собираются. 


© Amigo-A (Andrew Ivanov): All blog articles.

BitStak

 BitStak Ransomware

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,07867 биткоина (40 евро или 45 долларов), чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .bitstak. Папки переименовываются и получают это расширение.

Remove BitStak Decrypt BitStak Decode Restore files Recovery data Удалить BitStak Дешифровать Расшифровать Восстановить файлы

  Зашифрованные файлы получают случайные имена, состоящие из букв и символов. Например, файл "Penguins.jpg" может быть переименован в "xfZdSbZU.aXd.bitstak". На уплату выкупа даётся 3 дня, после чего файлы будут удалены. Название вымогателю дали его разработчики. 

  Текстовой записки о выкупе нет. Вместо неё используется скринлок. 

На скринлоке имеется QR-код для мобильных устройств, который ведёт на сайт оплаты. 

Содержание текста о выкупе:
Your all files are locked and encrypted with a strong encryption method. You cannot get your files back without paying. We expect you to make payment in 3 days or your files will be permanently deleted.
BitStak
Your all files are locked. To release your files you need to pay a 40 (euro) fee using Bitcoins as a payment method. If you have any external hard-drives plugged, remember to plug them before restoring or you won't be able to restore them later.
Amount 40,00 EUR/0,07867 BTC or 45.464 USD/0.07867 BTC
Bitcoin Address
***
Or pay with Blockchain mobile app.
***
Verify your payment so you can get your files back
Already paid? Verify now to restore your files.

Перевод на русский язык: 
Все файлы блокированы и шифрованы с сильным методом шифрования. Вы не можете вернуть файлы без оплаты. Мы ждем от вас оплаты 3 дня или ваши файлы будут уничтожены.
BitStak
Все файлы блокированы. Чтобы вернуть файлы вам нужно заплатить 40 (евро) в биткоинах. Если на ваших внешних дисках есть зашифрованные файлы, то подключите их перед восстановлением или позже их уже не вернуть.
Сумма 40,00 EUR / 0,07867 BTC или 45.464 USD / 0,07867 BTC
***
Или пошлите Blockchain с мобильного.
***
Проверьте ваш платеж, так вы вернёте себе файлы
Уже оплачено? Проверьте, чтобы вернуть файлы.

Целевыми для шифрования являются следующие пути:
C:/Program Files/
C:/Program Files (x86)/
C:/Users/ + UserName + /AppData/Roaming/
C:/Users/ + UserName + /Documents/
C:/Users/ + UserName + /Downloads/
C:/Users/ + UserName + /Videos/
C:/Users/ + UserName + /Music/
C:/Users/ + UserName + /Pictures/
C:/Users/ + UserName + /Desktop/
Диски D:/ E:/ F:/ G:/ I:/ J:/ K:/

Целевыми для шифрования являются следующие расширения:
.txt, .doc, .exe, .dat, .bat, .vb, .zip, .7z, .rar, .jar, .mp3, .wav, .save, .mp4, .cfg, .flv, .php, .com, .db, .bin, .reg

Степень распространенности: низкая.
Подробные сведения собираются. 

 Внимание!!! 

Для зашифрованных файлов есть декриптер.

Скачать BitStak Decrypter

Alfa

Alfa Ransomware

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 1-1,5 биткоина, чтобы вернуть файлы. К зашифрованным файлам добавляется расширение .bin. Имя файла тоже меняется на случайное, состоящее из букв, цифр и знаков: [10_random_chars].bin

Генеалогия: Cerber > Alfa

Remove Alfa Decrypt Delete Alpha Decode Restore files Recovery data Удалить Alfa Alpha MSEstl Дешифровать Расшифровать Восстановить файлы Removal Uninstall Eliminar Borrar Entfernen Deinstallieren Löschen 

  Это вымогатель в настоящее время использует два различных имени в записке о выкупе и на платежном сайте TOR. Например, в записке с требованием выкупа, вымогатель упоминается как Alpha Ransomware, а на сайте TOR упомянут Alfa Decryptor с собственным логотипом. На основе разработанного Alfa-логотипа в итоге, я думаю, останется название Alfa Ransomware. Кроме того, название Alpha Ransomware ранее уже было занято другим криптовымогателем. 

Записки о выкупе называются:
README HOW TO DECRYPT YOUR FILES.HTML
README HOW TO DECRYPT YOUR FILES.TXT

HTML-записка о выкупе

TXT-записка о выкупе

Весь текст записок полностью: 
###########################################
Cannot you find the files you need?
Is the content of the files that you looked for not readable?
It is normal because the files' names, as well as the data in your files have been encrypted.
###########################################
!!! If you are reading this message it means the software
!!! "Alpha Ransomware" has been removed from your computer.
###########################################
What is encryption?
-------------------
Encryption is a reversible modification of information for security
reasons but providing full access to it for authorized users.
To become an authorized user and keep the modification absolutely
reversible (in other words to have a possibility to decrypt your files)
you should have an individual private key.
But not only it.
It is required also to have the special decryption software
(in your case "Alpha Decryptor" software) for safe and complete
decryption of all your files and data.
############################################
Everything is clear for me but what should I do?
------------------------------------------------
The first step is reading these instructions to the end.
Your files have been encrypted with the "Alpha Ransomware" software; the
instructions ("README HOW TO DECRYPT YOUR FILES.TXT" and "README HOW TO DECRYPT YOUR FILES.HTML")
in the folders with your encrypted files are not viruses, they will 
help you.
After reading this text the most part of people start searching in the
Internet the words the "Alpha Ransomware" where they find a lot of
ideas, recommendations and instructions.
It is necessary to realize that we are the ones who closed the lock on
your files and we are the only ones who have this secret key to
open them.
!!! Any attempts to get back your files with the third-party tools can
!!! be fatal for your encrypted files.
The most part of the third-party software change data within the
encrypted file to restore it but this causes damage to the files.
Finally it will be impossible to decrypt your files.
When you make a puzzle but some items are lost, broken or not put in its
place - the puzzle items will never match, the same way the third-party
software will ruin your files completely and irreversibly.
You should realize that any intervention of the third-party software to
restore files encrypted with the "Alpha Ransomware" software may be
fatal for your files.
####################################
!!! There are several plain steps to restore your files but if you do
!!! not follow them we will not be able to help you, and we will not try
!!! since you have read this warning already.
####################################
For your information the software to decrypt your files (as well as the
private key provided together) are paid products.
After purchase of the software package you will be able to:
1. decrypt all your files;
2. work with your documents;
3. view your photos and other media;
4. continue your usual and comfortable work at the computer.
If you understand all importance of the situation then we propose to you
to go directly to your personal page where you will receive the complete
instructions and guarantees to restore your files.
######################################
If you need our help:
1. run your Internet browser (if you do not know what it is run the Internet Explorer);
2. enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3. wait for the site loading;
4. on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5. run Tor Browser;
6. connect with the button "Connect" (if you use the English version);
7. a normal Internet browser window will be opened after the initialization;
8. type or copy the address in this browser address bar;
9. press ENTER;
10. the site should be loaded; if for some reason the site is not loading wait for a moment and try again.
11. enter your personal key:
12. press ENTER;
If you have any problems during installation or operation of Tor Browser,
please, visit https://www.youtube.com/ and type request in the search bar
"install tor browser windows" and you will find a lot of training videos
about Tor Browser installation and operation.
If TOR address is not available for a long period (2-3 days) it means you
are late; usually you have about 2-3 weeks after reading the instructions
to restore your files.
#######################################
Additional information:
You will find the instructions for restoring your files in those folders
where you have your encrypted files only.
The instructions are made in two file formats - HTML and TXT for
your convenience.
Unfortunately antivirus companies cannot protect or restore your files
but they can make the situation worse removing the instructions how to
restore your encrypted files.
The instructions are not viruses; they have informative nature only, so
any claims on the absence of any instruction files you can send to your
antivirus company.
########################################
Alpha Ransomware Project is not malicious and is not intended to harm a
person and his/her information data.
The project is created for the sole purpose of instruction regarding
information security, as well as certification of antivirus software for
their suitability for data protection.
Together we make the Internet a better and safer place.
#########################################
If you look through this text in the Internet and realize that something
is wrong with your files but you do not have any instructions to restore
your files, please, contact your antivirus support.
#########################################
Remember that the worst situation already happened and now it depends on
your determination and speed of your actions the further life of
your files.
*******************************

Страница платежного сайта с суммой в 1 BTC

Страница платежного сайта с суммой в 1,5 BTC

На платежном сайте один файл предлагается дешифровать бесплатно. 

Весь текст с платежного сайта:
Your documents, photos, databases and other important files have been encrypted!
To decrypt your files you need to buy the special software - "Alfa Decryptor".
All transactions should be performed via network only.
Within 3 days you can purchase this product at special price: 1.5
Each 3 days the price of the product will increase by 20%!
Your current price is 1.5
How to get "Alfa Decryptor"?
Create a Bitcoin Wallet (we recommend Blockchain.info)
Buy necessary amount of Bitcoins
Do not forget about the transaction commission in the Bitcoin network( = 0.0005)
Here are our recommendations:
LocalBitcoins.com -the fastest and easiest way to buy and sell Bitcoins;
CoinCafe.com - the simplest and fastest way to buy, sell and use Bitcoins;
BTCDirect.eu- the best for Europe;
CEX.IO-Visa/MasterCard;
CoinMama.com -Visa/MasterCard;
HowToBuyBitcoins.info discover quickly how to buy and sell bitcoins in your local currency.
Send 1.5 to the following Bitcoin address: 1Agd8LT1YLFZhxtcAFKzj7qz5EBWFcC4EE
Control the amount transaction at the "Current Balance" panel below
Reload current page after the payment and get a link to download the software
Reload current page
At the moment we have received from you: 0 BTC
We give you the opportunity to decipher 1 file free of charge!
You can make sure that the service really works and after payment
for the "Alfa Decryptor" program you can actually decrypt the files!

Список файловых расширений, подвергающихся шифрованию:
.c, .h, .m, .ai, .cs, .db, .nd, .pl, .ps, .py, .rm, .3dm, .3ds, .3fr, .3g2, .3gp, .ach, .arw, .asf, .asx, .avi, .bak, .bay, .cdr, .cer, .cpp, .cr2, .crt, .crw, .dbf, .dcr, .dds, .der, .des, .dng, .doc, .dtd, .dwg, .dxf, .dxg, .eml, .eps, .erf, .fla, .flvv, .hpp, .iif, .jpe, .jpg, .kdc, .key, .lua, .m4v, .max, .mdb, .mdf, .mef, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .nef, .nk2, .nrw, .oab, .obj, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .pas, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pps, .ppt, .prf, .psd, .pst, .ptx, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sql, .sr2, .srf, .srt, .srw, .svg, .swf, .tex, .tga, .thm, .tlg, .txt, .vob, .wav, .wb2, .wmv, .wpd, .wps, .no, .xlk, .xlr, .xls, .yuv, .back, .docm, .docx, .flac, .indd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .xlsx (142 расширения). 

Распространяется вымогатель посредством email-спама с заражёнными файлами doc и wsf. Запустившись в системе прописывается в Автозагрузку под названием MSEstl, а исполняемый файл находится по пути %UserProfile%\AppData\Roaming\Microsoft\Essential\msestl32.exe.

Файлы, связанные с Alfa Ransomware:
%UserProfile%\AppData\Roaming\Microsoft\Essential\msestl32.exe
README HOW TO DECRYPT YOUR FILES.HTML
README HOW TO DECRYPT YOUR FILES.TXT

Записи реестра, связанные с Alfa Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MSEstl      %UserProfile%\AppData\Roaming\Microsoft\Essential\msestl32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\[random]

Степень распространенности: низкая.
Подробные сведения собираются. 

Neitrino

Neitrino Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные с помощью AES-шифрования, а затем требует написать на email вымогателей, чтобы узнать стоимость декриптора. 

 © Генеалогия: Rakhni > Rakhni Family >  Kriptovor > Neitrino 


По всем признакам является вариацией Kriptovor. 

К зашифрованным файлам добавляется расширение .neitrino или .NEITRINO 

Впервые был обнаружен осенью 2015 года и активен до сих пор. 

 Данные шифруются на всех локальных и подключенных сетевых дисках. После шифрования удаляются теневые копии файлов. 

  Записка о выкупе называется MESSAGE.txt и оставляется в каждой папке с зашифрованными файлами, на Рабочем столе и в папках Автозагрузки. 

Характерный признак - слово "Унать" в начале записки, как и у Kryptovor. 

Целями вымогателя, как и у Kriptovor, в основном являются российские и русскоязычные пользователи. 

Распространяется через email-вложения, софт-порталы с взломанными и "бесплатными" программами, всяческие "инструкции", откровенный мусор. и пр. пр.

Степень распространённости: высокая. 
Подробные сведения собираются. 


Обновление от августа-сентября 2017:

Email: mr.anders@protonmail.com
Характерный признак "Унать" исправили на "Запросить". 😊
Записка: MESSAGE.txt
Разработка: Neitrino Team
Файлы: AdobeUpdate.exe и svchost.bat
Сумма выкупа: 5000 рублей или больше. 
Результаты анализов: VT

Обновление от 6 апреля 2018: 
Пост в Твиитере >>
Расширение: .excuses
Email: excuses@protonmail.com
Записка: MESSAGE.txt
Filemarker: 0x20000000
Содержание записки: 
Приобрести декриптор можно до 06.04.2018
Запросить стоимость: excuses@protonmail.com
В ТЕМЕ письма укажите ваш ID: [redacted numbers]
Письма без указания ID игнорируются.
Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.
Заявки обрабатываются автоматической системой.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Kriptovor)
 Write-up, Topic of Support
 * 

 Thanks: 
 victim in the topics of support
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Remove Neitrino Decrypt Neitrino Decode Restore files Recovery data Удалить Neitrino Дешифровать Расшифровать Восстановить файлы

Locky-Zepto

Zepto Ransomware

Locky-Zepto Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128+RSA-2048, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. 

This Locky's logo was developed on this site ID-Ransomware.RU

 © Генеалогия: Locky > Locky-Zepto

  Zepto называется приемником крипто-вымогателя Locky, но отличается от него по ряду признаков. По факту это новая итерация Locky.

К зашифрованным файлам добавляется расширение .zepto

  Zepto в отличие от первоначального Locky использует совсем другой шаблон для названия записки о выкупе: 
_ ([0-9] {1,4}) _ HELP_instructions, где диапазон [0-9] означает цифры от 0 до 9, а {1,4} - количество цифр от одной до четырех. 
Примеры: _37_HELP_INSTRUCTIONS.txt и _6789_HELP_INSTRUCTIONS.txt.

С использованием расширения .zepto зашифрованные и переименованные файлы будут иметь "шестиэтажное" название и называться примерно так: 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto

Разложим на составляющие названия файл 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto

024BCD33 — первые восемь 16-ричных символов от ID 024BCD3341D1ACD3
41D1 — другие четыре 16-ричных символов от ID 024BCD3341D1ACD3
ACD3 — другие четыре 16-ричных символов от ID 024BCD3341D1ACD3
3EEA — четыре 16-ричных символов, входящих в переименованное название файла
84083E322DFA — двенадцать 16-ричных символов, входящих в переименованное название. 

Шаблон можно записать так:
[first_8_hex_chars_of_id]-[next_4_hex_chars_of_id]-[next_4_hex_chars_of_id]-[4_hex_chars]-[12_hex_chars].zepto

  Zepto Ransomware на первый взгляд действительно имеет много общего с известным шифровальщиком Locky, потому некоторые исследователи сначала посчитали его новой версией Locky, не изучив подробно саму вредоносную компанию. Образцы Zepto впервые были получены в прошлом месяце, но резкий рост числа спам-писем с вложением, содержащим Zepto, пришелся на 27-29 июня. Это спам-кампания продолжает развитие. 

  Распространяется Locky-Zepto посредством фишинговых писем с вредоносным вложением, упакованным в zip-архив. Эти письма содержат JS-вложение с различными названиями типа swift[XXXX].js, где вместо X-ов  - комбинация из 3-4 букв и цифр. В качестве отправителя писем указан "генеральный директор", "вице-президент по продажам" и прочие высокие должностные лица. Название вложенного zip-файла создается путем объединения типа документа с именем получателя и случайным числом. Например, pdf_copy-peter_461365.zip. Кроме того, во вложении может быть и незаархивированный DOCM-документ, т.е. WORD-документ с поддержкой макросов. Эти документы не всегда содержат какой-то текст и могут оказаться совершенно пустыми, а включенный макрос сработает на загрузку вредоноса. 

С конца июля 2016 г. Locky-Zepto стал распространяться с помощью WSF-файлов, помещенных в архив, прикрепленный к email-сообщениям. WSF-файл может содержать как Jscript, так и VBScript код. Письма имитируют банковскую отчетность, счета-фактуры или сообщения о доставке.

Пример запуска Locky-Zepto Ransomware в песочнице. См. видеоролик. 

Текстовая запиcка о выкупе называется _HELP_instructions.html Графическая _HELP_instructions.bmp встает обоями рабочего стола с тем же текстом. 

Содержание записки: 
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. http://mphtadhci5mrdlju.tor2web.org/5E950263BC5AAB7E
2. http://mphtadhci5mrdlju.onion.to/5E950263BC5AAB7E
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: mphtadhci5mrdlju.onion/5E950263BC5AAB7E
4. Follow the instructions on the site.
!!! Your personal identification ID: 5E950263BC5AAB7E !!!

Перевод на русский:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с RSA-2048 и AES-128 шифрами.
Подробную информацию о RSA и AES можно найти здесь:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Дешифровать файлы можно только с закрытым ключом и декриптером, которые на нашем секретном сервере.
Для получения закрытого ключа идите по одной из ссылок:
1. http://mphhtadhci5mrdlju.tor2web.org/5E950263BC5AAB7E
2. http://mphtadhci5mrdlju.onion.to/5E950263BC5AAB7E
Если эти адреса недоступны, выполните следующие шаги:
1. Скачайте и установите Tor Browser: https://www.torproject.org/download/download-easy.html
2. После успешной установки, запустите браузер и дождитесь инициализации.
3. Введите в адресной строке: mphtadhci5mrdlju.onion/5E950263BC5AAB7E
4. Следуйте инструкциям на сайте.
!!! Ваш персональный ID: 5E950263BC5AAB7E !!!

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (142 расширения)

Степень распространенности: высокая и перспективно высокая.
Подробные сведения собираются.