NoobCrypt

NoobCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 250 NZD (299 USD) в биткоинах, чтобы вернуть файлы обратно. 

Этимология названия:
Название получил за корявость и множественные ошибке в кодинге, а также за ответные фразы, в который жертва оскорбляется за ввод некорректного ключа дешифровки. Самоназвание: CryptoLocker. Видимо разработчику из румынии не дают покоя лавры реального CryptoLocker-а. 

Ориентирован, вероятно, на пользователей из Новой Зеландии, т.к выкуп указан в новозеландских и американских долларах. Но 250 новозеландских долларов эквиваленты только 175 американскими, потому налицо путаница с суммами выкупа. Примечательна также надпись, указывающая на румынское происхождение вредоноса. Также румынское происхождение имеет El-Polocker Ransomware. 

Записка о выкупе — экран блокировки с кнопками проверки платежа и дополнительной информации. Выполнено так коряво, что цифры требуемой суммы закрывают часть текста. 

Вымогательское сообщение с экрана блокировки: 
Your personal files are encrypted!
Coded in ROMANIA
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and can decrypt your files until you pay and obtain the private key.
You have 48 hours to pay 250 NZD in Bitcoins to get the decryption key.
Every 2 hours files will be deleted. Increasing in amount exery time frame. 
If you do not send money within provide $299 your files will be permanently crypted and no one will be able to recover them.
Time left until your files will be DELETED! - Don't try to trick us.
I have paid, check.
$299
1JrYNuMaE4VXKrod2gA9keBo6nzPvtaoZ6
In order to pay use a Phone or a Laptop!
Informations    CHECK

Перевод на русский: 
Ваши личные файлы зашифрованы!
Кодировано в РУМЫНИИ
Ваши документы, фото, базы данных и другие важные файлы зашифрованы сильным шифрованием и уникальным ключом только для этого ПК.
Секретный ключ находится на секретном сервере и может дешифровать файлы, пока вы платите за секретный ключ.
У вас есть 48 часов, чтобы заплатить 250 NZD в биткоинах, чтобы получить ключ дешифровки.
Каждые 2 часа файлы будут удаляться. С каждым разом всё больше.  
Если вы не заплатите в нужный срок $299, то ваши файлы останутся шифрованными и никто не сможет их восстановить.
Осталось времени до удаления ваших файлов! - Не пытайтесь обмануть нас.
Я заплатил, проверить.
$ 299
1JrYNuMaE4VXKrod2gA9keBo6nzPvtaoZ6
Для оплаты используйте телефон или ноутбук!
Кнопка "Информация". Кнопка "ПРОВЕРИТЬ"

Файлы можно расшифровать без уплаты выкупа, если ввести в поле Unlock ключ разблокировки ZdZ8EcvP95ki6NWR2j
См. скриншот. 

Если вместо указанного кода ввести какой-нибудь простой, например, 123, то вымогатель покажет предупреждение с насмешкой над жертвой: 
"123 is not the code! You idiot. GO PAY IF U WANT UR PC BACK. NOOB HAH".
"123 это не код. Ты идиот. Плати, чтобы вернуть свой ПК. Нуб, хаха."

Во фразе присутствуют ошибки, видимо текст писал ещё тот "грамотей". 

Примеры ответных фраз на ввод некорректного ключа

Распространяется с помощью email-спама и вредоносных вложений, с помощью фальшивых обновлений и установщиков, в том числе и для Adobe Flash Player. 

Список файловых расширений, подвергающихся шифрованию: 
.3g2, .3gp, .accdb, .aif, .asf, .asx, .avi, .bmp, .cdx, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .flv, .gif, .ico, .iff, .jpeg, .jpg, .m3u, .m3u8, .m4u, .mdb, .mid, .mov, .mp3, .mp4, .mpa, .pdb, .pdf, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ra, .raw,  .rtf, .sldm, .sldx, .sql, .tif, .txt, .vob, .wav, .wma, .wmv, .wpd, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw (71 расширение).

Файлы, связанные с Ransomware: 
CryptoLocker.exe - исполняемый файл вымогателя с фальшивым именем. 

Детект на VirusTotal >>
Анализ на Payload Security >>

Обновление от 12 сентября 2016 г.
Новая версия: новый ключ разблокировки для $50: lsakhBVLIKAHg

Дополнение из статьи Лоуренса Абрамса
Таблица зависимых от суммы выкупа ключей теперь выглядит так:

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Сообщение >>
Статья на сайте BleepingComputer >>

Внимание! 
Файлы можно расшифровать!
Скачайте дешифровщик от Avast по ссылке >>

 Thanks:
 Jakub Kroustek
 Lawrence Abrams
 
 

Tilde, Simple

Tilde Ransomware

Simple_Encoder Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,8 биткоинов, чтобы вернуть файлы обратно.  

К зашифрованным файлам добавляется расширение .~. 

Название происходит  от английского названия этого знака tilde (тильда). Второе название: Simple_Encoder.

  Записки с требованием выкупа называются:  _RECOVER_INSTRUCTIONS.ini и img.bmp (встающее обоями). Это первый случай, когда используется файл с расширением .ini. 

Местонахождение текстового файла: 
C:\\_RECOVER_INSTRUCTIONS.ini
C:\Documents and Settings\Default User\Desktop\_RECOVER_INSTRUCTIONS.ini 
C:\Documents and Settings\Default User\Templates\_RECOVER_INSTRUCTIONS.ini 

Местонахождение графического файла: 
%TEMP%\Simple_Encoder\img.bmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Simple_Encoder\img.bmp

Графический вариант записки о выкупе

Содержание записки о выкупе _RECOVER_INSTRUCTIONS.ini: 

All your system is encrypted.

All your files (documents, photos, videos) were encrypted.

It's impossible to get access to your files without necessary decrypt key.

All your attempts to solve problem yourself will be unsuccessful!

We suggest you to read some articles about this type of encryption:

https://en.wikipedia.org/wiki/RSA_(cryptosystem)

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Now you have two options to solve the problem:

1. Format your hard disk. This way you'll lose all your files.

2. Pay 0.8 Bitcoin and get key of decryption. At the end of this ad you'll see your personal ID and our contact information.

Now you should send us email with your personal ID. This email 

will be as confirmation you are ready to pay for decryption key.

After payment we'll send you key of decryption with instructions how to decrypt the system.

Please, don't send us emails with threats. We don't read it and don't reply!

We guarantee we'll send you the decryption key after your payment so you'll get access to all your files.

Our e-mail address: one1uno243@yandex.com

YOUR PERSONAL IDENTIFIER: ***

Перевод записки на русский язык: 

Вся система зашифрована.

Все ваши файлы (документы, фото, видео) были зашифрованы.

Невозможно получить доступ к файлам без ключа дешифровки.

Все ваши попытки решить проблему самому будут неудачными!

Мы предлагаем вам прочитать статьи по этому типу шифрования:

https://en.wikipedia.org/wiki/RSA_(cryptosystem)

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Теперь у вас есть 2 варианта решения проблемы:

1. Форматировать жесткий диск. Так вы потеряете все файлы.

2. Заплатить 0,8 BTC и получить ключ дешифрования. В конце этого объявления вы увидите свой ID и контактную информацию.

Теперь вы должны отправить нам письмо с вашим личным кодом. Это письмо будет вашим согласием платить за ключ дешифрования.

После оплаты мы вышлем Вам ключ дешифрования с инструкциями как расшифровать систему.

Пожалуйста, не шлите нам письма с угрозами. Мы их не читаем и не отвечаем!

Мы гарантируем, что отправим вам ключ дешифрования после оплаты и вы получите доступ ко всем своим файлам.

Наш email-адрес: one1uno243@yandex.com

ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР: ***

Распространяется с помощью email-спама и вредоносных вложений, в том числе с документами MS Office типа bank_20160724_164650.doc и пр.

Список файловых расширений, подвергающихся шифрованию: 

.arc, .aes, .asc, .asf, .avi, .asm, .asp, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip, .djvu, .djv, .doc, .docb, .docx, .docm, .dot, .dotx, .dotm, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .java, .jar, .jpg, .jpeg, .key, .lay, .lay6, .ldf, .max, .mdb, .mid, .mkv, .mml, .mov, .mp3, .mpeg, .mpg, .ms11 (security copy), .myd, .myi, .mdf, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .pps, .ppam, .ppsm, .ppt, .pptm, .pptx, .ppsx, .psd, .qcow2, .rar, .raw, .rtf, .sch, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .svg, .swf, .sxc, .sxd, .sxi, .sxm,  .sldx, .sldm, .stw, .sxw, .tar, .tbk, .tgz, .tiff, .tif, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma,  .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (138 расширений)

Файлы, связанные с Tilde Ransomware: 

crypt.exe
_RECOVER_INSTRUCTIONS.ini
img.bmp

Сетевые подключения и связи:
one1uno243@yandex.com

Записи реестра, связанные с Tilde Ransomware: 

См. гибридный анализ ниже (Reverse)

Результаты анализов:
Анализ на VirusTotal >>
Анализ на Hybrid >>


Обновление от 25 октября:
Новый email: ki08ng7772@yandex.com
Результаты анализов: VT

Степень распространённости: низкая. 

Подробные сведения собираются.

Moth

Moth Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп BTC, чтобы вернуть файлы обратно. 

Зашифрованные файлы получают расширение: .m0th. 

© Генеалогия: Bitmessage (Ungluk) > Moth 

Записка с требованием выкупа READMEPLEASE.TXT

Содержание записки о выкупе:
Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance. If you want to get your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you. If you are ready to pay, then get in touch with us using a secure and anonymous p2p messenger. We have to use a messenger, because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.

Go to http://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your personal address, you need to do this just once). Then click Send tab. 

TO: BM-NBH1WTEWHgxsbHH3w1LjtCix12ZMVzGE
SUBJECT: name of your PC or your IP address or both. 
MESSAGE:  Hi, I am ready to pay.

Click Send button.
You are done.

To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод на русский:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. Если хотите вернуть файлы, то должны заплатить за них. Если вы разорены и бедны, извините, мы не поможем. Если вы готовы платить, то свяжитесь с нами через безопасный и анонимный p2p-мессенджер. Мы его используем, т.к. обычные email блокируются, а если мы не получим ответ, то ваши файлы будут утеряны.

Перейти к http://bitmessage.org, скачать и запустить Bitmessage. Нажать на Identities > New > кнопку ОК (будет cгенерирован ваш личный адрес, это делается только один раз). Затем клик на Send.

TO: BM-NBH1WTEWHgxsbHH3w1LjtCix12ZMVzGE
SUBJECT: имя вашего ПК или IP-адрес, или оба.
MESSAGE: Привет, я готов платить.

Нажмите кнопку Send.
Вы это сделали.

Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.

Технические детали

Распространяется с помощью email-спама и вредоносных вложений (скрипты, макросы и пр.), ссылок на зараженные эксплойтами сайты. 

Цели шифрования: базы данных, документы, PDF, музыка, видео, общие сетевые папки и пр. По завершении шифрования крипто-вымогатель удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию: 

png .psd .pspimage .tga .thm .tif .tiff .yuv .ai .eps .ps .svg .indd .pct .pdf .xlr .xls .xlsx .accdb .db .dbf .mdb .pdb .sql .apk .app .bat .cgi .com .exe .gadget .jar .pif .wsf .dem .gam .nes .rom .sav cad files .dwg .dxf gis files .gpx .kml .kmz .asp .aspx .cer .cfm .csr .css .htm .html .js .jsp .php .rss .xhtml. doc .docx .log .msg .odt .pages .rtf .tex .txt .wpd .wps .csv .dat .ged .key .keychain .pps .ppt .pptx ..ini .prf encoded files .hqx .mim .uue .7z .cbr .deb .gz .pkg .rar .rpm .sitx .tar.gz .zip .zipx .bin .cue .dmg .iso .mdf .toast .vcd sdf .tar .tax2014 .tax2015 .vcf .xml audio files .aif .iff .m3u .m4a .mid .mp3 .mpa .wav .wma video files .3g2 .3gp .asf .avi .flv .m4v .mov .mp4 .mpg .rm .srt .swf .vob .wmv 3d .3dm .3ds .max .obj r.bmp .dds .gif .jpg ..crx .plugin .fnt .fon .otf .ttf .cab .cpl .cur .deskthemepack .dll .dmp .drv .icns .ico .lnk .sys .cfg (155 расширений). 

Файлы, связанные с Ransomware: 
READMEPLEASE.TXT
<random>.exe

Записи реестра, связанные с Ransomware: 
***

Степень распространенности: низкая.
Подробные сведения собираются. 

CryptoLocker 5.1

CryptoLocker 5.1 Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 250 евро, чтобы вернуть файлы обратно. 

© Генеалогия: Hidden Tear >> CryptoLocker 5.1

К зашифрованным файлам добавляется расширение .locked. 

 Название дано разработчиками, видимо с целью запугать своих жертв известным вымогателем CryptoLocker. Некоторое время ошибочно назывался CryptoWall 5.1. На самом деле этот крипто-вымогатель основан на крипто-конструкторе HiddenTear. 

Ориентирован на итальяноязычных пользователей. 

 Содержание текста с экрана блокировки: 

Il tuo computer è stato infettato da Cryptolocker
Cryptolocker è un malware appartenente alla famiglia dei ransomware.
Questo virus è in grado di criptare con algoritmi asimmetrici i file della vittima.
Wikipedia: https://it.wikipedia.org/wiki/CryptoLocker

Come faccio a ripristinare i miei documenti?
I tuoi documenti, foto, dati e altri file importanti (compresi usb, hard disk, percorsi di rete etc. ) sono stati criptati con un algoritmo asimmetrico a due chiavi, pubblica e privata.
Tutti i file sopra citati che hanno l'estensione .locked sono stati bloccati, per sbloccarli hai bisogno della chiave privata.

Come ottengo la chiave privata?
Mentre la chiave pubblica и stata salvata in una directory di sistema del tuo computer, quella privata и stata inviata sul nostro server, per ottenerla devi pagare la cifra di 250 €.
Appena l'importo sarà accreditato tramite uno dei metodi di pagamento riceverai tramite mail la chiave privata e potrai cosм riavere accesso ai tuoi dati.
In caso contrario al termine delle 48h previste per il pagamento del riscatto la chiave privata verrà eliminata e non sarà più possibile recuperare i file.

ATTENZIONE: La rimozione di Cryptolocker non ripristina l'accesso ai file cittografati.
Contaсt: cryptolocker51@sigaint.org

 Перевод текста на русский язык: 

Ваш компьютер заражен Cryptolocker
Cryptolocker это вредоносная программа из семейства вымогателей
Этот вирус способен шифровать файлы жертвы асимметричным алгоритмом.
Wikipedia: https://it.wikipedia.org/wiki/CryptoLocker

Как восстановить мои файлы?
Ваши документы, фото, данные и другие важные файлы (включая USB, жесткие диски, сетевые и пр.) были зашифрованы с асимметричным алгоритмом с двумя ключами, открытым и закрытым.
Все файлы, упомянутые выше, имеющие расширение .locked были заблокированы, нужен закрытый ключ для разблокировки.

Как я могу получить закрытый ключ?
В то время как открытые ключи были сохранены в директории вашей системы, закрытый переправлен на наш сервер, чтобы получить его вы должны заплатить 250 €.
Когда сумма будет перечислена одним из способов оплаты, вы получите по почте закрытый ключ и сможете получить доступ к вашим данным.

В противном случае через 48 часов, отведенных для уплаты выкупа закрытый ключ будет удалён, и вы не сможете вернуть ваши файлы.

ВНИМАНИЕ: Удаление Cryptolocker не восстанавливает доступ к зашифрованным файлам. 
Контакт: cryptolocker51@sigaint.org

Технические детали

Распространяется с помощью email-спама и вредоносных вложений. 

 Список файловых расширений, подвергающихся шифрованию: 
***
 Файлы, связанные с CryptoLocker 5.1 Ransomware: 
***
 Записи реестра, связанные с CryptoLocker 5.1 Ransomware: 
***

Обновление от 5 сентября 2016:
Новая сумма выкупа: 130 €
Обновленный экран блокировки:

 Степень распространённости: низкая. 
 Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

PayForNature

PayForNature Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует файлы с помощью RSA-1024. Цели шифрования: документы, PDF, фотографии, музыка, видео, базы данных и пр. 

К зашифрованным файлам добавляется расширение, созданное по шаблону .id-[string of characters].{payfornature@india.com}.crypt. 
 Например, файл Audi_A4.jpeg будет преобразован в Audi_A4.jpeg.id-X671S91.{payfornature@india.com}.crypt. 

  PayForNature очень похож на Crypt38, но не оставляет записку с требованием выкупа, кроме email-контакта на конце каждого зашифрованного файла. Такой подход подразумевает, что жертвы вымогателей уже должны быть знакомы с процедурой выплаты выкупа вымогателям. 

  Распространяется с помощью email-спама с вредоносными вложениями в виде RAR, ZIP и незаархивированных DOCX-файлов, которые имеют вредоносный макрос. А также с попутными загрузками на зараженных сайтах, среди которые игровые и лотерейные. 

Степень распространенности: низкая.
Подробные сведения собираются.

Remove PayForNature Decrypt Payfornature Decode Restore files Recovery data Удалить Bandarchor Как Дешифровать Расшифровать Восстановить файлы

PowerLocky

PowerLocky Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует файлы с помощью AES-128, а затем требует выкуп в $500, эквивалентных 0.74290893 BTC, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .locky. 

© Генеалогия: PoshCoder > Powerware > PowerLocky

  PowerLocky подражает крипто-вымогателю Locky, потому получил свое название от сложения названий вымогателей Powerware и Locky. PowerWare является продолжением PoshCoder, шифровальщика известного с 2014 года, и распространяется аналогично PoshCoder, т.е. через документы Microsoft Word со встроенным макросом. Вредоносную активность PowerWare прикрывает, используя Windows-утилиту PowerShell, отсюда и название PowerWare.

Remove PowerLocky Decrypt Powerware Decode Restore files Recovery data Удалить PowerLocky Как Дешифровать Расшифровать Восстановить файлы

Записка о выкупе называется _HELP_instructions.html

На TOR-сайте, который используют вымогатели, упомянут Locky Decrypter. 

Текст с экрана:
We present a special software Locky Decrypter
which allows to decrypt and return control to all your encrypted files.
How to buy Locky decrypter?

1. Download and install Multibit application. This will give you your own Bitcoin-wallet address. You can find it under the "Request" tab. Paste this in the "Your BTC-address" field below.
2. Buy Bitcoins, the price is 500 $ / 0.74290893 BTC and send it to your own Bitcoin-wallet address, they will show up in the Multibit app that you installed eartier. From there, hit the "Send" tab. Send the remaining BTC (bitcoin) to this Bitcoin-wallet address: lEBfQtzia9JbKzAAwBcnXB6n447jECumg2

Now submit the form below, only if you've actually sent the Bitcoins. Upon manual verification of the transaction you will receive the decrypter through email within 12 hours. ALL of your files/data will then be unlocked and decrypted automatically, HTML ransom files will also be removed.
Do NOT remove HTML ransom files or try to temper files in any way, because decrypter will not work anymore.
Please remember this is the only way to ever regain access to your files again!

Перевод на русский:
Мы представляем специальный софт Locky Decrypter
которая может дешифровать и вернуть все ваши зашифрованные файлы.
Как купить Locky Decrypter?

1. Загрузите и установите приложение Multibit. Оно создаст вам адрес на Bitcoin-кошелек. Вы его найдете во вкладке "Request". Вставьте его в поле ниже "Your BTC-address".
2. Купите биткоины на сумму $500 / 0,74290893 BTC и отправьте на адрес вашего Bitcoin-кошелека, они будут отображаться в приложении Multibit, что вы ранее установили. Оттуда нажмите на вкладку "Send". Отправьте остаток BTC (Bitcoin) на адрес Bitcoin-кошелька: lEBfQtzia9JbKzAAwBcnXB6n447jECumg2

Потом заполните форму ниже, только если вы на самом деле послали биткоины. При ручной проверке сделки вы получите Decrypter по email в течение 12 часов. ВСЕ ваши файлы/данные будут автоматом разблокированы и расшифрованы, HTML-файлы о выкупе будут удалены.
Не удаляйте эти HTML-файлы и подобные файлы ни в коем случае, потому что Decrypter не будет работать.
Пожалуйста помните, это единственный способ получения доступа к вашим файлам!

Для распространения использует email-спам с вредоносным вложением, эксплуатируя возможности Microsoft Word и PowerShell, языка сценариев Microsoft Windows. 

При установке, PowerShell, расположенный по адресу %USERPROFILE%\AppData\Local\Temp\Quest Software\PowerGUI\51daca6d-6a9a-44c8-9717-f8cc5c68d10e\fixed.ps1, извлекает исполняемый файл вымогателя и запускает его в качестве сценария. После запуска вымогатель начинает шифровать данные на всех дисках и добавлять расширение .locky к именам зашифрованных файлов. Он также создаст записку с требованием выкупа в каждой папке, в которой есть зашифрованные файлы.

Список файловых расширений, подвергающихся шифрованию:
 .1cd, .3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .asr, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm,.docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .idx, .img, .indd, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mip, .mlx, .mm6, .mm7, .mm8, .mod, .moz, .mp3, .mp4, .msg, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (447 расширений). 

Детект на VirusTotal >>>


Эксперты Palo Alto создали Python-скрипт, способный извлекать статический ключ из кода PowerWare и выполнять расшифровку. Майкл Джиллеспи из BleepingComputer придал этому инструменту привычный для пользователей вид, снабдив его интерфейсом. Эта версия PowerWare получила название PowerLocky, из-за его подражание работе реального Locky. Прикрываясь названием более сложного крипто-вымогателя, злоумышленники хотят запугать жертву и принудить её заплатить выкуп как можно быстрее. 

Степень распространенности: низкая
Подробные сведения собираются. 

Внимание!!! 

Для зашифрованных файлов есть декриптер.

Скачать декриптер для PowerLocky 

Тема поддержки

CrypMIC

CrypMIC Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем требует выкуп в 1,2 биткоина. По истечении времени сумма выкупа увеличится до 2,4 биткоина. 

© Генеалогия: CryptXXX (имитация) > CrypMIC

Специалисты сравнили два крипто-вымогателя по ряду признаков и считают, что у них есть относительное родство или некоторое заимствование. 

Никаких расширений к зашифрованным файлам не добавляется, потому жертве разобраться в том, какие файлы были зашифрованы, довольно сложно. 

Записки о выкупе сделаны в трех вариантах: README.TXT, README.html, README.BMP.

Записка о выкупе CrypMIC

Записка о выкупе CryptoXXX (для сравнения)

Перевод текста CrypMIC на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com
Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием с RSA4096
Подробную информацию о ключах шифрования с RSA4096 ищите здесь: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Как это случилось?
!!! Специально для вашего ПК создан персональный ключ RSA4096, открытый и секретный.
!!! Все ваши файлы зашифрованы с помощью открытого ключа, который был передан на ПК через Интернет.
!!! Дешифровать файлы можно только с помощью секретного ключа и декриптора с нашего секретного сервера.
Что мне делать?
Есть два способа, которые можете выбрать: ждать _чуда_ и _заплатить_двойную цену! Или получить БИТКОИНЫ СЕЙЧАС! и вернуть _ВАШИ_ФАЙЛЫ ...
Если у Вас есть ценные _ДАННЫЕ_, вам лучше _НЕ_ТЕРЯТЬ_ВРЕМЯ_, потому что _НЕТ_ другого способа получить свои файлы, за исключением того, сделать ... оплату...
Ваш персональный ID: ***
Для подробных инструкций откройте ваш персональный сайт, есть несколько адресов, указывающих на вашу страницу ниже: ...
Если по каким-то причинам адреса недоступны, сделайте следующие шаги:
1 - Загрузить и установить Tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2 - Видео-инструкция: ***
3 - После успешной установки запустить браузер
4 - Ввести в адресной строке: ***
5 - Следуйте инструкциям на сайте

Сравнение CrypMIC и CryptoXXX

CrypMIC не прописывается в автозагрузку системы, но способен шифровать 901 тип файлов. Кроме того, CrypMIC использует vssadmin для удаления теневых копий файлов.

CrypMIC использует для распространения те же методы, что и CryptXXX, в частности, набор эксплойтов Neutrino, размещенный на взломанных сайтах и во вредоносной рекламе. Может распространяться и с помощью других наборов эксплойтов, в частности RIG, а также с помощью фальшивых обновлений Adobe Flash Player. 

CrypMIC имеет проверочную подпрограмму VM, может выполнять шифрование даже в виртуальной среде, отправляя данные на C&C-сервер, для связи с которым используется собственный протокол через TCP-порт 443, как и у CryptoXXX. 

CrypMIC способен шифровать файлы на съемных и сетевых дисках, перебирая весь алфавит от D до Z. Причем, CrypMIC шифрует информацию только на тех сетевых дисках, которые отображаются в карте сети. 

CrypMIC не похищает учётные данные и другую информацию с инфицированных компьютеров, как это делает CryptXXX. 

Сервис дешифрования, используемый создателями CrypMIC, тоже имеет определённое сходство с сервисом дешифрования CryptoXXX.

Сервис дешифрования CrypMIC 

Сервис дешифрования CryptXXX (для сравнения)

Впервые CrypMIC исследован и описан в блоге TrenMicro как RANSOM_CRYPMIC. 

Новый детект на VirusTotal >>
Ссылка на MTA >>
Топик поддержки на BC >>

Степень распространенности: перспективно высокая
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 27 сентября 2018:
Посты в Твиттере >>
Скриншоты записок:

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as CrypMIC )
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam, Lawrence Abrams
 Andrew Ivanov, Marcelo Rivero, GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

HolyCrypt

HolyCrypt Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует файлы пользователей с помощью AES и требует уплатить выкуп, чтобы получить секретный ключ дешифрования и вернуть файлы обратно. Срок уплаты выкупа подозрительно короткий, всего 24 часа. Вымогатель известен с мая 2016. HolyCrypt написан на Python и является 64-битным Ransomware. Название получил от встроенного сценария holycrypt-v0.3.py.

Remove HolyCrypt Decrypt HolyCrypt Decode Restore files Recovery data Удалить HolyCrypt Дешифровать Расшифровать Восстановить файлы

К зашифрованным файлам добавляется приставка (encrypted). Пример на картинке. 

Записка о выкупе: 
Attention!!! To restore information email technical support send 3 encrypted files HolyCrypt@aol.com

Синхронный перевод на русский:
Внимание!!! Для возврата информации почта технической поддержки отправить 3 зашифрованных файла HolyCrypt@aol.com

Да, какой-то несвязный текст. 

  Полное вымогательское сообщение написано на скринлоке — изображении alert.jpg, встающем обоями рабочего стола. 

Содержание текста с изображения: 
YOUR COMPUTER HAS BEEN LOCKED!
Your documents, photos, databases and other important files have been locked with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt ypur files until you pay and obtain the private key.
The server will eliminate the key after 24h.
Open http://test_ransonware.onion.link and follow the instruction for the payment

Обратите внимание в тексте есть опечатка - слово ypur, вместо your. 

Перевод на русский язык: 
Ваш компьютер заблокирован!
Ваши документы, фото, базы данных и другие важные файлы заблокированы сильным шифрованием и уникальным ключом, созданным для этого компьютера. Секретный ключ дешифрования хранится на секретном интернет-сервере и никто не расшифрует ypur [ваши] файлы, пока не оплатите и не получите секретный ключ.
Сервер уничтожит ключ через 24 часа.
Откройте http://test_ransonware.onion.link и следуйте инструкциям для оплаты

Шифровальщик шифрует только файлы, находящиеся в директории %USERPROFILE% 

Список файловых расширений, подвергающихся шифрованию:
.3gp, .aac, .aiff, .ape, .asp, .aspx, .avi, .bmp, .csv, .db, .dbf, .doc, .docx, .epub, .flac, .flv, .gif, .html, .iso, .jpeg, .jpg, .json, .m4a, .m4v, .md, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odp, .ods, .odt, .ogg, .pdf, .php, .png, .ppt, .pptx, .psd, .raw, .rtf, .sln, .sql, .svg, .swf, .tex, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .yaml, .yml (58 расширений). В разных версиях возможны отличия. 

Детект на VirusTotal >>>

Файлы можно дешифровать без уплаты выкупа. 

Степень распространенности: пока не определена
Подробные сведения собираются. 

Cute, my-Little

Cute Ransomware

cuteRansomware

my-Little-Ransomware

(шифровальщик-вымогатель)

   В основе крипто-вымогателя Cute Ransomware лежит Open Source разработка "my-Little-Ransomware" китайского программиста Ма Шенхао, выложенная им в феврале 2016 на Github. 

  Согласно описанию, my-Little-Ransomware представляет собой простой инструмент для создания крипто-вымогателей, написанный на C# (CSharp). Ма Шенхао (кстати, имя Shenghao переводится с китайского как "Добрый знак") писал несколько вымогателей в исследовательско-учебных целях для SITCON 2016 (китайской студенческой конференции по информационным технологиям). И только my-Little-Ransomware (другое авторское название CSharpRansomware) получился таким, что не детектировался ни одним из антивирусов. Ма Шенхао приложил скриншот с VirusTotal, где нет детекта ни одного детекта. Разработчик даже не предполагал, что его программа станет оружием в руках киберпрестпником и породит несколько реальных крипто-вымогателей. В его my-Little-Ransomware использовался AES-128 для шифрования данных. 

В my-Little-Ransomware список файловых расширений, подвергающихся шифрованию, был следующим:

.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd,.png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (158 расширений).

В Cute Ransomware же задан урезанный набор целевых расширений:
.bmp, .cpp, .csr, .docx, .enc, .jpg, .pcap, .pdf, .pem, .png, .pptx, .py, .txt, .zip (14 расширений).

  Cute Ransomware использует AES-128 для шифрования файлов, а RSA для шифрования ключей. Он пересохраняет файлы с расширением .encrypted, записанным на китайском языке .已加密, а затем отправляет ключи в Google Docs. Из чего следует, что вымогатель ориентирован только на китайских пользователей. Распространяется с помощью попутных загрузок. 

  Расчет кибер-преступников прост: "Сервис Google Docs использует HTTPS по умолчанию и передача данных осуществляется по протоколу SSL, из-за чего вредонос может легко обойти традиционные решения безопасности, такие как межсетевой экран, систему предотвращения вторжений, или брандмауэр следующего поколения", — объяснили Netskope в своем блоге. "Авторы вредоносных программ перешли к более широкому использованию облака, для доставки вредоносных программ и эксфильтрации данных с помощью C&C-серверов, а отсутствие традиционных средств обнаружения в SSL становится огромным преимуществом для них"... "Организациям, использующим сервис Google Docs в качестве основного, практически невозможно защититься. Чтобы предотвратить атаку этих вымогателей, нужно избирательно блокировать конкретный экземпляр приложения, связанный с этим вымогателем, позволяя работу только с санкционированными экземплярами Google Docs". 

  Первые крипто-вымогатели, основанные на my-Little-Ransomware, были замечены в середине июня. А неделю назад фирма Netskope подловила еще один похожий вредонос, в коде которого была строка cuteRansomware, которая и стала названием для всех вымогателей на его основе.

Добавление от 21 июля 2016
Один из китайских вариантов
Расширение: .cke
Записка о выкупе: 文件加密警告warning.txt (File Encryption Warning)

Китайский текст:
由于您曾经使用了盗版软件，您的大部分文件暂时被AES-128加密：office文件，图片，文本文档，数据库等。需要支付软件版权费用才能恢复所有文件。请联系邮箱imugf@outlook.com支付版权费。
说明：1.不要删除桌面上任何文件！否则永远无法恢复被加密的文件。2.AES-128是高级加密标准，拥有极佳的安全性，除了我们没有任何人能恢复所有文件。

Английский текст:
Warning: Since you have used pirated software, most of your files have been encrypted by AES-128: office files, images, text files, databases, etc.. You must pay software copyright fees to recover all the files. Please contact email imugf@outlook.com to pay copyright fees.
Note: 1. Do not delete any files on the desktop! Otherwise, you can never recover the encrypted files. 
2. AES-128 is advanced encryption standard, with excellent security, in addition to our no one can recover all the files.

Перевод на русский:
Внимание: Раз вы использовали пиратский софт, многие ваши файлы были зашифрованы с AES-128: офисные файлы, изображения, текстовые файлы, базы данных и т.д. Вы должны оплатить сбор за копирайт софта, чтобы вернуть все файлы. Пишите нам на imugf@outlook.com для оплаты сбора.
Важно: 1. Не удаляйте файлы на рабочем столе! Иначе вы не вернете зашифрованные файлы.
2. AES-128 передовой стандарт шифрования, с отличной безопасностью, потому никто не вернет вам все файлы.

Файлы, связанные с Cute Ransomware:
Ransomware.exe
文件加密警告warning.txt

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: средняя и перспективно высокая. 
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles.