Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 5 марта 2017 г.

AvastVirusinfo

AvastVirusinfo Ransomware

(шифровальщик-вымогатель, деструктор)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


Этот крипто-вымогатель шифрует (фактически портит) данные пользователей с помощью логической операции OR байт_из_файла, 1. Затем требует выкуп в 15 долларов, чтобы вернуть файлы. Восстановить файлы после этого невозможно. Название дано по логину почты вымогателей. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: AvastVirusinfo 2015 > AvastVirusinfo 2016 > AvastVirusinfo 2017

К зашифрованным файлам добавляется случайное расширение, по формату: .<random_A-Za-z0-9>, например: .A9v9Ahu4
AvastVirusinfo
Пример зашифрованных файлов

Были и другие расширения, с которыми файлы тоже были безнадёжно испорчены:
.data
.0hIYC892
.utyoq3wU
.OImocM6z
.qbv2vzVF
.x2Hzqz8YKTjyeKs6Oiz7CzQQ

Активность этого крипто-вымогателя началась примерно с января 2015 года, но продолжается и по сей день. Ориентирован на русскоязычных пользователей, но в записке есть текст и на английском языке, с расчетом распространения по всему миру. 

Просматривается специальная заточка под русскоязычные форумы, оказывающие бесплатную помощь пострадавшим от вирусов и шифровальщиков. Цель: дискредитировать работу хелперов и консультантов. 


Уплата выкупа бесполезна! Файлы намеренно повреждены!
Payment of the redemption is useless! Files deliberately damaged.


Записки с требованием выкупа называются: 
HOW TO DECRYPT FILES.txt
КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Название может быть и совершенно другим. См. варианты в конце статьи. 

Содержание записки о выкупе:
Внимание! Все Ваши файлы зашифрованы!
Чтобы узнать как восстановить свои файлы и получить к ним доступ,
пишите на почту avastvirusinfo@yandex.com - Отвечаем не более 2 раз!
Цена не менее 15$
Бесплатно не расшифруем ни один файл!(Задолбали флудеры!).
Остерегайтесь мошенников: "thyrex" и подобных, вам лично не помогут но убедят не платить (Без доказательств!)!

What happened to your files?
All of your files were protected by a strong encryption.
There is no way to decrypt your files without the key.
If your files not important for you just reinstall your system.
If your files is important just email us to discuss the price and how to decrypt your files.
You can email us to avastvirusinfo@yandex.com

Перевод английского текста на русский язык (он отличается):
Что случилось с файлами?
Все ваши файлы защищены сильным шифрованием.
Нет способов дешифровки файлов без ключа.
Если ваши файлы не важны вам, то переставьте систему.
Если ваши файлы важны, пришлите email, обсудим цену расшифровки файлов.
Можно написать на avastvirusinfo@yandex.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.000, .002, .003, .004, .005, .006, .007, .008, .009, .010, .1cd, .1st, .264, .2bp, .3d, .3D, .3d4, .3df8, .3dm, .3dr, .3ds, .3fr, .3g2, .3ga, .3gp, .3gp2, .3mm, .3pr, .4db, .4dl, .4mp, .73i, .7z, .7z001, .7z002, .7zip, .8xi, .9png, .a00, .a01, .a02, .a03, .a04, .a05, .a3d, .aa, .aac, .ab4, .abk, .abm, .abr, .abs, .abw, .ac3, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .ace, .ach, .acr, .act, .adadownload, .adb, .ade, .adi, .adn, .adp, .adpb, .adr, .ads, .adt, .af2, .af3, .aft, .afx, .agdl, .agg, .agif, .agp, .ahd, .ai, .aic, .aiff, .aim, .ain, .aip, .air, .ais, .ait, .al, .albm, .alf, .als, .alx, .alz, .amf, .amr, .amu, .amx, .amxx, .ani, .ans, .aoi, .ap, .apd, .ape, .api, .apj, .apk, .apm, .apng, .app, .application, .appx, .appxbundle, .aps, .apt, .apx, .apz, .ar, .arc, .arh, .ari, .arj, .ark, .aro, .arr, .art, .artwork, .arw, .asa, .asc, .ascii, .ascx, .ase, .asec, .asf, .ashx, .ask, .asm, .asmx, .asp, .aspx, .asr, .asw, .asx, .asy, .atom, .aty, .aup, .avatar, .avi, .avs, .awdb, .awg, .awp, .aws, .awt, .aww, .axx, .azw, .azw3, .azz, .b1, .b64, .ba .back, .backup, .backupdb, .bad, .bak, .bank, .bar, .bas, .bat, .bay, .bbb, .bbc, .bbs, .bc, .bck, .bdb, .bdp, .bdr, .bean, .bgt, .bh, .bhx, .bib, .bic, .big, .bik, .bin, .bkf, .bkp, .blend, .blf, .blkrt, .blp, .bm2, .bmc, .bmf, .bml, .bmp, .bmx, .bmz, .bna, .bnd, .bndl, .boc, .bok, .boo, .bp2, .bp3, .bpl, .bpw, .brk, .brn, .brt, .bsp, .bss, .btd, .bti, .btm, .btr, .bz, .bz2, .bza, .bzabw, .bzip, .bzip2, .c, .c00, .c01, .c02, .c03, .c10, .c4, .c4d, .cab, .cache, .cad, .cag, .cal, .cals, .cam, .can, .cap, .car, .cb7, .cba, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cd5, .cda, .cdb, .cdc, .cdf, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdt, .cdx, .cdz, .ce1, .ce2, .cer, .cf, .cfg, .cfm, .cfp, .cfu, .cgf, .cgi, .cgm, .chart, .chk, .chm, .chord, .cib, .cimg, .cin, .cit, .ckp, .class, .clear, .clf, .clkw, .clr, .cls, .cma, .cmd, .cms, .cmt, .cmx, .cnf, .cnm, .cnt, .cnv, .cod, .coff, .col, .colz, .com, .config, .contact, .cp, .cp9, .cpc, .cpd, .cpg, .cpi, .cpio, .cpl, .cpp, .cpr, .cps, .cpt, .cpx, .cr2, .craw, .crd, .crdownload, .crt, .crw, .crwl, .crypt, .cs, .csh, .csi, .csl, .cso, .css, .csv, .csy, .ct, .ctt, .cty, .cue, .cv5, .cvg, .cvi, .cvs, .cvx, .cwf, .cwt, .cxf, .cyi, .czip, .daa, .dac, .daconnections,.dacpac, .dad, .dadiagrams, .daf, .dal, .dao, .dap, .daschema, .dash, .dat, .db, .db_journal, .db2, .db3, .dbb, .dbc, .dbf, .dbk, .dbr, .dbs, .dbt, .dbv, .dbx, .dc2, .dca, .dcb, .dcp, .dcr, .dcs, .dct, .dcu, .dcx, .dd, .ddc, .ddcx, .ddd, .ddl, .ddoc, .ddrw, .dds, .deb, .ded, .dem, .der, .des, .design, .deskthemepack, .dev, .dex, .df1, .dgc, .dgn, .dgs, .dgt, .dhs, .dib, .dic, .dicom, .dif, .dii, .dir, .disk, .dist, .dit, .divx, .diz, .djv, .djvu, .dlc, .dll, .dm3, .dmg, .dmi, .dmo, .dmp, .dnc, .dne, .dng, .dob, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .download, .dox, .dp1, .dpk, .dpl, .dpp, .dpr, .dpx, .dqy, .drf, .drv, .drw, .drz, .dsk, .dsn, .dsp, .dsv, .dt, .dt2, .dta, .dtd, .dtsx, .dtw, .dump, .dvd, .dvf, .dvi, .dvl, .dvr, .dvx, .dwfx, .dwg, .dx, .dxb, .dxe, .dxf, .dxg, .dxl, .dz, .ebd, .eco, .ecs, .ecw, .ecx, .edb, .edi, .efd, .efw, .egc, .eio, .eip, .eit, .elf, .email, .emd, .emf, .eml, .emlx, .emz, .eng, .eot, .ep, .epf, .epi, .epp, .eps, .epsf, .epub, .eql, .erbsql, .erf, .err, .etf, .etx, .euc, .evo, .evtx, .ex, .exe, .exf, .exif, .exr, .f, .f90, .fadein, .fal, .faq, .fax, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdp, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .ff, .ffd, .fff, .fft, .fh, .fh10, .fh11, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fhd, .fic, .fid, .fif, .fig, .fil, .fla, .flac, .flc, .flf, .fli, .flp, .flr, .flv, .flvv, .fm, .fm5, .fmp, .fmp12, .fmpsl, .fmv, .fodt, .fol, .for, .fountain, .fp3, .fp4, .fp5, .fp7, .fp8, .fpos, .fpp, .fpt, .fpx, .frt, .ft10, .ft11, .ft7, .ft8, .ft9, .ftn, .fwdn, .fxc, .fxg, .fzb, .fzv, .g3, .g64, .gadget, .gam, .gb, .gba, .gbk, .gca, .gcdp, .gdb, .gdoc, .gdraw, .gem, .geo, .gfb, .gfie, .ggr, .gho, .gif, .gih, .gim, .gio, .glox, .gmbck, .gmspr, .gmz, .gp4, .gp5, .gpd, .gpg, .gpn, .gpx, .gray, .grey, .grf, .gro, .grob, .groups, .grs, .grw, .gry, .gsd, .gsheet, .gslides, .gthr, .gtp, .gv, .gwi, .gz, .gz2, .gza, .gzi, .gzig, .gzip, .h, .h264, .h3m, .h4r, .ha, .hbc, .hbc2, .hbe, .hbk, .hdb, .hdd, .hdp, .hdr, .hht, .hi, .his, .hki, .hki1, .hki2, .hpg, .hpgl, .hpi, .hpl, .hpp, .hqx, .hs, .htc, .htm, .html, .hwp, .hz, .i3d, .ib, .iba, .ibank, .ibd, .ibooks, .ibz, .icn, .icns, .ico, .icon, .icpr, .ics, .idc, .idea, .idx, .iff, .ifo, .igt, .igx, .ihtml, .ihx, .iif, .iil, .iiq, .imd, .img, .inc, .incpas, .ind, .indd, .inf, .info, .ini, .ink, .int, .inv, .ipa, .ipd, .ipf, .ipsw, .ipx, .iso, .isu, .isz, .itc2, .itdb, .itl, .itw, .iwd, .iwi, .j, .j2c, .j2k, .jad, .jar, .jarvis, .jas, .jav, .java, .jb2, .jbig, .jbig2, .jbmp, .jbr, .jc, .jfif, .jgz, .jia, .jif, .jiff, .jis, .jng, .jnt, .joe, .jp1, .jp2, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpg2, .jps, .jpw, .jpx, .jrtf, .js, .json, .jsp, .jtf, .jtx, .jwl, .jxr, .kc2, .kdb, .kdbx, .kdc, .kdi, .kdk, .kes, .kext, .key, .keynote, .kic, .klg, .kml, .kmz, .knt, .kon, .kpdx, .kpg, .ksd, .kwd, .kwm, .laccdb, .latex, .lav, .lbi, .lbm, .lbt, .lcd, .lcf, .ldb, .ldf, .ldif, .lgc, .lgp, .lha, .lib, .lis, .lit, .ljp, .lmk, .lng, .lnk, .lnt, .log, .logic, .lp2, .lrc, .lrtemplate, .lst, .ltm, .ltr, .ltx, .lua, .lue, .luf, .lvl, .lwo, .lwp, .lws, .lxfml, .lyt, .lyx, .lzo, .lzx, .m, .m2t, .m2ts, .m2v, .m3d, .m3u, .m3u8, .m4a, .m4b, .m4p .m4v, .ma, .mac, .maf, .mag, .mam, .man, .map, .mapimail, .maq, .mar, .mat, .maw, .max, .mb, .mbm, .mbox, .mbx, .mbz, .mcd, .md, .md3, .md5, .md5txt, .mdb, .mdbackup, .mdbhtml, .mdc, .mde, .mdf, .mdi, .mdl, .mdn, .mds, .mdt, .mdx, .me, .mef, .mell, .mft, .mfw, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .mht, .mhtml, .mic, .mid, .midi, .min, .mip, .mkv, .ml, .mlb, .mlx, .mmat, .mmf, .mmw, .mng, .mnr, .mnt, .mny, .mobi, .mod, .moneywell, .mos, .mov, .moz, .mp3, .mp4, .mpd, .mpe, .mpeg, .mpf, .mpg, .mpo, .mpp, .mpt, .mrg, .mrw, .mrxs, .msg, .msi, .msmessagestore, .mso, .msp, .msu, .mswmm, .mt9, .mts, .mud, .mui, .mwb, .mwp, .mxf, .mxl, .mxp, .myd, .myl, .n64, .nav, .nba, .nbf, .nbh, .nbu, .ncd, .nco, .ncr, .nct, .nd, .ndd, .ndf, .nds, .nef, .nes, .nfo, .njx, .nk2, .nlm, .nop, .notes, .now, .npf, .npr, .nrg, .nri, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nv2, .nvram, .nwb, .nwctxt, .nx1, .nx2, .nxl, .nyf, .nzb, .o, .oab, .obj, .oc3, .oc4, .oc5, .oce, .oci, .ocr, .ocx, .odb, .odc, .odf, .odg, .odi, .odm, .odo, .odp, .ods, .odt, .ofl, .oft, .ofx, .oga, .ogg, .ogv, .oil, .old, .omf, .one, .onepkg, .openbsd, .opf, .oplc, .opml, .oqy, .ora, .orf, .ort, .orx, .ost, .ota, .otf, .otg, .oth, .oti, .otp, .ots, .ott, .out, .ova, .ovf, .ovp, .ovr, .owc, .owg, .owl, .oxps, .oxt, .oyx, .ozb, .ozj, .ozt, .p12, .p7b, .p7c, .p7s, .p96, .p97, .pab, .pages, .pak, .pal, .pan, .pano, .pap, .part, .partial, .pas, .pat, .pbf, .pbm, .pbo, .pbp, .pbs, .pc1, .pc2, .pc3, .pcd, .pcl, .pcm, .pcs, .pct, .pcv, .pcx, .pdb, .pdd, .pdf, .pdm, .pdn, .pe4, .pef, .pem, .pfd, .pff, .pfi, .pfs, .pfv, .pfx, .pgf, .pgm, .pgp, .phm, .php, .phtml, .pi1, .pi2, .pi3, .pic, .pict, .pif, .pip, .pix, .pjpeg, .pjpg, .pjt, .pkb, .pkg, .pkh, .pkpass, .pl, .plantuml, .plc, .pli, .plist, .pls, .plt, .plugin, .plus_muhd, .pm, .pmd, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pos, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppd, .ppf, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prf, .prg, .prj, .prn, .pro, .prproj, .prt, .prw, .ps, .psa, .psafe3, .psb, .psd, .psdx, .pse, .psid, .psp, .pspbrush, .pspimage, .pst, .psw, .ptg, .pth, .pts, .ptx, .pu, .pub, .puz, .pvj, .pvm, .pvr, .pwa, .pwf, .pwi, .pwm, .pwr, .px, .pxp, .pxr, .py, .pz3, .pza, .pzl, .pzp, .pzs, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qdl, .qed, .qel, .qif, .qmg, .qpx, .qry, .qtq, .qtr, .qvd, .r00, .r01, .r02, .r03, .r04, .r05, .r06, .r07, .r08, .r09, .r10, .r3d, .ra, .raf, .rar, .ras, .rat, .raw, .rb, .rc, .rctd, .rcu, .rdb, .rdl, .readme, .rec, .ref, .reg, .rem, .rep, .res, .rev, .rft, .rgb, .rgf, .rgn, .rib, .ric, .riff, .ris, .rix, .rle, .rli, .rm, .rmvb, .rng, .rom, .rpd, .rpf, .rpm, .rpt, .rri, .rrt, .rs, .rsb, .rsc, .rsd, .rsr, .rsrc, .rss, .rst, .rsw, .rt, .rtd, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rvt, .rw2, .rwl, .rwz, .rzk, .rzn, .s2mv, .s3db, .s3m, .sad, .saf, .safariextz, .safe, .safetext, .sai, .sam, .sas7bdat, .sav, .save, .say, .sbf, .sbu, .scad, .scc, .sci, .scm, .scn, .scpt, .scr, .scriv, .scrivx, .sct, .scv, .scw, .scx, .sd0, .sd7, .sda, .sdb, .sdc, .sdd, .sdf, .sdm, .sdn, .sdoc, .sds, .sdt, .sdw, .sdxf, .sen, .sep, .sfc, .sfcache, .sfera, .sfs, .sfw, .sfx, .sgm, .sgml, .sh, .sha, .shar, .shr, .shs, .shtml, .shw, .sig, .sis, .sisx, .sit, .sitd, .sitx, .sk1, .sk2, .skcard, .skm, .skn, .skp, .sla, .slagz, .sld, .sldasm, .slddrt, .slddrw, .sldm, .sldprt, .sldx, .sls, .slt, .smc, .smd, .smf, .smil, .sms, .snagitstamps, .snagstyles, .snd, .sng, .snp, .so, .sob, .spa, .sparsebundle, .spb, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sqx, .sr2, .src, .srf, .srm, .srt, .srw, .ssa, .ssfn, .ssh, .ssk, .st, .st4, .st5, .st6, .st7, .st8, .stc, .std, .stdf, .ste, .sti, .stl, .stm, .stn, .stp, .str, .strings, .stt, .stw, .stx, .sty, .sub, .sud, .sumo, .sup, .sva, .svf, .svg, .svgz, .svi, .svp, .svr, .swd, .swf, .swp, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .sys, .t2b, .tab, .tao, .tar, .tar.gz, .tax2013, .tax2014, .tb0, .tbl, .tbn, .tbz2, .tc, .tch, .tcx, .tdf, .tdt, .te, .teacher, .temp, .template, .tex, .texinfo, .text, .tfc, .tg, .tg4, .tga, .tgz, .theme, .themepack, .thm, .thmx, .thp, .thumb, .tib, .tif, .tiff, .tjp, .tlb, .tlc, .tlg, .tlz, .tm, .tm2, .tmd, .tmp, .tmv, .tmx, .tn, .tne, .toast, .tod, .torrent, .tp, .tpc, .tpi, .tpl, .tpu, .tpx, .trelby, .trm, .troff, .trp, .ts, .tsv, .ttc, .ttf, .tu, .tur, .tvj, .txd, .txf, .txt, .u3d, .u3i, .uax, .udb, .udf, .ufo, .ufr, .uga, .uif, .umx, .unauth, .unity, .unr, .unx, .uof, .uop, .uot, .upd, .upg, .upoi, .url, .usa, .usr, .usx, .ut, .ut2, .ut3, .utc, .utf8, .uts, .utx, .utxt, .uvx, .uxx, .v12, .v64, .val, .vault, .vb, .vbox, .vbproj, .vbr, .vbs, .vc, .vcd, .vcf, .vcproj, .vct, .vda, .vdb, .vdi, .vdo, .vec, .veg, .ver, .vff, .vhd, .vhdx, .vmdk, .vmem, .vmf, .vml, .vmsd, .vmt, .vmwarevm, .vmx, .vmxf, .vnt, .vob, .vpd, .vpe, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsi, .vsm, .vst, .vstm, .vstx, .vsx, .vtf, .vtx, .vue, .vw, .vxd, .w3g, .w3x, .wab, .wad, .wallet, .war, .wav, .wave, .waw, .wb1, .wb2, .wba, .wbc, .wbcat, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdgt, .wdp, .webarchive, .webdoc, .webm, .webp, .wgz, .wif, .wire, .wks, .wll, .wlmp, .wm, .wma, .wmd, .wmdb, .wmf, .wmmp, .wmv, .wmx, .wn, .woff, .wotreplay, .wow, .wowpreplay, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpk, .wpl, .wps, .wpt, .wpw, .wri, .wsc, .wsd, .wsh, .wtd, .wtf, .wtx, .wvl, .wvx, .x, .x_t, .x11, .x3d, .x3f, .xap, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xhtml, .xis, .xl, .xla, .xlam, .xlb, .xlc, .xld, .xlf, .xlgc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlv, .xlw, .xlwx, .xmi, .xmind, .xml, .xmmap, .xpi, .xpm, .xpp, .xps, .xpt, .xsd, .xsl, .xslt, .xsn,.xvid, .xwd, .xwp, .xy3, .xyp, .xyw, .xz, .y .yab, .yal, .ybk, .ycbcra, .yml, .yps, .ysp, .yuv, .z01, .z02, .z03, .z04, .z05, .z3d, .zabw, .zap, .zdb, .zdc, .zif, .zip, .zipx, .zoo, .zw (1791 расширение) и файлы без расширений. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, ярлыки, файлы прикладных и пользовательских программ, системные и исполняемые файлы, и пр.


После такого объема зашифрованных файлов, Windows не загрузится. 
After such a volume of encrypted files, Windows will not be able to boot.

В другой версии шифровальщика, добавляющего к файлам расширение .qbv2vzVF :
.1cd, .3gp, .7z, .abm, .abs, .abw, .ac3, .accdb, .act, .adn, .adp, .aft, .afx, .agif, .agp, .ahd, .aic, .aim, .albm, .alf, .ani, .ans, .apd, .ape, .apm, .apng, .aps, .apt, .apx, .art, .arw, .asc, .ase, .ask, .asw, .asy, .aty, .avi, .awdb, .awp, .awt, .aww, .azz, .bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bmp, .bmx, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .cal, .cals, .can, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmz, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cer, .cfu, .cgm, .cimg, .cin, .cit, .ckp, .clkw, .cma, .cmx, .cnm, .cnv, .colz, .cpc, .cpd, .cpg, .cps, .cpt, .cpx, .crd, .crwl, .css, .csv, .csy, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .dad, .daf, .dat, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dca, .dcb, .dcr, .dcs, .dct, .dcx, .ddl, .ddoc, .dds, .ded, .dgn, .dgs, .dgt, .dhs, .dib, .divx, .diz, .djv, .djvu, .dmi, .dmo, .dnc, .dne, .doc, .docm, .docx, .docz, .dot, .dotm, .dotx, .dpp, .dpx, .dqy, .drw, .drz, .dsk, .dsn, .dsv, .dta, .dtsx, .dtw, .dvi, .dvl, .dwg, .dxb, .dxf, .dxl, .eco, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .emd, .emf, .emlx, .epf, .epp, .eps, .epsf, .eql, .erf, .err, .etf, .etx, .euc, .exr, .fal, .faq, .fax, .fbl, .fbx, .fcd, .fcf, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fft, .fic, .fid, .fif, .fig, .fil, .flac, .flc, .fli, .flr, .flv, .fmv, .fodt, .fol, .fpos, .fpt, .fpx, .frm, .frt, .frx, .ftn, .fwdn, .fxc, .fxg, .fzb, .fzv, .gcdp, .gdb, .gdoc, .gem, .geo, .gfb, .gfie, .ggr, .gif, .gih, .gim, .gio, .glox, .gpd, .gpn, .gro, .grob, .grs, .gsd, .gthr, .gtp, .gwi, .gzip, .hbk, .hdb, .hdp, .hdr, .hht, .his, .hpg, .hpgl, .hpi, .hpl, .htc, .htm, .html, .hwp, .icn, .icon, .icpr, .idc, .idea, .idx, .ifo, .igt, .igx, .ihx, .iil, .iiq, .imd, .info, .ink, .ipf, .ipx, .itc2, .itdb, .itw, .iwi, .jas, .jbig, .jbmp, .jbr, .jfif, .jia, .jis, .jng, .joe, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .jrtf, .jtf, .jtx, .jwl, .jxr, .kdb, .kdbx, .kdc, .kdi, .kdk, .kes, .kic, .klg, .knt, .kon, .kpg, .kwd, .kwm, .lbm, .lbt, .lgc, .lis, .lit, .ljp, .lmk, .lnk, .lnt, .lrc, .lst, .ltr, .ltx, .lue, .luf, .lwo, .lwp, .lws, .lyt, .lyx, .m2v, .mac, .man, .map, .maq, .mat, .max, .mbm, .mbox, .md, .mdb, .mdf, .mdn, .mdt, .mef, .mell, .mft, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .min, .mkv, .mmat, .mng, .mnr, .mnt, .mobi, .mos, .mov, .mp3, .mp4, .mpeg, .mpf, .mpg, .mpo, .mrg, .mrxs, .msg, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .now, .nrw, .nsf, .nyf, .nzb, .obj, .oce, .oci, .ocr, .odb, .odm, .odo, .odp, .ods, .odt, .ofl, .oft, .omf, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ovr, .owc, .owg, .oyx, .ozb, .ozj, .ozt, .p12, .pal, .pan, .pano, .pap, .pbm, .pcd, .pcs, .pcx, .pdb, .pdd, .pdf, .pdm, .pdn, .pds, .pdt, .pef, .pff, .pfi, .pfs, .pfv, .pfx, .pgf, .pgm, .phm, .php, .pic, .pict, .pix, .pjpg, .pjt, .plt, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .ppm, .ppt, .pptm, .pptx, .prt, .prw, .psd, .psdx, .pse, .psid, .psp, .psw, .ptg, .pth, .ptx, .pvj, .pvm, .pvr, .pwa, .pwi, .pwm, .pwr, .pxr, .pza, .pzp, .pzs, .qdl, .qmg, .qpx, .qry, .qvd, .rad, .rar, .ras, .raw, .rctd, .rcu, .rdb, .rdl, .rft, .rgb, .rgf, .rib, .ric, .riff, .ris, .rix, .rle, .rli, .rng, .rpd, .rpf, .rpt, .rri, .rsb, .rsd, .rsr, .rst, .rtd, .rtf, .rtx, .run, .rwl, .rzk, .rzn, .s2mv, .saf, .sai, .sam, .save, .sbf, .scad, .scc, .sci, .scm, .sct, .scv, .scw, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfw, .sgm, .sig, .skm, .sla, .sld, .sls, .smf, .smil, .sms, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .srw, .ssa, .ssfn, .ssk, .ste, .stm, .stn, .stp, .str, .stw, .sty, .sub, .sumo, .sva, .svf, .svg, .svgz, .swf, .sxd, .sxg, .sxw, .tab, .tar, .tbn, .tcx, .tdf, .tdt, .tex, .text, .tfc, .tga, .thm, .thp, .tif, .tiff, .tjp, .tlb, .tlc, .tmd, .tmv, .tmx, .tne, .torrent, .tpc, .tpi, .trm, .tvj, .txt, .udb, .ufo, .ufr, .uga, .unx, .uof, .uot, .upd, .usr, .utf8, .utxt, .vbr, .vct, .vda, .vdb, .vec, .vff, .vml, .vnt, .vob, .vpd, .vpe, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vue, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webp, .wgz, .wire, .wma, .wmdb, .wmf, .wmv, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .wsc, .wsd, .wsh, .wtx, .wvl, .xar, .xdb, .xdl, .xhtm, .xld, .xlf, .xlgc, .xls, .xlsb, .xlsm, .xlsx, .xpm, .xps, .xwp, .xyp, .xyw, .yal, .ybk, .yml, .ysp, .zabw, .zdb, .zdc, .zif, .zip (712 расширений). 

Примечательно, что в этой версии записка о выкупе HOW TO DECRYPT FILES.txt была предельно короткой:
avastvirusinfo@yandex.com
The cost is not less than 15$.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
<random_name>.txt
Setup.exe
update.exe
up_date.exe
<random_A-Za-z0-9>.exe
<random>.tmp.exe
plugin.dll
<random>.dll

Расположения: 
%AppData%\Local\Temp\up_date.exe
%AppData%\Local\Temp\<random>.exe
%AppData%\Local\Local\Temp\plugin.dll

Записи реестра, связанные с этим Ransomware:
См. результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ (без библиотек) >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 сентября 2017:
Расширение: .dat

Обновление от 18 сентября 2018: 

Топик на форуме >>
Записка: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
Расширение (пароль расшифровки): .x2Hzqz8YKTjyeKs6Oiz7CzQQ
Email: avastvirusinfo@yandex.ru
➤ Содержание записки:
Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ,
отправьте письмо на почту avastvirusinfo@yandex.ru с текстом "Имя пароля расшифровки: x2Hzqz8YKTjyeKs6Oiz7CzQQ"





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Support Topic
 *
 Thanks: 
  Alex Svirid, Andrew Ivanov
  victims of Ransomware
  *
  *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 3 марта 2017 г.

FabSysCrypto

FabSysCrypto Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название. Среда разработки: Visual Studio 2015. Разработчик: fabsys. 

© Генеалогия: HiddenTear >> FabSysCrypto 

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: _HELP_instructions.txt


Содержание записки о выкупе:
$=~~|~_+|_~+$$=$
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More Information about the RSA and AES can be found here:
http://en.wlklpedla.org/wlkl/RSA_Ccryptosysten)
http://en.wlklpedla.org/wlkl/Advanced_Encryptlon_Standard
Decrypting of your files Is only possible with the private key and decrypt program, which Is on our secret server.
To receive your private key follow one of the links:
1. xxxx://32kl2rwsjvqjeul7.tor2web.org/56D592DC7A9DDlDB
2. xxxx://32kl2rwsjvqjeul7.onion.to/56D592DC7A9DDlDB
3. xxxx://32kl2rwsjvqjeul7.onlon.cab/56D592DC7A9DDlDB
If all of this addresses are not available, follow these steps:
1. Download and Install Tor Browser: xxxxs://www.torproject.org/download/download-easy.html
2. After a successful Installation, run the browser and wait for Initialization.
3. Type In the address bar: 32kl2rwsjvqjeul7.onlon/56D592DC7A9DDlDB
4. Follow the Instructions on the site.
!!! Your personal Identification ID: 56D592DC7A9DD1DB !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с RSA-2048 и AES-128 шифров.
Дополнительную информацию о RSA и AES можно найти здесь:
xxxx://en.wlklpedla.org/wlkl/RSA_Ccryptosysten)
xxxx://en.wlklpedla.org/wlkl/Advanced_Encryptlon_Standard
Дешифровка файлов возможна только с закрытым ключом и декриптора, которые есть на нашем тайном сервере.
Для получения закрытого ключа перейдите по одной из ссылок:
1. xxxx://32kl2rwsjvqjeul7.tor2web.org/56D592DC7A9DDlDB
2. xxxx://32kl2rwsjvqjeul7.onion.to/56D592DC7A9DDlDB
3. xxxx://32kl2rwsjvqjeul7.onlon.cab/56D592DC7A9DDlDB
Если все эти адреса не доступны, выполните следующие действия:
1. Скачайте и установите Tor-браузер: 
xxxxs://www.torproject.org/download/download-easy.html
2. После успешной установки, запустите браузер и дождитесь инициализации.
3. Введите в адресной строке: 32kl2rwsjvqjeul7.onlon/56D592DC7A9DDlDB
4. Следуйте инструкциям на сайте.
!!! Ваш персональный идентификационный ID: 56D592DC7A9DD1DB !!!

Примечательно, что FabSysCrypto копирует записку с требованием выкупа у Locky Ransomware. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений). 
Это документы MS Office, OpenOffice, текстовые файлы, базы данных, фотографии, веб-страницы и пр.

Файлы, связанные с этим Ransomware:
fabsyscrypto.exe
_HELP_instructions.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic
 *
 Thanks: 
 Karsten Hahn
 Andrew Ivanov (article author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Nhtnwcuf

Nhtnwcuf Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. На самом деле файлы не шифруются, а перезаписываются мусором из случайных байтов, до 10,24 Мб в каждом большом файле. Оригинальное название неизвестно. Непонятное "слово" взято из кода программы. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам добавляется случайное расширение, например, .ije, .mkf, .nwy и пр. 
Шаблон расширения можно записать как:
.<random_chars_a-z{3}> или .<a-z{3}>

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
!_RECOVERY_HELP_!.txt и HELP_ME_PLEASE.txt

Содержание записки о выкупе:
INTRODUCTION
Data encryption involves converting and transforming data into scrambled, unreadable, cipher-text using non-readable mathematical calculations and algorithms. Restoring requires a corresponding decryption algorithm in form of software and the decryption key.
Data encryption is the process of transforming information by using some algorithm to make it unreadable to anyone except those possessing a key. In addition to the private key you'll need the decryption software with which you can decrypt your files and return everything to the same level as it was in the first place. Any attempts to try restore you files with the third-party tools will be fatal for your encrypted content.
I almost understood but what do I have to do?
The first thing you should do is to read the instructions to the end. Your files have been encrypted. The instructions, along with encrypted files are not viruses, they are you helpers.
Unfortunately, antivirus companies are not and will not be able to restore your files. Moreover, they make things worse by removing instructions to restore encrypted content.
Antivirus companies will not be able to help decrypt your encrypted data, unless the correct software and unique decryption key is used. Fortunately, our team is ready to help to provide both, "Decryptor" and "Unique decryption key" based on yours unique "Ref#_8114126f16c8".
Keep in mind that the worse has already happened and the further life of your files directly depends on determination and speed of your actions. Therefore, we advice not to delay and follow "!_RECOVERY_HELP_!" instructions.
After purchasing a software package with the unique decryption key you'll be able to:
* Decrypt all your files
* Work with your documents
* View your photos and other media content
* Continue habitual and comfortable work at your computer
If you are aware of the whole importance and criticality of the situation, then we suggest to go directly to the below "!_RECOVERY_HELP_!" instructions where you will be given final simple steps, as well as guarantees to restore your files.
"!_RECOVERY_HELP_!"
Follow 3 Steps in Exact Order
1. In case if you don't already have, Register/Create a BitCoin Wallet.
2. Send 1.00 BTC ( One Bitcoin ) to the following BitCoin Address:
1B2RRVwBP1K3yibZcA3p1qd2YN9BkVafm3
3. Send confirmation to the following E-mail address:
helptodecrypt@list.ru
* Mail Subject - "Ref#_8114126f16c8"
* Mail Content - "4 lines of text"
Line 1: "Ref#_8114126f16c8" - Your Reference Number - Must match with "Mail Subject"
Line 2: "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" - Sender/Sent from - Your BitCoin Address
Line 3: "1B2RRVwBP1K3yibZcA3p1qd2YN9BkVafm3" - Receiver/Sent to - Our BitCoin Address
Line 4: "1.00 BTC" - 1 Bitcoin - Service Charge
* After verification process ( Confirmed, as Paid by our 3rd party provider ) is completed, decription software and unique key will be E-mailed to you without delays.

Перевод записки на русский язык:
ВВЕДЕНИЕ
Шифрование данных включает в себя конвертацию и преобразование данных в скремблированный, нечитаемый, шифротекст с использованием нечитаемых математических вычислений и алгоритмов. Для восстановления требуется соответствующий алгоритм дешифрования в виде программного обеспечения и ключа дешифрования.
Шифрование данных - это процесс преобразования информации с использованием некоторого алгоритма, который делает его нечитаемым для всех, кроме тех, у кого есть ключ. В дополнение к закрытому ключу вам понадобится программное обеспечение для расшифровки, с помощью которого вы можете расшифровать ваши файлы и вернуть все на тот уровень, на котором он был в первую очередь. Любые попытки попытаться восстановить файлы с помощью сторонних инструментов будут фатальными для вашего зашифрованного контента.
Я почти понял, но что мне делать?
Первое, что вам нужно сделать, - прочитать инструкции до конца. Ваши файлы были зашифрованы. Инструкции вместе с зашифрованными файлами не являются вирусами, они ваши помощники.
К сожалению, антивирусные компании не могут и не смогут восстановить ваши файлы. Более того, они усугубляют ситуацию, удаляя инструкции по восстановлению зашифрованного контента.
Антивирусные компании не смогут расшифровать ваши зашифрованные данные, если не использовать правильное программное обеспечение и уникальный ключ дешифрования. К счастью, наша команда готова помочь предоставить «Decryptor» и «Unique decryption key» на основе вашего уникального «Ref#_8114126f16c8».
Имейте в виду, что худшее уже произошло, и дальнейшая жизнь ваших файлов напрямую зависит от решимости и скорости ваших действий. Поэтому мы советуем не откладывать и следовать инструкции "!_RECOVERY_HELP_!.txt".
После приобретения пакета программного обеспечения с уникальным ключом расшифровки вы сможете:
* Расшифровать все ваши файлы
* Работать с вашими документами
* Смотреть фотографии и другой медиа-контент
* Продолжать привычную и удобную работу на вашем компьютере
Если вам известно о всей значимости и критичности ситуации, мы предлагаем перейти непосредственно к приведенной ниже инструкции «! _RECOVERY_HELP_!», где вам даны окончательные простые шаги, а также гарантии для восстановления ваших файлов.
"! _RECOVERY_HELP_!"
Следуйте 3 шагам в точном порядке
1. Если у вас еще нет, зарегистрируйте/создайте BitCoin-кошелек.
2. Отправьте 1.00 BTC (один биткойн) на следующий BitCoin-адрес:
1B2RRVwBP1K3yibZcA3p1qd2YN9BkVafm3
3. Отправьте подтверждение на следующий email-адрес:
helptodecrypt@list.ru
* Тема письма - "Ref#_8114126f16c8"
* Содержание письма - «4 строки текста»
Строка 1: «Ref#_8114126f16c8» - Ваш Reference-номер - должно совпадать с полем «Тема письма»
Строка 2: «xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx» - Отправитель/Отправлено из - ваш BitCoin-адрес
Строка 3: «1B2RRVwBP1K3yibZcA3p1qd2YN9BkVafm3» - Получатель/Отправлено в - наш BitCoin-адрес
Строка 4: «1.00 BTC» - 1 биткойн - плата за обслуживание
* После завершения процесса проверки (Подтверждение оплаты нашим сторонним поставщиком), программа дешифрования и уникальный ключ будут отправлены вам по email немедленно.

Атакует серверы, имеющие поддержку RDP и уязвимости в защите или вообще не имеющие защиты. Устанавливается вручную после взлома систем при подключении к удаленному рабочему столу по протоколу RDP, если открыт стандартный порт TCP 3389.  Возможен взлом RDP Windows с помощью Pass-the-Hash техники, утилит PuTTY, mRemoteNG, TightVNC, Chrome Remote Desktop, модифицированных версий TeamViewer, AnyDesk, Ammyy Admin, LiteManager, Radmin, LogMeIn, PsExec и пр. 

НИКОГДА не используйте изменённые или устаревшие версии программ для удалённого доступа.
NEVER use modified or outdated versions of programs for remote access. The result will be similar.

Почему это возможно? 
Есть много различных способов взлома RDP-подключений, но чаще используется IP-сканер,  с помощью которого хакеры выбирают стандартный порт 3389 для сканирования определенного диапазона IP-адресов. Хакерская программа находит и сохраняет список найденных IP-адресов, потом подключается к каждому найденному компьютеру и в автоматическом режиме методом перебора пытается ввести логин и пароль. При успешном входе в аккаунт администратора хакеры получают полный доступ к его ПК и компьютерам его сети.

Может также распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся фейк-шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
 !_RECOVERY_HELP_!.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
helptodecrypt@list.ru
См. ниже результаты анализов.


Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Т.к. файлы всё же не шифруются, то TowerWeb Ransomware я отношу к фейк-шифровальщикам

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Topic on BC
 ID Ransomware (ID as Nhtnwcuf)
 Tweet on Twitter
 *
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 2 марта 2017 г.

SuchSecurity

SuchSecurity Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные в тестовой папке с помощью AES, а затем показывает картинку, видимо в насмешку. Оригинальное название, указано на картинке.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: EDA2 >> Such Security

К зашифрованным файлам добавляется расширение .locked

Образец этого крипто-вымогателя нашёлся на конец февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает начать распространять его по всему миру.

Записки с требованием выкупа называются: ransom.jpg
Это подгружаемая картинка. 

Содержание записки о выкупе:
Such Security
Many Haxx

Перевод записки на русский язык:
Такая безопасность
Много Haxx

Распространяется или может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Видимо, ещё находится в разработке, т.к. шифрует только файлы в папке test на рабочем столе. Требует наличия .NET Framework 4.5. 

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransom.jpg
eda2.exe
<random>.exe
\Desktop\test

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://192.168.59.130/webpanel/createkeys.php"
xxxx://192.168.59.130/webpanel/savekey.php"
xxxx://i.imgur.com/67zIv4T.jpg
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 *
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

RedAnts

RedAnts Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название. Фальш-имя: WindowsFormsApplication1. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
Изображение не принадлежит шифровальщику

© Генеалогия: HiddenTear >> MafiaWare > RedAnts

К зашифрованным файлам добавляется расширение .Horas-Bah

Образец этого крипто-вымогателя нашелся в  начале марта 2017 г. Ориентирован на англоязычных пользователей, что не помешает распространять его по всему миру.

Записки с требованием выкупа размещаются на рабочем столе и называются: READ_ME.txt

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Пока находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список директорий, выбранных для шифрования файлов:
Desktop, Downloads, Fictures, Documents

Файлы, связанные с этим Ransomware:
RedAnts.exe
READ_ME.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://adrut.bz/index.php?g0ttrap=
jaw@jaw.id
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 *
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 1 марта 2017 г.

ConsoleApplication1

ConsoleApplication1 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> ConsoleApplication1

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на конец февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Detail.txt

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .c, .cpp, .csv, .doc, .docx, .html, .java, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .py, .sln, .sql, .txt, .xls, .xlsx, .xml (24 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Release.exe
Detail.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 *
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KRider

KRider Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, но даже не требует выкуп, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: MyLittleRansomware >> KRider > RekenSom (GHack)

К зашифрованным файлам добавляется расширение .kr3
Создает новый файл с произвольным именем, но первоначальное название в новом файле сохраняется. 

Образец этого крипто-вымогателя был найден в начале марте 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа нет. В настоящее время он не сохраняет ключ шифрования. Видимо находится в разработке. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (158 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KRider.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

MyLittleRansomware - июль 2016
KRider Ransomware - март 2017
RekenSom (GHack) Ransomware - март 2020


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 21 августа 2017:
Пост в Твиттере >>
Расширение: .adr
Результаты анализов: VT 
+ IA


Обновление от 26 ноября 2020:
Расширение: .adr
Записка: DECRYPT_ME.txt
DesktopDECRYPT_ME.txt
Результаты анализов: VT + IA
➤ Обнаружения: 
BitDefender -> Generic.Ransom.Krider.409D49E1
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BQ
TrendMicro -> Ransom_RAMSIL.SM




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Krider)
 Write-up, Topic
 *
 Thanks: 
 MalwareHunterTeam, Michael Gillespie, Karsten Hahn
 S!Ri
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *