aZaZeL

aZaZeL Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название написано в записке о выкупе: aZaZeL.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Encrypted

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: File_Encryption_Notice.txt

Содержание записки о выкупе:
***
Your files are encrypted!!! 
***
Your documents,photos, databases & other important files have been encrypted with
strongest encryption & unique key, generated for this computer. 
We offer you to purchase special application for recovery access to your encrypted
files. Getting the decryptor is the only opportunity not to loose your file from pc
forever.
===
Your lock id:
0x[redacted hex][WIN_7]VN:A
===
Without a decryption tool it is imposible to recover your files. So
keep your lock id very safe else you can never recover your files.
It will be better if you note it somewhere outside your pc on the paper.
***
To purchase the decryption tool follow these steps:
***
1.Register a Bitcoin(BTC) wallet at (www.blockchain.info/wallet/new)
 (Properly note your Bitcoin wallet address and Identifier address which you require to login to your BTC wallet)
2.If you dont have Bitcoins, you can buy them at (www.coinmama.com)
Here are the detail steps which will help you to buy buitcoins
===
Step 1: Goto (www.coinmama.com/register) and register your account there using your email id.
Step 2: After you register an account, you need to Signup/Login to your coinmama account.
Step 3: Then Choose the amount of Bitcoin (0.1 BTC) you need to buy.
Step 4: Choose a method of payment. You need to select the one of the available methods of payment
        (Recommended: Western union or Moneygram)
Step 5: Note the details given for money transfer(eg:account holder's name, address,etc)
Step 6: Deposit the given amount of money in Western union or Moneygram near your location to the given details.
Step 7: After you deposit the cash, you will receive a transfer receipt with important information (eg:MTCN number).
Step 8: Only then goto next step (i.e. Complete your order) to assure a successful transfer.
Step 9: Copy the exact information as stated on your transfer receipt in the form.
Step 10: Enter your Bitcoin wallet address properly in the form then update order.
         Your order will be processed once your transfer clears in their account.
         They will update you by email, moments after sending your Bitcoins.
===
Other site to buy Bitcoins (www.localBitcoins.com)
(First time Bitcoin buyers guide available at (https://en.Bitcoin.it/wiki/First-time_buyers_guide)
3.After you buy Bitcoins, transfer Bitcoins to the details given below
Account details:
===
# Amount to transfer: 0.1 BTC(approx.$46 US Dollars)
# Transfer to bitcoin address: 1MaBogxRSscjxsdcsEr6ymtkV9SdGLfuxf
**Check bitcoin address properly before payment**
===
Only after the payment
===
Mail us to receive the decryption tool
Mailing details:
===
# Mail to: azazel-bot@india.com
# Subject: Decryptor Request
# Message: Message us the following details:
          1.Your lock id (see at the top)
          2.Email id: Your email id in which you wish to receive the decryptor.
          3.BTC address: Your bitcoin wallet address from which you have made the payment.
(You can also mail us to get a guide on How to buy Bitcoins)
===
Special Warning!!!
===
Donot try to rename or be oversmart with those encrypted files, else they cant be
decrypted back & you will loose them forever.
#Files EnCrYpTeD by aZaZeL

Перевод записки на русский язык:
Ваши файлы зашифрованы !!!
***
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с самым сильным шифрованием и уникальный ключом, созданным для этого компьютера.
Мы предлагаем вам приобрести специальное приложение для восстановления доступа к зашифрованным файлам. Получение дешифратора - единственная возможность не потерять ваш файл на ПК навсегда.
===
Ваш lock id:
0x [redacted hex] [WIN_7] VN: A
===
Без инструмента дешифрования невозможно восстановить файлы. Потому cохраните ваш lock id, иначе вы никогда не сможете восстановить свои файлы.
Будет лучше, если вы заметите это где-то вне вашего ПК на бумаге.
***
Чтобы приобрести инструмент дешифрования, выполните следующие действия:
***
1. Зарегистрируйте Биткойн-кошелек (BTC) на (www.blockchain.info/wallet/new)
 (Обратите внимание на свой адрес Биткойн-кошелька и ID-адрес, который требуется для входа в ваш кошелек BTC)
2. Если у вас нет биткойнов, вы можете купить их на сайте (www.coinmama.com)
Вот подробные шаги, которые помогут вам купить биткоины
===
Шаг 1: Идите на (www.coinmama.com/register) и зарегистрируйте там свою учетную запись, используя ваш email id.
Шаг 2. После регистрации учетной записи вам надо войти в свою учетную запись на coinmama.
Шаг 3: Затем выбрать количество биткоинов (0.1 BTC), которое вам нужно купить.
Шаг 4. Выбрать способ оплаты. Вам нужно выбрать один из доступных способов оплаты
        (Рекомендуется: Western Union или Moneygram)
Шаг 5: Обратите внимание на данные, указанные для перевода денег (например: имя владельца учетной записи, адрес и т.д.).
Шаг 6: Депозит данной суммы денег в Western Union или Moneygram рядом с вашим местоположением для подробных данных.
Шаг 7: После внесения наличных денег вы получите квитанцию ​​о переводе с важной информацией (например: номер MTCN).
Шаг 8: Только после этого перейдите к следующему шагу (т.е. Complete your order), чтобы обеспечить успешную передачу.
Шаг 9: Скопируйте точную информацию, указанную в вашей передаче, в форме.
Шаг 10: Введите свой биткойн-кошелек правильно в форме, а затем обновите заказ.
         Ваш заказ будет обработан, как только ваш перевод будет очищен на их счете.
         Они будут обновлять вас по email, через несколько минут после отправки ваших биткоинов.
===
Другой сайт для покупки биткоинов (www.localBitcoins.com)
(Впервые руководство для покупателей биткоинов доступно по адресу (https://en.Bitcoin.it/wiki/First-time_buyers_guide)
3. После покупки биткоинов передайте биткоины на приведенные ниже данные
Детали учетной записи:
===
# Сумма перевода: 0,1 BTC (около 46 долларов США)
# Перевод на биткоин-адрес: 1MaBogxRSscjxsdcsEr6ymtkV9SdGLfuxf
** Проверьте биткоина-адрес должным образом перед оплатой **
===
Только после оплаты
===
Отправьте нам запрос на получение средства дешифрования
Детали отправки:
===
# Mail to: azazel-bot@india.com
# Тема: Decryptor Request
# Сообщение: Сообщите нам следующие данные:
          1. Ваш lock id (см. вверху)
          2. Email id: ваш email id, на который вы хотите получить дешифратор.
          3. BTC адрес: Ваш адрес биткойн-кошелека, с которого вы сделали платеж.
(Вы также можете отправить нам письмо, чтобы получить руководство о том, как купить биткойны)
===
Специальное предупреждение !!!
===
Не пытайтесь переименовывать или умничать с этими зашифрованными файлами, иначе их нельзя будет дешифровать назад, и вы потеряете их навсегда.
#Files EnCrYpTeD by aZaZeL

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
File_Encryption_Notice.txt
<random>.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: azazel-bot@india.com
BTC: 1MaBogxRSscjxsdcsEr6ymtkV9SdGLfuxf
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as aZaZeL)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

NSMF

NSMF Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 5 BTC, чтобы вернуть файлы. Оригинальное название написано на файле и в записке.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> NSMF

К зашифрованным файлам добавляется расширение .nsmf

Активность этого крипто-вымогателя пришлась на середину июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
Files has been encrypted with NSMF (Nigga Stone My Files)
Send me 5 bitcoins or pizza
And I also hate night clubs, desserts, being drunk.
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMW

Перевод записки на русский язык:
Файлы были зашифрованы с NSMF (Nigga Stole My Files)
Пришлите мне 5 биткоинов или пиццу
И я тоже ненавижу ночные клубы, десерты, пьяных.
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMW

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

На момент публикации шифровались только файлы на Рабочем столе. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
NSMF.exe
readme.txt

Расположения:
\Desktop\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***vistafan12.eu***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Trojan-Syria

Trojan-Syria Ransomware

Wana Decrypt0r Trojan-Syria Editi0n

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: Wana Decrypt0r Trojan-Syria Editi0n.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Hidden Tear >> Trojan-Syria

Имеет функционал для шифрования (код из Hidden Tear), но на момент написания статьи ещё не шифровал файлы. После шифрования к файлам должно было добавляться расширение: .Wana Decrypt0r Trojan-Syria Editi0n

Первый образец этого крипто-вымогателя был найдет в середине июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Новый образец был презентован 18 июня. Он уже шифрует файлы и добавляет к зашифрованным файлам расширение .wannacry

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops, Your Files Have Been Encrypted !!!
What Happened To My Computer?
your important files are encrypted.
many of your documents, photos, videos, and other files are no longer
accessible because they have been encrypted, maybe you are busy looking
way to recover your files, but do not waste your time, nobody can recover
your files without our decryption service.
Can I Recover My Files?
sure we guarantee that you can recover all your files safely and easily.
but you have not so enough time.
if you need to decrypt your files, yo need to pay.
you only have 3 days to submit the payment.
after that the price will be doubled or your files and computer will be destroyed
How Do I Pay?
payment is accepted in bitcoin only, for more information, click <About Bitcoin>
check the current price of bitcoin and buy some bitcoin. for more information,
click <HowTo Buy Bitcoin>
and send correct amount to the address below
after your payment, click <Check Payment> to to decrypt your files.
Send $50 Worth In Bitcoin To This Address
[BTC] button [Copy]
button [Check Payment]

Перевод записки на русский язык:
Упс, ваши файлы зашифрованы !!!
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео и других файлов больше не являются, потому что они зашифрованы, может быть, вы заняты поиском способа восстановления ваших файлов, но не тратьте впустую свое время, никто не сможет восстановить ваши файлы без нашей службы расшифровки.
Могу ли я восстановить мои файлы?
Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко.
Но у вас недостаточно времени.
Если вам нужно расшифровать ваши файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы отправить платеж.
После этого цена будет удвоена или ваши файлы и компьютер будут уничтожены.
Как мне оплатить?
Оплата принимается только в биткоинах, для получения информации нажмите <О биткоинах>
Проверьте текущую цену биткоина и купите биткоины. Чтобы получить больше информации,
нажмите ссылку <HowTo Buy Bitcoin> и отправьте правильную сумму по указанному ниже адресу.
После оплаты нажмите кнопку <Check Payment>, чтобы расшифровать ваши файлы.
Отправьте $50 в биткоинах в этот адрес
[BTC] кнопка [Copy]
кнопка [Check Payment]

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .bmp, .csv, .doc, .docx, .exe, .flv, .gif, .html, .jpeg, .jpg, .mdb, .mp3, .mp4, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .rtf, .sln, .txt, .xls, .xlsx, .xml, .zip (29 расширений).
Это документы MS Office, PDF, текстовые файлы, веб-файлы, файлы изображений, файлы проектов, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
Wana Decrypt0r Trojan-Syria Editi0n.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ 1st sample >>
VirusTotal анализ 2st sample >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 февраля 2018:
Пост в Твиттере >>
🎥 Видеоролик >>
Файл: Wana Decrypt0r New Editi0n1.exe
Название файла: Wana Decrypt0r Trojan-Syria Editi0n
Сумма выкупа: $250
BTC: 1NZopt9YGRuCP6XDDVSE4g468Jv3XEmWBH
Файл на обои: %APPDATA%\img.jpg
Результаты анализов: HA + VT

Экран блокировки, изображение на обои и значок файла на рабочем столе

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 🎥 Video review

 - видеообзор от CyberSecurity GrujaRS

 Thanks: 
 MalwareHunterTeam
 Karsten Hahn
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Fake Cerber

Fake Cerber Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название не указано, т.к. выдаёт себя за Cerber Ransomware.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.
Фактически является блокировщиком-вымогателем. 

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: index.html

Содержание записки о выкупе на английском и немецком:
CERBER RANSOMWARE
Your computer has been blocked and your documents, photos, databases and other important files have been encrypted!
To unblock your computer and decrypt your files you must follow the instructions below.
This is the only possibility to unblock your computer and get your files back.
All transactions should be performed via Bitcoin network only.
Instructions:
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins (0.1 Bitcoins)
          Here are our recommendations : 
          LocalBitcoins.com - the fastest and easiest way to buy and sell Bitcoins; 
          CoinCafe.com - the simplest and fastest way to buy, sell and use Bitcoins; 
          BTCDirect.eu - the best for Europe; 
          CEX.IO - Visa / MasterCard; 
          CoinMama.com - Visa / MasterCard; 
          HowToBuyBitcoins.info - discover quickly how to buy and sell bitcoins in your local currency.
3. Send 0.1 BTC(Bitcoins) to the following address: 
1MBCWxpbzn6xPsg9VxABgP7avHaKeR4jJP
4. Your computer will be unblocked and your files will be decrypted automatically!

CERBER RANSOMWARE
Ihr Computer wurde blockiert und Ihre Dokumente, Fotos, Datenbanken und andere wichtige Dateien wurden verschlüsselt! 
Um Ihren Computer zu entsperren und Ihre Dateien zu entschlüsseln, müssen Sie die unten stehenden Anweisungen befolgen.
Dies ist die einzige Möglichkeit Ihren Computer freizuschalten und Ihre Dateien zurück zu bekommen.
Alle Transaktionen sollten nur über das Bitcoin - Netzwerk erfolgen.
Anweisungen:
1. Erstellen Sie einen Bitcoin Wallet (wir empfehlen Blockchain.info)
2. Kaufen Sie die notwendige Menge an Bitcoins(0.1 Bitcoins)
          Hier sind unsere Empfehlungen: 
          LocalBitcoins.com - Bitcoin - Marktplatz, einfach und schnell; 
          CoinCafe.com - schnell und einfach Bitcoins kaufen; 
          BTCDirect.eu - das Beste für Europa; 
          CEX.IO - Visa / MasterCard; 
          CoinMama.com - Visa / MasterCard; 
          HowToBuyBitcoins.info - Entdecken Sie schnell, wie man Bitcoins in Ihrer Währung kauft und verkauft.
3. Senden Sie 0.1 BTC(Bitcoins) an die folgende Adresse: 
1MBCWxpbzn6xPsg9VxABgP7avHaKeR4jJP
4. Ihr Computer wird freigegeben und Ihre Dateien werden automatisch entschlüsselt!

Перевод записки на русский язык:
CERBER RANSOMWARE
Ваш компьютер заблокирован, а ваши документы, фото, базы данных и другие важные файлы зашифрованы!
Чтобы разблокировать ваш компьютер и расшифровать ваши файлы, вы должны следовать инструкциям ниже.
Это единственная возможность разблокировать ваш компьютер и вернуть файлы.
Все транзакции должны выполняться только через сеть Bitcoin.
Инструкции:
1. Создайте Биткоин-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткоинов (0.1 биткойна)
          Вот наши рекомендации:
          LocalBitcoins.com - самый быстрый и простой способ купить и продать биткойны;
          CoinCafe.com - самый простой и быстрый способ купить, продать и использовать биткойны;
          BTCDirect.eu - лучший для Европы;
          CEX.IO - Visa / MasterCard;
          CoinMama.com - Visa / MasterCard;
          HowToBuyBitcoins.info - быстро узнайте, как купить и продать биткоины в местной валюте.
3. Отправьте 0.1 BTC (биткоин) по следующему адресу:
1MBCWxpbzn6xPsg9VxABgP7avHaKeR4jJP
4. Ваш компьютер будет разблокирован, а ваши файлы будут дешифрованы автоматически!

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, а затем выключает компьютер, используя команды:
%WINDIR%\system32\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
 vssadmin.exe vssadmin delete shadow /all /quiet
 WMIC.exe wmic shadowcopy delete
 bcdedit.exe bcdedit /set {default} boostatuspolicy ignoreallfailures
 bcdedit.exe bcdedit /set {default} recoveryenabled no
 wbadmin.exe wbadmin delete catalog -quiet
 cmd.exe %WINDIR%\system32\cmd.exe /c shutdown -r -f -t 0
 shutdown.exe shutdown -r -f -t 0

Заменяет Winlogon. Скрывает диспетчер задач. 
Похищает конфиденциальную информацию из браузеров. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Update.exe
test.exe
<random>.exe
index.bat
index.html

Расположения:
%TEMP%\random\random.exe
%APPDATA%\index.bat
%APPDATA%\index.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://5.199.164.235/load/Update.exe*** (5.199.164.235:80 Литва)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

BTCWare-Master

Master Ransomware

BTCWare-Master Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (только первые 10 Мб), а затем требует написать на email вымогателей, чтобы узнать сумму выкупа в BTC и как вернуть файлы. Оригинальное название: Master Ransomware. 

This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare > BTCWare-Master 

К зашифрованным файлам добавляется составное расширение по шаблону 
.[<email>].master 

На данный момент это было: .[teroda@bigmir.net].master

Активность этого крипто-вымогателя пришлась на середину июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !#_RESTORE_FILES_#!.inf

Другим информатором жертвы выступает скринлок, встающий изображением рабочего стола. 

Содержание записки о выкупе:
[WHAT HAPPENED]
Your important files produced on this computer have been encrypted due a security problem
If you want to restore them, write us to the e-mail: teroda@bigmir.net 
or BM-2cWscKHR4SVHDYp4FqVHC5D5fJFNAWNwcc@bitmessage.ch
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
[FREE DECRYPTION AS GUARANTEE]
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information
and their total size must be less than 1Mb
For test decryption send on our email !#_RESTORE_FILES_#!.inf
and 3 encrypted files from ONE FOLDER
[HOW TO OBTAIN BITCOINS]
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller
by payment method and price
https://localbitcoins.com/buy_bitcoins
[ATTENTION]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files
Your ID: 
bZ/+3h5*****

Перевод записки на русский язык:
[ЧТО СЛУЧИЛОСЬ]
Ваши важные файлы, созданные на этом компьютере, были зашифрованы из-за проблемы с безопасностью.
Если вы хотите их восстановить, напишите нам на e-mail: teroda@bigmir.net или BM-2cWscKHR4SVHDYp4FqVHC5D5fJFNAWNwcc@bitmessage.ch
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифровки, который расшифрует все ваши файлы.
[БЕСПЛАТНАЯ ДЕШИФРОВКА КАК ГАРАНТИЯ]
Перед оплатой вы можете отправить нам до 3 файлов для бесплатной дешифровки.
Обратите внимание, что файлы НЕ должны содержать ценную информацию и их общий размер должен быть меньше 1 Мб.
Для тестовой дешифровки отправьте по email ! #_ RESTORE_FILES _ # !. inf и 3 зашифрованных файла из ОДНОЙ ПАПКИ.
[КАК ПОЛУЧИТЬ БИТКОИНЫ]
Самый простой способ купить биткоины - сайт LocalBitcoins.
Вам нужно зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца.
По способу оплаты и цене
https://localbitcoins.com/buy_bitcoins
[ВНИМАНИЕ]
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это приведёт к безвозвратной потере данных.
Если вы не напишете по email через 36 часов - ваш ключ будет удален, и вы не можете расшифровать свои файлы.
Ваш ID:
bZ/+3h5*****

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
"vssadmin.exe" with commandline "Delete Shadows /All /Quiet"
"bcdedit.exe" with commandline "/set {default} recoveryenabled No"
"bcdedit.exe" with commandline "/set {default} bootstatuspolicy ignoreallfailures"
"%WINDIR%\System32\cmd.exe" /c vssadmin.exe Delete Shadows /All /Quiet""
"%WINDIR%\System32\cmd.exe" /c bcdedit.exe /set {default} recoveryenabled No""
"%WINDIR%\System32\cmd.exe" /c bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures""

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!#_RESTORE_FILES_#!.inf
svchost.exe
teroda@bigmir.net.exe
<random>.exe

Расположения:
C:\Users\User\AppData\Roaming\svchost.exe
%APPDATA%\!#_RESTORE_FILES_#!.inf

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BM-2cWscKHR4SVHDYp4FqVHC5D5fJFNAWNwcc@bitmessage.ch
Email: teroda@bigmir.net 
bigmir.net - это Украина
Другие email:
darkwaiderr@cock.li
stopstorage@qq.com
westbleep@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 января 2018:
Расширение: .master
Записка: !#_RESTORE_FILES_#!.inf
Email: look1213@protonmail.com
Результаты анализов: VT
***

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCWare Master)
 Write-up, Topic of Support
 Video review

 Thanks: 
 Alex Svirid
 Michael Gillespie
 MalwareHunterTeam
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private