CryptoDark

CryptoDark Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп $300 в BTC, чтобы вернуть файлы. Оригинальное название: CryptoDark. На файле написано: CryptoDark Decryptor.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает скринлок, встающий обоями рабочего стола.

Содержание текста о выкупе:
Your files have been encrypted!
All of your pictures, images and documents have been encrypted by CryptoDark.
To get them back, you will need to open the CryptoDark Decryptor and pay $300 worth of Bitcoin to the address shown in the decryptor.
If your anti-virus detected the decryptor, remove it from the guarantine or download a new one from:
xxxx://www.vhyifaiuevwni.tk/CDD

Перевод текста на русский язык:
Ваши файлы зашифрованы!
Все ваши изображения, изображения и документы были зашифрованы CryptoDark.
Чтобы вернуть их, вам нужно будет открыть CryptoDark Decryptor и заплатить $300 в биткоинах по адресу в декрипторе.
Если ваш антивирус обнаружил декриптор, удалите его из карантина или загрузите новый из:
xxxx://www.vhyifaiuevwni.tk/CDD

Другим информатором жертвы является экран блокировки под названием CryptoDark Decryptor. 

Экран блокировки и окно декриптора

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoDark.exe
CryptoDark Decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

QuakeWay

QuakeWay Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .org

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __iWasHere.txt

Содержание записки о выкупе:
===> Your files content changed to unreadable content to you and your PC, For restore operation send an email to quakeway@mail.ru and send your UID came bellow as mail subject you will get back all of your files by instruction as our reply.
===> WARNING !!!Dont be stupid to delete this TXT file(or any change on your locked folder),else YOUR FILES WILL BE CORRUPT AND CANNOT BE RESTORED ANYWAY! EVEN BY INSERT TRUE CODE !
===> ATTENTION !!This is not a Ransomware. We don't need your money Just wanna care you and upgrade your security.
 Your System UID for email it is -->> [redacted]: [redacted] <-- We answer it during 7 days.

Перевод записки на русский язык:
===> Содержимое ваших файлов изменено на нечитаемое содержание для вас и вашего ПК. Для операции восстановления отправьте email на quakeway@mail.ru и укажите свой UID в качестве темы письма, вы получите все свои файлы по инструкции, как наш ответ.
===> ПРЕДУПРЕЖДЕНИЕ !!! Не глупите, не удаляйте этот TXT-файл (или не изменяйте в заблокированной папке), иначе ВАШИ ФАЙЛЫ БУДУТ ИСПОРЧЕНЫ И УЖЕ НЕ СМОГУТ ВОССТАНОВИТЬСЯ! ЕСЛИ ДАЖЕ ВСТАВИТЕ ПРАВИЛЬНЫЙ КОД!
===> ВНИМАНИЕ! Это не Ransomware. Нам не нужны ваши деньги. Просто хочу позаботиться о вас и обновить вашу безопасность.
  Ваш системный UID для email - >> [redacted]: [redacted] <- Мы ответим на него в течение 7 дней.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
__iWasHere.txt
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
quakeway@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as QuakeWay)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PSCrypt

PSCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2500 гривен в BTC, чтобы вернуть файлы. Оригинальное название: PSCrypt. Идентифицируется сервисом IDR в составе семейства GlobeImposter 2.0. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: GlobeImposter 2.0 > PSCrypt

К зашифрованным файлам добавляется расширение .pscrypt

Активность этого крипто-вымогателя пришлась на вторую половину июня 2017 г. Ориентирован на украинских пользователей, что не мешает распространять его по всему миру. 
Сервис ID Ransomware зафиксировал пострадавших из Украины, России и Нидерландов. 

Записка с требованием выкупа называется: Paxynok.html (от слова "рахунок" - это "счёт" на украинском).

Содержание записки о выкупе:
ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР
13 69 9B 5F 1E ***
ВАШІ ФАЙЛИ ТИМЧАСОВО НЕДОСТУПНІ.
ВСІ ВАШІ ДАНІ БУЛИ ЗАШІВРОВАННИ!
Для відновлення даних потрібно дешифратор.
Щоб отримати дешифратор, ви повинні:
Оплатити послуги розшифровки:
Оплата відбувається за коштами біткойн (BTC):
Вартість послуги складає 2500 гривень
Оплату можна провести в терміналі IBox.
Інструкція по оплаті:
1. Знайти найближчий термінал Айбокс Айбокс
за допомогою рядка пошуку знайти сервіс «Btcu.biz».
2. Ввести свій номер телефону.
3. Внести суму 2500 грн
4. Роздрукувати і зберегти чек.
5. Зайти на сайт btcu.biz.
6. У розділі «Купити» => «За готівку в терміналі» ввести код з чека (підкреслять червоним), ввести капчу, ознайомитися і погодитися з Умовами використання і натиснути кнопку «Оплатити». 
---
Переконатися, що код прийнятий і сума збігається з внесеної в термінал.
7. Після того, як код був коректно прийнятий системою, натисніть «Далі» для вибору способу отримання коштів.
---
8. Виберіть розділ «Поповнити ВТС-адреса», введіть адресу - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY і капчу, натисніть кнопку «Відправити».
---
9. Після оплати:
Надіслати скріншот платежу на systems64x@tutanota.com
У листі вкажіть свій особистий ідентифікатор (подивіться на початок цього документа).
10. Після отримання дешифратора і інструкцій, зможете продожам роботу.
Додаткова інформація:
Програма можемо дешифрувати один файл як доказ того, що у неї є декодер. Для цього необхідно надіслати зашифрований файл на пошту: systems64x@tutanota.com 
Увага!
Ні оплати = Немає розшифровки
Ви дійсно отримуєте дешифратор після оплати
Не намагайтеся видалити програму або запустити антивірусні інструменти
Спроби самодешіфрованія файлів приведуть до втрати ваших даних
Декодери інших користувачів не сумісні з вашими даними, оскільки унікальний ключ шифрування кожного користувача.
З повагою.

Примерный перевод записки на английский язык (in English):
YOUR PERSONAL IDENTIFIER
13 69 9B 5F 1E ***
YOUR FILES ARE TEMPORARILY UNAVAILABLE.
ALL YOUR DATA HAS BEEN ENCRYPTED!
To recover data you need decryptor.
To get the decryptor you should:
The payment is made from bitcoin (BTC):
The cost of the service is 2500 UAH
Payment can be made in the IBox terminal.
Payment instruction:
1. Find the nearest Aybox Aibox terminal
Use the search bar to find the service "Btcu.biz".
2. Enter your phone number.
3. Make the amount of 2500 UAH.
4. Print and save the receipt.
5. Login to btcu.biz.
6. In the "Buy" => "For cash in the terminal" section, enter the code from the check (underlined in red), enter the captcha, read and agree to the Terms of Use and click the "Pay" button.
check
Make sure that the code is accepted and the amount is the same as that entered in the terminal.
7. After the code was correctly accepted by the system, click "Next" to select the method of receiving funds.
Site
8. Select the section "Add to the BTC address", enter the address - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY and captcha, press the "Send" button.
Site2
9. After payment:
Send a screenshot of the payment to systems64x@tutanota.com
In the letter, enter your personal identifier (see the beginning of this document).
10. After receiving the decoder and instructions, you can continue to work.
Additional Information:
The program can decrypt one file as proof that it has a decoder. To do this, send an encrypted file to the mail: systems64x@tutanota.com
Attention!
No payment = No decryption
You really get the decoder after payment
Do not try to remove the program or run antivirus tools
Attempts to self-decrypt files will result in the loss of your data
Other users' decoders are not compatible with your data, as the unique encryption key for each user.
Regards.

Перевод записки на русский язык:
ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР
13 69 9B 5F 1E ***
ВАШИ ФАЙЛЫ ВРЕМЕННО НЕДОСТУПНЫ.
ВСЕ ВАШИ ДАННЫЕ БЫЛИ ЗАШИФРОВАНЫ!
Для восстановления данных нужен дешифратор.
Чтобы получить дешифратор, вы должны:
Оплатить расшифровку:
Оплата делается из средств биткоин (BTC):
Стоимость услуги составляет 2500 гривен
Оплату можно сделать в терминале IBox.
Инструкция по оплате:
1. Найти ближайший терминал Айбокс Айбокс
с помощью строки поиска найти сервис «Btcu.biz».
2. Ввести свой номер телефона.
3. Внести сумму 2500 гривен.
4. Распечатать и сохранить чек.
5. Войти в btcu.biz.
6. В разделе «Купить» => «За наличные в терминале" ввести код с чека (подчеркнут красным), ввести капчу, ознакомиться и согласиться с Условиями использования и нажать кнопку «Оплатить».
---
Убедиться, что код принят и сумма совпадает с внесенной в терминал.
7. После того, как код был корректно принят системой, нажмите «Далее» для выбора способа получения средств.
---
8. Выберите раздел «Пополнить ВТС-адрес», введите адрес - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY и капчу, нажмите кнопку «Отправить».
---
9. После оплаты:
Отправьте скриншот платежа на systems64x@tutanota.com
В письме укажите свой личный идентификатор (смотрите в начале этого документа).
10. После получения дешифратора и инструкций, сможете продолжить работу.
Дополнительная информация:
Программа можем дешифровать один файл как доказательство того, что у нее есть декодер. Для этого необходимо прислать зашифрованный файл на почту: systems64x@tutanota.com 
Внимание!
Нет оплаты = Нет расшифровки
Вы действительно получите дешифратор после оплаты
Не пытайтесь удалить программу или запустить антивирусные инструменты
Попытки самодешифрования файлов приведут к потере ваших данных
Декодеры других пользователей не совместимы с вашими данными, поскольку уникальный ключ шифрования у каждого пользователя.
С уважением.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов командой:
Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Paxynok.html
wmodule.exe
<random>.exe
<random>.tmp

Расположения:
%TEMP%\<random>.tmp
\AppData\Roaming\Microsoft\random\<random>.exe
\User_folders\Paxynok.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: systems64x@tutanota.com
systems32x@gmail.com
BTC: 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as PSCrypt)
 Write-up, Topic of Support
 Video review

 Thanks: 
 BleepingComputer, Lawrence Abrams
 Michael Gillespie
 Alex Svirid
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

aZaZeL

aZaZeL Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название написано в записке о выкупе: aZaZeL.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Encrypted

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: File_Encryption_Notice.txt

Содержание записки о выкупе:
***
Your files are encrypted!!! 
***
Your documents,photos, databases & other important files have been encrypted with
strongest encryption & unique key, generated for this computer. 
We offer you to purchase special application for recovery access to your encrypted
files. Getting the decryptor is the only opportunity not to loose your file from pc
forever.
===
Your lock id:
0x[redacted hex][WIN_7]VN:A
===
Without a decryption tool it is imposible to recover your files. So
keep your lock id very safe else you can never recover your files.
It will be better if you note it somewhere outside your pc on the paper.
***
To purchase the decryption tool follow these steps:
***
1.Register a Bitcoin(BTC) wallet at (www.blockchain.info/wallet/new)
 (Properly note your Bitcoin wallet address and Identifier address which you require to login to your BTC wallet)
2.If you dont have Bitcoins, you can buy them at (www.coinmama.com)
Here are the detail steps which will help you to buy buitcoins
===
Step 1: Goto (www.coinmama.com/register) and register your account there using your email id.
Step 2: After you register an account, you need to Signup/Login to your coinmama account.
Step 3: Then Choose the amount of Bitcoin (0.1 BTC) you need to buy.
Step 4: Choose a method of payment. You need to select the one of the available methods of payment
        (Recommended: Western union or Moneygram)
Step 5: Note the details given for money transfer(eg:account holder's name, address,etc)
Step 6: Deposit the given amount of money in Western union or Moneygram near your location to the given details.
Step 7: After you deposit the cash, you will receive a transfer receipt with important information (eg:MTCN number).
Step 8: Only then goto next step (i.e. Complete your order) to assure a successful transfer.
Step 9: Copy the exact information as stated on your transfer receipt in the form.
Step 10: Enter your Bitcoin wallet address properly in the form then update order.
         Your order will be processed once your transfer clears in their account.
         They will update you by email, moments after sending your Bitcoins.
===
Other site to buy Bitcoins (www.localBitcoins.com)
(First time Bitcoin buyers guide available at (https://en.Bitcoin.it/wiki/First-time_buyers_guide)
3.After you buy Bitcoins, transfer Bitcoins to the details given below
Account details:
===
# Amount to transfer: 0.1 BTC(approx.$46 US Dollars)
# Transfer to bitcoin address: 1MaBogxRSscjxsdcsEr6ymtkV9SdGLfuxf
**Check bitcoin address properly before payment**
===
Only after the payment
===
Mail us to receive the decryption tool
Mailing details:
===
# Mail to: azazel-bot@india.com
# Subject: Decryptor Request
# Message: Message us the following details:
          1.Your lock id (see at the top)
          2.Email id: Your email id in which you wish to receive the decryptor.
          3.BTC address: Your bitcoin wallet address from which you have made the payment.
(You can also mail us to get a guide on How to buy Bitcoins)
===
Special Warning!!!
===
Donot try to rename or be oversmart with those encrypted files, else they cant be
decrypted back & you will loose them forever.
#Files EnCrYpTeD by aZaZeL

Перевод записки на русский язык:
Ваши файлы зашифрованы !!!
***
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с самым сильным шифрованием и уникальный ключом, созданным для этого компьютера.
Мы предлагаем вам приобрести специальное приложение для восстановления доступа к зашифрованным файлам. Получение дешифратора - единственная возможность не потерять ваш файл на ПК навсегда.
===
Ваш lock id:
0x [redacted hex] [WIN_7] VN: A
===
Без инструмента дешифрования невозможно восстановить файлы. Потому cохраните ваш lock id, иначе вы никогда не сможете восстановить свои файлы.
Будет лучше, если вы заметите это где-то вне вашего ПК на бумаге.
***
Чтобы приобрести инструмент дешифрования, выполните следующие действия:
***
1. Зарегистрируйте Биткойн-кошелек (BTC) на (www.blockchain.info/wallet/new)
 (Обратите внимание на свой адрес Биткойн-кошелька и ID-адрес, который требуется для входа в ваш кошелек BTC)
2. Если у вас нет биткойнов, вы можете купить их на сайте (www.coinmama.com)
Вот подробные шаги, которые помогут вам купить биткоины
===
Шаг 1: Идите на (www.coinmama.com/register) и зарегистрируйте там свою учетную запись, используя ваш email id.
Шаг 2. После регистрации учетной записи вам надо войти в свою учетную запись на coinmama.
Шаг 3: Затем выбрать количество биткоинов (0.1 BTC), которое вам нужно купить.
Шаг 4. Выбрать способ оплаты. Вам нужно выбрать один из доступных способов оплаты
        (Рекомендуется: Western Union или Moneygram)
Шаг 5: Обратите внимание на данные, указанные для перевода денег (например: имя владельца учетной записи, адрес и т.д.).
Шаг 6: Депозит данной суммы денег в Western Union или Moneygram рядом с вашим местоположением для подробных данных.
Шаг 7: После внесения наличных денег вы получите квитанцию ​​о переводе с важной информацией (например: номер MTCN).
Шаг 8: Только после этого перейдите к следующему шагу (т.е. Complete your order), чтобы обеспечить успешную передачу.
Шаг 9: Скопируйте точную информацию, указанную в вашей передаче, в форме.
Шаг 10: Введите свой биткойн-кошелек правильно в форме, а затем обновите заказ.
         Ваш заказ будет обработан, как только ваш перевод будет очищен на их счете.
         Они будут обновлять вас по email, через несколько минут после отправки ваших биткоинов.
===
Другой сайт для покупки биткоинов (www.localBitcoins.com)
(Впервые руководство для покупателей биткоинов доступно по адресу (https://en.Bitcoin.it/wiki/First-time_buyers_guide)
3. После покупки биткоинов передайте биткоины на приведенные ниже данные
Детали учетной записи:
===
# Сумма перевода: 0,1 BTC (около 46 долларов США)
# Перевод на биткоин-адрес: 1MaBogxRSscjxsdcsEr6ymtkV9SdGLfuxf
** Проверьте биткоина-адрес должным образом перед оплатой **
===
Только после оплаты
===
Отправьте нам запрос на получение средства дешифрования
Детали отправки:
===
# Mail to: azazel-bot@india.com
# Тема: Decryptor Request
# Сообщение: Сообщите нам следующие данные:
          1. Ваш lock id (см. вверху)
          2. Email id: ваш email id, на который вы хотите получить дешифратор.
          3. BTC адрес: Ваш адрес биткойн-кошелека, с которого вы сделали платеж.
(Вы также можете отправить нам письмо, чтобы получить руководство о том, как купить биткойны)
===
Специальное предупреждение !!!
===
Не пытайтесь переименовывать или умничать с этими зашифрованными файлами, иначе их нельзя будет дешифровать назад, и вы потеряете их навсегда.
#Files EnCrYpTeD by aZaZeL

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
File_Encryption_Notice.txt
<random>.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: azazel-bot@india.com
BTC: 1MaBogxRSscjxsdcsEr6ymtkV9SdGLfuxf
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as aZaZeL)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

NSMF

NSMF Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 5 BTC, чтобы вернуть файлы. Оригинальное название написано на файле и в записке.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> NSMF

К зашифрованным файлам добавляется расширение .nsmf

Активность этого крипто-вымогателя пришлась на середину июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
Files has been encrypted with NSMF (Nigga Stone My Files)
Send me 5 bitcoins or pizza
And I also hate night clubs, desserts, being drunk.
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMW

Перевод записки на русский язык:
Файлы были зашифрованы с NSMF (Nigga Stole My Files)
Пришлите мне 5 биткоинов или пиццу
И я тоже ненавижу ночные клубы, десерты, пьяных.
12t9YDPgwueZ9NyMgw519p7AA8isjr6SMW

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

На момент публикации шифровались только файлы на Рабочем столе. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
NSMF.exe
readme.txt

Расположения:
\Desktop\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***vistafan12.eu***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Trojan-Syria

Trojan-Syria Ransomware

Wana Decrypt0r Trojan-Syria Editi0n

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: Wana Decrypt0r Trojan-Syria Editi0n.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Hidden Tear >> Trojan-Syria

Имеет функционал для шифрования (код из Hidden Tear), но на момент написания статьи ещё не шифровал файлы. После шифрования к файлам должно было добавляться расширение: .Wana Decrypt0r Trojan-Syria Editi0n

Первый образец этого крипто-вымогателя был найдет в середине июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Новый образец был презентован 18 июня. Он уже шифрует файлы и добавляет к зашифрованным файлам расширение .wannacry

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops, Your Files Have Been Encrypted !!!
What Happened To My Computer?
your important files are encrypted.
many of your documents, photos, videos, and other files are no longer
accessible because they have been encrypted, maybe you are busy looking
way to recover your files, but do not waste your time, nobody can recover
your files without our decryption service.
Can I Recover My Files?
sure we guarantee that you can recover all your files safely and easily.
but you have not so enough time.
if you need to decrypt your files, yo need to pay.
you only have 3 days to submit the payment.
after that the price will be doubled or your files and computer will be destroyed
How Do I Pay?
payment is accepted in bitcoin only, for more information, click <About Bitcoin>
check the current price of bitcoin and buy some bitcoin. for more information,
click <HowTo Buy Bitcoin>
and send correct amount to the address below
after your payment, click <Check Payment> to to decrypt your files.
Send $50 Worth In Bitcoin To This Address
[BTC] button [Copy]
button [Check Payment]

Перевод записки на русский язык:
Упс, ваши файлы зашифрованы !!!
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео и других файлов больше не являются, потому что они зашифрованы, может быть, вы заняты поиском способа восстановления ваших файлов, но не тратьте впустую свое время, никто не сможет восстановить ваши файлы без нашей службы расшифровки.
Могу ли я восстановить мои файлы?
Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко.
Но у вас недостаточно времени.
Если вам нужно расшифровать ваши файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы отправить платеж.
После этого цена будет удвоена или ваши файлы и компьютер будут уничтожены.
Как мне оплатить?
Оплата принимается только в биткоинах, для получения информации нажмите <О биткоинах>
Проверьте текущую цену биткоина и купите биткоины. Чтобы получить больше информации,
нажмите ссылку <HowTo Buy Bitcoin> и отправьте правильную сумму по указанному ниже адресу.
После оплаты нажмите кнопку <Check Payment>, чтобы расшифровать ваши файлы.
Отправьте $50 в биткоинах в этот адрес
[BTC] кнопка [Copy]
кнопка [Check Payment]

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .bmp, .csv, .doc, .docx, .exe, .flv, .gif, .html, .jpeg, .jpg, .mdb, .mp3, .mp4, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .rtf, .sln, .txt, .xls, .xlsx, .xml, .zip (29 расширений).
Это документы MS Office, PDF, текстовые файлы, веб-файлы, файлы изображений, файлы проектов, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
Wana Decrypt0r Trojan-Syria Editi0n.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ 1st sample >>
VirusTotal анализ 2st sample >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 февраля 2018:
Пост в Твиттере >>
🎥 Видеоролик >>
Файл: Wana Decrypt0r New Editi0n1.exe
Название файла: Wana Decrypt0r Trojan-Syria Editi0n
Сумма выкупа: $250
BTC: 1NZopt9YGRuCP6XDDVSE4g468Jv3XEmWBH
Файл на обои: %APPDATA%\img.jpg
Результаты анализов: HA + VT

Экран блокировки, изображение на обои и значок файла на рабочем столе

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 🎥 Video review

 - видеообзор от CyberSecurity GrujaRS

 Thanks: 
 MalwareHunterTeam
 Karsten Hahn
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.