Strix, Null

Strix Ransomware
Null Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Strix. На файле написано: strix.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .null

Тестовой образец этого крипто-вымогателя был обнаружен в середине августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your files are encrypted with AES-256! It's impossible to recover your files without our decryption service and this programm. It's recommended that you turn off your antivirussoftware now because it may removes this programm.

Перевод записки на русский язык:
Ваши файлы зашифрованы с помощью AES-256! Невозможно восстановить файлы без нашей службы дешифрования и этой программы. Рекомендуется отключить антивирусную программу, т.к. она может удалить эту программу.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
strix.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

InfiniteTear

 InfiniteTear Ransomware

The_Last Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью AES/RSA, а затем требует выкуп в 260$ в BTC, чтобы вернуть файлы. Оригинальное название: The_Last. На файле написано: The_Last.exe. Имеется также комментарий: InfiniteTear_Protector.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear (modified) >> InfiniteTear

К зашифрованным файлам добавляется расширение .JezRoz

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Important_Read_Me.txt

Содержание записки о выкупе (Illiteracy of the original):
AAAA323630***
.......................END........................
What happened to my computer?
All of your personal files, such as documents, photos, videos, databases and files that you need, have been removed from your secure cryptography.
You need to pay for your personal files to be decrypted.
Maybe you're looking for a way out of the internet to reopen your files. We will endow you no one but us able to reopen your encrypted files!
So what should I do now?
All you need to do is pay the amount requested to our Bitcoin account and then send the personal identification key to our email address.
Why should I trust you?
We are not dishonest users and guarantee the return of all your missing files. To do this, you can decode 2 of your files by sending us free of charge.
Warning:
After this message, you have only 7 days to pay the requested amount of time. After that time, your key will be deleted from our server and you will not be able to access any of your files even if the requested amount is paid and remember any attempts to manipulate your encrypted files by the program.
Miscellaneous or other people may cause the file to be lost.
Pament : 260$
Email : InfinityShadow@Protonmail.com
BitCoin Address : 18vsVuzW7oQLQX2u6UmGw9SzhmGntbEQoJ

Перевод записки на русский язык ("грамота" оригинала):
Что случилось с моим компьютером?
Все ваши личные файлы, такие как документы, фото, видео, базы данных и файлы, которые вам нужны, были удалены из вашей защищенной криптографии.
Вам нужно заплатить за ваши дешифрованные личные файлы.
Возможно, вы ищете способ в Интернете, как открыть ваши файлы. Мы не позволим никому, кроме нас открыть ваши зашифрованные файлы!
Итак, что мне теперь делать?
Все, что вам нужно сделать, это заплатить требуемую сумму на наш счет Bitcoin, а затем отправить персональный идентификационный ключ на наш email-адрес.
Почему я должен вам доверять?
Мы не являемся нечестными пользователями и гарантируем возврат всех ваших недостающих файлов. Для этого вы можете декодировать 2 ваших файла, отправив нам бесплатно.
Предупреждение:
После этого сообщения у вас есть только 7 дней, чтобы заплатить запрошенное количество времени. После этого ваш ключ будет удален с нашего сервера, и вы не сможете получить доступ к каким-либо вашим файлам, даже если запрашиваемая сумма будет оплачена, и запомните, все попытки манипулировать вашими зашифрованными файлами программой.
Разное или другие люди могут привести к потере файла.
Оплата: 260$
Email: InfinityShadow@Protonmail.com
Bitcoin-адрес: 18vsVuzW7oQLQX2u6UmGw9SzhmGntbEQoJ

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Использует Telegram как C&С-сервер для пересылки информации пользователя.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
'<SYSTEM32>\cmd.exe' /C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
'<SYSTEM32>\cmd.exe' /C Bcdedit.exe /set {default} recoveryenabled no
'<SYSTEM32>\cmd.exe' /C vssadmin.exe delete shadows /all /Quiet
'<SYSTEM32>\cmd.exe' /C WMIC.exe shadowcopy delete

➤ Очищает журналы Windpws, приложений, событий безопасности, используя команды:
'<SYSTEM32>\cmd.exe' /C wevtutil.exe cl Application
'<SYSTEM32>\cmd.exe' /C wevtutil.exe cl Security
'<SYSTEM32>\cmd.exe' /C wevtutil.exe cl System

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и пр.

Файлы, связанные с этим Ransomware:
Important_Read_Me.txt
The_Last.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
geoip.nekudo.com (95.85.46.50)
api.telegram.org (149.154.167.197)
Email: infinityshadow@protonmail.com
BTC: 18vsVuzW7oQLQX2u6UmGw9SzhmGntbEQoJ
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 января 2018:

Пост в Твиттере >> 
Мой пост в Твиттере >>
Версия: InfiniteTear v.2
Расширение: .Infinite
Записка: #How_Decrypt_Files.txt
Email: InfiniteDecryptor@Protonmail.com
BTC: 13CLqsz5FeRtYhFNmMaRgnazs4ekkgxwk5
Сумма выкупа: 120$
Зашифрованные файлы переименовываются: 
S6-iSF0PsPeGWckSR.Infinite, S5-Z7ZUM3fFar93f.Infinite


Обновление от 2 февраля 2018: 
Пост в Твиттере >>
Версия: InfiniteTear v.3
Расширение: .Infinite
Записка: #How_Decrypt_Files.txt
Email: InfiniteDecryptor@Protonmail.com
Запрос проверки IP: http://icanhazip.com
Файлы: Host32.exe, Host64.exe
Фальш-копирайт: Microsoft
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as InfiniteTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo
 Michael Gillespie
 Lawrence Abrams‏ 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MMM

MMM Ransomware

TripleM Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью сочетания RSA + AES + HMAC, а затем требует выкуп в 1.2 BTC, чтобы вернуть файлы. Оригинальное название: MMM и TripleM (т.е. три MMM). 

© Генеалогия: MMM (TripleM). 

К зашифрованным файлам добавляются расширения:
0-я версия: .0x009d8a
1-я версия: .triple_m
2-я версия: .MMM
В следующих версиях расширение не используется. 

Активность первоначальной версии этого крипто-вымогателя пришлась на начало августа 2017 г. Другая версия была замечена в конце декабря 2017-го. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
На август пришлась 0-я версия, в конце декабря - 1-я версия. 

Записка с требованием выкупа в ранней версии называется: RESTORE_0x009d8a_FILES.html

Содержание записки о выкупе:
YOUR UNIQ IDENTIFICATOR: QRM2TR6***
What happend with my files?
All your databases corrupted. All your files has been locked ( encrypted) with Ransomware
 For encrypting we using strong cryptographic algorithm AES256+RSA-2048 .Do not attempt to recover the files yourself.
 You might corrupt your files. We also rewrite all old blocks on HDD and you don`t recover your files with Recuva and other... 
 YOU HAVE ONLY 6 DAYS FOR BUY YOUR DECRYPTION TOOL 
 It is not advised to use third party tools to decrypt,if we find them you ,you will forever lose your files. 
How i can restore my files?
Go to BTC exchange services and buy 1,2 Bitcoin 3) Send it to address 151F8ufANwCohXzteZ2mauvHLvkS8WmEFT and write us email to address unransom@mail.com for giving your key and decryption tool. In subject write your Unique ID 
BTC Guide:
Top BTC exchange sites: LocalBitcoins (We recomend), Coinbase, BTC-E, 
Online wallets: BlockchainInfo, Block.io 

Перевод записки на русский язык:
ВАШ УНИКАЛЬНЫЙ ИДЕНТИФИКАТОР: QRM2TR6 ***
Что случилось с моими файлами?
Все ваши базы данных повреждены. Все ваши файлы заблокированы (зашифрованы) с помощью Ransomware
  Для шифрования мы используем сильный криптографический алгоритм AES256 + RSA-2048. Не пытайтесь самостоятельно восстановить файлы.
  Вы можете повредить свои файлы. Мы также переписываем все старые блоки на HDD, и вы не восстанавливаете свои файлы с помощью Recuva и других ...
  У ВАС ЛИШЬ 6 ДНЕЙ ДЛЯ ПОКУПКИ ИНСТРУМЕНТА ДЕШИФРОВАНИЯ
  Не рекомендуется использовать сторонние инструменты для дешифрования, если мы их найдем, вы навсегда потеряете свои файлы.
Как я могу восстановить мои файлы?
Перейдите на службы обмена BTC и купите 1,2 Bitcoin 3) Отправьте их на адрес 151F8ufANwCohXzteZ2mauvHLvkS8WmEFT и напишите нам на email-адрес unransom@mail.com для предоставления ключа и дешифрования. В теме укажите свой уникальный идентификатор
Руководство по BTC:
Лучшие сайты обмена BTC: LocalBitcoins (We recomend), Coinbase, BTC-E, 
Онлайн-кошельки: BlockchainInfo, Block.io 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
MMM.exe (triple_m.exe)
RESTORE_0x009d8a_FILES.html - в 0-й версии
RESTORE_triple_m__FILES.html - в 1-й версии

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC-1: 151F8ufANwCohXzteZ2mauvHLvkS8WmEFT - в 0-й версии
BTC-2: 35iCvpMMnUWcSWrYtLJLXqe9xo5CYEWRhw - в 1-й версии
Email: unransom@mail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 30 декабря 2017:
Шифрование: AES128 + RSA-2048
Пост в Твиттере >>
Название: TripleM (MMM) Ransomware v.1
Версия файла: 1.3.3.9
Расширение: .triple_m
Файл ключа шифрования: *.info
Файлы: MMM.exe, temp_1.bat, reco.bat, bcedit.bat, _ReadMe_.txt.info, _ReadMe_.txt.triple_m
Записка: RESTORE_triple_m__FILES.html
Email: unransom@mail.com
BTC: 35iCvpMMnUWcSWrYtLJLXqe9xo5CYEWRhw
Результаты анализов: VT + HA + IA
Удаляет теневые копии файлов командой: vssadmin delete shadows /all /quiet

 

Скриншот записки и файлов

Обновление от 5 мая 2018:
Пост в Твиттере >>
Расширение: .MMM
GET_YOUR_FILES_BACK.html
BTC: 1MMMSA9WJvM7BjhEqy4cQ4gjUXgKKTJcK3

Обновление от 26 декабря 2018:
Пост в Твиттере >>
Самоназвание: MMM Reborn
Записка: IF_YOU_NEED_FILES_READ_ME.html
Email: mmm_reborn@tutamail.com
BTC: 18NYQLduStwnBS9XiLr8MuHvsmUx6RRQhK 
Файлы зашифрованы в hex-формате и сопровождаются XML-файлом с зашифрованным ключом *.info. Имя файла зашифровано. 
Пример имени зашифрованного файла и файла с ключом: 
BA089CAE47A022AD42AFC7573ED986A1

BA089CAE47A022AD42AFC7573ED986A1.info

➤ Содержание записки: 
NOT YOUR LANGUAGE? Use Google Translate
What happened to your files?
 All of your files were encrypted by a strong encryption with RSA2048
How did this happen? •Specially for your PC was generated personal RSA2048 Key, both public and private.
•ALL YOUR FILES were encrypted with the public key, which has been transferred to your PC via the Internet.
•Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our Server
What do I do? 
So,there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW and restore your data easy way. 
If you have really valuable data, your better not waste your time, because there is no other way to get your files, except payment. 
Your personal ID: [redacted 8 lowercase alphanum].[redacted 3 lowercase alphanum] 
Your personal wallet adress:  18NYQLduStwnBS9XiLr8MuHvsmUx6RRQhK 
 Your price start from 222 BTC , after week he is 333 BTC , after 3 week he is 444 BTC. 10 January your secret key has been deleted. 
Instruction: 
---- Buy Bitcoin on btc exchange sites (Coinbase,Localbitcoins, Coinmama and another).For buy Bitcoin you need confirm your Identify. 
---- Buy Bitcoin offline in ATM or from seller (watch https://coinatmradar.com/blog/how-to-buy-bitcoins-with-bitcoin-atm/ ) 
2)send Bitcoins to  18NYQLduStwnBS9XiLr8MuHvsmUx6RRQhK 
3)Write us to email mmm_reborn@tutamail.com 
4)After we confirm payment - we send you decryption software and Private Key for decrypt your files. 

Обновление от 23-26 марта 2019:
Топик на форуме >>
Пост в Твиттере >>
Подробности об этой версии на форуме BC >>
В этой версии используется встроенный RSA-2048 открытый ключ для защиты уникальных безопасно сгенерированных 16-битных AES-128 и IV 16-битных ключей для каждого файла. Имя файла зашифровано. 
Самоназвание: MMM REBORN V4 ( 4.0.1.6), Copyright © 2018-2019 TRIPLEM
Записка: DECRYPT_FILES.txt
Email: mmm_reborn@tutamail.com
BTC: 1MMMbgkgSS82t4WC4YkXMVCsWAawnrzUpP
Файл EXE: RebornMMM.exe
Другие файлы: wrlvdtte.5g4.txt, ecorp.bat
Результаты анализов: VT + IA + AR

➤ Содержание записки:
TRIPLEM(MMM) REBORN RANSOMWARE v4
What happened to your files?
Your stupid IT Dept. not secure your systems and all of your files were encrypted.
Your files were encrypted by a strong encryption with RSA2048.
What do I do?
So,there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW and restore your data easy way.
If you have really valuable data, your better not waste your time, because there is no other way to get your files, except payment.
You can send to mmm_reborn@tutamail.com 2-3 random files < 2mb and we decrypt it for free.
!!!DO NOT TRY RESTORE YOUR FILES.
!!!DO NOT USING DIFFERENT DECRYPTION SOFTWARE. 
!!!FILES MAY BE DECRYPTED ONLY WITH OUR SOFTWARE.
YOUR PERSONAL DETAILS
YOUR DECRYPTION PRICE: 
IF YOU PAY WITHIN 7 DAY - 8 BITCOIN 
IF YOU NOT PAY WITHIN 7 DAY - 12 BITCOIN 
WALLET ADRESS:1MMMbgkgSS82t4WC4YkXMVCsWAawnrzUpP
UNIQ USER ID: wrlvdtte.5g4
INSTRUCTION
1) Buy Bitcoin on btc exchange sites (Coinbase, Localbitcoins, Coinmama and another).
For buy Bitcoin you need confirm your Identify.
Buy Bitcoin offline in ATM or from seller https://coinatmradar.com/ 
2) Send BITCOIN to your personal wallet adress 
1MMMbgkgSS82t4WC4YkXMVCsWAawnrzUpP
3) Write us to email mmm_reborn@tutamail.com in subject write your UNIQ USER ID
4) After we confirm payment - we send you  decryption software and Private Key for decrypt your files. 
TRIPLEM(MMM) REBORN RANSOMWARE v4


Обновление от 1-16 июля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Самоназвание: TRIPLEM(MMM) REBORN RANSOMWARE v4
Записка: DECRYPT_FILES.txt
Email: mmm_reborn@tutamail.com 
BTC: 1MMMbgkgSS82t4WC4YkXMVCsWAawnrzUpP
Результаты анализов: VT + IA + AR  / VT + VMR

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы в некоторых случаях можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
****

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as MMM)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 A Shadow
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

ShinigamiLocker

ShinigamiLocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью DES, а затем требует выкуп в $50 или 0.01816 BTC, чтобы вернуть файлы. Оригинальное название: SHINIGAMI LOCKER. На файле написано: rANSOM.exe. Среда разработки: Visual Studio 2017. Разработчик: narzull. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .shinigami
Файлы также переименовываются с помощью <hex> 8-ю знаками. 
Примеры: 
1104d13c.shinigami
265d538c.shinigami
3b170f51.shinigami

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
SHINIGAMI LOCKER
YOU HAVE BEEN HACKED
YOUR FILES WERE ENCRYPTED
GET RID OF THIS IN FEW STEPS
STEP1 GO TO https://localbitcoins.com/
STEP2 PAY THE EXACT AMOUNT
REQUEST DELOW. MAKE SURE YOU PAY IT TO THE CORRECT ADDRESS
STEP 3 WAIT UNTIL THE PAYMENTIS CONFIRMED AND ENJOY YOUR PC
-
YOU NEED TO PAY BITCOIN WORTH 50$!
ANY ATTEMT ON CLOSING OR DELETING THIS SOFTWARE WILL DAMAGE YOUR PC
-
AMMOUNT: 50 $ ~ 0.01816 BTC BITCOIN WALLET FOR PAYMENT 1MBPSrn46eEVBHoypyjgfdCCf5DQxQsx3f

Перевод записки на русский язык:
SHINIGAMI LOCKER
Вас взломали
Ваши файлы были зашифрованы
Избавьтесь от этого за несколько шагов
Шаг1 перейдите к https://localbitcoins.com/
Шаг 2 заплатите точную сумму
Запросите предложение. Проверьте, что вы платите это на правильный адрес
Шаг 3 Подождите, пока оплата будет подтверждена и пользуйтесь вашим ПК
-
Вам нужно заплатить биткойны на сумму 50$!
Любая попытка закрыть или удалить эту программу повредит ваш ПК
-
Сумма: 50 $ ~ 0.01816 BTC биткойн-кошелек для оплаты
1MBPSrn46eEVBHoypyjgfdCCf5DQxQsx3f

В другом варианте вымогательства было написано:

You need to pay bitcoin worth 100$ !
Вам нужно заплатить биткойны на сумму 100$!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1MBPSrn46eEVBHoypyjgfdCCf5DQxQsx3f
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ShinigamiLocker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Xorist-CerBerSysLock

Xorist-CerBerSysLock Ransomware

CerberImposter Ransomware  

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. Фальш-имя: Cerber Ransomware. Это можно назвать  CerberImposter. т.к. он выдает себя за Cerber Ransomware.  

© Генеалогия: Xorist >> Xorist-CerBerSysLock

К зашифрованным файлам добавляется расширение .CerBerSysLocked0009881

Этот шифровальщик не только шифрует файлы, но и забивает нулями начало файлов, а небольшие файлы только переименовывает. 

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. и продолжилась в декабре. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Записка, использованная в августе, не была предоставлена, потому для образца мы использовали запсику от 7 декбаря 2017. По сути они почти одинаковые. 

Содержание записки о выкупе:
Problem with your Files ?
Don't worry! Your files are SAFE!
Files are Backed up by our Service!
***
Hi, I'am CERBER RANSOMWARE ;)
YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
The only way to decrypt your files is to receive the private key and decryption program.
Contact Email : TerraBytefiles@scryptmail.com
Subject PRIVATE-ID: CerBerSysLocked0009881
!!! ANY ATTEMPTS TO RESTORE YOUR FILES WITH THE THIRD-PARTY SOFTWARE WILL BE FATAL FOR YOUR FILES. !!!
!!! IF YOU ATTEMPT TO RECOVER YOUR DATA WITH OTHER SOFTWARE THE RANSOMWARE WILL SE THIS ACTION.!!!
!!! AND WILL GENERATE ANOTHER CODE ON THE FILES THAT WILL BE IMPOSSIBLE TO RECOVER THEM BACK.!!!
!!!!!PLEASE NE REZONABLE!!!!!
!!! AND FOLLOW THE INSTRUCTION BY CONTACTING THE EMAIL ADDRESS ABOVE. !!!

Перевод записки на русский язык:
Проблема с файлами?
Не волнуйтесь! Ваши файлы ЦЕЛЫ!
Файлы защищены нашим сервисом!
Привет, я CERBER RANSOMWARE;)
ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
Единственный способ расшифровать ваши файлы - это получить секретный ключ и программу дешифрования.
Контактный email-адрес: TerraBytefiles@scryptmail.com
Тема письма PRIVATE-ID: CerBerSysLocked0009881
!!! ЛЮБЫЕ ПОПЫТКИ  ВОССТАНОВЛЕНИЯ ВАШИХ ФАЙЛОВ С ПРОГРАММАМИ  ТРЕТЬЕЙ СТОРОНЫ БУДУТ ФАТАЛЬНЫ ДЛЯ ВАШИХ ФАЙЛОВ. !!!
!!! ЕСЛИ ВЫ ПОПЫТАЕТЕСЬ ВОССТАНОВИТЬ ВАШИ ДАННЫЕ С ДРУГИМИ   ПРОГРАММАМИ, RANSOMWARE ЗАМЕТИТ ЭТО ДЕЙСТВИЕ. !!!
!!! И СОЗДАСТ ДРУГОЙ КОД ДЛЯ ФАЙЛОВ, КОТОРЫЕ БУДЕТ НЕВОЗМОЖНО  ВЕРНУТЬ НАЗАД. !!!
!!!!! ПОЖАЛУЙСТА, НЕ ПЕРЕДЕЛЫВАЙТЕ !!!!!
!!! И СЛЕДУЯ ИНСТРУКЦИИ НАПИШИТЕ НА EMAIL-АДРЕС ВЫШЕ. !!!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, загрузчика Trickbot, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
asdofbuasdif.exe 
<random>.exe
HOW TO DECRYPT FILES.txt

Расположения:
%APPDATA%\services\<random>.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: TerraBytefiles@scryptmail.com

Email-2: Cerber_RansomWare@qq.com
См. ниже результаты анализов.

Результаты анализов:

VirusTotal на файл asdofbuasdif.exe >>

Intezer Analyser на файл asdofbuasdif.exe >>

Hybrid Analysis - файл Trickbot >>
VirusTotal - файл Trickbot >>
VXvault.net на файл Trickbot >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 7 декабря 2017: 

Сообщение >> 

Записка: HOW TO DECRYPT FILES.txt

Расширение: .Cerber_RansomWare@qq.com

Email: TerraBytefiles@scryptmail.com, Cerber_RansomWare@qq.com

Записка: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
Problem with your Files ?
Don't worry! Your files are SAFE!
Files are Backed up by our Service!
You need to buy Cerber Decryptor v5.0 updated 2017-November
Hi, I'am CERBER RANSOMWARE ;)
YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED!
The only way to decrypt your files is to receive the private key and decryption program.
Contact Email : TerraBytefiles@scryptmail.com
Subject PRIVATE-ID: CerBerSysLocked0009881
!!! ANY ATTEMPTS TO RESTORE YOUR FILES WITH THE THIRD-PARTY SOFTWARE WILL BE FATAL FOR YOUR FILES. !!!
!!! IF YOU ATTEMPT TO RECOVER YOUR DATA WITH OTHER SOFTWARE THE RANSOMWARE WILL SE THIS ACTION.!!!
!!! AND WILL GENERATE ANOTHER CODE ON THE FILES THAT WILL BE IMPOSSIBLE TO RECOVER THEM BACK.!!!
!!!!!PLEASE NE REZONABLE!!!!!
!!! AND FOLLOW THE INSTRUCTION BY CONTACTING THE EMAIL ADDRESS ABOVE. !!!

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 

Внимание!  
Для зашифрвоанных файлов есть дешифровщик. 
Скачайте Emsisoft Decryptor for Xorist по ссылке >>

 Thanks: 
 Michael Gillespie, S!Ri, Alex Svirid
 Andrew Ivanov (article author)
 *** 

© Amigo-A (Andrew Ivanov): All blog articles.