KingOuroboros

KingOuroboros Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $30-$50-$80 в BTC, чтобы вернуть файлы. Название оригинальное. Написан на AutoIt. Фальш-имя: Java Update Scheduler. На файле написано: jusched.exe. 

© Генеалогия: CryptoWire + AutoTRON >> KingOuroboros

Изображение Короля-Уробороса. Это логотип статьи.

К зашифрованным файлам добавляется расширение .king_ouroboros, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.king_ouroboros.original_file_extension. 
Пример зашифрованного файла: Chrysanthemum.king_ouroboros.jpg


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Примечательно, что участники группы, распространяющие этот шифровальщик, довольно часто снижают сумму выкупа для тех пострадавших, кто это просит, не имея указанной суммы в записке о выкупе. В июне 2018 сумма выкупа снижена аж до $30. Такая довольно небольшая плата за собственную безалаберность в компьютерных вопросах — очень редкое явление. Обычно вымогатели требуют выкуп по-максимуму и не идут на компромисс. 

Не хотите попадаться на выкуп? Это просто! Изучите мои статьи:

10 способов защиты от шифровальщиков-вымогателей

Лучшие базовые методы профилактики и защиты 

Ранняя активность этого крипто-вымогателя пришлась на вторую половину июня 2018 г. Потом были выпущены новые версии. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Имеется текстовая записка о выкупе, но она первоначально не была представлена исследователями. 

Запиской с требованием выкупа выступает блокировщик экрана с заголовком Delta.

Содержание текста с экрана:
Your files has been safely encrypted

---

Encrypted files: 276

**********

---

[Buy Bitcoins] [Decrypt Files] (Decryptionkey)

---

The only way you can recover your files is to buy a decryption key

The payment method is: Bitcoin. The price is: $50 = Bitcoins

After buying the amount of bitcoins send an email

to king.ouroboros@protonmail.com Your ID: *****

We will provide you with payment address and your decryption key.

You have 72 Hours to complete the payment otherwise your key will be deleted.

Перевод текста с экрана на русский язык:
Ваши файлы были безопасно зашифрованы

---

Зашифрованных файлов: 276

**********

---

[Купить биткойны] [Расшифровать файлы] (Ключ дешифрования)

---

Единственный способ восстановить ваши файлы - купить ключ дешифрования

Способ оплаты: биткоин. Цена: $50 в биткоинах

После покупки количества биткоинов отправьте email

на king.ouroboros@protonmail.com Ваш ID: *****

Мы предоставим вам платежный адрес и ключ дешифрования.

У вас есть 72 часа для завершения платежа, иначе ваш ключ будет удален.

Технические детали

При распространении выдаёт себя за Java Update Scheduler, что, разумеется, неправда. Вероятно, может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ UAC не обходит, требуется разрешение. 

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .aaf, .abw, .accdb, .aep, .aepx, .aet, .afsnit, .ai, .aif, .amf, .arc, .arw, .as, .asc, .asd, .asf, .ashdisc, .asm, .asp, .aspx, .asx, .au3, .aup, .avi, .bay, .bbb, .bdb, .bibtex, .bkf, .bmp, .bpn, .btd, .bw, .bz2, .c, .cdi, .cdr, .cer, .cert, .cfm, .cgi, .cin, .cpio, .cpp, .cr2, .crt, .crw, .csg, .csr, .cue, .dbf, .dcr, .dds, .dem, .der, .dib, .dmg, .dng, .doc, .docm, .docx, .dpx, .dsb, .dwg, .dxf, .dxg, .eddx, .edoc, .ei, .eml, .emlx, .eps, .eps, .epub, .erf, .exr, .fdf, .ffu, .flv, .gam, .gcode, .gho, .gpx, .gz, .h, .hbk, .hdd, .hdr, .hds, .himmel, .hpp, .icb, .icml, .ics, .idml, .iff, .img, .indb, .indd, .indl, .indt, .inx, .ipd, .iso, .isz, .iwa, .j2k, .jp2, .jpe, .jpeg, .jpf, .jpg, .jpm, .jpx, .jsp, .jspa, .jspx, .jst, .kdc, .key, .keynote, .kml, .kmz, .lic, .lwp, .lzma, .m3u, .m4a, .m4v, .ma, .max, .mbox, .md2, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mds, .mef, .metadata, .mid, .mos, .mov, .mp3, .mp4, .mpa, .mpb, .mpeg, .mpg, .mpj, .mpp, .mrw, .msg, .mso, .nba, .nbf, .nbi, .nbu, .nbz, .nco, .nef, .nes, .note, .nrg, .nri, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .off, .ogg, .one, .orf, .ova, .ovf, .oxps, .p12, .p2i, .p65, .p7, .p7b, .p7c, .pages, .pct, .pcx, .pdd, .pdf, .pef, .pem, .pfx, .php, .php3, .php4, .php5, .phps, .phpx, .phpxx, .phtm, .phtml, .pic, .pl, .plist, .pmd, .pmx, .png, .ppdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prproj, .ps, .psd, .pspimage, .pst, .ptx, .pub, .pvm, .qcn, .qcow, .qcow2, .qt, .r3d, .ra, .raf, .rar, .raw, .rgb, .rgbe, .rla, .rle, .rm, .rpf, .rtf, .rw2, .rwl, .s, .sbf, .set, .sgi, .skb, .slf, .sme, .smm, .snp, .spb, .sql, .sr2, .srf, .srt, .srw, .ssc, .ssi, .stg, .stl, .svg, .swf, .sxw, .syncdb, .tager, .tc, .tex, .tga, .thm, .tib, .tif, .tiff, .til, .toast, .torrent, .txt, .vbk, .vcard, .vcd, .vcf, .vda, .vdi, .vfs4, .vhd, .vhdx, .vmdk, .vob, .vsdx, .vst, .wav, .wb2, .wbk, .wbverify, .webm, .wmb, .wpb, .wpd, .wps, .x3f, .xdw, .xlk, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xml, .xqx, .xyze, .xz, .yuv, .zip, .zipx (316 расширений без дублей в верхнем регистре). Список обновлен 6 июля 2018. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Замечено, что шифруются также следующие файлы:.bak, .bin, .blf, .contact, .css, .dat, .db, .dot, .dotx, .etl, .feed-ms, .feedsdb-ms, .html, .jar, .js, .json, .LOG1, .onetoc2, .msi, .regtrans-ms, .tmp
Вероятно, что в новых версиях в список целевых файлов вносятся изменения.

Файлы, связанные с этим Ransomware:
README!!! ALL YOUR FILES HAVE BEEN SECURELY ENCRYPTED!!!.txt
jusched.exe
Help.lnk
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: king.ouroboros@protonmail.com
URL: xxxx://savemyfiles.pw
xxxx://orangepresident.pw
xxxx://5vlblodoct6ho26swnmxmemiab5mcpyanorzmhvm3nii6izomrbmc1nttexizgh.pw
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>

𝚺  VirusTotal анализ >> VT>>

ᕒ  ANY.RUN анализ >>

🐞 Intezer анализ >>

Ⓥ VirusBay образец >>

👽 AlienVault анализ >>

🔃 CAPE Sandbox анализ >>

ⴵ  VMRay анализ >>

⨇ MalShare анализ >>

⟲ JOE Sandbox анализ >>

Степень распространённости: средняя.

Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoWire - 27 октября 2016

Lomix - 24 ноября 2016

UltraLocker - 10 декабря 2016

Обновление CryptoWire - 3 марта 2017

Обновление CryptoWire - 5 апреля 2017

Обновление CryptoWire - 12 апреля 2017

Обновления CryptoWire позже не добавлялись

KingOuroboros - июнь 2018, обновление июнь-июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства. 

Обновление от 30 июня 2018:

По данным от Ultimate Decryption Team for Ouroboros. 

Вышла новая доработанная версия.

Email: king.ouroboros@tutanota.de

Визуальных информаторов жертвы теперь несколько:

1) файл: README!!! ALL YOUR FILES HAVE BEEN SECURELY ENCRYPTED!!!.txt

2) блокировщик экрана с заголовком And... It's back!

3) изображение, заменяющее обои Рабочего стола с надписью:

YOU FILES HAVE BEEN ENCRYPTED

READ TXT ON DESKTOP

4) экран входа в Windows

Скриншоты новых визуальных информаторов >>

➤ Содержание записки о выкупе:
All your files have been encrypted!

The encryption key has been sent online and is not public.

You have 10 days time to contact us or you will lose your data.

The only way you can recover your files is to buy a decryption key.

The payment method is: Bitcoins. The price is: $80 = 0.012 52899 Bitcoins

For instruction on recovery send an email to: king.ouroboros@tutanota.de

We will reply within 48 hours.

DO NOT USE ANY ANTIVIRUS PROGRAMS. YOU WILL NOT BE ABLE TO RECOVER YOUR FILES!

Include this ID in the email you send to us: 4037194142

Обновление от 6 июля 2018:
Email-1: king.ouroboros@protonmail.com
Email-2: king.ouroboros@tutanota.de (заблокирован)

Изменения:

Поменялось изображение, заменяющее обои Рабочего стола. 

Сумма выкупа изменена и зависит от числа зашифрованных файлов. 

Выкуп для бизнес-пользователей уменьшен. Максимум $160 за 70000 файлов и $250, если больше. 

Добавлены переводы на 12 языков целевых стран в экране блокировки: английский, германский, греческий, испанский, итальянский, нидерландский, польский, португальский, румынский, русский, турецкий, французский.

Добавлены новые расширения файлов, созданных в программах Adobe Premiere Pro, Adobe After Effects, Adobe InDesign. 

Скриншоты новых визуальных информаторов >>

➤ Содержание записки о выкупе:

All your files have been encrypted!

The encryption key has been sent online and is not public.

You have 10 days time to contact us or you will lose your data.

The only way you can recover your files is to buy a decryption key.

The payment method is: Bitcoins. The price is: 60$ USD = 0.00912944 Bitcoin

For instruction on recovery send an email to: king.ouroboros@tutanota.de

We will reply within 48 hours. If we don't reply send email to king.ouroboros@protonmail.com

DO NOT USE ANY ANTIVIRUS PROGRAMS. YOU WILL NOT BE ABLE TO RECOVER YOUR FILES!

Include this ID in the email you send to us: 4037194142

Обновление от 16 июля 2018:
Новая версия от KingOuroboros.

➤ Записок о выкупе теперь 12, т.е. на всех поддерживаемых языках. 

➤ Сумма выкупа уменьшена до $30.

Для бизнес-пользователей сумма выкупа осталась прежней, но теперь требуется заплатить $250 (максимум), если более 300000 файлов зашифровано. 

В список целей добавлены следующие типы файлов:

.dbf, .err, .fbk, .fdb, .fms, .gdb, .his, .ldf, .res, .sic, .sqe, .tb

Скриншоты новых визуальных информаторов >>

 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as CryptoWire)
 Write-up, Topic of Support
 * 

 Thanks: 
Michael Gillespie, MalwareHunterTeam
Andrew Ivanov
Ultimate Decryption Team for Ouroboros
 *

© Amigo-A (Andrew Ivanov): All blog articles.

CyberSCCP

CyberSCCP Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CyberSCCP. На файле написано: CyberSCCP.exe.

© Генеалогия: HiddenTear >> CyberSCCP

К зашифрованным файлам добавляется расширение: .CyberSCCP

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Files have been encrypted by CyberSCCP
Send me some bitcoin or COOOOOOKIEEEEESSS
And I also hate night clubs, desserts, being drunk. send email to me CyberSCCP@protonmail.com

Перевод записки на русский язык:
Файлы были зашифрованы CyberSCCP
Пришлите мне биткоин или ПЕЧЕНЬЕ
И я также ненавижу ночные клубы, десерты, пьяные. отправьте мне письмо на email CyberSCCP@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CyberSCCP.exe
READ_IT.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: CyberSCCP@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 A Shadow
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

JungleSec

JungleSec Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: JungleSec (указано в заголовке записки о выкупе). Вероятно, что предназначен только для Linux-систем. Как оказалось позже: для Windows, Linux и Mac.

© Генеалогия: выясняется.

Это изображение только логотип статьи

К зашифрованным файлам добавляется расширение: .jungle@anonymousspechcom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ENCRYPTED.md 

Содержание записки о выкупе:
───────────────────────────────────────────────────
JUNGLESEC
───────────────────────────────────────────────────
What happen to my data ?
-----------------------
Your data are encrypted. If you try to bruteforce, change the path, the name or do anything that can alterate a single byte of a file(s) will result
to a fail of the recovery process, meaning your file(s) will be loss for good. 
How can I retrieve them ?
-------------------------
- To known the process, you must first send 0.3 bitcoin to the following address : 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
- Once the payment made, send your email address to junglesec@anonymousspeech.com, do not forget to mention the IP of server/computer
Will you send the process recovery once payment is made ?
--------------------------------------------------------
- We have no interest to not send you the recovery process if payment was made.
- Once the payment is made, you should receive the recovery process to decrypt your data in less 24 hours
By Jungle_Sec

Перевод записки на русский язык:
Что случилось с моими данными?
-----------------------
Ваши данные зашифрованы. Если вы попытаетесь выполнить команду brutforce, измените путь, имя или сделайте всё, что может изменить один байт файла (ов), это приведёт к сбою процесса восстановления, что означает, что ваш файл (ы) будет потерян для хорошего.
Как я могу их получить?
-------------------------
- Чтобы узнать о процессе, вы должны сначала отправить 0.3 биткойна на следующий адрес: 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
- После внесения платежа отправьте свой email-адрес на junglesec@anonymousspeech.com, не забудьте указать IP-адрес сервера / компьютера
Вы отправите процесс восстановления после того, как будет произведен платеж?
-------------------------------------------------- ------
- У нас нет интереса не отправлять вам процесс восстановления, если оплата была произведена.
- После того, как платеж будет произведён, вы должны получить процесс восстановления для дешифрования своих данных менее чем за 24 часа
Jungle_Sec

Технические детали

JungleSec заражает ПК через незащищенные карты IPMI (Intelligent Platform Management Interface). IPMI - это интерфейс управления, встроенный в материнские платы сервера или установленный как дополнительная карта, которая позволяет администраторам удаленно управлять компьютером, включать и выключать их, получать системную информацию и получать доступ к KVM, который предоставляет удаленный консольный доступ. Это полезно для управления серверами, особенно при аренде серверов у другой компании в удаленном центре размещения. Однако, если интерфейс IPMI настроен неправильно или использует пароли от производителя (по умолчанию), это может позволить злоумышленникам удаленно подключиться к вашим серверам и получить контроль над ними с использованием учетных данных по умолчанию.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует программу шифрования ccrypt. После загрузки ccrypt, злоумышленники вручную запускают его для шифрования файлов жертвы. Команда, используемая злоумышленниками, вроде следующей:
/usr/local/bin/ccrypt -e -f -S junglesec@anonymousspeechcom -s -r -l /var/lib

После ввода этой команды злоумышленник вводит пароль, который затем будет использоваться для шифрования файлов.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ENCRYPTED.md 
key.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: junglesec@anonymousspeech.com
BTC: 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 марта 2020:
Пост в Твиттере >>
Расширения (без точек): junglesec@secmailpro
junglesec_secmailpro
Email: junglesec@secmail.pro
BTC: 1JHc83yqwnxt99f7VWJJbpfSzemnMRyj9p
Записка: ENCRYPTED.md 

➤ Содержание записки:
________________________
JUNGLESEC
________________________
/* WARNING */ :
If you do not want to lose the single data, do not attempt to reboot, shutdown or hot kill any working process :
- Doing so could result to a break and make not possible the recovery of one or multiples files.
/* WARNING */
I) What happen to my data ?
___________________________
Your data are encrypted. If you try to bruteforce, change the path, the name or do anything that can alterate a single byte of a file(s) will most likely corrupt
it and made the recovery process not possible anymore, meaning your file(s) will be lost for good.
II) How can I retrieve them ?
________________________
- To known the process, you must first send 1.7 bitcoin to the following address : 1JHc83yqwnxt99f7VWJJbpfSzemnMRyj9p
- Once the payment made, send your email address to junglesec@secmail.pro, do not forget to mention the IP of server/computer
III) Will you send the process recovery once payment is made ?
_______________________________________________________________
- We have no interest to not send you the recovery process if payment is made.
- We can if requested, decrypt one file to prove that the recovery process is working. The file must not exceed 5MB and shall be upload to https://file.io
- Once the payment is made, you should receive the recovery process to decrypt your data in less 24 hours.
IV) Will you leak any data on internet ?
__________________________________________
- If payment is made, your data will not be leaked, otherwise, they made be leak or sell on the darknet
V) Can you tell us how this hack happened ?
___________________________________________
- In case you are in the dark on how this security problem did happen, you may ask for details, we will provide you the step by step what we did.
No supplementary bitcoin is required (this is only available if you have paid the ransom).
By Jungle_Sec

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as JungleSec)
 Write-up, Topic of Support
 * 

Added later: 
JungleSec Ransomware... (add. December 26, 2018)

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BtcKING

BtcKING Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .BtcKING

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How To Decode Files.txt

 Скриншот записки целиков и частями

Содержание записки о выкупе:
<<-----ALL DATA ON THIS PC HAS BEEN ENCRYPTED.----->
To recover data you need decryptor.
To get the decryptor you should:
Send 1 test image or text file to BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch.
In the letter include your personal ID (look at the beginning of this document).
Attach the file with the location c:\Windows\YOUR KEY.KEY
We will give you the decrypted file and say price for decryption all files
After we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
Attention!
Only BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch can decrypt your files
Do not trust anyone BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch
Do not attempt to remove the program or run the anti-virus tools. You can loss your data
Attempts to self-decrypting files will result in the loss of your data
Decoders for other IDs are not compatible with your ID data, because each user's unique encryption key
Your  ID  b-DdocMTJy62  
@@@@@@@@@@
***************

Перевод записки на русский язык:
<< ----- ВСЕ ДАННЫЕ НА ЭТОМ ПК БЫЛИ ЗАШИФРОВАНЫ .----->
Для восстановления данных необходим дешифратор.
Чтобы получить дешифратор, вы должны:
Отправить 1 тестовое изображение или текстовый файл на BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch.
В письме укажите свой личный идентификатор (посмотрите на начало этого документа).
Прикрепите файл из места c:\Windows\YOUR KEY.KEY
Мы дадим вам расшифрованный файл и скажем цену за  дешифрования всех файлов
После того, как мы отправим вам инструкцию по оплате дешифрования и после оплаты, вы получите дешифратор и инструкции. Мы можем дешифровать один файл в доказательство того, что у нас есть декодер.
Внимание!
Только BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch может расшифровать ваши файлы
Не верьте никому BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch
Не пытайтесь удалить программу или запустить антивирусные средства. Вы можете потерять свои данные
Попытки самодешифрования файлов приведут к потере ваших данных
Декодеры для других ID несовместимы с вашими ID данными, поскольку уникальный ключ шифрования у каждого пользователя
Your  ID  b-DdocMTJy62  
@@@@@@@@@@
***************

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How To Decode Files.txt
YOUR KEY.KEY
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Bitmessage: BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.