Scarab-Kitty

Scarab-Kitty Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, прислать SERV-ID и узнать как заплатить выкуп в криптовалютах Bitcoin или DASH, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Написан на Delphi. 

© Генеалогия: Scarab >> другие Scarab-варианты > Scarab-ZZZ >> Scarab-Kitty

Это изображение — логотип статьи. Изображает скарабея с Китти из поддержки.

This image is the logo of the article. It depicts a scarab with Kitty from support.

К зашифрованным файлам добавляется расширение: .kitty

Этимология названия:
Сами вымогатели не удосуживаются написать новое название своей программы, полагая, что и так все знают. На этот раз они добавили к файлам расширение .kitty и позиционировали себя службой поддержки клиентов - SystemSupport из Memeware.net. Данный логотип статьи вобрал в себя и Kitty (девушку из поддержки, девушку-кошку, девушку-азиатку с кошачьими глазами...). Так что, получите! 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW-TO-RESTORE-FILES.txt

Содержание записки о выкупе:
! WINDOWS SECURITY ALERT !
-----------------------------------------------------------------------------
Your PC was attacked by an unathorized user.
Immediatly change your password, use a minimum of 8 characters in length.
ENCRYPTED / SECURED
-----------------------------------------------------------------------------
All your personal data is safe protected with secure private RSA key (1024 bit). 
FILE RECOVERING
-----------------------------------------------------------------------------
To RESTORE all files back to normal state, please follow this few simple steps:
1) S.S service charges a payment for file decryption;
2) After payment being processed, contact us with your unique Serv-ID;
3) Download your personal decryption tool;
4) Run the tool and safe-restore all your files back to normal state.
ATTENTION
-----------------------------------------------------------------------------
! WE STRONGLY NOT RECOMMEND YOU TO USE ANY OTHER DECRYPTION TOOLS - FILES WILL BE LOST !
Only our unique private key decryption tool based on your PC-ID can recover all your files.
We guarantee:
100% Successful restoring all of your files
100% Satisfaction guarantee
100% Safe and secure service
100% Fast and friendly support
As a proof of our trusted service, you can send us 1 file to DECRYPT it for free.
-----------------------------------------------------------------------------
Support e-mail: systemsupport@memeware.net
Payment type: Bitcoin, DASH
Your SERV-ID:
+4IAAAAAAA***McPIMHK=i84x
------------------------------------------------------------------------------
Frequently asked questions: 
-question: I don't have Bitcoin (BTC) or DASH (DSH). How can I make the payment?
-answer: Simple use one of the most popular exchange services:
    BuyBitcoin.com
    CoinMama.com
    Changelly.com
    Payeer.com
-question: Where do I get recipient payment details for (BTC) or (DSH) transfer?
-answer: Contact our support to receive Wallet id for (BTC) or (DSH) payment.
------------------------------------------------------------------------------
MEMEWARE S.S SYSTEMS (c) 2019 / systemsupport@memeware.net

Перевод записки на русский язык:
! WINDOWS SECURITY ALERT !
-----------------------------------------------------------------------------
Ваш компьютер был атакован неавторизованным пользователем.
Немедленно измените свой пароль, используйте не менее 8 символов.
Зашифрованные / Защищенные
-----------------------------------------------------------------------------
Все ваши личные данные надежно защищены секретным закрытым ключом RSA (1024 бит).
ВОССТАНОВЛЕНИЕ ФАЙЛА
-------------------------------------------------- ---------------------------
Чтобы восстановить все файлы до нормального состояния, выполните следующие простые шаги:
1) S.S сервис взимает плату за расшифровку файла;
2) После обработки платежа свяжитесь с нами, указав свой уникальный Serv-ID;
3) Загрузите ваш личный инструмент дешифрования;
4) Запустите инструмент и безопасно восстановите все ваши файлы до нормального состояния.
ВНИМАНИЕ
-----------------------------------------------------------------------------
! МЫ НЕ РЕКОМЕНДУЕМ ВАМ ИСПОЛЬЗОВАТЬ ЛЮБЫЕ ДРУГИЕ ИНСТРУМЕНТЫ РАСШИФРОВКИ - ФАЙЛЫ БУДУТ УТЕРЯНЫ!
Только наш уникальный инструмент для расшифровки закрытых ключей на основе вашего PC-ID может восстановить все ваши файлы.
Мы гарантируем:
100% успешное восстановление всех ваших файлов
100% гарантия соответствия
100% безопасный и надежный сервис
100% быстрая и дружелюбная поддержка
В качестве доказательства нашего надежного сервиса, вы можете отправить нам 1 файл, чтобы РАСШИФРОВАТЬ его бесплатно.
-----------------------------------------------------------------------------
Email поддержки: systemsupport@memeware.net
Тип оплаты: Биткоин, DASH
Ваш SERV-ID:
+4IAAAAAAA***McPIMHK=i84x
-----------------------------------------------------------------------------
Часто задаваемые вопросы:
- вопрос: у меня нет биткоинов (BTC) или DASH (DSH). Как я могу сделать платеж?
- ответ: Простое использование одного из самых популярных обменных сервисов:
    BuyBitcoin.com
    CoinMama.com
    Changelly.com
    Payeer.com
- вопрос: где я могу получить платежные реквизиты получателя для (BTC) или (DSH) перевода?
- ответ: Обратитесь в нашу службу поддержки, чтобы получить ID кошелька для (BTC) или (DSH) платежа.
------------------------------------------------------------------------------
MEMEWARE S.S SYSTEMS (c) 2019 / systemsupport@memeware.net

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW-TO-RESTORE-FILES.txt
srvhost.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: systemsupport@memeware.net
Bitcoin (BTC) или DASH (DSH)
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
Scarab-Enter - ноябрь 2018
Scarab-Aztec (Pizza) - декабь 2018
Scarab-Zzz - январь 2019
Scarab-Crash - январь 2019
Scarab-Gefest - январь 2019
Scarab-Kitty - март 2019
Scarab-Monster - апрель 2019
и другие...

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Emmanuel_ADC-Soft >>
---
Attention!
Files can be decrypted!
I recommend getting help with this link to Emmanuel_ADC-Soft >>

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 

 Thanks: 
 Emmanuel_ADC-SoftM, Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Annabelle 2.1

Annabelle 2.1 Ransomware

(фейк-шифровальщик, вымогатель-стиратель, деструктор)
Translation into English

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем сообщает, что файлы нельзя вернуть. Оригинальное название: Annabelle и Annabelle 2.1. На файле написано: Annabelle.exe.

© Генеалогия: ✂ Annabelle >> Annabelle 2.1

Использованное изображение

Есть ли шифрование? 
Если при запуске происходит ошибка, то шифрование не происходит. 
Если запуск вредоноса всё же происходит, то к фейк-зашифрованным файлам добавляется расширение: .AnnabelleCreate

При этом сами файлы оказываются перезаписаны строкой со словом HACKED!!!!! 

Кажется и нет никаких контактов для уплаты выкупа. В любом случае, если контакты будут — уплата выкупа бесполезна!


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого вымогателя пришлась на начало марта 2019 г. Ориентирован на корейскоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
당신의 컴푸터 파일이 모든 Annabelle 2.1 에 강영되 파 파일이 모두
파일을 복구를 할려고 해도 데이터가 모두 파고I 가 되어 파일을 목
1.일을 복구할 방법을 없습니다
2. 이 랜 S 웨어는 SHA1 알고리즘 으로 파일을 모두 파고I 함니다.

Перевод записки на русский язык:
Все файлы вашего компьютера теперь файлы Annabelle 2.1.
Если вы попытаетесь восстановить файл, все данные будут удалены
1. Нет возможности восстановить файлы
2. Это сетевое программное обеспечение шифрует все файлы с алгоритмом SHA1.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Если при запуске появляется сообщение об ошибке, то шифрование не происходит.

Будет ли иначе, если не будет ошибки, нам проследить не удалось.

Список файловых расширений, подвергающихся шифрованию:
На самом деле файлы не шифруются, но все найденные файлы оказываются перезаписаны строкой со словом HACKED!!!!! 

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Annabelle.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Annabelle 2.1)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie 
 Andrew Ivanov (author) 
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Lucky-Сhinese

Lucky-Сhinese Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: Lucky >> Lucky-Сhinese

К зашифрованным файлам добавляется приставка [email_ramsom] и расширение: .evopro

Зашифрованные фацйлы переименовываются по шаблону:
[<email_ransom>]<original_file>.<random_chars>.evopro

Пример зашифрованного файла: 
[evopro@protonmail.com]MyDocument.txt.9R1krPzSq9SqUH4ICqdMCZh4AjrexPODWWe7iIN8.evopro

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2019 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _如何解密我的文件_.txt

Фраза на китайском "如何解密我的文件" переводится как "Как расшифровать мой файл".

Содержание записки о выкупе:
***

Перевод записки на русский язык:
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_如何解密我的文件_.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Lucky)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

JCry, OpJerusalem

JCry Ransomware 

OpJerusalem Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название: OpJerusalem и JCry. На файле написано: flashplayer_install.exe
Атака по всей видимости была произведена участниками #OpIsrael (сайт www.opisrael.com), которым начиная с апреля 2013 года противостоит I.E.F. (Israeli Elite Force), группа израильских хактивистов. Написан на языке Go. 

🎥 Для вас CyberSecurity GrujaRS подготовил видеоролик атаки JCry (ссылка). 

© Генеалогия: выясняется, некоторое родство см. по ссылке >>

К зашифрованным файлам добавляется расширение: .jcry


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало марта 2019 г. Сначала в субботу 2 марта был атакован и заражён израильский сайт nagich.co.il и один из его поддоменов, связанный с десятками сайтов СМИ и правительством. Через несколько часов атакованные сайты были восстановлены. 

JCry ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: JCRY_Note.html

Содержание записки о выкупе:
All Your Important Files have been Encrypted
1- Send 500$ worth of Bitcoin to this Address : 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt 
2- Download Tor Browser and Open the following Link : Recovery Link
3- Enter the Address used in Payement
4- We'll check your Payement and upload your Decryption Key
5- Open the same link again (after a while) and enter your Unique ID to get your Decryption Key
Your Unique Key : 
170591aacc29ec075852329abcd569df910872c88edef2b0c690e8a8de06da8918935de97417b825b9fe1bf28ac03d78873780f95233daff6ec52bda41eac29996fdaac179cd8564f55a44cb9b7080a4df555183b94e3b844dc043afa37fe61985ca5c804***

Перевод записки на русский язык:
Все ваши важные файлы были зашифрованы
1- Отправьте 500$ в биткоинах на этот адрес: 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt
2- Скачайте Tor-браузер и откройте следующую ссылку: Recovery Link
3- Введите адрес, используемый в платеже
4- Мы проверим ваш платеж и загрузим ваш ключ расшифровки
5- Откройте ту же ссылку снова (через некоторое время) и введите свой уникальный ID, чтобы получить ключ расшифровки
Ваш уникальный ключ:
170591aacc29ec075852329abcd569df910872c88edef2b0c690e8a8de06da8918935de97417b825b9fe1bf28ac03d78873780f95233daff6ec52bda41eac29996fdaac179cd8564f55a44cb9b7080a4df555183b94e3b844dc043afa37fe61985ca5c804
***

Другим информатором жертвы выступает экран блокировки:

Так выглядел экран на виртуальной машине

Улучшенный вид этого экрана

Содержание текста на экране: 
#OpJerusalem
[#] Jerusalem is the capital of Palestine [#]
If you are reading this, all your important files have been encrypted, 
read JCRY_NOTE.html in your Desktop for more information.
[X] Enter Your Decryption Key:

Перевод текста на русский язык:
#OpJerusalem
[#] Иерусалим это столица Палестины [#]
Если вы читаете это, все ваши важные файлы были зашифрованы, 
прочтите JCRY_NOTE.html на вашем рабочем столе для информации.
[X] Введите ваш ключ расшифровки:

Технические детали

Для атаки использовался файл, который представлял собой фальшивый файл Adobe Flash Player. Хакеры использовали виджет Nagich для автоматического внедрения вредоносного кода на тысячи израильских сайтов. При посещении сайта, который использовал этот виджет, вместо него в браузере пользователя загружался вредоносный скрипт. Исследователи заметили и изучили код, который должен был инициировать загрузку вредоносного файла. Этот вредоносный код должен был в первую очередь повредить разметку и внешний вид сайтов сообщением "Jerusalem is the capital of Palestine #OpJerusalem", а затем инициировать автоматическую загрузку заражённого Ransomware файла flashplayer_install.exe

Но из-за некой ошибки планам хакеров не удалось сбыться. Внешний вид сайтов был повреждён, но запланированная загрузка вредоносного файла с этих сайтов не была осуществлена. 

После переконфигурации JCry может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск.

➤ Для атаки использует легитимные технологии: 
Windows PowerShell, WScript и WinRAR SFX

➤ Удаляет теневые копии файлов с помощью команды:
vssadmin.exe vssadmin delete shadows /all

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3g2, .3gp, .aif, .apk, .app, .asf, .asp, .avi, .bak, .bat, .bin, .bmp, .cbr, .cer, .cfg, .cfm, .cgi, .cmd, .com, .cpp, .crx, .csr, .css, .csv, .cue, .dat, .dbf, .dcr, .dds, .deb, .dem, .der, .dmg, .dmp, .doc, .dtd, .dwg, .dxf, .eps, .exe, .fla, .flv, .fnt, .fon, .gam, .ged, .gif, .gpx, .hqx, .htm, .ics, .iff, .iso, .jar, .jpg, .jsp, .key, .kml, .kmz, .log, .lua, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .msi, .nes, .obj, .odt, .otf, .pct, .pdb, .pdf, .php, .pkg, .png, .pps, .ppt, .psd, .rar, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sln, .sql, .srt, .svg, .swf, .tar, .tex, .tga, .thm, .tif, .tmp, .ttf, .txt, .uue, .vcd, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .wsf, .xlr, .xls, .xml, .yuv, .zip (126 расширений).
Всего может быть атаковано больше файлов. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
flashplayer_install.exe - основной EXE-файл
Enc.exe - файл для шифрования
Dec.exe - файл для дешифрования
PersonalKey.txt - 
JCRY_Note.html - записка о выкупе
<random>.exe - случайное название EXE-файла
sfxrar.pdb - файл проекта (дата компиляции 22-Feb-2019 19:09:31)
msg.vbs - файл скрипта (см. ниже скриншот ошибки)

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\Desktop\JCRY_Note.html
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Enc.exe
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dec.exe
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PersonalKey.txt
D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL malware: xxxx://185.163.47.134/flashplayer_install.exe

Tor-URL: xxxx://kpx5wgcda7ezqjty.onion/index.php
http://kpx5wgcda7ezqjty.onion/index.php?PID=170591aacc29ec075852329abcd569df910872c88edef2b0c690e8a8de06da8918935de97417b825b9fe1bf28ac03d78873780f95233daff6ec52bda41eac29996fdaac179cd8564f55a44cb9b7080a4df555183b94e3b844dc043afa37fe61985ca5c804***

 

Email:
BTC: 1FKWhzAeNhsZ2JQuWjWsEeryR6TqLkKFUt
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >> + HA Dec.exe>>
𝚺  VirusTotal analysis >>  
𝚺  VT Enc.exe>>
𝚺  VT Dec.exe>> 
𝚺  VT malware URL: VT>>  JSB>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>  AR>>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as OpJerusalem)
 Topic of Support
 🎥 Video review >>

 - Видеоролик от CyberSecurity GrujaRS

 Thanks: 
 IdoNaor, Bart, Michael Gillespie
 Andrew Ivanov (author)
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

CSP

CSP Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется своеобразное расширение: _csp
Например: IMG_0001.JPG_csp

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первый пострадавший, сообщивший об этом вымогательстве, из Германии. 

Записка с требованием выкупа называется по шаблону: HOW TO DECRYPT[*****].txt
Например: HOW TO DECRYPT[1T0tO].txt

Содержание записки о выкупе:
_______________________________________________________________

!!!!!!!IMPORTANTLY!!!!!!!
_______________________________________________________________
!!!!!!!Your files are encrypted!!!!!!!
--> 1.Do not try to recover your files on your own or with someone else,
 because after the intervention you can remain without your data forever.
--> 2.You can send a file to test our ability to recover your files.
--> 3.You have 48 hours to contact us,
 otherwise you will be left without access to the files forever.
--> 4.If you see this text, then your files are no longer accessible, 
 because they have been encrypted.
--> 5.Perhaps you are busy looking for a way to recover your
 files, but don't waste your time. Nobody can recover your files without our
 decryption service.
--> 6.We guarantee that you can recover all your files safely and easily.All you
 need to do is submit the payment and purchase the decryption key.
___________________________________________________________
Please follow the instructions :
1.Contact us at BitMessage:  BM-2cTsAkCn4he27fxB52VkVEcKTS45JvfpCQ 
or e-mail: helptate@protonmail.com
2.Send this file
___________________________________________________________
WQFXUkoCZ+ukSs***UPhm6w==

Перевод записки на русский язык:
---
!!!!!!! ГЛАВНОЕ !!!!!!!
---
!!!!!!! Ваши файлы зашифрованы !!!!!!!
-> 1.Не пытайтесь восстановить ваши файлы самостоятельно или с кем-то еще, т.к. после вмешательства вы можете потерять ваши данные навсегда.
-> 2.Вы можете отправить файл для проверки нашу способность восстановить ваши файлы.
-> 3.У вас есть 48 часов, чтобы связаться с нами, иначе вы останетесь без доступа к файлам навсегда.
-> 4.Если вы видите этот текст, то ваши файлы больше не доступны, потому что они зашифрованы.
-> 5.Возможно, вы заняты поиском способа восстановить ваши файлы, но не тратьте свое время. Никто не может восстановить ваши файлы без нашей Службы дешифрования.
-> 6.Мы гарантируем, что вы можете безопасно и легко восстановить все ваши файлы.
 нужно сделать платеж и купить ключ дешифрования.
---
Пожалуйста, следуйте инструкциям:
1. Контакт с нами по BitMessage: BM-2cTsAkCn4he27fxB52VkVEcKTS45JvfpCQ
или по email: helptate@protonmail.com
2. Отправьте этот файл
---
WQFXUkoCZ+ukSs***UPhm6w ==

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Зашифрованные файлы помечаются маркером файлов CSP_

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT[*****].txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helptate@protonmail.com 
BitMessage: BM-2cTsAkCn4he27fxB52VkVEcKTS45JvfpCQ
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 28 июня 2019:
Пост в Твиттере >>
Расширение: .wav_list
Email: addwe@protonmail.com 
Bitmessage: BM-2cXAZEBNLBtSpyxGyhYpqZw9922i8LVF9p
Записка: HOW TO DECRYPT[*****].txt
➤ Содержание записки:
              ???????YOUR FILES ARE ENCRYPTED???????
   I.   Do not try to recover your files on your own or with someone else,
        because after the intervention you can remain without your data forever.
        Files encrypted using encryption AES256-CBC.
        Its impossible to recover the files without the correct private key.
   II.  You can send a file to test our ability to recover your files (~2 mb).
   III. If you see this text, then your files are no longer accessible,
        because they have been encrypted.
   IV.  Perhaps you are busy looking for a way to recover your
        files, but don't waste your time.
        Nobody can recover your files without our decryption service.
   V.   We guarantee that you can recover all your files safely and easily.
        All you need to do is submit the payment and purchase the decryption key.
                       PLEASE FOLLOW THE INSTRUCTIONS :
                                      |
                                      |
                                      V
    I. Contact us:
       E-mail:       addwe@protonmail.com 
       BitMessage:   BM-2cXAZEBNLBtSpyxGyhYpqZw9922i8LVF9p
                                      |
                                      |
                                      V
                     -------> II. SEND THIS FILE <-------
[redacted 0x80 bytes in base64]

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as CSP Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, quietman7
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.