Ragnarok, RagnarokCry

Ragnarok Ransomware

RagnarokCry Ransomware

Ragnarok Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.MulDrop11.33197, Trojan.Encoder.31080
ALYac -> Trojan.Ransom.MegaCortex, Trojan.Ransom.Ragnarok
Avira (no cloud) -> TR/AD.RansomHeur.zxgsr
BitDefender -> Trojan.GenericKD.42261103
ESET-NOD32 -> A Variant Of Win32/Filecoder.OAC
Malwarebytes -> Ransom.Ragnarok
McAfee -> RDN/Generic.dx, GenericRXKD-YS!E134D5A91ED3
Symantec -> Downloader
TrendMicro -> TROJ_GEN.R067C0PAJ20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!
Сейчас здесь алфавитный список, выше обнаружения DrWeb с Trojan.Encoder, по которым мне удобнее ориентироваться. 

---

© Генеалогия: MegaCortex ? > Ragnarok (RagnarokCry)

Изображение — логотип статьи

К зашифрованным файлам в разных версиях добавляются расширения: 
.ragnarok_cry
.ragnarok
.rgnk

.odin


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало-средину января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_To_Decrypt_My_Files.txt

Содержание записки о выкупе:
#what happend?
Unfortunately your files are encrypted, To decrypt your files follow the instructions
1. you need a decrypt tool so that you can decrypt all of your files
2. contact with us for our btc address if you want decrypt your files or you can do nothing just wait your files gona be deleted
3. you can provide a file which size less than 3M for us to prove that we can decrypt your files after you paid
4. it is wise to pay in the first time it wont cause you more losses
DEVICE ID:
----------------------------
AwCLCNVRGx0RWFELEFUQBV0MEZEODhDN1ETQ1YzMxYkNDJ0Qwk*** [всего 1344 знаков]
---------------------------- 

you can send your DEVICE ID to mail address below 

asgardmaster5@protonmail.com

Перевод записки на русский язык:
#что случилось?
К сожалению, ваши файлы зашифрованы, чтобы расшифровать ваши файлы следуйте инструкциям
1. вам нужен расшифровщик, чтобы вы могли расшифровать все ваши файлы
2. пишите нами для получения btc-адреса, если вы хотите расшифровать ваши файлы или вы ничего не можете сделать, просто подождите, пока ваши файлы будут удалены
3. вы можете прислать нам файл на менее 3 МБ, чтобы доказать, что мы можем расшифровать ваши файлы после того, как вы заплатите
4. разумно сначала платить, это не принесет вам больше потерь
ID УСТРОЙСТВА:
----------------------------
AwCLCNVRGx0RWFELEFUQBV0MEZEODhDN1ETQ1YzMxYkNDJ0Qwk*** [всего 1344 знаков]
---------------------------- 
Вы можете отправить свой ID устройства на адрес почты ниже
asgardmaster5@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Пытается отключить Windows Defender / Anti-Malware Protection

➤ Изменяет файлы в папке расширений Google Chrome, действия выглядят как кража данных.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, отключает файервол с помощью команд:
cmd.exe /c vssadmin delete shadows /all /quiet

cmd.exe /c wmic shadowcopy delete /nointeractive
cmd.exe /c bcdedit /set {current} bootstatuspolicy ignoreallfailures
cmd.exe /c bcdedit /set {current} recoveryenabled no
cmd.exe /c netsh advfirewall set allprofiles state off

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые расширения: 
.exe, .dll, .sys, .ragnarok

Пропускаемые расширения в версии 4.1: 

.386, .bat, .blf, .cmd, .com, .dll, .exe, .ico, .inf, .ini, .lib, .lnk, .lock, .msi, .obj, .ocx, .olb, .pdb, .sys, .thor, .tlb и mbr 

Пропускаемые процессы: 
"note", "powerpnt", "winword", "excel"

и некоторые другие в новых версиях

Пропускаемые папки и файлы: 
\content.ie5
\temporary internet files
\local settings\temp
\appdata\local\temp
\program files
\windows
\programdata

и некоторые другие в новых версиях

Пропускаемые языки: 
0419 Русский (Россия), 
0423 Белорусский (Беларусь), 
0444 Татарский (Россия), 
0442 Туркменский - Туркмения, 
0422 Украинский (Украина), 
0426 Латышский (Латвия), 
043f Казахский (Казахстан), 
042c Азербайджанский (латиница, Азербайджан), 
0804 Китайский (КНР)

и некоторые другие в новых версиях

Файлы, связанные с этим Ransomware:
How_To_Decrypt_My_Files.txt - название записки о выкупе
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\tmp\crypt.txt
C:\\Users\public\Files\rgnk.dvi

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: asgardmaster5@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== САЙТЫ УТЕЧЕК === THE LEAKS SITES ===

Сообщение от 15 октября 2020 >>

Вымогатели создали сайт для публикации утечек данных.

Он называется "Ragnarok file-public".

Сообщение от 23 января 2021 >>

Новый сайт называется "RAGNAROK FILE LEAKED". 

Дата первой публикаии утечки: 23 декабря 2020.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24-25 января 2020:
Пост в Твиттере >>
Расширение: .ragnarok
Email: asgardmaster5@protonmail.com
ragnar0k@ctemplar.com
j.jasonm@yandex.com
Записка: !!ReadMe_To_Decrypt_My_Files.txt

➤ Содержание записки:
#what happend to your files ?
Unfortunately your files are encrypted with rsa4096 and aes encryption,
you won 't decrypt your files without our tool
but don 't worry,you can follow the instructions to decrypt your files 
1. obviously you need a decrypt tool so that you can decrypt all of your files
2. contact with us
for our btcoin address and send us your DEVICE ID after you decide to pay
3. i will reply a specific price e.g 1.0011 or 0.9099 after i received your mail including your DEVICE ID
4. i will send your personal decrypt tool only work on your own machine after i had check the ransom paystatus
5. you can provide a file less than 1 M
for us to prove that we can decrypt your files after you paid
6. it 's wise to pay as soon as possible it wont make you more losses
the ransome : 1 btcoin
for per machine,
5 bitcoins
for all machines
how to buy bitcoin and transfer ? i think you are very good at googlesearch
asgardmaster5 @protonmail.com
ragnar0k@ctemplar.com
j.jasonm@yandex.com
Attention : if you wont pay the ransom in five days,
all of your files will be made public on internet and will be deleted
YOUR DEVICE ID: 
****************** [12 строк]

 

 

В коде исполняемого файла имеются ссылки на на различные пути Unix/Linux файлов. 
 "no_name4": "/proc",
"no_name5": "/proc/%s/status",
"no_name8": "/tmp/crypt.txt",
"no_name9": "/proc/%s",
"rand_path": "/dev/random",
"home_path": "/home/",
Это может разрабатываться для межплатформенной конфигурации. 
Согласно заключению специалистов, Ragnarok используется для целенаправленных атак на непропатченные серверы Citrix ADC, уязвимые для эксплойта CVE-2019-19781.

Обновление от 27 апреля 2020:

Расширение: .ragnarok

Записка: How_To_Decrypt_My_Files.txt

Email: ragnarok_master@protonmail.com

ragnarok@rape.lol

yawkyawkyawk@cock.li

➤ Содержание записки: 

#what happend?

Unfortunately your files are encrypted, To decrypt your files follow the instructions

1. you need a decrypt tool so that you can decrypt all of your files

2. contact with us for our btc address if you want decrypt your files or you can do nothing just wait your files gona be deleted

3. you can provide a file which size less than 3M for us to prove that we can decrypt your files after you paid

4. it is wise to pay in the first time it wont cause you more losses

you can send your DEVICE ID to mail address below

 ragnarok_master@protonmail.com

 ragnarok@rape.lol

 yawkyawkyawk@cock.li

DEVICE ID:

AwCLBxERBdVSLJELyM0M2IER5czMxEDM *** [всего 2748 знаков]

---

Результаты анализов: VT + TG + IA

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.31686

BitDefender -> Generic.Ransom.Ragnar.2.3F32DE19

ESET-NOD32 -> A Variant Of Win32/Filecoder.Ragnarok.A

Malwarebytes -> Ransom.Ragnarok

TrendMicro -> Ransom.Win32.RAGNAROK.B

Обновление от 2 июля 2020:
Пост в Твиттере >>
Расширение: .rgnk
Записка: !!Attention_How_To_Recover_My_Files.txt
Email: ragnarok_master@protonmail.com
Malware URL: xxxx://185.198.57.153/rgnk3.0.exe
Файл EXE: rgnk3.0.exe
Результаты анализов: VT + IA + AR

Обновление от 3 сентября 2020:

Пост в Твиттере >>

Расширение (шаблон): .<num>.odin

Расширение (пример): .15474.odin

Записка: !!Read_me_How_To_Recover_My_Files

Email: yawkyawkyawk@cock.li

ragnar0k@tutanote.com

Обновление от 15 октября 2020:

Пост в Твиттере >>

Версия: 4.1 (подробнее)

Расширение: .thor

Записка: !!Read_me_How_To_Recover_My_Files.html

Извлекаемый файл: cry_demo.dll

➤ Новый список кодов языков, которые будут пропускаться шифровальщиком:

0419-1049 ru-RU Русский (Россия)

0804-2052 zh-CN Китайский (КНР)

0480-1152 ug-CN Уйгурский - Китай

0478-1144 ii-CN Yi - Китай

0451-1105 bo-CN Тибетский - Китай

040a-1034 es Испанский (традиционная сортировка)

042b-1067 hy-AM Армянский (Армения)

042c-1068 az-Latn-AZ Азербайджанский (латиница, Азербайджан)

082c-2092 az-Cyrl-AZ Азербайджанский (кириллица, Азербайджан)

0423-1059 be-BY Белорусский (Беларусь)

0819-2073 ru-MO Русский (Молдова)

043f-1087 kk-KZ Казахский (Казахстан)

0440-1088 ky-KG Киргизский (Киргизия)

0428-1064 tg-Cyrl-TJ Таджикский (кириллица) - Таджикистан

0443-1091 uz-Latn-UZ Узбекский (латиница, Узбекистан)

0442-1090 tk-TM Туркменский - Туркмения

0422-1058 uk-UA Украинский (Украина)

040d-1037 he-IL Иврит (Израиль)

Источник кодов языков >>

Вариант от 26 июля 2021:

Сообщение >>

Расширение: .hela

Записка: !!Read_Me.*****.html

Email: christian1986@tutanota.com, melling@confidential.tips

Результаты анализов: VT

Обнаружения: 

DrWeb -> Trojan.Encoder.32596

BitDefender -> Gen:Heur.Ransom.REntS.Gen.1

ESET-NOD32 -> A Variant Of Win32/Kryptik.HGSY

Microsoft -> Ransom:Win32/Ragnarok.PC!MTB

TrendMicro -> Ransom.Win32.RAGNAR.SMTH

Сообщение от 26 августа 2021: 

Статья на сайте BleepingComputer >>

Ragnarok закрылись и выпустили универсальный мастер-ключ. 

Майкл Гиллеспи совместно с Emsisoft выпустили дешифровщик для расшифровки файлов. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tw + Tw 
 ID Ransomware (ID as Ragnarok)
 Write-up, Topic of Support
 * 

Added later:
Write-up by BleepingComputer (on January 28, 2020)
Vitali Kremez about Version 4.1 (on October 15, 2020)

Внимание! 
Для зашифрованных файлов есть дешифровщик. 
Скачайте Kaspersky RakhniDecryptor для расшифровки >>
Скачайте Emsisoft Decryptor для расшифровки >>

 Thanks: 
 Karsten Hahn, MalwareHunterTeam, Vitali Kremez
 Andrew Ivanov (article author), 
 Emsisoft, Michael Gillespie
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BitPyLock

BitPyLock Ransomware

BitPyLock Doxware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.8 - 5 BTC, чтобы вернуть файлы. Оригинальное название: в ранней записке не было указано. На файле написано: Program.exe. Название для статьи и идентификации получил по раннему используемому расширению. 

Вымогатели, распространяющие BitPyLock, могут публиковать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). 

Обнаружения:
DrWeb -> Trojan.Encoder.30536, Trojan.Encoder.30962
BitDefender -> Trojan.GenericKD.32891379, Trojan.GenericKD.32924962, Trojan.GenericKD.42303668
Malwarebytes -> Ransom.Bitpy
McAfee -> RDN/Ransom
Rising -> Ransom.Gen!8.DE83 (CLOUD), Trojan.Filecoder!8.68 (CLOUD)
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.2
ALYac -> Trojan.Ransom.BitPyLock
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне! 

© Генеалогия: KrakenCryptor + BackDoor.Bifrost.19762 (по кл. Dr.Web) >> BitPyLock

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .bitpy

Позже стало использоваться расширение по доменному имени сайта или внутреннему домену локальной сети пострадавшей компании или организации. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на конец декабря 2019 - начало января 2020 г., но продолжилась и позже. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: # HELP_TO_DECRYPT_YOUR_FILES #.html

Оригинальная записка о выкупе

html-код этой записки

Содержание записки о выкупе:
All your files are encrypted!
All your files, including, but not limited to:
Photos, videos, databases and office projects have been encrypted
- using strong military grade encryption algorithms AES-256 and RSA-2048.
Recovery tools and other software will not help you!
Don't find your backups? because they have been successfully encrypted too or securly wiped!
The only way to recover your files, are to meet our demands.
1. Create a Bitcoin wallet (we recommend you to create on Blockchain.com)
2. Register on LocalBitcoins.com (or any other Bitcoin exchange), then buy 0.8 Bitcoin (BTC).
3. Send Bitcoins to our wallet below (in case sensitive. Make sure you copy past it):
1NAaH4rWww9yBUndSggQpQBLte5w927Jaj
4. Send Bitcoin Transaction ID to our e-mail address along with your "Private ID" below of this page:
helpbitpy@cock.li
5. You will receive the tools needed to decrypt all of your files immediately!
Note: Before payment you can contact with us for 1 free small file as decryption test!
Be warned, we won't be able to recover your files if you start fiddling with them!
You have 72 hours (3 days) from this moment to send us payment, or you files will be lost in eternity!
Private ID:
lk4e75d+JvZP3NXUJfhe9i3W3qxfCH4uM6PEBZOFkHmNzFQqc+*** [всего 344 знака]

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы, включая, но не ограничивая:
Фотографии, видео, базы данных и офисные проекты были зашифрованы
- использование надежных алгоритмов шифрования военного класса AES-256 и RSA-2048.
Инструменты восстановления и другие программы вам не помогут!
Не нашли свои резервные копии? потому что они были успешно зашифрованы или надежно стерты!
Единственный способ восстановить ваши файлы - это удовлетворить наши требования.
1. Создайте биткойн-кошелек (мы рекомендуем создать его на Blockchain.com)
2. Зарегистрируйтесь на LocalBitcoins.com (или на любой другой бирже биткоинов), затем купите 0,8 биткойна (BTC).
3. Отправьте биткойны на наш кошелек ниже (с учетом регистра. Убедитесь, что вы копируете его):
1NAaH4rWww9yBUndSggQpQBLte5w927Jaj
4. Отправьте ID транзакции Bitcoin на наш адрес email вместе с вашим "Личным ID" ниже на этой странице:
helpbitpy@cock.li
5. Вы получите инструменты, необходимые для немедленной расшифровки всех ваших файлов!
Примечание: перед оплатой вы можете связаться с нами, чтобы получить 1 бесплатный небольшой файл в качестве теста расшифровки!
Имейте в виду, мы не сможем восстановить ваши файлы, если вы начнете возиться с ними!
С этого момента у вас есть 72 часа (3 дня) для отправки нам платежа, иначе ваши файлы будут потеряны навсегда!
Частный ID:
lk4e75d+JvZP3NXUJfhe9i3W3qxfCH4uM6PEBZOFkHmNzFQqc+*** [всего 344 знака]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит, требуется разрешение на запуск.

➤ При первом запуске BitPyLock попытается завершить любые процессы из следующего списка, чтобы можно было зашифровать файлы, связанные с ними: 
backup, cobain, drop, drive, sql, database, vmware, virtual, agent, anti, iis, web, server, apache

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkf, .bkp, .blend, .bpw, .c, .cab, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .chm, .cib, .class, .cls, .cmt, .cnf, .conf, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .dat, .data, .db, .db3, .dbf, .db-journal, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fmb, .fpx, .frx, .fxg, .gif, .gray, .grey, .gry, .gz, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .jar, .java, .jin, .jpe, .jpeg, .jpg, .js, .jse, .jsp, .kc2, .kdbx, .kdc, .key, .kpdx, .log, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tif, .tlg, .txt, .vb, .vbs, .vmdk, .vmem, .vmsd, .vmsn, .vmx, .vmxf, .vob, .wallet, .war, .wav, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv, .zip (346 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании BitPyLock пропускает любые файлы, находящиеся в следующих папках:
Windows
Windows.old
Program files
Program files (x86)
Program data
$Recycle.bin
System Volume Information

Файлы, связанные с этим Ransomware:
Program.exe
# HELP_TO_DECRYPT_YOUR_FILES #.html
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helpbitpy@cock.li
BTC: 1NAaH4rWww9yBUndSggQpQBLte5w927Jaj
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 января 2020:
Пост в Твиттере >>
Еще один вариант записки с темным фоном. 
Данные скрыты исследователем. 

Обновление от 28 января 2020: 
Топик на форуме >>
Расширение (шаблон): .<domain_name>
Расширение: (пример): .mydomain
Записка: # HELP_TO_DECRYPT_YOUR_FILES #.html
Email: pay4netwww@protonmail.com
BTC: 1PsDH9eCUx11KCCD6PsvzfPmfc7BmfhamT
Файл: network.exe: agent.exe, easy.exe
Результаты анализов: VT + AR + IA (IA, IA, IA)
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30962
BitDefender -> Trojan.GenericKD.42303668
Symantec -> ML.Attribute.HighConfidence

➤ Содержание записки:
All your files are encrypted!
If you read this message. That means we've been able to break into your network and encrypt all your machines.
All your files on all network machines, including, but not limited to:
Documents, databases, and office projects have been encrypted using strong military grade encryption algorithm RSA-4096.
Break it is impossible! and any effort is a waste of time!
Recovery tools and other software will not help you!
Don't find your backups? because they have been successfully encrypted too or securly wiped!
The only way to recover your files, are to meet our demand.
1. Create a Bitcoin wallet (we recommend you to create on Blockchain.com)
2. Register on LocalBitcoins.com (or any other Bitcoin exchange), then buy 4 Bitcoin (BTC).
3. Send Bitcoins to our wallet below (in case sensitive. Make sure you copy past it):
1PsDH9eCUx11KCCD6PsvzfPmfc7BmfhamT
4. Send Bitcoin Transaction ID to our e-mail address along with our wallet address you pay!
pay4netwww@protonmail.com
5. You will receive the tools needed to decrypt all of your machines and files!
Note: Before payment you can contact with us for 1 free small file as decryption test!
Be warned, we won't be able to recover your files if you start fiddling with them!
If you do not wish to negotiate with us. We will make your company's private papers and databases public. This's not a joke!
You have 72 hours from this moment to send us payment, or you files and the way we communicate will be lost in eternity!

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as BitPyLock)
 Write-up, Topic of Support
 * 

Added later:
Write-up by BleepingComputer (on January 21, 2020)
***
***

 Thanks: 
 MalwareHunterTeam, Michael Gillespie, 
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CheckMail7

CheckMail7 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.30523
BitDefender -> Trojan.GenericKD.32917734
ESET-NOD32 -> Win32/Filecoder.NZW
Kaspersky -> HEUR:Trojan-Ransom.Win32.CryFile.gen
Malwarebytes -> 
Rising -> Ransom.CryFile!8.20D (KTSE)
Symantec -> Downloader
Tencent -> Win32.Trojan.Filecoder.Swus
TrendMicro -> Ransom.Win32.CHECKMAIL.THAOIBO
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> CheckMail7

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .checkmail7@protonmail

Примеры зашифрованных файлов

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало января 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: warning.txt

Содержание записки о выкупе:
All your personal files on this computer are locked and encrypted. The encrypting has been done by professional software and your files such as; photo's, video's and cryptocurrency wallets are not damaged but just not readable for now.
The encrypted files can only be unlocked until 2 days from this moment. If the key isnot obtained before that moment it will be destroyed and you will not be able to open your files ever again.
Obtaining your unique private key is easy just pay a small amount. Write us to email: checkmail7@protonmail.com

Перевод записки на русский язык:
Все ваши личные файлы на этом компьютере заблокированы и зашифрованы. Шифрование было выполнено профессиональным программным обеспечением и вашими файлами, такими как; кошельки фото, видео и криптовалюты не повреждены, но пока не читаются.
Зашифрованные файлы можно разблокировать только в течение 2 дней с этого момента. Если ключ не будет получен до этого момента, он будет уничтожен, и вы больше не сможете открыть свои файлы.
Получить уникальный закрытый ключ очень просто, заплатив небольшую сумму. Напишите нам на почту: checkmail7@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Изменяет значение автозапуска в реестре — добавляется в Автозагрузку Windows. Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
warning.txt - название файла с требованием выкупа
2020-01-08 114318.exe - исполняемый файл
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: checkmail7@protonmail 
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decrypter для дешифровки >>
Прочтите подробную инструкцию перед запуском. 

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as CheckMail7)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Ravi, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.