EncryptedBatch

EncryptedBatch Ransomware

(фейк-шифровальщик)
Translation into English

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в код разблокировки, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: Setup.exe.

© Генеалогия: данные сервиса Intezer Analyze >> EncryptedBatch

К незашифрованным файлам добавляются расширения из группы:
.Encrypted0
.Encrypted1
.Encrypted2
.Encrypted3
.Encrypted4
.Encrypted5
...
.Encrypted18

Здесь каждому типу расширения (jpg, png, doc и т.д.) соответствует своё расширение .Encrypted{0-18} с номером. Им заменяется оригинальное расширение файла. 


Этимология названия:
Название EncryptedBatch ("группа зашифрованных") было дано Майклом Джиллеспи для идентификации образцов в сервисе ID Ransomware. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Этому недошифратору можно было бы не уделять время, но он был добавлен в ID Ransomware, потому и была написана эта статья.  

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your Files Have Been Encrypted.
Press any key to continue . . .
-----
To Get Your Files Back You Have To Enter
The Decryption Key.
Enter password to Unlock Your Files
>

Перевод записки на русский язык:
Ваши файлы были зашифрованы.
Нажмите любую клавишу для продолжения . . .
-----
Чтобы получить ваши файлы обратно, вы должны войти
Ключ расшифровки.
Введите пароль, чтобы разблокировать ваши файлы

>

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Код разблокировки:
idLAa7fkKdx1aKBGBl3dWeY Список файловых расширений, подвергающихся шифрованию:

 .bmp, .doc, .docx, .html, .jpg, .lnk, .png, .rtf, .txt, .zip

Это документы MS Office, текстовые файлы, фотографии, архивы и пр.

Файлы, связанные с этим Ransomware:
Setup.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: единичный случаи.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as EncryptedBatch)
 Write-up, Topic of Support
 * 

 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

FCrypt

FCrypt Ransomware

(шифровальщик-НЕ-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES или другого алгоритма, а GNU PG используется для шифрования созданного  
рандомного ключа. Затем требует написать на email и приложить к письму текстовый файл, чтобы узнать, как вернуть файлы. Сообщается, что ничего платить не надо. Оригинальное название: FCrypt v1.1. На файле написано: FCrypt.exe.

© Генеалогия: предыдущие вымоагтели, использующие GNU PG >> FCrypt

Стилизованный логотип статьи

К зашифрованным файлам добавляется расширение: .FCrypt

Зашифрованные файлы получают иконки замков. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале февраля 2019 г. Штамп времени: 9 февраля 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Нет никаких данных о массовом распространении. Вероятно, что это тестовый или единичный экземпляр. 

Записка с требованием выкупа называется: #HELP-DECRYPT-FCRYPT1.1#.txt

Содержание записки о выкупе:
--= FCRYPT V1.1 =--
Warning!
All your important files are encrypted and have the extension: .FCrypt
No one else can decrypt your file!
Please follow the steps below:
1. Send this file (#HELP-DECRYPT-FCRYPT1.1#.txt) to E-mail : fcrypt@qq.com
2. Uninstall all anti-virus software on your computer.
3. Waiting for our reply .
You DON'T need to pay any money for decryption.
NOTE!
IN ORDER TO PREVENT DATA DAMAGE:
# DO NOT MODIFY ENCRYPTED FILES
# DO NOT CHAGE DATA BELOW
.....BEGIN CERTIFICATE.....
hQEMAwPklKRCsUg0AQgAgYvhOX9OYzDYPtlWet2NBve7dlZKpo6IpdhYWUdpRTpygip0QF010rxAHEz0mTEga7uFovhMzmu/I8quySllRsS7XypaP7SGdvbyrikpUnAR
*****

Перевод записки на русский язык:
Предупреждение!
Все ваши важные файлы зашифрованы и имеют расширение: .FCrypt
Никто другой не может расшифровать ваш файл!
Пожалуйста, следуйте инструкциям ниже:
1. Отправьте этот файл (#HELP-DECRYPT-FCRYPT1.1#.txt) на E-mail: fcrypt@qq.com
2. Удалите все антивирусные программы на вашем компьютере.
3. Ждите нашего ответа.
Вам НЕ нужно платить деньги за расшифровку.
ВНИМАНИЕ!
Для того, чтобы предотвратить повреждение данных:
# НЕ ИЗМЕНЯЙТЕ ШИФРОВАННЫЕ ФАЙЛЫ
# НЕ ИЗМЕНЯЙТЕ ДАННЫЕ НИЖЕ
..... НАЧАЛО СЕРТИФИКАТА .....
hQEMAwPklKRCsUg0AQgAgYvhOX9OYzDYPtlWet2NBve7dlZKpo6IpdhYWUdpRTpygip0QF010rxAHEz0mTEga7uFovhMzmu/I8quySllRsS7XypaP7SGdvbyrikpUnAR
*****

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ FCrypt создает случайный MD5 хэш и использует его для ключа AES.
➤ Для шифрования используется легитимная утилита GNU Privacy Guard (GNU PG). Подробности в комментарии после основной статьи:
Судя по коду *.bat файла, GnuPG используется для шифрования созданного рандомного ключа.
"%MYFILES%\gpg.exe" --import "%MYFILES%\FCRYPT_RSA_PUBLIC_KEY.TMP"
"%MYFILES%\gpg.exe" -r FCrypt --yes -q --no-verbose --trust-model always  
--encrypt-files "%temp%\FCRYPT_KEY.TMP"
Cами файлы жертвы шифруются с помощью другого алгоритма (не OpenPGP)
%MYFILES%\svchost.exe -e %passmd5% "%%i" "%%i.FCrypt" >nul 2>nul &&  del "%%i" >nul 2>nul

Список файловых расширений, подвергающихся шифрованию:

.1cd, .asp, .bak, .bmp, .c, .cd, .cdr, .cpp, .dbf, .doc, .docx, .dwg, .html, .java, .jpeg, .jpg, .mdb, .mp4, .pdf, .php, .psd, .psd, .rar, .rtf, .sql, .sqlite, .svg, .txt, .xls, .xlsx, .zip (31 расширение).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FCrypt.exe
FCrypt.upx.exe
fcrypt-ransomware.vmp.scr
#HELP-DECRYPT-FCRYPT1.1#.txt
<random>.exe - случайное название
CXTDPPNT.bat
837TDT4X.bat
delsc.vbs
FCrypt.txt.tmp
FCRYPT_RSA_PUBLIC_KEY.TMP
FCRYPT_KEY.TMP
FCRYPT_PASSMD5.TMP
gpg.exe
gpg-agent.exe
и другие.

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Temp\CXTDPPNT.bat
\Temp\837TDT4X.bat
\Temp\qb047DF9.E6\delsc.vbs
\Temp\qb047DF9.E6\FCrypt.txt.tmp
\Temp\qb047DF9.E6\FCRYPT_RSA_PUBLIC_KEY.TMP
\Temp\qb047DF9.E6\gpg.exe
\Temp\qb047DF9.E6\gpg-agent.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fcrypt@qq.com
BTC: ***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>  HA>>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as FCrypt)
 Write-up, Topic of Support, Source
 * 

 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov (author)
 Bart, safety
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Clop

Clop Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Clop (указано в записке). На файле написано: clop.exe

© Генеалогия: CryptoMix >> схожие предыдущие Ransomware >> Clop

Изображение - это только логотип статьи

К зашифрованным файлам добавляется расширение: .Clop

Этимология названия: 
Clop - это по-русски клоп (англ. bed bug, crum), насекомое сосущее кровь человека и животных. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ClopReadMe.txt

Содержание записки о выкупе:
Your network has been penetrated.
All files on each host in the network have been encrypted with a strong algorithm.
Backups were either encrypted or deleted or backup disks were formatted.
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
We exclusively have decryption software for your situation
No decryption software is available in the public.
DO NOT RESET OR SHUTDOWN – files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.
This may lead to the impossibility of recovery of the certain files.
Photorec, RannohDecryptor etc. repair tools are useless and can destroy your files irreversibly.
If you want to restore your files write to emails (contacts are at the bottom of the sheet) and attach 2-3 encrypted files
(Less than 5 Mb each, non-archived and your files should not contain valuable information
(Databases, backups, large excel sheets, etc.)).
You will receive decrypted samples and our conditions how to get the decoder.
Attention!!!
Your warranty - decrypted samples.
Do not rename encrypted files.
Do not try to decrypt your data using third party software.
We don`t need your files and your information.
But after 2 weeks all your files and keys will be deleted automatically.
Contact emails:
servicedigilogos@protonmail.com
or
managersmaers@tutanota.com
The final price depends on how fast you write to us.
Clop

Перевод записки на русский язык:
Ваша сеть взломана.
Все файлы на каждом хосте в сети были зашифрованы с надежным алгоритмом.
Резервные копии были либо зашифрованы, либо удалены, либо диски отформатированы.
Теневые копии также удалены, поэтому F8 или любые другие методы могут повредить зашифрованные данные, но не восстановить.
У нас есть эксклюзивная программа для вашей ситуации
В открытом доступе программа для расшифровки не доступна.
НЕ СБРАСЫВАЙТЕ ИЛИ НЕ ВЫКЛЮЧАЙТЕ - файлы могут быть повреждены.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ИЛИ НЕ ПЕРЕМЕЩАЙТЕ зашифрованные и файлы readme
НЕ УДАЛЯЙТЕ файлы readme.
Это может привести к невозможности восстановления определенных файлов.
Инструменты восстановления Photorec, RannohDecryptor и т.д. бесполезны и могут безвозвратно уничтожить ваши файлы.
Если вы хотите восстановить ваши файлы, пишите на email (контакты внизу листа) и прикрепляйте 2-3 зашифрованных файла.
(Менее 5 Мб каждый, не архивы и ваши файлы не должны содержать ценную информацию
(Базы данных, резервные копии, большие таблицы Excel и т.д.)).
Вы получите расшифрованные образцы и наши условия, как получить декодер.
Внимание!!!
Ваша гарантия - расшифрованные образцы.
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ.
Нам не нужны ваши файлы и ваша информация.
Но через 2 недели все ваши файлы и ключи будут удалены автоматически.
Контактные email:
servicedigilogos@protonmail.com
или же
managersmaers@tutanota.com
Окончательная цена зависит от того, как быстро вы напишите нам.
Clop

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
clop.exe
ClopReadMe.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Мьютекс:
CLOP#666

Маркер, который используется для зашифрованных файлов.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: servicedigilogos@protonmail.com, managersmaers@tutanota.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 февраля 2019:
Пост в Твиттере >>
Расширение: .Clop
Email: antnony.blackmer@protonmail.com, unlock@eqaltech.su
Записка: ClopReadMe.txt

Результаты анализов: VT
Использует легитимный сертификат, выданный на "ALISA L LIMITED"


Обновление от 16 февраля 2019:
Пост в Твиттере >>
Расширение: .Clop
Email: icarsole@protonmail.com, unlock@eqaltech.su
Записка: ClopReadMe.txt

Файлы EXE: swaqp.exe, gmontraff.exe
Результаты анализов: VT + HA
Использует легитимный сертификат, выданный на "THE COMPANY OF WORDS LTD"
Фальш-копирайт: Global Security IBM NetWork (C) 1997 -2019

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Clop)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Jakub Kroustek, MalwareHunterTeam
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

VegaLocker

Vega Ransomware

VegaLocker Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться с вымогателями, чтобы узнать, как вернуть файлы. Оригинальное название: VEGA. На файле написано: "Мастер бланков" и "VERY EXCLUSIVE LTD". Разработан на Delphi. Разработчик: ERIK. 

© Генеалогия: предыдущие проекты >> Vega (VegaLocker)
© Генеалогия: ✂ Scarabey >> Vega (VegaLocker)

Пояснения: 
1) текст записки заимствован из записок Scarab-Russian Ransomware;
2) прямое продолжение из Scarab не подтверждается исследованием;
3) родство из анализа IntezerAnalyze объясняется Delphi-разработкой. 
По этой ссылке VegaLocker представлен уже более наглядно. 

К зашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2019 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Your files are now encrypted.txt

Содержание записки о выкупе:
ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваши документы, фотографии, базы данных, сохранения в играх и другие
важные данные были зашифрованы уникальным ключем, который находится
только у нас. Для восстановления данных необходим дешифровщик.
Восстановить файлы Вы можете, написав нам на почту:
e-mail: sprosinas@cock.li
e-mail: sprosinas2@protonmail.com
Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый.
Мы их восстановим, в доказательство возможности расшифровки.
После демонстрации вы получите инструкцию по оплате, а после оплаты
Вам будет отправлена программа-дешифратор, которая полностью восстановит все заблокированные файлы без потерь.
Если связаться через почту не получается:
Перейдите по ссылке: https://bitmessage.org/wiki/Main_Page и скачайте
почтовый клиент. Установите почтовый клиент и создайте себе новый адрес
для отправки сообщений.
Напишите нам письмо на адрес: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
(с указанием Вашей почты) и мы свяжемся с Вами. 
ВАЖНО! 
Не пытайтесь удалить программу или запускать антивирусные средства.
Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных.
Дешифраторы других пользователей несовместимы с Вашими данными,
так как у каждого пользователя уникальный ключ шифрования.
Убедительная просьба писать людям, которые действительно заинтересованы в восстановлении файлов. Не следует угрожать и требовать дешифратор.
Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои файлы остальных.
-----BEGIN TOKEN-----
tAcAAAAAAADcVQukt***3Q6/hoGPwA=
-----END TOKEN-----

Перевод записки на русский язык:
уже сделан

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Выполняет ряд вредоносных действий, в том числе удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки и прочее командами:
 cmd.exe /C cscript //e:vbscript //nologo "%TEMP%\temp.txt" 
 cmd.exe /C chcp 1250 && net view 
 cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
 cmd.exe /C bcdedit /set {default} recoveryenabled no
 cmd.exe /C wbadmin delete catalog -quiet
 cmd.exe /C wbadmin delete systemstatebackup
 cmd.exe /C wbadmin delete backup
 cmd.exe /C wmic shadowcopy delete
 cmd.exe /C chcp 1250 && net view
 cmd.exe /C vssadmin delete shadows /all /quiet

➤ Использует ворованный или как-то иначе нелегитимно полученный сертификат от Comodo, выданный на якобы "Мастер бланков" и "VERY EXCLUSIVE LTD". Для файла используется иконка со стопкой книг. 

➤ VegaLocker имеет защиту от запуска на виртуальной машине, но это исправимо. 
➤ После выполнения VegaLocker показывает диалоговое окно на русском языке с некой ошибкой. По сообщению Майкла Джиллеспи, это фальшивая ошибка. 

Декодированное содержание этой ошибки: 

Так как обратно нормальный текст в декодере не транслируется, то пришлось сопоставить это в Word-е. Вместо буквы "п" в трёх местах поставлена буква "м". Возможно, что-то не так с символами. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Your files are now encrypted.txt
temp.txt
masterblankov24.exe
<random>.exe - случайное название

Файлы проектов: 
chcp.pdb, WMIC.pdb, adoberfp.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\temp.txt
C:\ERIK\DEVELOPMENT\VEGA\v1\uBigIntsV3.pas
C:\ERIK\DEVELOPMENT\VEGA\v1\Base64.pas

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: sprosinas@cock.li
Email-2: sprosinas2@protonmail.com
Bitmessage: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 февраля 2019:
Пост в Твиттере >>
Записка: Your files are now encrypted.txt

Email-1: sprosinas@cock.li
Email-2: sprosinas2@protonmail.com
Bitmessage: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
Файл EXE: VSEBLANKI24.EXE

Они исправили ошибку в тексте диалогового окна. 
Вредоносный EXE-файл теперь не подписан ЭЦП. 
Результаты анализов: VT + HA

Обновление от 14 февраля 2019:
Пост в Твиттере >>
Расширение: отсутствует
Email-1: sup24@keemail.me
Email-2: sup24@protonmail.ch
Bitmessage: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
Записка: ABOUT YOUR FILES.TXT
Результаты анализов: VT + HA + AR + IA

➤ Содержание записки: 
ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваши документы, фотографии, базы данных, сохранения в играх и другие
важные данные были зашифрованы уникальным ключем, который находится
только у нас. Для восстановления данных необходим дешифровщик.
Восстановить файлы Вы можете, написав нам на почту:
* e-mail: sup24@keemail.me
* резервный e-mail: sup24@protonmail.ch
Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый.
Мы их восстановим, в доказательство возможности расшифровки.
После демонстрации вы получите инструкцию по оплате, а после оплаты
Вам будет отправлена программа-дешифратор, которая полностью восстановит
все заблокированные файлы без потерь.
Если связаться через почту не получается:
* Перейдите по ссылке: https://bitmessage.org/wiki/Main_Page и скачайте
почтовый клиент. Установите почтовый клиент и создайте себе новый адрес
для отправки сообщений.
* Напишите нам письмо на адрес: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
(с указанием Вашей почты) и мы свяжемся с Вами.
ВАЖНО!
* Расшифровка гарантируется, если Вы свяжетесь с нами в течении 72 часов.
* Выключение или перезагрузка компьютера может привести к потере Ваших файлов.
* Не пытайтесь удалить программу или запускать антивирусные средства.
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных.
* Дешифраторы других пользователей несовместимы с Вашими данными,
так как у каждого пользователя уникальный ключ шифрования.
Убедительная просьба писать людям, которые действительно заинтересованы
в восстановлении файлов. Не следует угрожать и требовать дешифратор.
Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои
файлы остальных.
-----BEGIN TOKEN-----
+E2FjDdTa6XHGyyNDzCLN***Ux4J7oq/pPy0RDQhkO1RuAIhQ/LKePE=
-----END TOKEN-----
➤ Сравнение текста записки с предыдущим вариантом :

➤ Такая же записка ABOUT YOUR FILES.TXT, но с более длинным кодом токена:

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as VegaLocker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam, Vitali Kremez
 Andrew Ivanov (author)
 al1963
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.