PooleZoor

PooleZoor Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 10.000.000 иранских риалов, чтобы вернуть файлы. Оригинальное название. На файле написано: Peyment.exe и hidden-tear.exe. Разработчик: Amir12345. 

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> PooleZoor

Изображение - логотип статьи

К зашифрованным файлам добавляется расширение: .poolezoor


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало августа 2018 г. Ориентирован на иранских и англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа написана частью на английском, частью на персидском языке, но английскими буквам и называется: READ_me_for_encrypted_Files.txt

Содержание записки о выкупе:
Files has been encrypted with PooleZoor
Ba pardakht 10,000,000 Riyal File hay khod ra bazgardanid
In Pool sarf omre kheyriye khahad shod

Перевод записки на русский язык:
Файлы были зашифрованы PooleZoor
Заплатите 10.000.000 риалов, вернёте свои файлы

Эти деньги пойдут на доброе дело (хаир)

Когда статья уже была готова я нашёл официальный сайт-блог вымогателей.

Содержание текста с сайта на персидском языке:

برای اینکه مارو حمایت بکنید مبلغ یک میلیون تومان به ما پرداخت و برای ما ارسال کنید و در جواب ایمیل شما ما Decryptor  را در اختیار شما قرار می دهیم.

نحوه پرداخت:

ورود به لینک :    http://sep.shapaarak.cf/

تصویر پرداخت خود را در زیر این پست به همراه ادرس ایمیل خود برای ما ارسال نمائید.

Перевод на русский язык с персидского:
Чтобы поддержать нас, заплатите нам 1 миллион долларов и отправьте нам ответ с вашим email-адрес, и мы предоставим вам декриптор.
Как оплатить:
Перейдите по ссылке: http://sep.shapaarak.cf/
Отправьте нам скриншот вашего платежа ниже этого сообщения вместе с вашим email-адресом.

На сайте есть изображение. Что хотел выразить эти изображение автор, не ясно.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_me_for_encrypted_Files.txt
Peyment.exe
<random>.exe - случайное название

Расположения:
\Desktop\READ_me_for_encrypted_Files.txt
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://sep.shapaarak.cf/ - сайт оплаты
xxxx://ransomware-poolezoor.blogspot.com/
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Примечание 1.
MalwareHunterTeam выложил скриншоты из ресурсов этого шифровальщика.
Кроме этого, существенных отличий от оригинального HiddenTear там нет. 

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Zoldon

Zoldon Ransomware

(шифровальщик-вымогатель, doxware)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $150 BTC, чтобы вернуть файлы. Оригинальное название: ZOLDON Crypter V3.0. На файле написано: ZOLDON и Bitcoin Miner Pro V3.1.exe

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение принадлежит шифровальщику

➤ Примечательно, что это изображение было заимствовано разработчиками Zoldon Ransomware из хакерской программы SpyGate RAT. 

К зашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DesktopZoldon.txt
Но из-за ошибки разработчика файл не отбрасывается. 

Запиской с требованием выкупа также выступает экран блокировки с заголовком ZOLDON Crypter V3.0

Содержание текста о выкупе:
Alert: Your computer and Files are encrypted By Zoldon Virus
$150 within 24 hours. $400 after 24 hours
---
--- Write this information down ---
Email: zoldon-staff@mail.ru
--------------------------------------------------------
How to Remove the virus ?
After the payment send to Bitcoin Address,
send a Email to [zoldon-staff@mail.ru] containing Your Machine ID
Once payment is received you will get the decryption password and simple instructions to restore all your files and computer to normal instantly
Without the decryption password you will not get them back.
If we do not reach the amount within 72 hours
We will publish all the contents of your device on the Internet
--------------------------------------------------------
IF YOU LOOSE THIS INFO YOU WILL NOT BE ABLE TO CONTACT US
---
Bitcoin Address: 1AHhnEDuHS1AFkSdcq3nQRZEPHs1QECAtv   Copy
Machine ID: Copy
Password: [Decrypt]

Перевод текста на русский язык:
Тревога: ваш компьютер и файлы зашифрованы вирусом Zoldon
$150 в течение 24 часов. $400 через 24 часа
---
--- Запишите эту информацию ниже ---
--------------------------------------------------------
Как удалить вирус?
После отправки платежа на биткоин-адрес,
отправьте письмо на адрес [zoldon-staff@mail.ru], содержащее ID вашего ПК
После получения платежа вы получите пароль для дешифрования и простые инструкции для восстановления всех ваших файлов и компьютеров в обычном режиме
Без пароля дешифрования вы не получите их обратно.
Если мы не получим суммы в течение 72 часов
Мы опубликуем все содержимое вашего устройства в Интернете
--------------------------------------------------------
ЕСЛИ ВЫ ПОТЕРЯЕТЕ ЭТУ ИНФОРМАЦИЮ, ВЫ НЕ СМОЖЕТЕ СВЯЗАТЬСЯ С НАМИ
---
Биткоин-адрес: 1AHhnEDuHS1AFkSdcq3nQRZEPHs1QECAtv   Копировать
ID машины: Копировать
Пароль: [Дешифровать]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Zoldon.txt / DesktopZoldon.txt
Bitcoin Miner Pro V3.1.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: zoldon-staff@mail.ru
BTC: 1AHhnEDuHS1AFkSdcq3nQRZEPHs1QECAtv
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Zoldon)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PTP Ransomware

PTP Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: PTP Ransomware. На файле написано: hidden-tear и PTP Ransomware.exe 1.0.0.0. Разработчик: Kim из Южной Кореи. 

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> PTP Ransomware

Изображение - логотип статьи. Стилизация под название.

К зашифрованным файлам добавляется расширение: .PTPRansomware

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале августа 2018 г. Ориентирован на англоязычных и корейских пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
한국어
당신은 PTP Ransomware 에 감염되었습니다
파일은 시공으로 뽑려들어갔습니다
PTP Ransomware는 다시 돌아올것입니다.
수고하세요
컴퓨터는 바보가 되었습니다
Made By KimApple
English
You have been infected with PTP Ransomware
The file was sucked into construction
PTP Ransomware will come back.
work hard
The computer has become a fool
Discord : KimApple#1159

Перевод записки на русский язык:
Сделано KimApple
английский / корейский
Вы заражены PTP Ransomware
Файл был втянут в конструкцию
PTP Ransomware вернется.
тяжелая работа
Компьютер стал тупить
Discord : KimApple#1159

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
PTP Ransomware.exe
<random>.exe - случайное название
PTP Ransomware.pdb - название проекта

Расположения:
\Desktop\test\READ_IT.txt
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Discord : KimApple#1159
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

RansomWarrior

RansomWarrior Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $349 BTC, чтобы вернуть файлы. Оригинальное название: RansomWarrior 1.0. На файле написано: RansomWarrior 1.0.exe и A Big Present.exe. Разработка: хакерская группа из Индии (самоназвание). 

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется, явное родство с кем-то не доказано. 

Изображение - логотип статьи

К зашифрованным файлам добавляется расширение: .THBEC

Шаблон зашифрованного файла: Encrypted#.THBEC

Под знаком # могут быть цифры от 1 до 1000, например:
Encrypted1.THBEC
Encrypted2.THBEC
...
Encrypted1000.THBEC 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает следующий экран (диалоговое окно) и веб-страница на сайте вымогателей. 

Содержание текста о выкупе:
Oops!!! Your Files Has Been Encrypted By RansomWarrior 1.0
Message for you from RansomWarrior 1.0
Hello, we are a group of dedicated hackers from India. We have encrypted all your files so we can get your money. All your important files has been encrypted which means you are going to pay us a ransom of 349 USD in Bitcoins. So first of all you can decrypt to of your important files and we will show you which files has been decrypted. Just so you can see that we do have your decryption key, and you will be able to buy it from us. You won't be able to get your important files back if you don't buy your decryption key. Notice a clock on the side, when that date arrives your important files will be deleted(You have 24 hours to pay the ransom).
You will be able to get Bitcoins, at sites such as coinbase.com or localbitcoins.com. There are also others, but usually these are the usual choice
(Make sure to get a little bit more Bitcoins, due to transaction fees and the crypto currency is very volatile. It's also a good idea to get the Bitcoins,
as soon as possible, because sometimes the purchasing process can take hours. You would also need a wallet for your Bitcoins if you are not using
the coinbase.com wallet. When you have your Bitcoins in your wallet. You are going to download and install the tor browser. Go to torproject.org and
then follow the instructions given there.
You need the tor browser, because our payment website is located in darknet. When you have downloaded and installed the tor browser. Go to this link: zpkjjp57apz76k3q.onion\Pay\PayThis\Payment_1000731.PHP When you are on the website, you simply transfer your Bitcoins to the address that are provided to you(You can copy the address and then paste it in your Bitcoin wallet when you are transfering the Bitcoins). When your Bitcoins arrive to our wallet, you will be notified and then be able to download the decryption key. When you have your decryption key, simply place the key in your C:\ And then get all your important files back. The ransomware will then decrypt everything and remove itself.
Here is the entire lists of the way it's done:
1. Decrypt 2 important files as proof of decryption key and we decrypt to keep a good reputation about RansomWarrior 1.0.
2. Get a Bitcoin wallet(If needed)
3. Get the Bitcoins from coinbase.com or localbitcoins.com or an alternative.
4. Download and install the tor browser from torproject.org
5. Go to our website: zpkjjp57apz76k3q.onion\Pay\PayThis\Payment_1000731.PHP
6. Pay your Bitcoins to the Bitcoin address showed.
7. When accepted download your decryption key and put it in your C:\.
8. Then decrypt all of your important files and wait till the ransomware deletes itself.
Bonus tips:
1. Do this process as fast as possible, to make sure you get your important files back.(Due to Bitcoins sometimes take some time.)
2. If you are old and this seems confusing, get help from a younger relative or equivalent.
3. Always remember that the clock is ticking.
4. Do not attempt to adjust any of the files in the folder or try to adjust the clock on your computer. This can cause the ransomware to delete itself
along with your important files.
5. If you do no. 4 make sure you have technical experience.
6. We will decrypt your important files for our price stated, destroying things is not something we want to do.
7. Save your time(It's limited) by not reporting it to the police, they can't help you anyways(And will jut turn your away).
8. Also disable your anti malware software, because this can delete the ransomware(And we can't guarantee your important files).
9. Have a good day with the love from India.
[Get Your Important Files Back]
[Get 2 Important Files Decrypted For Free]

Перевод текста на русский язык:
Упс!!! Ваши файлы зашифрованы RansomWarrior 1.0
Сообщение для вас от RansomWarrior 1.0
Привет, мы - группа преданных хакеров из Индии. Мы зашифровали все ваши файлы, чтобы мы могли получить ваши деньги. Все ваши важные файлы были зашифрованы, что означает, что вы должны заплатить нам выкуп в размере 449$ в биткоинах. Поэтому, прежде всего, вы можете расшифровать свои важные файлы, и мы покажем вам, какие файлы были расшифрованы. Просто чтобы вы могли видеть, что у нас есть ключ дешифрования, и вы сможете купить его у нас. Вы не сможете вернуть свои важные файлы, если вы не купите свой ключ дешифрования. Обратите внимание на часы сбоку, когда эта дата придет, ваши важные файлы будут удалены (у вас есть 24 часа, чтобы заплатить выкуп).
Вы сможете получить биткоины на таких сайтах, как coinbase.com или localbitcoins.com. Есть и другие, но это обычный выбор
(Удостоверьтесь, чтобы получить немного больше биткоинов из-за транзакционных сборов, а криптовалюта очень изменчива. Также неплохо получить биткойны, как можно скорее, потому что иногда процесс покупки может занять несколько часов. Вам также понадобится кошелек для ваших биткойнов, если вы не используете кошелек coinbase.com. Когда у вас есть биткоины в вашем кошельке. Вам надо загрузить и установить браузер Tor. Перейдите на страницу torproject.org и затем следуйте инструкциям, приведенным там.
Вам нужен браузер Tor, потому что наш сайт оплаты находится в Даркнете. Когда вы загрузили и установили браузер tor. Перейдите по этой ссылке: zpkjjp57apz76k3q.onion\Pay\PayThis\Payment_1000731.PHP Когда вы находитесь на веб-сайте, вы просто переведите свои биткоины по адресу, который вам предоставлен (вы можете скопировать адрес, а затем вставить его в свой биткоин-кошелек когда вы передаете биткойны). Когда ваши биткойны поступят в наш кошелек, вы будете уведомлены, а затем сможете загрузить ключ дешифрования. Когда у вас будет ключ дешифрования, просто поместите ключ в свой C:\ И затем вернёте все важные файлы. Затем Ransomware дешифрует всё и удалится.
Вот порядок того, как это делается:
1. Расшифруйте 2 важных файла в качестве доказательства ключа дешифрования, и мы расшифруем, чтобы сохранить хорошую репутацию в RansomWarrior 1.0.
2. Получите биткоин-кошелек (при необходимости)
3. Получите биткоины с coinbase.com или localbitcoins.com или альтернативные.
4. Загрузите и установите браузер Tor из torproject.org.
5. Перейдите на наш веб-сайт: zpkjjp57apz76k3q.onion\Pay\PayThis\Payment_1000731.PHP
6. Оплатите свои биткоины на показанный биткоин-адрес.
7. При принятии загрузите свой ключ дешифрования и поместите его в свой C:\.
8. Затем расшифруйте все свои важные файлы и дождитесь, пока Ransomware не удалит себя.
Бонусные подсказки:
1. Сделайте этот процесс как можно быстрее, чтобы убедиться, что вы вернете важные файлы. (Из-за биткоинов иногда требуется некоторое время.)
2. Если вы старый и это кажется запутанным, обратитесь за помощью к младшему родственнику или подобному.
3. Всегда помните, что часы тикают.
4. Не пытайтесь переделать какие-то файлы в папке или настроить часы на вашем компьютере. Это может привести к тому, что Ransomware удалит себя наряду с вашими важными файлами.
5. Если вы этого не сделаете. 4 убедитесь, что у вас есть технический опыт.
6. Мы расшифруем ваши важные файлы по указанной цене, уничтожая вещи, мы не хотим этого делать.
7. Сэкономьте свое время (оно ограничено), не сообщая об этом полиции, они не могут помочь вам в любом случае (и будут отвергать вас).
8. Также отключите антивирусное ПО, потому что это может удалить выкуп (И мы не сможем гарантировать ваши важные файлы).
9. Счастливого дня с любовью от Индии.
[Получить ваши важные файлы назад]
[Получить 2 важных файла, расшифрованных бесплатно]



После успешного дешифрования файлов появляется следующее окно с заголовком "Thank You!":

Содержание текста: 
All of your important files has been decrypted, you are now free from RansomWarrior 1.0. We want to thank you for your money, it means a lot. RansomWarrior 1.0 will be set to self-destruct.

Перевод текста на русский:
Все ваши важные файлы были расшифрованы, теперь вы свободны от RansomWarrior 1.0. Мы хотим поблагодарить вас за ваши деньги, это много значит. RansomWarrior 1.0 будет настроен на самоуничтожение.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
A Big Present.exe
Payment_1000731.PHP и другие
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
zpkjjp57apz76k3q.onion\Pay\PayThis\Payment_1000731.PHP
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

По данным исследователей, дешифрование возможно. 
Для получения ключа дешифрования, перейдите по ссылке.
Найдите ключ дешифрование по номеру вашего Payment.
В статье этот номер 1000731 (в Payment_1000731.PHP)
Это эксперимент. Сначала сделайте бэкап зашифрованных файлов. 

 Read to links: 
 Tweet on Twitter + Tweet + Decrypt
 ID Ransomware (ID as RansomWarrior)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 Paweł Lechocki (sudo paul_it)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KillRabbit

KillRabbit Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $345, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: killrabbitV2-release.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: родство определено. 

Это изображение только логотип статьи

К зашифрованным файлам добавляется расширение: .killrabbit

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало августа 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Традиционная записка с требованием выкупа отсутствует. Имеются только php-файлы с вредоносного сайта с текстом и email-контактом. 
Один из их называется ID_KzJOo326vpwAHTvnF4xWTdZ1Wpfm1k_[06_08_2018_18_12]_[7601-authorization].php

Содержание этого файла:
KillRabbit V2 - User Area
[Unique Key]
[Authorization]
Problems with authorization? Contact us> killrabbit@retwyware.pro
What Happened?
Oops, it seems the rabbit encrypted all of your files and requires a ransom for their decryption.
Do not worry, all your files will be decrypted after payment of the repayment.

Перевод на русский язык:
KillRabbit V2 - Пользовательский раздел
[Уникальный ключ]
[Авторизация]
Проблемы с авторизацией? Свяжитесь с нами> killrabbit@retwyware.pro
Что случилось?
К сожалению, кролик зашифровал все ваши файлы и требует выкуп за их расшифровку.
Не волнуйтесь, все ваши файлы будут расшифрованы после платы за вознаграждение.

Второй файл называется: ID_KzJOo326vpwAHTvnF4xWTdZ1Wpfm1k_[06_08_2018_18_12]_[7601-cabinet].php

Содержание второго файла:
KillRabbit V2 - Control Panel
• Decrypter
• Payment Module
• Support
• ChatBot
Unique ID: KzJOo326vpwAHTvnF4xWTdZ1Wpfm1k
Deadline.
Redemption amount: 345S
Transaction ID
[...]
[Check Payment]
Number of your deleted files: 0

Два других файла содержат ID, ключ дешифрования и цифру, сообщающую время. 

Содержание файла rabbit_596662279681148.decrypt
Your ID: 4H1B323U7JmR4Stm0KpL6fI3qHd7S9
Your Decryption Key: 91021318295277966368168033400088636330063924461416

Содержание файла rabbit_596662279681148.time
15

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
killrabbitV2-release.exe
killrabbitV2-release.bin
0-37.exe - декриптер по ссылке
ID_KzJOo326vpwAHTvnF4xWTdZ1Wpfm1k_[06_08_2018_18_12]_[7601-authorization].php
ID_KzJOo326vpwAHTvnF4xWTdZ1Wpfm1k_[06_08_2018_18_12]_[7601-cabinet].php
rabbit_KzJOo326vpwAHTvnF4xWTdZ1Wpfm1k.php
rabbit_596662279681148.decrypt
rabbit_596662279681148.time
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Temp\rabbit_596662279681148.decrypt
\Temp\rabbit_596662279681148.time

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
killrabbit@retwyware.pro
URL: xxxx://rektware16.temp.swtest.ru
xxxx://rektware16.temp.swtest.ru/ID_KzJOo326vpwAHTvnF4xWTdZ1Wpfm1k_[06_08_2018_18_12]_[7601-cabinet].php
VirusTotal анализ на URL >>
IP: 77.222.40.43
Хост: vh265.sweb.ru
Связанный сервер: 74.125.160.39:80 (США)
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as KillRabbit)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.