JuicyLemon

JuicyLemon Ransomware

(шифровальщик-вымогатель)

  Этот криптовымогатель шифрует данные, а затем требует выкуп, который сообщается индивидуально по контактам связи. Ориентировочно 1000 € (евро) с выплатой в биткоинах. 

© Genealogy: JuicyLemon > PizzaCrypts

К зашифрованным файлам добавляется расширение, включающее ID жертвы, по схеме: .id-[девять цифр]_. Пример, .id-778215456_

Полностью:
.id-[9_digits_victim’s_ID]_email1_support@juicylemon.biz_email2_provectus@protenmail.com_BitMessage_BM-[BM-address]

Зашифрованные файлы получают в код строку следующего вида: 
1039734717_email1_support@juicylemon.biz_email2_provectus@protonmail.com_BitMessage_BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F, где с легкостью угадываются два email и BM-адрес. 

 Шифруются только пользовательские данные. Системные и программные файлы не трогаются. Также, как у Chimera Ransomware и Bitmessage Ransomware требуется установить мессенджер Bitmessage для связи с вымогателями.

Записка с требованием выкупа называется RESTORE FILES.txt

Содержание записки о выкупе: 
Hello! We inform you that all, absolutely all of your files are encrypted!
But do not despair. Decryption is not possible without our help, our help is not free and costs a certain amount of money.
To begin the process of recovery your files you need to write us an email, attaching an example of an encrypted file.
- Our contacts for communication:
- Primary email: support@juicylemon.biz
- Additional email: provectus@protonmail.com
- Bitmessage:  BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
How To Use Bitmessage see https://youtu.be/ndqIffqCMaM
We encourage you to contact us for all three contacts!
- Very important:
Do not try to decrypt files by third-party decoders otherwise you will spoil files !
Be adequate in dealing with us and we will solve your problem.

Перевод записки на русский язык:
Привет! Сообщаем Вам, что все, абсолютно все ваши файлы зашифрованы!
Но не отчаивайтесь. Дешифровка невозможна без нашей помощи, наша помощь небесплатна и стоит некоторую сумму денег.
Чтобы начать процесс восстановления файлов, надо написать нам на email, приложить 1 зашифрованный файл.
- Наши контакты для связи:
- Первый email: support@juicylemon.biz
- Второй email: provectus@protonmail.com
- Bitmessage: BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
Как использовать Bitmessage см. https://youtu.be/ndqIffqCMaM
Мы рекомендуем Вам связаться с нами по всем трём контактам!
- Очень важно:
Не пытайтесь дешифровать файлы с помощью сторонних декодеров, иначе вы испортите файлы!
Будьте адекватны в общении с нами и мы решим вашу проблему.

Ответное письмо вымогателей:
Hello! The cost of the decoder for you is 1000 (€) euro in bitcoins, for a guarantee of existence the recovery program at us you can send the test file for decoding, after decoding of the test file we will send you requisites for payment of the decoder, and after payment the instruction on decoding and the decoder.

Перевод письма на русский язык:
Привет! Цена декодера для вас 1000 (€) евро в Bitcoin, для гарантии существования у нас программы восстановления пришлите нам 1 зашифрованный файл, после его дешифровки мы вышлем Вам реквизиты для оплаты декодера, а после оплаты инструкцию по дешифровке и декодер.

Список файловых расширений, НЕ подвергающихся шифрованию: 
 .acm .ade .adp .app .asa .asp .aspx .ax .bas .bat .bin .boo .acm .bootmgr .cer .chm .clb .cmd .cnt .cnv .com .cpl .cpx .crt .csh .dll .drv .dtd .exe .fxp .grp .h1s .hlp .hta .ime .inf .ini .ins .isp .its .js .jse  .ksh .lnk .mad .maf .mag .mam .man .maq .mar .mas .sys

Шифровальщик не шифрует файлы со следующими именами, находящие в корне системного диска:
boot.ini
bootmgr
BOOTNXT
BOOTSECT.BAK
Bootfont.bin
NTDETECT.COM
ntldr
NTUSER.DAT
PDOXUSRS.NET

В продуктах Symantec называется Trojan.Ransomcrypt.BB >>

Обновление от 10 июля 2016
Новое расширение: .id-[10_digits_victim’s_ID]_sos@juicylemon.biz

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.