Satan666

Satan666 Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное. Разработка: Satanic Hackers.

© Генеалогия: HiddenTear >> Satan666

К зашифрованным файлам добавляется расширение .locked

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Please Read It.txt

Содержание записки о выкупе:
Your files have been encrypted!
Do not attempt to restore them. We have the decryption key.
Contact devilguy666@protonmail.com for more information.
Your personal ID: Wd2w6x9644ngr
Alternative email:
devilguy@sigaint.org
ea345@sigaint.org

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Не пытайтесь их восстановить. У нас есть ключ дешифрования.
Напишите на devilguy666@protonmail.com для получения информации.
Ваш персональный ID: Wd2w6x9644ngr
Альтернативный email:
devilguy@sigaint.org
ea345@sigaint.org

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Please Read It.txt
hidden-tear.exe

Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
xxxx://www.satanichackers.in (сайт, C2)
Email: devilguy666@protonmail.com
devilguy@sigaint.org
ea345@sigaint.org

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware  (n/a)
 Write-up  (n/a)
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

RIP, Phoenix HT

RIP HT Ransomware

Phoenix HT Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0.2 BTC, чтобы вернуть файлы. Название оригинальное или от используемого расширения. Разработка: Berisha. В url-адресе указана директория "phoenix_ran", что позволило предположить, что этот вымогательский проект может называться Phoenix. Сокращение HT в названии — HiddenTear.
---

Обнаружения: 

DrWeb -> Trojan.Encoder.10598

ALYac -> Trojan.Ransom.HiddenTear, Trojan.Ransom.HiddenTear.H

Avira (no cloud) -> HEUR/AGEN.1129952

BitDefender -> Trojan.Ransom.HiddenTear.H

ESET-NOD32 -> A Variant Of MSIL/Filecoder.Y

Malwarebytes -> Ransom.HiddenTear

Microsoft -> Ransom:MSIL/Ryzerlo.A

Symantec -> Ransom.HiddenTear!g1

Tencent -> Win32.Trojan.Generic.Akyr, Win32.Trojan.Generic.Plap

TrendMicro -> Ransom_CRYPTEAR.SM0, Ransom_HiddenTearPhoenix.A

---

© Генеалогия: HiddenTear >> RIP (Phoenix)

К зашифрованным файлам добавляется расширение .R.i.P

Активность этого крипто-вымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Important!.txt

Содержание записки о выкупе:
All your files has been encrypted with a Strong AES-256 ciphers
Send 0.2 BTC to this address: 1KdiPSdmqn7BsQFs9kqXdRqygruQeGzCx
Once you make your payment send a message in this email address: dj.elton@hotmail.co.uk

Перевод записки на русский язык:
Все твои файлы были зашифрованы сильным AES-256 шифром
Пришли 0,2 BTC на адрес: 1KdiPSdmqn7BsQFs9kqXdRqygruQeGzCx
Как сделаешь свой платеж, пришли сообщение на этот email-адрес: dj.elton@hotmail.co.uk

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:

.asp, .aspx, .cs, .csproj, .csv, .doc, .docx, .html, .inf, .jpg, .k2p, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql,.txt, .vb, .vbproj, .xls, .xlsx, .xml  (26 расширений). 

Это документы MS Office, базы данных, изображения, фотографии и пр.

Файлы, связанные с этим Ransomware:
 Important!.txt
hidden-tear.exe
<random>.exe
Windows 10 Free Update.exe 

Сетевые подключения и связи:
хттп://www.elb-hosting.esy.es/phoenix_ran/write.php?info= (сайт, C2)
Email: dj.elton@hotmail.co.uk

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter 
 ID Ransomware (n/a)
 Write-up 

 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (article author) 
  

© Amigo-A (Andrew Ivanov): All blog articles.

Locked-In, NoValid

Locked-In Ransomware 

NoValid Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название Locked-In от заголовка в записке о выкупе. Другое: NoValid - от расширения .novalid, которое добавлялось к файлам в конце ноября 2016. 

© Генеалогия: выясняется.

К зашифрованным файлам с декабря добавляется случайное расширение, причем к разным файлам разное. Таким образом, у каждого зашифрованного файла будет своё случайное расширение. 

Активность этого криптовымогателя пришлась на ноябрь -декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
RESTORE_NOVALID_FILES.HTML
RESTORE_CORUPTED_FILES.HTML

Содержание записки о выкупе:
Danger! ALL YOUR FILE HAS BEEN LOCKED.
What happened to your files?
All your files are encrypted and can be restored only afterpayment. For encryption we used persistent improved algorithm AES256.
For each file, generate a unique decryption key and adds a random number of bytes.whlch makes decryption impossible without the use of a special configuration file,which has all of the information needed to decrypt your files. After encryption, we carefully erased the old blocks on the HDD that did not have the possibility to recover files using special utilities for recovering lost files such as Recuva, etc..
What will happen if I try to restore files?
If you yourself attempt to restore a file, you break the sequence files in the system and once we get our interpreter, it will not help, as all files are encrypted in a certain order.

Перевод записки на русский язык ("грамота" сохранена):
Опасно! Все ваш файл был заперт. 
Что случилось с файлами?
Все ваши файлы зашифрованы и можно восстановить только после оплаты. Для шифрования мы использовали стойкий улучшенный алгоритм AES256.
Для каждого файла сгенерирован уникальный ключ дешифрования и добавлено случайное число байт, что делает невозможным дешифрование без специального конфигурационного файла, который имеет всю информацию, необходимую для расшифровки файлов. После шифрования мы тщательно стерли старые блоки на жестком диске, чтобы не было возможности восстановить файлы с помощью специальных утилит для восстановления потерянных файлов, таких как Recuva, и т.д..
Что будет, если я попробую восстановить файлы?
Если вы сами попытаетесь восстановить файл, вы нарушите последовательность файлов в системе, и как только мы получим наш интерпретатор, это не поможет, так как все файлы зашифрованы в определенном порядке.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bat, .bk, .bmp, .css, .csv, .divx, .doc, .docx, .exe, .html, .index, .jpeg, .jpg, .lnk, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .odt, .ogg, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .sln, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip (42 расширения).
Это документы MS Office, PDF, тексты, веб-страницы, базы данных, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
RESTORE_NOVALID_FILES.HTML
RESTORE_CORUPTED_FILES.HTML
multibyte.exe
<random>.exe

Фальш-имя: 
Microsoft Powershell Console

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание! 

Для зашифрованных файлов есть декриптер!

Скачать декриптер для Locked-In Ransomware >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Locked-In)
 Write-up (add. December 14, 2016)
 *
 *

 Thanks: 
 Michael Gillespie
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles

Chartwig

Chartwig Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES (CBC режим), а затем требует выкуп, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: PowerShell >> Chartwig.

К зашифрованным файлам добавляется расширение .***

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
нет данных

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Шифрованию подвергаются только директории пользователя:
Рабочий стол, Документы, Загрузки, Изображения

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .dot, .pdf, .pptx, .txt, .xls, .xlxx

Файлы, связанные с этим Ransomware:
ransomware-chartwig.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Еще >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *
 *

 Thanks: 
 Jiri Kropac
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles

RenLocker, Crypter

RenLocker Ransomware 

(фейк-шифровальщик)

   Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп от 1 до 5 биткоинов, чтобы вернуть файлы. Название дано исследователями от функционала: Rename > Ren + Locker. Оригинальное название: Crypter (в окне блокировщика экрана) и win (название проекта).

© Генеалогия: выясняется.

К якобы зашифрованным файлам добавляется расширение .crypter

На самом деле файлы не шифруются, но переименовываются, получая имя по шаблону [www-hash-part-]+[number]+[.crypter]

Т.е. сначала идёт добавка [www-hash-part-] затем специальный номер, а в конце добавляемое расширение. 

Пример якобы зашифрованных файлов

Активность этого криптовымогателя пришлась на конец ноября 2016 г. Ориентирован на португалоязычных (бразильских) пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана "CRYPTER - 2016 Ransomware: Preço de resgate deste server por 5 Bitcoins" с двумя вкладками. 

Содержание текста о выкупе:
ATENÇÃO: Seu computador esta bloqueado!
Seus arquivos importantes foram modificados, portanto impossibilitado de ser usados no momento
Suas fotos, documentos pessoais e trabalhos foram salvos e estão em um HD online podendo ser analizados e vendidos caso não tenha interesse em recupera-los.
Caso desconsidere, ou se de alguma forma equivocada impeça o funcionamento deste aplicativo e tente de alguma forma salvar seus arquivos, fotos, musicas, senhas e gravações dentre outros e não consiga, considero o fim da negaciação pelo resgate de seus arquivos, suas informações pessoais serão vendidos a quem pagar mais e os arquivos serão permanentemente perdidos
O Desbloqueio só é possível via Bitcoins
Os arquivos serão restaurados se for pago seu resgate via Bitcoins. Abaixo segue os links como proceder.
Passo a passo de como criar uma carteira: *****
Como comprar Bitcoins: *****
Valor do resgate de seu computador apenas em valor unitário de: 1 Bitcoins
Carteira para depósito: 13s8W3D5ssWR24Q2wwnftVK7dsbNTez2ym

Перевод на русский язык:
ВНИМАНИЕ: Ваш компьютер заблокирован!
Ваши важные файлы были изменены, потому не могут быть использованы.
Ваши фото, личные документы и документы были сохранены на HD, и могут быть проданы онлайн, если вы не заинтересованы в их восстановлении.
Игнорирование или любое неправильное завершение работы этого приложения и попытка каким-то образом сохранить ваши файлы, фото, музыку, пароли и записи среди других, не будет считаться полноценным возвратом ваших файлов, вашей личной информации, они будут проданы по высокой цене, и файлы будут безвозвратно утеряны.
Разблокирование возможно только через Bitcoins
Файлы будут восстановлены при оплате их выкупа через Bitcoins. Ниже приводится ссылка для продолжения.
Шаг за шагом, как создать кошелек: *****
Как купить Bitcoins: *****
Сумма выкупа вашего компьютера в единице стоимости: 1 биткоин
Bitcoins-кошелек: 13s8W3D5ssWR24Q2wwnftVK7dsbNTez2ym

Блокирощик экрана закрывается комбинацией клавиш Alt+F4. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся лже-шифрованию:
файлы во всех директориях пользователей.

Файлы, связанные с этим Ransomware:
win.exe
file.exe
<random_name>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов

Сетевые подключения и связи:
youtube.com/watch?v=GCoe-thmHJk
youtube.com/watch?v=2xRDkFDyYQY
ns.adobe.com/xap/1.0/
www.iec.ch/

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Т.к. файлы всё же не шифруются, то RenLocker Ransomware я отношу к фейк-шифровальщикам. 

Степень распространённости: единичные случаи.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RenLocker)
 Write-up on BC
 *

 Thanks: 
 Jiri Kropac
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Thanksgiving

Thanksgiving Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в *** биткоинов, чтобы вернуть файлы. Название получил от американского праздника "День Благодарения", к которому готовится индейка.

© Генеалогия: Stampado (шаблон и список расширений) > Thanksgiving 

Образец этого криптовымогателя был найден в ноябре 2016 г. Находится пока в разработке и активно не распространяется. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Образец содержит изображение индейки, символа "Дня Благодарения". 

Записки с требованием выкупа имеются в разделённом виде, в трёх частях: 
lblMain.txt
lbBitcoinInfoMain.txt
lbFinallyText.txt

Содержание записки lblMain.txt:
All files including videos, photos and documents on your computer have been encrypted by this software.
Encryption was produced using a unique key specific to your computer. The only way to obtain your files back is to decrypt them using the unique key specific to your computer.
Your unique key is stored on a tor server which will automatically destroy itself after 1 week. After that, no one will be able to restore your files.
If this program is altered in any way without ransom being payed, your files will be lost forever.
Your files will be automatically decrypted once the payment is received.
This program automatically communicates with the server and will decrypt your files once the payment has been received. Any questions, email me at: john.perezzka@gmail.com . An email needs to be sent when you have sent your payment with your IP address.

Перевод lblMain.txt на русский язык:
Все файлы, включая видео, фото и документы на вашем компьютере были зашифрованы с помощью этой программы.
Шифрование сделано с помощью ключа уникального для вашего компьютера. Один способ вернуть файлы — дешифровать их с уникальным ключом, созданным для вашего компьютера.
Ваш уникальный ключ хранится на tor-сервере и самоуничтожится через 1 неделю. Потом уже никто не восстановит ваши файлы.
Если эта программа изменена как-то без уплаты выкупа, ваши файлы будут потеряны навсегда.
Ваши файлы автоматически расшифруются после получения оплаты.
Эта программа автоматически свяжется с сервером и дешифрует файлы после получения платежа. Все вопросы, пишите мне на email: john.perezzka@gmail.com. Email должно быть отправлено, когда вы отправили платеж с вашего IP-адреса.

Содержание записки lbFinallyText.txt:
The damage has been done. It does not matter whether you remove this program or not, your data cannot be recovered by any other means. Your system is useless, it will be even more useless once you meet your due date.
-Attempting to close the program will delete a random file
-Cutting off your internet connection will delete files
-Any attempt of removing the program will delete files
Once the payment has been received, your files will be decrypted automatically once we receive an email from you.
Your system is unusuable. we recommend using another device to navigate the internet for you to be able to purchase bitcoins.
If this program is to ever disappear, feel free to open it up again from where you saved it.

Перевод lbFinallyText.txt на русский язык:
Ущерб был нанесен. Неважно, удалите ли вы эту программу или нет, данные не могут быть восстановлены с помощью других средств. Ваша система бесполезна, это станет еще более бесполезным, как только ваше время выйдет.
- Попытка закрыть программу удалит случайный файл
- Разрыв подключения к Интернету будет удалять файлы
- Любая попытка удаления программы будет удалять файлы
После полученя оплаты ваши файлы будут расшифрованы автоматически, как только мы получаем email от вас.
Ваша система непригодна, мы советуем вам пользовать другое устройство для навигации в Интернете и покупки биткоинов.
Если эта программа вдруг закроется, не стесняйтесь открыть его снова, где вы её сохранили.

Содержание записки lbBitcoinInfoMain.txt:
Bitcoins are a cryptocurrency. First of all, you need a wallet to store the bitcoins which you purchase, ordering 1% more bitcoins than the amount you are due is recommended due to wallet transfer rates.
Now you need to find a place to purchase bitcoins. Simply google search 'buy bitcoins' and purchase from the websites which appear in your google search. Make sure you place the bitcoins into your own wallet before sending it to the instructed address.
Once you have the bitcoins, send them to the address specified above, and your files will automatically be decrypted and the negative effects of this program will disappear.

Перевод lbBitcoinInfoMain.txt на русский язык:
Биткоины это криптовалюта. Сначала, вам нужен бумажник для хранения биткоинов, которые вы купите, заказыв на 1% больше, чем Bitcoins-сумма, из-за тарифов на трансфер.
Теперь вам нужно найти место для покупки биткоинов. Просто ищите в Google "купить Bitcoins" и покупайте с веб-сайтов, что выходят в поиске Google. Убедитесь, что получили биткоины в свой кошелек, до пересылки их на адрес в инструкции.
После получения биткоинов отправьте их по адресу, указанному выше, и ваши файлы автоматически расшифруются и негативные эффекты от программы исчезнут.

После выхода финальной версии вполне может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
!@!, $cr, $efs, ---, ___fpe, __b, _docx, _vc, {pb, ~de, ~dp, ~mn, ~y7, 000, 001, 00b, 1, 13t, 1p4_zip, 1password, 1pif, 1-step, 201, 2015, 210, 2db, 3Ds, 3Fr, 500, 73i87A, 7z, 999, a$v, a2r, aaa, aas, ab, abc,abcd, abk,abu1, accdb, acd-bak, aci, acl, acr, acsm, ad, adk, adoc, aea, aee, aen, aepkey, aes, aes256, aex, aexpk, afp, afs3, agilekeychain, ai, aiml, aja, ajl, alk, amj, amk, ani, anim, aos, apk, appt, apv, apw, arc, arch00, arm, arw, arz, asc, asd, asec, ashbak, ashdisc, asset, atc, ate, att, au3, aut, auth, avi, avn, avz, awb, awsec, axx, azf, azs, b2a, bac, backup, backupdb, bak, bak~, bak1, bak3, bakx, bar, base64, bay, baz, bbb, bbk, bc6, bc7, bc9, bca, bdb, bexpk, bfa, bfe, bff, bfs, bfw, big, bik, bin, bioexcess, bitstak, bjf, bk!, bk0, bk1, bk2, bk3, bk4, bk5, bk6, bk7, bk8, bk9, bkc, bkf, bki, bko, bkp, bks, bku, bkup, bkz, blend1, blend2, blob, bm3, bmp, bmpenx, bmr, bms, bnc, box, bp0, bp1, bpa, bpb, bpk, bpn, bpp, bps, bpw, breaking_bad, brw, brz, bsa, bsk, bsr, btc, btoa, btx, buc, bud, bvh, bvw, bz1, c, c2v, cae, can, cAs, cas, cbk, cbu, ccc, CCCRRRPPP, ccitt, ccp, cdb, cdr, cef, cer, cerber, cfd, cfe, cfog, cfp, cfr, cgp, chi, chml, cig, cip, ckp, clk, cln, clu, clx, cmb, cml, cmp, cng, coverton, cpp, cps, cpt, cpx, cr2, crinf, crjoker, crl, crpt, crptrgr, crt, crw, cry, cryp1, crypt, crypt10, crypt11, crypt12, crypt5, crypt6, crypt7, crypt8, crypt9, crypted, cryptolocker, cryptomite, cryptowall, cryptra, crypz, csj, css, csv, ctf, ctx, ctz, cvt, cxt, cyp, czip, czvxce, d3dbsp, da0, da1, dac, daf, darkness, das, dat, dat_mcr, dat_old, data, DayZProfile, daz, dazip, db, db.crypt5, db.crypt7, db.crypt8, db0, dbe, dbfv, dbk, dc4, dcf, dco, dcr, dcv, der, des, desc, devicesalt, dhcd, dim, diy,dkb, dl_, dlm, dmd, dmg, dmp, dng, doc, doce, docenx, docl, docm, docx, docxenx, docxl, dotmenx, dotxenx, dpd, drc, drt, dsa, dsb, dsc, dse, dsf, dsk, dss, dst, dt6, dwg, dwk, dwx, dxg, ebc, ebi, ebk, ebq, ecb, ecbk, ecc, ecr, edat, edc, ee, eea, eee, efa, efc, eff, efl, efr, efs, efu, efx, eg, egisenc, egisenx, egs, eid, ekb, embp, emc, enc, enciphered, EnCiPhErEd, encrypt, encrypted, enigma, enk, eno, ent, enz, eoc, epa, epb, epf, epk, eps, erf, eslock, esm, ets, etxt, ex_, exc,exportedfavorites, extz, exx, ezk, ezz, fb, fbc, fbf, fbk, fbu, fcfe, fdb, fdk, fdp, fez, ff, ffu, fgp, fkc, fl, flk, flka, flkb, flkw, flv, flwa, forge, fos, fpa, fpbf, fpenc, fpk, fri, fsh, fss, ftil, ftmb, fun, fve, fwb, fxa, fxh, gb1, gbck, gbk, gbm, gbp, gcb, gdb, gdk, ge2, gho, ghs, gif, gifenx, good, gpc, gpg, grd, gsba, gte, gws, gxk, ha3, hbi, hbk, hbx, hc, hcb, hde, hds, hdt, herbst, hex, hid, hid2, hkdb, hkx, hm~, hm4, hop, hpg, hplg, hsf, hsh, html, htmlenx, hvpl, i5d, iab, ibak, ibank, ibe, Ibf, Ibk, ibz, ica, icbu, icd, ichat, ico, icp, icxs, iff, ifs, iif, ima, image, img, img3, imm, in1, indd, info, ini, iobit, ipd, ipe, isk, ism, iso, itdb, itf, itl, itm, iv2i, ivex, iwa, iwd, iwi, ize, jaf, jbc, jbk, jcrypt, jmc, jmce, jmck, jmcp, jmcr, jmcx, jpa, jpeg, jpegenx, jpegx, jpg, jpg_encrypted, jpgenx, jpgx, jpi, jrl, jrs, js, jse, jsn, json, jsonlz4, jwc, k2p, kbb, kdb, kdbx, kdc, kde, kernel_complete, kernel_pid, kernel_time, key, keybtc@inbox_com, keychain, kf, kgb, kge, kimcilware, kkk, kne, kraken, kratos, krt, ks,ksd, kwm, layout, lcb, ldb, LeChiffre, legion, leotmi, Let, lf, lgb, litemod, llx, lma, lmr, lock3, locked, locky, lok, lol!, lp7, lrf, lrs, ltx, lvl, lxv, m14, m2, m3u, m4a, ma, macs, magic, manifest, map, mb, mb2, mbak, mbf, mbk, mbk, mbkp, mbs, mbsb, mbu, mbz5, mcat, mcfi, mcfp, mcgame, mck, mcmeta, mcrp, md, mdb, mdbackup, mddata, mdf, mdinfo, mef, mel, menc, menu, meo, metadata, mfs, mhtenx, mhtmlenx, mib, micro, migitallock, mim, mjd, mkey, mkeyb, mkz, mll, mlx, mnc, mny, mon, mono, mov, moz-backup, mp,mp3, mp4, mpb, mpqe, mpqge, mrbak, mrimg, mrwref, mscx, mscz, msd, mse, msgstoredbcrypt7, msnbak, mtd, mtl, muk, mv_, myc, mye, myox, mсg, n43, nab, nb7, nba, nbak, nbd, nbf, nbi, nbu, nbz, nc, ncf, nco, ndu, nef, nfb, nfc, nip, npb, npc, npf, nr4, nrb, nrc, nrd, nrg, nri, nrm, nru, nrw, nsx, ntj, ntl,ntx, nv2, nv3, nvf, nwbak, ob, ob3, obb, obj, obk, och, odb, odc, odcodc, odm, odp, ods, odt, ofb, ofc, ofx, ogex, okr, old, omg, ontx, op, opef, orf, ori, orig, original_epub, original_mobi, osbx, osf, otp, out, p00, p03, p04, p12, p14, p15, p20, p21, p24, p2i, p2v, p5tkjw, p7, p7a, p7b, p7c, p7e,p7m, p7s, p7x, p7z, padcrypt, pae, pak, pal, pandora, pas, passwordwallet4, paw, paym, paymrss, payms, paymst, paymts, payrms, pays, pb, pbb, pbd, pbf, pbr, pca, pcd, pchd, pcp, pcu, pcxm, pd2, pd6, pdb, pdc, pdcr, pdd, pde, pdf, pdfenx, pdfl, pdv, pef, pem, pf, pfx, pgp, php, pi2, pie, pjpg, pkcs12, pkd, pkey, pkf, pkk, pkpass, pkr, ple, png, pnne, PoAr2w, poo, potmenx, pp7m, ppenc, ppk, pps, ppsenx, ppsx, ppsxenx, ppt, ppte, pptenx, pptl, pptm, pptx, pptxenx, pqb, pr5, previous, prv, prvkr, ps, psb, psc, psd, psk, pst, psw, pswx, ptb, ptb, ptx, ptxt, puf, purgeable, pvk, pvr, pwa, pwl, pwv, py, pzdc, pсk, pсv, qb2013, qb2014, qb2015, qbb, qbk, qbm, qbmb, qbo, qbr, qbw, qbx, qby, qch, qcn, qdb, qdf, qdf-backup, qfx, qic, qif, qmd, qsd, qtx, QuickBooksAutoDataRecovery, quickenbackup, qxf, qze, r00, r10, r12, r13, r14, r15, r16, r18, r20, r3d, r5a, raa, rae, raes, raf, rar, rarenx, raw, rb, rb0, rb4, rbb, rbf, rbk, rbr, rdb, rdi, rdk, rdm, rdy, rdz, re3, re4, rec, REM, ren, req, rfp, rgss2a, rgss3a, rim, rkn, rman, rmb, rmbak, rng, rofl, rokku, rom, rpk, rpz, rrk, rrr, rsa, rsdf, rte, rtf, rtg, rw2, rwl, rxf, rzk, rzs, rzx, s1j, saa, safe, SafeText, saj, sat, sav, saved, sb, sba, sbb, sbe, sbf, sbk, sbu, sc2save, sccef, sda, sdc, sde, sdf, sdo, sdoc, sdsk, sdtid, sec, secure, SecureCrypted, sef, ses, set, sgn, sgz, shy, sic, sid, sid, sidd, sidn, sie, sign, signed, sik, sis, sjpg, ska, skb, skl, skp, skr, slm, slp, smbp, sme, smea, smht, smsbackup, sn1, sn2, sn3, snx, soft, sparsebundle, sparseimage, spb, spba, spd, spi, spk, spn, sppt, spt, sqb, sql, sr2, srf, srw, ssb, ssc, ssg, ssn, ssp, stg, sth, sti, stxt, suf, sum, sun, surprise, svd,svg, svl, svq, svs, swatch, swc, switch, sxl, sxm, sxml, syncdb, szf t09, t10, t11, t12, t13, t14, t15, ta1, tax, tax2008, tax2009, tax2010, tax2011, tax2012, tax2013, tax2014, tax2015, tb2, tbk, tbp, tc, tcs, tdr, tfx, tib, tifenx, tig, tk2, tlg, tly, tmb, tmp, tmr, tmw, tofp, tor, tpb, tpm, trn, tsc, tt12, tt13, tt14, tt15, ttbk, ttt, txf, txt, txtenx, tzp, uas, uci, udif, uea, ueaf, ueed, uenc, uhh, uid-zps, umb, undo, unity3d, upk, utb, uu, uud, uue, v11pf, v2b, v2c, v2i, v30, vbak, vbb, vbf, vbk, vbox, vbox-prev, vcf, vd, vdata, vdf, veg, vf3, vfs0, vfs4, viivo, vmdf, vme, vmf_autosave, vpk, vpp_pc, vrb, vrimg, vsf, vsr, vtf, vvv, vzn, w3x, wa~, wallet, walletx, wav, wb2, wbb, wbc, wbcat, wbf1, wbfs, wbk, wbp, wbu, wbverify, wcf, wed, wflx, whb, whx, wim, win, windows10, wjf, wkp, wma, wmc, wmg, wmo, wmt, wmv, wotreplay, wpb, wpd, wps, write, wspak, wza, x26, x3f, xar, xcon, xdb, xdc, xef, xf, xfd, xfi, xfl, xia,xlamenx, xlk, xls, xlsb, xlse, xlsenx, xlsl, xlsm, xlsx, xlsxenx, xlsxl, xml, xmm, xrm-ms, xxe, xxx, xyz, y8pd, yenc, ync, zap13, zbb, zbd, zcrypt, zdb, zepto, zip, zipenx, zix, zps, ztmp, zw1, zw3, zw5, zw6, zxn, zyklon, zzz (1240 расширений без 103 дублей в исходнике). 

Это документы MS Office, PDF, фотографии, музыка, видео, базы данных, бэкапы программ резервного копирования, общие сетевые папки и пр.

Я выявил в этом списке 93 расширения от других вымогателей: 
!@!, 73i87A, aaa, abc, axx, bak, bin, bitstak, bk6, bk8, bk9,breaking_bad, btc, ccc, CCCRRRPPP, cerber, coverton, crinf, crjoker, crptrgr, cryp1, crypt, crypted,cryptolocker, cryptowall, crypz, czvxce, darkness, data, ecc, enciphered, EnCiPhErEd, encrypt, encrypted, enigma, exx, ezz, fun, good, ha3, herbst, info, kernel_complete,kernel_pid,kernel_time, keybtc@inbox_com, kimcilware, kkk, kraken, kratos, LeChiffre, legion, locked, locky, lol!, magic, micro, mp3, odcodc, p20, p5tkjw, padcrypt, paym, paymrss, payms, paymst, paymts, payrms, pays, pdcr, PoAr2w, prv, pzdc, r12, r18, r5a, rdm, rokku, rrk, SecureCrypted, surprise, szf, tmr, ttt, vvv, wflx, windows10, xxx, xyz, zcrypt, zepto, zyklon, zzz

Ранее такой обширный список, включающий расширения, взятые у других вымогателей, был использован в обновлённой версии крипто-вымогателя Stampado Ransomware. Но этот список был дополнен разработчиком шифровальщика из разных других списков, потому и содержал 103 дубля уже имеющихся расширений, а некоторые из них были повторены несколько раз. 

Файлы, связанные с этим Ransomware:
lblMain.txt
lbBitcoinInfoMain.txt
lbFinallyText.txt
<random_name>.exe

Записи реестра, связанные с этим Ransomware: n/a
Сетевые подключения: n/a

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: единичные случаи.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware (n/a)

 *

 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CockBlocker

CockBlocker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA (открытый и закрытый ключи), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название оригинальное, использует ранее известное название. Разработка: monica & hannah.

Изображение не принадлежит шифровальщику

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .hannah

Активность этого криптовымогателя пока не замечена, найден в ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру, когда разрабока будет закончена. 

Запиской с требованием выкупа выступает скринлок "RansomwareDisplay". 

Содержание записки о выкупе:
Yo file's been encrypted nigga
Pays me a bitcoin and I unencrypt them fam

Перевод записки на русский язык:
Тво файлы зашифрованы нигга
Платить мне биткоин и я расшифровать их фам

Распространяться после доработки и выхода в финал может с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Cockblocker.exe
cockblocker.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
vboxsvr.ovh.net 
collabvm.xyz (146.198.249.193, США)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>  Ещё >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CockBlocker)
 Write-up on BC
 *

 Thanks: 
 Jiri Kropac
 Michael Gillespie
 Lawrence Abrams
 Jaromir Horejsi
 

© Amigo-A (Andrew Ivanov): All blog articles.