Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 30 апреля 2017 г.

RSAUtil

RSAUtil Ransomware

alexjer554 batary5588 ursa2277

ziz777 Panzergen552 vendetta553

Filegorilla1388 vine77725 panda7499 

jonskuper578 fox2278 lion7872 Tizer78224

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"



Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей и серверов с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. Написан на Delphi. Сумма выкупа: $750 или другая. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.
К зашифрованным файлам добавляется составное расширение по шаблону: 
.[ransom_email].ID<victim_ID>

Например: 
.helppme@india.com.ID83994902
.some@mail.ru.ID16035194

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_return_files.txt 
Она дублируется изображением, встающим обоями рабочего стола.
 
Содержание записки о выкупе:
Hello my friend!
All files on your PC encryphted!
my email: helppme@india.com or
hepl1112@aol.com

Перевод записки на русский язык:
Привет мой друг!
Все файлы на твоем ПК зашифрованы!
Мой email: helppme@india.com или
hepl1112@aol.com

Содержание текста с экрана блокировки:
WARNING!!!
Your ID 83624883
OUR FILES ARE DECRIPTED
Your documents, photos, database, save games and other important data was encrypted.
Data recovery the necessary interpreter. To get the interpreter, should send an email to helppme@india.com or hepl1112@aol.com.
In a letter to include Your personal ID (see the beginning of this document).
In response to the letter You will receive the address of your Bitcoin wallet to which you want to perform the transfer.
When money transfer is confirmed, You will receive the decrypter file for Your computer.
After starting the programm-interpreter, all Your files will be restored.
Attention! Do not attempt to remove a program or run the anti-virus tools.
_ Красным выделены слова с ошибками, хотя и остальной текст не лучше. 😃

Перевод текста на русский язык:
ПРЕДУПРЕЖДЕНИЕ!!!
Ваш ID 83624883
OUR FILES ARE DECRIPTED
Зашифрованы ваши документы, фотографии, база данных, сохранения игр и другие важные данные.
Восстановить данные нужен интерпретатор. Для получения интерпретатора надо отправить email на helppme@india.com или hepl1112@aol.com.
В письме укажите Ваш личный ID (см. начало этого документа).
В ответ на письмо Вы получите адрес вашего биткойн-кошелька, на который Вы хотите сделать перевод.
Когда денежный перевод будет подтвержден, вы получите файл-декриптер для Вашего компьютера.
После запуска программы-интерпретатора все Ваши файлы будут восстановлены.
Внимание! Не пытайтесь удалить программу или запустить антивирусные программы.

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.avi, .cdx, .doc, .docx, .htm, .html, .jpeg, .jpg, .jzip, .mht, .mp3, .mpeg, .ogg, .pdf, .php, .png, .ppt, .pptx, .psd, .psw, .rar, .txt, .xls, .xlsx, .zip и другие.
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы веб-страниц, архивы и пр.

Файлы, связанные с этим Ransomware:
How_return_files.txt
<random>.exe
svchosts.exe
NE SPAT.bat
DontSleep_x64.exe
DontSleep_x64.ini
image.jpg
DECODE_ALL_FILES.bat
config.cfg
private.pem
и другие. 

Расположения:
\ufffd\u0a2f\ufffd\ufffd/cripter/

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: helppme@india.com и hepl1112@aol.com (от 30.04.2017)
some@mail.ru (от 16.05.2017)
BTC: 1CshTLvSfDrN1ATmC7vBNTkay1MtsA6KVs
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ на архив >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Обновление от 10 мая 2017:
<< Скриншот записки


Обновление от 31 мая 2017:
Email: ziz777@gmx.com, ziz777@india.com
Расширение: .[ziz777@india.com].ID<random_digits8>
Пример зашифрованного файла: Documents.docx.[ziz777@india.com].ID74930660
См. также комментарии Константина Козлова от 31 мая 2017 г. и Denis Karpov от 17 июня 2017. 


Обновление от 5 августа 2017:
Расширение: URSA.ID89817182
Email: ursa2277@gmx.com
ursa2277@yahoo.com
ursa2277@india.com
ursa2277@bk.ru
Записка: How_return_files.txt  
Темы на форуме:
*forum.kasperskyclub.ru/index.php?showtopic=56673
*forum.kasperskyclub.ru/index.php?showtopic=56685
<< Скриншот записки на английском языке


Обновление от 3 октября 2017:
Расширение (шаблон): .[alexjer554@gmx.com].ID<victim_ID>
Расширение (пример): .[alexjer554@gmx.com].ID40506070
Email: alexjer554@gmx.com и alexjer554@india.com
Записка: How_return_files.txt
Файлы: NE SPAT.bat, xmrig.exe, svhosts.exe
Папки: \cripter\ и другие. 
Расположения: \AppData\Local\Chrome\xmrig.exe
\cripter\NE SPAT.bat
\cripter\svhosts.exe
Темы на форуме:
*forum.kasperskyclub.ru/index.php?showtopic=57157
*forum.kasperskyclub.ru/index.php?showtopic=57214
*forum.kaspersky.com/index.php?/topic/380468-шифровальщик/
<< Скриншот записки на русском языке

Обновление от 23 октября 2017:
Email: batary5588@gmx.com
batary5588@india.com
batary5588@protonmail.com
Файл: svhosts.exe
Результаты анализов: HA+VT

Обновление от 8 ноября 2017:
Расширение (шаблон): .---[robocript@india.com]---.ID<victim_ID> 
Расширение (пример): .---[robocript@india.com]---.ID91977707 
Email: robocript@gmx.us
robocript@india.com
robocript@protonmail.ch 

Обновление от 1 декабря 2017: 
Email: Panzergen552@gmx.de
Panzergen552@protonmail.com
Panzergen552@india.com

Обновление от 12 декабря 2017: 
Расширение (шаблон): .ID<victim_ID>.VENDETTA
Пример расширения: .[ID59147733].VENDETTA
Записка: How_return_files.txt 
Email: vendetta553@gmx.de
vendetta553@india.com
vendetta553@protonmail.com
Тема на форуме: *forum.kasperskyclub.ru/index.php?showtopic=57929

Обновление от 16 декабря 2017: 
Расширение (шаблон): .ID<victim_ID>.GORILLA
Записка: How_return_files.txt  
Email: Filegorilla1388@gmx.de
Filegorilla1388@india.com
Filegorilla1388@protonmail.com
<< Скриншот записки на английском языке
Тема на форуме: *forum.kasperskyclub.ru/index.php?showtopic=57973


Обновление от 30 декабря 2017: 
Записка / Ransom-note: How_return_files.txt 
BTC: 166asTTzXjy8xaw1feimY7s1xwozyy8ACi
Сумма выкупа / Sum of ransom: $2000 (0,155 BTC)
Email: vine77725@gmx.de
vine77725@india.com
vine77725@protonmail.com 
Содержание записки / Contents of note: 
Hello…
For instructions on how to recovery the files, write to me:
vine77725@gmx.de
vine77725@india.com
vine77725@protonmail.com
In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again.

Обновление от 21 января 2018:
Email: panda7499@gmx.de
panda7499@india.com
panda7499@protonmail.com


Обновление от 18 февраля 2018:
Пример расширения с ID: .[ID621xxxxx]
Email: jonskuper578@india.com
jonskuper578@gmx.de
jonskuper578@protonmail.com
Записка: How_return_files.txt
Содержание записки: 
Hello...   :)
For instructions on how to recovery the files, write to me:
jonskuper578@india.com
jonskuper578@gmx.de
jonskuper578@protonmail.com
In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again. 
Пример темы на форуме >>


Обновление от 5 марта 2018:
Пример расширения с ID: .[ID284xxxxx]
Email: fox2278@india.com
fox2278@protonmail.com
fox2278@gmx.de
Записка: How_return_files.txt
Содержание записки: 
Hello... :)
For instructions on how to recovery the files, write to me:
fox2278@india.com
fox2278@protonmail.com
fox2278@gmx.de
In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again. 
---

Обновление от 2 апреля 2018:
Email: lion7872@protonmail.com
lion7872@gmx.de
lion7872@india.com
Содержание записки: 
Hello Friend :)
For instructions on how to recovery the files, write to me:
lion7872@protonmail.com
lion7872@gmx.de
lion7872@india.com
In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again. 
---

Обновление от 4 мая 2018:
Email: Tizer78224@gmx.de
Tizer78224@india.com
Tizer77234@protonmail.com
Содержание записки:
Hi friend...  :)
For instructions on how to recovery the files, write to me:
Tizer78224@gmx.de
Tizer78224@india.com
Tizer77234@protonmail.com
In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again.
Топик на форуме >>


Обновление от 25 июня 2018:
Email: filesreturn247@gmx.de
filesreturn247@india.com
filesreturn247@protonmail.com



ВНИМАНИЕ! 

Для зашифрованных файлов есть частный декодер от Dr.Web. 
Примеры помощи в комментариях ниже. Пишите помощникам на email. 
Увы, публичного дешифровщика нет. 
Или сами закажите расшифровку у Dr.Web по ссылке >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RSAUtil)
 Write-up, Topic
 * 
 Thanks: 
 xXToffeeXx 
 Michael Gillespie
 Alex Svirid
 victims of Ransomware (пострадавшие от вымогателей)
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 29 апреля 2017 г.

CryptoMix Wallet

Wallet Ransomware

CryptoMix-Wallet Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: Solheim&Sørensen AS и monsendas.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMixCryptoMix-Wallet

К зашифрованным файлам добавляется расширение .wallet, но оно используется как окончание составного расширения.
Пример зашифрованного файла: 
GBBYCNPX7M.[shield0@usa.com].ID[*****].wallet

!!! Да, теперь и семья CrypoMix Ransomware стала использовать это расширение. 

Активность этого крипто-вымогателя пришлась на конец апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: #_Restoring_files_#.txt

Содержание записки о выкупе:
All your files haue been encrypted!
All your files haue been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail shield0@usa.com
Write this ID in the title of your message *****
You haue to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived), and files should not contain valuable information.
(databases, backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. Vou haue to register, click 'Buy bitcoins', and select the seller by payment method and price.
http://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://wviw.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью на вашем ПК. Если вы хотите восстановить их, напишите нам на email-адрес shield0@usa.com
Напишите этот ID в заголовке вашего сообщения *****
Вы должны платить за расшифровку биткоинами. Цена зависит от того, как быстро вы нам напишете. После оплаты мы вышлем вам инструмент расшифровки, который расшифрует все ваши файлы.
Бесплатная расшифровка в качестве гарантии
Перед оплатой вы можете отправить нам до 5 файлов для бесплатной расшифровки. Общий размер файлов должен быть меньше 10 МБ (не архивирован), а файлы не должны содержать ценной информации.
(базы данных, резервные копии, большие листы Excel и т.д.)
Как получить биткоины
Самый простой способ купить биткоины - это сайт LocalBitcoins. Чтобы зарегистрироваться, нажмите 'Buy bitcoins' и выберите метод оплаты и цену.
http://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткоинов и руководство для новичков здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать данные с помощью чужого программного обеспечения, это может привести к полной потере данных.
Расшифровка ваших файлов с помощью третьих сторон может привести к увеличению цены (они добавят сумму к нашей), или вы можете стать жертвой мошенничества.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
monsendas.exe
#_Restoring_files_#.txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
185.125.32.14/check/gif.php***
Email: shield0@usa.com
admin@hoist.desi
3048664056@qq.com
patrik.swize@gmx.de
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CryptoMix Wallet)
 Write-up, Topic
 * 
 Thanks: 
 R0bert R0senb0rg‏
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Mini

Mini Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Mini Ransomware

К зашифрованным файлам добавляется расширение .maya 

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на индонезийскоязычных пользователей, что не мешает распространять его по всему миру. Пока в разработке и тестовой обкатке. 

Записки с требованием выкупа называются: READ ME.txt


Содержание записки о выкупе:
File-file anda dienkripsi oleh Mini Ransom
Kirim saya bitcoin ke //todo
Dan semua file anda kembali lagi HAHAHAHA :P

Перевод записки на русский язык:
Ваши файлы зашифрованы с Mini Ransom
Отправьте мне Bitcoin для // todo
И все ваши файлы обратно HAHAHAHA :P

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ ME.txt
mr.exe
Mini Ransomware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
DrWeb -> Trojan.Encoder.34151 (новое определение)

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 28 апреля 2017 г.

Mordor

Mordor Ransomware

(шифровальщик-вымогатель, RaaS)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в ~0,08 BTC, чтобы вернуть файлы. Оригинальное название: Mordor. Другое, указанное на файле: Game SuperCow. Третье, указанное в заголовке веб-страницы сайта: Milene Ransomware. Четвёртое, тоже указанное на файле, как внутренне имя: NOTHERSPACE_USE. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear (modified for RaaS) >> Mordor Raas

К зашифрованным файлам добавляется расширение .mordor

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных и русскоязычных пользователей, что не мешает распространять его по всему миру. 
Русский текст довольно безграмотен. 

Записки с требованием выкупа называются: READ_ME.html
Содержание записки о выкупе:
Все файлы зашифрованы!
Если тебе важны твои документы - перейди по ссылке. Там будет вся необходимая информация чтобы ты вернул свои файлы. Иначе ты на всегда потеряеш их ;-)

All data - encrypted!
If you need your documents - go to one of the links. There will be all the necessary information to return your files. Otherwise, you will always lose them ;-)
ID: 1
trustmordor.pw


Скриншоты с сайта trustmordor.pw
До ввода ID
После ввода ID


8 языков в другой версии

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME.html
NOTHERSPACE_USE.exe
Mordor.exe
<random>.exe

Расположения:
\Desktop\READ_ME.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
trustmordor.pw
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 5 августа 2017:
Пост в Твиттере >>
Название: 3301 Ransomware
Генеалогия: Mordor > 3301
Tor-URL: xxxx://paymentrdbsp4ccs.onion/
Локализация: DEU, USA, JAP, ITA, CHN, INF, POR, FRA
Скриншот сайта >>



 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic
 Video review by CyberSecurity (add. May 1. 2017)
 Thanks: 
 MalwareHunterTeam
 BleepingComputer
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 27 апреля 2017 г.

IPA

IPA Ransomware
International Police Association Ransomware

(zip-вымогатель)


Этот вымогатель захватывает файлы и помещает их в zip-архив c паролем, а затем требует выкуп. Оригинальное название: International Police Association. Пароль от zip-архива: ddd123456. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Тестовый вариант


Активность этого вымогателя пришлась на конец апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа пока нет. 


Скриншоты кода крипто-вымогателя

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.fla, .gif, .js, .mov, .mp3, .mpg, .ppt, .rar, .vob, .zip...
Это могут также быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. файлы, расположенных на дисках C:, D:, F:, G:, H:, J:, K:, L:, M:.

Файлы, связанные с этим Ransomware:
Build.exe - файл вымогателя
IAC.txt - список содержимого zip-архива
locked.zip - zip-архив с файлами

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam
 BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Amnesia

Amnesia Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим ECB), а затем требует написать на email вымогателей, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: Amnesia. Написан на Delphi. Содержание записки о выкупе вымогатели заимствовали у Globe3. По данным исследователей и результатам анализа вредоносных файлов Amnesia является продолжением шифровальщиков семейства Globe, см. генеалогию ниже. 

© Генеалогия: Globe Family > Amnesia ⇔ CryptoBoss
© Генеалогия: Globe Family > Amnesia > Amnesia-2 > Scarab Family 

К зашифрованным файлам добавляется расширение .amnesia
Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU
Стилизация сделана под амнезию (провалы в памяти) в чёрном цвете.

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
YOUR FILES ARE ENCRYPTED!
Your personal ID:
2236824251800*****
Attention! What happened?
Your documents, databases and other important data has been encrypted.
If you want to restore files send an email to: s1an1er111@protonmail.com
In a letter to indicate your personal identifier (see in the beginning of this document).
Attention!
 * Do not attempt to remove the program or run the anti-virus tools. 
 * Attempts to self-decrypting files will result in the loss of your data. 
 * Decoders are not compatible with other users of your data, because each user's unique encryption key.

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный ID:
2236824251800*****
Внимание! Что случилось?
Ваши документы, базы данных и другие важные данные зашифрованы.
Если хотите вернуть файлы, пришлите email на: s1an1er111@protonmail.com
В письме укажите свой личный ID (см. начало этого документа).
Внимание!
  * Не пытайтесь удалить программу или запустить антивирус.
  * Попытки самим дешифровать файлы приведут к потере ваших данных.
  * Декодеры от других пользователей не совместимы с вашими данными, т.к. у каждого пользователя уникальный ключ шифрования.



Технические детали

Распространяется через RDP или может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После получения доступа к системе шифровальщик удаляет все теневые копии файлов, прописывается в автозагрузке Windows, чтобы выполняться при каждом запуске системы. Шифрует у файлов первые 1 Мб с помощью AES-256 в режиме ECB. После этого к зашифрованным файлам добавляется расширение .amnesia

Amnesia использует шаблон идентификатора жертвы, состоящих из 614 знаков.

Список файловых расширений, подвергающихся шифрованию:
7763 целевых расширения!!! Абсолютный рекорд!!!

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы, файлы многих прикладных программ, расширения от других шифровальщиков и пр.

Я упорядочил их по алфавиту, но если вставить список сюда, то он займет много текста. См. скриншоты выше. 

Удаляет теневые копии файлов, точки восстановления системы и отключает автоисправление загрузки системы командами: 
C:\WINDOWS\system32\cmd.exe /c vssadmin Delete Shadows /All /Quiet
C:\WINDOWS\system32\cmd.exe /c bcdedit /set {default} recoveryenabled No
C:\WINDOWS\system32\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures


Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
guide.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: s1an1er111@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Globe Ransomware
Globe Family
Amnesia Ransomware
Amnesia-2 Ransomware
Scarab Ransomware
Scarab-Amnesia Ransomware
Scarab-Osk Ransomware 
{обновленный шифратор} 
Scarab-Bomber Ransomware 
и другие




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 мая 2017: 
Топик на форуме >>
Расширение: .@decrypt2017
Пример зашифрованного файла: 3w000000003pTDU3Pv3hBtVXmHS7ddEU.@decrypt2017
Статус: Файлы можно расшифровать. Ссылка на дешифровщик >> 

Обновление от 8 мая 2017:
Пост в Твиттере >>
Новые расширения: .01 и .02
Записка: RECOVER-FILES.HTML
Файлы: Happier.exe, bstarb.exe
Версия файла: 2.8.79.43
Фальш-имя: CalifrniaStl и др.
Теперь переименовывает файлы в имена, состоящие из случайных цифр и букв. 
Результаты анализов: VTVT



Обновление от 10 мая 2017:
Пост в Твиттере >>
Расширение: .[Help244@Ya.RU].LOCKED
Email: help244@ya.ru

Обновление от 12 мая 2017:
Тема на VirusInfo >>
Расширение: .CTB-Locker 
Email: locker@bitmessage.ch
Bitmessage: BM-2cVChsbUqL5H1nw98qrwbQkzdE1UqCs8nH
Записка: !__П_Р_О_Ч_Т_И__CTB-Locker__ПРОЧТИ__ПРОЧТИ.TXT
Содержание записки на русском и английском языках: 



Обновление от 1 июня 2017:
Расширение: .amnesia
Email: infokey24@india.com
BM-2cVyw4VrM7i6bKNtFjPxQ7AcreEtFxahVq
Содержание записки о выкупе (1-й вариант):
===
Your files are encrypted!
Your personal ID
628***
Your documents, photos, databases and other important files have been encrypted.
Data recovery is required interpreter.
To get interpreter should send an email to infokey24@india.com . In a letter to indicate your personal identifier (cm. at the beginning of this document).
If the contact is not obtained through the mail
 * Sign up online http://bitmsg.me (online service for sending Bitmessage)
 * Send an email to BM-2cVyw4VrM7i6bKNtFjPxQ7AcreEtFxahVq indicating your address and personal identity
Next, you need to pay for the interpreter. In a response letter you receive an 
address Bitcoin-Wallets, which must perform the transfer of funds in the amount of 0.1 Bitcoin (0.1 BTC ~ 200$).
If you have no Bitcoin
 * Create a wallet Bitcoin: https://blockchain.info/wallet/#/signup
 * Get cryptocurrency Bitcoin:
   https://localbitcoins.com/buy_bitcoins (Visa/MasterCard and etc.)
   https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)   (instruction for beginners)
 * Send 1 BTC at the address specified in the letter
When the transfer is confirmed, you will get the decryption files for your computer.
After start-interpreter program, all your files will be restored.
===
Пост на форуме >>
----------

Обновление от 1 июня 2017:
Расширение: .amnesia
Email: infokey24@india.com
BM-2cVyw4VrM7i6bKNtFjPxQ7AcreEtFxahVq
Скриншот этого варианта >>


Содержание записки о выкупе (2-й вариант):
===
Your files are encrypted!
Your personal ID
6287197656087.......
Your documents, photos, databases and other important files have been encrypted.
Data recovery is required interpreter.
To get interpreter should send an email to infokey24@india.com . In a letter to indicate your personal identifier (cm. at the beginning of this document).
If the contact is not obtained through the mail
 * Sign up online http://bitmsg.me (online service for sending Bitmessage)
 * Send an email to BM-2cVyw4VrM7i6bKNtFjPxQ7AcreEtFxahVq indicating your address and personal identity
Next, you need to pay for the interpreter. In a response letter you receive an 
address Bitcoin-Wallets, which must perform the transfer of funds in the amount of 0.23 Bitcoin (0.23 BTC ~ 500$).
If you have no Bitcoin
 * Create a wallet Bitcoin: https://blockchain.info/wallet/#/signup
 * Get cryptocurrency Bitcoin:
   https://localbitcoins.com/buy_bitcoins (Visa/MasterCard and etc.)
   https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)   (instruction for beginners)
 * Send 0.23 BTC at the address specified in the letter
When the transfer is confirmed, you will get the decryption files for your computer.
After start-interpreter program, all your files will be restored.
Attention!
* Do not attempt to remove the program or run the anti-virus tools
* Attempts self-decrypting files will result in the loss of your data
* Decoders are not compatible with other users of your data, because each use`s unique encryption key
===
Пост на форуме >>


Обновление от 5 июня 2017:
Расширение: .protomolecule@gmx.us
Записка: HOW TO RECOVER ENCRYPTED FILES
---
Расширение: .@decrypt_files2017
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT

----------


Этот вымогательский проект закрыт и вместо него используются другие, см. схему ниже. 
This "Amnesia project" has been shut down and others ransomware is running in its place. See the Scheme.

---


Внимание!
Для зашифрованных файлов есть декриптер
Скачать Amnesia Decrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Amnesia)
 Write-up, Topic
 * 
 Thanks: 
 xXToffeeXx, Fabian Wosar
 Michael Gillespie
 paradoxewan
 Alex Svirid
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *