Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует купить пароль, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
Содержание записки о выкупе: !!! SİSTEMİNİZ HACKLENDI!!! Merhabalar, Ben sistem açıklarını araştırıp bulan ve bu şekilde para kazanan bir sistem mühendisiyim. Şirketinizin sistemlerinde bir açık buldum ve sisteminizi hackledim. Şirketinizle ilgili bütün bilgilerinizi ele geçirdim ve sisteminizdeki ayrıca ağınızdaki tüm verileri şifreledim. Şayet bu bilgileri geri almak isterseniz ve şifreyi satın almak için benimle iletişime geçiniz. e-mail: muhendis@mail.ua Aksi taktirde ele geçirilen bilgiler internet ortamında yayınlanacaktır. *** Encrypted Session Key: A7198E2418228817B96F8(85F228C4(FD1014EF4E06F8589F5236ADE D28E34 F4574838F61CF9352ADE55777539007D62729A7B8CF17DD54E07DD56E7867A6413ABF8295D8C4F *** Перевод записки на русский язык: !!! ТВОЯ СИСТЕМА ВЗЛОМАНА !!! Привет всем, Я системный инженер, исследую системы и получаю деньги за работу. Я нашел уязвимую систему в вашей компании, и я взломал вашу систему. Мы захватили всю информацию о вашей компании, и я также шифровал все данные по сети в вашей системе. Если вы хотите получить эту информацию, то, пожалуйста, свяжитесь со мной, чтобы купить пароль. Email: muhendis@mail.ua В противном случае захваченная информация будет опубликована в Интернете. ***
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: <random>.exe <txt_file>.txt
Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Email: muhends@mail.ua См. ниже результаты анализов. Результаты анализов: Гибридный анализ >> VirusTotal анализ >> Другой анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
Записка с требованием выкупа называется: READ_ME_HELP_ME.txt Другим информатором жертв выступает экран блокировки, где написан текст на китайском и английском:
Содержание записки о выкупе: Ooops,your important files have been encrypted! ... Here the text is written in Chinese ... Is the content of your files not readable? It is normal, because your important files have been encrypted by the "FCP Ransomware". It means your files are NOT DAMAGED! Your files are just encrypted. From now it is not possible to use your files until they will be decrypted. The only way to decrypt your files safely is use special decryption tool "FCP Decryptor". Please wait for "FCP Decryptor" to start automatically. If "FCP Decryptor" does not start automatically, open "FCP Decryptor" on the desktop. Перевод записки на русский язык: Упс, ваши важные файлы были зашифрованы! ... Здесь текст написан на китайском языке ... Содержимое ваших файлов недоступно для чтения? Это нормально, потому что ваши важные файлы были зашифрованы "FCP Ransomware". Это значит, что ваши файлы НЕ ПОВРЕЖДЕНЫ! Ваши файлы просто зашифрованы. Пока файлы не будут дешифрованы, использовать файлы невозможно. Единственный способ безопасного дешифрования файлов - использовать специальный инструмент дешифрования "FCP Decryptor". Подождите, пока "FCP Decryptor" запустится автоматически. Если "FCP Decryptor" не запускается автоматически, откройте "FCP Decryptor" на рабочем столе.
Окна декриптера
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: READ_ME_HELP_ME.txt FCPRansomware.exe FCPDecryptor.exe Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: См. ниже результаты анализов. Результаты анализов: Гибридный анализ >> VirusTotal анализ >> Другой анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GRYPHON RANSOMWARE. На файле может быть написано, что угодно.
This BTCWare's logo was developed on this site ID-Ransomware.RU
Запиской с требованием выкупа также выступает скринлок, встающий обоями рабочего стола, с тем же текстом. [Нет картинки] Содержание записки о выкупе: === GRYPHON RANSOMWARE === Your documents, photos, databases and other important files have been encryptedcryptographically strong, without the original key recovery is impossible! To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER" Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk. If you want to restore files, write us to the e-mail: decr@cock.li In subject line write "encryption" and attach your ID in body of your messagealso attach to email 3 crypted files. (files have to be less than 2 MB) It is in your interest to respond as soon as possible to ensure the restorationof your files, because we wont keep your decryption keys at our server more thanone week in interest of our security. Only in case you do not receive a response from the first email addresswithit 48 hours, please use this alternative email adress: decrsup@cock.li Your personal identification number: Hj4zGkDR***** === GRYPHON RANSOMWARE === Перевод записки на русский язык: === GRYPHON RANSOMWARE === Ваши документы, фото, базы данных и другие важные файлы были криптографически сильно зашифрованы, без оригинального ключа восстановление невозможно! Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - "GRYPHON DECRYPTER", Использование других инструментов может привести к повреждению ваших файлов, в случае использования сторонних программ мы не даем гарантий, что полное восстановление возможно, поэтому используйте его на свой страх и риск. Если вы хотите восстановить файлы, напишите нам на e-mail: decr@cock.li В строке темы напишите "шифрование" и прикрепите свой ID в теле вашего сообщения, а также приложите к email 3 зашифрованных файла. (файлы должны быть меньше 2 МБ) В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов, потому что мы не будем хранить ваши ключи дешифрования на нашем сервере более недели в интересах нашей безопасности. Только в том случае, если вы не получите ответ с первого email-адреса за 48 часов, используйте этот альтернативный email-адрес: decrsup@cock.li Ваш личный идентификационный номер: === GRYPHON RANSOMWARE ===
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, используя команды: cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet vssadmin.exe Delete Shadows /All /Quiet cmd.exe /c bcdedit.exe /set {default} recoveryenabled No bcdedit.exe /set {default} recoveryenabled No cmd.exe /c bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: <random>.exe HELP.txt Расположения: \%APPDATA%\<random>.exe \%APPDATA%\HELP.txt Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: Email: decr@cock.li и decrsup@cock.li payoff@cock.li и payoff@bigmir.net chines34@protonmail.ch и oceannew_vb@protonmail.com См. ниже результаты анализов. Результаты анализов: Гибридный анализ >> VirusTotal анализ >> Другой анализ >> Степень распространённости: средняя. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 3 августа 2017: Расширение: .gryphon Составное расширение: .[payoff@cock.li].gryphon Email: payoff@cock.li и payoff@bigmir.net Записка: HELP.txt << Скриншот записки
Обновление от 4 августа 2017: Расширение: .gryphon Составное расширение: [chines34@protonmail.ch].gryphon Email: chines34@protonmail.ch и oceannew_vb@protonmail.com Записка: !## DECRYPT FILES ##!.txt << Скриншот записки Видеообзор >>
Обновление от 7 августа 2017: Email: garryhelpyou@qq.com и garrymagic@tutanota.com Тема на форуме >> << Скриншот записки
Обновление от 10 августа 2017: Статья на BC >> Расширение: .crypton Составное расширение: .[gladius_rectus@aol.com ].crypton Записка: HELP.txt Email: gladius_rectus@aol.com gladius_rectus@india.com Результаты анализов: HA+VT << Скриншот записки Обновление от 11 августа 2017: Расширение: .crypton Составное расширение: .[macgregor@aolonline.top ].crypton Email: macgregor@aolonline.top Результаты анализов: HA + VT << Скриншот записки
Обновление от 14 августа 2017: Пост в Твиттере >> Расширение: .gryphon Составное расширение: .[universe1@protonmail.ch].gryphon Записка: !## DECRYPT FILES ##!.txt Email: universe1@protonmail.ch и universe11@bigmir.net Результаты анализов: VT << Скриншот записки
Обновление от 14 августа 2017: Расширение: .gryphon !## DECRYPT FILES ##!.txt Email: payfordecrypt@qq.com и crypthelp@qq.com Составное расширение: .[payfordecrypt@qq.com].gryphon Тема на форуме >>
Обновление от 15 августа 2017: Пост в Твиттере >> Расширение: .gryphon Составное расширение: .[black.world@tuta.io].gryphon Email: black.world@tuta.io Результаты анализов: VT
Обновление от 15 августа 2017: Расширение: .gryphon Составное расширение: .[darkwaiderr@tutanota.com].gryphon Записка: !## DECRYPT FILES ##!.txt Email: darkwaiderr@tutanota.com и darkwaiderr@gmx.de
Обновление от 21 августа 2017: Расширение: .crypton Составное расширение: .[macgregor@aolonline.top ].crypton Email: macgregor@aolonline.top Записка: !## DECRYPT FILES ##!.txt << Скриншот записки и заш-файлов
Обновление от 26 августа 2017: Расширение: .gryphon Составное расширение: .[decrypt24@protonmail.com].gryphon Email: decrypt24@protonmail.com Результаты анализов: VT
Обновление от 26 августа 2017: Пост в Твиттере >> Расширение: .nuclear Составное расширение: .[black.world@tuta.io].nuclear Шаблон: .[<email>].nuclear Email: black.world@tuta.io Другой RSA-ключ. Записка: %APPDATA%\HELP.hta << Скриншот записки Результаты анализов: HA+VT См. мою статью BTCWare-Nuclear Ransomware >> Обновление от 29 августа 2017: Расширение: .nuclear Составное расширение: .[asdqwer123@cock.li].nuclear Шаблон: .[<email>].nuclear Email: asdqwer123@cock.li Обновление от 5 сентября 2017: Расширение: .nuclear Составное расширение: .[assistance@firemail.cc].nuclear Email: assistance@firemail.cc Результаты анализов: VT
Обновление от 11 сентября 2017: Расширение: .crypton Составное расширение: .[macgregor@aolonline.top ].crypton Email: macgregor@aolonline.top Записка: !## DECRYPT FILES ##!.txt Оплата: 0.5 BTC Результаты анализов: VT << Скриншот записки и скриншот файлов (ниже)
Обновление от 25 сентября 2017: Расширение: .nuclear Составное расширение: .[goldwave@india.com]-id-<id>.nuclear Email: goldwave@india.com Результаты анализов: VT
Обновление от 18 мая 2018: Расширение: .gryphon Составное расширение: .[black.world@tuta.io].gryphon Email: blackworld@cock.li Результаты анализов: VT
Обновление от 20 мая 2018: Расширение: .gryphon Составное расширение: .[fidel_romposo@aol.com].gryphon Email: fidel_romposo@aol.com Результаты анализов: VT
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения:
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted,
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet,
.wyvern, .xfile
Этот крипто-вымогатель якобы шифрует данные пользователей, а затем показывается вызывающее анти-израильское заявление. Оригинальное название. На файле написано: israbye.exe. Разработчик: Ahmed. Среда разработки: Visual Studio 2012.
Запиской с требованием выкупа выступает эпатажный экран блокировки и скринлок, встающий обоями рабочего стола. К курсору прикрепляется курсор-надпись END or ISRAEL.
Содержание текста с экрана: What Happened to My Computer ? All Your files and data are Fucked For Ever ! Can i Recover My Files ? Sure you can recover your files and guarantee that For Free..! When will i recover your files ? you will recover your files when we recover Palestine, When we recover Al AQSA, When we Recover Our Victims, Our Souls, Our Freedom. ***
Перевод текста на русский язык: Что случилось с моим компьютером? Все ваши файлы и данные гребаны навсегда! Могу ли я вернуть мои файлы? Конечно, вы можете вернуть свои файлы и гарантированно бесплатно ..! Когда я смогу вернуть ваши файлы? Вы вернёте свои файлы, когда мы вернём Палестину, когда мы вернём Эль-Аксу, когда мы вернём наши жертвы, наши души, нашу свободу. ***
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Список файловых расширений, подвергающихся шифрованию: Файлы не шифруются, а только перезаписываются. Это могут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Данный вредонос модульного типа, т.е. состоит из пяти разных исполняемых файлов. При запуске IsraBye.exe начинает уничтожать файлы на всех подключенных дисках, заменив их содержимое на текстовое сообщение.
Деструктивное сообщение: Fuck-israel, [username] You Will never Recover your Files Until Israel disepeare. Перевод на русский язык: *** [username] Вы никогда не вернёте свои файлы, пока Израиль не исчезнет. Когда Israbye завершит зачистку данных на всех дисках, он извлечёт 4 файла Cry.exe, Cur.exe, Lock.exe и Index.exe из исполняемого файла IsraBye.exe и запустит их. Каждый из этих файлов выполняет другую функцию, описанную ниже.
Cry.exe сменит обои на рабочем столе на файл wallper.jpg с анти-израильским и пропалестинским сообщением.
Cur.exe прикрепит к курсору изображение-надпись "END or ISRAEL", которое будет следовать за курсором мыши.
Lock.exe выполняет три функции. Сначала он ищет процессы procexp64, ProcessHacker, taskmgr, procexp, xns5 и завершает их. Затем он запускает Index.exe, а копирует основной файл Israbye.exe в корень других дисков как файл с именем ClickMe.exe, чтобы распространять вредоносное ПО.
Index.exe отображает экран блокировки, извлекает звуковой файл source.wav и воспроизводит его. При работе вредоноса повреждаются только файлы на рабочем столе и в папке "Загрузки". Файлы в папке "Program Files" остаются нетронутыми. Специалисты обнаружили, если создать ложный файл ClickMe.exe в папке %Temp%, то IsraBye падает при первом запуске. Файлы, связанные с этим Ransomware: israbye.exe cry.exe cur.exe lock.exe index.exe wallper.jpg wallper.exe ClickMe.exe source.wav Расположения: %APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\index.exe %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\lock.exe %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\cry.exe %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\cur.exe %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\wallper.exe IsraBye.exe извлекает cry.exe, cur.exe, lock.exe, index.exe cry.exe создаёт %TEMP%\wallper.jpg cry.exe создаёт %TEMP%\wallper.exe lock.exe создаёт %TEMP%\ClickMe.exe index.exe создаёт %TEMP%\source.wav Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: См. ниже результаты анализов. Результаты анализов: Гибридный анализ >> VirusTotal анализ >> Другой анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.