KEKW

KEKW Ransomware

KEKW-Locker Ransomware

(шифровальщик-вымогатель, деструктор, стиратель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем в шутку требует выкуп в 1 миллион BTC. Оригинальное название: в записке не указано. На файле написано: KEKW.exe

Обнаружения:
DrWeb -> Trojan.Encoder.31348
BitDefender -> Trojan.GenericKD.42888790
Avira (no cloud) -> TR/Ransom.xrlse
ESET-NOD32 -> A Variant Of MSIL/Filecoder.YR
Malwarebytes -> Ransom.Kekw
Rising -> Ransom.Genasom!8.293 (CLOUD)
Symantec -> Trojan.Gen.2
Tencent -> Msil.Trojan.Encoder.Wnlz
TrendMicro -> Ransom.MSIL.KEKW.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> KEKW

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .KEKW


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decrypt.txt

Содержание записки о выкупе:
RANSOM MESSAGE
GIVE ME 1 MILLION BITCOIN at RANSOM.onion
AES Encryption Key: G3Xgfd9aizCCOCZurvAlNaEs09RbA23iFjs3kySDlZQ=
AES Encryption IV: cswzut8/X3qc6xgISDSu9Q==

Другой вариант:
RANSOM MESSAGE
GIVE ME 1 MILLION BITCOIN at RANSOM.onion
AES Encryption Key: pG1fWp5RUk9Rp6NlTUCuUYSI3zhLhy/E9BgcOoMC9ak=
AES Encryption IV: rBvS7Ew31YbPQ2byHd76fA==

Перевод записки на русский язык:
RANSOM СООБЩЕНИЕ
Дайте мне 1 миллион биткойнов на RANSOM.onion
AES-ключ шифрования: G3Xgfd9aizCCOCZurvAlNaEs09RbA23iFjs3kySDlZQ=
AES IV шифрование: cswzut8 / X3qc6xgISDSu9Q==

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ На момент написания статьи было неизвестно, помогут ли данные. указанные в записке, восстановить файлы. Во всяком случае пострадавшие не смогут сами восстановить данные. Сумма выкупа нереальная, значит, это больше вредительство, чем вымогательство.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decrypt.txt - название файла с требованием выкупа
KEKW.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Jacob\source\repos\KEKW\obj\Debug\KEKW.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: ransom.onion
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

VHD

VHD Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 ECB + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: splwow32.exe

Обнаружения:
DrWeb -> Trojan.MulDrop11.51552
BitDefender -> Gen:Variant.Graftor.717353
Avira (no cloud) -> TR/Ransom.hrjej
ESET-NOD32 -> Win32/Filecoder.OBF
Microsoft -> Ransom:Win32/Cryptor!MSR
Rising -> Ransom.Cryptor!8.10A9 (CLOUD)
Symantec -> Downloader
TrendMicro -> Ransom_Cryptor.R011C0DCN20
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .vhd


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину марта 2020 г. Штамп даты: 19 марта 2020. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HowToDecrypt.txt

Содержание записки о выкупе:
All data on your pc were encrypted with strongest encryption method.
The only way to get your data back is to purchase unique key for you.
* You can get cheaper price if you contact us as soon as possible. *
After three days from now, it will be difficult to recover your data.
Good Luck.
contact address:
miclejaps@msgden.net
stevenjoker@msgden.net

Перевод записки на русский язык:
Все данные на вашем пк зашифрованы надежным методом шифрования.
Единственный способ вернуть ваши данные - это приобрести уникальный ключ для вас.
* Вы можете получить меньшую цену, если напишите быстрее. *
Через три дня будет трудно восстановить ваши данные.
Удачи.
Контакт-адрес:
miclejaps@msgden.net
stevenjoker@msgden.net

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Пытается остановить ряд служб согласно списку: 
sc stop "Microsoft Exchange Active Directory Toplogy"
sc stop "Microsoft Exchange Anti-spam Update"
sc stop "Microsoft Exchange Compliance Audit"
sc stop "Microsoft Exchange Compliance Service"
sc stop "Microsoft Exchange DAG Management"
sc stop "Microsoft Exchange Diagnostics"
sc stop "Microsoft Exchange EdgeSync"
sc stop "Microsoft Exchange Frontend Transport"
sc stop "Microsoft Exchange Health Manager"
sc stop "Microsoft Exchange Health Manager Recovery"
sc stop "Microsoft Exchange IMAP4"
sc stop "Microsoft Exchange IMAP4 Backend"
sc stop "Microsoft Exchange Information Store"
sc stop "Microsoft Exchange Mailbox Assistants"
sc stop "Microsoft Exchange Mailbox Replication"
sc stop "Microsoft Exchange Mailbox Transport Delivery"
sc stop "Microsoft Exchange POP3"
sc stop "Microsoft Exchange POP3 Backend"
sc stop "SQL Server Agent (TESTINSTANCE)"
sc stop "SQL Server (TESTINSTANCE)"

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HowToDecrypt.txt - название файла с требованием выкупа
splwow32.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
AEEAEE SET

Сетевые подключения и связи:
Email: miclejaps@msgden.net, stevenjoker@msgden.net
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Скриншоты от исследователей:

 

CryptGenRandom генерирует 64-байтовый ключ, но AES использует только 32 байта.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as VHD Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Jirehlov, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Sekhmet

Sekhmet Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048 + ChaCha, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.31322
BitDefender -> Trojan.GenericKD.42872102
ESET-NOD32 -> A Variant Of Generik.GYISLCY
Malwarebytes -> Trojan.MalPack
Rising -> Ransom.Cryptor!8.10A9 (CLOUD)
Symantec -> Ransom.Gen
TrendMicro -> Ransom.Win32.SEKHMET.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> Sekhmet

Изображение — логотип статьи

К зашифрованным файлам добавляются разные случайные расширения. например:
.cSlFg
.RXfbY
.jHXeqt
.DtiM
.wlxVM

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RECOVER-FILES.txt

Содержание записки о выкупе:
--------------
| Attention! |
--------------
Your company network has been hacked and breached. We downloaded confidential and private data.
In case of not contacting us in 3 business days this data will be published on a special website available for public view.
Also we had executed a special software that turned files, databases and other important data in your network into an encrypted state using RSA-2048 and ChaCha algorithms.
A special key is required to decrypt and restore these files. Only we have this key and only we can give it to you with a reliable decryption software.
---------------------------------------
| How to contact us and be safe again |
---------------------------------------
The only method to restore your files and be safe from data leakage is to purchase a private key which is unique for you and securely stored on our servers.
After the payment we provide you with decryption software that will decrypt all your files, also we remove the downloaded data from your network and never post any information about you.
There are 2 ways to directly contact us:
1) Using hidden TOR network:
   a) Download a special TOR browser: https://www.torproject.org/ 
   b) Install the TOR browser
   c) Open our website in the TOR browser: xxxx://o3n4bhhtybbtwqqs.onion/C4BA3647FD0D6918
   d) Follow the instructions on this page.
2) If you have any problems connecting or using TOR network
   a) Open our website: xxxxs://sekhmet.top/C4BA3647FD0D6918
   b) Follow the instructions on this page
On this web site, you will get instructions on how to make a free decryption test and how to pay.
Also it has a live chat with our operators and support team.
-----------------------
|Questions and answers|
-----------------------
We understand you may have questions, so we provide here answers to the frequently asked questions.
====
Q: What about decryption guarantees?
A: You have a FREE opportunity to test a service by instantly decrypting for free 3 files from every system in your network.
If you have any problems our friendly support team is always here to assist you in a live chat.
====
====
Q: How can we be sure that after the payment data is removed and not published or used in any nefarious ways?
A: We can assure you, downloaded data will be securely removed using DoD 5220.22-M wiping standart.
We are not interested in keeping this data as we do not gain any profit from it. This data is used only to leverage you to make a payment and nothing more.
On the market the data itself are relatively useless and cheap.
Also we perfectly understand that using or publishing this data after the payment will compromise our reliable business operations and we are not interested in it.
====
====
Q: How did you get into the network?
A: Detailed report on how we did it and how to fix your vulnerabilities can be provided by request after the payment.
====
--------------------------------------------------------------------------------------
This is techinal information we need to identify you correctly and give decryption key to you, do not redact!
---SEKHMET---
51VkH7oJKf5e6gh+7BW2KgfGSr/yibdEps7Bea72oGS***BPAFUAUAAAAA==  [всего 2504 знака]
---SEKHMET---

Перевод записки на русский язык:
--------------
| Внимание! |
--------------
Сеть вашей компании была взломана и нарушена. Мы загрузили конфиденциальные и личные данные.
В случае, если нет контакта с нами в течение 3 рабочих дней, эти данные будут опубликованы на специальном веб-сайте, доступном для всеобщего обозрения.
Также мы запустили специальную программу, которая преобразовала файлы, базы данных и другие важные данные в вашей сети в зашифрованное состояние с использованием алгоритмов RSA-2048 и ChaCha.
Специальный ключ нужен для расшифровки и восстановления этих файлов. Только у нас есть этот ключ, и только мы можем дать его вам с надежной программой для расшифровки.
---------------------------------------
| Как с нами связаться и снова быть в безопасности |
---------------------------------------
Единственный способ восстановить ваши файлы и обезопасить себя от утечки данных - это приобрести закрытый ключ, который является уникальным для вас и надежно хранится на наших серверах.
После оплаты мы предоставляем вам программу для расшифровки, которая расшифрует все ваши файлы, а также мы удалим загруженные данные из вашей сети и никогда не публикуем информацию о вас.
Есть два способа связаться с нами напрямую:
1) Использование скрытой сети TOR:
   а) Загрузите специальный браузер TOR: https://www.torproject.org/
   б) Установите браузер TOR
   c) Откройте наш веб-сайт в браузере TOR: xxxx://o3n4bhhtybbtwqqs.onion/C4BA3647FD0D6918
   г) Следуйте инструкциям на этой странице.
2) Если у вас возникли проблемы с подключением или использованием сети TOR
   а) Откройте наш веб-сайт: xxxxs://sekhmet.top/C4BA3647FD0D6918
   б) Следуйте инструкциям на этой странице
На этом веб-сайте вы получите инструкции о том, как сделать бесплатную тест-расшифровку и как оплатить.
Также есть живой чат с нашими операторами и службой поддержки.
-----------------------
| Вопросы и ответы |
-----------------------
Мы понимаем, что у вас могут возникнуть вопросы, поэтому мы даем здесь ответы на часто задаваемые вопросы.
====
Q: Как насчет гарантий дешифрования?
О: У вас есть БЕСПЛАТНАЯ возможность протестировать сервис, мгновенно расшифровав бесплатно 3 файла из каждой системы в вашей сети.
Если у вас есть какие-либо проблемы, наша дружная команда поддержки всегда здесь, чтобы помочь вам в чате.
====
====
В: Как мы можем быть уверены, что после того, как платежные данные будут удалены, а не опубликованы или использованы какими-либо гнусными способами?
A: Мы можем заверить вас, загруженные данные будут надежно удалены с использованием стандарта очистки DoD 5220.22-M.
Мы не заинтересованы в сохранении этих данных, поскольку мы не получаем никакой прибыли от них. Эти данные используются только для того, чтобы вы могли совершить платеж и ничего более.
На рынке сами данные относительно бесполезны и дешевы.
Также мы прекрасно понимаем, что использование или публикация этих данных после оплаты поставит под угрозу наши надежные деловые операции, и мы не заинтересованы в них.
====
====
Q: Как вы попали в сеть?
A: Подробный отчет о том, как мы это сделали и как исправить ваши уязвимости, может быть предоставлен по запросу после оплаты.
====
-------------------------------------------------- ------------------------------------
Это техническая информация, которая нам нужна, чтобы правильно идентифицировать вас и дать вам ключ расшифровки, не редактируйте!
---SEKHMET---
51VkH7oJKf5e6gh+7BW2KgfGSr/yibdEps7Bea72oGS***BPAFUAUAAAAA==  [всего 2504 знака]
---SEKHMET---

Содержание официального сайта вымогателей:
WAKE UP SAMURAI!
If you’ve come to this page, don’t waste your time searching for how to solve this problem and do not try to entrust the solution to third parties.
Upload the ransom note RECOVER-FILES.txt and We will tell you how to quickly and reliably recover all your files.

Перевод текста на русский язык:

Проснись Самурай!

Если вы зашли на эту страницу, не тратьте свое время на поиски решения этой проблемы и не пытайтесь доверить решение третьим лицам.

Загрузите записку с требованием выкупа RECOVER-FILES.txt, и мы расскажем вам, как быстро и надежно восстановить все ваши файлы.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 



➤ Для обеспечения запуска используется Regsvr32 — это служебная программа командной строки для регистрации и отмены регистрации элементов управления OLE, например ActiveX и библиотеки DLL в реестре Windows.
Запуск  обеспечивается с помощью следующей команды:
"C:\Windows\System32\regsvr32.exe" /s sekhmet.dll.exe

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RECOVER-FILES.txt - название файла с требованием выкупа
sekhmet.dll.{exe} - исполняемый файл Ransomware
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
G:\aaaa\bbbb\cccc\dddd\eeee.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://sekhmet.top/
URL: xxxxs://sekhmet.top/C4BA3647FD0D6918

  

Tor-URL: xxxx://o3n4bhhtybbtwqqs.onion/C4BA3647FD0D6918

  

Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

ProLock

ProLock Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью AES+RSA, а затем требует выкуп в 80 BTC, чтобы вернуть файлы. Оригинальное название: ProLock (указано в записке). На файле написано: нет данных.

Обнаружения:
DrWeb -> ***
BitDefender -> Trojan.GenericKD.42886619
Kaspersky -> Trojan-Ransom.Win32.Pwnd.c
Qihoo-360 -> Win32/Trojan.Ransom.7de
TrendMicro -> Ransom.Win32.PROLOCK.AA
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: PwndLocker > ProLock

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .ProLock


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину марта 2020 г. Предыдущий вариант вымогателя, который был назван PwndLocker, имел уязвимость, позволявшую расшифровать файлы у некоторых пострадавших, поэтому был модифицирован злоумышленниками с учетом имевшей уязвимости. ProLock ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: [HOW TO RECOVER FILES].txt

Содержание записки о выкупе:
Your files have been encrypted by ProLock Ransomware using RSA-2048 algorithm.
   [.:Nothing personal just business:.]
No one can help you to restore files without our special decryption tool.
To get your files back you have to pay the decryption fee in BTC.
The final price depends on how fast you write to us.
   1. Download TOR browser: https://www.torproject.org/
   2. Install the TOR Browser.
   3. Open the TOR Browser.
   4. Open our website in the TOR browser: msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd.onion
   5. Login using your ID 234***************** [total 20 characters]
   ***If you have any problems connecting or using TOR network:
   contact our support by email chec1kyourf1les@protonmail.com.
   [You'll receive instructions and price inside]
The decryption keys will be stored for 1 month.
We also have gathered your sensitive data.
We would share it in case you refuse to pay.
Decryption using third party software is impossible.
Attempts to self-decrypting files will result in the loss of your data.

Перевод записки на русский язык:
Ваши файлы зашифрованы ProLock Ransomware с использованием алгоритма RSA-2048.
   [.:Ничего личного просто бизнес:.]
Никто не может помочь вам восстановить файлы без нашего специального инструмента расшифровки.
Чтобы вернуть ваши файлы, вы должны заплатить за расшифровку в BTC.
Окончательная цена зависит от того, как быстро вы напишите нам.
   1. Загрузите браузер TOR: https://www.torproject.org/
   2. Установите браузер TOR.
   3. Откройте браузер TOR.
   4. Откройте наш веб-сайт в браузере TOR: msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd.onion
   5. Войдите под своим ID 234***************** [всего 20 символов]
   *** Если у вас есть проблемы с подключением или с сетью TOR:
   свяжитесь с нашей службой поддержки по email chec1kyourf1les@protonmail.com.
   [Вы получите инструкции и цену внутри]
Ключи расшифровки будут храниться в течение 1 месяца.
Мы также собрали ваши конфиденциальные данные.
Мы поделимся этим, если вы откажетесь платить.
Расшифровка с использованием сторонних программ невозможна.
Попытки самостоятельно расшифровать файлы приведут к потере ваших данных.

---

Скриншоты сайта вымогателей:

 

Содержание текста на сайте вымогателей:
Hello, you are a victim of ProLock ransomware.
Your files have been encrypted using RSA2048 algorithm.
This algorithm is one of the strongest, it is impossible to decrypt files without known key.
As you understand, situation is very important.
You can decrypt 1-2 files for free as a proof of work.
We know that this computer is very valuable for you.
So we will give you appropriate price for recovering.
DON'T try to change files by yourself, DON'T use any third party software for restoring your data or antivirus solutions - these actions may entail damage of the private key and, as result, the loss of all your data.
All your sensitive data was downloaded on remote servers. If you do not pay in several days all these sensitive files will be published in social networks and public media.
To get your files unlocked, pay.
If you want to make test unlock, contact support.
Payment information
80 BTC
UNPAID
Send 80 BTC (in ONE payment) to:
don't include transaction fee in this amount
16Dr9JbevWqur7qPCkfxC6hj3ku7stbZGE
[Check payment]
Available once every 12 hours
[Need help? Chat with support!]

Перевод текста на русский язык:

Привет, вы жертва ProLock Ransomware.

Ваши файлы зашифрованы с использованием алгоритма RSA2048.

Этот алгоритм является одним из самых сильных, невозможно расшифровать файлы без известного ключа.

Как вы понимаете, ситуация очень важна.

Вы можете расшифровать 1-2 файла бесплатно как доказательство работы.

Мы знаем, что этот компьютер очень ценен для вас.

Поэтому мы дадим вам соответствующую цену для восстановления.

НЕ ПЫТАЙТЕСЬ изменить файлы самостоятельно, НЕ ИСПОЛЬЗУЙТЕ какую-то стороннюю программу для восстановления ваших данных или антивирусные решения - эти действия могут повлечь за собой повреждение личного ключа и, как следствие, потерю всех ваших данных.

Все ваши конфиденциальные данные были загружены на удаленные серверы. Если вы не заплатите в течение нескольких дней, все эти конфиденциальные файлы будут опубликованы в социальных сетях и общедоступных СМИ.

Чтобы получить доступ к файлам, заплатите.

Если вы хотите сделать тест-разблокировку, обратитесь в службу поддержки.

Платежная информация

80 BTC

НЕОПЛАЧЕНО

Отправьте 80 BTC (ОДИН платеж) на:

не включайте комиссию за транзакцию в эту сумму

16Dr9JbevWqur7qPCkfxC6hj3ku7stbZGE

[Проверить оплату]

Доступно раз в 12 часов

[Нужна помощь? Общайтесь за поддержкой!]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ ProLock использует PowerShell для внедрения в память специального файла WinMgr.bmp. Файл в заголовке является файлов BMP, за которым идут нули, а затем код вымогателя. 

 

Вы можете видеть это на скриншотах. Файл WinMgr.bmp при просмотре выглядит как чёрный фон с несколькими белыми точками в правом верхнем углу. Его анализ на сайте VT приложен ниже. 
Если посмотреть на файл в hex-редакторе, то можно увидеть, что он содержит встроенные в него двоичные данные. Именно эти двоичные данные считываются PowerShell-скриптом, который внедряет их в память. 

 

Такая атака возможна при открытом доступе к серверам предприятия или организации с помощью службы удаленного рабочего стола. Далее развертывании по всей сети осуществляется с использованием PowerShell Empire или PSExec.

➤ ProLock удаляет теневые копии файлов командами:
vssadmin.exe delete shadows /all /quiet
vssadmin.exe resize shadowstorage /for=D: /on=D: /maxsize=401MB
vssadmin.exe resize shadowstorage /for=D: /on=D: /maxsize=unbounded

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
[HOW TO RECOVER FILES].txt - название файла с требованием выкупа
WinMgr.bmp - чёрный файл с белыми точками и кодом вымогателя внутри. 
WinMgr.xml
run.bat
clean.bat
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\ProgramData\WinMgr.bmp
C:\Programdata\WinMgr.xml
C:\Programdata\clean.bat
C:\Programdata\run.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: msaoyrayohnp32tcgwcanhjouetb5k54aekgnwg7dcvtgtecpumrxpqd.onion
Email: chec1kyourf1les@protonmail.com
BTC: 16Dr9JbevWqur7qPCkfxC6hj3ku7stbZGE
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis (WinMgr.bmp) >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ProLock)
 Write-up (March 20, 2020), Topic of Support
 * 

 Thanks: 
 PeterM, Michael Gillespie
 Andrew Ivanov (author)
 Lawrence Abrams
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.