Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
Этот криптовымогатель шифрует данные пользователей с помощью AES-шифрования, а затем требует выкуп, чтобы вернуть файлы обратно. Срок уплаты выкупа - 72 часа. Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. UmbreCrypt относится к семейству криптовымогателей CrypBoss. Очень похож на HydraCrypt. Зашифрованные файлы получают расширение .umbrecrypt_ID_[8 случайных знаков ID]. Для каждой папки, в которой были зашифрованы файлы, UmbreCrypt также создаёт текстовую записку с требованием выкупа под названием README_DECRYPT_UMBRE_ID_ [victim_id].txt. По окончании шифрования данных будет отображён экран блокировки с требованием выкупа, который сообщает о том, что произошло с файлами жертвы.
Экран блокировки
Записки о выкупе называются: README_DECRYPT_UMBRE_ID_[victim_id].txt README_DECRYPT_UMBRE_ID_[victim_id].jpg и default32643264.bmp default432643264.jpg Для связи с вымогателями предлагаются email-адреса: umbredecrypt@engineer.com umbrehelp@consultant.com При установке UmbreCrypt сканирует диски C, D, E, F, G и Н на компьютере для поиска файлов, которые соответствуют нужным ему расширением. При обнаружении целевого расширения шифрует файлы с помощью AES и добавляет окончание umbrecrypt_ID_ [victim_id] к зашифрованному файлу. Таким образом, файл Chrysanthemum.jpg после шифрования станет Chrysanthemum.jpg.umbrecrypt_ID_abdag113 . Список файловых расширений, подвергающихся шифрованию: .$db, .__a, .__b, .~cw, .001, .002, .003, .113, .3fr, .73b, .7z, .ab, .aba, .abbu, .abf, .abk, .accdb, .acp, .acr, .adi, .aea,.afi, .ai, .apk, .arc, .arch00, .arw, .as4, .asd, .ashbak, .asset, .asv, .asvx, .ate, .ati, .avi, .bac, .backup, .backupdb, .bak~, .bak2, .bak3, .bakx, .bar, .bay, .bbb, .bbz, .bc6, .bc7, .bck, .bckp, .bcm, .bd, .bdb, .bff, .bif, .bifx, .big, .bik, .bk1, .bkc, .bkf, .bkp, .bkup, .bkz, .blend1, .blend2, .blob, .bm3, .bmk, .bmp, .bpa, .bpb, .bpm, .bpn, .bps, .bsa, .bup, .caa, .cas, .cbk, .cbs, .cbu, .cdr, .cer, .cfr, .ck9, .cmf, .cr2, .crds, .crt, .crw, .csd, .csm, .css, .csv, .d3dbsp, .da0, .das, .dash, .dat, .dazip, .db0, .dba, .dbf, .dbk, .dcr, .der, .desc, .dim, .diy, .dmp, .dna, .dng, .doc, .dot, .dov, .dpb, .dsb, .dwg, .dx, .dxg, .epk, .eps, .erf, .esm, .fbc, .fbf, .fbk, .fbu, .fbw, .ff, .fh, .fhf, .flka, .flkb, .flv, .forge, .fos, .fpk, .fpsx, .fsh, .ftmb, .ful, .fwbackup, .fza, .fzb, .gb1, .gb2, .gbp, .gdb, .gho, .ghs, .hkdb, .hkx, .hplg, .hvpl, .ibk, .icbu, .icf, .icxs, .indd, .ini.$$$, .inprogress, .ipd, .itdb, .itl, .itm, .iv2i, .iwd, .iwi, .jbk, .jdc, .jpe, .jpg, .js, .kb2, .kdb, .kdc, .kf, .layout, .lbf, .lcb, .litemod, .llx, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mbf, .mbk, .mbw, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mef, .mem, .menu, .mig, .mkv, .mlx, .mov, .mp4, .mpb, .mpqge, .mrw, .mrwref, .mv_, .nb7, .nba, .nbak, .nbd, .nbf, .nbi, .nbk, .nbs, .nbu, .ncf, .nco, .nda, .nef, .nfb, .nfc, .npf, .nps, .nrbak, .nrs, .nrw, .ntl, .nwbak, .obk, .odb, .odc, .odm, .odp, .ods, .odt, .oeb, .old, .onepkg, .orf, .ori, .orig, .oyx, .p12, .p7b, .p7c, .pak, .paq, .pba, .pbb, .pbd, .pbf, .pbj, .pbx5script, .pbxscript, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .pps, .ppt, .pqb, .pqb-backup, .prv, .psa, .psd, .psk, .pst, .ptb, .ptx, .pvc, .pvhd, .qba, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbw, .qbx, .qdf, .qic, .qic, .qsf, .qualsoftcode, .quicken2015backup, .quickenbackup, .qv~, .r3d, .raf, .rar, .raw, .rb, .rbc, .rbf, .rbk, .rbs, .rdb, .re4, .rgmb, .rgss3a, .rim, .rmbak, .rofl, .rrr, .rtf, .rw2, .rwl, .sav, .sav, .sb, .sbb, .sbs, .sbu, .scan, .sdc, .sid, .sidd, .sidn, .sie, .sim, .sis, .skb, .slm, .sme, .sn1, .sn2, .sna, .sns, .snx, .spf, .spg, .spi, .sps, .sqb,.sql, .sr2, .srf, .srr, .srw, .stg, .sum, .sv$, .sv2i, .svg, .syncdb, .t12, .t13, .tar.gz, .tax, .tbk, .tdb, .tibkp, .tiff, .tig, .tis, .tlg, .tmp, .tmr, .tor, .trn, .ttbk, .txt, .uci, .unrec, .upk, .v2i, .vbk, .vbm, .vbox-prev, .vcf, .vdf, .vfs0, .vpcbackup, .vpk, .vpp_pc, .vrb, .vtf, .w3x, .wallet, .wb2, .wbb, .wbcat, .wbk, .win, .wjf, .wma, .wmo, .wmv, .wotreplay, .wpb, .wpd, .wps, .wspak, .x3f, .xbk, .xf, .xlk, .xlk, .xls, .xml, .xxx, .yrcbck, .zip, .ztmp (416 расширений). Как известно от многочисленных жертв, UmbreCrypt мог быть установлен вручную посредством взлома терминальных служб или удаленного рабочего стола. Если ПК был инфицирован этим вымогателем, то нужно проверить журналы событий Windows на предмет неудачных попыток входа, и тем самым определить учётную запись, которая была скомпрометирована. UmbreCrypt пропускает шифрование файлов, находящихся в директориях: Windows, WINDOWS, Program Files, PROGRAM FILES, Program Files (x86), PROGRAM FILES (x86), ProgramData Связанные с UmbreCrypt файлы: %AppData%\ChromeSetings3264\ %AppData%\ChromeSetings3264\default32643264.bmp %AppData%\ChromeSetings3264\default432643264.jpg %AppData%\ChromeSetings3264\[random].exe %UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].jpg %UserProfile%\Desktop\README_DECRYPT_UMBRE_ID_[victim_id].txt Связанные с UmbreCrypt записи реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Internet Explorer Update "[path_to_installer.exe]" HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ChromeSettingsStart3264 "%AppData%\ChromeSetings3264\wosybiny.exe" HKCU\Software\Microsoft\Windows\ChromeRandomAdress3264 [random].exe HKCU\Software\Microsoft\Windows\ChromeSettiings3264 [path_to_installer.exe] HKCU\Software\Microsoft\Windows\ChromeStarts3264 [path_to_installer.exe] HKCU\Software\Microsoft\Windows\TRUECRT3264 TrueUMBRE Степень распространенности: средняя. Подробные сведения собираются. Ссылки:Cтатья на BC
Активность этого крипто-вымогателя пришлась на начало февраля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: не найдена
Содержание записки о выкупе: *** Перевод записки на русский язык: ***
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. !!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: .doc, .docx, .jpg, .jpeg, .png, .xls, .xlsx, Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии и пр. Файлы, связанные с этим Ransomware: <random>.exe - случайное название Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Во французском тексте довольно много орфографических и грамматических ошибок, а это говорит о том, что этот язык не является родным для вымогателей.
Перевод записки на русский язык: Здравствуйте, мы люди без работы, не ищем проблем, просто хотим прокормить свои семьи, мы просим вас не глупить, Потому что это нехорошо для вас, Мы зашифровали файлы с помощью персонального алгоритма и просим заплатить выкуп в 300 EURO, чтобы разблокировать файлы. Мы гарантируем полное возвращение вашего файла и никогда больше не услышать о нас, итак, Об оплате: Оплата может быть выполнена с помощью доступной на всей территории Франции карты Paysafecard, вот ссылка, чтобы быстро найти ближайшие точки продажи к вам: hxxps: //wm.paysafecard.com/fr-fr/acheter/trouver-des-points-de-vente/ Любой запрос на снятие блокировки файлов без оплаты будет автоматически отклонен, Мы принимаем только карты EURO 50 и 100 евро, Пожалуйста, отправьте коды карты на один из следующих email-адресов: geniesanstravaillee@outlook.fr geniesanstravaillee@yahoo.fr geniesanstravaillee@gmail.com Не забудьте указать имя пользователя ПК в теме письма, Ваше имя пользователя: 0E66C256 В подтверждение доброй воли и доказательства вам, что это не афера, Мы можем расшифровать 1 файл для вас бесплатно, Пожалуйста, пришлите нам один из ваших зашифрованных файлов в качестве вложения к email, указанные выше и не забудьте указать идентификатор вашего ПК, чтобы мы могли взять ключ дешифрования от наших клиентов. Вы получите результат с кодом разблокировки в тот же день оплаты. Мы приносим свои извинения за причиненные неудобства. Позже, записка о выкупе стала внедряться в зашифрованные файлы. Примеры смотрите в обновлениях ниже.
Технические детали
Распространяется с помощью email-спама и вредоносных вложений, которые могут содержать вредоносный JS-файл. Может распространяться путём взлома через незащищенную конфигурацию RDP, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. ➤ Отключает настройки безопасности в браузере Internet Explorer. ➤Изменяет файлы в папке расширений Chrome. ➤Действия выглядят как кража личных данных.
➤Добавляется в Автозагрузку и меню Пуск. ➤ При шифровании выполняется Base64 (TripleDES(Base64(filebytes)) Файлы, связанные с этим Ransomware: Comment débloquer mes fichiers.txt - отдельный файл записки был только в ранних версиях. L o c k e r.exe Screen.jpg - делается снимок экрана <random>.exe - случайное название C:\Users\User\AppData\Local\Temp\{name_malware}.exe {name_malware}.js Расположения: %TEMP%\Screen.jpg %APPDATA%\L o c k e r.exe Сетевые подключения и связи: auth.smtp.1and1.fr Степень распространенности: средняя. Подробные сведения собираются.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Первые версии использовали записку о выкупе Comment débloquer mes fichiers.txt. Последующие версии стали внедрять её содержимое в зашифрованные файлы, меняя только контакты и адреса.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 14 февраля 2017: Пост в Твиттере >> Файлы: L o c k e r.exe, FL.exe, Screen.jpg Самоназвание: J o b C r y p t e r Email: frthnfdsgalknbvfkj@outlook.fr frthnfdsgalknbvfkj@yahoo.com frthnfdsgalknbvfkj@gmail.com Результаты анализов: HA + VT
Обновление от 6 марта 2017: Расширение: .css Записка находится в зашифрованном файле. Email: такие же, как раньше. Видеообзор >> Обновление от 2 августа 2018: Пост в Твиттере >> Расширение: .css Записка находится в зашифрованном файле. Email: такие же, как раньше.
Обновление от 13 августа 2018: Расширение: .css Email: hotline@adpresence.net, booba.karis2542@gmail.com URL: auth.smtp.1and1.fr (212.227.15.168) Фальш-имя: Opera Internet Browser Результаты анализов: VT
Обновление от 13 августа 2018: Пост в Твиттере >> Расширение: .css Записка находится в зашифрованном файле. Сумма выкупа: 1000€ Email:heniesanstravaille@out1ook.fr heniesanstravaille@yahoo.com heniesanstravaille@gmai1.com URL: auth.smtp.1and1.fr (212.227.15.184) URL: xxxx://poislgam.fr/
Промежуточное обновление: Самоназвание: Die Hard 4 Текст на английском языке. Tor-URL: http://diehard4uty2z5cs.onion
Обновление от 5 мая 2020: Пост в Твиттере >> Расширение: .css Самоназвание: Die Hard 4 Все тексты написаны на французском языке. Tor-URL: http://diehard4uty2z5cs.onion Email: WarlockdeDieHard4@protonmail.com По-прежнему текст вымогателей внедрён в зашифрованные файлы.
Я сделал один файл анимационным, чтобы показать, как просмотреть содержимое в hex-редакторе (см. красную стрелку).
Обновление от 12 мая 2020: Пост в Твиттере >> Расширение: .css Email: patrick4452@protonmail.com Пострадавшие получили поддельное письмо якобы от AXA Group (французская страховая и инвестиционная группа компаний). Файлы: hytrre.js, 745787747877.exe Результаты анализов: VT + AR+ IA + TG
➤ Содержание записки: Bonjour, Nous sommes des êtres humains sans emploi on cherche pas les problèmes, On veut juste nourrir nos familles, Nous vous demandons de ne pas faire des bêtises avec nous parce que ce n'est pas bien pour vous Nous avons crypté tous vos fichiers En utilisant un algorithme renforcer, Et nous vous demandons de nous payer une rançon de 500 Euros pour décrypter et récupérer vos fichiers, Nous vous garantissons le déblocage total de vos fichiers et ne plus jamais entendre parler de nous, Contactez-nous sur l'un des e-mails citer là-dessous pour vous communiquer le moyen de paiement Pour vous prouver que nous pouvons décryptées et récupérer vous fichier, Envoyez nous un seul fichier de format photo ou vidéo ou bien une musique pour le décryptage et nous le feront gratuitement, N'oubliez pas de citer sur l'e-mail identifiants suivants: C4BA3647 Votre identifiant nous permettra de localiser votre clé de décryptage parmi celles de nos clients, patrick4452@protonmail.com patrick4452@protonmail.com patrick4452@protonmail.com Si vous effectuer le payement dans la matinée du samedi au jeudi vous aurez la clé de décryptage après une ou deux heures au plus tard Sinon vous serez obligé d'attendre 24 heures Vous avez 15 jours pour payer à partir de cette date: 5/12/2020 1:36:26 PM , Si vous dépasser ce délai la rançon augmentera de 50 euros par jour, nous vous conseillons donc de respecter les délais citer là dessus Ne supprimer surtout pas ce fichier, car si vous le faites vous supprimer aussi votre fichier, descendez pour voir, Le texte que vous voyez en dessous si votre fichier crypté. Merci. *** Обновление от 8 июля 2020: Пост в Твиттере >> Расширение: .txt Записка: в файле Email: Olivier92747@protonmail.com Пострадавшие получили поддельное письмо якобы от AXA Group (французская страховая и инвестиционная группа компаний).
Файлы: officiel.exe, bntyhxd.js Название проекта: officiel.pdb Файл в Автозагрузке: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\bntyhxd.js Результаты анализов: VT + HA + IA + AR + TG
➤ Содержание записки: Bonjour, Nous sommes des êtres humains sans emploi on cherche pas les problèmes, On veut juste nourrir nos familles, Nous vous demandons de ne pas faire des bêtises avec nous parce que ce n'est pas bien pour vous Nous avons crypté tous vos fichiers En utilisant un algorithme renforcer, Et nous vous demandons de nous payer une rançon de 1000 Euros pour décrypter et récupérer vos fichiers, Nous vous garantissons le déblocage total de vos fichiers et ne plus jamais entendre parler de nous, Contactez-nous sur l'un des e-mails citer là-dessous pour vous communiquer le moyen de paiement Pour vous prouver que nous pouvons décryptées et récupérer vous fichier, Envoyez nous un seul fichier de format photo ou vidéo ou bien une musique pour le décryptage et nous le feront gratuitement, N'oubliez pas de citer sur l'e-mail identifiants suivants: C4B***** Votre identifiant nous permettra de localiser votre clé de décryptage parmi celles de nos clients, Olivier92747@protonmail.com Olivier92747@protonmail.com Olivier92747@protonmail.com Si vous effectuer le payement dans la matinée du samedi au jeudi vous aurez la clé de décryptage après une ou deux heures au plus tard Sinon vous serez obligé d'attendre 24 heures Vous avez 7 jours pour payer à partir de cette date: 7/8/2020 11:17:07 AM , Si vous dépasser ce délai la rançon augmentera de 50 euros par jour, nous vous conseillons donc de respecter les délais citer là dessus Ne supprimer surtout pas ce fichier, car si vous le faites vous supprimer aussi votre fichier, descendez pour voir, Le texte que vous voyez en dessous si votre fichier crypté. Merci. ***** Обновление от 11 августа 2020: Пост в Твиттере >> Расширение: .txt Записка: в файле Пример: ac3b9aed7fa9674757159e6d7d575672f9d98100941e9bdeffeca1313b75782d.sth.txt Результаты анализов: VT + AR + IA + TG
➤ Содержание записки: *******you can't open files???**** Do not be afraid, you can recover all your files please follow the following steps *** Step 1 Download Tor Browser *** Here is the link to download Tor Browser: https: //www.torproject.org/en/download/languages/ Here is the link How to install TOR Browser on Windows: https://www.youtube.com/watch?v=ehQcx_6DsTw *******Step 2 accessing our site***** Open this site In the Tor browser : http://diehard4uty2z5cs.onion/ (Important) This site only works with the Tor browser ***** What guarantees you have?**** You can send one of your encrypted file from your PC and we decrypt it for 5 dollar But we can decrypt only 1 file for 5 dollar File must not contain valuable information. Your personal ID: 7CD9E*** You have 7 days To buy your key from this date: If you exceed the deadline will increase by 100 dollar per day, we therefore advise you to respect the deadlines mentioned above. Thank you. cordially Die Hard 4 ;+GR1j5cwBH2Ww9eaHtLJjed/g+DYnZVbRrsyVeRLZ3*** [всего 877 знаков]
- Видеообзор от João Pena Gil (отдельный файл записки показан на 2 минуте видео)
- Видеообзор от CyberSecurity GrujaRS (записка в зашифрованном файле)
Thanks:
Michael Gillespie, MalwareHunterTeam, Emmanuel_ADC-Soft
Tomas Meskauskas (first screenshot from pcrisk.com)
Andrew Ivanov
GrujaRS, Erez Yalon, João Pena Gil
Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (режим CBC, ключ RSA-2048), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Срок уплаты выкупа - 72 часа. Если пользователь не платит в течение этого времени, сумма выкупа возрастает. Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. HydraCrypt относится к семейству криптовымогателей CrypBoss. Очень похож на UmbreCrypt. Зашифрованные файлы получают расширение .hydracrypt_ID_[8 случайных знаков ID]. Для каждой папки, в которой были зашифрованы файлы, HydraCrypt также создаёт текстовую записку с требованием выкупа под названием README_DECRYPT_HYRDA_ID_ [victim_id].txt. По окончании шифрования данных будет отображён экран блокировки с требованием выкупа, который сообщает о том, что произошло с файлами жертвы.
Записки о выкупе называются: README_DECRYPT_HYRDA_ID_[victim_id].txt README_DECRYPT_HYRDA_ID_[victim_id].jpg Для связи с вымогателями предлагаются email-адреса: xhelper@dr.com ahelper@dr.com При установке HydraCrypt сканирует диски C, D, E, F, G и Н на компьютере для поиска файлов, которые соответствуют нужным ему расширением. При обнаружении целевого расширения шифрует файлы с помощью AES и добавляет окончание hydracrypt_ID_ [victim_id] к зашифрованному файлу. Таким образом, файл Chrysanthemum.jpg после шифрования станет Chrysanthemum.jpg.hydracrypt_ID_d2vak123 . Список файловых расширений, подвергающихся шифрованию: .$db, .__a, .__b, .~cw .001, .002, .003, .113, .3fr, .73b, .7z, .ab, .aba, .abbu, .abf, .abk, .accdb, .acp, .acr, .adi, .aea,.afi, .ai, .apk, .arc, .arch00, .arw, .as4, .asd, .ashbak, .asset, .asv, .asvx, .ate, .ati, .avi, .bac, .backup, .backupdb, .bak~, .bak2, .bak3, .bakx, .bar, .bay, .bbb, .bbz, .bc6, .bc7, .bck, .bckp, .bcm, .bd, .bdb, .bff, .bif, .bifx, .big, .bik, .bk1, .bkc, .bkf, .bkp, .bkup, .bkz, .blend1, .blend2, .blob, .bm3, .bmk, .bmp, .bpa, .bpb, .bpm, .bpn, .bps, .bsa, .bup, .caa, .cas, .cbk, .cbs, .cbu, .cdr, .cer, .cfr, .ck9, .cmf, .cr2, .crds, .crt, .crw, .csd, .csm, .css, .csv, .d3dbsp, .da0, .das, .dash, .dat, .dazip, .db0, .dba, .dbf, .dbk, .dcr, .der, .desc, .dim, .diy, .dmp, .dna, .dng, .doc, .dot, .dov, .dpb, .dsb, .dwg, .dx, .dxg, .epk, .eps, .erf, .esm, .fbc, .fbf, .fbk, .fbu, .fbw, .ff, .fh, .fhf, .flka, .flkb, .flv, .forge, .fos, .fpk, .fpsx, .fsh, .ftmb, .ful, .fwbackup, .fza, .fzb, .gb1, .gb2, .gbp, .gdb, .gho, .ghs, .hkdb, .hkx, .hplg, .hvpl, .ibk, .icbu, .icf, .icxs, .indd, .ini.$$$, .inprogress, .ipd, .itdb, .itl, .itm, .iv2i, .iwd, .iwi, .jbk, .jdc, .jpe, .jpg, .js, .kb2, .kdb, .kdc, .kf, .layout, .lbf, .lcb, .litemod, .llx, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mbf, .mbk, .mbw, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mef, .mem, .menu, .mig, .mkv, .mlx, .mov, .mp4, .mpb, .mpqge, .mrw, .mrwref, .mv_, .nb7, .nba, .nbak, .nbd, .nbf, .nbi, .nbk, .nbs, .nbu, .ncf, .nco, .nda, .nef, .nfb, .nfc, .npf, .nps, .nrbak, .nrs, .nrw, .ntl, .nwbak, .obk, .odb, .odc, .odm, .odp, .ods, .odt, .oeb, .old, .onepkg, .orf, .ori, .orig, .oyx, .p12, .p7b, .p7c, .pak, .paq, .pba, .pbb, .pbd, .pbf, .pbj, .pbx5script, .pbxscript, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .pps, .ppt, .pqb, .pqb-backup, .prv, .psa, .psd, .psk, .pst, .ptb, .ptx, .pvc, .pvhd, .qba, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbw, .qbx, .qdf, .qic, .qic, .qsf, .qualsoftcode, .quicken2015backup, .quickenbackup, .qv~, .r3d, .raf, .rar, .raw, .rb, .rbc, .rbf, .rbk, .rbs, .rdb, .re4, .rgmb, .rgss3a, .rim, .rmbak, .rofl, .rrr, .rtf, .rw2, .rwl, .sav, .sav, .sb, .sbb, .sbs, .sbu, .scan, .sdc, .sid, .sidd, .sidn, .sie, .sim, .sis, .skb, .slm, .sme, .sn1, .sn2, .sna, .sns, .snx, .spf, .spg, .spi, .sps, .sqb,.sql, .sr2, .srf, .srr, .srw, .stg, .sum, .sv$, .sv2i, .svg, .syncdb, .t12, .t13, .tar.gz, .tax, .tbk, .tdb, .tibkp, .tiff, .tig, .tis, .tlg, .tmp, .tmr, .tor, .trn, .ttbk, .txt, .uci, .unrec, .upk, .v2i, .vbk, .vbm, .vbox-prev, .vcf, .vdf, .vfs0, .vpcbackup, .vpk, .vpp_pc, .vrb, .vtf, .w3x, .wallet, .wb2, .wbb, .wbcat, .wbk, .win, .wjf, .wma, .wmo, .wmv, .wotreplay, .wpb, .wpd, .wps, .wspak, .x3f, .xbk, .xf, .xlk, .xlk, .xls, .xml, .xxx, .yrcbck, .zip, .ztmp (415 расширений). Как известно HydraCrypt распространяется с помощью набора экспллойтов Angler EK, но может, как и UmbreCrupt, быть установлен вручную при взломе терминальных служб или удаленного рабочего стола. Если ПК был инфицирован этим вымогателем, то нужно проверить журналы событий Windows на предмет неудачных попыток входа, и тем самым определить учётную запись, которая была скомпрометирована. HydraCrypt пропускает шифрование файлов, находящихся в директориях: Windows, WINDOWS, Program Files, PROGRAM FILES, Program Files (x86), PROGRAM FILES (x86), ProgramData Степень распространенности: средняя. Подробные сведения собираются.
