Если вы не видите здесь изображений, то используйте VPN.

среда, 2 марта 2016 г.

Список шифровальщиков

Шифровальщики-вымогатели по алфавиту

Crypto-Ransomware Alphabetical index


  The Digest articles describe Crypto-Ransomware, Hybrid-Ransomware, Blockers-Ransomware, Fake Encryptors, RaaS, Anti-Scam Ransomware (ASR), Open Source Ransomware (OSR), Eduware-Ransomware, Crypto-Simulators, Cover-Ransomware, In-dev Ransomware, Test-Ransomware, Demo-Ransomware, Ransomware Simulator, Hand-Ransomware, Doxware a group of related or kindred Ransomware and their updates. Here collected original texts in English and other languages, screenshots, other elements of identification. At the moment, about 2011 pcs. Some ransomware does not have description articles here. But there may be useful links next to the title.
---
A huge base is the result of general work! My thanks to all researchers!
If you something no understand something here, use Google Translate or write me in the Feedback form. I will translate the article into English for you. 


Список статей о программах-вымогателях 

  Информация о 2011 шифровальщиках с вариантами


   Здесь, в статьях Дайджеста, собраны шифровальщики, гибрид-вымогатели, блокировщики, фейк-шифровальщики, RaaS, ASR (анти-мошенники), OSR (открытые исходники), вымогатели-обучатели, крипто-симуляторы, "обложки"-вымогатели, тест-шифровальщики, демо-вымогатели, симуляторы, имитаторы, доксеры и прочие. При этом, крипто-вымогателей на основе HiddenTear, включая EDA2 и известные модифицированные, здесь примерно 260 шт. или больше. В других код HiddenTear присутствует как артефакт или как сниппет. В таких случаях без подробных разъяснений генеалогии крипто-вымогателя я ставлю символ ✂ (ножницы). 
   После основного текста многих статей находится раздел обновлений. Добавление новых вариантов может быть точным или условным. Без образцов и подробного 
исследования кода вредоноса прикрепление новых вариантов к статье может быть основано на субъективных данных, визуальном и лингвистическом анализах, а также на данных разведки и помощи волонтёров. Подробности не раскрываются, чтобы не делать подсказок разработчикам вредоносных программ и т.п. Некоторые данные получены от самих вымогателей, разработчиков и тех, кто имел какое-то отношение к процессу создания программы-вымогателя. 

Огромная база — это результат общего дела! 
Спасибо исследователям! 

Внесите и Вы вклад в общее дело защиты — добавляйте информацию в форму обратной связи, в комментарии или используйте контакты
Используется следующая система: сначала идут символы и цифры, затем слова  английского алфавита. После всего списка раскрыта легенда используемых значков, стоящих после названия, если вдруг что-то  непонятно. Некоторые вымогатели не имеют здесь статей с описанием. Но рядом с названием могут быть полезные ссылки. 

$, 0-9 (30 items)

$$$ Ransomware

$ucyLocker Ransomware 
0000 CryptoMix ⇒ CryptoMix-0000 Ransomware
010001 Ransomware  Ⓟ
05250lock Ransomware
0kilobypt Ransomware  Ⓕ 💰
0mega Ransomware 
20dfs ⇒ Salted2020 Ransomware
4rw5w Ransomware
50_ransom_notes 
⇒ DEADbyDAWN Ransomware
7-language Ransomware  🔓
7z Portuguese Ransomware  ⓩ
7zipper Ransomware  ⓩ
888 ⇒ MirCop (MicroCop) Ransomware
8Base Ransomware (Hacking Group)
8lock8 Ransomware  🔓 + decrypt 



A-a (116 items)

AAC Ransomware

ABCD ⇒ LockBit Ransomware
ABCLocker Ransomware  
Abyss Locker Ransomware
AdamLocker Ransomware  🔓
Adhubllka ⇒ DeathRansom Ransomware ⇒ WannaCryFake Ransomware
Akira Ransomware - No article. Extension: .Akira (March 29. 2023) 🔗
Alpha Ransomware (2023)  🔗
Alphaware Ransomware
ALPHV ⇒ BlackCat Ransomware
ARCrypter ⇒ ChileLocker Ransomware
Arena CryptoMix  ⇒ CryptoMix-Arena Ransomware
AresCrypt ⇒ BlackFireEye + 🔗
ArisLocker Ransomware  🔓
Argos ⇒ Clay Ransomware
AstraLocker 2.0 Ransomware  🔓 + decrypt final
AstroLocker (Astro Locker) ⇒ MountLocker Ransomware 
AWT ⇒ WannaCry Fake Ransomware
AxCrypter Ransomware  ②>
aZaZeL Ransomware
Azer CryptoMix ⇒ CryptoMix-Azer Ransomware
AzzEncrypt Ransomware

B-b (136 items)

B2DR Ransomware
BabyLocker, BabyLockerKZ ⇒ FarAttack Ransomware
Backup CryptoMix ⇒ CryptoMix-Backup Ransomware
BlackBit ⇒ LokiLocker Ransomware
BlackDream ⇒ BlackHeart Ransomware
BlackKingdom Ransomware  Ⓟ
BlackMamba 
⇒ CobraLocker Ransomware
BlackMatter Ransomware  🔓 decrypt / 🔒
BlackShadow Ransomware (Proxima Ransomware family, 2023)
Blind Ransomware  🔓 help
Blind 2 (Blind-Napoleon) Ransomware  🔒
Blitzkrieg Ransomware
Bloccato (Italian) Ransomware  
Blockchain Generator 2021 
⇒ Lola Ransomware
Bonsoir Ransomware  🔓🔑
BoooamCrypt Ransomware
Booyah (Salam!) Ransomware
BooM Ransomware  🔓
Boris HT Ransomware  Ⓗ 🔓🔑
Bozon ⇒ TargetCompany Ransomware
Brain Cipher Ransomware 🔗
Cerber 3.0, Cerber 4.0, 5.0, SFX, 6.0 🔗  🔗  #  (no description)
CerberImposter (2017) ⇒ Xorist-CerBerSysLock Ransomware
CerberImposter (2021) ⇒ Cerber 2021 Ransomware
Cerberos Ransomware
CerberTear Ransomware  
ChaCha ⇒ Maze Ransomware
Chaos ⇒ Ryuk.Net Ransomware Ⓗ>
Charmant Ransomware
Chartwig Ransomware
CheckMail7 Ransomware 🔓 + decrypt
Cheers Ransomware (CheersCrypt, Hacking Team)
Cheetah ⇒ BigBobRoss Ransomware
Chekyshka Ransomware
ChernoLocker Ransomware 🔓 + decrypt
ChiChi Ransomware
CK CryptoMix ⇒ CryptoMix-CK Ransomware
CoderCrypt Ransomware  Ⓐ📱🔓
Coin Locker Ransomware  🔓 + decrypt
CoinVault (no description)  # # # 🔓 decrypt
Combo13 Wiper Ransomware  
Ⓗ> 💰
Comet (Shadow-Twelve) ⇒ Twelve Ransomware
Conti-2 Ransomware  # + ContiStolen-based, ContiStolen-cloned
CoomingProject  🔗 🔗
Cooper Ransomware
CoronaCrypt0r ⇒ CobraLocker Ransomware
Crimson  Epsilon Ransomware
Cring ⇒ Crypt3r Ransomware 
Cripto Py Ransomware  Ⓟ
CriptomanGizmo Ransomware
Cripton (no description)
Cripton7zp Ransomware
Crptxxx Ransomware 🔓
CruelCrypt Ransomware  🔓
Cry (CryLocker) Ransomware
CrY (CrY-TrOwX) Ransomware  
Cry128 (X3M Next) Ransomware  🔓 decrypt
Cry36 Ransomware  🔓 + decrypt /🔒
Cry9 Ransomware  🔓 decrypt
Cryakl (CBF, Offline, Vipasana) (no description) 🔓+ decrypt (1.0-1.3.1) 🔓decrypt (1.4-1.5) * * + decrypt (1.5.1.0) / Cryakl/CryLock: этапы "большого пути"
CryBaby Ransomware  
CryBrazil Ransomware  
CryCipher Ransomware
CryCryptor Ransomware  Ⓐ
CryDroid Ransomware  Ⓐ
CryFile Ransomware  🔓 + decrypt
CryForMe Ransomware  
Crying Ransomware  
CryLock Ransomware - 
🔒 🔓 v.1.8.0.0, 1.9.2.1, 2.0.0.0 (link)
Crypt32 Ransomware  🔓
Crypt360 
⇒ BeijingCrypt Ransomware
Crypt888 ⇒ MicroCop Ransomware
Crypter v2.40  SystemCrypter Ransomware 
CryptoHauler Ransomware
CryptoHitman Ransomware  🔓 + decrypt
CryptoHost Ransomware Ⓕⓩ
CryptoJacky Ransomware
CryptoJoker Ransomware  🔓?
CryptoJoker 2017 Ransomware  🔓 + decrypt
CryptoJoker 2017 Plus
⇒ ExecutionerPlus Ransomware
CryptoJoker 2018 ⇒ CryptoNar Ransomware 
CryptoJoker-RedKrypt ⇒ RedKrypt Ransomware
CryptoKill Ransomware   💰
CryptoLite Ransomware  
CryptoLocker Original Ransomware  🔓 + decrypt 🔒
CryptoLocker 5.1 Ransomware  
CryptoLocker by NTK Ransomware  🔓 decrypt
CryptoLocker3 (Fake CryptoLocker) Ransomware
CryptolockerEmulator Ransomware
CryptoLockerEU 2016 Ransomware
CryptoLuck Ransomware
CryptoManiac Ransomware  Ⓟ
CryptoMeister Ransomware
CryptoMix Ransomware (CryptFIle2, Lesli, RDMK, CryptoShield 1.0, CryptoShield 2.0, Mole, Mole 2.0, Zero, DG, SYS, DAT, DLL)
CryptoMix-0000 Ransomware
CryptoMix-Arena Ransomware
CryptoMix-Azer Ransomware
CryptoMix-Backup Ransomware
CryptoMix-CK Ransomware
CryptoMix-Coban Ransomware
CryptoMix-DLL Ransomware
CryptoMix-Empty Ransomware
CryptoMix-Error Ransomware
CryptoMix-Exte Ransomware
Cryptomix-FILE Ransomware
CryptoMix-MOLE66 Ransomware  🔓 + decrypt
CryptoMix-Noob Ransomware
CryptoMix-Ogonia Ransomware
CryptoMix-Pirate Ransomware
CryptoMix-Revenge Ransomware
Cryptomix-SERVER Ransomware
CryptoMix-Shark Ransomware
CryptoMix-System Ransomware
CryptoMix-Tastylock Ransomware
CryptoMix-Test Ransomware
CryptoMix-Wallet Ransomware
Cryptomix-WORK Ransomware
CryptoMix-x1881 Ransomware
CryptoMix-XZZX Ransomware
CryptoMix-Zayka Ransomware
Crypton Ransomware
CryptON (no description)  🔓 decrypt / 🔓🔑
CryptoNar (CryptoJoker 2018) Ransomware  🔓 + decrypt
CryptoPatronum Ransomware  Ⓗ>
CryptoPokemon Ransomware  Ⓗ> 🔓 + decrypt
CryptorBit (HowDecrypt) Ransomware 🔓 + decrypt / 🔒
Cryptorium Ransomware Ⓕ
CryptoRoger Ransomware
CryptoShield 1.0 Ransomware  🔓
CryptoShield 2.0 Ransomware  🔓
CryptoShocker Ransomware
CryptoSomware (FailedAccess) Ransomware  🔓 decrypt
CryptoSpider Ransomware  
CryptoSweetTooth Ransomware  
CryptoTorLocker Ransomware
CryptoViki Ransomware
Cryptowall Original 
(no description)  🔗
CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0
(no descriptions) 🔗
CryptoWire Ransomware 
Cryptre Ransomware 
CrypTron Ransomware  Ⓟ 
CryptXXX Original + CryptXXX 2.0 Ransomware  🔓🔓
CryptXXX 3.0, CryptXXX 4.0 (no descriptions)
Crypute (m0on) Ransomware  
CrypVault ⇒ VaultCrypt Ransomware  
CryPy Ransomware  Ⓗ> 
CrySiS Ransomware  🔓
Crysis XTBL Ransomware
Crystal Ransomware
CrystalCrypt Ransomware
Cryt0y Ransomware
CSP Ransomware
CTB-Faker Ransomware  Ⓕⓩ
CTB-Locker Original 
🔗  🔗 # (no description)
CtrlAlt ⇒ District Ransomware
Cuba Ransomware
DarkSide Ransomware  👐 🔓 + decrypt / 🔒 
DataCloud Ransomware  👐
DataFrequency 
⇒ CryptGh0st Ransomware
DavesSmith ⇒ Balaclava Ransomware
DaVinci ⇒ CobraLocker Ransomware
DBGer Ransomware
DcDcrypt ⇒ RanHassan Ransomware
DDE Ransomware  🔓
DeadBolt Ransomware  
ⓩ 🔓🔑+ decrypt
Deniz Kızı ⇒ Mermaid Ransomware
Deos Ransomware  
DeriaLock Ransomware  🔓 decrypt
DeroHE Ransomware
Devos Ransomware  🔓 + decrypt / 🔒
Dharma Ransomware  # (ID by groups: .dharma, .wallet, .onion, .cezar) 🔓🔓🔓 /🔒
Diavol (LockMainDIB) Ransomware  
🔓 + decrypt
Diamond Ransomware  💰
Die Hard 4 ⇒ JobCrypter Ransomware
Digisom (X-files) Ransomware  Ⓗ>
DilmaLocker Ransomware
DirtyDecrypt ⇒ Revoyem Ransomware
District (CtrlAlt) Ransomware
Django Ransomware
Different HT 
⇒ HiddenTear-based Ransomware (2019-2021)
Different Jigsaw-based Ransomware (2017-2021)
Different Thanos  Hakbit Ransomware, Prometheus Ransomware
Djvu Ransomware ⇒ STOP Ransomware
DMA Locker 1.0-2.0-3.0 Ransomware  🔓 + decrypt
DMA Locker 4.0 Ransomware
DMALocker Imposter (no description)
DMR64 ⇒ TheDMR Ransomware
Dodger Ransomware Ⓗ>
DogeCrypt Ransomware  
🔓
DoggeWiper ⇒ PowerHentai Ransomware
Doitman Ransomware
EggLocker Ransomware  🙊💣
Egregor Ransomware  
🔓🔑 + decrypt final / #
Ekans ⇒ Snake Ransomware
Ekati Ransomware demo tool
El_Cometa ⇒ SynAck Ransomware
El-Polocker Ransomware
Elections GoRansom ⇒ Hermetic Ransomware
Empty CryptoMix ⇒ CryptoMix-Empty Ransomware
Enc1 Ransomware
Enced (PedoFinder, PedoTrap) Ransomware
EncFileSOS Ransomware  🔓 + decrypt
Encoded01 Ransomware (SugarLocker) #
Encry Ransomware (CookiesHelper, Karsovrop, Pings)
Ensiko Ransomware
Entropy Ransomware - No article. Extension: .entropy. R/n: !HOW_TO_RECOVER!.html
Eq Ransomware
Erebus Ransomware
Erebus 2017 Ransomware
Erica2020 Ransomware
Eris Ransomware
Error CryptoMix ⇒ CryptoMix-Error Ransomware
Escal ⇒ Sfile Ransomware
EvilQuest ⇒ THIEFQuest Ransomware
Evolution Ransomware
Executioner Ransomware  ②  🔓 + decrypt
ExecutionerPlus Ransomware  ②>  🔓 + decrypt
Exerwa CTF Ransomware  
🔓?
Exocrypt XTC Ransomware  🔓
ExoLock Ransomware
Exorcist Ransomware
Exotic Ransomware
ExpBoot Ransomware Ⓕ 🔓
Explorer Ransomware  
Exte CryptoMix ⇒ CryptoMix-Exte Ransomware
Extortion Scam Ⓢ Tw 🔗 🔗 🔗 🔗 🔗 🔗 🔗 🔗 🔗 🔗 🔗 🔗 🔗 🔗 🔗
Extractor Ransomware
EZDZ Ransomware


F-f (71 items)

Fabiansomware  🔓 decrypt

FabSysCrypto Ransomware  
Facebook HT Ransomware  
Fadesoft Ransomware 
Faizal Ransomware  
Fakben Team Ransomware  
Fake Cerber Ransomware Ⓕ
Fake DarkSide 
 DarkSide Ransomware 
Fake DMA Ransomware 
Fake Globe ⇒ GlobeImposter, GlobeImposter 2.0 Ransomware 
Fake Locky Ransomware 
Fake WannaCry (Fake WanaCryptor) Ransomware Ⓕ
Fake WordPress Crypter ⇒ AzzEncrypt Ransomware
FancyLocker ⇒ JCrypt Ransomware
Fantom Ransomware  
FarAttack Ransomware (MedusaLocker3)
FARGO, FARGO3 ⇒ TargetCompany Ransomware
Fatboy RaaS ⇒ PolyglotCryptor Ransomware 
FBLocker Ransomware
FCP Ransomware Ⓕ
FCrypt Ransomware  🔓
FCT Ransomware  🔓
FenixLocker Ransomware  🔓 decrypt / 🔒
Fenrir Ransomware
File Ripper Ransomware  
FILE Cryptomix ⇒ Cryptomix-FILE Ransomware
Gehenna ⇒ Lockedv1 Ransomware
Ghost (2021) ⇒ Crypt3r Ransomware
Ghostbin Ransomware
GhostCrypt Ransomware  Ⓗ 🔓 + decrypt
GhosTEncryptor Ransomware  Ⓗ 🙊💣 🔓
Grief  PayOrGrief Ransomware
GrodexCrypt Ransomware  🔓
Groove 
⇒ Babuk Ransomware
GX40 Ransomware


H-h (78 items)

H0lyGh0st 
⇒ HolyGhost Ransomware
HackdoorCrypt3r Ransomware  Ⓗ>
HackedLocker (Hacked) Ransomware 💰 🔓
HacknutCrypt ⇒ Qweuirtksd Ransomware 
Hades Locker Ransomware
Hades Ransomware
Haha (Crypted) Ransomware
Haka 
⇒ 1) Alco Ransomware; 2) Hermes837 Ransomware
Hakbit (Thanos) Ransomware  🔓 + decrypt Hakbit /🔒 - ID as Thanos, do not decrypt 
Halloware Ransomware Ⓕ
Hi Buddy! Ransomware  
HiddenBeer Ransomware  
HiddenTear (no description)  🙊💣 🔓
HiddenTear-based Ransomware (2019-2022)  🙊💣 Ⓗ Ⓗ>  ②>🔓/🔓?/🔒
HildaCrypt Ransomware  🔓 + decrypt
HildaCrypt-Stahp ⇒ Mike NotSTOP Ransomware
Honor Ransomware 
Horros Ransomware  
Horsedeal ⇒ BigBossHorse Ransomware
HR Ransomware  🔓 (data recovery)
HsHarada Ransomware  
🔓🔑
Hucky Ransomware
HugeMe Ransomware  
Hunters International 
⇒ Hive Ransomware
IOCP ⇒ Conti-2 Ransomware
JCrypt Ransomware
JeepersCrypt Ransomware  🔓 decrypt
Jemd Ransomware  🔓
Jenkins ⇒ Hermes837 Ransomware
Jeno (Jest, Valeria) Ransomware  🔓 + decrypt
Jester 
⇒ OPdailyallowance Ransomware 
KawaiiLocker Ransomware  🔓 decrypt
Kcry 
 TimeCrypt Ransomware
KCTF Locker Ransomware  🙊💣
KCW Ransomware
Kee Ransomware  Ⓗ>
Keep Calm 
⇒ Jolly Roger Ransomware
KeyBTC-2014 Ransomware (no description) 
KeyBTC-2016 Ransomware 🔓 + decrypt
KEYHolder Ransomware
KeyMaker Ransomware  
Keypass ⇒ STOP Ransomware
LeakerLocker Mobile Ransomware  Ⓐ📱
Leakthemall Ransomware
LeChiffre Ransomware  🔓 🔒
LegionLocker ⇒ CobraLocker Ransomware
LGoGo ⇒ Homemade Ransomware
LockXXX ⇒ BeijingCrypt Ransomware
Locky Ransomware (Zepto, Odin, Shit, Thor, Asier, Zzzzz, Osiris, Loptr, Diablo6, Lukitus, Ykcol)
Lynx Ransomware


M-m (123 items)

M@r1a Ransomware

M4N1F3STO Ransomware  Ⓕ
MacAndChess Ransomware  
Macaw (MacawLocker) 
⇒ WastedLocker Ransomware
Madafakah Ransomware  🔓 decrypt
MadBit Ransomware
MAFIA Ransomware  🔓
MafiaWare Ransomware  Ⓗ> 
MafiaWare666 
⇒ JCrypt Ransomware
Magic Ransomware  
Magician Ransomware  
Magician 2020 Ransomware 
Magniber Ransomware  🔓 🔒
Mailto 
⇒ Netwalker Ransomware
Mallox ⇒ TargetCompany Ransomware
MalwareTech's CTF  🔗
MaMoCrypter (MaMo434376, MZRevenge) Ransomware Ⓗ> 🔓+decrypt / 🔓+decrypt
Mancros+AI4939 Ransomware Ⓕ
Manifestus Ransomware  🔓 decrypt
Maoloa Ransomware
Mapo ⇒ Outsider Ransomware
Marduk ⇒ PyAesCrypt Ransomware
MarioLocker ⇒ WastedBit Ransomware
Marlboro Ransomware  🔓 decrypt
Marozka Ransomware  
MarraCrypt Ransomware
MedusaLocker Ransomware
MedusaLocker3 
⇒ FarAttack Ransomware
MedusaReborn ⇒ Ako Ransomware
Meduza Ransomware  
MegaCortex Ransomware  # Ⓧ  🔓
MegaLocker Ransomware  🔓+DrWeb 🔓+Emsisoft decrypt / 🔒
Megazord (PowerRanges) Ransomware
Meow Ransomware (ContiStolen-based, Anti-Russian EG) 🔓🔑 + decrypt [.PUTIN, .KREMLIN, .RUSSIA - 🔓] / [.MEOW - 🔒]
MetaEncryptor ⇒ LostTrust Ransomware
Mijnal Ransomware
Mike NotSTOP Ransomware  🔓 + decrypt
Mikoyan Ransomware  🔓 decrypt
MilkmanVictory Ransomware  
Mimic ⇒N3ww4v3 Ransomware
MindLost Ransomware
MindSystem Ransomware  🙊💣
Mini Ransomware  
Minotaur Ransomware  
Mionoho 
⇒ Clay Ransomware
Mira ⇒ Planetary Ransomware
MOLE66 CryptoMix 🔓 ⇒ CryptoMix-MOLE66 Ransomware  
MoneroPay Ransomware  🔓
MongoLock Ransomware  🔗 🔗
Monti Ransomware
MRCR1 ⇒ MerryChristmas Ransomware
MuchLove Ransomware  ②>
Muhstik Ransomware  🔓🔓 + decrypt / 🔒
MXX (TucoSalamanca) Ransomware
my-Little-Ransomware ⇒ Cute Ransomware
MZP Ransomware
MZRevenge ⇒ MaMoCrypter Ransomware


N-n (64 items)

N13V 
 RedAlert Ransomware
N3ww4v3 (Mimic) Ransomware  🔒 / 🔓 / 🔒
NamPoHyu ⇒ MegaLocker Ransomware 
NanoLocker Ransomware
Nibiru 2020 Ransomware  🔓 + decrypt
NinjaLoc Ransomware
Niros ⇒ CobraLocker Ransomware
Nomikon Ransomware
Noob CryptoMix ⇒ CryptoMix-Noob Ransomware
NoobCrypt Ransomware  
🔓
Nord ⇒ WannaCryFake Ransomware
NotAHero Ransomware  🔓
NotDharma ⇒ Phobos, Java NotDharma, CrazyCrypt
NotPetya ⇒ Petna Ransomware
Octocrypt Ransomware
ODCODC Ransomware  🔓
Ogonia CryptoMix ⇒ CryptoMix-Ogonia Ransomware
Ogre Ransomware
OhNo! Ransomware
OhNo-FakePDF Ransomware
OldGremlin (Hacking Team) 
⇒ Decr1pt Ransomware
Oled Ransomware
Oled-Makop 
⇒ Makop Ransomware
Ouroboros ⇒ Zeropadypt Ransomware
OutCrypt Ransomware
Outsider Ransomware  
👐 🔒 🔓 + decrypt
Owl Ransomware (2017) ⇒ CryptoWire Ransomware
Owl Ransomware (2021) 
OXAR Ransomware  Ⓗ 🔓
Panther Ransomware  🔓
Paradise Ransomware [.b29, .VACv2, .CORP, .STUB, .paradise, .2ksys19, .p3rf0rm4, .Recognizer, .immortal, .exploit, .prt, .FC, .bitcore, .sev, .sambo - 🔓] / [.sell, .ransom, .logger, .securityP, .for, .b1, .NET, 2020, .payload - 🔒
Parasite (SharpCrypter) Ransomware
Pashka ⇒ Quimera Crypter Ransomware
PassLock Ransomware
Pay-or-Lost Ransomware  💰
PGPSnippet Ransomware  🔓
Phantom (2021) ⇒ Crypt3r Ransomware
Pirate CryptoMix ⇒ CryptoMix-Pirate Ransomware
Polyglot ⇒ MarsJoke Ransomware
PyCL ⇒ PolyglotCryptor Ransomware
PyL33T Ransomware  Ⓟ
PyLock (PyCrypter) Ransomware  
PyLocky (LockyLocker) Ransomware Ⓟ 🔓 + decrypt
PyPayroll Ransomware  
Pysa ⇒ Mespinoza Ransomware
PyteHole Ransomware  
Python Ransomware  Ⓟ
PZDC Ransomware  🔓?


Q-q (16 items)

Qilin 
⇒ Agenda Ransomware
QNAPCrypt Ransomware  🔓 (DrWeb), 🔓 + decrypt / 🔒
QNAPCrypt-2 ⇒ Muhstik Ransomware
QNBQW ⇒ Armage Ransomware
QP Ransomware  ⓩ
QuakeWay Ransomware
Quantum Locker Ransomware
Radiation (Hell) Ransomware  💰
RagnarLocker Ransomware  ###
Ragnarok (RagnarokCry) Ransomware  🔓 + decrypt
Rakhni ⇒ BandarChor Ransomware
Rams1 Ransomware
Ranet ⇒ CryptoDarkRubix Ransomware
RanHassan (DcDcrypt) Ransomware  
🔓
RansomPlus Ransomware
Ransomuhahawhere (Cyber Drill Exercise) Ransomware  
RansomUserLocker Ransomware  
Ransomwared ⇒ Ransom102 Ransomware
RansomWarrior Ransomware  🔓🔑
Ranzy Locker 
⇒ ThunderX Ransomware
RapidRunDll ⇒ DEcovid19 Ransomware
RaRansomware
RarCrypt (Cryzip 2010) Ransomware  
🔓🔑 + decrypt
Reveton Ransomware --- 🔗 🔗 🔗 # # #
REvil ⇒ Sodinokibi Ransomware
Rorschach Ransomware 🔗
RozaLocker (Roza) Ransomware
RozbehCrypt, RozbehRevenge, RozbehOfSatan 
 EvilNominatus Ransomware
ScammerLocker HT Ransomware  
ScammerLocker Py Ransomware  Ⓟ
Scarab 2019 Ransomware  🔒
Scarab 2020 - 2021 Ransomware  🔒
Scarab Ransomware  🔓🔑 + decrypt
Scarab-Amnesia Ransomware  🔓🔑 decrypt
Scarab-Artemy Ransomware  🔓🔑 decrypt
Scarab-Aztec (Pizza) Ransomware  🔓🔑 decrypt
Scarab-Barracuda Ransomware  🔓🔑 decrypt
Scarab-Bin Ransomware  🔓🔑 decrypt
Scarab-Bitcoin Ransomware  🔓🔑 decrypt
Scarab-Bomber Ransomware  🔓🔑 decrypt / 🔒
Scarab-Crash Ransomware  🔓🔑 decrypt
Scarab-Crypt000 Ransomware  🔓🔑 decrypt
Scarab-Crypto Ransomware  🔓🔑 decrypt
Scarab-CyberGod Ransomware  🔓🔑 decrypt
Scarab-Danger Ransomware  🔓🔑 decrypt
Scarab-Decrypts Ransomware  🔓🔑 decrypt
Scarab-Dharma Ransomware  🔓🔑 decrypt
Scarab-DiskDoctor Ransomware  🔓🔑 decrypt
Scarab-Enter Ransomware  🔓🔑 decrypt
Scarab-Gefest (Gefest 3.0) Ransomware  🔓🔑 decrypt
Scarab-Horsia Ransomware  🔓🔑 decrypt
Scarab-Jackie Ransomware  🔓🔑 decrypt
Scarab-Kitty Ransomware  🔓🔑 decrypt
Scarab-Monster Ransomware 🔓🔑 decrypt
Scarab-Oblivion Ransomware  🔓🔑 decrypt
Scarab-Omerta Ransomware  🔓🔑 decrypt
Scarab-Osk Ransomware  🔓🔑 decrypt
Scarab-Please Ransomware  🔓🔑 decrypt
Scarab-Rebus Ransomware  🔓🔑 decrypt
Scarab-Recovery Ransomware  🔓🔑 decrypt
Scarab-Russian (Scarabey) Ransomware  🔓🔑 decrypt
Scarab-Scorpio (Scorpio) Ransomware  🔓🔑 decrypt
Scarab-Turkish Ransomware  🔓🔑 decrypt
Scarab-Walker Ransomware  🔓🔑 decrypt
Scarab-XTBL Ransomware  🔓🔑 decrypt
Scarab-Zzz Ransomware  🔓🔑 decrypt
ScareCrow Ransomware  🔓
ScatterBrain Ransomware
Sepsis Ransomware  🔓🔑
SepSys Ransomware
SerbRansom 2017 Ransomware
Serpent 2017 (Danish) Ransomware
Serpico Ransomware
SERVER Cryptomix ⇒ Cryptomix-SERVER Ransomware
Seven Security 
⇒ 7even Security Ransomware
Sextortion Scam ⇒ Extortion Scam  
Sfile (Sfile2, Sfile3, Escal) Ransomware
Shade ⇒ Troldesh Ransomware
Shadi Ransomware
ShadowCryptor Ransomware  ◼️
Shadow (Shadow-Twelve) ⇒ Twelve Ransomware
Shark CryptoMix ⇒ CryptoMix-Shark Ransomware
Shark Ransomware / RaaS
ShellLocker Ransomware  💰
Shigo ⇒ BandarChor Ransomware
Shifr RaaS Ransomware (Gojdue, ShurL0ckr)
ShinigamiLocker Ransomware
ShinoLocker Ransomware / RS
ShivaGood (Mimicry) Ransomware  ②>
ShkolotaCrypt Ransomware
SolidBit Ransomware 🔗
Spook  Prometheus Ransomware
Spoosh  SophosEncrypt Ransomware
Stinger Ransomware
Stolen 
⇒ AllDataStolen Ransomware
SunRise Locker ⇒ MountLocker Ransomware
System CryptoMix ⇒ CryptoMix-System Ransomware
Target777 ⇒ Defray 2018 Ransomware
TaRRaK Ransomware
Tastylock CryptoMix ⇒ CryptoMix-Tastylock Ransomware
TBHRanso Ransomware
Team XRat ⇒ XRat Ransomware
Teamo Ransomware  
Tear Dr0p Ransomware  
Telecrypt Ransomware  🔓
TellYouThePass Ransomware
Termite Ransomware
TeslaCrypt 0.x - 1.x Ransomware (no description)  🔓 + decrypt
TeslaCrypt 2.x Ransomware  🔓 + decrypt
TeslaCrypt 3.0 (MP3) Ransomware   🔓 + decrypt
TeslaCrypt 4.x Ransomware (no description)  🔓 + decrypt
Teslarvng (Yakuza) Ransomware
TeslaWare Ransomware  🔓 decrypt
Test CryptoMix ⇒ CryptoMix-Test Ransomware
TestRansom ⇒ MainBat Ransomware
TFlower Ransomware
Thanatos Ransomware 💰 🔓 + decrypt
THIEFQuest  ---  🔓
Thor Ransomware
THT Ransomware
ThunderCrypt Ransomware
ThunderX (Ranzy) Ransomware  🔓 + decrypt / 
🔓?
TinyCryptor ⇒ Decr1pt Ransomware
TinyEvil ⇒ Cyber SpLiTTer Vbs Ransomware
TripleM ⇒ MMM Ransomware
Tripoli Ransomware
Trojan.Encoder.6491 ⇒ Windows_Security Ransomware
Trojan-Syria Ransomware  
Troldesh (Shade) Ransomware  🔓🔓 / 🔒 / 🔓 + decrypt final
Tron Ransomware  💰
TRSomware ⇒ KesLan Ransomware
TrueCrypter Ransomware  🔓 + decrypt
TrumpHead Ransomware  Ⓕ 💰
TrumpLocker Ransomware  ②>
Try2Cry (Reha) RansomwareTunca (KGDecrypt) Ransomware  
Turkish FileEncryptor Ransomware
TurkStatik Ransomware  🔓 + decrypt
TuskLocker ⇒ Crimson Walrus Ransomware
Twelve Ransomware (Shadow-Twelve Hacking Team)
Tycoon ⇒ RedRum Ransomware
Tyrant Ransomware


U-u (38 items)

U-Bomb Ransomware  
🔗
Unknown Crypted --- образец без названия и описания (в IDR)
Unknown Lock --- образец без названия и описания (в IDR)
Unknown XTBL --- образец без названия и описания 
(в IDR)
Unlock26 Ransomware
Unlock92, Unlock92 2.0 Ransomware 🔓 🔒 🔓
Unlock92 Zipper Ransomware 🔓
Unlocker Ransomware
Venom Ransomware (RAT, Ransomware, KillMBR)
VindowsLocker Ransomware 🔓 + decrypt
Viper 
⇒ BlackHeart Ransomware
WannaFaker ⇒ WannaCryFake Ransomware
WhatAFuck Ransomware
WhisperGate 
⇒ UkrainianStage Ransomware
WininiCrypt Ransomware
Winner ⇒ DECAF Ransomware
Wooly (WoolyBear) Ransomware
WORK Cryptomix ⇒ Cryptomix-WORK Ransomware


X-x (45 items)

X Locker 5.0 
⇒ XTPLocker 5.0 Ransomware
x1881 CryptoMix ⇒ CryptoMix-x1881 Ransomware
X3M Ransomware  🔓 + decrypt
XCry Ransomware
XCrypt Ransomware
XD Locker Ransomware
XData Ransomware  🔓 + decrypt
XeroWare Ransomware
XerXes Ransomware  Ⓐ📱
XiaoBa Ransomware  💰
XiaoBa 2.0 Ransomware
XingLocker (Xing Locker) 
⇒ MountLocker Ransomware 
Xlockr Ransomware
XmdXtazX Ransomware  🔓 decrypt
XMRLocker Ransomware
Xncrypt Ransomware  🔓 decrypt
Xollam ⇒ TargetCompany Ransomware
Xolzsec Ransomware  
Xorist 2020 - 2022 Ransomware  🔓 + decrypt
Xorist 2016-2019 Ransomware  🔓 + decrypt
Xorist-CerBerSysLock Ransomware  🔓 + decrypt
Xorist-EnCiPhErEd Ransomware  🔓 + decrypt
Xorist-FakeRSA Ransomware  🔓 decrypt + decrypt
Xorist-Frozen Ransomware  🔓 + decrypt + decrypt
Xorist-Hello Ransomware  🔓 + decrypt
Xorist-Mcafee Ransomware  🔓
Xorist-Mcrypt2019 Ransomware 
Xorist-RuSVon Ransomware  🔓 + decrypt
Xorist-TaRoNiS Ransomware  🔓 + decrypt
Xorist-TraNs Ransomware  🔓 + decrypt
Xorist-Vandev Ransomware 🔓 + decrypt
Xorist-XWZ Ransomware 🔓 + decrypt
Xorist-Zixer2 Ransomware  🔓 + decrypt
Xort (Trun) Ransomware
XP10 (FakeChrome) Ransomware
XRat Ransomware  🔓
XRTN Ransomware
XCry Ransomware
XTPLocker 5.0 Ransomware  🔓🔑/🔓🔑
XyuEncrypt Ransomware
xXLecXx Ransomware Ⓕ
XXXXXX (Darxe) Ransomware
XYZware Ransomware  Ⓗ>
XZZX CryptoMix ⇒ CryptoMix-XZZX Ransomware


Y-y (10 items)

YanluoWang Ransomware  
🔓 + decrypt
Yatron Ransomware  🔓 + decrypt
YobaCrypt (Ferrlock) Ransomware
Yogynicof Ransomware
YouAreFucked (FortuneCrypt) Ransomware  🔓 + decrypt
YourCyanide 
⇒ Kekpop Ransomware
Ziggy Ransomware  🔓 final + decrypt 
Zilla Ransomware
ZimbraCryptor Ransomware  Ⓟ
ZinoCrypt Ransomware
ZipLocker Ransomware  ⓩ
Zipper Ransomware  ⓩ
Zoldon Ransomware
Zorab Ransomware  🔓 + decrypt
ZorgoCry Ransomware
Zorro Ransomware
ZQ (W_Decrypt24) Ransomware  🔓 + decrypt
zScreenLocker
Zyka Ransomware  🔓 decrypt
Zyklon Locker Ransomware


Легенда символов / Legend of symbols:

 ⇒  - переход на статью по имени / jump to an article by name; 
 🙊💣 - "обезьяна с гранатой" или "обучатель" / "monkey + bomb" or Eduware or Riskware
 Ⓗ - шифровальщик на основе HiddenTear, дешифруем / an encryptor on HiddenTear-based, possible decrypt
 ② - шифровальщик на основе EDA2, дешифруем / an encryptor on EDA2-based, possible decrypt
 Ⓗ> - шифровальщик на основе HiddenTear, модифицированный / an encryptor on HiddenTear-based, modified, not always possible decrypt
 Ⓗ②> - шифровальщик на основе EDA2, модифицированный / an encryptor on EDA2-based, modified, not always possible decrypt
- шифровальщик на основе my-Little-Ransomware, дешифруем / an encryptor on my-Little-Ransomware-based, possible decrypt
 Ⓕ - фейк-шифровальщик / fake-encryptor
 Ⓟ - шифровальщик написан на языке Python / an encryptor written in Python
 ⓩ - zip-rar-7zip - вымогатели / zip-rar-7zip - Ransomware
 📱 - вымогатель для мобильных устройств / Ransomware for mobile devices
 Ⓧ - шифровальщик для Mac OS X / an encryptor for Mac OS X
 Ⓛ - шифровальщик для Linux / an encryptor for Linux
 Ⓐ - вымогатель для Android / Ransomware for Android
 ◼️ - шифровальщик-обложка, для прикрытия / Cover-Ransomware
 👐 - шифровальщик, запускаемый вручную / Hand-Ransomware; 
 🔓 - есть дешифровщик или метод, см. статью / there is a decryptor, see article
 🔓 + decrypt - ссылка на дешифровщик / a link to decrypt included
 🔓 (data recovery) - программы восстановления файлов / data recovery programs
 🔓 final - вымогатели опубликовали все ключи / extortionists published all the keys
 🔓🔑 - дешифровщику нужен секретный ключ / a decryptor needs a secret key
 🔓? - дешифрование под вопросом / doubtful decrypt
 🔒 - новые версии не дешифруются / new versions are not decrypted
 💰 - уплата выкупа бесполезна или невозможна / payment of ransom is useless or impossible
Ⓢ  - пугатель / scareware
Ⓧ - статья и/или Ransomware закрыты / the article and/or Ransomware is closed
 # - некоторые вымогатели арестованы / some extortionists were arrested
🔗 - внешняя ссылка, без статьи в блоге / external link, without an article in the blog
--- статья не опубликована / an article not published. 


По замыслу автора все символы на своих местах, но к сожалению, в разных версиях Windows, Android эти символы отображаются по-разному (Windows 8-10 и
Android изменяют значки). Например, замочки (зелёные и красные) ещё могут остаться, но другие символы странным образом изменяются. 
На планшетах и смартфонах значки немного другие, но почти соответствуют моему замыслу, кроме "замков". Пользуйтесь планшетами! :)
Какие значки должны быть, смотрите на картинке ниже. 

Тоже самое в виде изображения: 



© Amigo-A (Andrew Ivanov): The idea, templates, publishing, translations from other languages, graphics processing, a glossary, notes, screenshotting, image animation, OCR recognition, web-writing, rewriting, news writing.

© Copyright applies to all articles of the blog. Any use of website content and citation of text must include a link to this blog and the author.

© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, рерайтинг, новостные ленты.

© Авторское право распространяется на все статьи блога. При ЛЮБОМ  использовании содержания сайта и цитировании текста обязательно должны быть ссылка на этот блог и автора. 




QR-код этой страницы сайта. Он работает как прямая ссылка. 
Если сохраните себе эту картинку, то не потеряете этот адрес. 

Что такое Ransomware?

FAQ по Ransomware

ВСЁ, ЧТО НУЖНО ЗНАТЬ!!!


   Быстрое развитие вымогателей стало одной из основных проблем безопасности. Успешность атаки шифровальщиков-вымогателей обеспечивается рядом совокупных факторов. Главным из которых является интернет-безграмотность как обычных домашних пользователей, так и конечных пользователей корпоративной сети бизнеса. 

Первые шаги после атаки шифровальщика: Руководство для пострадавшего
Что нужно знать о вымогательстве и крипто-вымогательстве в частности (читайте ниже)
Как вымогатели могут проникнуть на ПК и инфицировать вашу систему (читайте ниже)
Как предотвратить атаку вымогателей в корпоративной или частной сети
Как защититься от шифровальщиков-вымогателей: 10 простых способов

Для исследователей -> Ransomware identification for the judicious analyst

Вот некоторые из наиболее часто задаваемых вопросов и ответы на них.

➤  Что такое Ransomware?

  Ransomware — это программа-вымогатель, являющаяся одним из видов вредоносного ПО, которое блокирует или ограничивает доступ пользователей к их системе. Это может быть сделано путём блокировки экрана или файлов пользователя, пока выкуп не будет уплачен. 
  Современные семейства вымогателей, более известные как крипто-вымогатели, могут шифровать многие типы файлов на зараженных системах и вынуждать пострадавших заплатить выкуп в обмен на ключ дешифрования, необходимый для восстановления доступа к пострадавшим файлам. 

➤  Я посещаю только доверенные веб-сайты. Есть риск?

  Да. Вымогатели распространяются разными способами, а не только через плохие сайты. Рассылка email-спама с вредоносными вложениями является наиболее эффективным методом распространения вымогателей, что подтверждает 76% всех отчетов, собранных с января по май 2016 года. 
Это значит, что киберпреступники освоили технику возбуждения интереса пользователей путем использования эффективных методов социальной инженерии, заставляющих кликнуть на вредоносную ссылку, скачать файл или открыть почтовое вложение. 
  Другие методы распространения: использование зараженного ПО, взлом сайтов, эксплойты, вредоносные скрипты и макросы, вредоносная реклама, целенаправленные атаки, RDP-атаки, захват серверов и пр.
Читайте также статью "Бесплатные программы и майнинг криптовалюты".

➤  В записке о выкупе сказано, что мои файлы зашифрованы. Что это значит?

  Разработанное ранее для обеспечения безопасности связи шифрование используется для того, чтобы только отправитель и получатель могли прочитать зашифрованные данные. К сожалению, это также стало мощным инструментом вымогательства, используемого в крипто-вымогателях и основанном на том, что вы не сможете использовать зашифрованные файлы без ключа дешифрования. Как правило, в тексте о выкупе утверждается, что-то типа "Все ваши файлы были защищены сильным шифрованием RSA...". RSA — это алгоритм асимметричного шифрования, использующий два ключа, один для шифрования или блокировки данных, а другой для их дешифровки. Один из ключей называется открытым (публичным) и доступен для любой стороны, а другой — закрытым (секретным, приватным), потому и скрывается. Вымогатели требуют заплатить им определенную сумму, чтобы получить доступ к закрытым ключам для дешифровки и разблокировать данные, которые были зашифрованы или как-то иначе заблокированы. Зашифрованные файлы обычно переименовываются, чтобы показать жертвам какие именно файлы оказались заложниками и  доказать, что жертва сама не сможет их вернуть.

➤  Можно ли просто переименовать файлы и вернуть к ним доступ после шифрования?

  Нет. Это не поможет. Вымогатели используют криптографию для обеспечения непригодности файлов жертвы для использования, пока не будет выплачен выкуп, чтобы получить закрытый ключ для дешифровки и разблокировки переименованных файлов.

➤  Что такое Bitcoin? Есть ли другие способы оплаты?

  Bitcoin является электронной валютой, которая использует P2P-сети для отслеживания и проверки транзакций. Биткоины могут быть использованы для оплаты различных интернет-услуг, таких как веб-хостинг, разработка мобильных приложений, хранения файлов в облаке. Они также могут быть использованы для оплаты продуктов, таких как игры, музыка, подарочные карты и книги. Использование биткоинов не ограничивается онлайн-транзакциями, некоторые компании также принимают Bitcoin в качестве оплаты за свои товары. 
  Анонимность и тот факт, что Bitcoin-система не имеет центрального органа контроля этой формы валюты, позволяют злоумышленникам наиболее активно использовать биткоины для оплаты своих операций. Последние варианты вымогателей иногда используют альтернативные варианты оплаты, такие как ITunes и Amazon Gift Cards (подарочные карты), которые легко монетизировать. В июне 2016 года были замечены ещё способы обмена Bitcoin через Paypal, в июле через Perfect Money, хотя такие сделки обычно можно проследить. 

➤  Где взять биткоины?

1) Купить, но это дорого, сейчас 1 биткоин стоит более 60* тыс. рублей.
2) Заработать в играх, партнёрских и про-инвестиционных программах.
3) Накопить бесплатно. Да, это самый простой способ, доступный всем.
_
*Сумма в 60 тыс. руб указана на момент написания этого FAQ (весной 2016 года).  

➤  Правда ли я должен заплатить за доступ к моим файлам и системе? 
➤  Расшифруют ли вымогатели мои файлы после оплаты выкупа?

  В прошлом бизнес-модель вымогателей держалась на способности заставить пользователей думать, что оплата выкупа является единственным способом получить доступ к своим файлам, поэтому после получения оплаты файлы требовалось дешифровать. Ведь, если жертвы не будут получать доступа к своим файлам даже после уплаты выкупа, то они перестанут платить. 
  Тем не менее, оплата выкупа никогда не была единственным вариантом, и мы очень рекомендуем жертвам НЕ платить. Правоохранители также не рекомендуют выполнять требования кибер-вымогателей. ФБР выявила случаи, когда жертвы, заплатившие выкуп, не получали нужного ключа дешифрования. И даже если ключ был получен, было не так легко получить доступ к системам, особенно, если под вредоносным воздействием оказывались крупные разветвлённые сети, как было в случае с Hollywood Presbyterian Medical Center (пресвитерианским медицинским центром Голливуда). В другом случае, это повлияло на работу больницы Methodist Hospital, когда злоумышленники после первой уплаты выкупа самым наглым образом потребовали дополнительной оплаты за дешифровку второй части пострадавших данных.

➤  Почему не надо платить выкуп?

1) Нельзя доверять вымогателям!
2) Не факт, что файлы зашифрованы.
3) Не факт, что у них есть декриптор.
4) Не факт, что декриптор дешифрует файлы.
5) Не факт, что декриптор дешифрует все файлы. 
6) Не факт, что вымогатели не потребуют больше денег.
7) Вымогательство — преступление! Нельзя верить преступникам!

➤  В записке о выкупе сказано, что мои файлы выложат в публичный доступ. Правда ли, что они это могут сделать?

 Эта одна из используемых кибер-вымогателями тактик запугивания, чтобы подтолкнуть жертву к уплате выкупа. В других случаях злоумышленники упрекают своих жертв в совершении преступлений, которых они не совершали, чтобы заставить нажать на ссылку для загрузки приложений, или заплатить требуемый выкуп. Зачастую это могут быть пустые угрозы, но злоумышленники не перед чем не остановятся (см. в моём "Глоссарии" описание слова доксинг). 

  Почему полиция не ловит вымогателей? Неужели это так трудно? 

  Правоохранительные органы могли бы найти и арестовать любого вымогателя, если бы захотели или, если бы им приказали. Но дело в том, что обычно правоохранительные органы защищают тех, кто пришёл к власти и тех, кто содержит эту власть, кто манипулирует этой властью, и это тот, кому выгоден действующий закон, который суров только к обычному народу. 
  Поэтому не нужно обольщаться насчёт того, что полиция где-то и когда-то поймает вымогателей. Они не поймают, пока вымогатели не начнут вымогать деньги у тех, у кого есть власть, кто может приказывать полиции, следствию, федеральным службам. Только тогда вымогателей будут хватать пачками и вытряхивать из них ключи дешифрования и дешифраторы. Но даже в самом успешном случае нереально подойти к каждому пострадавшему и расшифровать ему файлы. Никто этого не будет делать, если сами пострадавшие не позаботятся об этом сами. 
В истории также есть случаи когда сами вымогатели или их бывшие партнёры, взломавшие базу конкурентов, выкладывали ключи дешифрования. И тогда не было никакой заслуги правоохранительных органов и ведомств. 
  Ищите информацию о шифровальщиках-вымогателях на этом сайте, она тут есть. Если не находите, то сообщите мне подробности. 


➤  Вымогатели инфицируют только персональные компьютеры? 
Для смартфона они ведь безопасны?

  Нет. Смартфоны тоже являются целью вымогателей. Нередки случаи распространения мобильных вымогателей для Android устройств. Например, распространение вредоноса Flocker (сокращение от "Frantic Locker") набирает обороты с середине апреля 2016 года и уже известно более 1200 его вариантов. Этот мобильный вымогатель проникает на устройство под видом плагина-адвизора US Cyber Police или любого другого правоохранительного органа, обвинив жертву в преступлениях, которые они не совершали. Затем вредоносы требует в качестве оплаты штрафа $200 на сумму подарочных карт iTunes. Кроме того, этот тип мобильных вымогателей может инфицировать смарт-телевизоры на базе Android. 

➤  Может ли антивирусное ПО удалить вымогателей из моей зараженной системы?

  Удаление вымогателей и дешифрование файлов это разные операции, и если крипто-вымогатель будет удалён, то файлы, им зашифрованные, останутся непригодными для использования. Существует немало инструментов, способных удалить вымогателей и дешифровать файлы. 
  Антивирусные компании разрабатывают и предлагают бесплатные утилиты для обнаружения и удаления вымогателей и блокировщиков. Другие их утилиты могут дешифровать файлы, заблокированные некоторыми крипто-вымогателями, без уплаты выкупа или покупки ключа дешифрования. К сожалению, семейства вымогателей постоянно обновляются более сильными алгоритмами шифрования, и единожды созданные утилиты вряд ли будут успешно работать против обновлённого варианта вымогателей. Жертвы более сложных вымогателей всё ещё нуждаются в закрытых ключах, чтобы восстановить доступ к зашифрованным системам и файлам. 

➤  Мой антивирус не смог защитить компьютер. Как такое возможно?

  Да, такое наверняка возможно, если вы использовали Free-антивирус или устаревшую неактуальную защиту. Порой коммерческие продукты неактуальных и необновляемых версий пропускают шифровальщик. Именно поэтому профилактика этой угрозы безопасности является наилучшим способом остановить вымогателей. 
  Интернет — это не место для беспечных прогулок. В нём достаточно много опасных мест, где вас могут обмануть, заманить, атаковать, вынудить загрузить и установить "полезные" программы и "проверенные" файлы. Не верьте никому! А если доверяете и всё же скачиваете — проверяйте современными актуальными антивирусными средствами. Актуальность защиты проверить легко: смотрите "О программе" и если там указан не текущий год разработки — ЗАШИТА НЕАКТУАЛЬНА! 
  Не экономьте на защите, содержите её в актуальном состоянии и она вас не подведёт. 

➤ Где взять актуальную и надёжную защиту? Чтобы попробовать, прежде, чем купить? 

  Обратитесь за помощью в Клуб Симантек. Вам помогут и подскажут, как установить Norton Internet Security, Norton Security или Norton 360, получить ключ и быть под защитой одного из лучших антивирусных решений с мировым именем.

➤  Как я могу наверняка защитить мой ПК и сеть организации от крипто-вымогателей?

  Не существует универсального "противоядия", когда речь идет о предотвращении проникновения вымогателей на ПК домашних пользователей, организаций и предприятий. Комплексный подход, который препятствует их проникновению в сети и системы, является лучшим способом, чтобы свести к минимуму риск для конечных точек. Рекомендуется использование решений для защиты email и веб-шлюзов, но методы инфицирования, используемые киберпреступниками, постоянно меняются и находятся новые лазейки в безопасности. 
  Избегайте непроверенных email-сообщений и не нажимайте на ссылки, встроенные в них. Если письмо пришло от неизвестного адресата,  вообще воздержитесь от его открытия. Если в письме утверждается, что оно пришло от кого-то, кого вы знаете, всегда лучше лишний раз удостовериться в том, что ваш знакомый его действительно отправлял. 
  Делайте регулярное резервное копирование важных файлов с помощью правила "3-2-1": создайте 3 резервные копии на 2-х различных носителях и 1-м хранимом в отдельном месте. Угроза потери пострадавшей стороной базы данных, важных файлов и документов является козырной картой в руках киберпреступников, жаждущих заставить жертву заплатить выкуп. Наличие резервной копии важных файлов сведет повреждения к минимуму. 
  Не забывайте регулярно обновлять программное обеспечение, систему и приложения, чтобы уменьшить риски, связанные с уязвимостями, которые могут быть использованы для установки вредоносных программ, таких как крипто-вымогатели и блокировщики.


  Мой случай исследовали специалисты и сказали, что файлы невозможно расшифровать? 

  Если кто-то говорит вам, что ваши файлы невозможно расшифровать, то он либо говорит за себя, что это он не может расшифровать, либо файлы безнадежно повреждены. Уточните у него эту информацию. Шанс есть всегда. Просто кто-то еще не может этого сделать. Это не значит, что это абсолютно невозможно, просто не могут сделать в этот момент. Это факт. Сохраните зашифрованные файлы и файлы записок с требованиями выкупа. Они могут помочь в будущем, когда появится возможность дешифровки файлов. Известно немало таких случаев. Один из них мой. 
  Нам известно немало случаев, когда сами вымогатели или их конкуренты, или их бывшие компаньоны, или другие вымогатели, взломавшие базу конкурентов, выкладывали ключи дешифрования. 


➤  Ну как же тогда защититься наверняка? 

См. мою статью "10 способов защиты от шифровальщиков-вымогателей". 

➤  Как протестироваться на предмет защиты? 

Пройдите простые тесты "Готов ли ваш ПК выдержать атаку крипто-вымогателей?" и  
➤  Что мне делать??? Мои файлы уже зашифрованы!!!

См. мою статью "Первые шаги после атаки шифровальщика: Руководство для пострадавшего"


Будьте разумны и в безопасности!

PS. Если какой-то из этих пунктов вызывает у вас трудности, пожалуйста, не стесняйтесь попросить о помощи. Наша помощь оказывается без каких-то условий и является бесплатной для читателей и подписчиков. Используйте форму обратной связи (см. ниже этой статьи). 


© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 1 марта 2016 г.

Введение

Предупреждён — наполовину защищён

Translation into English

Knowledge stops Ransomware before it starts
Знание остановит вымогателя до его запуска


   К сожалению, большинство пользователей не знает основ безопасности при пользовании Интернетом и его возможностями, не понимает вреда, который исходит от вредоносных программ, шифрующих файлы, пока не станет жертвой вымогательства и шифрования. Поэтому у создателей программ-вымогателей есть фора для вредоносной деятельности и реализации проектов по блокировке, шифрованию и повреждению ценных пользовательских данных. Действуя на опережение, они вымогают у пострадавших немалые денежные средства, толкая их на добывание суммы для выкупа незаконным или опасным для финансов путём.

  Экономя на безопасности и защите своих персональных и конфиденциальных данных, пользователи используют для своей защиты бесплатные антивирусы (Freeware) или программные подачки (Freemium), переходя от одной к другой, не приобретя полезных знаний и не закрепив полученных результатов хотя бы по одному антивирусному решению. См. также "Бесплатные программы и майнинг криптовалюты".

  Как показывают многолетние тесты с защитным ПО, Free-антивирусы не могут защитить от большинства угроз, основанных на уязвимостях разного типа, регулярно обнаруживаемых в ОС и приложениях. Не защитят они и от крипто-вымогателей. Даже комплексные продукты класса Internet Security с фаерволом и расширенным функционалом по обеспечению безопасности пропускают отдельные виды вымогательского ПО и хакерские инструменты удаленного управления. Чего уж говорить об Free-антивирусах, главная задача которых — реклама платных решений. 


Не экономьте на антивирусной защите своих ПК!
Покупайте антивирусы класса Internet Security или выше!


Что такое шифровальщик-вымогатель? 

Что такое программа-шантажист? 


   Шифровальщик-вымогатель (крипто-вымогатель, Сrypto-Ransomware) является одним из видов вредоносного программного обеспечения, которое, захватив управление компьютером и зашифровав файлы пользователя, вымогает деньги у пострадавшего. Требование выкупа отображается часто через обычный текстовый файл, html- или hta-файл (веб-страницы), открываемый в браузере, реже другими способами. Этот тип вредоносных программ использует удивление, смущение, страх и запугивание своих жертв, чтобы заставить их выплатить требуемый выкуп. 





История вымогательских программ

   История вымогательского ПО насчитывает более 10 лет, если начинать считать с вредоносов-вымогателей MayArchive, Krotten, Gpcode, Cryzip, Archiveus и прочие... 
   И более 20 лет, если начинать считать с исследовательской статьи "Cryptovirology: Extortion-Based Security Threats and Countermeasures" (1996), где описано использование криптологии для вредоносных целей. 
   И даже почти 30 лет, если считать от первого вируса-вымогателя, созданного в 1989 году биологом Джозефом Л. Поппом, который распространил 20000 дискет с вирусом AIDS Trojan (он же PC Cyborg) с листовками, на которых было заявлено: "вы должны возместить компенсацию и возможные убытки для PC Cyborg Corporation, или ваш микрокомпьютер прекратит функционировать как обычно." 

   Одна из первых современных Ransomware-атак с требованием денежного выкупа была реализована в марте 2006 года в России. Тогда Cryzip Ransomware (он же ZippoCrypt) перемещал файлы в защищённый паролем ZIP-архив и удалял оригиналы. В каждой папке с зашифрованными файлами оставлялась записка о выкупе AUTO_ZIP_REPORT.TXT с E-Gold-аккаунтом для выкупа. Чтобы восстановить свои файлы, жертвам приходилось перечислять требуемые 300 долларов на счёт в E-Gold. 
  Система E-Gold была предшественницей криптовалюты Bitcoin и часто использовалась мошенниками как средство анонимного платежа и обмана интернет-пользователей (например, в финансовых пирамидах). 
  Экспертам компании Sophos удалось, проанализировав код вредоноса, определить пароль дешифрования: "C:Program FilesMicrosoft Visual StudioVC98". Таким странным паролем злоумышленник видимо надеялся ввести в заблуждение специалистов, анализировавших код программы.

  За последние 1,5 года крипто-вымогатели кардинально эволюционировали, т.к. начиная с середины 2014 года их производство и распространение существенно прогрессировали. См. ниже историческую схему, отражающую частоту появления криптовымогателей. Она отражает лишь часть подобных угроз для 2016 года. В этом блоге я постараюсь восполнить недостающую информацию по крипто-вымогателям. Читайте, сверяйтесь, просвещайте других. 


Начальная Хронология (2013-2016 гг.)


четверг, 25 февраля 2016 г.

CTB-Locker WEB

CTB-Locker WEB

CTB-Locker для веб-сайтов

(шифровальщик-вымогатель)


   Этот крипто-вымогатель атакует серверы, на которых расположены веб-сайты клиентов, шифрует их содержимое с помощью AES-256, а потом требует выкуп 0.4 биткоина за доступ к ключу дешифровки. По истечении времени, отведённого на уплату выкупа, эта сумма удваивается до 0.8 биткоина. 

© Генеалогия: CTB-Locker > CTB-Locker WEB

Этимология названия:
Аббревиатура CTB в названии означает Curve Tor Bitcoin.

Активность этой веб-версии крипто-вымогателя пришлась на февраль-март 2016. 

  Операторы этого шифровальщика взламывают уязвимые серверы, на которых размещены веб-сайты, и подменяют файл index.php или index.html. Новый index.php используется для шифрования данных на сайте ключом AES-256, а также для отображения новой домашней страницы, на которой сообщается, что случилось с файлами и как заплатить выкуп. 


 Через месяц активности сумма выкупа снизилась с 0,4 BTC до 0,15 BTC (~ $63), а также от 0,8 BTC до 0,3 BTC (~ $125) за просроченные платежи. 


  CTB-Locker использует исполняемые файлы, которые были подписаны украденным сертификатом. Пик активности пришелся на февраль 2016 г. Известно, что злоумышленники атакуют уязвимые сайты, сделанные на платформе WordPress

 Судя по снижению размера выкупа, вымогателям мало кто платит. Потому эта итерация CTB-Locker вряд ли будет столь же эффективна, как версия для Windows 2014 года, т.к. на веб-серверах и сайтах принято резервировать базу данных и файлы, составляющие основу сайта, которые потом можно с легкостью восстановить из бэкапа без уплаты выкупа. 

Часть содержания текста о выкупе:
Your personal files are encrypted by CBT-Locker.
Your scripts, documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this site.
Decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the decryption key.
Learn more about the algorithm can be here: Wikipedia-link

Перевод на русский язык:
Ваши личные файлы зашифрованы CBT-Locker.
Ваши скрипты, документы, фото, базы данных и другие важные файлы зашифрованы алгоритмом шифрования AES-256 и уникальным ключом, сгенерированный для этого сайта.
Ключ дешифрования хранится на секретном интернет-сервере, и невозможно дешифровать файлы без уплаты выкупа и этого ключа дешифрования. 
Об алгоритме читайте здесь: Википедия-ссылка

Жертве также предлагается прислать вымогателям для бесплатной дешифровки два файла в знак подтверждения наличия декриптера. Для этого нужно ввести секретное имя файла secret_ filename, который находится в той же папке, что и файл index.php, а затем нажать кнопку "Decrypt it free". При успешной дешифровке выйдет сообщение "Congratulations! TEST FILES WAS DECRYPTED!!"  


С оператором вымогателей можно связаться с помощью чата, ссылка на который имеется в самом вверху информационного окна.

  

Список файловых расширений, подвергающихся шифрованию:
.000, .002, .003, .004, .005, .006, .007, .008, .009, .010, .1st,.264, .3D, .3d, .3dm, .3dr, .3ds, .3g2, .3ga, .3gp, .7z, .7zip, .a00, .a01, .a02, .a03, .a04, .a05, .a3d, .aa, .aac, .abr, .accdb, .accdt, .ace, .adadownload, .adp, .ai, .aiff, .air, .alx, .amr, .ani, .ape, .apk, .apng, .app, .application, .appx, .appxbundle, .arc, .arj, .arw, .asec, .asf, .ashx, .asm, .asp, .aspx, .asx, .atom, .avi, .aws, .aww, .azw, .azw3, .bak, .bar, .bas, .bat, .bbb, .bbc, .bc, .big, .bik, .bin, .bkf, .bkp, .blend, .blf, .bml, .bmp, .btm, .bzip2, .c, .c00, .c01, .c02, .c03, .c4d, .cab, .cache, .cal, .cbr, .cbz, .ccd, .cda, .cdr, .cdt, .cfg, .cfm, .cgi, .cgm, .chm, .class, .clear, .clf, .cmd, .cnf, .cnt, .coff, .com, .contact, .cpio, .cpl, .cpp, .cpt, .cr2, .crdownload, .crw, .crypt, .cs, .csh, .cso, .css, .csv, .cue, .daa, .dao, .dash, .dat, .db, .dbf, .dbk, .dbx, .dcr, .dct, .dds, .deb, .deskthemepack, .dgn, .dib, .dic, .dicom, .dif, .djvu, .dlc, .dll, .dmg, .dmp, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .download, .drv, .drw, .dt2, .dta, .dump, .dvf, .dvi, .dvr, .dwfx, .dwg, .dxf, .edi, .elf, .emf, .eml, .emz, .eng, .eot, .eps, .epub, .evtx, .exe, .fb2, .fbx, .fdb, .fig, .fla, .flac, .flv, .fpx, .g64, .gadget, .gb, .gba, .gbk, .gdb, .gdoc, .gho, .gif, .gp4, .gp5, .gpx, .gsheet, .gslides, .gz, .gzip, .h, .h264, .ha, .hdr, .hi, .hqx, .htm, .html, .iba, .ibooks, .icns, .ico, .icon, .ics, .idx, .iff, .ifo, .ihtml, .img, .inc, .ind, .indd, .inf, .ini, .inv, .ipa, .ipd, .ipsw, .iso, .isz, .jad, .jar, .java, .jpe, .jpeg, .jpg, .js, .json, .jsp, .kext, .key, .keynote, .kml, .kmz, .ksd, .lav, .lcf, .ldif, .lha, .lib, .lit, .lng, .lnk, .log, .logic, .lrc, .lrtemplate, .lst, .lwo, .lws, .lzo, .lzx, .m2t, .m2ts, .m3d, .m3u, .m3u8, .m4a, .m4b, .m4p, .m4v, .ma, .mac, .maf, .map, .max, .mb, .mbz, .md, .md5, .mdb, .mdbackup, .mdf, .mdi, .mdl, .mds, .mdx, .mht, .mhtml, .midi, .mkv, .ml, .mmf, .mng, .mobi, .mod, .mov, .mp3, .mp4, .mpd, .mpeg, .mpg, .mpp, .mpt, .mrw, .msg, .msi, .msmessagestore, .msu, .mswmm, .mts, .mui, .mxf, .n64, .nba, .nbf, .nbh, .nbu, .nco, .nds, .nef, .nes, .nfo, .npf, .nrg, .o, .obj, .ocx, .odf, .odg, .ods, .odt, .ofx, .ogg, .ogv, .old, .one, .onepkg, .opml, .orf, .otf, .ott, .out, .ova, .ovf, .oxps, .pages, .pak, .part, .partial, .pas, .pcd, .pcl, .pcm, .pcx, .pdf, .pdn, .pfx, .php, .phtml, .pic, .pkg, .pkpass, .pl, .plist, .pls, .plugin, .pmd, .png, .pos, .pot, .potx, .pps, .ppsx, .ppt, .pptm, .pptx, .prg, .prj, .prn, .pro, .prproj, .prt, .ps, .psb, .psd, .pst, .pts, .ptx, .pub, .pvm, .pwi, .py, .pz3, .pzl, .qif, .r00, .r01, .r02, .r03, .r04, .r05, .r06, .r07, .r08, .r09, .r10, .raf, .rar, .rar, .raw, .rb, .rc, .rec, .ref, .reg, .rem, .rep, .res, .rib, .rmvb, .rom, .rpm, .rsc, .rss, .rtf, .rw2, .safariextz, .sai, .sav, .save, .sbf, .sbu, .scn, .scpt, .scr, .scx, .sd7, .sda, .sdc, .sdd, .sdf, .sdw, .sdxf, .sfcache, .sgml, .sha, .shs, .shtml, .sis, .sisx, .sit, .sitd, .sitx, .skn, .skp, .sldasm, .sldprt, .smc, .smd, .smil, .snd, .sng, .snp, .spb, .spr, .sql, .sqlite, .src, .srm, .srt, .stdf, .stl, .stm, .stp, .sub, .sup, .svg, .svp, .swf, .swp, .sxc, .sxw, .sys, .tao, .tar, .tar.gz, .tbl, .tc, .temp, .template, .tex, .texinfo, .text, .tga, .tgz, .theme, .themepack, .thm, .thmx, .tib, .tif, .tiff, .tmp, .toast, .tod, .torrent, .tp, .tpl, .trm, .troff, .ts, .ttc, .ttf, .txt, .u3d, .uax, .uif, .unity, .upd, .upg, .usr, .ut, .uts, .v64, .vbs, .vcd, .vcf, .vdi, .vhd, .vmdk, .vmem, .vmwarevm, .vmx, .vob, .vsd, .vsdx, .vsm, .vue, .vxd, .wav, .wba, .wbcat, .wbmp, .wdb, .wdp, .webarchive, .webm, .webp, .wif, .wire, .wlmp, .wma, .wmf, .wmv, .woff, .wotreplay, .wowpreplay, .wpd, .wpl, .wps, .wri, .x, .x_t, .x3d, .xap, .xhtml, .xls, .xlsm, .xlsx, .xmi, .xml, .xpi, .xpm, .xps, .xsd, .xsl, .xslt, .xz, .z01, .z02, .z03, .z04, .z05, .zip, .zoo (591 расширение). 

Связанные с CTB-Locker файлы веб-сервера:
[web_site_document_root]/index.php — основной компонент CTB-Locker для процедур шифрования и дешифрования и вывода страницы оплаты;
[web_site_document_root]/allenc.txt — список всех зашифрованных файлов;
[web_site_document_root]/test.txt — содержит пути к именам двух заранее определенных файлов, которые предлагается расшифровать бесплатно;
[web_site_document_root]/victims.txt — список всех файлов, которые будут зашифрованы;
[web_site_document_root]/extensions.txt — список расширений файлов, которые будут зашифрованы;
[web_site_document_root]/crypt/secret_[victim_specific_name] —  секретный файл, который нужно приложить при дешифровке двух файлов и активации чата; файл находится в той же папке, что и файл index.php;
[web_site_document_root]/temp
[web_site_document_root]/robots.txt
[web_site_document_root]/crypt/

К сожалению, пока нет никакого бесплатного способа дешифровки файлов сайтов, зашифрованных CTB-Locker, и единственный способ для восстановления файлов — использовать резервные копии. 

Любой пострадавший от этого вымогателя должен обратиться к своему хостинг-провайдеру, чтобы определить, каким образом был взломан сайт и посмотреть, если у них есть резервные копии баз вашего сайта. 

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются регулярно.

Обновление марта 2016:
В мартовской версии CTB-Locker вымогатели отказались от сайтов-посредников в пользу хранения информации в Blockchain Bitcoin. Для каждого зашифрованного сервера скрипты создают новый биткоин-адрес. Когда на него поступят деньги, они создадут новую транзакцию с ключом для расшифровки в метаданных, а полученные от жертвы 0,0001 биткоина за тестовую расшифровку пойдут на оплату комиссии. На заражённых серверах отслеживается появление транзакций с ключами в Blockchain при помощи программного интерфейса blockexplorer.com. Это более надёжный метод коммуникации, но он вряд ли поможет в дальнейшем создателям CTB-Locker. 




 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CTB-Locker)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 


© Amigo-A (Andrew Ivanov): All blog articles.


Xort, Trun

Xort Ransomware

Trun Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные с помощью RSA-1024 с использованием ПО для шифрования с открытым исходным кодом на GNU Privacy Guard (GnuPG). В записке о выкупе вымогатели требуют связаться по почте с экспертом, чтобы вернуть файлы. Сумма выкупа колеблется: 1,0-1,3 биткоинов. Название получил от логина почты вымогателй и добавляемого расширения. 

К зашифрованным файлам добавляется расширение .xort или .trun (в другой кампании). Относится к семейству VaultCrypt. 

Активность пришлась на февраль - март 2016 (версия Trun в феврале, а Xort в марте-апреле), но имела продолжение и после.

 © Генеалогия: VaultCrypt > XRTN > Trun, Xort

  Xort Ransomware распространяется, как и другие крипто-вымогатели, главным образом, как вредоносное вложение в email, или посредством ссылки на вредоносный сайт, размещенной в фишинг-письме. 

  После того, как файл во вложении будет открыт, Xort Ransomware запускается автоматически, сканирует ПК жертвы для поиска определенных расширений файлов, затем шифрует их с использованием алгоритма RSA-2048, добавляя к зашифрованным файлам расширение .xort или .trun 

Запиской с требованием выкупа выступает файл с генерированным случайным именем HTA-файлом: <random_name>.hta

Содержание текста о выкупе Xort:
ATTENTION!
All important files and information on this comuter (documents, databases, etc.) will be decrypted using a RSA cryptographic algorithm
Without special software decoding a single file with the help of the most powerful computers will take about a 20 years.
contact an expert on email: xorthelp@yandex.ru

Перевод на русский:
ВНИМАНИЕ!
Все важные файлы и информацию на этом comuter (документы, базы данных и т.д.) можно расшифровать используя криптографический алгоритм RSA
Без спец. программы декодирование одного файла с помощью самых мощных компьютеров займет около 20 лет.
контакт с экспертом по email: xorthelp@yandex.ru

Содержение текста для Trun аналогично, только другой email.

Ошибки в тексте:
comuter - правильно: computer (компьютер)

Email-адрес вымогателей в Xort и Trun Ransomware: 
xorthelp@yandex.ru
trunhelp@yandex.ru

После шифрования удаляются теневые копии файлов, если UAC отключена, или выводится при активной UAC запрос на внесение изменений. Разумеется, нужно отказаться, чтобы копии файлов сохранились и можно было восстановить хотя бы часть утраченной информации после удаления вредоносных файлов. 
Запрос UAC на внесение изменений: удаление теневых копий

Список файловых расширений, подвергающихся шифрованию:
 .001, .3fr,.7z, .accdb, .ai, .apk, .arch00, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dbfv, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py,.pyc, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .unity3d, .upk, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (187 расширений)

Файлы, связанные с Xort Ransomware:
<random_name>.hta
%Temp%\<random_name>.hta
C:\Users\User_name\AppData\Roaming\<random_name>.hta
%AppData%\xort.KEY или trun.KEY
%Temp%\xort.KEY или trun.KEY
%Temp%\xort.txt или trun.txt 
<random>_xort.KEY или <random>_trun.KEY
%Temp%\gPG.EXE
CONFIRMATION.KEY
decrypt.bat
<random>.bat
<random>.cmd
<random>.js
и другие.


Степень распространённости: средняя, перспективно высокая.
Подробные сведения собираются. 

Обновление от 31 марта 2017:
Пост в Твиттере >>
Расширение: .chm
Email: helplovx@excite.co.jp
Результаты анализов: HA+VT



Read to links: 
Write-up by Heise Security + other
ID Ransomware + Tweet on Twitter + Tweet

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 al1963

 

среда, 17 февраля 2016 г.

Sanction

Sanction Ransomware

(шифровальщик-вымогатель)


  Этот крипто-вымогатель шифрует данные (AES-256 + RSA-2096), а затем требует выкуп в 3 биткоина, чтобы вернуть файлы обратно. На уплату выкупа даётся 3 суток (72 часа), после чего ключи дешифровки якобы уничтожаются. Как оказалось после анализа, каждый файл зашифрован с другим случайным паролем, который даже разработчик вредоноса не сможет ни извлечь, ни переслать себе на сервер. Шифруются файлы на всех имеющихся в системе дисках, как локальных, так и внешних. 

© Генеалогия: Hidden Tear >> Sanction

Создан на основе крипто-коструктора HiddenTear, но недоделан программно и недоработан технически. Пик распространения пришелся на февраль-март 2016. 

К зашифрованным данным добавляется расширение .sanction. Заплатившие выкуп не получили дешифровщик. Уплата выкупа бесполезна! 

 Записка о выкупе называется HOW_TO_DECRYPT.HTML. Кроме BTC-адреса и информации о биткоинах, там нет никаких контактных данных. При нажатии на кнопку "Send request for decrypt decrypt" (два слова "decrypt") открывается недействующий сайт в зоне RU. 

Перевод записки на русский язык:
Ваш уникальный GUID для дешифрования 
Отправьте мне 3 Bitcoin по адресу: 1HTeqoW6H............
После подтверждения оплаты, все ваши файлы могут быть расшифрованы. Если вы не платите 3 дня, то потеряете возможность их дешифровывать.
Как создать свой Bitcoin-кошелёк: https://www.coinbase.com или hxxp://blockchain.info
Как купить / продать и отправить Bitcoin:
URL URL URL
...

Список файловых расширений, подвергающихся шифрованию:
.txt, .pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, sln, .php, .asp, .aspx, .html, .xml, .psd...

Степень распространённости: низкая.
Подробные сведения собираются. 

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *