Takahiro Locker

Takahiro Locker Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные якобы за нелегальную передачу файлов, а затем требует выкуп в 3 биткоина за дешифровку. Пик его распространения пришёлся на май 2016 г.

  Экран блокировки и управления оплатой написан на японском языке, потому криптовымогатель ориентирован только на японских пользователей и знающих японский язык. 

  После заражения жертва видит всплывающее сообщение "WARNING RUNNING KILL ME!!!!!!!". 

  После нажатия на кнопку ОК открывается окно с сообщением о причинах блокировки и условиями выкупа файлов на японском языке. Я перевёл информацию с этого окна на русский язык. 

Перевод записки на русский язык:
Это защитник Танг. 
Вы сделали нелегальную передачу файлов...
Поэтому я заблокировал ваш компьютер.
Чтобы разблокировать файлы, нужно заплатить 3 биткоина в течении 3-х дней.
Вам нужно иметь 30000 иен, чтобы перевести их в биткоины и передать их мне.
Через 3 дня ключ шифрования будет удален и данные уже нельзя будет вернуть.
Кнопка "Далее" 

В этом окне нужно ввести Bitcoin-адрес для перевода выкупа. В нижнем левом углу кнопка "Помощь", а в нижнем правом углу две кнопки "Назад" (левая) и "Оплата" (правая). 

В следующем окне "Help Form" есть ссылки и информация о том, как передать выкуп. 

Распространяется через email-спам с вредоносными вложениями и с загруженными файлами при посещении вредоносных сайтов. 

При первом запуске прописывается в автозагрузку и создает следующие папки: 
%User Temp%\Google
%User Temp%\Google\Chrome
И сохраняет свою копию в %User Temp%\Google\Chrome\Update.exe

Список файловых расширений, подвергающихся шифрованию:
.txt .jpg .png .bmp .zip .rar .7z .sql .torrent .pdf .tar .mp3 .mp4 .flv .lnk .html .php

Пропускает шифрование файлов, находящихся в директориях:
Windows, Origin, Steam, Recycle Bin, Program Files

Перевод скриншотов с японского выполнил автор блога Amigo-A. 

Название в вирусной базе Trend Micro RANSOM_TAKALOCKER.A
Образец на VT >>>

Степень распространенности: низкая.
Подробные сведения собираются. 

Crysis XTBL

Crysis XTBL Ransomware

(шифровальщик-вымогатель) 

Translation into English

   Семейство вымогателей Crisis способно шифровать файлы на жёстких, съёмных и сетевых дисках с помощью AES-256 (CBC-режим, RSA-ключ). CrySiS и Crysis XTBL созданы и распространялись из Украины. Программным приемником CrySiS Ransomware является вымогательский проект Dharma Ransomware и некоторые другие. 

Обнаружения:
Dr.Web -> Trojan.Encoder.3953

© Генеалогия: CrySiS > Crysis XTBL, Dharma, Phobos

Этимология названия:
Название получил от Crysis — популярная компьютерная игра, научно-фантастический шутер от первого лица, разработанный немецкой компанией Crytek и изданный Electronic Arts в 2007 году. В аббревиатуре XTBL можно угадать некоторые фразы русскоязычной обсценной лексики, в том числе англизированной, типа hyu_tebe_bleat.  

Зашифрованные файлы получают расширение .xtbl, которое дополняется email-адресом вымогателей. Таким образом, фактически стало использоваться составное расширение по шаблонам 
.ID%variable%.{email_address}.xtbl
.centurion_legion@aol.com.xtbl

Позже стали известны как минимум 4 модификации вариаций этого семейства вымогателей, отличающиеся способом шифрования файлов, и 5 версий, различающиеся способом именования:
*.{email}.ext
*.ID*.email.xtbl
*.ID*.{email}.xtbl
*.id-*.{email}.ext
*.{email}.xtbl

Записка с требованием выкупа называется: How to decrypt your files.txt

В некоторых случаях используется еще изображение DECRYPT.jpg с текстом, заменяющее обои Рабочего стола. В изображениях обыгрываются темы чернобыльской катастрофы, игры Crysis, фотографии спецназа и прочее. 

Технические детали

  Распространяется Crysis XTBL с февраля 2016 с помощью email-спама и вредоносного вложения, содержащего файлы с двойным расширением. Также может распространяться под видом установщиков для различных легитимных приложений. 

  По данным СМИ CrySiS вместе с "продолжением" Crysis XTBL занял девятую позицию в топ-10 вымогателей 2016 года. Жертвами шифровальщика в основном стали жители России, Японии, Южной Кореи, Бразилии и других стран. 

➤ Чтобы закрепиться в системе прописывается в автозагрузку. После запуска в системе он шифрует 185 типов файлов и файлы без расширений на локальных и съемных дисках (USB и внешних), на сетевых ресурсах, оставляя нетронутыми только файлы, нужные операционной системе и файлы вредоносной программы. После шифрования все теневые копии файлов удаляются. 

Crisis отправляет имя компьютера и несколько зашифрованных файлов на удаленный сервер, подконтрольный злоумышленникам. В некоторых версиях ОС Windows, он также пытается запустить себя с правами администратора, таким образом, расширяя список файлов, которые будут зашифрованы. Crisis также собирает с зараженного ПК информацию о логин-паролях, сгенерированных программами данных, из мессенджеров, адресной книги, из браузеров, веб-камеры, буфера обмена и также оправляет их на удаленный сервер. 

  После завершения своих вредоносных намерений, создается текстовый файл How to decrypt your files.txt и сохраняется на Рабочем столе. В некоторых случаях используется еще файл DECRYPT.jpg, который заменяет обои рабочего стола, показывая сообщение с требованием. 

Вот примеры таких изображений. 

  Информация из записки о выкупе ограничена двумя email-адресами вымогателей. После отправки письма вымогателям жертва получает дальнейшие инструкции. Ответ включает в себя стоимость декриптора (от 400 до 900 евро), указание купить биткоины и отправить их на Bitcoin-адрес вымогателей.

Вот известные электронные адреса вымогателей:
dalailama2015@protonmail.ch
Vegclass@aol.com
a_princ@aol.com
TREE_OF_LIFE@INDIA.COM
redshitline@india.com
milarepa.lotos@aol.com
Ecovector3@aol.com
Eco_vector@aol.com
Eco_vector@india.com
sub_zero12@aol.com
gerkaman@aol.com
freetibet@india.com
cyber_baba2@aol.com
siddhiup2@india.com
gruzinrussian@aol.com
ramachandra7@india.com
goldman0@india.com
centurion_legion@aol.com
legioner_seven@aol.com

Степень распространённости: высокая
Подробные сведения собираются. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as CrySiS)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov (author), Emmanuel_ADC-Soft
 CyberSecurity GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

MM Locker

MM Locker Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные с помощью AES-256, а затем требует от 0.501049 до 1.011 биткоина (или $200), чтобы вернуть файлы обратно. На уплату выкупа пострадавшим даётся 72 часа. 

© Генеалогия: EDA2 >> Pompous (SkidLocker) >> MM Locker

 По всему видно, что MM Locker является дальнейшим развитием Pompous (SkidLocker). 

Ко всем зашифрованным файлам добавляется расширение .locked. 

 Записка с требованием выкупа называется READ_IT.txt. Обои заменяются изображением вымогателя ransom.jpg.
  

Содержание этой довольно обширной записки о выкупе: 
(If you are in Notepad, please click the Format menu above ^^^^ and click Word Wrap)
Uh oh.  It looks like your data has been the victim of the encryption thief.  Your files have been encrypted with AES.  Go look it up if you like, it is some impressive technology.  Unfortunately you're going to have to pay some money to get your data back and your fee is approximately $400.  I'll get right to the gory details for that:
     * You have 72 hours to make this happen.  Otherwise, your data is effectively lost for good.  One keystroke will remove the necessary password for all time, and I don't even have to revisit your machine to do it.
     * You will be paying by bitcoin.  Your fee is 1.011.  Pay this amount precisely, or I might not know who it was that paid in order to rescue them.
     * You'll be using LocalBitcoins.com.  There are numerous ways to pay for my bitcoins on there, and most importantly, it is fast.  Did I mention you have 72 hours?
     * The address you will be sending the bitcoins to is [Redacted].
     * Then you will wait for me to get the unlock code for you.  Your code will be shown here, [hxxp://let-me-help-you-with-that.webnode.com/], under the amount you paid.  This may take a day or so: you are on my schedule now :P
     * Once you have the code, you can unlock your data as follows:
           *** Go to your Start Menu
           *** In the search field, type "cmd".
           *** Right click the cmd program.
           *** Click Run As Administrator
           *** Click Yes to allow it to run like that.
           *** Type "cd /Users/[user]/"
                     *** Type "Decrypter.exe <Your Code>
           *** Other people's codes will not work for you, obviously.
           That is basically it.  The rest of this document is a mini encouragement to get you to pay, so you can read it or not.  F*** [redacted by editor] if I care.
     * You'll never be able to find me.  Police will never be able to find me.  Go ahead and try them if you like, but don't expect your data back. They will be concerned about helping the community, not with helping you meet your deadline. If they say they need to keep your desktop for a few days, well lol, you probably won't be seeing your machine again soon, let alone your data.  Certain things my look like they would be easy to trace back to me, but believe me, they aren't. I've been doing this for five years now and haven't been caught yet.
     * Best Buy will have no ability to undo the encryption.  Hell, even the NSA probably couldn't undo it. Well maybe they could, but I suspect you won't be a high priority for their computation clusters for at least a couple of years.
     * In 72 hours, I will consider you lost.  Hell, I may even visit you again and delete the encrypted versions just for kicks.
So just be thankful that it wasn't worse. I could have asked for more money.  I could be working for ISIS and saving that money to behead children.  I 
could be a mean SOB and just destroy your data outright.  Am I those things?  No.  I just need the money to live off of (true story) and don't give a f*** 
[redacted] about the hacker "community".  So there isn't anyone you will be protecting by sacrificing yourself. I'll just encrypt more people's data to make up for the loss.
So you have your instructions. I'll even tell you how you could have prevented this:
     * Install a good antivirus and keep it up to date.  This is basically where you fell down.
     * Don't click on any file from the internet that isn't a piece of data like (jpg, txt, doc) or you better really know where that file came from.
     * Back up your data in case the encryption thief visits you :P          
Better luck to you in the future.

 Неполный список файловых расширений, подвергающихся шифрованию: 
.txt, .doc, .docx, .xls, .xlsx, .pdf, .pps, .ppt, .pptx, .odt, .gif, .jpg, .png, .db, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .frm, .myd, .myi, .dbf, .mp3, .mp4, .avi, .mov, .mpg, .rm, .wmv, .m4a, .mpa, .wav, .sav, .gam, .log, .ged, .msg, .myo, .tax, .ynab, .ifx, .ofx, .qfx, .qif, .qdf, .tax2013, .tax2014, .tax2015, .box, .ncf, .nsf, .ntf, .lwp (59 расширений). 

См. также технические подробности в Pompous (SkidLocker) Ransomware. 

Степень распространённости: низкая.
Подробные сведения собираются. 

CryptFIle2

CryptFIle2 Ransomware

(шифровальщик-вымогатель) 

Translation into English

   Этот криптовымогатель шифрует данные пользователей с помощью RSA, а затем требует написать на email вымогателей, чтобы узнать условия дешифровки файлов. Сумма выкупа может различаться, от 0.5 до 1.5 биткоина. 

© Генеалогия: CryptoMix > CryptFIle2

CryptFIle2  распространялся с середины марта 2016 года с помощью наборов эксплойтов Nuclear и Neutrino. 

  К зашифрованым файлам добавляется составное расширение .id_[personal_ID]_[ransom_email].scl, на конце которого .scl. 

Где "personal_ID" — это 16-символьная строка, состоящая из строчных букв и цифр, а "ransom_email" — электронная почта, на которую пострадавший пользователь должен написать, чтобы дешифровать файлы. 

Примеры зашифрованных и переименованных файлов см. ниже:

file.txt.id_a0d01d07e030f060_email_xerx@usa.com.scl

settings.xml.id_a0d01d07e030f060_email_xerx@usa.com.scl

  Записки с требованием выкупа называются HELP_YOUR_FILES.HTML и HELP_YOUR_FILES.TXT и сохраняются на рабочем столе и в папках с зашифрованными файлами.

Содержание TXT-записки о выкупе:

NOT YOUR LANGUAGE? USE hxxps://translate.google.com

What happened to your files?

All of your files were protected by a strong encryption with RSA-2048. More information about the encryption keys RSA-2048 can be found here: hxxp://en.wikipedia.org/wiki/RSA_(cryptosystem)

How did this happen?

!!!Specially foryour PC was generated personal RSA-2048 KEY, both public and private.

!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.

!!! Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our Secret Server.

What do I do?

So, there are two ways you can choose: wait for a miracle and get your pride doubled, or start obtaining BITCOIN NOW!, and restore your data easy way. If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

For more specific instructions:

Contact is by email only, send us an email along with your ID number and wait for further instructions. Our specialist will contact you within 12 hours. For you to be sure, that we can decrypt your files - you can send us a single encrypted file and we will send you back it in a decrypted form. This will be your guarantee.

E-MAILi: pchelp_@_post.com

E-MAIL2: xerx_@_usa.com

YOURJD: ***

Перевод записки на русский язык:

НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com 

Что случилось с файлами?

Все ваши файлы защищены сильным шифрованием RSA-2048. Подробную информацию об использовании ключей шифрования RSA-2048 можно найти здесь: http://en.wikipedia.org/wiki/RSA_ (cryptosystem) 

Как это случилось? 

!!! Специально для вашего ПК был создан личный RSA-2048 ключ, публичный и частный. 

!!! Все ваши файлы зашифрованы с помощью открытого ключа, который передан на компьютер через Интернет. 

!!! Дешифровка возможна только с помощью секретного ключа и декриптера, который находится на нашем секретном сервере. 

Что мне делать? 

Итак, есть два способа, которые можно выбрать: ждать чуда и увеличения цены в 2 раза, или начать получать Bitcoin Now!, и легко вернуть данные. Если у Вас есть очень ценные данные, то лучше не тратить свое время, т.к. нет иного пути, чтобы получить ваши файлы, кроме оплаты выкупа. 

Более подробные инструкции: 

Свяжитесь с нами по email, отправив письмо с номером ID и ждите дальнейших указаний. Наш специалист свяжется с вами в течение 12 часов. Для вашей уверенности, что мы можем расшифровать ваши файлы - вы можете отправить нам 1 зашифрованный файл, и мы вышлем Вам его в расшифрованной форме. Это будет ваша гарантия. 

E-Mail1: pchelp_@_post.com 

E-Mail2: xerx_@_usa.com

Ваш_ID: ***

Технические детали

CryptFIle2 начал распространяться с середины марта 2016 года с помощью наборов эксплойтов Nuclear и Neutrino. Как и во вредоносных кампаниях с предыдущими итерациями, поставщиками шифровальщика могут выступать ботнеты, например, Kelihos (Waledac).

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
 cmd.exe /C vssadmin Delete Shadows /For=A: /All /Quiet
 vssadmin.exe vssadmin Delete Shadows /For=A: /All /Quiet
 cmd.exe /C net stop vss
 net.exe net stop vss
 net1.exe %WINDIR%\system32\net1 stop vss
 cmd.exe /C bcdedit /set {default} recoveryenabled No
 bcdedit.exe bcdedit /set {default} recoveryenabled No
 cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
 bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
 cmd.exe bcdedit /set {default} recoveryenabled No
 cmd.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
 cmd.exe bcdedit /set bootstatuspolicy ignoreallfailures

 Шифруются файлы всех популярных форматов: документы, аудио-видео, изображения и мн. др., всего 1207 расширений: 

Неполный список файловых расширений, подвергающихся шифрованию:

.1bf, .3g2, .3gp, .7z, .ab4, .ach, .adb, .ads, .ait, .al, .apj, .apk, .arch00, .asf, .asm, .asp, .asset, .asx, .back, .bank, .bar, .bc6, .bc7, .bgt, .big, .bik, .bkf, .bkp, .blob, .bpw, .bsa, .c, .cas, .cdf, .cdr, .cdx, .ce1, .ce2, .cer, .cfp, .cfr, .cgn, .class, .cnt, .cpi, .cpp, .craw, .crt, .crw, .cs, .csh, .csl, .csu, .d3dbsp, .dac, .das, .dazip, .db0, .dba, .dbr, .dcs, .ddd, .der, .des, .desc, .dgc, .dng, .dnp, .drf, .dtd, .dxg, .ebd, .els, .enl, .epk, .esn, .exf, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flu, .fn, .forge, .fos, .fpk, .fsh, .gho, .gray, .grey.grw, .gry., .h, .hkdb, .hkx, .hplg, .hpp., .hupl, .ibd, .icxs, .iif, .indd, .itdb, .itl, .itn, .iwd, .jaua, .js, .key, .laccdb, .layout, .litenod, .lrf, .lua, .lul, .m, .m2, .m4a, .m4u, .maf, .man, .mar, .maw, .mcmeta, .mdc, .mde, .mfu, .mix-kf, .mniw, .mp4, .mpg, .mpp, .mpqge, .n3u, .nap, .ncf, .ndbackup, .ndd, .nddata, .nef, .nenu, .nk2, .nou, .nrw, .nsd, .nsg, .nsh, .nso, .ntjb, .ntl, .nx1, .nx2, .ode, .odf, .odg, .odp, .ods, .oil, .one, .oth, .otp, .ots, .p12, .p7b, .p7c, .pak, .pas, .pat, .pbo, .pcd, .pen, .pet, .pfx, .php, .pi, .pic, .pip, .pkpass, .pot, .potn, .potx, .ppan, .pps, .ppsn, .ppsx, .prf, .ps, .psafe3, .psk, .pspinage, .pub, .puz, .py, .qba, .qbw, .qdf, .r3d, .raf, .rar, .rat, .raw, .rb, .re4, .rgs, .rim, .rn, .rof1, .rwz, .s3a, .sas7bdat, .say, .sb, .scan, .sd0, .sda, .sid, .sidd, .sidn, .sie, .sin, .sis, .snp, .snx, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stx, .sun, .sxc, .sxi, .sxm, .syncdb, .t12, .t13, .tax, .tor, .ucf, .udf, .ufs0, .unrec, .uob, .upk, .upppc, .usd, .usx, .utf, .utx, .w3x, .wallet, .wau, .wb2, .wll, .wma, .wmu, .wno, .wotreplay, .wpd, .x11, .xla, .xlan, .xlb, .xlc, .xll, .xlm, .xlr, .xlsb, .xlsm, .xlt, .xltm, .xltx, .xlw, .xpp, .xsn, .xxx, .yuu, .zip, .ztnp (287 расширений в раннем образце). 

Наиболее полный список файловых расширений:

.0, .1cd, .1pa, .1st, .2bp, .36, .3dm, .3ds, .3fr, .3g2, .3gp, .411, .4db, .4dl, .4mp, .73i, .7z, .8xi, .9png, .a3d, .aaa, .ab4, .abm, .abs, .abw, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .access_denied, .accft, .ach, .act, .adb, .adn, .adp, .ads, .aesir, .af2, .af3, .aft, .afx, .agif, .agp, .ahd, .ai, .ai, .aic, .aif, .aim, .ait, .al, .albm, .alf, .ani, .ans, .apd, .apj, .apk, .apm, .apng, .aps, .apt, .apx, .arch00, .art, .artwork, .arw, .asc, .ascii, .ase, .asf, .ask, .asm, .asp, .asset, .asw, .asx, .asy, .aty, .avatar, .awdb, .awp, .awt, .aww, .axx, .azz, .back, .backup, .bad, .bak, .bank, .bar, .bay, .bbs, .bc6, .bc7, .bd, .bdb, .bdp, .bdr, .bean, .better_call_saul, .bgt, .bib, .big, .bik, .bkf, .bkp, .blend, .blkrt, .blob, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .bpw, .breaking_bad, .brk, .brn, .brt, .bsa, .bss, .btd, .bti, .btr, .byu, .bzabw, .c, .c4, .c4d, .cal, .cals, .can, .cas, .ccc, .cd5, .cdb, .cdc, .cdf, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cdx, .ce1, .ce2, .cer, .cerber, .cerber2, .cerber3, .cerber4, .cerber5, .cf, .cfg, .cfp, .cfr, .cfu, .cgm, .chart, .chord, .cimg, .cin, .cit, .ckp, .class, .clkw, .cls, .cma, .cmt, .cmx, .cnm, .cnt, .cnv, .colz, .coverton, .cpc, .cpd, .cpg, .cpi, .cpp, .cps, .cpt, .cpx, .cr2, .craw, .crd, .crt, .crw, .crwl, .cryp1, .crypt, .crypted, .cryptolocker, .cryptowall, .crypz, .crysis, .cs, .csh, .csl, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .d3dbsp, .dac, .daconnections, .dacpac, .dad, .dadiagrams, .daf, .das, .daschema, .dat, .dazip, .db, .db0, .db2, .db3, .dba, .dbc, .dbf, .dbk, .dbr, .dbs, .db-shm, .dbt, .dbv, .db-wal, .dbx, .dc2, .dca, .dcb, .dcr, .dcs, .dct, .dcx, .ddd, .ddl, .ddoc, .dds, .ded, .der, .des, .desc, .design, .df1, .dgc, .dgn, .dgs, .dgt, .dharma, .dhs, .dib, .diz, .djv, .djvu, .dm3, .dmi, .dmo, .dmp, .dnc, .dne, .dng, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dp1, .dpp, .dpx, .dqy, .drf, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dtd, .dtsx, .dtw, .dvi, .dvl, .dwg, .dx, .dxb, .dxf, .dxg, .dxl, .ebd, .ecc, .ecml, .eco, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .email, .emd, .emf, .eml, .emlx, .enciphered, .encrypt, .encrypted, .enigma, .ep, .epf, .epk, .epp, .eps, .epsf, .eql, .erf, .err, .esm, .etf, .etx, .euc, .exf, .exr, .exx, .ezz, .fadein, .fal, .faq, .fax, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .ff, .ffd, .fff, .fft, .fh, .fh10, .fh11, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fhd, .fic, .fid, .fif, .fig, .fil, .fim, .fla, .flac, .flc, .fli, .flr, .flv, .fm, .fm5, .fmp, .fmp12, .fmpsl, .fmv, .fodt, .fol, .forge, .fos, .fountain, .fp3, .fp4, .fp5, .fp7, .fpk, .fpos, .fpt, .fpx, .frt, .fsh, .ft10, .ft11, .ft7, .ft8, .ft9, .ftn, .fwdn, .fx0, .fx1, .fxc, .fxg, .fxr, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .gem, .geo, .gfb, .gfie, .ggr, .gho, .gif, .gih, .gim, .gio, .glox, .gmbck, .gmspr, .good, .gpd, .gpn, .gray, .grey, .gro, .grob, .grs, .grw, .gry, .gsd, .gthr, .gtp, .gv, .gwi, .gz, .h, .hbk, .hdb, .hdp, .hdr, .heisenberg, .hht, .his, .hkdb, .hkx, .hpg, .hpgl, .hpi, .hpl, .hplg, .hpp, .hs, .htc, .html, .hvpl, .hwp, .hz, .i3d, .ib, .ibd, .icn, .icpr, .icxs, .idc, .idea, .idx, .igt, .igx, .ihx, .iif, .iil, .iiq, .imd, .indd, .info, .ink, .int, .ipf, .ipx, .itc2, .itdb, .itl, .itm, .itw, .iwd, .iwi, .j, .j2c, .j2k, .jarvis, .jas, .java, .jb2, .jbig, .jbig2, .jbmp, .jbr, .jfif, .jia, .jis, .jng, .joe, .jp1, .jp2, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .jrtf, .js, .jtf, .jtx, .jwl, .jxr, .k2p, .kdb, .kdbx, .kdc, .kdi, .kdk, .kes, .key, .kf, .kic, .klg, .knt, .kon, .kpg, .kwd, .laccdb, .latex, .layout, .lbf, .lbm, .lbt, .lechiffre, .lgb, .lgc, .lis, .lit, .litemod, .ljp, .lmk, .lnt, .locked, .locky, .log, .lol!, .lp2, .lrc, .lrf, .lst, .ltr, .ltx, .lua, .lue, .luf, .lvl, .lwo, .lwp, .lws, .lxfml, .lyt, .lyx, .m, .m2, .m3d, .m3u, .m4a, .m4v, .ma, .mac, .maf, .mam, .man, .map, .maq, .mar, .mat, .maw, .max, .mb, .mbm, .mbox, .mcl, .mcmeta, .md5txt, .mdb, .mdbackup, .mdbhtml, .mdc, .mddata, .mde, .mdf, .mdn, .mdt, .me, .mef, .mell, .menu, .mft, .mfw, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .micro, .min, .mkv, .mlx, .mmat, .mmw, .mng, .mnr, .mnt, .mobi, .mos, .mov, .movie, .mp3, .mp4, .mpf, .mpg, .mpo, .mpp, .mpqge, .mrg, .mrw, .mrwref, .mrxs, .msg, .mso, .mt9, .mte, .mud, .mwb, .mwp, .mx0, .mxl, .myd, .myl, .ncf, .ncr, .nct, .nd, .ndd, .ndf, .nef, .nfo, .njx, .nk2, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nv2, .nwb, .nwctxt, .nx1, .nx2, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .oci, .ocr, .odb, .odc, .odf, .odg, .odin, .odm, .odo, .odp, .ods, .odt, .ofl, .oft, .oil, .omf, .one, .openbsd, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oth, .oti, .otp, .ots, .ott, .ovp, .ovr, .owc, .owg, .oyx, .ozb, .ozj, .ozt, .p12, .p7b, .p7c, .p7s, .p96, .p97, .pages, .pak, .pal, .pan, .pano, .pap, .pas, .pat, .pbm, .pbo, .pc1, .pc2, .pc3, .pcd, .pcd, .pcs, .pct, .pcx, .pdb, .pdd, .pdf, .pdm, .pdn, .pe4, .pef, .pem, .pfd, .pff, .pfi, .pfs, .pfv, .pfx, .pgf, .pgm, .phm, .php, .pi1, .pi2, .pi3, .pic, .pict, .pip, .pix, .pjpeg, .pjpg, .pjt, .pkpass, .pl, .pl, .plantuml, .plc, .plt, .pm, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .prt, .prw, .ps, .psafe3, .psd, .psdx, .pse, .psid, .psk, .psp, .pspbrush, .pspimage, .pst, .psw, .ptg, .pth, .ptx, .pu, .pub, .puz, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .py, .pz3, .pza, .pzp, .pzs, .qba, .qbbackup, .qbi, .qbo, .qbp, .qbr, .qbsdk, .qbt, .qbw, .qbwin, .qby, .qdf, .qdl, .qmg, .qpd, .qpx, .qry, .qsm, .qss, .qst, .qvd, .qwc, .r3d, .r5a, .rad, .raf, .rar, .ras, .rat, .raw, .raw, .rb, .rctd, .rcu, .rdb, .rdl, .re4, .readme, .rft, .rgb, .rgf, .rgss3a, .rib, .ric, .riff, .rim, .ris, .rix, .rle, .rli, .rm, .rng, .rofl, .rpd, .rpf, .rpt, .rri, .rrk, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .rtp, .rtx, .run, .rw2, .rwl, .rwz, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .sam, .sas7bdat, .save, .say, .sb, .sbf, .scad, .scan, .scc, .sci, .scm, .scriv, .scrivx, .sct, .scv, .scw, .sd0, .sda, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .set, .sfc, .sfera, .sfw, .sgm, .sid, .sidd, .sidn, .sie, .sig, .sis, .sk1, .sk2, .skcard, .skm, .sla, .slagz, .sld, .sldasm, .slddrt, .sldprt, .slm, .sls, .smf, .smil, .sms, .snagitstamps, .snagstyles, .snp, .snx, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .ssa, .ssfn, .ssk, .st, .st4, .st5, .st6, .st7, .st8, .stc, .std, .ste, .sti, .stm, .stn, .stp, .str, .strings, .stw, .stx, .sty, .sub, .sum, .sumo, .sva, .svf, .svg, .svgz, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .syncmanagerlogger, .t12, .t13, .t2b, .tab, .tar, .tax, .tb0, .tbn, .tcx, .tdf, .tdt, .te, .teacher, .temp1234, .tex, .text, .tfc, .tg4, .tga, .thm, .thp, .thumb, .tif, .tiff, .tjp, .tlb, .tlc, .tm, .tm2, .tmd, .tmp, .tmv, .tmx, .tn, .tne, .tor, .tpc, .tpi, .trelby, .trm, .ttt, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .ufr, .uga, .unauth, .unity, .unrec, .unx, .uof, .uot, .upd, .upk, .usertile-ms, .usr, .utf8, .utxt, .v12, .v30, .vault, .vbr, .vcf, .vct, .vda, .vdb, .vdf, .vec, .vff, .vfs0, .vml, .vnt, .vob, .vpd, .vpe, .vpk, .vpp_pc, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vsx, .vtf, .vtx, .vue, .vvv, .vw, .w3x, .wallet, .wav, .wb1, .wb2, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wflx, .wgz, .wire, .wll, .wma, .wmdb, .wmf, .wmo, .wmv, .wn, .wotreplay, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .wsc, .wsd, .wsh, .wtx, .wvl, .x, .x11, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xf, .xhtm, .xla, .xlam, .xlb, .xlc, .xld, .xlf, .xlgc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xmind, .xml, .xmlx, .xmmap, .xpm, .xpp, .xps, .xsn, .xtbl, .xwp, .xxx, .xxx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .ytbl, .yuv, .z3d, .zabw, .zcrypt, .zdb, .zdc, .zepto, .zif, .zip, .ztmp, .zw, .zzzzz (1255 расширений).  

Вполне вероятно, что этот вымогатель стоит в одном ряду клонов криптовымогателя CrypBoss, среди которых HydraCrypt и UmbreCrypt. Находится много сходств при сравнении кода CryptFIle2 с образцом HydraCrypt, но большая часть кода всё же различна. 

Вот некоторые из сходств: 
- сетевой протокол (ключ передается в качестве разделенных запятыми байтов, с проверкой подключения к google.com);
- строка запутывания;
- зашифрованные расширения файлов;
- записка о выкупе (говорится о "гарантии" для получения файлов обратно, предложение расшифровывать один файл, "Email1" и "Email2"  также используются в UmbreCrypt). 

Степень распространённости: средняя. 
Подробные сведения собираются.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoMix Ransomware
CryptFIle2 Ransomware

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Образец, найденный 12 июня 2019:
Штамп времени: 1 сентября 2019.
Пост в Твиттере >>
Расширение: .scl
Составное расширение: .id_******_email_enc2@dr.com_.scl
Примеры зашифрованных файлов: 
desert.jpg.id_c209caae5e988ade_email_enc2@dr.com_.scl
desktop background.png.id_c23482ca5e988ade_email_enc2@dr.com_.scl
Записки: HELP_DECRYPT_YOUR_FILES.HTML
HELP_DECRYPT_YOUR_FILES.TXT
Email: enc2@dr.com
Результаты анализов: VT + HA + VMR

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter 
 ID Ransomware (ID as CryptoMix)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryFile

CryFile Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует (скорее портит) файлы, а затем вымогает $100, чтобы их восстановить. Шифрование проводится со случайным числом байт из интервала [0-9], которые просто перемещаются с одного места в другое. 

К зашифрованным файлам добавляются следующие расширения: .criptiko, .criptoko, .criptokod, .cripttt, .aga. Ориентирован на русскоязычных пользователей и их адресатов. 

Записки с требованием выкупа называются SHTODELATVAM.txt (Што делать вам) и Instructionaga.txt (Инструкция, ага). 

Текст файла SHTODELATVAM.txt:
Напишите нам для разблокировки
Ваших файлов: dsuoufygfdt@ro.ru

Текст файла Instructionaga.txt:
Для разблокировки Ваших файлов
напишите: odododo@ro.ru

  Распространяется с 2015 года через email-спам и вредоносные вложения, фишинговые сообщения и ссылки на зараженные сайты. 


Шифруются только пользовательские файлы: документы MS Office, pdf, djvu и другие файлы электронных книг, архивы, файлы 1С и другие базы данных, изображения, аудио, видео и пр. 

  Не стоит платить вымогателям, т.к. этот крипто-вымогатель уже дешифруем. 

Есть дешифровщик для зашифрованных CryFile файлов. 

Еще один дешифровщик от Лаборатории Касперского. 

© Amigo-A (Andrew Ivanov): All blog articles. 

Russian EDA2

Russian EDA2 Ransomware

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот криптовымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .locked. Как ясно из названия, криптовымогатель собран на основе криптоконструктора EDA2. 

  Обои рабочего стола заменяются на фоновое изображение от вымогателей с надписью "Файлы на вашем компьютере заблокированы. Инструкцию по расшифровке вы можете найти на своем рабочем столе в файле README.html". 

  Записка с требованием выкупа называется README.html и размещается, как ясно их фразы выше, на рабочем столе. 

Список файловых расширений, подвергающихся шифрованию:
.pdf, .psd, .txt, .rtf, .odt, .doc, .docx, .docm, .djvu, .djv, .rb, .epub, .html, .htm, .asp, .aspx, .php, .phtml, .xls, .xlsx, .xlsm, .csv, .ods, .asm, .c, .h, .cpp, .cxx, .h, ,hpp, .pas, .dpr, .bas, .bbc, .java, .js, .cs, .resx, .ml, .pl, .pm, .php3, .py, .rb, .rbw, .sd7

Степень распространённости: низкая. 
Подробные сведения собираются.

Herbst, Autumn

Herbst (Autumn) Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы обратно. Ориентирован на немецкоязычных пользователей. 

К зашифрованным файлам добавляется расширение .herbst. Название происходит от немецкого слова "der Herbst" — "осень" (англ. Autumn). Оригинальное название: Kryptolocker.

  Записка с требованием выкупа Encrypted.html написана на немецком языке и представляет собой диалоговое окно с формой вставки текстовой информации, необходимой для дешифровки файлов после получения оплаты. 

  Herbst шифрует данные в каталоге StartupPath и папках пользователя Desktop, MyPictures, MyMusic, Personal. Шифруются не только пользовательские, но и исполняемые файлы и даже ярлыки (см. скриншот ниже). 

Перевод записки о выкупе на русский язык: 
Ваш компьютер только что был зашифрован с помощью AES 256, потому любые средства бесполезны, ваши данные только с соответствующим ключом могут быть восстановлены. Вы могли бы данные и сами расшифровать, но на это в настоящее время по техническим меркам уйдёт 100 лет.
Потому мы хотим попросить небольшую разовую плату за ключ дешифрования. Если вы согласны с этим предложением, то мы хотим вас поскорее осчастливить, потому что наше интернет-хранилище ограничено по размерам и, как это не прискорбно, вскоре мы будем вынуждены удалить данные.
Отправьте 0,1 Bitcoin на следующий Bitcoin-адрес, чтобы получить ключ дешифрования. После получения оплаты мы пришлем вам 
Transaktions ID, который нужно вставить в текстовом поле и нажать кнопку Decrypt (Дешифровать).

По данным специалистов Fortinet, которые обнаружили частично недоделанный функционал, этот криптовымогатель скорее всего был выпущен в бета-варианте для изучения способности антивирусов его обнаруживать. 

Список файловых расширений, подвергающихся шифрованию:
.bin, .doc, .docx, .ini, .lnk, .log, .tmp, .txt, .xls, .xlsx, .xml и другие. 

Файлы, связанные с Herbst Ransomware:
Encrypted.html
Kryptolocker.exe
C:\DOCUME~1\User\LOCALS~1\Temp\<random>.tmp
C:\Documents and Settings\User\Local Settings\Temp\<random>.tmp

Записи реестра, связанные с Herbst Ransomware:
См. ниже анализы

Сетевые подключения:
нет

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Manalyzer анализ >>

Степень распространённости: очень низкая. 
Подробные сведения собираются.

WonderCrypter

WonderCrypter Ransomware

YouGotHacked Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-шифрования, а затем требует выкуп в биткоинах. 

Зашифрованные файлы получают расширение .h3ll. 

В этом расширении скрыто английское слово "hell" (ад). Название вымогателя "WonderCrypter" переводится с английского как "Чудо-Криптер". 

  Второе название YouGotHacked ("Вы взломаны") принято некоторыми исследователями. Malware-аналитики отмечают, что этот крипто-вымогатель шифрует только первые 64 Кб файлов с использованием сильного алгоритма шифрования.

© Генеалогия: Bitmessage > WonderCrypter 

  Записка с требованием выкупа и инструкциями называется YOUGOTHACKED.TXT (перевод "Вы взломаны"). Для связи с вымогателями нужно использовать мессенджер BitMessenger. 

  Второй файл под названием SECRETISHIDINGHEREINSIDE.KEY (перевод "Секрет скрыт внутри") зашифрован с помощью AES-шифрования, и вероятно содержит ключ дешифровки. Обои на Рабочем столе заменяются на изображение с текстом выкупа. 

Содержание записки о выкупе: 
Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance.
If you want to get your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you.
If you are ready to pay, then get in touch with us using a secure and anonymous p2p messenger. We have to use a messenger,
because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.
Go to hxxp://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your personal address, you need to do this just once). Then click Send tab. 

TO: BM-2cWJRWHSUdPqW66nRRV4BGTEVe1NKWPiZ3
SUBJECT: name of your PC or your IP address or both.
MESSAGE: Hi, I am ready to pay.
Click Send button. You are done. 

To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer 
at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and 
follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки на русский язык: 
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. 
Если вы хотите вернуть файлы обратно, то должны заплатить за них. Если вы разорены и бедны, извините, мы не поможем.
Если вы готовы платить, то свяжитесь с нами через безопасный и анонимный p2p-мессенджер. Мы его используем, т.к. обычные email блокируются, а если мы не получим ответ, то ваши файлы будут утеряны.
Перейти к http://bitmessage.org, скачать и запустить Bitmessage. Нажать на Identities > New > кнопку ОК (будет генерирован ваш личный адрес, это делается только один раз). Затем клик на Send.

TO: BM-2cWJRWHSUdPqW66nRRVxxxxxxxxxxxxxxx
SUBJECT: имя вашего ПК или IP-адрес, или оба.
MESSAGE: Привет, я готов платить.
Нажмите кнопку Send.
Вы это сделали.

Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.

Примечательно, что содержание записки о выкупе один в один, как у Bitmessage Ransomware. Вероятно, что за этим стоит одна и та же группа вымогателей. 

Распространяется с помощью вредоносных вложений в email-спам (макросы с документах Word, фальшивые PDF-документы и пр.). 

Попав на компьютер, вредонос оседает в одной из следующих директорий как временный файл с числовым именем, например, 123.temp: 
%Temp% (наиболее вероятный путь)
%AppData%
%Roaming%
%Windows%

Шифруются все пользовательские файлы (документы, изображения, аудио, видео и пр.) на всех подключенных локальных и внешних дисках. 

Степень распространенности: низкая.
Подробные сведения собираются.