Dr. Fucker

Dr. Fucker Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 1,7 биткоина за 1 систему, 29 биткоинов за все ПК скомпрометированной сети, чтобы вернуть файлы. Оригинальное название: dr fucker. 

© Генеалогия: SamSam > Dr. Fucker

К зашифрованным файлам добавляется расширение .iloveworld.

Активность этого криптовымогателя пришлась на конец сентября 2016 г. 


Записки с требованием выкупа называются:
PLEASE_READ_FOR_DECRYPT_FILES_.html
PLEASE_READ_FOR_DECRYPT_FILES_<num>.html, где <num> - некий номер, данный вредоносом компьютеру жертвы, иными словами <victim_id>. 

Содержание записки о выкупе:
#What happened to your files?
All your files encrypted with RSA-2048 encryption, For more information search in Google “RSA Encryption.”
#How to recover files?
RSA is an asymmetric cryptographic algorithm; You need one key for encryption and one key for decryption.
So you need Private key to recover your files.
It’s not possible to recover your files without private key
#How to get private key?
You can get your private key in 3 easy step:
Step1: You must send us 1.7 BitCoin for each affected PC OR 29 BitCoins to receive ALL Private Keys for ALL affected PCs.
Step2: After you send us 1.7 BitCoin, Leave a comment on our Site with this detail: Just write Your “Host name” in your comment.
*Your Host name is: WIN-{Unique identification}
Step3: We will reply to your comment with a decryption software. You should run it on your affected PC, and all encrypted files will be recovered.
*Our Site Address: xxxx://5hvtr4qvmq76zyfq.onion/alpinism/
*Our BitCoin Address:1Ha4Y7QegJL2t577XK6inSUdCYAKKQC99sG
(If you send us 29 BitCoins For all PC’s, Leave a comment on our site with this detail: Just write “For All Affected PC’s” in your comment)
(Also if you want to pay for “all affected PC’s” You can pay 14 Bitcoins to receive half of keys(randomly) and after you verify it send 2nd half
How To Access To Our Site
For access to our site you must install Tor browser and enter our site URL in your tor browser.
You can download tor browser from https://www.torproject.org/download/download.html.en
For more information, please search in Google “How to access onion sites”
# Test Decryption #
Check our site, You can upload two encrypted files, and we will decrypt your files as demo.
#Where to buy Bitcoin
We advice you to buy Bitcoin with Cash Deposit or WesternUnion From xxxxs://localbitcoins.com/ or xxxxs://coincafe.com/buybitcoinwestern.php
Because they don’t need any verification and send your Bitcoin quickly.
#deadline
You just have 7 days to send us the BitCoin after 7 days we will remove your private keys and it’s impossible to recover your files

Перевод записки на русский язык:
# Что случилось с файлами?
Все ваши файлы зашифрованы с RSA-2048 шифрованием, Для дополнительной информации ищите в Google "RSA Encryption."
# Как восстановить файлы?
RSA является асимметричным криптографическим алгоритмом; Вам нужен один ключ для шифрования и один ключ для дешифровки.
Потому вам нужен секретный ключ для восстановления файлов.
Это невозможно восстановить файлы без секретного ключа.
# Как получить секретный ключ?
Вы можете получить свой секретный ключ в 3 простых шага:
Шаг 1: Вы должны прислать нам 1,7 BTC для каждого пострадавшего ПК или 29 BTC за все секретные ключи для всех затронутых ПК.
Шаг 2: После того, как вы отправите нам 1,7 Bitcoin, оставьте комментарий на нашем сайте c деталями: Просто напишите ваш "Host name" в ваш комментарий.
* Ваше имя хоста: WIN-{Уникальный-идентификатор}
Шаг 3: Мы ответим на ваш комментарий с программой для дешифрования. Вы должны запустить его на пострадавшем компьютере, и все зашифрованные файлы будут восстановлены.
* Наш сайт-адрес: xxxx://5hvtr4qvmq76zyfq.onion/alpinism/
* Наш Bitcoin-адрес: 1Ha4Y7QegJL2t577XK6inSUdCYAKKQC99sG
(Если вы пришлете нам 29 BTC для всех ПК, оставьте комментарий на нашем сайте с этой деталью: Просто напишите "For All Affected PC’s" в ваш комментарий)
(Кроме того, если вы хотите платить за "все пострадавшие ПК" вы можете заплатить 14 BTC и получить половину ключей (рэндомно), и после того, как вы проверите их, отправить 2-ю половину суммы
Как получить доступ к нашему сайту
Для получения доступа к нашему сайту вы должны установить Tor-браузер и ввести URL нашего сайта в вашем Tor-браузере.
Вы можете скачать Tor Browser из xxxxs://www.torproject.org/download/download.html.en
Для получения дополнительной информации, пожалуйста, ищите в Google "How to access onion sites"
# Тест дешифрование #
Проверив наш сайт, вы можете загрузить два зашифрованных файлов, и мы расшифруем ваши файлы для демонстрации.
# Как купить Bitcoin
Мы рекомендуем вам купить Bitcoin у Cash Deposit или WesternUnion из xxxxs://localbitcoins.com/ или xxxxs://coincafe.com/buybitcoinwestern.php
Потому что они не нуждаются в проверке и отправят Bitcoin быстро.
# Крайний срок
У вас только 7 дней, чтобы отправить нам Bitcoin, через 7 дней мы удалим ваши личные ключи, и восстановить файлы будет невозможно.

Сайт вымогателей в сети Tor: 5hvtr4qvmq76zyfq.onion/alpinism/

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Вероятно, аналогичен списку SamSam Ransomware. 

Файлы, связанные с Dr. Fucker Ransomware:
gotohelldr.exe
barbinor2.exe
PLEASE_READ_FOR_DECRYPT_FILES_.html
PLEASE_READ_FOR_DECRYPT_FILES_<victim_id>.html

Сетевые подключения и связи:
Tor-URL: xxxx//5hvtr4qvmq76zyfq.onion/alpinism/
BTC: 1Ha4Y7QegJL2t577XK6inSUdCYAKKQC99sG

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter
ID Ransomware (to ID SamSam)

 Thanks: 
 Karsten Hahn
 Demonslay335 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoLockerEU

CryptoLockerEU 2016 Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,3 биткоина, чтобы вернуть файлы. Название оригинальное, указано в записке о выкупе.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .send 0.3 BTC crypt

Активность этого криптовымогателя пришлась на начало октября 2016 г. 

Записки с требованием выкупа называются: РАСШИФРОВАТЬ ФАЙЛЫ.txt (тоже, что Decrypt files.txt). 

Довольно странный криптовымогатель. Название записки написано на русском, а содержание на английском и с немыслимыми ошибками. Я откорректировал перевод и выделил слова с ошибками вот такой полосой. 

Содержание записки о выкупе:
CryptoLockerEU 2016 rusia
Your important liles encryption produced on this computer: photos, videos, document, etc.
Encryption was produced using a RSA-2045bit !!
To Obtime the private key for this computer, which will automatically decrypt files, you have to send 0.3 BTC to bitcoin adres 14bPTE6DVpx8Vrzk1wt3M8XsJ5YU3ebzKo
You will receive your private key + software within 2 hours.
You have just 7 days before the private key (password) is deleted
xxxxs://www.coinbase.com/buy-bitcoin
xxxxs://cex.io/buy-bitcoins
- transfer 0.3 BTC  14bPTE6DVpx8Vrzk1wt3M8XsJ5YU3ebzKo
VIRUS ID: 92418LQEU
- on add email
- we send password + software decrypt (now)
- Messengers verification emal - Payments email (bitcoin)
Send : virus id+Bitcoin payment (verification)
decryptme.files@mail.ru
europol.eurofuck@yandex.com
super.decryptme2016@yandex.com
efwerez2015@yandex.com

Перевод записки на русский язык:
CryptoLockerEU 2016 rusia (Russia - Россия)
Ваши важные Liles (files - файлы) шифрование проведено на этом компьютере: фото, видео, документы и т.д.
Шифрование было произведено с помощью RSA-2045bit!! (RSA-2048)
Для Obtime (obtain - получения) закрытого ключа для этого компьютера, который автоматически дешифрует файлы, вы должны отправить 0,3 BTC на Bitcoin adres (address - адрес) 14bPTE6DVpx8Vrzk1wt3M8XsJ5YU3ebzKo
Вы получите ваш личный ключ + программу в течение 2-х часов.
У вас только 7 дней потом секретный ключ (пароль) удаляется
xxxxs://www.coinbase.com/buy-bitcoin
xxxxs://cex.io/buy-bitcoins
- трансфер 0,3 BTC 14bPTE6DVpx8Vrzk1wt3M8XsJ5YU3ebzKo
ВИРУС ID: 92418LQEU
- добавить email
- мы отправим пароль + программу дешифровки (сразу)
- мессенджеры проверят emal (email) - платежи по email (Bitcoin)
Отправить: вирус ID + оплата Bitcoin (проверка)
decryptme.files@mail.ru
europol.eurofuck@yandex.com
super.decryptme2016@yandex.com
efwerez2015@yandex.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
РАСШИФРОВАТЬ ФАЙЛЫ.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
decryptme.files@mail.ru
europol.eurofuck@yandex.com
super.decryptme2016@yandex.com
efwerez2015@yandex.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoLockerEU)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KillerLocker

KillerLocker Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное. 

К зашифрованным файлам добавляется расширение .rip. 
Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. Ориентирован на португалоязычных пользователей.

Запиской с требованием выкупа выступает блокировщик экрана с киллером в обличье клоуна. На уплату выкупа даётся 48 часов. 

Содержание записки о выкупе:
Todos os seus arquivos foram criptografados com uma criptografía AES 256 BIT Muito forte. Realize opagamento em: 000-00100 até 48 horas 

Перевод записки на русский язык:
Все ваши файлы зашифрованы с очень сильным AES 256-бит шифрованием. Выполните условия оплаты в: 000-00100 за 48 часов

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, архивы и пр.

Файлы, связанные с KillerLocker Ransomware:
KillerLocker.exe

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 29 марта 2017:
Пост в Твиттере >>
KillerLocker.exe
Расширение: .rip
Результаты анализов: VT
<< Скриншот окна экрана блокировки

Read to links: 
Video review
ID Ransomware (ID as KillerLocker)

 Thanks: 
 GrujaRS
 Michael Gillespie
 Karsten Hahn‏

© Amigo-A (Andrew Ivanov): All blog articles.

Krypte

Krypte Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 20 евро с карты PaySafeCard, чтобы вернуть файлы. Название дано самими разработчиками-вымогателями. К зашифрованным файлам добавляется расширение .fear. Активность этого криптовымогателя пришлась на сентябрь 2016 г. Ориентирован на немецкоязычных пользователей.

© Генеалогия: Razy Ransomware >  Krypte Ransomware

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста с экрана блокировки:
Hallo! Ich bin Krypte! Eine Ransomware! Ich habe deine Dokumente,Musik,Bilder und andere Wichtige dateien mit einer AES Verschlüsselung Verschlüsselt. Wenn du deine Daten wiederhaben willst, dann Befolge Bitte diese Anweisungen :) 
Kaufe eine 15-20 Euro Paysafe-Karte und gebe diesen Code in die Textbox Unten ein. Trage deine Email-Adresse in die Andere Textbox ein und drücke auf Weiter. 
Wenn der Paysafekarten-code richtig sein sollte, Bekommst du an deine Email einen Key + Entfern und Entschlüsselungsprogramm. An deiner stelle würde ich kein Antivierenprogramm laufen lassen und nicht versuchen, diesen Virus zu entfernen. Dieses Programm ist deine einzige möglichkeit, deine Daten zurückzubekommen. Dein Private-Key wird nach 72h von unserem Server gelöscht. Viel Erfolg :) 

Перевод на русский язык:
Привет! Я Krypte! Вымогатель! Я твои документы, музыку, фото и другие важные файлы с AES шифрованием зашифровал. Если ты свои данные хочешь вернуть, то прошу следовать инструкциям :)
Купи карту PaySafeCard на 15-20 евро и введи её код в текст-бокс ниже. Впиши свой email-адрес в другой текст-бокс и нажми кнопку "Weiter".
Если код PaySafeCard правильный, ты получишь на свой email-адрес ключ + удалитель и дешифратор.
На твоем месте я бы не стал запускать антивирусных программ и не пытался удалить этот вирус. Эта программа является твоим единственным шансом получить обратно свои данные.
Твой секретный ключ через 72 часа будет удален с нашего сервера. Успехов :)

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Выполняя шифрования Krypte создаёт копию оригинального файла, меняет его имя файлов на рэндомное (случайное), добавляет к нему расширение .fear и удаляет оригинальный файл. Затем генерирует графический файл с требованиями выкупа и отображает блокировщик экрана с текстом вымогателя. 

Список файловых расширений, подвергающихся шифрованию:
 .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .exe, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (159 расширений). 

Файлы, связанные с Krypte Ransomware:
WinOSHelp.exe - исполняемый файл вымогателя;
oldfilename.txt - текстовый файл со старыми именами файлов.

Записи реестра, связанные с Krypte Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
http://www.nyxbone.com/malware/Razy(German).html
http://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-30-2016-princess-locker-locky-switching-to-odin-decryptors-and-more/

 Thanks: 
 MalwareHunterTeam 
 GrujaRS of CyberSecurity GrujaRS
 Lawrence Abrams of BleepingCompute
 Mosh of Nyxbone
 

© Amigo-A (Andrew Ivanov): All blog articles.

Al-Namrood, Al-Namrood 2.0

Al-Namrood Ransomware 

Al-Namrood 2.0 Ransomware 

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей и серверов, а затем требует связаться по email с вымогателями и сообщить ID, чтобы узнать сумму выкупа за возвращение файлов. Вымогатели из Украины. Сумма выкупа: 1-10 BTC. 

Этимология имени. Название получил от имени вавилонского царя Нимрода (Al-Namrood) или от современных спекуляций на их именах. Древний город на территории Ирака, которому археологи дали имя царя Нимрода, был разрушен боевиками ИГИЛ в 2015 году с помощью тяжёлой техники.

© Генеалогия: Apocalypse  > Al-Namrood

К зашифрованным файлам добавляются расширения .unavailable или .disappeared. 
Активность этого криптовымогателя пришлась на сентябрь 2016 г. Обновление до версии 2.0 — примерно ноябрь-декабрь 2016. 

Записка о выкупе создаётся для каждого файла с его именем и окончанием на конце *.Read_Me.Txt

Содержание записки о выкупе:
Hello!
All your files was encrypted.
If you wanna recover your files contact me as soon as possible:
decryptioncompany@inbox.ru
Your ID: B5584071
You have few days for contact me, then all your files will be lost.
If you dont get answer more than 24 hours - try any public mail service for contact me(like gmail or yahoo).
Regards.  

Перевод записки на русский язык:
Привет!
Все ваши файлы зашифрованы.
Если вы хотите восстановить файлы, свяжитесь со мной как можно скорее:
decryptioncompany@inbox.ru
Ваш ID: B5584071
У вас несколько дней, чтобы связаться со мной, иначе все ваши файлы пропадут.
Если вы не получите ответа через 24 часа, пробуйте любую публичную mail-службу для контакта со мной (Gmail или Yahoo).
С уважением.

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, посредством атаки и взлома RDP-подключений. Стоящая за распространением Al-Namrood группа в первую очередь атакует серверы, имеющие поддержку RDP и уязвимости в защите. 

Список файловых расширений, подвергающихся шифрованию:
Все файловые расширения, за исключением тех, которые используются самим шифровальщиком. 

Файлы, связанные с Ransomware:
*.Read_Me.Txt
<random>.exe

Сетевые подключения и связи:
decryptioncompany@inbox.ru
fabianwosar@inbox.ru

Степень распространённости: средняя.
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление. Al-Namrood 2.0
Файлы имеют случайное расширение по шаблону 
.<id-number>.<email>.<9/10_lower_alphabetic_characters> 
Пример: ID-17AD78ECSA[cryptservice@inbox.ru].mqbgadqaq
Контакты вымогателей: 
Email: cryptservice@inbox.ru и cryptsvc@mail.ru
Jabber: cryptservice@jabber.ua
Геолокация: Украина

Обновление. Al-Namrood 2.0
Eamil: crypt64@mail.ru
Jabber: crypt32@jabber.ua
Файлы имеют случайное расширение по шаблону
<original_file_name.extension>.ID-<victim_ID>[crypt32@mail.ru].<random[a-e]>
например, <original_file_name.extension>.ID-DA15AE27GR[crypt32@mail.ru].ngayadgaoaa
Скриншот записки о выкупе:

Обновление от 2 ноября 2016. Al-Namrood 2.0: 
Расширение: .not_available
Тема на форуме >>

Обновление от 20 ноября 2016. Al-Namrood 2.0: 

Топик на форуме >>

Расширение: .NOT_AVAILABLE

Обновление от 24 ноября 2016. Al-Namrood 2.0: 

Топик на фоуме >>

Расширение: .ciphered

Email: kevinrobinson@inbox.ru

➤ Содержание записки о выкупе: 

Hello. Bad news!

All your files was encrypted with strong algorithm AES256 and unique key.

To recover all files you need to get special decryption software and personal key.

You can contact me via email: kevinrobinson@inbox.ru

You can contact me via email: kevinrobinson@inbox.ru

Your ID:  958A6CA2GB

Please use public mail service like gmail or yahoo to contact me, because your messages can be not delivered.

You have a 72 hours to contact me, otherwise recovering may be harder for you.

Regards,

Kevin Robinson.

Обновление от 27 ноября 2016. Al-Namrood 2.0: 
Топик на форуме >>
Расширение: .access_denied
Составное расширение: .ID-1A234567AU[decryptgroup@inbox.ru].access_denied
Email: decryptgroup@inbox.ru, decryptgroup@india.com
Jabber: decryptgroup@xmpp.jp
➤ Содержание записки о выкупе: 
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and personal key.
You can contact us:
Primary Email: decryptgroup@inbox.ru
Reserve Email: decryptgroup@india.com
Your Personal ID: 1A234567AU
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write to us in Jabber: decryptgroup@xmpp.jp
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.

Обновление от 28 декабря 2016:
Пост на форуме >>  
Пост на форуме >>
Расширение: .<random> - случайное (цифры и маленькие буквы)
Составное расширение: .ID-XXXXXXXXXX[cryptsvc@mail.ru].abcdefghijk
Записка: Infection.TXT
Jabber (It is not Email !!!): cryptsvc@securejabber.me
Email: cryptsvc@mail.ru
➤ Содержание записки о выкупе: 
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and your personal key.
You can contact us via Email:
cryptsvc@mail.ru
Your Personal ID: ***
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write us to Jabber (It is not Email !!!): cryptsvc@securejabber.me
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.

Обновление от 28 марта 2017:
Топик на форуме >>
Расширение: .<random> - случайное (цифры и маленькие буквы)
Пример составного расширения: .ID-DA15AE27GR[crypt32@mail.ru].ngayadgaoaa
Email: crypt32@mail.ru
Jabber: crypt32@jabber.ua
➤ Содержание записки о выкупе: 
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and your personal key.
You can contact us via Email:
crypt32@mail.ru
Your Personal ID: ADC2B179SA
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write us to Jabber (It is not Email !!!): crypt32@jabber.ua
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.

Последнее обновление: 
Пост на форуме >>
Вымогательский проект Al-Namrood был закрыт 09.05.2017
Для связи предлагались контакты:
Email: crypt64@mail.ru
Jabber: crypt32@jabber.ua

ВНИМАНИЕ! 
Для зашифрованных файлов есть декриптер. 
Скачать декриптер для v.1 и дешифровать >>

Для более новых вариантов может не подойти. 

Read to links: 
Decrypter by Emsisoft.com
ID Ransomware (ID as Al-Namrood)
*

 Thanks: 
 Fabian Wosar 
 Michael Gillespie 
 quietman7

© Amigo-A (Andrew Ivanov): All blog articles.

Erebus

Erebus Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует перейти на специальную страницу для получения инструкций по оплате выкупа и программы дешифровки. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ecrypt
Зашифрованные файлы принимают вид: {hash}.ecrypt

Активность этого криптовымогателя пришлась на сентябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
YOUR_FILES_HAS_BEEN_ENCRYPTED.txt
YOUR_FILES_HAS_BEEN_ENCRYPTED.html

Содержание записки о выкупе:
Warning!
Your documents, photos, databases, important files been encrypted!
What happened to your files?
  All of your files were protected by a strong encryption whit RSA-2048.
  More information about the encryption keys using RSA-2048 can be found here. xxxxs://en.wikipedia.org/wiki/RSA_(encryption)
What does this mean?
  This means that the structure and data within your files have been irrevocably changed. You will not be able to work with them, read them or see them.
  It is the same thing as losing them forever. But with our help, you can restore them.
How did this happen?
  Especially for you. On our server was generated the secret key pair RSA-2048 public and private.
  All your files were encrypted with the public key. Which has been transferred to your computer via the Internet.
  Decrypting of your files is only possible with the help of the private key and decrypt program. Which is on our secret server.
What do I do?
  If you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed. If you really value your data.
  Then we suggest you do not waste valuable time searching for other solutions because they do not exist.
Remember that your machine ID:
For more specific instructions please visit your personal home page. There are a few different addresses pointing to your page below:
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/
If the above address will be unable to open or very slow, follow these steps:
  1. Download and install the tor browser. 
  2. After successful installation, run the browser, waiting to initialize.
  3. In the address bar enter: 
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/

Перевод записки на русский язык:
Предупреждение!
Ваши документы, фото, базы данных, важные файлы были зашифрованы!
Что случилось с файлами?
  Все ваши файлы были защищены с помощью сильного шифрования RSA-2048.
  Более подробную информацию о ключах шифрования используя RSA-2048 можно найти здесь. xxxxs://en.wikipedia.org/wiki/RSA_(encryption)
Что это значит?
  Это значит, что структура и данные в файлах безвозвратно изменены. Вы не сможете работать с ними, читать их или видеть их.
  Это то же самое, как потерять их навсегда. Но с нашей помощью вы можете восстановить их.
Как это произошло?
  Специально для Вас. На нашем сервере был создан секретная ключ-пара RSA открытый и закрытый.
  Все ваши файлы были зашифрованы с помощью открытого ключа. Который был передан на компьютер через Интернет.
  Дешифрование файлов возможно только с помощью секретного ключа и программы дешифровки. Который находится на нашем секретном сервере.
Что мне делать?
  Если вам не принять необходимые меры, в течение определенного времени, то будут изменены условия для получения секретного ключа. Если вы действительно цените ваши данные.
  Тогда мы предлагаем вам не тратить драгоценное время на поиск других решений, потому что они не существуют.
Запомните ID вашей машины:
Для подробных инструкций, пожалуйста, посетите вашу личную домашнюю страницу. Ниже есть несколько различных адресов, указывающих на вашу страницу:
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/
Если вышеуказанный адрес будет невозможно открыть или очень медленно, выполните следующие действия:
  1. Загрузите и установите Tor-браузер.
  2. После успешной установки, запустите браузер, ждите инициализации.
  3. В адресной строке введите:
  xxxx://wsb5cxo671abtrsg.j57xi.top/
  xxxx://nicc3j2o5rtsllvw.j57xi.top/

Распространяется или может распространяться через вредоносную рекламу, с помощью email-спама и вредоносных вложений, набора эксплойтов RIG, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arw, .ascx, .asf, .asm, .asp, .aspx, .asx, .atb, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .info, .info_, .ini, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .json, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lck, .ldf, .lit, .lock, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4v, .mab, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .omg, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm, .pm!, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsm, .ppsx, .ppt, .pptm, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .sh, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tbb, .tbn, .tex, .tga, .thm, .tif, .tlg, .tlx, .txt, .usr, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .war, .wav, .wb2, .wma, .wmf, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (423 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы, файлы образов, файлы бэкапов, общие папки и пр.

Нужно заметить особо, что шифрование затрагивает следующие папки:
%Program Files%\steam
%Application Data%\roaming\microsoft\office
%Application Data%\roaming\microsoft\outlook

Из шифрования исключаются папки, имеющие следующую строку: 
C:\$recycle.bin
C:\$windows.~bt
C:\boot
C:\drivers
%Program Files%
%Program Data%
%User Profile%
%Windows%
C:\windows.old
%AppDataLocal%
%AppDataLocalLow%
%Application Data%\adobe\flash player
%Application Data%\ati
%Application Data%\google
%Application Data%\identities
%Application Data%\installshield
%Application Data%\intel
%Application Data%\macromedia\flash player
%Application Data%\media center programs
%Application Data%\microsoft
%Application Data%\mozilla
%Application Data%\nvidia
%Application Data%\opera
\public\music\sample music
\public\pictures\sample pictures
\public\videos\sample videos
\tor browser

Из шифрования также исключаются следующие файлы:
bootsect.bak
desktop.ini
iconcache.db
ntuser.dat
thumbs.db
wallet.dat

После шифрования удаляются теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet

Файлы, связанные с этим Ransomware:
<random>.exe
%User Startup%\DECRYPT.txt - файл сведений для дешифрования;
%User Startup%\YOUR_FILES_HAS_BEEN_ENCRYPTED.html - записка о выкупе;
%User Startup%\YOUR_FILES_HAS_BEEN_ENCRYPTED.txt - записка о выкупе;
%Application Data%\{random_alphanumeric_chars 1}.conf- список всех директорий для шифрования;
%Application Data%\{random_alphanumeric_chars 2}.conf - содержит открытый ключ;
%Application Data%\{random_alphanumeric_chars}.res - список файлов для шифрования.

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
GoogleChromeAutoLaunch_{random_alphanumeric_chars} = "{malware path}"
См. ниже результаты анализов.

Сетевые подключения и связи:
***o.com/data/files/184228721522.php
***ung.kr/upload/file/54874544154.php
***on.kr/gmEditor/uploaded/img/125687499.php
***wsb5cxo671abtrsg.j57xi.top
***nicc3j2o5rtsllvw.j57xi.top

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up + Write-up
 ID Ransomware (ID as Erebus)
*

 Thanks: 
 Jeanne Jocson (TrendMicro)
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.