Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 13 ноября 2016 г.

WickedLocker HT

WickedLocker HT Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Ранее был известен под этим же названием как обычный блокировщик-вымогатель. Теперь использует крипто-конструктор HiddenTear для блокировки и шифрования файлов. 

© Генеалогия: HiddenTear >> WickedLocker HT

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются READ_IT_0.txt, READ_IT_1.txt ... READ_IT_24.txt и разбрасываются по рабочему столу. 
Другими информаторами выступают скринлок, встающий обоями рабочего стола красного цвета с тем же вымогательским текстом и два окна блокировщика экрана. Текст и требования аналогичные. 

Содержание записки о выкупе:
Your personal files are locked. 
To unlock your files and work as normal you have to send 1 bitcoin to our wallet.
Send 1 BTC to address 14wV6***** and send the transaction id to wickedhosting@gmx.com

Перевод записки на русский язык:
Твои личные файлы блокированы.
Для разблокировки файлов и нормальной работы ты должен прислать 1 Bitcoin на наш кошелёк.
Пришли 1 BTC на адрес 14wV6 ***** и отправь ID транзакции на wickedhosting@gmx.com

Распространяется с помощью email-спама и вредоносных вложений (в том числе под видом PDF -документов), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
Как минимум стандартный набор расширений от HiddenTear. 

Файлы, связанные с WickedLocker HT Ransomware:
READ_IT_0.txt, READ_IT_1.txt ... READ_IT_24.txt
hidden-tear.exe
doc.exe

Записи реестра, связанные с WickedLocker HT Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
www.download.windowsupdate.com (104.86.110.240)
85.204.74.240/~wickedho/keys.php?info=
85.204.74.240:443 (Белиз)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 *
 *
 Thanks: 
 Jack (malwareforme)
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 11 ноября 2016 г.

PClock3, SuppTeam

PClock3 Ransomware 

PClock SuppTeam Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью RSA-2048, а затем требует выкуп в 0,55 или 0,65 биткоинов, чтобы вернуть файлы. На уплату выкупа даётся 5 суток (120 часов) под таймер. Вымогатели называют его CryptoLocker, запугивая пострадавших громким названием, а может быть даже позаимствовали у него часть кода. 

© Генеалогия: WinMav (2015 г.) > PClock, PClock2PClock3 (SuppTeam)

К зашифрованным файлам никакое расширение не добавляется. Имена файлов и их расширения также не изменяются. 

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текстовые записки с требованием выкупа разбрасываются на рабочем столе и называются: 
Your files are locked !.txt
Your files are locked !!.txt
Your files are locked !!!.txt
Your files are locked !!!!.txt
Your files are locked !!!!!.txt

Содержание записки о выкупе:
Support e-mail: suppteam03@india.cov suppteam03@yandex.ru
Your personal files encryption produced on this computer: photos, videos, documents, etc.
Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server on the Internet; the server will destroy the key after 120 hours.
After that nobody and never will be able to restore files.
To obtain the private key for this computer, you need pay 0.55 Bitcoin (-393 USD)
---
Your Bitcoin address:
1JXVZ*****
You must send 0.55 Bitcoin to the specified address and report it to e-mail customer support.
In the letter must specify your Bitcoin address to which the payment was made.
---
The most convenient tool for buying Bitcoins in our opinion is the site:
xxxxs://localbitcoins.com/
There you can buy Bitcoins in your country in any way you like, including electronic payment systems, credit and debit cards, money orders, and others. Instruction for purchasing Bitcoins on account localbitcoins.com read here:
xxxxs://localbitcoins.com/quides/how-to-buy-bitcoins
Video tutorial detailing on buying Bitcoins using the site localbitcoins.com here:
xxxx://www.youtube.com/watch?v=hroPcR-0zSI
How to withdraw Bitcoins from account localbitcoins.com to our bitcoin wallet:
xxxxs://localbitcoins.com/faq#howto_buy
...

Перевод записки на русский язык ("грамота" оригинала сохранена):
Поддержка email: suppteam03@india.cov suppteam03@yandex.ru
Ваши личные файлы, подвергнутые шифрованию на этом компьютере: фото, видео, документы и т.д.
Шифрование было произведено с уникальным открытым ключом RSA-2048, созданным для этого компьютера.
Для расшифровки файлов вам нужно получить закрытый ключ.
Единственный экземпляр секретного ключа, который позволит расшифровать файлы, расположен на секретном сервере в сети Интернет; сервер уничтожит ключ после 120 часов.
После этого никто и никогда не сможет восстановить файлы.
Для получения секретного ключа для этого компьютера, вам нужно заплатить 0,55 Bitcoin (-393 USD)
---
Ваш Bitcoin-адрес:
1JXVZ *****
Вы должны послать 0,55 Bitcoin по указанному адресу и сообщить это на email поддержки клиентов.
В письме нужно указать свой Bitcoin-адрес, с которого был сделан платеж.
...сокращено...

В роли информатора выступают также блокировщик экрана с тремя окнами и скринлок, встающий обоями рабочего стола. Тексты немного отличаются: на экранах больше, чем в текстовой записке, на обоях меньше. 


Если вам нужны оригинал-скриншоты без водяных знаков и в высоком разрешении, напишите автору блога. 
If you need the original screenshots without watermarks and in high resolution, please contact to author of blog.
Si necesita las imágenes originales, sin marcas de agua en alta resolución, por favor en contacto con el autor del blog. 
                 如果你需要原来的屏幕快照,无需在高分辨率水印,请联系该博客的作者。

Распространяется с помощью email-спама и вредоносных вложений, например, тема письма может называться "PLEASE READ YOUR FAX T6931" (Пожалуйста, прочтите ваш факс...), а во вложении может быть архивированный файл с кричащим названием "Criminal case against you..." (Уголовное дело против вас...), которое буквально вынуждает пользователей немедленно открыть файл. 
В архиве находится WSF-файл. Когда пользователь открывает архив и запускает файл WSF, то JScript-функция начинает серию операций, скачивает и устанавливает троян-загрузчик Crimace, который подключается к интернет-серверу, загружает и запускает другие вредоносные программы, а в данном случае — PClock.

Также PClock может распространяться с помощью эксплойтов, фальшивых обновлений известный легитимных программ, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
2630 типов файлов, это документы MS Office, OpenOffice, PDF, базы данных, фотографии, музыка, видео, образы дисков, файлы бэкапов, общие сетевые папки и пр.

Файлы и папки, связанные с этим Ransomware:
%Desktop%\Your files are locked !.txt
%Desktop%\Your files are locked !!.txt
%Desktop%\Your files are locked !!!.txt
%Desktop%\Your files are locked !!!!.txt
%Desktop%\Your files are locked !!!!.txt
%AppData%\Microsoft\\Crypto\RSA\ - новый файл в папке
%ProgramData%\Microsoft\Crypto\RSA\ - новый файл в папке
%APPDATA%\Microsoft\Crypto\sysras.exe
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nst1.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Secretariate.S
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\carpetbag.dll
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsd2.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsd2.tmp\System.dll
C:\Users\%USERNAME%\AppData\Local\Temp\nsl7902.tmp\System.dll

Названия файлов: 
CRYPLOCKER.exe  - исполняемый файл
sysras.exe  - исполняемый файл
tmpa4f5.exe 
en_files.txt - список зашифрованных файлов
wp.jp - файл обоев

Записи реестра, связанные с этим Ransomware:
См. ниже гибридный анализ

Сетевые подключения и связи:
suppteam03@india.com suppteam03@yandex.ru
xxxx://nsis.sf.net/NSIS_Error
xxxx://blockchain.info/q/getreceivedbyaddress/
xxxxs://blockchain.info/q/24hrprice
northroadchapel.org
www.bitcoincapital.io
www.dunlark.com
www.liesandprivateeyes.com
www.supermercadoramirez.es
xxxxs://localbitcoins.com/guides/how-to-buy-
xxxxs://www.bitstamp.net/
xxxx://www.youtube.com/watch?v=hroPcR-0zSI
и другие

Результаты анализов:
Гибридный анализ на sysras.exe >>
VirusTotal анализ на sysras.exe >>
VirusTotal анализ на carpetbag.dll >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Video review
 ID Ransomware (ID as PClock Updated)
Write-up on BC (add.  November 18, 2016)
Write-up on Technet MS (add.  November 18, 2016)
*
 Thanks: 
 TG Soft (VirITeXplorer)
 CyberSecurity GrujaRS
 Lawrence Abrams
 Michael Gillespie
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 9 ноября 2016 г.

PaySafeGen

PaySafeGen (German) Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует шифрует файлы с помощью AES-256, а затем требует оплаты в PaySafeCard, чтобы вернуть файлы. На уплату выкупа даётся 72 часа. 

Название получил от совмещения слов: Paysafecard и Generator. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .cry_ 
Но ставится оно перед оригинальным расширением. Т.е. файл с оригинальным названием Document.docx станет файлом Document.cry_docx

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана. 

Содержание записки о выкупе:
WARNUNG!
ALLE wichtigen Dateien und/oder Programme auf ihrem Computer
wurden mit AES-256 verschlüsselt. Das bedeutet Sie können ihre Dateien und Programme erst wieder verwenden wenn Sie sich einen 128-Stelligen Entschlüsslungscode für 100€ kaufen. Nachdem sich dieses Fenster geschlossen hat, finden Sie auf ihrem Desktop eine Datei mit dem Namen „Kaufen" oder „Kaufen.exe".
Geben Sie dort einen gültigen 100€-Paysafecardcode und ihre Email ein. Paysafecardcodes finden Sie in fast jeder Tankstelle und/oder Supermärkten. Nach der Verifizierung des Codes durch uns bekommen Sie per Email den Entschlüsslungscode zusammen mit weiteren Instruktionen, um ihre Dateien zu entschlüsseln.
FALLS INNERHALB DER NÄCHSTEN 72 STUNDEN KEINE ZAHLUNG ERFOLGT WERDEN ALLE DATEN GELÖSCHT.
Drücken Sie jetzt ENTER um auf Ihren Desktop zurückzukehren.

Перевод записки на русский язык:
ВНИМАНИЕ!
Все важные файлы и / или программы на вашем компьютере зашифрованы с AES-256. Это означает, что вы можете пользоваться файлами и программами снова, только если купите 128-значный код дешифрования за €100. После закрытия этого окна вы найдёте на рабочем столе файл с именем "Kaufen" или "Kaufen.exe".
Вам понядобится карта PaySafeCard на €100 и действительный email. PaySafeCard имеются почти в каждой заправочной станции и / или в супермаркетах. После проверки кода, через нас вы получите на email вместе кодом дешифрования дальнейшие инструкции для расшифровки ваших файлов.
ПО ИСТЕЧЕНИИ 72 ЧАСОВ НЕПОСТУПЛЕНИЯ ПЛАТЕЖА ВСЕ ДАННЫЕ БУДУТ УДАЛЕНЫ.
Теперь нажмите кнопку ENTER, чтобы вернуться на Рабочий стол.


Текст с файла Kaufen:
Falls der Server fuer laengere Zeit nicht erreichbar sein sollte, koennen Sie eine Email an cry_16@hmamail.com senden in der der PSC-Code zusammen mit der HWID steht.
"Senden".
"Sie haben ihren Code bereits per Email erhalten? Klicken Sie hier um ihre Daten zu entschluesseln"

Перевод на русский:
Если сервер долгое время не доступен, вы можете отправить на email cry_16@hmamail.com код PSC вместе с HWID.
Кнопка "Отправить".
Кнопка "Получили свой код по email? Нажмите, чтобы расшифровать ваши данные"

Код PSC можно получить с помощью Paysafecard Generator 2016.


Еще не распространялся автором, толи не тестировался, толи недоработан. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
doc, docx, jpg, mp3, pdf, png, txt, xls, xlsx

Файлы, связанные с PaySafeGen Ransomware:
Kaufen.exe
Cry.exe
C:\Documents and Settings\<USER>\Start Menu\Programs\Startup\tmpdel.exe
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\aut1.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\aut2.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\aut3.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Cry.exe
C:\Documents and Settings\<USER>\Local Settings\Temp\Cry.exe
C:\Documents and Settings\<USER>\Application Data\Cry\sh.dat 
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\crr.cry
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\qjzigsn
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Cab4.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Tar5.tmp
И другие. 

Записи реестра, связанные с PaySafeGen Ransomware:
***

Сетевые подключения:
s2o757cbk5xw4pad.onion.link (103.198.0.2)
www.download.windowsupdate.com (88.221.14.16)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PaySafeGen)
 *
 *
 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

iRansom

iRansom Ransomware 

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,15 биткоинов, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Locked

Образцы этого криптовымогателя были найдены в ноябре 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его как угодно.

Запиской с требованием выкупа выступает блокировщик экрана, текстового файла нет.

Содержание записки о выкупе:
Your files have been locked by iRansom!
1 total files have been encrypted using the strongest encryption. And a unique key, generated for this computer.
The private key to unlock your files is stored on a hidden Internet database, and nothing can decrypt your files until you pay and obtain the private key.
Your private key will be destroyed in: 47:59:57
To unlock your precious files, you must pay a [0.15] bitcoin fee (90$) to the address below!
Wallet ID: 18Md4ne***
Dont know how to get bitcoin or set up a wallet?
https://support.coinbase.com/
Sent the Transaction? Email us with your BTC wallet ID: GALAXYHIREN@SIGAINT.ORG

Перевод записки на русский язык:
Ваши файлы были заблокированы iRansom!
1 всего файл был зашифрован с помощью стойкого шифрования. И уникальный ключ генерирован для этого компьютера.
Секретный ключ для разблокировки файлов хранится на тайной базе данных в Интернете и ничто не может расшифровать файлы, пока вы не заплатите и получите секретный ключ.
Ваш секретный ключ будет уничтожен через: 47:59:57
Чтобы разблокировать ваши драгоценные файлы, вы должны заплатить [0,15] Bitcoin (90 $) по указанному ниже адресу!
Кошелек ID: 18Md4ne ***
Не знаю, как получить Bitcoin или создать кошелек?
https://support.coinbase.com/
Провели транзакцию? Пишите нам ваш BTC кошелек ID на: GALAXYHIREN@SIGAINT.ORG

В тестовой системе был зашифрован всего один файл. В реальном случае файлов, конечно же, будет намного больше. 

Распространяется разработчиком с целью рекламы своего продукта, который он может сделать персонализированным, выполнив, так сказать, версию на заказ. 

Специалисты говорят о низком качестве кода этого криптовымогателя. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Список файловых расширений, подвергающихся шифрованию:
Шифруются все файлы всех пользователей ПК, находящиеся на рабочих столах этих пользователей. 

Файлы, связанные с iRansom Ransomware:
iRansom.exe
iRansom_2_.exe

Записи реестра, связанные с iRansom Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
нет

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as iRansom)
 *
 *
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Heimdall PHP

Heimdall PHP Ransomware

(шифровальщик-вымогатель, OSR, Eduware)


Этот крипто-вымогатель шифрует данные сервера с помощью AES-128 (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. Разработчик: Lenon Leite (Бразилия). 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: OSR Heimdall.

К зашифрованным файлам добавляется расширение .sample

Образец этого OSR был выложен разработчиком на GitHub в начале ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Разработчик Heimdall хотел продемонстрировать техническую осуществимость и возможности PHP Ransomware в отношении шифрования и безопасности, по сравнению с другими языками программирования, такими как Python или Ruby.

Записка с требованием выкупа не была показана. 
В видеоролике демонстрируется следующий экран.



Технические детали

Основные файлы удалены разработчиком из GitHub. Если проект будет кем-то модифицирован и продолжен, то может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Опасность ещё и в том, что Heimdall способен шифровать серверы прямо из коробки, с минимальными изменениями в основном коде. 

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Целью шифрования является папка $_SERVER['DOCUMENT_ROOT'] (каталог, где выполняется скрипт) и все найденные внутри неё папки с файлами.

Это наверняка могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Как только шифрование закончится, все файлы сервера, независимо от расширения, будут зашифрованы, а в их содержимое будет добавлен маркер «Heimdall ---», как показано на скриншоте ниже.

Файлы, связанные с этим Ransomware:
heimdall.php и другие

Расположения:
папка $_SERVER['DOCUMENT_ROOT']

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Heimdall)
 Write-up, Topic of Support
 * 
 - видеоролик от разработчика
 Thanks: 
 Catalin Cimpanu, BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Telecrypt

Telecrypt Ransomware 

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 5000 рублей, чтобы вернуть файлы. Название составлено из двух слов: Telegram + crypt. Написан на Delphi и имеет размер более 3Мб.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Xcri. Есть другая версия этого вымогателя, в которой никакое расширение к файлам не добавляется. 

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана, имеющий собственное название: «Информатор». Ниже я представил в одном анимированном изображении три его окна, которые видит пострадавшая сторона. Вымогатели предлагают жертве для оплаты выкупа воспользоваться онлайн-сервисами Qiwi и Яндекс.Деньги.


Содержание трёх окон (оригинальная "грамота" сохранена):
Ярлык добавлен на рабочий стол!
Здравствуйте! Мы взломали Ваш компьютер! 
Все Ваши файлы форматов: doc, xls, jpg, jpeg, png, pdf, базы 1c, теперь зашифрованы. 
Вы можете проверить это прямо сечай!!!
Что же Вам делать?
1) Вы можете удалить ярлык этой программы, но это не поможет.
2) Вы можете вызвать мастера, но это не поможет(файлы не могут быть рашифрованы без специального ключа).
3) Вы можете переустановить Windows, но это не поможет (все ваши файлы будут удалены).
4) Вы можете нажать далее...

Приносим свои извинения за доставленые неудобства.
Для того что бы расшифровать ваши файлы Вам потребуется ключ.
Цена за ключ состовляет 5000 рублей.
Способы оплаты:
1) Qhvi-кошелек ***
2) Яндекс-кошелек ***
После оплаты нажмите кнопку далее.

После оплаты в окно ниже Вам нужно отправить ваш ID - *** и адресс электронной почты. В течение трех суток на указанный почтовый
адрес Вам придет ключ с инструкцией, если этого не произошло пожалуйста свяжитесь с нашей службой поддержки клиентов указав Ваш ID и причину обращения.
Спасибо что помогаете фонду юных программистов.

Наличие в тексте этих окон грамматических ошибок и фраза "Спасибо что помогаете фонду юных программистов" действительно выдают "юных программистов". 

Распространяться может с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.  См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Telecrypt является ботом Telegram, вероятно вымогатели получили уникальный токен мессенджера, идентифицирующий бота, и поместили его в тело зловреда. Этот прием позволяет вредоносу использовать публичный API (интерфейс программирования приложений) Telegram и поддерживать таким образом связь с злоумышленниками. Шифровальщик извещает киберпреступников о факте заражения компьютера посредством отправки сообщения в чат с заданным номером. Связь жертвы со злоумышленниками осуществляется через поле ввода в интерфейсе «Информатора». Реализована эта функциональность также через отправку Telegram-сообщения с помощью метода sendMessage. Подробнее в блоге Securelist. 

Список файловых расширений, подвергающихся шифрованию:
 .cd, .dbf, .doc, .docx, .dt, .jpeg, .jpg, .pdf, .png, .xls, .xlsx (11 расширений).

Файлы, связанные с Telecrypt Ransomware:
Xhelp.exe - модуль «Информатор»
%UserProfile%\Desktop\База зашифр файлов.txt
%Temp%\keypass.Xcri
%Temp%\Xhelp.exe
%Temp%\svchost.exe
C:\Documents and Settings\USER\Desktop\Xhelp.exe

Записи реестра, связанные с Telecrypt Ransomware:
См. ниже гибридный анализ

Сетевые подключения:
хттп://tmstroy1.ru/wp-includes/random_compat/Xhelp.exe (Прямая ссылка на "Информатор")
хттп://api.telegram.org/bot/sendm
hosts: 149.154.167.200:443 (Великобритания)
хттп://www.indyproject.org

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ на Xhelp1.exe >>
Symantec: Ransom.Telecrypt >>

Степень распространённости: низкая.
Подробные сведения собираются.


Внимание!
Для зашифрованных файлов есть декриптор! 
Скачать Telecrypt Decryptor >>> 

В архиве два файла: сам декриптер и файл с инструкциями.

 Read to links: 
 Securelist.ru + Securelist.com
 ID Ransomware (ID as Telecrypt)
 Write-up on BC + Telecrypt Cracked
 Bots: An introduction for developers
 Thanks: 
 Securelist blog
 Michael Gillespie
 Catalin Cimpanu
 Malwarebytes for Decrypter
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *