OzozaLocker

OzozaLocker Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название оригинальное (см. скриншот). Есть и второе: CryptoSolution. Разработчик: некий vadim. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .locked

Образец этого криптовымогателя был найден в ноябре 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В коде замечены русские слова. 

Записки с требованием выкупа называются:
HOW TO DECRYPT YOU FILES.txt

Содержание записки о выкупе:
Files has been encrypted.
If you want to decrypt, please, send 1 bitcoin to address 
1J6X2LzDrLyR9EoEDVJzogwW5esq5DyHRB and write me to e-mail: 
Santa_helper@protonmail.com
You key: QkhBdHhZN***

Перевод записки на русский язык:
Файлы были зашифрованы.
Если хочешь дешифровать, то пошли 1 Bitcoin на адрес: 
1J6X2LzDrLyR9EoEDVJzogwW5esq5DyHRB и напиши мне на email: 
Santa_helper@protonmail.com
Твой ключ: QkhBdHhZN***

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
Шифруются все файлы (документы, базы данных, PDF, фото, музыка, видео, общие сетевые папки и пр.), кроме имеющих расширения .exe и .dll.

Кроме того шифруется даже записка о выкупе, исходную копию которой пришлось восстаналивать из ресурсов. 

Файлы, связанные с этим Ransomware:
CryptoSolution.exe
HOW TO DECRYPT YOU FILES.txt
autoclick.log
message.vbs
autoclick.log
autoexec.bat
config.sys
fastforward.log
script.log

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
91.107.107.186 (Россия, Москва, Люберцы)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Ransom.OzozaLocker >>

Степень распространённости: низкая.
Подробные сведения собираются.

Внимание!

Для зашифрованных файлов есть декриптер

Скачать Emsisoft Decrypter для OzozaLocker >>

Инструкция: Для использования декриптера вам потребуется зашифрованный файл, размером не менее 510 байт, а также его незашифрованная версия. Для запуска декриптера выберите зашифрованный и незашифрованный файлы и перетащите их на исполняемый файл декриптера. 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as OzozaLocker)
 Emsisoft Decrypter
 *

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Fabian Wosar 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles. 

Crypute, m0on

Crypute Ransomware 

m0on Ransomware 

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Название m0on оригинальное. Название Crypute взято из анализов на VT. 

© Генеалогия: my-Little-Ransomware >> Cute Ransomware > Crypute Ransomware 

К зашифрованным файлам добавляется расширение .m0on
Оригинальное название файла забивается нечитаемыми символами. Вполне возможно, что это китайские иероглифы чередуются с m, 0, o, n.

Образец этого криптовымогателя был найден в ноябре 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
***
Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Вполне может начать распространяться по стандартной схеме: с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:

 .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asp, .aspx, .asx, .avi, .bat, .bay, .bmp, .cc, .cdr, .cer, .class, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .dat, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .exe, .fla, .flv, .htm, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .jsp, .kdc, .lnk, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nes, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .qq, .r3d, .ra, .raf, .rar, .raw, .rb, .rcb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (174 расширения без повторов). 

Документы, базы данных, PDF, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
m0on.exe - исполняемый файл
C:\DOCUME~1\User\LOCALS~1\Temp\m0on.exe.config
C:\DOCUME~1\User\LOCALS~1\Temp\m0on.exe
C:\DOCUME~1\User\LOCALS~1\Temp\m0on.INI

Записи реестра, связанные с этим Ransomware:
См. ниже malwr-анализ.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >> 

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 *
 *

  Thanks: 
  Jakub Kroustek
  *
  *
  *
 

© Amigo-A (Andrew Ivanov): All blog articles.

NMoreira, Fake Maktub

NMoreira Ransomware 

Fake Maktub Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 0,5 - 1,5 биткоинов, чтобы вернуть файлы. Название оригинальное. Создан: TeamXRat. Но работает под видом другого криптовымогателя Maktub Locker, т.к. записка о выкупе написана от maktub и к зашифрованным файлам добавляется одноименное ему расширение, хотя у прежнего Maktub Locker добавляемое расширение не было статическим. Англоязычная версия известна под названием AiraCrop Ransomware. 

© Генеалогия: Team XRat > NMoreira > NMoreira 2.0 > R > NM4

К зашифрованным файлам добавляется расширение .maktub

Активность этого крипто-вымогателя пришлась на октябрь-ноябрь 2016 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
Recupere seus arquivos. Leia-me! (Восстановить свои файлы. Читай меня!)

Содержание записки о выкупе:
Olá, seus arquivos foram criptografados.
A única forma de tê los de volta, é atraves de um software juntamente com sua chave privada.
Caso haja interesse em recuperar seus arquivos, entre em contato pelo seguinte email:
contatomaktub@email.tg
No campo do email, me envie sua chave pública que está logo a baixo.
Te responderei o mais rápido possível.
Att
.maktub
*****

Перевод записки на русский язык:
Привет, твои файлы зашифрованы.
Один способ вернуть их - получить программу вместе с закрытым ключом.
Если ты заинтересован в восстановлении файлов, то напиши на этот email:
contatomaktub@email.tg
В письме пришли мне свой открытый ключ, который есть ниже.
***
Я отвечу как можно скорее.
Att
.maktub

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Email вымогателей: contatomaktub@email.tg

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Recupere seus arquivos. Leia-me!

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Team XRat Ransomware - август 2016 
NMoreira Ransomware - ноябрь 2016
NMoreia 2.0 Ransomware - январь 2017
R Ransomware - март 2017
NM4 Ransomware - апрель 2017

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! 
Для зашифрованных файлов есть декриптер.
Скачать Emsisoft Decrypter для NMoreira >>
Инструкция прилагается. 

 Read to links: 
 Tweet-1 + Tweet-2 on Twitter 
 ID Ransomware (ID as NMoreira)
 Write-up (added April 24, 2017)
 *

  Thanks: 
  Michael Gillespie
  Fabian Wosar
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

VindowsLocker

VindowsLocker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует заплатить $349.99, чтобы вернуть файлы. Название оригинальное, указано в заголовке блокировщика экрана. Вымогатели, судя по картинке и тексту, из Индии, выдают себя за техподдержку Microsoft. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .vindows

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Имитирует, хоть и грубо, некую техническую поддержку, принужная пострадавших заплатить за услугу разблокировки.  

Запиской с требованием выкупа выступает блокировщик экрана "VindowsLocker". 

Содержание текста о выкупе:
this not microsoft vindows support
we have locked your files with the zeus wirus 
do one thing and call level 5 microsoft support technician at 1-844-609-3192
you will files back for a one time charge of $349.99

Перевод текста на русский язык:
Это не Microsoft Windows поддержка
Мы блокировали твои файлы с Zeus-вирусом
Убедись и звони на 5 уровень microsoft support technician 1-844-609-3192
Ты можешь вернуть файлы потратив $349.99

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.

.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений).

Файлы, связанные с этим Ransomware:
Vindows.exe
<random_name>.tmp

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Дополнение от Malwarebytes (от 28 ноября 2016)
VindowsLocker не имеет C&C-сервер для хранения ключей шифрования своих жертв. Он поставляется с двумя ключами API Pastebin (api_dev_key и api_user_key), которые использует, чтобы сохранить имя зараженного ПК и случайного ключа AES, используемого для блокировки файлов жертвы внутри страницы Pastebin. Но из-за допущенной ошибки вымогателям не удаётся получить ключи AES-шифрования и помочь жертвам разблокировать файлы после уплаты выкупа.
Когда жертва звонит по номеру "технической поддержки" операторы центра подключаются в удалённом сеансе. Они открывают официальную страницу поддержки Microsoft, а затем быстро вставляют сокращенный URL-адрес в адресную строку, который открывает форму (размещенную на JotForm).

Операторы вымогателей используют эту форму для сбора личных данных пользователя. Если пользователь не замечает это быстрое действие, то может поверить в то, что он всё ещё находится на сайте Microsoft и раскрыть свои личные данные. 

Степень распространённости: низкая.
Подробные сведения собираются.

Внимание!

Для зашифрованных файлов есть декриптеры:

1) От Malwarebytes - скачать декриптер >>
Подробная инструкция на странице блога. 
2) От @TheWack0lian - скачать и запустить декриптер >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VindowsLocker)
* 
 *

Malwarebytes blog
Write-up on BC

 Thanks: 
 JakubKroustek 
 Michael Gillespie
 Catalin Cimpanu
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Donald Trump 2

Donald Trump 2 Ransomware 

Donald J. Trump Ransomware

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в биткоинах, чтобы вернуть файлы. Название оригинальное, указано в тексте блокировщика экрана. Никаких других контактов не указано. Нумерация "2" добавлена потому, что уже был вымогатель под названием Donald Trump Ransomware. Связей не выявлено. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .TRUMP

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текстовой записки с требованием выкупа нет. Информатором выступает блокировщик экрана с заголовком "You Have Been F*cked Mate". 

Содержание записки о выкупе:
Hello User all your files have been encrypted by Donald J. Trump 
Pay in Bitcoin to the adress in the textbox to Decrypt your PC, you can Buy Bitcoins on https://localbitcoins.com 
Now You have 72 Hours left to pay or your Decrypt Key will be Deleted and you Cant get your files Back.

Перевод записки на русский язык:
Привет Пользователь все твои файлы зашифрованы Donald J. Trump 
Плати биткоины по адресу в поле "Decrypt your PC", ты можешь купить биткоины на https://localbitcoins.com 
У тебя есть 72 часа на оплату или твой Decrypt Key будет удален, а ты не сможешь вернуть свои файлы.

Другие скриншоты подтверждают информацию о том, что даже сами вымогатели не смогут расшифровать файлы, т.к. ключ шифрования нигде не сохраняется. Уплата выкупа бесполезна! 

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
svchost.exe
donaldjtrumpware.exe
<random_name>.exe

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 *

 Thanks: 
 Jasen Sumalapao
 MalwareHunterTeam
 Andrew Ivanov
 * 

© Amigo-A (Andrew Ivanov): All blog articles.

ShellLocker

ShellLocker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128/256, а затем требует выкуп в биткоинов, чтобы вернуть файлы. Название оригинальное. Фальш-имена: MicrosoftGenuineAdvantage, Microsoft Genuine Software Check. Написан на .NET Framework. 

© Генеалогия: Exotic > ShellLocker

К зашифрованным файлам добавляется расширение .L0cked
Названия файлов переименовываются на рэндомные. 
Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана, который подгружает озображение image.jpg и ставит его обоями рабочего стола. 

Содержание текста о выкупе:
YOUR PC IS LOCKED BY THE SHELLLOCKER!
ALL YOUR PHOTOS, VIDEOS, MUSIC'S ARE ENCRYPTED, YOU HAVE
1VV111 HOURS TO PAY 100 USD IN BITCOINS TO THE ADDRESS
BELOW, AFTER 1VV111 HOURS ALL YOUR FILES WILL BE GONE!
WHEN YOU PAY THE MONEY IT WILL TAKE 30 MINUTES AND YOUR
FILES WILL BE BACK. TRY SOMETHING FUNNY AND YOUR FILES WILL BE GONE.
YOU CAN DELETE THE VIRUS BUT YOUR FILES ARE GONE TOO!
HAVE A NICE DAY

Ошибки:

1VV111  - так в тексте написана цифра 48 искаженными латинскими буквами. Вымогатель знал только две IV (4) и VIII (8), потому и решил, что 48 получается от сочетания IV и VIII. Причем записал их как 1VV111. Правильно число 48 должно быть написано так: XLVIII, где XL - это 40, а VIII - цифра 8. 

Перевод текста на русский язык:
Ваш компьютер заблокирован с помощью Shelllocker!
Все ваши фото, видео, музыку в зашифрованном виде, у вас есть 48 часов, чтобы заплатить 100 долларов в биткоинах по адресу ниже, через 48 часов все ваши файлы исчезнут!
Когда вы заплатите деньги, это займет 30 минут и ваши файлы будут обратно. Подумаете, что шутка и ваших файлов не будет.
Вы можете удалить вирус, но ваши файлы исчезнут тоже!
Хорошего дня

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
документы, базы данных, PDF, фотографии, музыка, видео, общие сетевые папки и пр.
.001, .002, .003, .004, .005, .006, .007, .008, .009, .3dm, .3g2, .3gp, .7z, .8be, .8bf, .8bi, .aaf, .abr, .accdb, .adf, .aep, .aepx, .aet, .aex, .ai, .aif, .ani, .apk, .arw, .as, .as3, .asd, .asf, .asp, .asx, .au, .avi, .bat, .bay, .bin, .bmp, .camproj, .cdr, .cer, .class, .cmd, .com, .CompositeFont, .config, .contact, .cpp, .cr2, .crdownload, .crt, .crw, .cs, .css, .csv, .cur, .dat, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eot, .eps, .erf, .exe, .fla, .flv, .fon, .gif, .hta, .html, .ico, .idml, .iff, .indb, .indd, .indl, .indt, .ini, .inx, .ion, .iso, .jar, .java, .jnt, .jnt, .jpeg, .jpg, .json, .k2p, .kdc, .key, .lib, .lng, .lnk, .load, .m3u, .m3u8, .m4r, .m4u, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .msi, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .pl, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .resx, .rtf, .rw2, .rwl, .scss, .sdf, .settings, .SFX, .sik, .sldm, .sldx, .sln, .sql, .sr2, .src, .srf, .srw, .svg, .swf, .text, .tgz, .tif, .ttc, .ttf, .txt, .url, .vb, .vbproj, .vbs, .vbt, .vcf, .veg, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (234 расширения). 

Как оказалось, даже собственный дикриптер вымогателей не может расшифровать зашифрованные файлы. Уплата выкупа бесполезна! 

Файлы, связанные с этим Ransomware:
image.jpg 
<random_name>.exe
ShellLocker.exe
Document.exe
Documents.cmd
MicrosoftGenuineAdvantage.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe
C:\Windows\System32\MSCOREE.DLL.local
C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscoreei.dll
C:\Windows\Microsoft.NET\Framework\Upgrades.2.0.50727\mscoreei.dll
C:\Users\test\AppData\Local\Temp\ShellLocker.vir.config
C:\Users\test\AppData\Local\Temp\ShellLocker.vir
C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorwks.dll

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\v2.0
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\InstallRoot
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\Upgrades
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\AppPatch
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\CLRLoadLogDir
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\OnlyUseLatestCLR
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\Standards
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\Policy\Standards\v4.0.30319
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework\Policy\Upgrades
HKEY_LOCAL_MACHINE\Software\Microsoft\.NETFramework\Policy\Upgrades
HKEY_CURRENT_USER\Software\Microsoft\.NETFramework
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\NoGuiFromShim
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\GRE_Initialize
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GRE_Initialize\DisableMetaFiles

Сетевые подключения:
хттп://controll-the-world.comli.com (31.170.163.90:80) (США)
хттп://controll-the-world.comli.com/image.jpg 

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >> Ещё >> Ещё >>
Malwr анализ >>
Maldun анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

---

Обновление от 3 июля 2017:
 Пост в Твиттере >>
Расширение: .L0cked
Email: 5quish@mail.ru

Целевые типы файлов:

---

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ShellLocker)
 Write-up on BC
 Video review

 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 Lawrence Abrams
 CyberSecurity GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

CHIP, ChipLocker

CHIP Ransomware 
ChipLocker Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-512, а затем требует плату за декриптер, чтобы вернуть файлы. Название от добавляемого расширения. Другие названия: ChipLocker, ChipCrypter.

© Генеалогия: CHIP > DALE > ATLAS

К зашифрованным файлам добавляется расширение .CHIP

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: CHIP_FILES.txt
Разбрасываются по папкам с зашифрованными файлами.

Содержание записки о выкупе:
YOUR ID:424ad***
Hello!
All Your files are encrypted!
For more specific instructions, please visit a support home page:
http://mm6x57ri2coivya6.onion
To see this page follow these steps:
1 - Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 - After a successful installation, run the browser
3 - Type in the address bar - http://mm6x57ri2coivya6.onion
4 - Follow the instructions on the site
Attention: DO NOT USE ANY PUBLIC DECRYPTERS! YOU CAN DAMAGE YOUR FILES!
Kind regards,
Support Team.
YOUR ID:424ad***
YOUR ID:424ad***
YOUR ID:424ad***
YOUR ID:424ad***
YOUR ID:424ad***

Перевод записки на русский язык:
ВАШ ID:424ad***
Привет!
Все Ваши файлы зашифрованы!
Для подробных инструкций, посетите домащнюю страницу поддержки:
http://mm6x57ri2coivya6.onion
Чтобы увидеть эту страницу сделайте следующие шаги:
1 - Загрузить и установить Tor-браузер: http://www.torproject.org/projects/torbrowser.html.en
2 - После успешной установки запустить браузер
3 - Ввести в адресной строке - http://mm6x57ri2coivya6.onion
4 - Следуйте инструкциям на сайте
Внимание: НЕ ИСПОЛЬЗУЙТЕ ПУБЛИЧНЫЕ ДЕКРИПТЕРЫ! Вы можете повредить ваши файлы!
С наилучшими пожеланиями,
Группа поддержки.
ВАШ ID:424ad*** (повторяется 5 раз)

Инструкции на Tor-сайте:
Hello!
Your files are encrypted!
If You want to restore Your system, You need to use a contact form below.
Leave Your ID number (ID number is located in the "CHIP_FILES.TXT") and contact email.
Our appointment coordinators will contact you within 24 hours!
Attention: DO NOT USE ANY PUBLIC DECRYPTERS! YOU CAN DAMAGE YOUR FILES!

Перевод на русский язык:
Привет!
Ваши файлы зашифрованы!
Если Вы хотите восстановить систему, Вы должны использовать контактную форму ниже.
Оставьте свой ID номер (ID номер расположен в "CHIP_FILES.TXT") и контактный email.
Наши назначенные координаторы свяжутся с вами в течение 24 часов!
Внимание: НЕ ИСПОЛЬЗУЙТЕ ПУБЛИЧНЫЕ ДЕКРИПТЕРЫ! Вы можете повредить свои файлы!

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, в данном случае RIG-Empire, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Когда посетитель просматривает сайт, который был ранее взломан и скомпрометирован с помощью набора эксплойтов RIG-E (Empire), то скрипт будет пытаться использовать уязвимости в системе и установленных программах ПК. Если уязвимость будет найдена и проэксплуатирована, то RIG-E загрузит и установит пейлоад (payload), который в данном случае и является CHIP Ransomware. Эту цепь событий можно увидеть в изображении ниже (из статьи Брэда Данкена).

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.
.db, .doc, .docx, .jpg, .jpeg, .ppt, .pptx, .txt, .wb2, .wpd, .xls, .xlsx, .xml и пр.

Файлы, связанные с этим Ransomware:
rad46480.tmp.exe 
CHIP_FILES.txt
C:\MSOCache\All Users\{90140000-0012-0000-0000-0000000FF1CE}-C\CHIP_FILES.txt

Записи реестра, связанные с этим Ransomware:
См. ниже гибридный, malwr и maldun-анализы.

Сетевые подключения:
checkip.dyndns.org (216.146.43.70:80) (США)
cavallinomotorsport.com (27.121.64.183) (Австралия)
imomfs.e89mfe.top (185.153.198.107:80)
mm6x57ri2coivya6.onion
109.236.82.8:80 (Нидерланды)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Maldun анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Topic on BC + ID Ransomware (ID as CHIP)
 Malware-Traffic-Analysis
 Write-up on BC (add. October 19, 2016)

 Thanks: 
 mike 1
 Michael Gillespie
 Brad Dunkan
 Lawrence Abrams
 CyberSecurity GrujaRS for Video review

© Amigo-A (Andrew Ivanov): All blog articles.