Sage

Sage Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует перейти на Tor-сайт, чтобы уплатить выкуп в биткоинах и получить инструкции, как вернуть файлы. Сумма выкупа: нефиксированные ~0,74 BTC с долями или $545. По истечении 148 часов сумма выкупа удвоится. 

Название вымогателя упомянуто в записке о выкупе, используется в добавляемом расширении и на сайте оплаты. Внутреннее имя исполняемого файла: Qavluqk (так было записано какое-то корейское слово). 

© Генеалогия: Cry (CryLocker) > Sage

К зашифрованным файлам добавляется расширение .sage

Активность этого криптовымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
!Recovery_<6_chars>.txt, например: !Recovery_AVuKmu.txt
!Recovery_<6_chars>.html, например: !Recovery_AVuKmu.html

Они разбрасываются на каждом диске, в документах и на рабочем столе. 

Содержание текстовой записки о выкупе:
=== WARNING!
YOUR DOCUMENTS, DATABASES, PROJECT FILES, AUDIO AND VIDEO CONTENT AND OTHER CRITICAL FILES HAVE BEEN ENCRYPTED WITH A PERSISTENT MILITARY-GRADE CRYPTO ALGORITHM
...How did this happen?
Specially for your PC was generated personal 4096 bit RSA key, both public and private.
All your files have been encrypted with the public key.
Decrypting of your files is only possible with the help of the private key and de-crypt program.
...What do I do?
Don't wait for a miracle and the price doubled!
Start obtaining Bitcoin now and restore your data easy way!
=== If you HAVE REALLY VALUABLE DATA, you better NOT WASTE YOUR TIME, because there is NO OTHER WAY to get your files, EXCEPT MAKE A PAYMENT 
...Your personal ID: *****
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1 - http://qbxeaekvg7o3lxnn.onion.to
2 - http://qbxeaekvg7o3lxnn.onion.cab
3 - http://qbxeaekvg7o3lxnn.onion.city
...What should you do with these addresses?
1.  Take a look at the first address (in this case it is http://qbxeaekvg7o3lxnn.onion.to);
2.  Select it with the mouse cursor holding the left mouse button and moving the cursor to the right;
3.  Release the left mouse button and press the right one;
4.  Select "Copy" in the appeared menu;
5.  Run your Internet browser (if you do not know what it is run the Internet Explorer);
6.  Move the mouse cursor to the address bar of the browser (this is the place where the site address is written);
7.  Click the right mouse button in the field where the site address is written;
8.  Select the button "Insert" in the appeared menu;
9.  Then you will see the address http://qbxeaekvg7o3lxnn.onion.to appeared there;
10. Press ENTER;
11. The site should be loaded; if it is not loaded repeat the same instructions with the second address and continue until the last address if falling.
...
If for some reason the site cannot be opened check the connection to the Internet.
Unfortunately these sites are short-term since the antivirus companies are interested in you do not have a chance to restore your files but continue to buy their products.
Unlike them we are ready to help you always.
If you need our help but the temporary sites are not available:
1.  Run your Internet browser (if you do not know what it is run the Internet Explorer);
2.  Enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3.  Wait for the site loading;
4.  On the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5.  Run Tor Browser;
6.  Connect with the button "Connect" (if you use the English version);
7.  A normal Internet browser window will be opened after the initialization;
8.  type or copy the address http://qbxeaekvg7o3lxnn.onion in this browser address bar;
9.  Press ENTER;
10. The site should be loaded; if for some reason the site is not loading wait for a moment and try again
===
!!! IMPORTANT !!!
Be sure to copy your personal ID and the instruction link to your notepad not to lose them. 

Перевод на русский язык:
=== ВНИМАНИЕ!
Ваши документы, базы, файлы проектов, аудио- и видео-контент, и другие критически важные файлы были зашифрованы с помощью криптостойкого военного класса алгоритма
...Как это произошло?
Специально для вашего ПК был создан личный 4096-битный RSA ключ, как открытый, так и закрытый.
Все ваши файлы были зашифрованы с помощью открытого ключа.
Дешифрование файлов возможно только с помощью закрытого ключа и декриптора.
...Что мне делать?
Не ждать чуда, а то цена удвоится!
Сначала получите Bitcoin и восстановить данные станет просто!
=== Если ваши данные реально ценны, то лучше не тратьте свое время, т.к. нет никакого другого способа получить ваши файлы, кроме внести платеж
... Ваш персональный ID: *****
Для подробных инструкций, пожалуйста, посетите вашу личную страницу, есть несколько разных адресов, указывающих на вашу страницу ниже:
1 - хттп://qbxeaekvg7o3lxnn.onion.to
2 - хттп://qbxeaekvg7o3lxnn.onion.cab
3 - хттп://qbxeaekvg7o3lxnn.onion.city
... Что вы должны делать с этими адресами?
1. Посмотрите на первый адрес (в данном случае это хттп://qbxeaekvg7o3lxnn.onion.to);
2. Выделите ее курсором мыши, удерживая левую кнопку мыши и перемещая курсор вправо;
3. Отпустите левую кнопку мыши и нажмите одну правую;
4. Выберите "Копировать" в появившемся меню;
5. Запустите интернет-браузер (если вы не знаете, что он запускается в Internet Explorer);
6. Переместите курсор мыши в адресную строку браузера (это место, где пишется адрес сайта);
7. Щелкните правой кнопкой мыши в поле, где написан адрес сайта;
8. Нажмите кнопку "Вставить" в появившемся меню;
9. После этого вы увидите адрес хттп://qbxeaekvg7o3lxnn.onion.to что появится там;
10. Нажмите кнопку ENTER;
11. Сайт должен быть загружен; если он не загружен повторите те же самые инструкции со вторым адресом и продолжайте до последнего адреса, если попытки неудачны.
...
Если по каким-либо причинам сайт не может быть открыт, проверьте подключение к Интернету.
К сожалению, эти сайты краткосрочные, т.к. антивирусные компании заинтересованы в том, вы не получили шанс восстановить ваши файлы, но продолжали покупать их продукцию.
В отличие от них мы готовы помочь вам всегда.
Если вам нужна наша помощь, но временные сайты не доступны:
1. Запустите интернет-браузер (если вы не знаете, что он запускается в Internet Explorer);
2. Введите или скопируйте адрес хттпs://www.torproject.org/download/download-easy.html.en в адресной строке вашего браузера и нажмите ENTER;
3. Дождитесь загрузки сайта;
4. На сайте вам будет предложено загрузить Tor Browser; скачать и запустить его, следуйте инструкциям по установке, подождите, пока установка не будет завершена;
5. Запустите Tor Browser;
6. Соедините с помощью кнопки "Connect" (если вы используете английскую версию);
7. Обычно окно интернет-браузера будет открыто после инициализации;
8. Введите или скопируйте адрес хттп://qbxeaekvg7o3lxnn.onion в этом адресной строке браузера;
9. Нажмите кнопку ENTER;
10. Сайт должен быть загружен; если по каким-то причинам сайт не загружается, подождите минуту и ​​повторите попытку
===
!!! ВАЖНО !!!
Обязательно скопируйте свой личный ID и ссылку инструкции в ваш блокнот, чтобы не потерять их.

Информатором жертвы также выступает изображение <6 chars>.bmp, встающее обоями рабочего стола (красный текст на чёрном фоне). 

Содержание текста с экрана:
ATTENTION!
Sage encrypted all your files!
All your files, images, videos, and databases were encrypted and made inaccessible by software known as Sage.
You have no chance to restore the files without our help.
But if you follow our instructions files can be restored easily.
Instructions on how to get your files back are stored on every disk, in your documents and on your desktop.
Look for files !Recovery_2g0zr9.txt and !Recovery_2g0zr9.html
If you can't find this files, use the program "Tor Browser“(you can find it in Google) to access the (onion)web site http://qbxeaekvg7o3lxnn.onion to get your instructions.

Перевод записки на русский язык:
ВНИМАНИЕ!
Sage зашифровал все файлы!
Все ваши файлы, изображения, видео и базы данных зашифрованы и сделаны недоступными программой, известной как Sage.
У вас нет шансов восстановить файлы без нашей помощи.
Но если вы будете следовать нашим инструкциям, файлы можно легко восстановить.
Инструкции о том, как получить файлы обратно, хранятся на каждом диске в ваших документах и на рабочем столе.
Ищите файлы !Recovery_2g0zr9.txt и !Recovery_2g0zr9.html
Если вы не можете найти эти файлы, используйте программу "Tor Browser" (вы можете найти его в Google), чтобы получить доступ к (onion)веб-сайту http://qbxeaekvg7o3lxnn.onion, чтобы получить ваши инструкции.

На onion-сайте вымогателей информация предоставляется только после ввода ID. Далее открывается информация об условиях выкупа, оплате, тест-дешифровке, инструкции на декриптор, поддержке. 

Коллаж из страниц сайта оплаты. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Прописывается в автозагрузку Windows. 
Создаёт задание для планировщика Windows. 
Удаляет образцы изображений и музыки из Sample Pictures и Sample Music. 
После шифрования удаляются теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<6_chars>.bmp
<random>.exe
<random>.tmp и <random_8_chars>.tmp
C:\Temp\lol.txt
%TEMP%\0.tmp
%TEMP%\1.tmp
<random>.lnk и <random_8_chars>.lnk
<random>.html
%USERPROFILE%\Application Data\<random>.exe
%USERPROFILE%\Application Data\<random>.tmp
%USERPROFILE%\Start Menu\Programs\Startup\<random>.lnk
Sage_Decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения и связи:
translate.google.com
maps.googleapis.com
qbxeaekvg7o3lxnn.onion
torproject.org/download/download-easy.html.en
qbxeaekvg7o3lxnn.onion.to
qbxeaekvg7o3lxnn.onion.cab
qbxeaekvg7o3lxnn.onion.city
+ много адресов: 7698 соединений на порт 13655 (Южная Корея, Сингапур, США, Иордания, Ливан, Германия, Испания, Чехия, Норвегия, Россия, Великобритания, Эстония)

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Malwares анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 14 декабря 2016:
Файл: <random>_rad86EF3.tmp.kaf
Результаты анализов: VT

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryLocker)
 Write-up
 *
 *

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Locky-Osiris

Locky-Osiris Ransomware

(шифровальщик-вымогатель, версия 2016 года)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2-3 BTC, чтобы вернуть файлы. Оригинальное название: Locky. По факту это новая итерация Locky. На файле может быть написано что угодно. 

This Locky's logo was developed on this site ID-Ransomware.RU

© Генеалогия: Locky > Locky-Osiris (версия 2016 года) > Locky-Osiris 2017

К зашифрованным файлам добавляется расширение .osiris
Зашифрованные файлы переименовываются по следующему шаблону:
фактически: [first_8_chars_of_id] - [next_4_chars_of_id] - [next_4_chars_of_id] - [8_hexadecimal_chars] - [12_hexadecimal_chars].osiris
кратко: [8_chars_ID] - [4_chars_ID] - [4_chars_ID] - [8_hex_chars] - [12_hex_chars].osiris

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
DesktopOSIRIS.htm
DesktopOSIRIS.bmp
OSIRIS-<4_chars>.htm
OSIRIS-<4_chars>.bmp

Другим информатором выступает скринлок, встающий обоями рабочего стола.

 

 

Комбинации требований о выкупе (htm и bmp)

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wiki pedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/A5ZQW54T4KN*****
4. Follow the instructions on the site.
!!! Your personal identification ID: A5ZQW54T4KN***** !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с RSA-2048 и AES-128 шифрами.
Более подробную информацию о RSA и AES можно найти здесь:
   xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
   xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Дешифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифрования, которая находится на нашем секретном сервере.
Чтобы получить свой закрытый ключ, следуйте по одной из ссылок:
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
***g46mbrrzpfszonuk.onion***
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxxs://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: 6dtxgqam4crv6rr6.onion/xxxxxxxxxxxxxx
4. Следуйте инструкциям на сайте.
!!! Ваш личный идентификационный ID: A5ZQW54T4KN***** !!!

Другим информатором выступает Tor-сайт вымогателей, для входа на который требуется ввести ID. 

Скриншот требований за "Locky Decryptor" с Tor-сайта

Содержание текста страницы на Tor-сайте:
Locky Decryptor™
We present a special software - Locky Decryptor™ -
which allows to decrypt and return control to all your encrypted files.
How to buy Locky Decryptor™?
    You can make a payment with BitCoins, there are many methods to get them.
    You should register BitCoin wallet:
    Simplest online wallet or Some other methods of creating wallet
    Purchasing Bitcoins, although it's not yet easy to buy bitcoins, it's getting simpler every day.
    Here are our recommendations:
    localbitcoins.com (WU) Buy Bitcoins with Western Union.
    coincafe.com Recommended for fast, simple service.
    Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, in person.
    localbitcoins.com Service allows you to search for people in your community willing to sell bitcoins to you directly.
    cex.io Buy Bitcoins with VISA/MASTERCARD or wire transfer.
    btcdirect.eu The best for Europe.
    bitquick.co Buy Bitcoins instantly for cash.
    howtobuybitcoins.info An international directory of bitcoin exchanges.
    cashintocoins.com Bitcoin for cash.
    coinjar.com CoinJar allows direct bitcoin purchases on their site.
    anxpro.com
    bittylicious.com
    Send 3.00 BTC to Bitcoin address:
    131xQfmfRhyNQdEYamPUC313FmPYroeRKL
    Note: Payment pending up to 30 mins or more for transaction confirmation, please be patient...
    Date Amount BTC Transaction ID Confirmations
    not found
    Refresh the page and download decryptor.
    When Bitcoin transactions will receive one confirmation, you will be redirected to the page for downloading the decryptor.

Примечательно, что требования о выкупе мультиязычны (30 языков), но отсутствуют языки союзных республик бывшего СССР. 

Список языков:
Български
Català
Čeština
Dansk
Deutsch
Ελληνικά
English
Español
Suomi
Français
हिन्दी
Hrvatski
Magyar
Italiano
日本語
한국어
Bahasa Melayu (بهاس ملايو)
Nederlands
Norsk bokmål
Polski
Português
Slovenčina
Српски
Svenska
Türkçe
中文
עברית
العَرَبِية
ไทย
Tiếng Việt

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (js и dll), обманных загрузок, эксплойтов (RigEK), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Вложенный файл может иметь нетрадиционные расширения, например, вместо .dll или .js это может быть расширение .spe

После успешной загрузки вредоносный файл, например eftrPKltKvb.spe, активируется через rundll32.exe с помощью команды:
"C:\Windows\System32\rundll32.exe"
C:\Users\User.Name\AppData\Local\Temp\eftrPK~1.spe,0hGQpkMN34kl22tyKmdeTr

Rundll32.exe, запускающий установку Locky

После запуска Locky-Osiris начинает шифровать файлы, а затем отображает требования о выкупе с использованием браузера по умолчанию или Firefox.

В коде текущей версии есть небольшая ошибка, которая неправильно называет записки о выкупе (htm и bmp).

Теневые копии файлов удаляются, но иногда этот процесс работает некорректно, потому теневые копии могут оказаться целы.  
Защита от запуска на виртуальных машинах работает с ошибками. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DesktopOSIRIS.htm
DesktopOSIRIS.bmp
OSIRIS-<4_chars>.htm
OSIRIS-<4_chars>.bmp
<random>.exe
<random>.tmp
Invoice_Inv[random_numbers].xls 
Item-Delivery-Details-00659753.doc.wsf
Item-Delivery-Details-00659753.doc.wsf.bin

Расположения:
\DesktopOSIRIS.bmp или OSIRIS.bmp
\DesktopOSIRIS.htm или OSIRIS.htm
C:\Users\User\AppData\Local\Temp\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
babypbshop.ru/***
partnerbrasilia.com.br/***
www.6c.com.co/counter/***
otpugivatel.by/counter/***
med-lex.com/***
offie.nl/***
и другие
***g46mbrrzpfszonuk.onion
BTC: 131xQfmfRhyNQdEYamPUC313FmPYroeRKLСм. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >> Ещё >> Ещё >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as Locky)
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, R0bert R0senb0rg‏ 
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

SQ_, VO_

SQ_ Ransomware 

VO_ Ransomware 

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные пользователей с помощью AES и RSA-1024, а затем требует выкуп в 4 биткоина, чтобы вернуть файлы. Название SQ_ было известно c июля 2015. VO_ — это новая итерация того же вымогателя. 

© Генеалогия: SQ_ >> VO_ > nk_

К зашифрованным файлам добавляется приставка VO_

Активность новой версии этого криптовымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных и корейскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: VO_ IN DOCUMENTS..txt
Содержание записок о выкупе со времён SQ_ изменилось. 

Содержание записки о выкупе (первая часть на английском):
Good morning. Your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately "lost" all your pictures, files and documents on the computer. Your important files encryption produced on this computer: videos, photos, documents, etc. 
Encryption was produced using unique public key RSA-1024 generated for this computer. To decrypt files you need to obtain the private key.
All encrypted files contains VO_
Your number: 338888409888891
To obtain the program for this computer, which will decrypt all files, you need to pay 4 bitcoins on our bitcoin address 1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2 (today 1 bitcoin was 260 USA dollars). Only we and you know about this bitcoin address.
You can check bitcoin balanse here -  https://www.blockchain.info/address/1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2
After payment send us your number on our mail pwwu@ruggedinbox.com and we will send you decryption tool (you need only run it and all files will be decrypted during 1...3 hours)
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your garantee that we have decryption tool. And send us your number with attached file.
We dont know who are you. All what we need - it's some money.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter (for example if you use hotmail.com or outlook.com
it can block letter, SO DON'T USE HOTMAIL.COM AND OUTLOOK.COM. You need register your mail account in www.ruggedinbox.com (it will takes 1..2 minutes) and write us again)
You can use one of that bitcoin exchangers for transfering 
bitcoin.https://www.korbit.co.kr
https://www.coinplug.com
https://ko-kr.facebook.com/coinplug
You dont need install bitcoin software - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country.
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.

Содержание записки о выкупе (вторая часть на корейском):
컴퓨터가 랜섬웨어에 의해 잠겨 있습니다 개인 파일은 암호화되며, 당신은 불행하게도 모든 사진을 "손실"한
컴퓨터 파일과 문서. 중요한 파일 암호화는이 컴퓨터에 생성 : 동영상, 사진, 문서 등
암호화는이 컴퓨터에 생성 된 고유 공개 키 RSA-1024을 사용하여 제조 하였다. 파일의 암호를 해독하려면 개인 키를 획득해야합니다.
모든 암호화 된 파일은 VO_
을 포함
전화 번호 : 338888409888891
모든 파일의 암호를 해독 할,이 컴퓨터 프로그램을 구하려면, 당신은 지불 할 필요가
우리의 비트 코인 주소 1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2 에서 4 bitcoins (오늘 1 비트 코인은 260 이었다). 단지 우리와이 비트 코인 주소에 대해 알고.
https://www.blockchain.info/address/1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2 - 여기 balanse을 비트 코인 확인할 수 있습니다
지불 한 것은 (당신은 단지 필요를 실행하고 모든 파일이 1..3 시간 동안 암호를 해독 할 것이다) 우리의 메일 pwwu@ruggedinbox.com 우리에게 전화 번호를 보내 우리는 당신에게 암호 해독 도구를 보내드립니다
지불하기 전에 당신은 우리에게 하나의 작은 파일 (100..500 킬로바이트)를 보낼 수 있습니다 우리는 암호를 해독합니다 - 우리가 해독 도구가 당신의 garantee입니다. 그리고 첨부 파일로 우리에게 번호를 보내.
우리는 당신을 누구 잘 모릅니다. 모든 우리는 필요 - 그것은 돈이다.
우리는 24 시간에 당신을 응답하지 않는 경우 당황하지 마십시오. 그것은 당신이 사용하는 경우 우리가 (예를 들어, 당신의 편지를받지 않았 음을 의미 hotmail.com 또는 outlook.com
이 편지를 차단할 수 있습니다, 그래서 HOTMAIL.COM 및 OUTLOOK.COM를 사용하지 마십시오. 당신은 (그것을 것 1..2 분 소요) www.ruggedinbox.com에 메일 계정을 등록하고 우리를 다시 작성해야합니다)
당신은 비트 코인 전송하는 비트 코인 기 중 하나를 사용할 수 있습니다.
https://www.korbit.co.kr
https://www.coinplug.com
https://ko-kr.facebook.com/coinplug
당신은 그나마 비트 코인 소프트웨어를 설치해야합니다 - 당신이 필요로하는 단지 당신이 당신의 나라를 위해 www.google.com을 찾을 수있는이 기 또는 다른 교환기 중 하나를 사용합니다.
당신의 편지에서 영어를 사용하십시오. 당신이 영어를 못하는 경우 영어에 당신의 편지를 번역하는 https://translate.google.com를 사용합니다

Перевод записки на русский язык:
Доброе утро. Ваш компьютер был заблокирован вымогателем, ваши личные файлы зашифрованы, и вы, к сожалению, "потеряли" все ваши фото, файлы и документы на компьютере. Важные файлы зашифрованные на этом компьютере: видео, фото, документы и т.д.
Шифрование было произведено с использованием уникального открытого ключа RSA-1024, сгенерированный для этого компьютера. Для расшифровки файлов вам нужно получить закрытый ключ.
Все зашифрованные файлы содержат VO_
Ваш номер: 338888409888891
Чтобы получить программу для этого компьютера, который расшифрует все файлы, вам нужно оплатить 4 биткоина на наш Bitcoin адрес 1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2 (сегодня 1 биткоин был равен 260 долларам США). Только мы и вы знаем об этом Bitcoin адресе.
Вы можете проверить баланс Bitcoin здесь - https://www.blockchain.info/address/1FWTrWjA6QKuzEbE7pYtXWH8GU2jhndar2
После оплаты пришлите нам свой номер на нашу email pwwu@ruggedinbox.com и мы вышлем вам инструмент дешифрования (вам нужно только запустить его и все файлы будут расшифрованы в течение 1...3 часов)
Перед оплатой вы можете отправить нам один небольшой файл (100..500 килобайт) и мы его расшифруем - это ваша гарантия, что у нас есть инструмент дешифрования. И пришлите нам свой номер с вложенным файлом.
Мы не знаем, кто вы. Все, что нам нужно - это какие-то деньги.
Не паникуйте, если мы не ответим вам в течение 24 часов. Это значит, что мы не получили ваше письмо (например, если вы используете hotmail.com или outlook.com. он может блокировать письмо, НЕ ИСПОЛЬЗУЙТЕ HOTMAIL.COM И OUTLOOK.COM. Вам необходимо зарегистрировать аккаунт mail в www.ruggedinbox.com (это займёт 1..2 минут) и напишите нам снова)
Вы можете использовать один из этих Bitcoin обменников для передачи
bitcoin.https: //www.korbit.co.kr
https://www.coinplug.com
https://ko-kr.facebook.com/coinplug
Вам не нужно устанавливать программу Bitcoin - вам только нужно использовать один из этих обменников или другой обменник, которые вы можете найти в www.google.com для вашей страны.
Пожалуйста, используйте английский язык в ваших письмах. Если вы не говорите по-английски, то используйте https://translate.google.com, чтобы перевести ваше письмо на английский язык.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
VO_ IN DOCUMENTS..txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.

Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 6 апреля 2017:
Пост в Твиттере >>
Добавление к файлам: nk_
Записка: NK_ IN YOUR FILES..txt
Содержание записки на английском и корейском:

Расположение текста в записках было сильно растянуто. Для представления скриншотов я собрал текст в строки. 

Обновление от 28 декабря 2017:
Пост в Твиттере >>
Добавление к файлам: BA_
Записка: BA_ IN YOUR FILES..txt
BTC: 1KPKRsgtFHLnAV6VMuVPh5XhReh3w5FzsJ

Расположение текста в записках было сильно растянуто. Для удобства представления скриншота записки я собрал текст в строки. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SQ_)
 Topic on BC
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.