FLKR

FLKR Ransomware 

Aliases: Morf56, JabberLover, Jackpot 

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует файлы блоками по 512 байт с помощью Blowfish, а затем требует связаться по email или jabber, для получения инструкций по расшифровке. Название оригинальное.

Обнаружения:

DrWeb -> Trojan.Encoder.7223, Trojan.Encoder.13483, Trojan.KillFiles.63223

ALYac -> Trojan.Ransom.FLKR

Avira (no cloud) -> TR/Agent.bgmuf

BitDefender -> Generic.Ransom.Flirk.C70F65D7, Trojan.GenericKD.31051378

ESET-NOD32 -> A Variant Of Win32/Filecoder.NIT

Kaspersky -> Trojan-Ransom.Win32.Agent.iux

Microsoft -> Trojan:Win32/Occamy.AA, Trojan:Win32/Tiggre!rfn

Qihoo-360 -> Win32/Trojan.Ransom.26b

Rising -> Malware.Undefined!8.C (TFE:5*, Trojan.Filecoder!8.68 (CLOUD)

Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.2

Tencent -> Win32.Trojan.Agent.Eehd, Win32.Trojan.Filecoder.Tafe

TrendMicro -> Ransom_MORF.A, Ransom_FLKR.THGAAAH

© Генеалогия: FLKR. Начало. 

Изображение — логотип статьи с картинкой от XMPP (Jabber)

К зашифрованным файлам добавляется расширение _morf56@meta.ua_
Оригинальные имена и расширения не изменяются. 

Этимология названия
Оригинальное название неизвестно. Название для статьи и идентификации получил от файла flkr.exe

Активность этого крипто-вымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных или русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
INSTRUCT.txt

Содержание записки о выкупе:
Information is encrypted with a strong password. 
To decrypt it e-mail: morf56@meta.ua for instructions. 
Reserve communication channel - this jabber: fhmjfjf@default.rs 
Use jabber only when conversation via email is not possible

Перевод записки на русский язык:
Информация зашифрована с сильным паролем.
Для расшифровки e-mail: morf56@meta.ua для инструкций.
Резервный канал связи - это jabber: fhmjfjf@default.rs
Используй jabber только если связь по email невозможна

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.: .dat, .dll, .doc, .docx, .exe, .pdf, .xls, .xlsx и многие другие.

При шифровании пропускаются файлы в папках: 
Windows, Program files, Program files (x86)
System volume information
Documents and settings, Users
Install, Music, Intel, adfs, cpqsystem

Пропускаются файлы следующих типов: 
.txt, .mp3, .avi

Удаляются файлы без шифрования файлы типов:
.bak, .tib 

Файлы, связанные с этим Ransomware:
flkr.exe - основной исполняемый файл

flkr.pdb - оригинальное название проекта
C:\cpqsystem\rel1711\flkr.exe
C:\cpqsystem\rel1711\delmeflk.bat
C:\cpqsystem\rel1711\delmelaun.bat
C:\cpqsystem\rel1711\launcher.exe
INSTRUCT.txt
<random>.bat
<random>.exe
<random>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения и связи:
Email: morf56@meta.ua
jabber: fhmjfjf@default.rs

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>   Ещё >>
Intezer анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 декабря 2017:
Дополнение к расширению: +asdasd333@default.rs
Контакт в Jabber: asdasd333@default.rs
Записка: INSTR.txt
Тема на форуме >>

➤ Содержание записки: 
Для расшифровки пишите в джаббер: asdasd333@default.rs , Ваш ПИН: 69 --- 
In order to decrypte files please contact me via Jabber asdasd333@default.rs your pin 69

Обновление от 21 мая 2018:
Дополнение к расширению: __murzik@jabber.mipt.ru
Email: murzik@jabber.mipt.ru
Файл с ключом: dakeys.txt
Записка: INSTRUCTION.txt

➤ Содержание записки:
Хотите расшифровать Ваши файлы? Пишите на джаббер (xmpp): murzik@jabber.mipt.ru (можете писать в оффлайн если нас нет в онлайне) Ваш PIN: **
Топик на форуме >>

Обновление от 5 июля 2018: 
Пост в Твиттере >>
Расширение: +superuser111@0nl1ne.at
Email: superuser111@0nl1ne.at
Записка: INSTRUCTIONX.txt
➤ Содержание записки: 
To decrypt files - Jabber (xmpp) address: superuser111@0nl1ne.at (if we are offline - you can write offline, its ok) PIN: 44
Результаты анализов: VT + IA


Обновление от 25 декабря 2018:
Расширение: +jabber-hellobuddy@sj.ms
Jabber: hellobuddy@sj.ms
Записка: INSTRUCTIONS.txt

➤ Содержание записки: 
Для расшифровки файлов пишите на джаббер: hellobuddy@sj.ms (можете писать в оффлайн) Ваш PIN: **


Обновление от 11-18 марта 2019:
Пост в Твиттере >>
Расширение: +jabber-winnipyh123@sj.ms
Записка: INSTRUCTIONS.txt
Jabber: winnipyh123@sj.ms


Обновление от 10 мая 2019:
Пост в Твиттере >>
Расширение: +jabber-theone@safetyjabber.com
Записка: INSTRUCTIONS.txt
Jabber: theone@safetyjabber.com
➤ Содержание записки: 
Для расшифровки файлов пишите на джаббер: theone@safetyjabber.com (можете писать в оффлайн) Ваш PIN: **.

Обновление от 3 декабря 2019:
Пост в Твиттере >>
Расширение: +jackpot@jabber.cd
Записка: INSTRUCTION.txt
Файл: winsysmon.exe
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.KillFiles.63223
BitDefender -> Gen:Variant.Graftor.478783
Symantec -> ML.Attribute.HighConfidence

Обновление от 20 января 2020:
Топик на форуме >>
Расширение: +jackpot@jabber.cd
Записка: INSTRUCTIONS.txt
Jabber: jackpot@jabber.cd
➤ Содержание записки: 
Для расшифровки файлов пишите на джаббер: jackpot@jabber.cd (можно в оффлайн) Ваш PIN: **

Обновление от 24 ноября 2020: 

Сообщение >>

Расширение: _bigdick333@jabber.cd 

Jabber: bigdick333@jabber.cd 

Результаты анализов: VT + IA

Вариант от 22 ноября 2021: 

Сообщение >>

Расширение: +cccrraab@jabber.cd

Записка: INSTRUCTION.txt

Jabber: cccrraab@jabber.cd

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
За дешифровкой обращайтесь к thyrex по ссылке >>

Увы... Для зашифрованных файлов новых версий FLKR нет дешифровщика. 
Файлы могут быть расшифрованы только с использованием (закрытого) секретного ключа, находящегося у злоумышленника.

 Read to links: 
 Topic on VI
 Tweet on Twitter
 ID Ransomware (ID as FLKR)
 *

 Thanks: 
 Thyrex, Andrew Ivanov
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PopCornTime

PopCornTime Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,5-1,0 биткоинов, чтобы вернуть файлы. Название оригинальное, указано в проекте. Разработчики называют себя группой сирийских студентов. 

© Генеалогия: HiddenTear >> Popcorn Time Ransomware

Popcorn Time — кроссплатформенный свободный BitTorrent-клиент, включающий медиапроигрыватель, позволяющий транслировать фильмы и телепередачи через торренты. На фоне его известности решили сыграть вымогатели, которые распространяют под видом нового инсталлятора установочный файл с вирусом-шифровальщиком. 

Оригинальный логотип реального Popcorn Time

К зашифрованным файлам добавляется расширение .kok или .filock

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
restore_your_files.txt
restore_your_files.html

Содержание текстовой записки о выкупе:
Warning Message!!
We are sorry to say that your computer and your files have been encrypted,
but wait, don’t worry. There is a way that you can restore your computer and all of your files
***
Your personal unique ID: [UID]
You must send at least [BAMOUNT] Bitcoin to address [WADDRESS] to get your files back
Warning!!! If you will not pay for the next 7 days, the decryption key will be deleted and your files will be lost forever.
***
Restoring your files - The fast and easy way
To get your files fast, please transfer [BAMOUNT] bitcoin to our wallet address [WADDRESS]. When we will get the money, we will immediately give you your private decryption key. Payment should be confirmed in about 2 hours after payment made.
Restoring your files - The nasty way
Send the link [RLINK] below to other people, if two or more people will install this file and pay, we will decrypt your files for free.
What we did?
We had encrypted all of your important images, documents, videos and all other files on your computer,
We used a very strong encryption algorithm that used by all governments all over the world.
We store your personal decryption code to your files on our servers and we are the only ones that can decrypt your files.
Please don't try to be smart, anything other than payment will cause damage to your files and the files will be lost forever!!!
If you will not pay for the next 7 days, the decryption key will be deleted and your files will be lost forever.
Why we do that?
We are a group of computer science students from Syria, as you probably know Syria is having bad time for the last five years.
Since 2011 we have more the half million people died and over 5 million refugees. Each member of our team has lost a dear from his family. 
I personally have lost both my parents and my little sister in 2015.
The sad part is that the world remained silent and no one helping us so we decided to take an action.
How to buy Bitcoins?
If you aren't familiar with Bitcoin and don't know what is it,
please visit the official Bitcoin website (https://bitcoin.org/en/getting-started),
follow the steps and you'll get your Bitcoins.
To understand more you can check also on the FAQ page (https://bitcoin.org/en/faq).
Please check this website (https://coinatmradar.com/) where you can find Bitcoin ATM all over the world.
List of encrypted files on your computer
[FILES_LIST]

Перевод записки на русский язык:
Предупреждающее сообщение!!
К сожалению, должен сказать, что ваш компьютер и ваши файлы были зашифрованы,
но подождите, не волнуйтесь. Есть способ, что вы можете восстановить ваш компьютер и все ваши файлы
***
Ваш личный уникальный ID: [UID]
Вы должны отправить минимум [BAMOUNT] Bitcoin на адрес [WADDRESS], чтобы получить файлы обратно
Предупреждение!!! Если вы не заплатите в течение следующих 7 дней, ключ дешифрования будет удален, и ваши файлы будут потеряны навсегда.
***
Восстановление файлов - быстрый и простой способ
Для того, чтобы получить ваши файлы быстро, пожалуйста, переведите [BAMOUNT] Bitcoin на адрес нашего кошелька [WADDRESS]. Когда мы получим деньги, мы сразу же дадим вам ваш личный ключ дешифрования. Оплата должна быть подтверждена в течение примерно 2 часов после сделанной оплаты.
Восстановление файлов - другой путь
Отправить ссылку [RLINK] ниже для других людей, если два или больше людей установят этот файл и заплатят, мы расшифруем ваши файлы бесплатно.
Что мне делать?
Мы зашифрованы все важные изображения, документы, видео и все другие файлы на вашем компьютере,
Мы использовали очень сильный алгоритм шифрования, который используют все правительства в мире.
Мы сохранили ваш персональный код дешифрования файлов на наших серверах, и мы единственные, кто может расшифровать ваши файлы.
Пожалуйста, не пытайтесь умничать, всё что-либо, кроме оплаты, может привести к повреждению ваших файлов и файлы будут потеряны навсегда!!!
Если вы не будете платить в течение следующих 7 дней, ключ дешифрования будет удален, и ваши файлы будут потеряны навсегда.
Почему мы делаем это?
Мы являемся группой студентов информатики из Сирии, как вы, вероятно, знаете, Сирия переживает плохое время в течение последних пяти лет.
С 2011 года у нас уже больше полутора миллионов человек погибли и более 5 миллионов беженцев. Каждый член нашей команды потерял дорогого из своей семьи.
Я лично потерял обоих моих родителей и мою младшую сестру в 2015 году.
Печально то, что мир молчал, и никто не помогать нам, поэтому мы решили принять меры.
Как купить биткоины?
Если вы не знакомы с Bitcoin и не знаете, что это, пожалуйста, посетите официальный сайт Bitcoin (https://bitcoin.org/en/getting-started), следуйте инструкциям, и вы получите ваши биткоины.
Чтобы понять больше, вы можете проверить также на странице FAQ (https://bitcoin.org/en/faq).
Пожалуйста, проверьте этот сайт (https://coinatmradar.com/~~HEAD=dobj), где вы можете найти Bitcoin ATM во всем мире.
Список зашифрованных файлов на вашем компьютере
[FILES_LIST]

Информатором жертвы также выступает экран блокировки "Warning Message!!", который дублирует содержание записки о выкупе. 

[UID] - уникальный идентификатор жертвы
[WADDRESS] - адрес Bitcoin-кошелька вымогателя

Кроме того, что проект пока находится в разработке, имеется функционал удаления файлов после четырех неудачных попыток ввода кода дешифрования (самое нижнее поле на скриншоте выше). 

После запуска шифровальщик проверяет систему на наличие файлов been_here и server_step_one. Если файл been_here существует, то это означает, что компьютер уже зашифрован и шифровальщик завершит работу. Иначе он будет загружать заготовленные изображения, чтобы использовать их в качестве фона или начнёт процесс шифрования файлов.

На данный момент шифровальщик нацелен только на тестовую папку Efiles на рабочем столе. Он будет искать эту папку с файлов, которые имеют заданные расширения, а затем зашифрует их с помощью AES-256. 

Во время шифрования жертве показывается следующий фальшивый экран установки и обновления.

Примечательно, но после оплаты вымогатели позаботились о том, чтобы успокоить уплативших выкуп следующей фразой о благотворительности.

Фраза, выделенная красной рамкой:
"We know that we forced you to pay, but be sure that the payment was for a good cause, The money you gave will be used for food, medicine and shelter to those in need."

Перевод фразы на русский язык:
"Мы знаем, что заставили вас заплатить, но будьте уверены, что платеж был на хорошее дело, деньги, что вы дали, будут использованы для продуктов, медикаментов и жилья для нуждающихся."

После реализации проекта может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов, торрент-загрузок, ботнетов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp (525 расширений).
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
popcorn_time.exe
<random>.torrent.exe
restore_your_files.txt
restore_your_files.html
%AppData%\been_here
%AppData%\server_step_one

Записи реестра, связанные с этим Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Popcorn_Time" [path_to]\popcorn_time.exe

Сетевые подключения:
***popcorn-time-free***
***3hnuhydu4pd247qb.onion***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на kok >> Ещё >> Ещё >>
VirusTotal анализ на filock >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 13 декабря 2016:
Пост в Твиттере >>
Жёлтый цвет надписи таймера дней и часов изменился на сиреневый.
С чего бы такие мелочи? :) 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PopCornTime)
 Write-up on BC
 *
 *

 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

HackedLocker

HackedLocker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,33 биткоинов при уплате в течении 24 часов, или 0,5 биткоинов после 24 часов, чтобы вернуть файлы. 

Название дано по большой надписи Hacked в центре экрана блокировки. Оригинальное: Locker. Фальш-имя: Hewlett-Packard. По данным исследователей, шифровальщик не доделан или содержит ошибки в коде. Разработчик: Monument. 

© Генеалогия: Jigsaw > Hacked

К зашифрованным файлам добавляется расширение .hacked или случайное. 

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Текстовой записки с требованием выкупа нет. Её заменяет экран блокировки с надписью "Your Computer Has Been Hacked". 

Содержание записки о выкупе:
HACKED
Your computer has been encrypted
You must pay .33 bitcoins within 24 hours
Or .5 bitcoins after 24 hours
To get your files back
After 48 hour your computer will be destroyed if you have not paid
Your bitcoin payment address is:
18zvwscqrb***
If you do not have bitcoins buy them at www.localbitcoins.com

Перевод записки на русский язык:
ВЗЛОМАНО
Ваш компьютер был зашифрован
Вы должны заплатить 0.33 биткоина в течение 24 часов
Или 0.5 биткоина через 24 часа
Чтобы получить файлы обратно
Через 48 часа ваш компьютер будет уничтожен, если вы не заплатили
Ваш платежный Bitcoin-адрес:
18zvwscqrb ***
Если у вас нет биткоинов купите их в www.localbitcoins.com

Не указано никаких контактов для связи с вымогателем после уплаты выкупа. Уплата выкупа бесполезна!

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Locker.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.localbitcoins.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!

Для зашифрованных файлов есть декриптер.

Скачать Jigsaw Decrypter для Hacked Ransomware >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Jigsaw Updated)
 Write-up
 *
 *

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

GoldenEye

GoldenEye Ransomware 

Petya-3 Ransomware 

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 

По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 

См. также статьи УК РФ: 

ст. 272 "Неправомерный доступ к компьютерной информации" 

ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES (в режиме CBC), а затем требует выкуп в размере ~1.33-1.34 биткоинов, чтобы вернуть файлы. Название оригинальное. Из результатов анализов видно, что есть ещё оригинальное название проекта: ZoomIt. Фактически это новая вариация крипто-вымогателя Petya+Mischa. Фальш-имена: ESET OnlineScanner, EOS_v2. Разработчик: Janus Cybercrime Solutions.

Обнаружения: 
DrWeb -> Trojan.MBRlock.265
BitDefender -> Trojan.Ransom.BHE, Trojan.GenericKD.3826045
Malwarebytes -> Ransom.Petya
VBA32 -> Trojan.MBRlock
Symantec -> Ransom.Goldeneye

© Генеалогия: Petya > Petya+Misha > GoldenEye > ☠ PetrWrap, ☠ Petna (Petya NSA EE) 

К зашифрованным файлам добавляется расширение .<random_8_chars>

Логотипы GoldenEye Ransomware

Этимология названия: 
Название получил от советского космического оружия GoldenEye ("Золотой глаз"), которое фигурирует в одном из фильмов о Джеймсе Бонде ("GoldenEye", 1995). 

"Петя" и "Миша" — это названия спутников из этого фильма. В фильме также действует некая преступная группа "Янус", отсюда "имя" разработчика крипто-вымогателя — Janus Cybercrime Solutions. 
Порядковое название данной версии: Petya-3 или Petya 3.0

Активность этого крипто-вымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Вредонос вызывает отказ системы и принудительную перезагрузку. После перезагрузки ПК появляется чёрный экран, где как будто отображается процесс проверки жесткого диска на ошибки (CHKDSK). На самом же деле GoldenEye просто шифрует файлы жертвы. Затем появляется экран, информирующий жертву о произошедшем. 

Содержание текста с экрана:
You became victim of the GOLDENEYE RANSOMWARE!
The harddisks of your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser: 
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Enter your personal decryption code there:
ngWPic-*****-eKA9eh
If you already purchased your key, please enter it below.
Key: ___

Перевод на русский:
Вы стали жертвой GOLDENEYE RANSOMWARE!
Жёсткие диски вашего компьютера были зашифрованы с алгоритмом шифрования военного класса. Нет никакого способа, чтобы восстановить ваши данные без специального ключа. Вы можете приобрести этот ключ на странице даркнета, показанной на шаге 2.
Чтобы приобрести ключ и восстановить данные, выполните следующие три простых шага:
1. Загрузите браузер Tor на "https://www.torproject.org/". Если вам нужна помощь, ищите в Google "access onion page".
2. Зайдите на одну из следующих страниц с Tor-браузером:
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Введите ваш персональный код дешифрования там:
ngWPic-*****-eKA9eh
Если вы уже приобрели ключ, пожалуйста, введите его ниже.
Ключ: ___

При переходе на сайт оплаты выкупа жертва должна ввести свой ID, после чего откроются следующие страницы сайта вымогателей. Я сделал анимированное изображение из трёх страниц сайта. 

Страницы сайта оплаты выкупа

Кроме того, есть текстовые записки с требованием выкупа, они называются YOUR_FILES_ARE_ENCRYPTED.TXT и разбрасываются в документах, на рабочем столе и в других папках с зашифрованными файлами. 

Содержание текстовой записки о выкупе:
You became victim of the GOLDENEYE RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way
to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Enter your personal decryption code there: *****

В других записках указаны адреса:
golden5a4eqranh7.onion/Elk4oLEp
goldeny4vs3nyoht.onion/Elk4oLEp
golden5a4eqranh7.onion/xe2r2oo4
goldeny4vs3nyoht.onion/xe2r2oo4

Перевод записки на русский язык:
Вы стали жертвой GOLDENEYE RANSOMWARE!
Файлы на компьютере были зашифрованы с помощью алгоритма шифрования военного класса. Нет способа восстановить ваши данные без специального ключа. Вы можете приобрести этот ключ на странице даркнета, показанной на шаге 2.
Чтобы приобрести ключ и восстановить данные, сделайте следующие три простых шага:
1. Загрузите браузер Tor с "https://www.torproject.org/". Если вам нужна помощь, ищите в Google "access onion page".
2. Зайдите на одну из следующих страниц с Tor-браузером:
***goldenhjnqvc211d.onion/ngWPic5x
***golden2uqpiqcs6j.onion/ngUPic5x
3. Введите ваш персональный код дешифрования здесь: *****

Технические детали

Распространяется с помощью email-спама, фишинга и вредоносных вложений, в частности вредоносного файла с названиями "Bewerbung.xls" и им подобными: Wiebold-Bewerbung.xls, Meinel-Bewerbung.xls, Seidel-Bewerbung.xls, Wüst-Bewerbung.xls, Born-Bewerbung.xls, Schlosser-Bewerbung.xls ...

➤ Письмо приходит якобы от rolf.drescher@, что на самом деле неправда. На момент написания статьи сообщалось о пострадавших в Германии и немецкоговорящих пользователях. Пример, см. ниже. 

При открытии жертве отображается следующая таблица Excel-документа, содержащего вредоносный макрос, который и устанавливает на ПК шифровальщик GoldenEye, см. пример ниже.

Если пользователь разрешит использование макроса, то сработает сценарий, вредонос будет сохранён в папку Temp и автоматически запущен на исполнение — начнётся процесс шифрования файлов.

➤ Для каждого зашифрованного файла GoldenEye добавляет случайное расширение, состоящее из 8 символов: .<random_8_chars>

➤ В перспективе GoldenEye может начать распространяться и с помощью эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. В том числе может поменять вложение на PDF-EXE-файл. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

➤ Основное отличие GoldenEye от Mischa в том, что предшественник ставился после того, как не мог установиться Petya (MBR буткит), а сегодняшний GoldenEye сначала ставится сам, шифрует файлы, а уже потом пытается установить MBR-буткит для шифрования MFT (Master File Table) диска после перезагрузки ПК с помощью алгоритма Salsa20. 

➤ Важное замечание! Вымогатель сделан так, что выкуп нужно уплатить не откладывая и не выключая ПК, иначе вступит в работу MBR-буткит и при перезагрузке или последующем включении ПК начнётся процесс шифрования MFT диска. Не факт, что вымогатель будет ждать, когда вы сделаете платёж, а не вызовет принудительную перезагрузку системы, чтобы причинить гарантированно больший ущерб системе и пользовательским данным. Нельзя доверять вымогателям! 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .a2c, .aa, .aa3, .aac, .accdb, .aepx, .ai, .aif, .amr, .ape, .apnx, .ari, .arw, .asf, .asp, .aspx, .asx, .avi, .azw, .azw1, .azw3, .azw4, .bak, .bat, .bay, .bin, .bmp, .camproj, .cat, .ccd, .cdi, .cdr, .cer, .cert, .cfg, .cgi, .class, .cmf, .cnf, .conf, .config, .cpp, .cr2, .crt, .crw, .crwl, .cs, .csv, .cue, .dash, .dat, .db, .dbf, .dcr, .dcu, .ddspspimage, .default, .der, .dfm, .dib, .directory, .disc, .dmg, .dng, .doc, .docm, .docx, .dtd, .dvd, .dwg, .dxf, .eip, .emf, .eml, .eps, .epub, .erf, .fff, .flv, .frm, .gfx, .gif, .gzip, .h, .htm, .html, .idl, .iiq, .indd, .inf, .iso, .jar, .java, .jfif, .jge, .jpe, .jpeg, .jpegB, .jpg, .js, .json, .jsp, .k25, .kdc, .key, .ldf, .lit, .localstorage, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mef, .mkv, .mobi, .mov, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpv2, .mrw, .msg, .mts, .mui, .myi, .nef, .nrg, .nri, .nrw, .number, .obj, .odb, .odc, .odf, .odm, .odp, .ods, .odt, .ogg, .orf, .ost, .p12, .p12, .p7b, .p7c, .pagesN, .pas, .pbk, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .po, .pps, .ppt, .pptm, .pptx, .prf, .props, .ps, .psd, .pst, .ptx, .pub, .py, .qt, .r3d, .ra, .raf, .ram, .rar, .raw, .result, .rll, .rm, .rpf, .rtf, .rw2, .rwl, .sql, .sqlite, .sqllite, .sr2, .srf, .srt, .srw, .svg, .swf$, .tga, .tiff, .toast, .ts, .txt, .vbs, .vcd, .vlc, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wma, .wmv, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xps, .xsl, .yml, .yuv, .zip (236 расширений). 

Это документы MS Office, OpenOffice, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_ENCRYPTED.TXT
rad[5_chars].exe (например: radF1016.exe, radBA016.exe, radF3E9A.exe)
netdde.exe
dfrgui.exe
core.dll
elevate_x86.dll
elevate_x64.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
goldenhjnqvc211d.onion/ngWPic5x
golden2uqpiqcs6j.onion/ngUPic5x
golden5a4eqranh7.onion/Elk4oLEp
goldeny4vs3nyoht.onion/Elk4oLEp


Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ на EXE>>  Ещё >> Ещё >>
VirusTotal анализ на DLL >>
Malwr анализ >>
Malwr анализ >>
Symantec: Ransom.Goldeneye >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Petya Ransomware
Petya+Misha (Petya-2) Ransomware
GoldenEye (Petya-3) Ransomware
PetrWrap Ransomware
Petna (Petya NSA EE, Petna, NotPetya, NonPetya, Nyetya) Ransomware
Bitch (Modified Green Petya) Ransomware

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Образец от 29 мая 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .shRwny89
Записка: YOUR_FILES_ARE_ENCRYPTED.TXT
Tor URL:
hxxxp://golden5a4eqranh7.onion/shRwny89
hxxxp://goldeny4vs3nyoht.onion/shRwny89
Результаты анализов: VT + VT + AR

Обновление от 30 декабря 2019:
Пост в Твиттере >>Расширение: .qBriNoe7
Записка:  YOUR_FILES_ARE_ENCRYPTED.TXT
Файл: p2phost.exe
Результаты анализов: VT + AR / VT
➤ Обнаружения:
DrWeb -> Trojan.Encoder.15079
BitDefender -> Gen:Variant.Ransom.GoldenEye.12
ESET-NOD32 -> Win32/Diskcoder.Petya.E
Malwarebytes -> Ransom.Petya
Symantec -> ML.Attribute.HighConfidence
---
➤ Образец похож на тот, что был представлен 29 мая 2019 (выше). 

➤ Содержание записки: 
You became victim of the GOLDENEYE RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way
to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for
   "access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://golden5a4eqranh7.onion/qBriNoe7
xxxx://goldeny4vs3nyoht.onion/qBriNoe7
3. Enter your personal decryption code there: qBriNoe7XQzydFkP9rKWjPBiXM52J7L9JgRi3H52y3nH7XV9yeq57LCFKypxUHuY*** [всего 96 знаков]

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GoldenEye)
 Write-up + Write-up

Added later:
Write-up on BC (add. on December 7, 2016)
Write-up on Malwarebytes (add. on Dec. 15, 2016)
Video review

 Thanks: 
 Fabian A. Scherschel + CERT-Bund
 Michael Gillespie, Andrew Ivanov
 hasherezade
 Catalin Cimpanu
 GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.