PayDay

PayDay HT Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп R$950 в биткоинах, чтобы вернуть файлы. На уплату выкупа даётся 120 часов (5 суток). Название оригинальное, указано в заголовке html-страницы.
R$ - это бразильский реал (денежная единица Бразилии).  

© Генеалогия: HiddenTear >> PayDay HT

К зашифрованным файлам добавляется расширение .sexy

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на португалоязычных (бразильских) пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: !!!!!ATENÇÃO!!!!!.html

Записка о выкупе в html-формате

Содержание записки о выкупе:
Seus arquivos foram Sequestrados!
TODOS os seus documentos, banco de dados, downloads, fotos e outros arquivos importantes foram criptografados utilizando o algoritmo AES (mesma criptografia utilizada pelo governo do EUA) com uma senha alfa-numérica de 150 caracteres gerada a partir deste computador e enviada para um servidor secreto na Internet onde somente eu tenho acesso.
O que fazer?
Para obter essa senha e descriptografar seus arquivos, você terá que pagar uma quantia de R$950,00 em BTC (BITCOIN). Para efetuar o pagamento e obter a senha, siga este pequeno manual:
1. Crie uma carteira BTC aqui: ***blockchain.info/***
2. Compre R$950,00 BTC com dinheiro em: ***
3. Envie os BTCs comprados para o endereço: *****
4. Acompanhe a transferência em: ***blockchain.info/address/***
5. Após o pagamento ser confirmado, envie-me um email requisitando a Senha: CATSEXY@PROTONMAIL.COM
6. Logo após, enviarei um arquivo compactado contento dois arquivos: um Decrypter em .exe e a Senha em um .txt
O que é Bitcoin:
Importante:
1. Ninguém pode te ajudar, a não ser eu!
2. Vocé tem apenas 120 Horas (5 dias) para efetuar o pagamento, caso o contrario eu deletarei a senha.
3. É inútil instalar/atualizar o software Anti Vírus, formatar o computador, fazer BO na delegacia, etc.
4. Seus arquivos só poderão ser descriptografados depois do pagamento.
5. Após vocé descriptografar seus arquivos, formate seu computador, instale um bom Anti Vírus e tome mais cuidado onde clica ;)

Перевод записки на русский язык:
Ваши файлы были похищены!
Все документы, базы данных, загрузки, фото и другие важные файлы были зашифрованы с алгоритмом AES (это шифрование, используемуе правительством США) с буквенно-цифровым паролем из 150 символов, генерируемых для данного компьютера и отправлены на секретный сервер в Интернете, где только у меня есть доступ.
Что делать?
Для получения этого пароля и декриптора файлов, вам придется заплатить сумму R$950,00 в BTC (Bitcoin). Для оплаты и получения пароля следуйте этому небольшому руководству:
1. Создайте BTC портфель здесь: *** blockchain.info/***
2. Купите R$950,00 BTC наличными деньгами: ***
3. Отправьте купленные BTCs на адрес: *****
4. Проследите передачу: *** blockchain.info/address/***
5. После подтверждения оплаты, пришлите мне по email запрашиваемый пароль: CATSEXY@PROTONMAIL.COM
6. После этого отправьте архив, содержащий два файла: один Decrypter в .exe и пароль в .txt
Что такое Bitcoin:
Важно:
1. Никто не может помочь вам, только я!
2. У вас есть только 120 часов (5 дней), чтобы сделать платеж, иначе я удалю пароль.
3. Бесполезно ставить / обновлять Антивирус, форматировать компьютер, делать заявление в полицейский участок и т.д.
4. Ваши файлы могут быть расшифрованы только после оплаты.
5. После того, как вы расшифруете ваши файлы, переформатируйте компьютер, установите хороший Антивирус и будьте более осторожны, когда кликаете ;)

Эпатажный фон записки о выкупе

Распространяется с помощью email-спама и вредоносных вложений (random.pdf.exe), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифрованию подвергаются файлы на Рабочем столе и в Загрузках. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
!!!!!ATENÇÃO!!!!!.html
hidden-tear.exe
(random.pdf.exe)
Фальш-имя: Adobe Reader

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***acclivitous-operabi.000webhostapp.com/write.php&info=***
CatSexy@protonmail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PayDay)
 Write-up
 *

 Thanks: 
 BleepingComputer
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Slimhem

Slimhem Ransomware 

(шифровальщик-НЕ-вымогатель)

   Этот шифровальщик шифрует данные на USB-накопителях с помощью AES-256 (CBC-режим), а затем сохраняет на компьютер файл-декриптер. Название оригинальное, прописано в коде. Slimhem разработан с чистого листа, разработчик: TwoTen.

© Генеалогия: Slimhem: Начало.

Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение .ENCRYPTED

Образец этого шифровальщика был обнаружен в декабре 2016 г. Ориентирован на англоязычных пользователей.

Записок с требованием выкупа НЕТ. 
Выкуп НЕ запрашивается. 

Не распространяется по классической схеме: с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Инструмент проникновения на ПК: RAT Mayhem

Шифрует файлы с ключом 5MqtmzLp4SlMAoRe. Имеет функционал проверки установленного в системе антивирусного ПО. Может взаимодействовать с предустановленными на компьютере серверами MySQL. Создан исключительно для изучения. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, текстовые файлы, фотографии и пр.

Файлы, связанные с этим Ransomware:
Slimhem.exe
%APPDATA%\SysHelper\Slimhem.exe -  путь до исполняемого файла 
SlimhemDecrypt.exe - декриптер
<random>.exe
<random>.tmp
csc.exe
cvtrex.exe
download.exe
%TEMP%\e0jtf2y0.tmp
%TEMP%\e0jtf2y0.0.cs
%TEMP%\e0jtf2y0.cmdline
%TEMP%\e0jtf2y0.out
%TEMP%\e0jtf2y0.err
logs.dat
updates.dat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
***beastcoast.co.uk/molnet/index.php/s/dza0yzhXKfMoKPU/download***
155.4.107.23 (Швеция)
freegeoip.net/json/
stackoverflow.com/q/2152978/23354
james.newtonking.com/projects/json
stackoverflow.com/q/11564914
stackoverflow.com/q/14436606/
es.newtonking.com/projects/json

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Deepviz анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *
 *

 Thanks: 
 MalwareHunterTeam
 TwoTen
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

M4N1F3STO

M4N1F3STO Ransomware 

(фейк-шифровальщик)

   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,3 биткоинов, чтобы вернуть файлы. Название оригинальное, указано на экране. На данный момент ничего не шифрует и не удаляет, только запугивает и выманивает деньги. 

© Генеалогия: M4N1F3STO ⟺ CIA Special Agent 767

Активность этого вымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана.

Содержание текста о выкупе:
I want to play a game with you. Let me explain the rules.
Your personal files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access therm.
Every hour I select some of them to delete permanently,
therefore I won't be able to access them, either.
Are you familiar with the concept of exponential growth? Let me help you out.
It starts out slowly then increases rapidly.
During the first 24 hour you will only lose a few files, 
the second day a few hundred, the third day a few thousand, and so on. 
If you turn off your computer or try to close me, when i start the next time
you will het 1000 files deleted as punishment.
Yes you will want me to start next time, since I am the only one that
is capable to decrypt your personal data for you.
Now, let's start and enjoy our little game together!
Send 0.3 bitcoins to this adress to unlock your Pc with your email adress
Your can purchase bitcoins from localbitcoins

Перевод записки на русский язык:
Я хочу сыграть в игру с вами. Позвольте мне объяснить правила.
Ваши личные файлы удаляются. Ваши фотографии, видео, документы и т.д...
Но, не волнуйтесь! Это произойдет, только если вы не согласитесь.
Тем не менее, я уже зашифровал ваши личные файлы, и вы не получите доступ к ним.
Каждый час я выбираю некоторые из них, чтобы удалить навсегда,
чтобы вы не имели возможность получить доступ к ним.
Вы знакомы с понятием экспоненциального роста? Позвольте мне помочь вам.
Он начинается медленно, но быстро увеличивается.
В течение первых 24 часа вы потеряете только несколько файлов,
второй день несколько сотен, на третий день несколько тысяч, и так далее.
Если выключить компьютер или попытаться закрыть меня, когда я начинаю в следующий раз
Вы лишитесь 1000 файлов, удаленных в качестве наказания.
Да, вы хотите, чтобы я начал в следующий раз, так как я единственный,
способен расшифровать ваши персональные данные для вас.
Теперь, давайте начнем наслаждаться нашей маленькой игрой вместе!
Отправь 0.3 биткоинов на этом адрес, чтобы разблокировать ПК, с адресом email
Вы можете приобрести биткоины в localbitcoins

Если жертва поторопится и переведет указанную сумму на биткоин-кошелек вымогателя, то получит следующее сообщение:

Содержание сообщения:
JUST DELETE IT TO REMOVE IT
HAHA YOU HAVE BEEN FOOLED

Перевод на русский язык:
Просто удалите его для удаления
Ха-ха вы были обмануты

Код разблокировки: нецензурен, чтобы его писать здесь. См. изображение. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Типы файлов, подвергающихся удалению:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
WindowsApplication1.exe
Receipt.exe

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Т.к. файлы всё же не шифруются, но шифрование упоминается в записке, то этот Ransomware я отношу к фейк-шифровальщикам. 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 20 декабря 2016:
Обнаружена дорабатываемая версия этого вымогателя. Ссылка на твит. 
Добавлен функционал шифрования и требования выкупа с оплатой за ключ дешифрования. 
Этот опыт пока неудачный. Подписывается как Jhon Woddy, Microsoft. 
Windows Update
Please do not restart or shutdown your pc during this operation.
Your system32 will be damaged, and this will brick you pc.
Thank You!
Jhon Woddy, Microsoft
Скриншоты прилагаются. 

 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up (n/a)
 *

 Thanks: 
 Jiri Kropac
 BleepingComputer
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

DALE, DaleLocker

DALE Ransomware
DaleLocker Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA-512, а затем требует связаться по email с вымогателями, чтобы вернуть файлы. Название от добавляемого расширения. Другие названия: DaleLocker, DaleCrypter.

© Генеалогия: CHIP > DALE.

Чип и Дейл: персонажи одноименного мультсериала

К зашифрованным файлам добавляется расширение .DALE

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: DALE_FILES.TXT
Разбрасываются по папкам с зашифрованными файлами.

Содержание записки о выкупе:
YOUR ID:629ed***
Hello! 
All Your files are encrypted! 
For more specific instructions, please contact us as soon as possible: 
grion@protonmail.com, grions@protonmail.com, grion@techie.com, grion@dr.com  
Attention: DO NOT USE ANY PUBLIC DECRYPTERS! YOU CAN DAMAGE YOUR FILES! 
Kind regards, 
Support Team.
YOUR ID:629ed***
YOUR ID:629ed***
YOUR ID:629ed***
YOUR ID:629ed***

YOUR ID:629ed***

Перевод записки на русский язык:
ВАШ ID:629ed ***
Привет!
Все Ваши файлы зашифрованы!
Для подробных инструкций, пожалуйста, свяжитесь с нами как можно скорее:
grion@protonmail.com, grions@protonmail.com, grion@techie.com, grion@dr.com
Внимание: НЕ ИСПОЛЬЗУЙТЕ ПУБЛИЧНЫЕ ДЕКРИПТЕРЫ! Вы можете повредить ваши файлы!
С уважением,
Группа поддержки.
ВАШ ID:629ed ***
ВАШ ID:629ed ***
ВАШ ID:629ed ***
ВАШ ID:629ed ***
ВАШ ID:629ed ***

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. Возможно, что и тем же путём, как и Chip Ransomware.

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.
.db, .doc, .docx, .jpg, .jpeg, .ppt, .pptx, .txt, .wb2, .wpd, .xls, .xlsx, .xml и пр.

Файлы, связанные с этим Ransomware:
DALE_FILES.TXT
<random>tmp.exe

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CHIP)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

UltraLocker

UltraLocker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп $1000 в биткоинах, чтобы вернуть файлы. Название оригинальное. Написан на AutoIt.

© Генеалогия: CryptoWire > UltraLocker

К зашифрованным файлам добавляется расширение .locked, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.locked.original_file_extension. 
Таким образом файл Important.docx станет Important.locked.docx

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа могут называться: README.txt или иначе.

Информатором жертвы выступает экран блокировки "UltraLocker". 

Содержание текста о выкупе с экрана блокировки:
All your files have been encrypted contact wambeng.watson@gmail.com for decryption key after payment to the provided address has been done.
***
The only way you can recover your files is to buy decryption key by paying to this address: 1JP78***** the sum of money requested. 
The payment method is: Bitcoins. The price is $1000 = Bitcoins
Click on the ‘Buy decryption key’ button.

Перевод текста на русский язык:
Все файлы были зашифрованы, контакт wambeng.watson@gmail.com для ключа дешифрования по указанному адресу только после сделанной оплаты.
***
Одним способом вы можете восстановить файлы, это купить ключ дешифрования, заплатив по этому адресу: 1JP78 ***** запрошенную сумму.
Способ оплаты: Bitcoins. Цена $1000 = Bitcoins
Нажмите на кнопку "Buy decryption key'.

Распространяется с помощью email-спама и вредоносных вложений (в данном случае с документом Quotation200809.doc), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Использованное вложение Quotation200809.doc

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Quotation200809.doc
Quotation1.exe
Art work sample.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
wambeng.watson@gmail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoWire - 27 октября 2016
Lomix - 24 ноября 2016
UltraLocker - 10 декабря 2016
Обновление CryptoWire - 3 марта 2017
Обновление CryptoWire - 5 апреля 2017
Обновление CryptoWire - 12 апреля 2017
Обновления CryptoWire позже не добавлялись
KingOuroboros - июнь 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoWire)
 Write-up
 *

 Thanks: 
 Karsten Hahn
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AES_KEY_GEN_ASSIST

AES_KEY_GEN_ASSIST Ransomware 

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 

По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 

См. также статьи УК РФ: 

ст. 272 "Неправомерный доступ к компьютерной информации" 

ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (ECB-режим) + RSA-2048, а затем требует связаться с вымогателями, чтобы уплатить выкуп за секретный ключ и дешифратор, чтобы вернуть файлы. Название оригинальное. Есть сведения о том, что это разработка украинских вымогателей. 

© Генеалогия: DXXD > AES_KEY_GEN_ASSIST.

К зашифрованным файлам добавляется расширение .pre_alpha

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: !Read__Me.tXt

Содержание записки о выкупе:
Dear customer, bad news!!!
Your server was hacked, and your files were encrypted.
[AES-ECB-256 bit + RSA 2048 bit keys]
Encryption was made using unique public RSA-2048 key generated for this computer. To decrypt files you need to obtain the private key.
If you need your files back and recommendations
  about how to protect data and server,
  write to e-mail:
AES_KEY_GEN_ASSIST@protonmail.com
cmp@keemail.me
If you did not receive answer by e-mail,
  write to BitMsg (https://bitmsg.me) address:
BM-2cUvFEjH2g1VDRFu8jzG9Lsff9ymXCMA8z
IMPORTANT: When writing us on e-mail or BitMsg, you must specify the following ID:
*****
WARNING!
PLEASE DO NOT USE ANY THIRD-PARTY DECRYPTION TOOLS OR YOUR FILES WILL BE LOST FOREVER!
WE ARE NOT RESPONSIBLE FOR FILES DAMAGED WITH WRONG TOOLS
Sorry.

Перевод записки на русский язык:
Уважаемый клиент, плохая новость!!!
Ваш сервер был взломан, а ваши файлы были зашифрованы.
[AES-ECB-256 бит + RSA 2048-битные ключи]
Шифрование было сделано используя уникальный открытый ключ RSA-2048, созданного для этого компьютера. Для расшифровки файлов вам необходимо получить закрытый ключ.
Если вам нужны ваши файлы обратно и рекомендации о том, как защитить данные и сервер, пишите на email:
AES_KEY_GEN_ASSIST@protonmail.com
cmp@keemail.me
Если вы не получили ответа по email, напишите d BitMsg (https://bitmsg.me) Адрес:
БМ-2cUvFEjH2g1VDRFu8jzG9Lsff9ymXCMA8z
ВАЖНО: При написании нам по email или BitMsg, надо указать следующий ID:
*****
ПРЕДУПРЕЖДЕНИЕ!
ПОЖАЛУЙСТА, НЕ ИСПОЛЬЗУЙТЕ СРЕДСТВА ДЕШИФРОВАНИЯ ОТ ТРЕТЬИХ ЛИЦ ИЛИ ВАШИ ФАЙЛЫ БУДУТ ПОТЕРЯНЫ НАВСЕГДА!
МЫ НЕ НЕСЕМ ОТВЕТСТВЕННОСТЬ ЗА ФАЙЛЫ, ПОВРЕЖДЕННЫЕ НЕПРАВИЛЬНЫМИ ИНСТРУМЕНТАМИ.
Сожалею.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
 !Read__Me.tXt

Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
AES_KEY_GEN_ASSIST@protonmail.com
cmp@keemail.me

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Topic on BC
 ID Ransomware (as AES_KEY_GEN_ASSIST)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Code Virus

Code Virus Ransomware 

(шифровальщик-вымогатель) 

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в 0,5-1,0 биткоина, чтобы вернуть файлы. Название оригинальное. Представляет собой доработанный крипто-конструктор HiddenTear/EDA2 для продажи (Modified HT/EDA2 For Sale). Разработчик: Xcoder.

© Генеалогия: HiddenTear/EDA2 >> Code Virus Ransomware

К зашифрованным файлам добавляется расширение .locky (по умолчанию).

Продажи этого криптовымогателя замечены в декабре 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ_IT.txt 
Вторым информатором жерты выступает скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе: 
You habe been Hacked!

Перевод записки на русский язык:
Вас взломали!

Этот Ransomware пока только продается кодером, доработавшим код. 

Страницы с сайта CodeVirus

Распространяться покупателем может с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Стандартный набор: документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр. Настраивается. 

Файлы, связанные с этим Ransomware:
ransom_demo.exe
READ_IT.txt 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***codevirus.net***
E-mail: xbotcode@gmail.com
Skype: xbotcode

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *
 *

 Thanks: 
 Jiri Kropac
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.