V8Locker

V8Locker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует связаться по email, чтобы вернуть файлы. Название от добавляемого расширения .v8.

© Генеалогия: Gomasom > RotorCrypt > V8Locker

К зашифрованным файлам добавляется составное расширение !__recoverynow@india.com__.v8
Пример зашифрованного файла: Documentation.doc!__recoverynow@india.com__.v8

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
recoveryinstruction.txt 

Содержание записки о выкупе:
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048. More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
CONTACT US BY EMAIL: recoverynow@india.com

Перевод записки на русский язык:
Что случилось с файлами?
Все ваши файлы были защищены с сильным шифрованием RSA-2048. Более подробную информацию о ключей шифрования с использованием RSA-2048 можно найти здесь: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Что это значит?
Это означает, что структура и данные в файлы были безвозвратно изменились, вы не сможете работать с ними, читать их или видеть их, это то же самое, как потерять их навсегда, но с нашей помощью, вы можете восстановить их.
КОНТАКТ С НАМИ ПО E-MAIL: recoverynow@india.com

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
recoveryinstruction.txt 
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
recoverynow@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Topic on BC
 ID Ransomware (ID as V8Locker)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cryptorium

Cryptorium Ransomware 

(фейк-шифровальщик)

   Этот вымогатель якобы шифрует данные пользователей, а затем предлагает купить ключ, чтобы вернуть файлы. Название оригинальное, кроме того, позиционируется еще как VirtualUIPro Exlusive. Разработчик: Vegard. 

© Генеалогия: выясняется.

На самом деле вымогатель не шифрует файлы, а только переименовывает, но затем, чтобы запутать жертву, добавляет к ним расширение .ENC

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
CRYPTORIUM
Oh no, you had bad luck today. All your files are encrypted!
But! I have not deleted them yet! Purchase a "GBO KEY" to decrypt your files. 
If not all encrypted files will be permanently deleted within 32h and then there is no way to recover them!
Be quick or no files!
*All servers are down at the moment! 
You will have to find it out! 
Oh and the gbo keys are all generated randomly! >:]
"DECRYPT WITH CODE"

Перевод записки на русский язык (грамота сохранена):
CRYPTORIUM
О, нет, вам не повезло сегодня. Все ваши файлы зашифрованы!
Но! Я их еще не удалил! Купите "GBO KEY" для расшифровки файлов.
Если не все зашифрованные файлы будут навсегда удалены в пределах 32 часов и тогда нет никакого способа, чтобы восстановить их!
Будь быстрым или нет файлов!
* Все серверы вниз в данный момент!
Вам придется найти его!
Ох и ключи GBO KEY все генерируются случайным образом! >:]
"DECRYPT WITH CODE"

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся переименованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
VirtualUIPro.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Т.к. файлы всё же не шифруются, но шифрование упоминается в записке, то этот Ransomware я отношу к фейк-шифровальщикам. 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *
 *

 Thanks: 
 Karsten Hahn
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Antihacker2017

Antihacker2017 Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует прислать письмо на почту вымогателя, чтобы вернуть файлы. Название оригинальное. Разработчик скрылся под ником Антихакер.

© Генеалогия: Xorist >> Antihacker2017

К зашифрованным файлам добавляется расширение .antihacker2017 

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение на рабочем столе. 

Содержание записки о выкупе:
Внимание! Все Ваши файлы зашифрованы!
Чтобы восстановить свои файлы и получить к ним доступ, отправьте письмо на почту antihacker2017@8ox.ru
У вас есть 50 попыток ввода кода. При превышении этого количества, все данные необратимо испортятся. Будьте внимательны при вводе кода!
Ваш данные были зашифрованы по причине того что с вашего IР
Был зафиксирован доступ на Порно сайты: по ключевым запросам Гей-порно, порно с малолетками, инцест, изнасилование. Порно это Вред!!!
Надеемся в будущем вы не будете посещать данные сайты.
Вам на почту придёт инструкция по расшифровке ваших данных.
Не пытайтесь запустить Антивирус. Он только навредит и исключит возможность расшифровки.
Удачи. С Вами был Антихакер.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
CS.exe
<файл изображения>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
antihacker2017@8ox.ru
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!

Для зашифрованных файлов есть декриптер

Скачать декриптер Xorist для Antihacker2017 >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CIA Special Agent 767

CIA Special Agent 767 Ransomware

(фейк-шифровальщик)

   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $100 долларов, чтобы вернуть файлы, по прошествии 5 дней сумма увеличивается до $250, а потом и $500 долларов. Название оригинальное, указано на экране. На данный момент ничего не шифрует и не удаляет, только запугивает и выманивает деньги. 

© Генеалогия: M4N1F3STO ⟺ CIA Special Agent 767

Активность этого вымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана, имитирующий сообщение якобы от агента ЦРУ.

Содержание текста о выкупе:
IMPORTANT! PLEASE READ!
Unfortunately the files on this computer (documents, photos, videos) have been encrypter using an extremely secure and unbreakable algorithm. This means that the files are now useless unless they are decrypted using a key.
The good news is that your files are not lost forever! This tool is able to rescue the files on your computer for you!
BY PURCHASING A LICENSE FROM US, WE ARE ABLE TO RESCUE YOUR FILES 100% GUARANTEED FOR EVERY LOW EARLY BIRD PRICE OF ONLY $100 USD!* In 5 days however, the price of this service will increase to $250 USD, and after $500 USD.
Payment is accepted in Bitcoin only. You can purchase Bitcoin very easily in your area by bank transfer, Western Union, or even cash.
Visit www.localbitcoins.com to find a seller in your area. You can also goolge Bitcoin Exchanges to find other methods for buying Bitcoin
Please check the current price of Bitcoin and ensure you are sending the correct amount before making your payment! 
Visit www.bitcoinaverage.com for the current Bitcoin Price.
After making your payment please wait up to 24 hours for us to make your key available. Usually done in much less time however.
IMPORTANT: Once the key is available and you click "Decrypt Files", please wait and let the decryption process complete before closing this tool. This Process can take from 15 minutes to 2+ hours depending on how many files need to be decrypted. You will get a notification thatthe decryption process is complete, at which time you can click "Exit". Removing this tool from your computer without first decrypting your files will cause your files to be lost forever.

Перевод текста на русский язык:
ВАЖНО! ПОЖАЛУЙСТА ПРОЧТИ!
К сожалению, файлы на этом компьютере (документы, фото, видео) были зашифрованы с использованием чрезвычайно безопасного и крепкого алгоритма. Это означает, что файлы теперь бесполезны, если они не будут расшифрованы с помощью ключа.
Хорошая новость заключается в том, что ваши файлы не будут потеряны навсегда! Этот инструмент способен спасти файлы на вашем компьютере для вас!
Приобретая лицензию у нас, мы можем спасти ваши файлы 100% гарантированное для каждого низкой ранней цене птицы всего $100 USD! * Через 5 дней однако цена этой услуги увеличится до $250 долларов, а до $500 USD.
Оплата принимается только в Bitcoin. Вы можете приобрести Bitcoin очень легко в вашем районе банковский перевод, Western Union, или даже наличными.
Посетите www.localbitcoins.com найти продавца в вашем районе. Вы можете также Goolge обмен Bitcoin, чтобы найти другие методы для покупки Bitcoin
Пожалуйста, проверьте текущую цену Bitcoin и убедитесь, что вы посылаете правильную сумму, прежде чем сделать вашу оплату!
Посетите www.bitcoinaverage.com для текущего Bitcoin цена.
После внесения оплаты, пожалуйста, подождите до 24 часов нас, чтобы предоставить ваш ключ. Обычно уходит намного меньше времени.
ВАЖНО: После того, как ключ доступен и вы кликните "Decrypt Files" Подождите, пожалуйста, и пусть процесс дешифрования полностью завершится. Этот процесс может занять от 15 минут до 2+ часов в зависимости от того, сколько файлов нужно расшифровать. Вы получите уведомление когда процесс расшифровки будет завершен, на котором вы можете нажать "Exit". Удаление этого инструмента с компьютера без предварительной расшифровки ваших файлов сделает ваши файлы потерянными навсегда.

Если жертва поторопится и переведет указанную сумму на биткоин-кошелек вымогателя, то получит следующее сообщение:

Содержание сообщения:
JUST DELETE IT TO REMOVE IT
HAHA YOU HAVE BEEN FOOLED

Перевод на русский язык:
Просто удалите его для удаления
Ха-ха вы были обмануты


Код разблокировки: нецензурен, чтобы его писать здесь. См. изображение.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Т.к. файлы всё же не шифруются, но шифрование упоминается в записке, то этот Ransomware я отношу к фейк-шифровальщикам. 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *
 *

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LoveServer

LoveServer Ransomware 

(шифровальщик-вымогатель) 

   Этот крипто-вымогатель атакует серверы и шифрует данные, находящиеся в общих сетевых папках, а затем требует прислать письмо с указанным IP-адресом, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

Изображение не относится к шифровальщику

Все зашифрованные файлы помещаются в огромный архив под названием "Backup Don't Delete", у которого удалено расширение.

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: R-E-A-D-M-E.txt

Содержание записки о выкупе:
Hello,
I crypted all your important data
I stored the crypted data in your hard disk.
If you want to become your date back, send me an email containing your ip adress.
Your ip adress: X.X.X.X
Email: love.server@mail.ru

Перевод записки на русский язык:
Привет,
Я зашифровал все важные данные
Я сохранил зашифрованные данные на вашем жестком диске.
Если вы хотите вернуть данные назад, пришлите мне письмо, содержащее ваш IP-адрес.
Ваш IP-адрес: X.X.X.X
E-mail: love.server@mail.ru

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
R-E-A-D-M-E.txt
<random>.tmp
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
love.server@mail.ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Topic on BC
 ID Ransomware (ID as LoveServer)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kraken

Kraken Ransomware 

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы. Сумма выкупа удваивается по истечении времени. Название оригинальное. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .kraken
Зашифрованные файлы переименовываются с использованием base64 и принимают следующий вид:
"0SP53hCO8L+aPXb+1zOPwuZr4VrMgRC1hTkBquYbrsynqmXSvGQMnt0RfP9Y-Sqx6Y6LqquhHhvIHpFKXtuIXvr9tFn91Bqvop+O7XyUC+c=.kraken

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

В прошлом, в 2013 году, уже был шифровальщик, которые добавлял расширение .kraken к зашифрованным файлам, но сами файлы не переименовывались. Связь с ним не установлена. 

Записки с требованием выкупа называются: _HELP_YOUR_FILES.html

Содержание текста о выкупе:
KRAKEN
Your documents, photos, databases and other important files have been encrypted!
Decryption of your files is only possible with the special decryption program.
To buy your decryption program follow the steps below.
Number of Files Encrypted 324 
Decryption program price doubles in 1 Days 5 Hours 9 Minutes 32 Seconds 
The current price is 2 BTC  ~1553.52 USD
How to buy Kraken Decryptor?
1. Payment method is Bitcoin Only, follow the steps below.
What is Bitcoin ?
Bitcoin is a consensus network that enables a new payment system and a completely digital money. It is the first decentralized peer-to-peer payment network that is powered by its users with no central authority or middlemen.
More Info:
wikipedia  
bitcoin.org 
coindesk.com  
2. Purchasing Bitcoins
Here are our recommendations:
localbitcoins.com (WU) Buy Bitcoins with Western Union. 
coincafe.com Recommended for fast, simple service.
Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, in person.  
localbitcoins.com  Service allows you to search for people in your community willing to sell bitcoins to you directly.  
cex.io Buy Bitcoins with VISA/MASTERCARD or wire transfer. 
btcdirect.eu The best for Europe. 
bitquick.co Buy Bitcoins instantly for cash. 
howtobuybitcoins.info  An international directory of bitcoin exchanges. 
cashintocoins.com  Bitcoin for cash. 
coinjar.com CoinJar allows direct bitcoin purchases on their site. 
anxpro.com 
bittylicious.com  
3. Send 2 BTC  ~1558.64 USD to Bitcoin address:
1Bi3A*****
4. Send an email to below addresses with your Personal ID as the subject
Email Addresses
krakenk811@gmail.com
kraken0@india.com
kraken@innocent.com
Your Personal ID 
27077D3A73FE521D25D895CB*****
5. Run the downloaded Decryptor you received via email on your computer.
Click on "Decrypt" button and wait for the "Decrypt Succeed" message
---
knowledge is not power. the implementation of knowledge is power. 

Перевод текста на русский язык:
KRAKEN
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы!
Расшифровка файлов возможна только со специальной программой дешифрования.
Для того, чтобы купить программу дешифрования выполните следующие действия.
Количество файлов, зашифрованных 324
Цена программы дешифрования удвоится через 1 дней 5 часов 9 минут 32 секунд
Текущая цена 2 BTC  ~1553.52 USD
Как купить Kraken Decryptor?
1. Метод оплаты только Bitcoin, следуйте инструкциям, приведенным ниже.
Что такое Bitcoin?
Bitcoin консенсус сеть, которая представляет новую платежную систему и полностью цифровые деньги. Это первая децентрализованная сеть оплаты соединенных равноправных узлов ЛВС, которая питается от своих пользователей без центральной власти или посредников. 
Больше информации:
wikipedia
bitcoin.org
coindesk.com
2. Покупка биткоинов
Вот наши рекомендации:
localbitcoins.com (WU) - Купить Bitcoins с Western Union.
coincafe.com - Рекомендуется для быстрого, простого обслуживания. 
Способы оплаты: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. В NYC: Bitcoin ATM, лично.
localbitcoins.com - Сервис позволяет искать людей в вашем сообществе готов продать Bitcoins вам непосредственно.
cex.io - Купить биткоины с VISA / MASTERCARD или банковским переводом.
btcdirect.eu - Лучше всего подходит для Европы.
bitquick.co - Купить Bitcoins сразу за наличные деньги.
howtobuybitcoins.info - Международный каталог Bitcoin обменов.
cashintocoins.com - Bitcoin за наличные деньги.
coinjar.com - CoinJar позволяет прямые покупки Bitcoin на своем сайте.
anxpro.com
bittylicious.com
3. Отправить 2 BTC  ~1553.52 USD на Bitcoin адрес:
1Bi3A*****
4. Отправить по email адресам ниже с вашим личным кодом в качестве темы
Адреса email
krakenk811@gmail.com
kraken0@india.com
kraken@innocent.com
Ваш персональный ID
27077D3A73FE521D25D895CB*****
5. Запустите загруженный декриптор вы получили по электронной почте на вашем компьютере.
Нажмите на кнопку "Decrypt" и дождитесь появления сообщения "Decrypt Succeed"
---
знание - не сила. реализация знаний - сила.

Внизу веб-страницы вставлена немного измененная фраза Гаррисона Уинна (Garrison Wynn), оратора-мотиватора. Мотивация сработала на совершение преступления.  

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ По некоторым данным кто-то украл у разработчика исходники и занимается распространением шифровальщика с целью собственной выгоды. Разработчик передал дешифровщик (декриптер) исследователям. См. ниже "Блок ссылок и спасибок". 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
_HELP_YOUR_FILES.html
Kraken.exe
Kraken Decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
krakenk811@gmail.com
kraken0@india.com
kraken@innocent.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 апреля 2018:
Пост в Твиттере >>
Версия: Kraken 2.0
Файлы: Kraken 2.0.exe, Catchem.exe
Стал использоваться сервер и веб-сайт Discord в качестве сервера C2 для ПК пострадавших.
URL: xxxx://psn.eztag.xyz/ip.php***
xxxxs://discordapp.com/api/webhooks/***
Результаты анализов: VT + VB + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Вы можете скачать Kraken decrypter для дешифровки >>
Место хранения - мой Яндекс.Диск

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Kraken)
 Write-up
 *

 Thanks: 
 Michael Gillespie
 Leo
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Antix

Antix Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель предположительно шифрует данные пользователей, а затем требует выкуп в 0,25 биткоинов, чтобы вернуть файлы. Название оригинальное: Antix или AntiX. Разработка: FRC 2016

© Генеалогия: выясняется.

Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение ***нет данных***

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки "You Have Been Hacked!!!".

Содержание текста о выкупе:
You Have Been Hacked!!!
All your personal files have been encrypted, and your passwords and info have been copied to an offline server. To get your files and passwords back, send "0.25" bitcoin to the bitcoin address below. Failure to pay by March 1st 2017 will result in loss of ALL data and your passwords and info will be leaked to the public.
Google "How to buy bitcoin" or follow the steps below.
1. Click here to open "https://www.coinbase.com/signup"
2. Signup and buy the amount requested below.
3. Send bitcoin to the address below.
4. Wait until Payment is verified.
Once the payment is verified all your data will be decrypted and this program and the offline server will self destruct.
Warning! Any Attempt to get rid of this program or rebooting your machine will result in the loss of all your data and your passwords and info will be posted online!

Перевод текста  на русский язык:
Вас взломали!!!
Все ваши личные файлы были зашифрованы, а ваши пароли и информация были скопированы в автономный сервер. Для того, чтобы получить ваши файлы и пароли обратно, отправьте "0,25" биткоинов по Bitcoin-адресу ниже. Неуплата до 1 марта 2017 года приведет к потере всех данных и паролей. а информация будет обнародована.
Гуглите "Как купить Bitcoin" или следуйте инструкциям, приведенным ниже.
1. Нажмите здесь, чтобы открыть "https://www.coinbase.com/signup"
2. Регистрация и покупка суммы, указанной ниже.
3. Отправьте биткоины по указанному ниже адресу.
4. Подождите, пока платеж проверяется.
После подтверждения оплаты все ваши данные будут расшифрованы, а эта программа и автономный сервер самоуничтожатся.
Внимание! Любая попытка избавиться от этой программы или перезагрузить машину приведет к потере всех ваших данных, а ваши пароли и информация будут размещены на сайте!

Внимание: Ворует пароли!

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Project1.exe 
Antix_ransomware.exe
<ransom>.exe
Cleanup.vbs
Фальш-имя: File Update Utility

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://www.coinbase.com/signup
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>   Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *

 Thanks: 
 MalwareHunterTeam
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.