HugeMe

HugeMe Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название оригинальное: HugeMe и HugeMe.exe

© Генеалогия: EDA2 >> Magic ⟺ Memekap > HugeMe

К зашифрованным файлам добавляется расширение .encrypted

Активность раннего варианта этого крипто-вымогателя, известного как Memekap или Magic, пришлась на декабрь 2015 - январь-февраль 2016 г. 
Появление теперь уже как HugeMe относится к началу февраля 2017 г. 
Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
DECRYPT.TXT
DECRYPT_ReadMe.TXT.ReadMe
DECRYPT_ReadMe1.TXT.ReadMe

Содержание записки о выкупе:
All your files encrypted with strong encryption.
To unlock your files you must pay 1 bitcoin to address :
1GvQ9GsMgwAUz91PKNpAJxrAwsztg1S7jy
Search google for how to buy and send bitcoin.
After you send the bitcoin email to : 
myqjs01@gmail.com
olv100@mail.ru
vegeta85@safe-mail.net
use all email to communicate with the information of username and pcname and the time you send bitcoins.
When we will confirme the transaction you will receive decryption key and decryption program.
You have 5 days to make transaction after that your decryption key will be deleted. And your files gone forever.

Перевод записки на русский язык:
Все твои файлы зашифрованы с сильным шифрованием.
Для разблока файлов ты должен заплатить 1 Bitcoin на адрес:
1GvQ9GsMgwAUz91PKNpAJxrAwsztg1S7jy
Поищи в Google как купить и отправить Bitcoin.
После отправки Bitcoin напиши на email:
myqjs01@gmail.com
olv100@mail.ru
vegeta85@safe-mail.net
используй все email для контакта c информацией о пользователе и ПК-имя и времени отправки биткоинов.
Когда мы подтвердим транзакцию ты получишь ключ дешифрования и дешифратор.
У тебя есть 5 дней, чтобы сделать оплату, после чего ключ дешифрования будет удалён. А твои файлы исчезнут навсегда.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После шифрования удаляет теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4,.mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi,.vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (473 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Во время шифрования пропускаются директории:
C:\Windows
C:\Program

Файлы, связанные с этим Ransomware:
hugeme.exe
hugeme2.exe
DECRYPT.TXT - записка с требованием выкупа
DECRYPT_ReadMe.TXT.ReadMe - записка с требованием выкупа
DECRYPT_ReadMe1.TXT.ReadMe - добавляется лог
deleteMyProgram.bat  - используется для удаления теневых копий

Расположение: 
%Desktop%\DECRYPT.TXT
%Desktop%\DECRYPT_ReadMe.TXT.ReadMe
%Desktop%\DECRYPT_ReadMe1.TXT.ReadMe
%Desktop%\deleteMyProgram.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://amaclin.freevar.com/ - (5.9.82.18:80 - Германия)
xxxx://amaclin.freevar.com/panel/createkeys.php
xxxx://amaclin.freevar.com/panel/savekey.php
xxxx://err.freewebhostingarea.com - (64.31.54.150:80 - США) 
myqjs01@gmail.com
olv100@mail.ru
vegeta85@safe-mail.net
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up by TrendMicro (January 26, 2016)
 ID Ransomware (n/a)
 Topic on BC
 *

 Thanks: 
 Alex Svirid
 Karsten Hahn
 TrendMicro
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DynA-Crypt

DynA-Crypt Ransomware

DynA CryptoLocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью отдельной программы AES, а затем требует выкуп в $50 в биткоинах, чтобы вернуть файлы. Название оригинальное. Разработчик: DynAmite. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .crypt

Зафиксированная активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
➤ Для ПК с Windows x64
➤ На начало 2018 года DynA-Crypt ещё используется. 

Записки с требованием выкупа выступает экран блокировки. 
Сообщение о выкупе имеет графический интерфейс, требует $50 в биткоинах на BTC-адрес. 

Содержание записки о выкупе:
DynA-Crypt
All your important files are encrypted
Your computer has been locked
If you want unlock send 50 $ BTC
To this wallet if not files will be
Randomly deleting every 5 minutes
1JzypNfNnJRWRFJFxNo5qAt13vYmxqeEz5

Перевод записки на русский язык:
DynA-Crypt
Все ваши важные файлы зашифрованы
Ваш компьютер был блокирован
Если хотите разблок, пришлите 50 $ BTC
На этот кошелёк, если нет, то файлы будут
Выборочно удаляться каждые 5 минут
1JzypNfNnJRWRFJFxNo5qAt13vYmxqeEz5

Распространяется по форумам, может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 

- Настраивается под себя, может блокировать браузеры, отключать защиту. 
- Разработчик нашпиговал своё детище различным дополнительным функционалом, множеством автономных исполняемых файлов и скриптов PowerShell. Нужно или не нужно, оно там есть. 
- Имеет также функционал трояна-шпиона и бэкдора: записывает нажатия клавиш, создает скриншоты, ворует информацию из приложений пользователей (Chrome, Firefox, Minecraft, Skype, Steam, TeamSpeak, Thunderbird и др.), пытается установить удалённое соединение. 

Список файловых расширений, подвергающихся шифрованию:
.001, .avi, .csv, .doc, .docx, .jpeg,.jpg, .m4a, .mdb, .mkv, .mov, .mp3, .mp4, .msg, .odt, .pdf, .png, .ppt, .pptx, .pst, .rar, .xls, .xlsx, .zip (24 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы и папки, связанные с этим Ransomware:
<random>.exe
picturespack.exe
%AppData%\Local\dyna\loot\ - место для сбора данных с ПК и помещения потом в архив loot.zip

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1JzypNfNnJRWRFJFxNo5qAt13vYmxqeEz5
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4 января 2018:

Пост в Твиттере >>

Файл: Evil_File.exe

Результаты анализов: VT + VB

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Attention! It can be decrypted!
For decoding, please contact Michael Gillespie

Внимание! Это дешифруется!
Для дешифровки пишите Майклу Джиллеспи

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DynA-Crypt)
 Write-up

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Serpent Danish

Serpent 2017 Ransomware
Serpent Danish Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в 0,75 биткоинов, чтобы вернуть файлы. Через 7 дней сумма увеличивается до 2,25 биткоинов. Название оригинальное. Не путайте с PayDOS (Serpent) Ransomware. 

© Генеалогия: Hades Locker (2016) > Serpent Danish (2017)

К зашифрованным файлам добавляется расширение .serpent

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
HOW_TO_DECRYPT_YOUR_FILES_[A-Za-z0-9]{3}.txt
HOW_TO_DECRYPT_YOUR_FILES_[A-Za-z0-9]{3}.html

 

Содержание записок о выкупе:

==== NEED HELP WITH TRANSLATE? USE https://translate.google.com ====

================ PLEASE READ THIS MESSAGE CAREFULLY ================

Your documents, photos, videos, databases and other important files have been encrypted!
The files have been encrypted using AES256 and RSA2048 encryption (unbreakable)
To decrypt your files you need to buy the special software 'Serpent Decrypter'.
You can buy this software on one of the websites below.
xxxx://vdpbkmwbnp.pw/00000000-00000000-00000000-00000000
xxxx://hnxrvobhgm.pw/00000000-00000000-00000000-00000000
If the websites above do not work you can use a special website on the TOR network. Follow the steps below
1. Download the TOR browser https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Inside the TOR browser brower navigate to : 3o4kqe6khkfgx25g.onion/00000000-00000000-00000000-00000000
3. Follow the instructions to buy 'Serpent Decrypter'

================ PLEASE READ THIS MESSAGE CAREFULLY ================

Перевод записок на русский язык:
==== НУЖНА ПОМОЩЬ С ПЕРЕВОДОМ? ИСПОЛЬЗУЙ https://translate.google.com ====
================ ПРОЧТИТЕ ЭТО СООБЩЕНИЕ ВНИМАТЕЛЬНО ================
Ваши документы, фото, видео, базы данных и другие важные файлы были зашифрованы!
Файлы были зашифрованы с помощью AES256 и RSA2048 шифрования (невзламываемые)
Для расшифровки файлов вам нужно приобрести специальный софт 'Serpent Decrypter'.
Вы можете купить этот софт на одном из указанных ниже веб-сайтов.
хххх://vdpbkmwbnp.pw/00000000-00000000-00000000-00000000
хххх://hnxrvobhgm.pw/00000000-00000000-00000000-00000000
Если веб-сайты, что выше, не работают, вы можете посетить специальный сайт в сети TOR. Сделайте следующие шаги
1. Загрузите TOR-браузер https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Из TOR-браузера перейдите на сайт: 3o4kqe6khkfgx25g.onion / 00000000-00000000-00000000-00000000
3. Следуйте инструкциям, чтобы купить 'Serpent Decrypter'
================ ПРОЧТИТЕ ЭТО СООБЩЕНИЕ ВНИМАТЕЛЬНО ================

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Пример письма со ссылкой на вредоносный документ с макросами

Загруженный документ, требующий включить содержимое

Список файловых расширений, подвергающихся шифрованию:

.2011, .2012, .2013, .2014, .2015, .2016, .2017, . 3dm, .7zip, .accd, .accdb, .accde, .accdr, .accdt, .aepx, .agdl, .aiff, .aspx, .back, .backup, .backupdb, .bank, .blend, .btif, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cfdi, .clas, .class, .cntk, .config, .craw, .db-journal, .db_journal, .ddoc, .ddrw, .defx, .design, .djvu, .docb, .docm, .docx, .dotm, .dotx, .dtau, .efsl, .erbsql, .fcpa, .fcpr, .flac, .flvv, .gray, .grey, .groups, .html, .iban, .ibank, .idml, .incpas, .indb, .indd, .indl, .indt, .int?, .intu, .java, .jpeg, .jsda, .kdbx, .kpdx, .laccdb, .lay6, .m2ts, .m3u8, .mbsb, .meta, .mhtm, .mone, .moneywell, .mpeg, .ms11, .myox, .nvram, .pages, .pcif, .php5, .phtml, .plus_muhd, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .pptx, .prel, .prpr, .psafe3, .pspimage, .ptdb, .qb20, .qbmb, .qbmd, .qcow, .qcow2, .qdfx, .qmtf, .quic, .qwmo, .resx, .s3db, .safe, .sas7bdat, .save, .seam, .sldm, .sldx, .sqli, .sqlite, .sqlitedb, .tax0, .tax1, .tax2, .text, .tiff, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .vbox, .vbpf, .vhdx, .vmdk, .vmsd, .vmxf, .wallet, .xhtm, .xlam, .xlsb, .xlsm, .xlsx, .xltm, .xltx, .ycbcra, .zipx (151 расширение). 

Это документы MS Office, текстовые файлы, базы данных, фотографии, бэкапы, видео, файлы специализированных и прикладных программ и пр.

Файлы, связанные с этим Ransomware:
software.exe
<random>.exe
%AppData%\Local\Temp\puttyx86.exe
%AppData%\Roaming\raesdfgiuytr\iutyfghjkoiuytf.exe
C:\Users\User_name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\raesdfgiuytr.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***185.163.46.150/software.exe***
***tomrerarbejdeolsen.com/1603750.doc***
***3o4kqe6khkfgx25g.onion
***vdpbkmwbnp.pw
***hnxrvobhgm.pw
***n7457xrhg5kibr2c.onion
xxxx://pfmydcsjib.ru
xxxx://jdybchotfn.ru
См. ниже результаты анализов.

Страницы сайта оплаты выкупа

Начальная страница

Другие страницы

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление от 11 марта 2017:
Пост в Твиттере >>
C2: xxxx://146.71.84.120 порт 8080/register.php
<< Скриншот записки




Обновление от 9 апреля:
Пост в Твиттере >>
Записка: README_TO_RESTORE_FILES.txt
Расширение: .serp

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up
 ID Ransomware (ID as Serpent)
 Tweet on Twitter
 *
 *

 Thanks: 
 Proofpoint
 Michael Gillespie
 Jack, MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Erebus 2017

Erebus 2017 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует посетить Tor-сайт и уплатить выкуп в 0,085 биткоинов, чтобы вернуть файлы. На уплату выкупа даётся 96 часов. 

Оригинальное название: EREBUS. Но в нашей базе уже есть крипто-вымогатель с таким названием - Erebus Ransomware. Много различий говорит о том, что они могут быть не связаны. Поживём — увидим. 

© Генеалогия: Erebus (ранний вариант) > Erebus 2017

К зашифрованным файлам заготовленное расширение не добавляется, но вместо этого оригинальное расширение файла шифруется с помощью ROT-23.

Примеры расширений:
.grf
.msj
.sqj

Активность этого крипто-вымогателя пришлась на начало февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: README.HTML
Размещаются на рабочем столе и в папке документов. 

Содержание записки  о выкупе (реконструкция):
Data crypted
Every important file (documents, photos, videos etc) on this computer has been encrypted using an unique key for this computer. 
It is impossible to recover your files without this key. You can try to open them they won't work and will stay that way. 
That is, unless you buy a decryption key and decrypt your files. 
Click 'recover my files' below to go to the website allowing you to buy the key. 
From now on you have 96 hours to recover the key after this time it will be deleted and your files will stay unusable forever
Your id is : [***]
You can find this page on your desktop and document folder 
Use it to if the button below doesn't work you need to download a web browser called 'tor browser' download by clicking here then install the browser, it's like chrome, firefox or internet explorer except it allows you to browse to special websites.
Once it's launched browse to xxxx://erebus5743lnq6db.onion
button 'Recover my files'
Crypted Files :
[list of encrypted files]

Перевод записки на русский язык:
Данные зашифрованы
Каждый важный файл (документы, фото, видео и т.д.) на этом компьютере был зашифрован с уникальным ключом для этого компьютера.
Невозможно восстановить ваши файлы без этого ключа. Вы можете пробовать открыть их, они не будут работать, и так останутся.
Но если вы купите ключ дешифровки, то дешифруете свои файлы.
Нажмите кнопку "recover my files" ниже, чтобы открыть сайт для покупки ключа.
Теперь у вас есть 96 часов для получения ключа, после этого времени он будет удален, а ваши файлы пропадут навсегда 
Ваш ID: [***]
Вы можете найти эту страницу на рабочем столе и в папке документов. 
Используйте это, если кнопка ниже не работает, вам нужно загрузить веб-браузер Tor-браузер, скачать, нажав здесь, затем установить браузер, это как Chrome, Firefox или Internet Explorer, но позволяет просматривать специальные сайты.
Тогда начните просмотр xxxx://erebus5743lnq6db.onion
кнопка 'Recover my files' (Восстановить мои файлы)
Зашифрованные файлы:
[список зашифрованных файлов]

После шифрования файлов жертва оповещается о случившимся еще и диалоговым окном с содержанием:
Every important file on this computer was crypted. Please look on your document or desktop folder for a file called README.html for instructions on how to decrypt them.

Перевод на русский:
Каждый важный файл на этом компьютере зашифрован. Смотрите в ваших документах или на рабочем столе файл README.html для инструкций по расшифровке.

Страница сайта оплаты до ввода ID

Страница сайта оплаты после ввода ID и входа

Содержание текста с сайта оплаты:
Hello, please enter your id
'Submit'
---
Your files are still Encrypted
Your files have been Encrypted and are unusable unless you purchase a decryption key. The key will be deleted in 96 hours.
you still have 95 hours 59 minutes 50 seconds before the key deletion, once the key is destroyed, you will not be able to recover your files
Pay via Bitcoin
To buy the private key (decryption key) and decrytor you will need some bitcoins.
Bitcoin is a currency, just like dollars and euros but entirely on the internet.
1 : Get a wallet
Just like in real life you need a wallet to hołd your coins when you'll buy them
we suggest https://blockchain.info/ it's a website easy to use, you'll be set in no time!
2 : Buy some bitcoins
Depending on your country you can buy them using various ways (paypal/credit card/ cash etc).
Look at this website https://www.buybitcoinworldwide.com to find where to buy some or just search on google yourslef.
Note that one of the fastest and easiest way is via https://localbitcoins.com/ because you buy bitcoins directly to other people.
you could have a meeting tomorrow and buy them using cash instantly.
3 : Payment
you need to buy 0,085 btc (bitcoins) and send them to this address : [redacted]
once you've paid, wait a bit. the process can take up to 24 hours for us to check the payment. Then, you will recieve on this same page your private key and a link to the decryption program that will automatically decrypt all your files so you can use them as before
You still have 0.085 bitcoins left to pay

Перевод текста на русский язык:
Привет, введите ваш ID
кнопка 'Submit' (Ввести)
---
Ваши файлы все еще зашифрованы
Ваши файлы зашифрованы и непригодны для использования, если вы не купите ключ дешифрования. Ключ удалится через 96 часов.
У вас есть 95 часов 59 минут 50 секунд до начала удаления ключа, после того, как ключ будет уничтожен, вы не сможете восстановить файлы.
Оплатить через Bitcoin
Чтобы купить секретный ключ (ключ дешифрования) и декриптор вам нужно немного биткоинов.
Bitcoin является валютой, так же, как доллары и евро, но полностью в Интернете.
1: Получить бумажник
Так же, как и в реальной жизни вам нужен бумажник для хранения ваших монет, когда их купите
мы предлагаем https://blockchain.info/ это простой в использовании сайт, вы настроите быстро!
2: Купить биткоины
В зависимости от вашей страны можно купить их разными способами (PayPal/кредитная карта/наличные и т.д.).
Посмотрите на этом сайте https://www.buybitcoinworldwide.com как найти, где купить немного или просто поищите в Google.
Заметьте, один из самых быстрых и простой способ это через https://localbitcoins.com/, т.к. вы купите биткойны у других людей.
Вы могли бы прямо завтра купить их, используя наличные деньги, мгновенно.
3: Оплата
Вам нужно купить 0,085 Btc (Bitcoins) и отправить их по этому адресу: [скрыт]
Как только вы заплатили, немного подождите. Процесс может занять до 24 часов у нас, чтобы проверить оплату. Тогда вы получите на этой же странице ваш секретный ключ и ссылку на декриптор, который автоматом расшифрует все ваши файлы, вы сможете их использовать, как раньше
Вам всего 0,085 биткоина осталось заплатить

Технические детали

Был замечен в распространении с помощью зараженного дистрибутива VLC медиа-плеера (см. ниже Hybrid Analysis и ссылку на сайт videolan в зоне UA). Также может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Удаляет теневые копии файлов командой:
cmd.exe /C vssadmin delete shadows /all /quiet && exit

➤ Примечательно, что этот вредонос обходит UAC. Метод обхода UAC заключается в следующем. Сначала вредонос копирует самого себя как файл со случайным именем <random>.exe в системную папку. Затем вносит изменения в реестр Windows, чтобы украсть ассоциацию для файлового расширения .msc и запустить этот файл со случайным именем и выполнить. Захваченные ключи реестра см. ниже. Затем запускает файл eventvwr.exe (Просмотр событий), который автоматически откроет файл eventvwr.msc. Т.к. msc-файл больше не связан с mmc.exe (Консоль управления), то теперь будет запущен <random>.exe файл вымогателя. Просмотр событий работает в режиме с повышенными правами, потому исполняемый файл <random>.exe будет иметь те же привилегии. Это позволяет ему обойти UAC (контроль учетных записей пользователей).

➤ Erebus 2017 нерестит много процессов, чтобы скрыть работу своего основного файла.  

➤ После запуска крипто-вымогатель Erebus 2017 подключается к ipecho.net/plain и ipinfo.io/country, чтобы определить IP-адрес и страну жертвы. Затем скачивает TOR-клиент и использует его для подключения к своему C&C-серверу.

➤ Когда Erebus 2017 шифрует файл, то он ещё с целью запутывания шифрует расширение с помощью ROT-23. Например, файл с именем test.jpg будет зашифрован и переименован в test.gmd. 

Тест для файлов популярных расширений в ROT-23

Похожий же способ шифрования использовался недавно другим шифровальщиком CryptoShield Ransomware, только тогда шифровалось имя файла с помощью ROT-13, а сейчас шифруется только его расширение с помощью ROT-23. 

Список файловых расширений, подвергающихся шифрованию:
.accdb, .arw, .bay, .cdr, .cer, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .pdd, .pef, .pem, .pfx, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .raf, .raw, .rtf, .rwl, .srf, .srw, .txt, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx (60 расширений). 

Это документы MS Office, MS Works, OpenOffice, PDF, прикладные программы Adobe, текстовые файлы, базы данных, фотографии, файлы образов, сертификаты и пр.

Файлы, связанные с этим Ransomware:
%UserProfile%\AppData\Local\Temp\tor\
%UserProfile%\AppData\Local\Temp\tor\Data\
%UserProfile%\AppData\Local\Temp\tor\Data\Tor\
%UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip
%UserProfile%\AppData\Local\Temp\tor\Data\Tor\geoip6
%UserProfile%\AppData\Local\Temp\tor\Tor\
%UserProfile%\AppData\Local\Temp\tor\Tor\libeay32.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libevent-2-0-5.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libevent_core-2-0-5.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libevent_extra-2-0-5.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libgcc_s_sjlj-1.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\libssp-0.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\ssleay32.dll
%UserProfile%\AppData\Local\Temp\tor\Tor\tor-gencert.exe
%UserProfile%\AppData\Local\Temp\tor\Tor\tor.exe
%UserProfile%\AppData\Local\Temp\tor\Tor\zlib1.dll
%UserProfile%\AppData\Local\Temp\tor.zip
%UserProfile%\AppData\Roaming\tor\
%UserProfile%\AppData\Roaming\tor\cached-certs
%UserProfile%\AppData\Roaming\tor\cached-microdesc-consensus
%UserProfile%\AppData\Roaming\tor\cached-microdescs.new
%UserProfile%\AppData\Roaming\tor\lock
%UserProfile%\AppData\Roaming\tor\state
%UserProfile%\AppData\Roaming\tor\state\state.tmp
%UserProfile%\Desktop\test\xor-test.pdf
%UserProfile%\Desktop\README.html
%UserProfile%\Documents\README.html
%UserProfile%\[random].exe

Записи реестра, связанные с этим Ransomware:
HKEY_CLASSES_ROOT\.msc
HKCU\Software\Classes\mscfile
HKCU\Software\Classes\mscfile\shell
HKCU\Software\Classes\mscfile\shell\open
HKCU\Software\Classes\mscfile\shell\open\command
HKCU\Software\Classes\mscfile\shell\open\command\ %UserProfile%\[random].exe
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://erebus5743lnq6db.onion/
xxxx://torproject.ip-connect.vn.ua (91.218.89.74 - Украина)
xxxx://ipecho.net/plain
xxxx://ipinfo.io/country
xxxx://videolan.ip-connect.vn.ua/vlc/2.1.3/win32/vlc-2.1.3-win32.exe***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
IntezerAnalyze >>
ANY.RUN анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support

Added later:
Write-up on BC (add. January 8, 2017)
Write-up other

 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Ransomuhahawhere

Cyber Drill Exercise

Ransomuhahawhere Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем просит прислать немного биткоинов, чтобы вернуть файлы. Оригинальное название Ransomuhahawhere, т.е. "Ransom u-ha-ha where". Создано якобы для обучения и упражнений в Cyber Drill. Фальш-имя: AdobeInstaller. Пока в разработке, т.к. шифрует файлы только в специальной папке. 

© Генеалогия: HiddenTear >> Ransomuhahawhere

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt
Размещается на рабочем столе в специальной папке cyberdrill. 

Содержание записки о выкупе:
Files has been encrypted with Ransomuhahawhere (Cyber Drill Exercise)
Send me some bitcoins!!
excon@cyberdrillexercise. com
And Please Analyze Me Well Ya..
Incase of emergency used this:
ckQ2U***

Перевод записки на русский язык:
Файлы были зашифрованы Ransomuhahawhere (Cyber Drill Exercise)
Пришли мне немного биткоинов!!
excon@cyberdrillexercise. com
И пожалуйста анализируйте меня..
В особом случае используй это:
ckQ2U***

В конце записки указан ключ дешифрования (15 байт). 
Биткоин-адрес не указан. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (фальшивый AdobeInstaller), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (21 расширение). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и пр.

Файлы, связанные с этим Ransomware:
AdobeInstaller.exe
Ransomuhahawhere.exe
\Desktop\cyberdrill\READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://ransomuhahawhere.cyberdrillexercise.com  (128.199.240.181:80 - Великобритания)
excon@cyberdrillexercise.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up

 Thanks: 
 Karsten Hahn
 BleepingComputer
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.