RoshaLock

All_Your_Documents Ransomware

RoshaLock 2.0 Ransomware

(шифровальщик-вымогатель, rar-вымогатель)

Этот крипто-вымогатель шифрует и архивирует все данные пользователей, и помещает их в специальный архив All_Your_Documents.rar. На сайте оплаты выкупа указана сумма выкупа 0,35 биткоина. Каждые три дня, после первого визита жертвы на этот сайт, сумма будет возрастать на 0,05 биткоина. Сумма выкупа нефиксированная, потом может отличаться на разных ПК. Оригинальное название появилось только во второй версии: RoshaLock 2.0. 

© Генеалогия: All_Your_Documents > RoshaLock 2.0.

К зашифрованным файлам специальное расширение НЕ добавляется.
Отдельно файлы не шифруются, но де-факто файлы оказываются зашифрованными с использованием возможностей архиватора WinRar, когда помещенные в архив под паролем файлы становятся зашифрованы с помощью алгоритма AES-256 (см. справку WinRar). Ключ шифрования затем шифруется с помощью RSA-2048. 
Для сравнения см. мои статьи: WinRarer Ransomware, Encryptss77 Ransomware, 7zipper Ransomware.

Активность этого крипто-вымогателя пришлась на февраль 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В заголовке текст написан на 5 языках. 

Записки с требованием выкупа называются: All Your Files in Archive!.txt

Содержание записки о выкупе:
ATTENTION! AUFMERKSAMKEIT! ATTENTION! ATENCION! ATTENZIONE!
TO GET BACK YOUR FILES READ CAREFULLY!
UM IHRE DATEIEN ZURUCK, BITTE SORGFALTIG LESEN!
POUR RECUPERER VOS FICHIERS, S'lL VOUS PLAIT LIRE ATTENTIVEMENT!
PARA OBTENER LOS ARCHIVOS DE NUEVO, POR FAVOR, LEA CON CUIDADOM
PER OTTENERE IL VOSTRO FILES INDIETRO, SI PREGA DI LEGGERE ATTENTAMENTE!!
###
Where did all your files?
Your documents on all drives (photos, videos, docs, etc.)
have been moved to password - protected WinRAR archives.
This archives is located in the root of each disk, in folder
"All_Your_Documents" and file name is "All_Your_Documents.rar".
Full path on all drives:
Drive:\\All_Your_Documents\All_Your_Documents.rar
To open .rar archive, you need to install WinRAR.
To open .rar archive, CAREFULLY follow these steps:
1) If you do not have WinRAR archiver - download and install it:
Link: xxxx://www.rarlab.com/rar/wrar540.exe
Note: you will need WinRAR version 5.00 or higher.
Now you can view the contents of the .rar archive,
but to extract the files you will need the password.
2) To get the password of RAR archive, download and install TOR browser:
3) Open TOR browser, and put this address in browser address bar:
Link: xxxx://klbibglrxtdpmr7i.onion/user/
Note: link can only be opened in a TOR browser. Opening page can
take a long time. Please try again in a few minutes in case of error,
close and open your TOR browser and try again.
4) Copy and paste text located below into text-box on this page and click button.
<RSA2048>***</RSA2048>
###

Перевод записки на русский язык:
Внимание! [+ та же фраза на других языках]
Для возврата ваших файлов прочитайте внимательно! 
Где же все ваши файлы?
Ваши документы на всех дисках (фото, видео, документы и т.д.)
были перемещены в защищенные паролем архивы WinRAR.
Этот архив находится в корне каждого диска, в папке с именем "All_Your_Documents" и файл "All_Your_Documents.rar".
Полный путь на всех дисках:
Имя_диска:\\All_Your_Documents\All_Your_Documents.rar
Чтобы открыть архив .rar, вам нужно установить WinRAR.
Чтобы открыть архив .rar, ВНИМАТЕЛЬНО выполните следующие действия:
1) Если у вас нет архиватора WinRAR - скачайте и установите его:
Ссылка: xxxx://www.rarlab.com/rar/wrar540.exe
Примечание: Вы будете нуждаться в WinRAR версии 5.00 или выше.
Теперь вы можете просмотреть содержимое архива .rar,
но для извлечения файлов вам потребуется пароль.
2) Для того, чтобы получить пароль RAR архива, скачайте и установите TOR-браузер:
3) Откройте TOR-браузер и вставить этот адрес в адресной строке браузера:
Ссылка: xxxx://klbibglrxtdpmr7i.onion/user/
Примечание: ссылка может быть открыта только в TOR-браузере. Загрузка страницы может занять долгое время. Повторите попытку через несколько минут в случае ошибки, закройте и откройте TOR-браузер и повторите попытку.
4) Копируйте текст, который находится ниже в текстовом поле, вставьте на этой странице и нажмите кнопку.
<RSA2048>***</RSA2048>
###

Скриншоты страниц сайта оплаты выкупа:

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, скриптов и эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После атаки удаляются все теневые копии файлов, чтобы затруднить восстановление заблокированных файлов из сохранённых копий. 

Этим вымогателем используются возможности Windows Script Host (WSH), который позволяет исполнять скрипты на языках VBScript и JScript.  

Список файловых расширений, подвергающихся архивации и шифрованию:
.$er, ._eml, .000, .001, .002, .113, .123c, .123d, .123dx, .1ph, .2d, .2mg, .360, .3d, .3d2, .3d4, .3da, .3dc, .3df, .3dl, .3dm, .3dmf, .3dmk, .3don, .3dp, .3dr, .3ds, .3dt, .3dv, .3dw, .3dx, .3dxml, .3fr, .3g2, .3ga, .3gp, .3gp2, .3gpp, .3gpp2, .3mm, .3p2, .4db, .4dd, .4dv, .4mp, .4th, .4ui, .60d, .6cm, .73b, .787, .7z, .7z.001, .7z.002, .8cm, .8pbs, .8svx, .8xi, .9.png, .a00, .a01, .a02, .a2c, .a2m, .a3w, .a4m, .a4p, .a4w, .a52, .a5rpt, .a5w, .a65, .aa, .aa3, .aac, .aam, .aao, .aax, .ab3, .abcd, .abdata, .abf, .abk, .abm, .abw, .abx, .aby, .ac3, .ac5, .ac6, .accdb, .accde, .accdr, .acd-zip, .ace, .acm, .acp, .acr, .act, .adc, .adcp, .ade, .adf, .adp, .adts, .adz, .aep, .aepx, .aes, .aet, .aetx, .af2, .af3, .afc, .afd, .aff, .afp, .afs, .aft, .afx, .agd, .aggr, .agi, .agp, .ai, .aic, .aif, .aifb, .aifc, .aiff, .aim, .aimppl, .ain, .ais, .aiv, .ajp, .akp, .al, .alac, .alaw, .albm, .all, .alp, .als, .alz, .am4, .am5, .am6, .am7, .amc, .amf, .amr, .ams, .amu, .amv, .amx, .amz, .an, .an8, .anh, .anim, .anm, .anme, .ans, .aob, .aof, .ap, .apd, .ape, .aph, .apm, .apng, .aps, .apt, .apx, .apz, .arc, .ard, .arff, .arh, .ari, .aria, .ariax, .arj, .ark, .aro, .arr, .arsc, .art, .artproj, .artwork, .arw, .as, .as2proj, .as3proj, .as4, .asat, .asc, .ascii, .ascs, .asd, .ase, .ashprj, .ashx, .asm, .asnd, .asp, .aspx, .asw, .at3, .ate, .ati, .atl, .atm, .atr, .atrac, .au, .au3, .aud, .aup, .aut, .ava, .avchd, .avhd, .avi, .avp, .awb, .awd, .awdb, .awm, .aww, .axx, .ay, .azf, .azs, .azw, .azw1, .azw3, .azw4, .azz, .b1, .b2a, .b3d, .b4s, .b5i, .b64, .b6i, .ba, .bac, .bak, .bak~, .bak2, .bak3, .bakx, .band, .bap, .bas, .bay, .bb, .bbc, .bbcd, .bcf, .bci, .bck, .bcl, .bcm, .bdb, .bdf, .bean, .bet, .bfa, .bfc, .bfx, .bgt, .bh, .bho, .bhx, .bib, .bidule, .bik, .bim, .bix, .bk1, .bkc, .bkf, .bkk, .bkp, .bks, .bld, .blend, .blend1, .blend2, .blkrt, .bluej, .blz, .bm2, .bmc, .bmf, .bmz, .bna, .bnp, .boc, .bok, .bonk, .boo, .book, .box, .bp3, .bpa, .bpb, .bpd, .bpdx, .bpf, .bpg, .bpk, .bpm, .bpn, .bpnueb, .bpr, .bps, .bpw, .br3, .br4, .br5, .br6, .br7, .brain, .brd, .brf, .brk, .brl, .brn, .bro, .brw, .bs2, .bs4, .bsd, .bsdl, .bsf, .bsk, .btd, .btf, .btif, .btoa, .bup, .bur, .bvd, .bvp, .bwf, .bwg, .bwi, .bws, .bwt, .bww, .bz, .bz2, .bza, .bzabw, .bzip, .bzip2, .c, .c00, .c01, .c02, .c10, .c2d, .c3d, .c3z, .c4, .c4d, .caf, .caff, .cal, .cals, .cam, .camm, .camproj, .camrec, .camv, .can, .cap, .caproj, .capx, .car, .cawr, .cbl, .cbp, .cbr, .cbu, .cbz, .cc, .cca, .ccb, .ccd, .ccf, .cch, .ccr, .ccs, .cct, .cd, .cd2, .cd5, .cdb, .cdd, .cdda, .cddx, .cdf, .cdg, .cdi, .cdm, .cdmm, .cdmt, .cdmtz, .cdmz, .cdo, .cdpx, .cdpz, .cdr, .cdt, .cdw, .cdz, .ce, .ceb, .cedprj, .cef, .cel, .celtx, .cf2, .cfa, .cff, .cfs, .cg, .cg3, .cga, .cgm, .cgp, .ch3, .chef, .chg, .chml, .chn, .cib, .cif, .cil, .cimg, .cin, .cit, .ck9, .ckd, .ckf, .ckp, .ckt, .cl2, .cl2arc, .cl2doc, .cl2lyt, .cl2tpl, .cl4, .cl5, .class, .clb, .clg, .clk, .cls, .clx, .cm10, .cmap, .cmbl, .cmf, .cmmp, .cmod, .cmx, .cmz, .cna, .cnd, .cng, .cnm, .cnv, .cob, .colz, .cov, .cp9, .cpb, .cpc, .cpd, .cpe, .cpf, .cpg, .cph, .cpio, .cpk, .cpmz, .cpp, .cpr, .cps, .cpt, .cptx, .cpx, .cpy, .cr2, .crd, .crds, .crev, .crt, .crtr, .crtx, .crw, .crypted, .cryptra, .crz, .cs, .csa, .csd, .csf, .csh, .csi, .cso, .csp, .csproj, .csr, .csx, .ct, .ctm, .cts, .ctv, .ctv3, .cu, .cub, .cut, .cv5, .cvc, .cvg, .cvi, .cvs, .cvw, .cvx, .cwb, .cwk, .cwp, .cwt, .cwz, .cx3, .cxd, .cxf, .cxp, .cxt, .cxx, .cyp, .cys, .czd, .czi, .czip, .czp, .d00, .d01, .d2v, .d3d, .d3v, .d64, .da2, .daa, .daf, .dal, .dam, .dao, .dash, .dav, .dax, .daz, .db, .db1, .db3, .dba, .dbc, .dbd, .dbf, .dbk, .dbo, .dbpro, .dbproj, .dbr, .dbs, .dbt, .dbv, .dbx, .dc, .dc2, .dc3, .dc4, .dca, .dcb, .dcd, .dce, .dcf, .dcm, .dco, .dcpf, .dct, .dcx, .dd, .ddl, .ddrw, .dds, .ddt, .ded, .deproj, .des, .design, .det, .dev, .dex, .df1, .df2, .dfc, .dff, .dfg, .dfk, .dfproj, .dfs, .dft, .dfx, .dgb, .dgc, .dgk, .dgn, .dgs, .dib, .dicom, .dif, .dig, .dim, .dime, .dis, .divx, .djr, .djv, .djvu, .dke, .dls, .dlv, .dlx, .dm, .dm3, .dmb, .dmf, .dmo, .dmr, .dms, .dmsa, .dmsd, .dmsd3d, .dmse, .dmsm, .dmsm3d, .dmsp, .dmss, .dmx, .dna, .dnc, .dne, .dng, .dnl, .dob, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dov, .dp1, .dpb, .dpd, .dpp, .dpr, .dproj, .dra, .drf, .drg, .drmx, .drw, .drz, .ds2, .dsa, .dsd, .dse, .dsf, .dsg, .dsgm, .dsi, .dsk, .dsm, .dso, .dsp, .dss, .dsx, .dsy, .dta, .dtp, .dtr, .dts, .dtshd, .dtx, .dv, .dv4, .dv-avi, .dvdproj, .dvds, .dvf, .dvg, .dvo, .dvr, .dvr-ms, .dvx, .dw, .dwa, .dwd, .dwf, .dwfx, .dwg, .dwp, .dwz, .dx, .dxb, .dxf, .dxg, .dxr, .dz, .e01, .e4a, .e57, .eap, .ear, .ebk, .ecm, .ecp, .ecs, .eda, .edat2, .edb, .ede, .edf, .edfx, .edg, .edge, .edk, .edn, .edq, .edrwx, .eds, .edv, .efa, .efe, .efk, .efl, .efq, .efr, .efs, .efu, .efv, .efx, .egc, .egg, .egp, .eio, .eip, .ekb, .el, .email, .emc, .eml, .emlx, .enc, .enex, .ep, .epf, .epi, .epp, .eps, .epsf, .epub, .eql, .er1, .erf, .erl, .es2, .esb, .esf, .eui, .evo, .evr, .evy, .ewb, .ewd, .ex, .exb, .exl, .exm, .exp, .exr, .exw, .eye, .ezp, .f04, .f06, .f32, .f3d, .f4a, .f4p, .f4v, .f64, .f90, .fac, .face, .facefx, .fasta, .fax, .fb2, .fbc, .fbf, .fbk, .fbm, .fbp, .fbp7, .fbr, .fbw, .fbz, .fbz7, .fcd, .fcf, .fcgi, .fcstd, .fcw, .fdd, .fdi, .fdp, .fdr, .fds, .fdx, .fft, .fg, .fgl, .fh10, .fh11, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fh9, .fhd, .fhf, .fif, .fig, .fimpp, .fits, .fla, .flac, .flame, .flb, .flka, .flkb, .flo, .flow, .flp, .flr, .flt, .flv, .flx, .fm, .fmpsl, .fmv, .fmz, .fnbk, .fnc, .fodp, .fods, .fodt, .fop, .forth, .fox, .fp3, .fp8, .fpa, .fpenc, .fpf, .fpj, .fpos, .fpp, .fpx, .frg, .frj, .frm, .fro, .frx, .fry, .fs, .fsif, .fsm, .fsproj, .fsq, .fsx, .ft10, .ft11, .ft7, .ft8, .ft9, .ftl, .ftm, .ftmb, .ftn, .ftw, .fwdn, .fx, .fxa, .fxcproj, .fxl, .fxm, .fxml, .fxs, .fz, .fza, .fzf, .fzp, .fzz, .g3, .g721, .g723, .g726, .gal, .gan, .gb1, .gb2, .gbap, .gbas, .gbi, .gbk, .gbs, .gca, .gcd, .gcdp, .gcw, .gcx, .gdf, .gdrive, .gds, .ged, .gem, .gen, .geo, .gexf, .gfar, .gfb, .gfe, .gfp, .gho, .ghs, .gi, .gig, .gih, .gkh, .gl, .gla, .glade, .glb, .gld, .glox, .gls, .gm, .gm6, .gm81, .gmd, .gmk, .gmspr, .gmx, .gmz, .gno, .gom, .gp3, .gp5, .gpd, .gpf, .gpg, .gpj, .gpp, .gpr, .gra, .grade, .grasp, .grf, .grn, .gro, .grob, .groove, .groovy, .grr, .gry, .gs3, .gsd, .gsm, .gsproj, .gszip, .gtar, .gtp, .gts, .gvi, .gvy, .gwp, .gxd, .gxk, .gz, .gz2, .gza, .gzip, .h, .h0, .h11, .h12, .h264, .ha, .hal, .haml, .has, .hbc, .hbc2, .hbe, .hbk, .hbx, .hcc, .hce, .hci, .hcp, .hcr, .hcx, .hdmov, .hdp, .hdr, .hdv, .hex, .hf, .hfs, .hfv, .hh, .hip, .hipnc, .hki, .hki1, .hki2, .hki3, .hkm, .hlsl, .hma, .hmi, .hmk, .hmxp, .hpd, .hpi, .hpk, .hpl, .hpp, .hqx, .hr, .hrf, .hrl, .hs, .hsf, .html0, .htmlz, .htxt, .htz4, .htz5, .hwp, .hxn, .hxx, .hyp, .hz, .i00, .i01, .i02, .iba, .ibb, .ibcd, .ibq, .ic1, .ic3, .ic3d, .ica, .icap, .icb, .ice, .icml, .icmt, .icpr, .ics, .idap, .idea, .idml, .idms, .idpk, .idw, .if, .ifc, .ifczip, .iff, .iges, .igs, .igx, .iiq, .ilbm, .ildoc, .ima, .imd, .imf, .img, .imj, .imz, .incd, .inct, .incx, .ind, .indb, .indd, .inds, .ink, .inl, .inm, .ino, .int, .ipd, .ipf, .ipj, .ipk, .ipn, .ipt, .ipx, .ircp, .irf, .irock, .irp, .irx, .ish, .ish2, .ish3, .isma, .ismv, .iso, .isoz, .isz, .iv, .iv2i, .iva, .ive, .ivf, .ivr, .iw, .iwxdata, .iwz, .ix2, .ixa, .ixb, .ize, .izz, .izzy, .j, .j2c, .j2k, .j3o, .jac, .jam, .jar.pack, .jas, .jav, .java, .jb2, .jbc, .jbig, .jbig2, .jbk, .jbmp, .jclic, .jcp, .jed, .jfif, .jfsl, .jic, .jif, .jiff, .jis, .jng, .jo, .jo-7z, .job, .joe, .jp1, .jp2, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpg2, .jpr, .jps, .jpx, .jrtf, .jsd, .jsda, .jsfl, .jt, .jtf, .jts, .jtv, .jtx, .jude, .jvsg, .jwl, .jxr, .k25, .k26, .k3g, .kar, .kb2, .kdbx, .kdc, .kde, .kdk, .key, .kfn, .kfx, .kgb, .kic, .kin, .kit, .kmv, .kodak, .koob, .koz, .kpf, .kpg, .kpp, .kpr, .kpx, .krz, .ktp, .ktz, .kwd, .kwm, .kyr, .kz, .layout, .lbm, .lbr, .lcb, .lcd, .lcn, .ldr, .legal, .lha, .lhs, .lid, .lisp, .lit, .ljp, .llx, .lnt, .lnx, .lp, .lp2, .lp7, .lpdb, .lpp, .lqr, .lqt, .lrc, .lrec, .lrs, .lrv, .lsp, .lsproj, .ltr, .luf, .lut, .lutx, .lvp, .lvw, .lw4, .lwd, .lwo, .lwp, .lws, .lxf, .lxo, .lxsproj, .lyc, .lyx, .lz, .lzh, .lzma, .lzo, .lzx, .m, .m12, .m15, .m1a, .m1pg, .m1v, .m21, .m2a, .m2t, .m2ts, .m2v, .m3, .m4a, .m4b, .m4e, .m4p, .m4r, .m4v, .m75, .ma, .ma1, .mag, .magik, .mani, .mars, .mart, .mat, .mav, .maw, .max, .maxc, .mb, .mbb, .mbd, .mbf, .mbk, .mbm, .mbw, .mc2, .mcd, .mcdx, .mcf, .mcp, .mcrp, .mcs, .mcsp, .mcsx, .mcxe, .md, .md0, .md1, .md2, .md8, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mdinfo, .mdl, .mdx, .mdzip, .med, .mef, .meo, .mer, .mesh, .mfa, .mfp, .mga, .mgcb, .mgf, .mgmt, .mgmx, .mgs, .mgtx, .mic, .mid, .midi, .mig, .mim, .mime, .min, .mip, .mix, .mj2, .mjp, .mjpg, .mk3d, .mka, .mkv, .mlb, .mlp, .mma, .mmat, .mme, .mmf, .mml, .mmm, .mmp, .mmpz, .mmv, .mnc, .mng, .mnk, .mny, .mo3, .mob, .mobi, .mod, .modd, .model, .mogg, .moho, .moi, .moov, .mos, .mot, .mou, .mov, .movie, .mox, .mp, .mp_, .mp1, .mp10, .mp11, .mp2, .mp21, .mp2v, .mp3, .mp4, .mp4v, .mp7, .mp9, .mpa, .mpb, .mpc, .mpdp, .mpe, .mpeg, .mpeg1, .mpeg4, .mpf, .mpg, .mpg2, .mpga, .mpi, .mpj, .mpo, .mpp, .mppz, .mpu, .mpv, .mpv2, .mpz, .mpzip, .mqo, .mqv, .mrb, .mrml, .mrw, .mrxs, .ms11, .ms3d, .ms7, .ms8, .ms9, .mscx, .msdvd, .msg, .msh, .msif, .msp, .msv, .mswmm, .mt9, .mth, .mts, .mtv, .mtx, .mtz, .muf, .muz, .mv, .mv_, .mvb, .mvd, .mve, .mvex, .mvp, .mvy, .mwb, .mws, .mwx, .mx, .mx3, .mx4, .mx5, .mxf, .mxs, .mxv, .myd, .myl, .mys, .mzp, .na2, .nap, .nb, .nb7, .nba, .nbak, .nbc, .nbd, .nbf, .nbp, .nbs, .nbu, .nc, .ncd, .nco, .ncor, .ncorx, .ncr, .nct, .nef, .neko, .neo, .neu, .nfb, .nfc, .nff, .nfi, .ngc, .ngd, .nim, .njx, .nmp, .nmsv, .nni, .nnp, .npf, .npp, .npr, .nps, .nqc, .nrbak, .nrg, .nri, .nrt, .nrw, .nsa, .nsv, .ntf, .nut, .nuv, .nvc, .nvf, .nvram, .nwbak, .nwc, .nwctxt, .nwd, .nwf, .nxc, .nzb, .oab, .oar, .obd, .obk, .occ, .oci, .ocr, .odb, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .oeb, .ofc, .off, .ofr, .oga, .ogg, .ogm, .ogv, .ogx, .old, .olk, .oma, .omf, .omg, .one, .ontx, .opd, .opf, .opj, .opus, .or3, .or4, .or5, .or6, .orf, .ori, .orig, .ort, .orv, .ot, .ota, .otb, .otg, .otl, .otrkey, .otx, .ovf, .ovl, .ovw, .oxps, .p, .p01, .p19, .p21, .p2g, .p2i, .p2z, .p3, .p3d, .p6, .p65, .p7, .p7b, .p7c, .p7m, .p7s, .pab, .pac, .pack.gz, .package, .pae, .pak, .pakm, .pano, .pap, .paq6, .paq7, .paq8, .paq8f, .par, .pas, .pat, .pax, .pbb, .pbk, .pbm, .pbproj, .pc1, .pc2, .pc3, .pc6, .pca, .pcd, .pcm, .pct, .pcv, .pcx, .pdb, .pdc, .pdd, .pder, .pdf, .pdfxml, .pdg, .pdi, .pdl, .pdm, .pdn, .pdp, .pds, .pdwr, .pe4, .pea, .pef, .pem, .pep, .pex, .pez, .pf, .pfc, .pfd, .pfi, .pfl, .pfv, .pfx, .pgd, .pgf, .pgi, .pgm, .pgp, .pgpf, .pgx, .phb, .phj, .phl, .photoshow, .php, .php3, .php4, .php5, .phtm, .phtml, .pi1, .pi2, .pi3, .pi4, .pi5, .pi6, .pic, .picnc, .pict, .pigs, .pika, .pim, .pis, .pit, .pix, .piz, .pjpeg, .pjpg, .pjx, .pkey, .pkg, .pl1, .pl2, .pla, .pln, .plproj, .plt, .ply, .pm3, .pm4, .pm5, .pm6, .pmatrix, .pmd, .pmf, .pmg, .pmlz, .pmm, .pmo, .pna, .pni, .pnm, .pnproj, .pnpt, .pnt, .pntg, .pobi, .pobj, .pod, .pop, .pov, .pp2, .pp4, .pp5, .ppc, .ppcx, .ppf, .ppj, .ppk, .ppm, .ppr, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ppz, .pqi, .prc, .prd, .prefab, .prel, .prg, .prj, .prn, .pro4, .pro4dvd, .pro5, .pro5dvd, .project, .proqc, .prproj, .prs, .prt, .prz, .psa, .psb, .psd, .psdx, .pse, .psf, .psh, .psm, .psm1, .psp, .pspd, .psr, .pss, .pssd, .pst, .psu, .psw, .psw6, .psz, .pt, .ptcop, .ptg, .ptr, .ptw, .ptx, .pub, .puz, .pva, .pvc, .pvk, .pvm, .pvr, .pwd, .pwi, .pwn, .pwp, .pwr, .pwrep, .pws, .px, .pxf, .pxi, .pxj, .pxr, .pxv, .py, .pyw, .pyx, .pz2, .pz3, .pza, .pzp, .pzs, .pzz, .q07, .q08, .q09, .q3c, .q3d, .qba, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbw, .qbx, .qby, .qcow, .qcow2, .qcp, .qda, .qdb, .qdf, .qdl, .qdt, .qel, .qic, .qif, .qml, .qpb, .qpf, .qpw, .qrp, .qsd, .qt, .qti, .qtif, .qtm, .qtz, .quiz, .quox, .qvp, .qvw, .qx, .qxb, .qxd, .qxf, .qxp, .r0, .r00, .r01, .r02, .r03, .r1, .r2, .r21, .r30, .r3d, .ra, .rad, .raf, .ral, .ram, .rar, .rar5, .ras, .ratdvd, .raw, .rax, .ray, .rb, .rbc, .rbf, .rbp, .rbw, .rcd, .rcl, .rcx, .rcy, .rdb, .rdi, .rdl, .rdlx, .rds, .rdx, .rec, .record, .rev, .rex, .rfp, .rgb, .rgf, .rgmb, .rgmc, .rgo, .ric, .rif, .riff, .rix, .rk, .rle, .rli, .rm, .rmd, .rmf, .rmi, .rms, .rmuf, .rmvb, .rmx, .rnc, .rnq, .rns, .roca, .roxio, .rp9, .rpa, .rpd, .rpf, .rpmsg, .rpp, .rpprj, .rpt, .rri, .rs, .rsa, .rsb, .rsg, .rsn, .rso, .rsp, .rsv, .rta, .rte, .rtf, .rtx, .rv, .rvl, .rvt, .rvx, .rw2, .rwg, .rwl, .rx2, .rxc, .rzb, .rzk, .rzs, .rzx, .s00, .s01, .s02, .s85, .sab, .saf, .safe, .safetext, .sai, .sam, .sap, .sar, .sat, .sb, .sb2, .sbb, .sbd, .sbg, .sbk, .sbp, .sbs, .sbu, .sbw, .scad, .scg, .sci, .scm, .scn, .sco, .scp, .sct, .scu, .scv, .scw, .scx, .scz, .sd, .sd2, .sd2f, .sda, .sdb, .sdc, .sdd, .sdf, .sdg, .sdii, .sdm, .sdo, .sdoc, .sdr, .sds, .sdsk, .sdv, .sdw, .sdx, .sdz, .sec, .sedprj, .sef, .seg, .sep, .ser, .sesx, .sf, .sfc, .sfera, .sff, .sfpack, .sfs, .sfvidcap, .sfw, .sfx, .sgi, .sgml, .sgn, .sgp, .sgz, .sh3d, .sh3f, .shg, .shn, .show, .shp, .sht, .shtm, .shtml, .shw, .shy, .si, .sid, .sig, .sim, .sit, .sitx, .siv, .sk1, .sk2, .skb, .skc, .skf, .skl, .skm, .skp, .skr, .skv, .sla, .sla.gz, .slb, .sld, .slddrw, .sldprt, .slf, .slp, .sls, .slx, .sme, .smf, .smi, .smil, .smk, .sml, .smp, .sms, .smv, .smz, .sn1, .sn2, .sna, .snagproj, .snb, .snd, .sng, .snk, .sns, .sob, .sonic, .sopt, .sou, .spa, .spb, .spc, .spd, .spdf, .spe, .spf, .sph, .spi, .spiff, .spj, .spk, .spl, .spp, .spt, .spx, .sqb, .sqf, .sqlite, .sqlite2, .sqlite3, .sqx, .sqz, .sr, .sr2, .srep, .srf, .srw, .ssk, .ssnd, .ssp, .ssv, .std, .ste, .step, .stg, .stk, .stn, .sto, .stp, .stproj, .stu, .stw, .stx, .styk, .stykz, .suf, .sumo, .sun, .suniff, .sv$, .sva, .svd, .svf, .svg, .svgz, .svi, .svx, .sw, .swa, .swi, .swm, .swt, .sxd, .sxg, .sxi, .sxw, .syn, .syw, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t2ks, .t2kt, .t3001, .t3d, .t64, .taac, .tab, .tak, .tao, .tar.gz, .tar.gz2, .tar.lzma, .tar.xz, .tax08, .tax09, .tax10, .tax11, .tax12, .tax13, .taz, .tbk, .tbp, .tbz2, .tc, .tcc, .tcr, .tcw, .tcx, .td0, .tda3mt, .tdb, .tddd, .tex, .text, .tg, .tg4, .tga, .tgd, .tgo, .thl, .thm, .thp, .thx, .tib, .tif, .tiff, .tivo, .tjp, .tk3, .tl5, .tlb, .tlg, .tlh, .tli, .tlp, .tlz, .tm, .tm2, .tm8, .tmb, .tmc, .tmd, .tme, .tmv, .tn1, .tn2, .tn3, .tne, .tnef, .tny, .toast, .toc, .tod, .top, .topc, .topprj, .topviw, .tp, .tp0, .tpd, .tpi, .tpr, .tpz, .tr, .tr3, .tra, .trif, .trm, .trn, .trp, .ts, .tt10, .tt11, .tt12, .tt13, .tta, .ttbk, .ttx, .tvl, .tvs, .twb, .twbx, .txa, .txf, .txt, .txw, .tzx, .u10, .u11, .u12, .ub, .uc2, .uci, .uds, .uea, .ufo, .ufr, .uga, .uha, .uibak, .uif, .uof, .uos, .uot, .upf, .ustar, .utf8, .utxt, .uud, .uw, .uwf, .uwl, .v, .v2i, .v2m, .v3d, .v3o, .val, .vap, .vbc, .vbg, .vbk, .vbp, .vbpf1, .vbproj, .vbw, .vc1, .vc4, .vc6, .vc8, .vcd, .vce, .vcf, .vco, .vcp, .vcpf, .vcproj, .vcrd, .vcv, .vcxproj, .vda, .vdi, .vdo, .vdproj, .vdr, .vdw, .vec, .veg, .vem, .vep, .vet, .vf, .vfd, .vff, .vfw, .vhd, .vhdx, .vic, .vid, .video, .viewlet, .viff, .vis, .viv, .vivo, .vix, .vlab, .vle, .vlg, .vlp, .vlt, .vmdk, .vml, .vmo, .vmsd, .vmsn, .vmss, .vna, .vnt, .vob, .voc, .voi, .vox, .voxal, .voxb, .vp, .vp3, .vp6, .vp7, .vpd, .vpe, .vpj, .vpm, .vpp, .vpw, .vqf, .vrf, .vrl, .vrml, .vs4, .vsd, .vsdm, .vsdx, .vse, .vsh, .vsmproj, .vsp, .vsq, .vst, .vstm, .vstx, .vtx, .vud, .vue, .vvd, .vw, .vyf, .w02, .w3d, .w64, .wb1, .wb2, .wb3, .wbb, .wbc, .wbd, .wbk, .wbs, .wcat, .wcm, .wcp, .wdb, .wdf, .wdp, .web, .webm, .webp, .wem, .wgp, .wgs, .wi, .wic, .wlmp, .wlp, .wma, .wmga, .wmmp, .wmp, .wmt, .wmv, .wn, .wot, .wp, .wp3, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpc, .wpd, .wpe, .wpg, .wpk, .wpl, .wpp, .wproj, .wps, .wpw, .wq1, .wq2, .wrf, .wri, .wrk, .wrp, .wsd, .wsdl, .wtv, .wtx, .wv, .wve, .wvl, .wvp, .x_b, .x_t, .x3d, .x3f, .x64, .xaf, .xar, .xbdoc, .xbm, .xcf, .xdi, .xef, .xer, .xesc, .xfs, .xif, .xise, .xl, .xlc, .xld, .xlf, .xlk, .xlm, .xlmv, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xlw, .xmap, .xmcd, .xmcdz, .xmct, .xmd, .xmf, .xmi, .xmind, .xmmap, .xmpz, .xof, .xol, .xpm, .xpp, .xps, .xpt, .xq, .xql, .xquery, .xqy, .xrp, .xry, .xsi, .xslic, .xtm, .xtp, .xv0, .xvid, .xwd, .xwf, .xwp, .xws, .xx, .xxe, .xz, .y, .y4m, .yab, .yaodl, .ybk, .ydl, .ygf, .yka, .ym, .yml, .yml2, .ync, .yog, .ypr, .yuv, .yz, .yz1, .z3d, .zab, .zabw, .zap, .zdp, .zfx, .zgm, .zi, .zif, .zip, .zipx, .zix, .zl, .zm1, .zm2, .zm3, .zmv, .zoo, .zpi, .zps, .zvr, .zw, .zz (2634 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных и специализированных программ и многие другие файлы.

Пропускаются файлы с расширениями .wsf, .js, .lnk, .exe, .tmp, т.к. они используются шифровальщиком. 

Архивация файлов производится специальной командой:

На другом ПК, разумеется, пароль будет другой. 

Из архивации и шифрования исключаются следующие директории:
\AMD
\AppData
\Application Data
\Boot
\BOOTSECT.BAK
\Chrome
\Config.Msi
\Dell
\Drivers
\ESTsoft
\FIFA
\Games
\HeroOnline
\HP
\Intel
\iTunes
\League
\Local Settings
\McAfee
\Microsoft
\MineCraft
\nDoors
\NortonInstaller
\Norton
\PerfLogs
\Program Files
\Program Files (x86)
\ProgramData
\Sample Media
\Sample Music
\Sample Pictures
\Sample Videos
\Setup
\SmileGate
\Steam
\Temporary
\TwelveSky
\WarRock
\Windows

Файлы, связанные с этим Ransomware:
All_Your_Documents
All Your Files in Archive!.txt
All_Your_Documents.rar
All_Your_Documents(:).lnk
PerformanceMonitor.dll
svchost.exe
<random>.js
<random>.exe
_tmp.dat
rar.exe
wrar.exe
wrar.tmp.exe
tmp<random>.exe
out.wsf
SysHost64.wsf или <random>.wsf

Расположение: 
Disk_name:\\All_Your_Documents\All_Your_Documents.rar
%\AppData\Local\Microsoft\Performance\Monitor\PerformanceMonitor.dll
%TEMP%\RarSFX0\out.wsf
%AppData%\Microsoft\Crypto\SysHost64.wsf

Записи реестра, связанные с этим Ransomware:
xxxx://daffycreative.com/wp-content/plugins/WPSecurity/***
xxxx://worldshowbiznews.com/wp-content/plugins/WPSecurity/***
52.25.65.169 (США, штат Орегон) 
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ на скрипт >>


Обновление от 9 марта 2017:
Новая версия и новое название: 
RoshaLock 2.0
Файлы: такие же.
Результаты анализов: HA+VT.
<< Скриншот записки
Тема поддержки >>





Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RoshaLock)
 Topic Support
 *

 Thanks: 
 Michael Gillespie
 Alex Svirid (Thyrex)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SerbRansom 2017

SerbRansom 2017 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в биткоинах, чтобы вернуть файлы. Название оригинальное. Разработчик: R4z0rx0r Serbian Hacker. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .velikasrbija

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа выступает html-файл или скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе:
YOUR FILES HAS BEEN ENCRYPTED WITH SERBRANSOM 2017
How to recover?
Your personal info:
Username: %USERNAME%
PC-name: %PCNAME%
Local IP: %IP%
To decrypt all your data you need to pay 500$ with BitCoin here > WALLET_ID_BTC
Send an email to us with payment (screenshot) EMAIL
Every random file will be removed permanently after 05:00 minutes!
Antivirus will not help you to decrypt your data :(

Перевод записки на русский язык:
Твои файлы были зашифрованы SERBRANSOM 2017
Как восстановить?
Твои личные данные:
Имя пользователя: %USERNAME%
Имя ПК: %PCNAME%
Локальный IP: %IP%
Для расшифровки всех твоих данных ты должен заплатить 500$ с Bitcoin здесь > WALLET_ID_BTC
Отправь по email нам чек оплаты (скриншот) EMAIL
Случайно выбранный файл будет удаляться каждые 5 минут!
Антивирус не поможет расшифровать твои данные :(

Как следует из текста, SerbRansom угрожает каждые 5 минут удалять по случайно выбранному файлу. В изученном образце этого не происходило. Возможно, это просто запугивание. 

Когда пострадавший откроет записку о выкупе, то она автоматически воспроизводит это видео с YouTube в фоновом режиме.


Крипто-строитель Используется крипто-строитель, который делает как сам Ransomware, так и декриптер к нему. 

Другие разработки и предложения выложены на хакерских форумах. Среди них предложение — веб-инжекты для сайтов из Хорватии. 

Технические детали

Распространяется на даркнет-форумах, может в дальнейшем распространяться с помощью  email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Сообщается, что "антивирусы AVG и Kaspersky — лучшие антивирусы, но и они недостаточно хороши, чтобы остановить мой продукт".

Файлы, связанные с этим Ransomware:
srbransom.exe
<random>.exe
wallpaper.jpg
<ransom_note>.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая, единичные случаи.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SerbRansom)
 Write-up
 *

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LoveLock

LoveLock Ransomware 

Love2Lock Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные в тестовой папке. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .hasp

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ReadME!.txt

Содержание записки о выкупе:
text1

Перевод записки на русский язык:
текст1

Находится в разработке, потому шифрует только файлы, находящиеся в папке test2 на рабочем столе. 

Может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов и пр.

Файлы, связанные с этим Ransomware:
ccvv.exe
fdfd.exe
ReadME!.txt
%Desktop%\test2\ReadME!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up

 Thanks: 
 Karsten Hahn
 TrendMicro
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Wcry

Wcry Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы. Название дано от используемого расширения. Фальш-имя: Message Application. Много шума наделала версия WannaCry-2, которая на самом деле называлась WanaCrypt0r 2.0. 

© Генеалогия: Wcry > WannaCry > WanaCrypt0r 2.0

К зашифрованным файлам добавляется расширение .wcry

Активность этого крипто-вымогателя пришлась на первую половину февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа выступает экран блокировки "Notification"

Содержание текста с экрана:
Your files have been safely encrypted!
Most of your files are encrypted with strong AES-128 ciphers.
To decrypt files you need to obtain the private keys, and it is the only possible way.
To obtain the keys you should pay with bitcoin.
The cost will double by the specified time.
What to do, How to do
1. Send 0.1 BTC to 1G7bggAjH8pJaUfUoC9kRAcSCoev6djwFZ
You will be able to download the private key within 12 hours.
2. How to DECRYPT your files
1) Click "Start Decrypt".
2) First, you should send a download request with your Bitcoin wallet address.
(Important: You must know your actual wallet address from where your payment be sent.)
3) Sleep.
4) After 5-6 hours you will have the key and can decrypt your files. Go!
5) That’s all.
3. About BITCOIN
1) For more information about bitcoin, please visit https://en.wikipedia.org/wiki/Bitcoin
2) Here are our recommendations to purchase bitcoin:
***
Any attempt to corrupt or remove this software will result in immediate elimination of the private keys by the servers. 
button 'Start Decrypt'

Перевод текста с экрана на русский язык:
Ваши файлы безопасно зашифрованы!
Большинство ваших файлов зашифрованы с мощным шифром AES-128.
Для расшифровки файлов вам нужно получить закрытые ключи, и это единственный путь.
Для получения ключей вы должны заплатить биткоины.
Стоимость удвоится через указанное время.
Что делать, как делать
1. Отправить 0,1 BTC на 1G7bggAjH8pJaUfUoC9kRAcSCoev6djwFZ
Вы сможете загрузить закрытый ключ в течение 12 часов.
2. Как дешифровать файлы
1) Нажмите кнопку "Запуск расшифровки".
2) Сначала вы должны отправить запрос на загрузку с адреса вашего Bitcoin-кошелька.
(Важно: Вы должны знать адрес своего бумажника, откуда ваш платеж будет отправлен.)
3) Сон.
4) Через 5-6 часов вы получите ключ и можете расшифровать файлы. Иди!
5) Вот и все.
3. О Bitcoin
1) Для получения дополнительной информации о Bitcoin, пожалуйста, посетите https://en.wikipedia.org/wiki/Bitcoin
2) Вот наши рекомендации по покупке биткоинов:
***
Любая попытка прервать работу или удалить этот софт приведет к немедленной ликвидации серверами закрытых ключей.
Кнопка "Запуск расшифровки"

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .aes, .ai, .ARC, .asc, .asf, .asp, .avi, .backup, .bak, .bmp, .brd, .c, .cgm, .class, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .n, .nef, .odb, .odg, .odp, .ods, .odt, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sin, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .stw, .suo, .swf, .sxc, .sxd, .sxm, .sxw, .tar, .tarbz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (160 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы, файлы прикладных программ и пр.

Файлы, связанные с этим Ransomware:
Message.EXE
<random>.exe
wcry.exe
taskschs.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***rphjmypwmfvx6v2e.onion (C2)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Есть два дешифровщика, но их возможности ограничены: 
1) WannaKey - только для Windows XP (скачать)
2) wanakiwi - для Windows XP, x86 Windows 7, 2003, Vista, Server 2008, 2008 R2 (скачать)
wanakiwi поможет, если ПК не выключался и не перезагружался после атаки WannaCry
Описание >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as WannaCryptor)
 Write-up
 *

 Thanks: 
 S!Ri, MalwareHunterTeam
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Fadesoft

Fadesoft Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,33 биткоинов, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: ***нет данных***

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записку с требованием выкупа заменяет экран блокировки без имени. 

Ради дешёвых понтов использует картинку Umbrella Corporation из Resident Evil. Понты с зонтом, так сказать. 😄

Содержание записки о выкупе:
YOUR PERSONAL FILES ARE ENCRYPTED !
All your important files stored on this computer and attached drives have been encrypted using strong AES-256 + RSA-2048 cryptography algorithms.
Click on [SHOW LOCKED FILES] button to see which files have been encrypted.
The only way to recover your files is to obtain a unique private decryption key stored on our server. There is no other way to decrypt your data without the private key.
To receive the private key, you have to buy Bitcoins and send 0.33 BTC to our address.
You can buy bitcoins on or www.localbitcoins.com use GOOGLE to find out how to buy and send bitcoin in your region.
YOU HAVE 96 HOURS (4 DAYS) TO PAY BEFORE THE DECRYPTION KEY IS DESTROYED ON OUR SERVER. AFTER THIS TIME YOUR DATA WILL BE LOST FOREVER!
Dont try to delete me if you want your files back. YOU HAVE BEEN WARNED.
Click on [DECRYPT MY FILES] button if you have already paid.
Decryption process is fully automated.
send 0.33 BTC to this address: ***

Перевод записки на русский язык:
Ваша личный файлы зашифрованы!
Все ваши важные файлы, хранящиеся на этом компьютере и подключенные диски были зашифрованы с использованием надежных алгоритмов шифрования AES-256 + RSA-2048.
Нажмите на кнопку [SHOW LOCKED FILES], чтобы увидеть, какие файлы были зашифрованы.
Единственный способ восстановить файлы — это получить уникальный частный ключ дешифрования, который хранится на нашем сервере. Никакого иного способа расшифровать данные без секретного ключа.
Для получения секретного ключа вы должны купить биткоины и отправить 0,33 BTC на наш адрес.
Вы можете купить биткоины на www.localbitcoins.com или в GOOGLE узнать, как купить и отправить биткоины в вашем регионе.
У вас есть 96 часов (4 дня) на оплату ключа дешифрования до его уничтожения нашим сервером. По истечении этого времени ваши данные будут потеряны навсегда!
Не пытайтесь удалить меня, если хотите вернуть ваши файлы. Вы были предупреждены.
Нажмите на кнопку [DECRYPT MY FILES], если вы уже заплатили.
Процесс дешифрования полностью автоматизирован.
отправьте 0,33 BTC по этому адресу: ***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Обходит UAC. Использует TOR и Privoxy для контакта с C2-сервером. Также использует CreateDesktop для создания рабочего стола под названием "pdsk", чтобы там работал Privoxy (свободный веб-прокси). После этого начинает контакт с C2-сервером, выбирая один из жестко закодированных 4-х onion-сайтов. Затем, используя smethod_19 формирует оставшиеся адреса. Зачем такие сложности, неизвестно. 

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает файлы, находящиеся в папках:
windows, appdata, programdata, program files, recycle.bin, system volume, cookies, temporary internet, games, nvidia, intel, pagefile

Файлы, связанные с этим Ransomware:
Neifaewiene.exe, evtmon.exe, client.exe - названия вредоносного файла. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Обновление от 6 марта 2017:

Пост в Твиттере >>
Файлы: client.exe, Neifaewiene.exe
Название: ouyiemioRoo
Email: cryptx.support@yandex.com
Сумма выкупа: 0,1 BTC
Результаты анализов: VT
<< Скриншот экрана блокировки


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
*

 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.