Xorist-FakeRSA

Xorist-FakeRSA Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью TEA, а затем требует выкуп в 2 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: DecryptFiles2.exe и 6RgG4sD94Q3n4Q1.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Xorist >> Xorist-FakeRSA

К зашифрованным файлам добавляется расширение: .RSA-4096

Активность этого крипто-вымогателя пришлась на начало июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Запиской с требованием выкупа также выступает экран блокировки с заголовком Error.

Содержание текста о выкупе:
All your important files were encrypted on this computer.
You can verify this by click on see files an try open them. 
Encrtyption was produced using unique public key RSA-4096 generated for this computer. 
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 48 hours after encryption completed.
To retrieve the private key, you need to pay 2 bitcoins IMPORTANT YOU HAVE ONLY 48 HOURS IF U DON'T PAY ALL YOUR FILES WILL BE DELETED!
Bitcoins have to be sent to this address: 
15sJ3pT7J6zefRs95SEsfBZMz8jAw1zAbh
After you've sent the payment send us an email to : 
DecryptFiles@tutanota.com with subject : DECRYPT-ID-63170158
If you are not familiar with bitcoin you can buy it from here :
SITE 1 : www.coinbase.com
SITE 2 : www.localbitcoins.com
After we confirm the payment , we send the private key so you can decrypt your system.

Перевод текста на русский язык:
Все ваши важные файлы были зашифрованы на этом компьютере.
Вы можете проверить это, щелкнув по файлам и попробовав открыть их.
Шифрование было создан с уникальным открытым ключом RSA-4096, сгенерированным для этого компьютера.
Для дешифрования файлов вам нужно получить закрытый ключ.
Единственная копия закрытого ключа, позволяющая расшифровать файлы, находится на секретном сервере в Интернете;
Сервер уничтожит ключ через 48 часов после завершения шифрования.
Чтобы получить секретный ключ, вам нужно заплатить 2 биткоина. ВАЖНО У ВАС ЕСТЬ ТОЛЬКО 48 ЧАСОВ, ЕСЛИ НЕ ЗАПЛАТИТЕ, ВСЕ ВАШИ ФАЙЛЫ БУДЕТ УДАЛЕНЫ!
Биткоины должны быть отправлены по этому адресу:
15sJ3pT7J6zefRs95SEsfBZMz8jAw1zAbh
После отправки платежа отправьте нам письмо по адресу:
DecryptFiles@tutanota.com с темой: DECRYPT-ID-63170158
Если вы не знакомы с биткоином, вы можете купить их здесь:
САЙТ 1: www.coinbase.com
САЙТ 2: www.localbitcoins.com
После подтверждения платежа мы отправим закрытый ключ, чтобы вы могли расшифровать свою систему.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Если ввести неверный пароль более 5 раз, все файлы будут уничтожены. Вероятно, что эта функция предотвращает перебор пароля. К сожалению автора шифровальщика, счётчик ввода неверного пароля сбрасывается каждый раз, когда мы закрываем окно программы. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .ac3, .ace, .ape, .avi, .BAC, .BAK, .bak, .bat, .bkf, .bmp, .cap, .cdr, .cer, .csv, .dat, .dbf, .dbk, .dit, .divx, .djvu, .doc, .docx, .drt, .dwg, .edb, .erf, .exe, .EXE, .flac, .flv, .FPT, .frm, .gif, .gzip, .htm, .html, .ifo, .isr, .jar, .JAVA, .jpeg, .jpg, .kwm, .ldb, .LDF, .lnk, .LOG, .log, .m2v, .max, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .mst, .nnn, .NX1, .nx1, .ods, .odt, .odt7, .p12, .PCC, .pdb, .pdf, .pfx, .png, .ppt, .pptx, .psd, .psi, .pwm, .QBW, .rar, .RAR, .rpt, .rtf, .sql, .SQL, .tar, .tib, .torrent, .txt, .vhd, .vob, .wallet, .wav, .wma, .wmv, .xls, .xlsx, .xlt, .xml, .zip (100 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
DecryptFiles2.exe
usbview.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\6RgG4sD94Q3n4Q1.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: DecryptFiles@tutanota.com
BTC: 15sJ3pT7J6zefRs95SEsfBZMz8jAw1zAbh
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist Ransomware - март 2016

Xorist-EnCiPhErEd Ransomware - май 2016

Xorist-FakeRSA - февраль 2017

Xorist-Zixer2 Ransomware - апрель 2017

Xorist-RuSVon Ransomware - июль 2017

Xorist-Hello Ransomware - август 2017

Xorist-CerBerSysLock Ransomware - декабрь 2017
Xorist-XWZ Ransomware - март 2018

Xorist-Frozen Ransomware - февраль - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. Историю семейства выше. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoShield 2.0

CryptoShield 2.0 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, версия записана как CryptoShield 2.0. Фальш-имя: Protected SoftWare. Фальш-копирайт: Copyright (C) 1998

© Генеалогия: CryptoMix > CryptoShield 1.0 > CryptoShield 2.0 

К зашифрованным файлам добавляется составное расширение по шаблону 
.[RES_SUP@INDIA.COM].ID[2D64A0776C78A9C3].CRYPTOSHIELD

Так у файла 1028.TXT с помощью rot13.com шифруется оригинальное расширение TXT в GKG, к которому затем присоединяется к примеру это: 
.[RES_SUP@INDIA.COM].ID[2D64A0776C78A9C3].CRYPTOSHIELD

Активность этого крипто-вымогателя пришлась на первую половину февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
# RESTORING FILES #.txt
# RESTORING FILES #.html 

 

Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE http://translate.google.com 
What happens to you files? 
All of your files were encrypted by a strong encryption with RSA-2048 using CryptoShield 2.0. DANGEROUS. 
More information about the encryption keys using RSA-2048 can be found here: https://en.wikipedia.org/wiki/RSA_(cryptosystem) 
How did this happen ? 
Specially for your PC was generated personal RSA - 2048 KEY, both public and private. ALL your FILES were encrypted with the public key, which has been transferred to your computer via the Internet. Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our secret server. 
What do I do ? 
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start send email now for more specific instructions, and restore your data easy way. If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make payment. 
To receive your private software: 
Contact us by email , send us an email your (personal identification) ID number and wait for further instructions. Our specialist will contact you within 24 hours. 
ALL YOUR FILES ARE ENCRYPTED AND LOCKED, YOU CAN NOT DELETE THEM, MOVE OR DO SOMETHING WITH THEM. HURRY TO GET BACK ACCESS FILES. Please do not waste your time! You have 72 hours only! After that The Main Server will double your price! 
So right now You have a chance to buy your individual private SoftWare with a low price! 
CONTACTS E-MAILS: 
res_sup@india.com - SUPPORT; 
res_sup@computer4u.com - SUPPORT RESERVE FIRST; 
res_reserve@india.com - SUPPORT RESERVE SECOND; 
ID (PERSONAL IDENTIFICATION): 9694E***

Перевод записки на русский язык:
НЕ ВАШ ЯЗЫК? ПОЛЬЗУЙ http://translate.google.com
Что стало с вами файлы?
Все файлы были зашифрованы с надежным шифрованием RSA-2048, используя CryptoShield 2.0. ОПАСНЫЙ.
Подробную информацию о ключах шифрования с RSA-2048 можно найти здесь: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Как это произошло?
Специально для вашего ПК был создан личный RSA-2048 ключ, открытый и закрытый. Все ваши файлы были зашифрованы с помощью открытого ключа, переданного на компьютер через Интернет. Дешифрование файлов возможно только с помощью секретного ключа и декриптера, который находится на нашем секретном сервере.
Что мне делать?
Есть два способа, которые вы можете выбрать: ждать чуда и удвоить цену в два раза, или отправить нам email для конкретных инструкций, и легко восстановить данные. Если у вас правда есть ценные данные, то лучше не терять время, т.к. нет иного пути, чтобы получить ваши файлы, кроме как произвести оплату.
Чтобы получить приватную программу:
Свяжитесь с нами по email, отправьте нам свой (персональный идентификационный) ID и ждите дальнейших указаний. Наш специалист свяжется с вами в течение 24 часов.
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ И ЗАПЕРТЫ, ВЫ НЕ СМОЖЕТЕ УДАЛИТЬ, ПЕРЕМЕСТИТЬ ИЛИ ЧТО-ТО ДЕЛАТЬ С НИМИ. СПЕШИТЕ ВЕРНУТЬ  ДОСТУП К ФАЙЛАМ. Пожалуйста, не теряйте свое время! У вас есть только 72 часа! После этого главный сервер удвоит цену!
Прямо сейчас у вас есть возможность приобрести свою личную программу по низкой цене!
КОНТАКТЫ E-Mail:
res_sup@india.com - ПОДДЕРЖКА;
res_sup@computer4u.com - ПЕРВАЯ РЕЗЕРВНАЯ ПОДДЕРЖКА;
res_reserve@india.com - ВТОРАЯ РЕЗЕРВНАЯ ПОДДЕРЖКА;
ID (Personal Identification): 9694E ***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, JavaScript и эксплойтов (в данном случае с помощью RIG и EITest) на взломанных сайтах, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Также используется известная цепочка заражений EITest, когда злоумышленниками сначала компрометируется большое количество сайтов (под управлением WordPress и Joomla), эксплуатируя известные уязвимости, затем небольшая часть трафика с зараженных ресурсов перенаправляется на вредоносные страницы, подвергая посетителей атакам наборами эксплойтов и заражая их различными вредоносами. 

После шифрования отключаются опции восстановления системы на этапе загрузки и точки восстановления системы, и удаляются теневые копии файлов, командами:
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /C net stop vss


Добавляет себя в Автозагрузку системы. Нерестит много процессов.

Список файловых расширений, подвергающихся шифрованию:
См. список расширений в первой версии >>
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# RESTORING FILES #.txt
# RESTORING FILES #.html
rad93DD5.tmp.exe
CryptoShield.tmp.exe
net1.exe
net.exe
<random>.exe
<random>.tmp.exe
<random>.temp
recovery.js.tmp
recovery.js
%ALLUSERSPROFILE%\MicroSoftTMP\system32\conhost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Примеры пострадавших сайтов: 

***stephanemalka.com
***new.theagingbusiness.com
res_sup@india.com
res_sup@computer4u.com
res_reserve@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> Ещё>>
VirusTotal анализ >> Ещё>> Ещё>>
Deepviz анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 24 февраля 2017:
Расширение: .CRYPTOSHIEL или .CRYPTOSHIELD
Email: R_SUP@INDIA.COM
С помощью rot13.com шифруется оригинальное имя файла и его расширение. 
Образец зашифрованного файла: 
[processed_in_ROT13_name+extension].[RES_SUP@INDIA.COM].ID[2D64A0776C78A9C3].CRYPTOSHIELD

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoShield)
 Write-up

Внимание, файлы в некоторых случаях можно расшифровать!  
Скачать дешифроващик от Avast по ссылке >>
---
Скачать дешифровщик от CERT-PL по ссылке >>

Added later
Write-up by Malware Breakdown (add. February 18. 2017)

 Thanks: 
 Brad
 Michael Gillespie
 Malware Breakdown
 *

Это 400 статья на этом сайте!!!

© Amigo-A (Andrew Ivanov): All blog articles.

Hermes

Hermes Ransomware

Hermes 2.0 -2.1 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES256 + RSA2048, а затем требует связаться по email, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: Hermes. Начало.

Изображение — логотип статьи

Зашифрованные файлы не переименовываются. К ним, точнее в конце содержимого зашифрованного файла, добавляется маркер HERMES

Активность этого крипто-вымогателя пришлась на первую половину февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Сообщается, что это не работает для России, Украины и Беларуси. 

Записки с требованием выкупа называются: 
DECRYPT_INFO.txt
DECRYPT_INFORMATION.html

Содержание записков о выкупе:
HERMES RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public-key stored on your PC.
There is only one way to get your files back: contact with us, pay, and get decryptor software.
You have "UNIQUE_ID_DO_NOT_REMOVE" file on your desktop also it duplicated in some folders, its your unique idkey, attach it to letter when contact with us. Also you can decrypt 3 files for test.
We accept Bitcoin, you can find exchangers on xxxxs://www.bitcoin.com/buy-bitcoin and others.
Contact information:
primary email: BM-2cXfK4B5W9nvci7dYxUhuHYZSmJZ9zibwH@bitmessage.ch
reserve email: x2486@india.com

Перевод запискок на русский язык:
HERMES вымогатель
Все ваши важные файлы зашифрованы
Ваши файлы были зашифрованы, используя алгоритм RSA2048 с уникальным открытым ключом, хранящимся на вашем компьютере.
Существует только один способ получить файлы обратно: связаться с нами, оплатить и получить программу декриптор.
У вас есть файл "UNIQUE_ID_DO_NOT_REMOVE" на рабочем столе и он дублируется в некоторых папках, это ваш уникальный IdKey, прикрепите его к письму, когда напишите нам. Также вы можете расшифровать 3 файла для теста.
Мы принимаем Bitcoin, вы можете найти обменники на xxxxs://www.bitcoin.com/buy-bitcoin и другие.
Контактная информация:
Основной email: BM-2cXfK4B5W9nvci7dYxUhuHYZSmJZ9zibwH@bitmessage.ch
Резервный email: x2486@india.com

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Использует метод Evelen для обхода UAC. Удаляет тома теневых копий файлов и файлы резервного копирования. 

➤ Оффлайн-шифрование. 

➤ Восстанавливает работу после перезагрузки, если шифрование не было завершено.

➤ Удаляет теневые и резервные копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
.accdb, .agif, .awdb, .bean, .cdmm, .cdmz, .cdr3, .cdr4, .cdr6, .cdrw, .clkw, .crwl, .ddoc, .djvu, .docm, .docx, .docz, .dotm, .dotx, .dtsx, .emlx, .epsf, .fdxt, .fh10, .fh11, .fodt, .fpos, .ft10, .ft11, .fwdn, .gdoc, .gfie, .glox, .gthr, .hpgl, .html, .icon, .idea, .itc2, .itdb, .jbig, .jpeg, .jpg2, .jrtf, .kdbx, .mbox, .mell, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .mmat, .mobi, .mrxs, .pano, .pict, .pjpg, .pntg, .pobj, .pptm, .pptx, .psdx, .psid, .rctd, .reloc, .riff, .s2mv, .save, .scad, .sdoc, .smil, .ssfn, .sumo, .svgz, .text, .tiff, .utf8, .vrml, .vsdm, .vsdx, .vstm, .vstx, .wbmp, .webp, .wmdb, .xhtm, .xlgc, .xlsb, .xlsm, .xlsx, .zabw (92 расширения). 

Расширенный список из статьи Л. Абрамса на BleepingComputer: 

.abm, .abs, .abw, .accdb, .act, .adn, .adp, .aft, .afx, .agif, .agp, .ahd, .aic, .aim, .albm, .alf, .ani, .ans, .apd, .apm, .apng, .aps, .apt, .apx, .art, .arw, .asc, .ase, .ask, .asw, .asy, .aty, .awdb, .awp, .awt, .aww, .azz, .bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bmp, .bmx, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .cal, .cals, .can, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmz, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cfu, .cgm, .cimg, .cin, .cit, .ckp, .clkw, .cma, .cmx, .cnm, .cnv, .colz, .cpc, .cpd, .cpg, .cps, .cpt, .cpx, .crd, .crwl, .css, .csv, .csy, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .dad, .daf, .dat, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dca, .dcb, .dcr, .dcs, .dct, .dcx, .ddl, .ddoc, .dds, .ded, .dgn, .dgs, .dgt, .dhs, .dib, .diz, .djv, .djvu, .dmi, .dmo, .dnc, .dne, .doc, .docm, .docx, .docz, .dot, .dotm, .dotx, .dpp, .dpx, .dqy, .drw, .drz, .dsk, .dsn, .dsv, .dta, .dtsx, .dtw, .dvi, .dvl, .dwg, .dxb, .dxf, .dxl, .eco, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .emd, .emf, .emlx, .epf, .epp, .eps, .epsf, .eql, .erf, .err, .etf, .etx, .euc, .exr, .fal, .faq, .fax, .fbl, .fbx, .fcd, .fcf, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fft, .fic, .fid, .fif, .fig, .fil, .flc, .fli, .flr, .fmv, .fodt, .fol, .fpos, .fpt, .fpx, .frm, .frt, .frx, .ftn, .fwdn, .fxc, .fxg, .fzb, .fzv, .gcdp, .gdb, .gdoc, .gem, .geo, .gfb, .gfie, .ggr, .gif, .gih, .gim, .gio, .glox, .gpd, .gpn, .gro, .grob, .grs, .gsd, .gthr, .gtp, .gwi, .hbk, .hdb, .hdp, .hdr, .hht, .his, .hpg, .hpgl, .hpi, .hpl, .htc, .html, .hwp, .icn, .icon, .icpr, .idc, .idea, .idx, .igt, .igx, .ihx, .iil, .iiq, .imd, .info, .ink, .ipf, .ipx, .itc2, .itdb, .itw, .iwi, .jas, .jbig, .jbmp, .jbr, .jfif, .jia, .jis, .jng, .joe, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .jrtf, .jtf, .jtx, .jwl, .jxr, .kdb, .kdbx, .kdc, .kdi, .kdk, .kes, .kic, .klg, .knt, .kon, .kpg, .kwd, .lbm, .lbt, .lgc, .lis, .lit, .ljp, .lmk, .lnt, .lrc, .lst, .ltr, .ltx, .lue, .luf, .lwo, .lwp, .lws, .lyt, .lyx, .mac, .man, .map, .maq, .mat, .max, .mbm, .mbox, .mdb, .mdf, .mdn, .mdt, .mef, .mell, .mft, .mgcb, .mgmf, .mgmt, .mgmx, .mgtx, .min, .mmat, .mng, .mnr, .mnt, .mobi, .mos, .mpf, .mpo, .mrg, .mrxs, .msg, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .now, .nrw, .nsf, .nyf, .nzb, .obj, .oce, .oci, .ocr, .odb, .odm, .odo, .odp, .ods, .odt, .ofl, .oft, .omf, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ovr, .owc, .owg, .oyx, .ozb, .ozj, .ozt, .pal, .pan, .pano, .pap, .pbm, .pcd, .pcs, .pcx, .pdb, .pdd, .pdf, .pdm, .pdn, .pds, .pdt, .pef, .pff, .pfi, .pfs, .pfv, .pfx, .pgf, .pgm, .phm, .php, .pic, .pict, .pix, .pjpg, .pjt, .plt, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .ppm, .ppt, .pptm, .pptx, .prt, .prw, .psd, .psdx, .pse, .psid, .psp, .psw, .ptg, .pth, .ptx, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .pxr, .pza, .pzp, .pzs, .qdl, .qmg, .qpx, .qry, .qvd, .rad, .rar, .ras, .raw, .rctd, .rcu, .rdb, .rdl, .rft, .rgb, .rgf, .rib, .ric, .riff, .ris, .rix, .rle, .rli, .rng, .rpd, .rpf, .rpt, .rri, .rsb, .rsd, .rsr, .rst, .rtd, .rtf, .rtx, .run, .rwl, .rzk, .rzn, .s2mv, .saf, .sai, .sam, .save, .sbf, .scad, .scc, .sci, .scm, .sct, .scv, .scw, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfw, .sgm, .sig, .skm, .sla, .sld, .sls, .smf, .smil, .sms, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .srw, .ssa, .ssfn, .ssk, .ste, .stm, .stn, .stp, .str, .stw, .sty, .sub, .sumo, .sva, .svf, .svg, .svgz, .swf, .sxd, .sxg, .sxw, .tab, .tbn, .tcx, .tdf, .tdt, .tex, .text, .tfc, .tga, .thm, .thp,.tif, .tiff, .tjp, .tlb, .tlc, .tmd, .tmv, .tmx, .tne, .tpc, .tpi, .trm, .tvj, .txt, .udb, .ufo, .ufr, .uga, .unx, .uof, .uot, .upd, .usr, .utf8, .utxt, .vbr, .vct, .vda, .vdb, .vec, .vff, .vml, .vnt, .vpd, .vpe, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vue, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webp, .wgz, .wire, .wmdb, .wmf, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .wsc, .wsd, .wsh, .wtx, .wvl, .xar, .xdb, .xdl, .xhtm, .xld, .xlf, .xlgc, .xls, .xlsb, .xlsm, .xlsx, .xpm, .xps, .xwp, .xyp, .xyw, .yal, .ybk, .yml, .ysp, .zabw, .zdb, .zdc, .zif, .zip (681 расширение). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, файлы программ, файлы для мобильных устройств, архивы, бэкапы и пр.

Список типов файлов резервного копирования, которые удаляются:
*.VHD, *.bac, *.bak, *.wbcat, *.bkf, Backup*.*, backup*.*, *.set, *.win, *.dsk

Файлы, связанные с этим Ransomware:
DECRYPT_INFO.txt
DECRYPT_INFORMATION.html
UNIQUE_ID_DO_NOT_REMOVE - файл с ID
hermes.exe
Reload.exe
system_.bat
shade.bat
shade.vbs

Расположения:
C:\Eleven\Comet.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\
C:\Eleven\Microsoft\
C:\Eleven\Microsoft\Windows\
C:\Eleven\Microsoft\Windows\Caches\
C:\Eleven\Microsoft\Windows\Caches\cversions.2.db
C:\Eleven\Microsoft\Windows\Caches\{6AF0698E-D558-4F6E-9B3C-3716689AF493}.2.ver0x0000000000000001.db
C:\Eleven\Microsoft\Windows\Caches\{73E271C2-E043-4985-A165-1B09233B848B}.2.ver0x0000000000000001.db
C:\Eleven\Microsoft\Windows\Caches\{DDF571F2-BE98-426D-8288-1A9A39C3FDA2}.2.ver0x0000000000000001.db
C:\Eleven\Microsoft\Windows\Caches\{E0B113B6-B2EA-4F79-9F6D-C7F51DA96E93}.2.ver0x0000000000000001.db
C:\Eleven\Microsoft\Windows\Start Menu
C:\Eleven\Microsoft\Windows\Start Menu\Programs
C:\Eleven\Microsoft\Windows\Start Menu\Programs\Administrative Tools
C:\Eleven\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Computer Management.lnk
C:\Users\Public\Reload.exe
C:\Users\Public\shade.bat
C:\Users\Public\shade.vbs
C:\Users\Public\system_.bat


Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "allkeeper" /t REG_SZ /d "%USERPROFILE%\Desktop\DECRYPT_INFORMATION.html" /f
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "sysrep" /t REG_SZ /d "%PUBLIC%\Reload.exe" /f
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "allkeeper" /t REG_SZ /d
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "sysrep" /t REG_SZ /d
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\allkeeper  C:\users\User\Desktop\DECRYPT_INFORMATION.html
См. ниже результаты анализов.

Сетевые подключения и связи:
Bitmessage: BM-2cXfK4B5W9nvci7dYxUhuHYZSmJZ9zibwH@bitmessage.ch
Email: x2486@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>



Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 марта 2017:
Пост в Твиттере >>
Новая версия 2.0
Email: BM-2cUGvXP5PUnnbTBwLfk5cTDYQL55PX4kaK@bitmessage.ch
BM-2cWSYhFXhuHyLGLusdmnXP7TNpCW6KEu1z@bitmessage.ch
Добавлена идентификация в IDR: Hermes 2.0
Mаркер HERMES также имеется. 

*************************
Обновление от 22 августа 2017:
Новая версия 2.1
809 файловых расширений любого размера. 
Данные записываются поверх текущего файла, что затрудняет восстановление данных с помощью программа восстановления информации R-studio, Recuva и пр.

Обновление от 30 октября 2017:
Новая версия 2.1
Пост в Твиттере >>
Расширение: .HRM
Шифрование: RSA + CryptGenRandom
Email: BM-2cTSTDcCD5cNqQ5Ugx4US7momFtBynwdgJ@bitmessage.ch
BM-2cT72URgs1AWGV6Wy6KBu2yuj3ychN5vxC@bitmessage.ch

*************************
Обновление от 11 января 2018:
Ссылка на AnyRun анализ и обзор >>
Результаты анализов: VT 
Не добавляет к файлам расширение после шифрования.
Уникальный ключ теперь в теле записки. 

-------------------------------------------------------------

Обновление от 5 февраля 2018:
Пост в Твиттере >>
Шифрование: AES-256 + RSA-2048 (для каждого файла)
Файл: My video.exe
Email: btcmoon@keemail.me
Результаты анализов: VT

Обновление от 31 марта 2018:
Email: supportdecrypt@firemail.cc
Топик на форуме >>

Обновление от 12 марта 2018:
Расширение: .HRM
Email: helpfile@asia.com
DECRYPT_INFORMATION.html
C:\\Users\Public\window.bat
Результаты анализов: VT

Обновление от 1 июня 2018:
Email: hrmsdecrypt@mail.com, novusordoseclorum100@gmail.com
Сумма выкупа: 0.2 BTC
Файл декриптера: DECRYPTOR.exe
Другие файлы: HermesTarget.cmd
➤ Сообщение от вымогателей относительно дешифрования: 
Untill u start decryptor: turn off all antivirus software,stop all databases (if exist and have been ecnrypted), add all local resources (what have been ecnrypted)
after it you must start DECRYPTOR.exe with admin privileges, choose 2 mode (fully automatic decrypt) and wait,
after decryptor finished u see the message.
For additional question u can write in anytim
Hermes Team
➤ Пострадавшие сообщают о невозможности дешифровки, о пустом архиве с декриптором и просят других пострадавших не платить выкуп этим вымогателям. 

Обновление от 20 июня 2018:
Пост в Твиттере >>
Расширение: .HRM
Составное расширение: [supportdecrypt@firemail.cc].HRM
Email-1: supportdecrypt@firemail.cc
Email-2: BM-2cT72URgs1AWGV6Wy6KBu2yuj3ychN5vxC@bitmessage.ch
Файлы: PUBLIC
UNIQUE_ID_DO_NOT_REMOVE
Записка:  DECRYPT_INFORMATION.html
Результаты анализов: VT + AR + VMR

➤ Содержание записки: 
HERMES 2.1 RANSOMWARE
Your files has been encrypted using RSA2048 algorithm with unique public-key stored on your PC.
There is  only one way   to get your files back:  contact with us,  pay,  and get  decryptor software. 
We accept Bitcoin, and other cryptocurrencies,  you can find exchangers on bestbitcoinexchange.io  
You have unique idkey (in a yellow frame), write it in letter when contact with us.
Also you can decrypt 1 file for test, its guarantee what we can decrypt your files.
IDKEY:
>>>0702000000a40000a70bfc78c74dab0ece68cdc3bf5c2ce9c61f0f0e8d889a57bb8f71***<<<
Contact information:
primary email: supportdecrypt@firemail.cc
reserve email: BM-2cT72URgs1AWGV6Wy6KBu2yuj3ychN5vxC@bitmessage.ch
---
Обнаружения:
DrWeb -> Trojan.Encoder.29535
BitDefender -> Gen:Variant.Ursu.594729
TrendMicro -> Ransom.Win32.HERMES.THIBOAI

Обновление от 17 августа 2018:
Email: unblockmeplease@cock.li

Обновление от 30 октября 2018:
Весрия: HERMES 2.1
Файлы: PUBLIC
UNIQUE_ID_DO_NOT_REMOVE
Топик на форуме >>

Обновление от 13 ноября 2019 (вариант из июня 2018 года):
Пост в Твиттере >>
Расширение: .HRM
Составное расширение: [supportdecrypt@firemail.cc].HRM
Записка:  DECRYPT_INFORMATION.html
Результаты анализов: VT

 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Hermes Ransomware версии 1.0 дешифруем!
Скачать декриптер для Hermes 1.0 >> 
Для расшифровки новых версий напишите по ссылке Майклу Гиллеспи >>
For the decoding of new versions, please appeal the link to Michael Gillespie >>
*

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Hermes, Hermes 2.0, Hermes 2.1)
 Video review by CyberSecurity GrujaRS

Added later
Write-up on BC (add. February 17, 2017)
Topic of Support 

 Thanks: 
 Michael Gillespie, Karsten Hahn
 GrujaRS, Andrew Ivanov
 Lawrence Abrams
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoKill

CryptoKill Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в биткоинах, чтобы вернуть файлы. Название оригинальное. Разработчик: btz. Среда разработки: Visual Studio 2015. 

Шифрует файлы, но нигде не сохраняет ключ. Уплата выкупа бесполезна! 

© Генеалогия: HiddenTear > CryptoKill > KillSwitch

К зашифрованным файлам добавляется расширение .crypto

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: CRYPTOKILL_README.txt

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoKill.exe
CRYPTOKILL_README.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.