FabSysCrypto

FabSysCrypto Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название. Среда разработки: Visual Studio 2015. Разработчик: fabsys. 

© Генеалогия: HiddenTear >> FabSysCrypto 

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: _HELP_instructions.txt

Содержание записки о выкупе:
$=~~|~_+|_~+$$=$
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More Information about the RSA and AES can be found here:
http://en.wlklpedla.org/wlkl/RSA_Ccryptosysten)
http://en.wlklpedla.org/wlkl/Advanced_Encryptlon_Standard
Decrypting of your files Is only possible with the private key and decrypt program, which Is on our secret server.
To receive your private key follow one of the links:
1. xxxx://32kl2rwsjvqjeul7.tor2web.org/56D592DC7A9DDlDB
2. xxxx://32kl2rwsjvqjeul7.onion.to/56D592DC7A9DDlDB
3. xxxx://32kl2rwsjvqjeul7.onlon.cab/56D592DC7A9DDlDB
If all of this addresses are not available, follow these steps:
1. Download and Install Tor Browser: xxxxs://www.torproject.org/download/download-easy.html
2. After a successful Installation, run the browser and wait for Initialization.
3. Type In the address bar: 32kl2rwsjvqjeul7.onlon/56D592DC7A9DDlDB
4. Follow the Instructions on the site.
!!! Your personal Identification ID: 56D592DC7A9DD1DB !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с RSA-2048 и AES-128 шифров.
Дополнительную информацию о RSA и AES можно найти здесь:
xxxx://en.wlklpedla.org/wlkl/RSA_Ccryptosysten)
xxxx://en.wlklpedla.org/wlkl/Advanced_Encryptlon_Standard
Дешифровка файлов возможна только с закрытым ключом и декриптора, которые есть на нашем тайном сервере.
Для получения закрытого ключа перейдите по одной из ссылок:
1. xxxx://32kl2rwsjvqjeul7.tor2web.org/56D592DC7A9DDlDB
2. xxxx://32kl2rwsjvqjeul7.onion.to/56D592DC7A9DDlDB
3. xxxx://32kl2rwsjvqjeul7.onlon.cab/56D592DC7A9DDlDB
Если все эти адреса не доступны, выполните следующие действия:
1. Скачайте и установите Tor-браузер: 
xxxxs://www.torproject.org/download/download-easy.html
2. После успешной установки, запустите браузер и дождитесь инициализации.
3. Введите в адресной строке: 32kl2rwsjvqjeul7.onlon/56D592DC7A9DDlDB
4. Следуйте инструкциям на сайте.
!!! Ваш персональный идентификационный ID: 56D592DC7A9DD1DB !!!

Примечательно, что FabSysCrypto копирует записку с требованием выкупа у Locky Ransomware. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений). 
Это документы MS Office, OpenOffice, текстовые файлы, базы данных, фотографии, веб-страницы и пр.

Файлы, связанные с этим Ransomware:
fabsyscrypto.exe
_HELP_instructions.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic
 *

 Thanks: 
 Karsten Hahn
 Andrew Ivanov (article author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Nhtnwcuf

Nhtnwcuf Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. На самом деле файлы не шифруются, а перезаписываются мусором из случайных байтов, до 10,24 Мб в каждом большом файле. Оригинальное название неизвестно. Непонятное "слово" взято из кода программы. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам добавляется случайное расширение, например, .ije, .mkf, .nwy и пр. 
Шаблон расширения можно записать как:
.<random_chars_a-z{3}> или .<a-z{3}>

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
!_RECOVERY_HELP_!.txt и HELP_ME_PLEASE.txt

Содержание записки о выкупе:
INTRODUCTION
Data encryption involves converting and transforming data into scrambled, unreadable, cipher-text using non-readable mathematical calculations and algorithms. Restoring requires a corresponding decryption algorithm in form of software and the decryption key.
Data encryption is the process of transforming information by using some algorithm to make it unreadable to anyone except those possessing a key. In addition to the private key you'll need the decryption software with which you can decrypt your files and return everything to the same level as it was in the first place. Any attempts to try restore you files with the third-party tools will be fatal for your encrypted content.
I almost understood but what do I have to do?
The first thing you should do is to read the instructions to the end. Your files have been encrypted. The instructions, along with encrypted files are not viruses, they are you helpers.
Unfortunately, antivirus companies are not and will not be able to restore your files. Moreover, they make things worse by removing instructions to restore encrypted content.
Antivirus companies will not be able to help decrypt your encrypted data, unless the correct software and unique decryption key is used. Fortunately, our team is ready to help to provide both, "Decryptor" and "Unique decryption key" based on yours unique "Ref#_8114126f16c8".
Keep in mind that the worse has already happened and the further life of your files directly depends on determination and speed of your actions. Therefore, we advice not to delay and follow "!_RECOVERY_HELP_!" instructions.
After purchasing a software package with the unique decryption key you'll be able to:
* Decrypt all your files
* Work with your documents
* View your photos and other media content
* Continue habitual and comfortable work at your computer
If you are aware of the whole importance and criticality of the situation, then we suggest to go directly to the below "!_RECOVERY_HELP_!" instructions where you will be given final simple steps, as well as guarantees to restore your files.
"!_RECOVERY_HELP_!"
Follow 3 Steps in Exact Order
1. In case if you don't already have, Register/Create a BitCoin Wallet.
2. Send 1.00 BTC ( One Bitcoin ) to the following BitCoin Address:
1B2RRVwBP1K3yibZcA3p1qd2YN9BkVafm3
3. Send confirmation to the following E-mail address:
helptodecrypt@list.ru
* Mail Subject - "Ref#_8114126f16c8"
* Mail Content - "4 lines of text"
Line 1: "Ref#_8114126f16c8" - Your Reference Number - Must match with "Mail Subject"
Line 2: "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" - Sender/Sent from - Your BitCoin Address
Line 3: "1B2RRVwBP1K3yibZcA3p1qd2YN9BkVafm3" - Receiver/Sent to - Our BitCoin Address
Line 4: "1.00 BTC" - 1 Bitcoin - Service Charge
* After verification process ( Confirmed, as Paid by our 3rd party provider ) is completed, decription software and unique key will be E-mailed to you without delays.

Перевод записки на русский язык:
ВВЕДЕНИЕ
Шифрование данных включает в себя конвертацию и преобразование данных в скремблированный, нечитаемый, шифротекст с использованием нечитаемых математических вычислений и алгоритмов. Для восстановления требуется соответствующий алгоритм дешифрования в виде программного обеспечения и ключа дешифрования.
Шифрование данных - это процесс преобразования информации с использованием некоторого алгоритма, который делает его нечитаемым для всех, кроме тех, у кого есть ключ. В дополнение к закрытому ключу вам понадобится программное обеспечение для расшифровки, с помощью которого вы можете расшифровать ваши файлы и вернуть все на тот уровень, на котором он был в первую очередь. Любые попытки попытаться восстановить файлы с помощью сторонних инструментов будут фатальными для вашего зашифрованного контента.
Я почти понял, но что мне делать?
Первое, что вам нужно сделать, - прочитать инструкции до конца. Ваши файлы были зашифрованы. Инструкции вместе с зашифрованными файлами не являются вирусами, они ваши помощники.
К сожалению, антивирусные компании не могут и не смогут восстановить ваши файлы. Более того, они усугубляют ситуацию, удаляя инструкции по восстановлению зашифрованного контента.
Антивирусные компании не смогут расшифровать ваши зашифрованные данные, если не использовать правильное программное обеспечение и уникальный ключ дешифрования. К счастью, наша команда готова помочь предоставить «Decryptor» и «Unique decryption key» на основе вашего уникального «Ref#_8114126f16c8».
Имейте в виду, что худшее уже произошло, и дальнейшая жизнь ваших файлов напрямую зависит от решимости и скорости ваших действий. Поэтому мы советуем не откладывать и следовать инструкции "!_RECOVERY_HELP_!.txt".
После приобретения пакета программного обеспечения с уникальным ключом расшифровки вы сможете:
* Расшифровать все ваши файлы
* Работать с вашими документами
* Смотреть фотографии и другой медиа-контент
* Продолжать привычную и удобную работу на вашем компьютере
Если вам известно о всей значимости и критичности ситуации, мы предлагаем перейти непосредственно к приведенной ниже инструкции «! _RECOVERY_HELP_!», где вам даны окончательные простые шаги, а также гарантии для восстановления ваших файлов.
"! _RECOVERY_HELP_!"
Следуйте 3 шагам в точном порядке
1. Если у вас еще нет, зарегистрируйте/создайте BitCoin-кошелек.
2. Отправьте 1.00 BTC (один биткойн) на следующий BitCoin-адрес:
1B2RRVwBP1K3yibZcA3p1qd2YN9BkVafm3
3. Отправьте подтверждение на следующий email-адрес:
helptodecrypt@list.ru
* Тема письма - "Ref#_8114126f16c8"
* Содержание письма - «4 строки текста»
Строка 1: «Ref#_8114126f16c8» - Ваш Reference-номер - должно совпадать с полем «Тема письма»
Строка 2: «xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx» - Отправитель/Отправлено из - ваш BitCoin-адрес
Строка 3: «1B2RRVwBP1K3yibZcA3p1qd2YN9BkVafm3» - Получатель/Отправлено в - наш BitCoin-адрес
Строка 4: «1.00 BTC» - 1 биткойн - плата за обслуживание
* После завершения процесса проверки (Подтверждение оплаты нашим сторонним поставщиком), программа дешифрования и уникальный ключ будут отправлены вам по email немедленно.

Атакует серверы, имеющие поддержку RDP и уязвимости в защите или вообще не имеющие защиты. Устанавливается вручную после взлома систем при подключении к удаленному рабочему столу по протоколу RDP, если открыт стандартный порт TCP 3389.  Возможен взлом RDP Windows с помощью Pass-the-Hash техники, утилит PuTTY, mRemoteNG, TightVNC, Chrome Remote Desktop, модифицированных версий TeamViewer, AnyDesk, Ammyy Admin, LiteManager, Radmin, LogMeIn, PsExec и пр. 

✋ НИКОГДА не используйте изменённые или устаревшие версии программ для удалённого доступа.
NEVER use modified or outdated versions of programs for remote access. The result will be similar.

Почему это возможно? 
Есть много различных способов взлома RDP-подключений, но чаще используется IP-сканер,  с помощью которого хакеры выбирают стандартный порт 3389 для сканирования определенного диапазона IP-адресов. Хакерская программа находит и сохраняет список найденных IP-адресов, потом подключается к каждому найденному компьютеру и в автоматическом режиме методом перебора пытается ввести логин и пароль. При успешном входе в аккаунт администратора хакеры получают полный доступ к его ПК и компьютерам его сети.

Может также распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся фейк-шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
 !_RECOVERY_HELP_!.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
helptodecrypt@list.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Т.к. файлы всё же не шифруются, то TowerWeb Ransomware я отношу к фейк-шифровальщикам. 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Topic on BC
 ID Ransomware (ID as Nhtnwcuf)
 Tweet on Twitter
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SuchSecurity

SuchSecurity Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные в тестовой папке с помощью AES, а затем показывает картинку, видимо в насмешку. Оригинальное название, указано на картинке.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: EDA2 >> Such Security

К зашифрованным файлам добавляется расширение .locked

Образец этого крипто-вымогателя нашёлся на конец февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает начать распространять его по всему миру.

Записки с требованием выкупа называются: ransom.jpg
Это подгружаемая картинка. 

Содержание записки о выкупе:
Such Security
Many Haxx

Перевод записки на русский язык:
Такая безопасность
Много Haxx

Распространяется или может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Видимо, ещё находится в разработке, т.к. шифрует только файлы в папке test на рабочем столе. Требует наличия .NET Framework 4.5. 

Список файловых расширений, подвергающихся шифрованию:

.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransom.jpg
eda2.exe
<random>.exe
\Desktop\test

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://192.168.59.130/webpanel/createkeys.php"
xxxx://192.168.59.130/webpanel/savekey.php"
xxxx://i.imgur.com/67zIv4T.jpg
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 *

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

RedAnts

RedAnts Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название. Фальш-имя: WindowsFormsApplication1. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Изображение не принадлежит шифровальщику

© Генеалогия: HiddenTear >> MafiaWare > RedAnts

К зашифрованным файлам добавляется расширение .Horas-Bah

Образец этого крипто-вымогателя нашелся в  начале марта 2017 г. Ориентирован на англоязычных пользователей, что не помешает распространять его по всему миру.

Записки с требованием выкупа размещаются на рабочем столе и называются: READ_ME.txt

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Пока находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список директорий, выбранных для шифрования файлов:
Desktop, Downloads, Fictures, Documents

Файлы, связанные с этим Ransomware:
RedAnts.exe
READ_ME.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://adrut.bz/index.php?g0ttrap=
jaw@jaw.id
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 *

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ConsoleApplication1

ConsoleApplication1 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> ConsoleApplication1

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на конец февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Detail.txt

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .c, .cpp, .csv, .doc, .docx, .html, .java, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .py, .sln, .sql, .txt, .xls, .xlsx, .xml (24 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Release.exe
Detail.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 *

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KRider

KRider Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, но даже не требует выкуп, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: MyLittleRansomware >> KRider > RekenSom (GHack)

К зашифрованным файлам добавляется расширение .kr3
Создает новый файл с произвольным именем, но первоначальное название в новом файле сохраняется. 

Образец этого крипто-вымогателя был найден в начале марте 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа нет. В настоящее время он не сохраняет ключ шифрования. Видимо находится в разработке. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (158 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KRider.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

MyLittleRansomware - июль 2016

KRider Ransomware - март 2017

RekenSom (GHack) Ransomware - март 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 августа 2017:
Пост в Твиттере >>
Расширение: .adr
Результаты анализов: VT + IA


Обновление от 26 ноября 2020:

Сообщение >>

Расширение: .adr
Записка: DECRYPT_ME.txt

DesktopDECRYPT_ME.txt

Результаты анализов: VT + IA

➤ Обнаружения: 

BitDefender -> Generic.Ransom.Krider.409D49E1

ESET-NOD32 -> A Variant Of MSIL/Filecoder.BQ

TrendMicro -> Ransom_RAMSIL.SM

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Krider)
 Write-up, Topic
 *

 Thanks: 
 MalwareHunterTeam, Michael Gillespie, Karsten Hahn
 S!Ri
 

© Amigo-A (Andrew Ivanov): All blog articles.

UserFilesLocker

UserFilesLocker Ransomware

CzechoSlovak Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в 0,8 - 2,1 биткоинов, чтобы вернуть файлы. Оригинальное название: UserFilesLocker или FilesLocker. На файле написано: Installer. Такой разброс в названиях говорит о неопытности вымогателей. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ENCR 

Активность этого крипто-вымогателя пришлась на конец февраля 2017 г. Ориентирован на чешских и словацких пользователей.

Запиской с требованием выкупа выступает экран блокировки с заголовком FilesLocker.

Содержание первой вкладки:
VŠECHNA VAŠE OSOBNI DATA BYLA NANESTESTI PRO VAS KOMPLETNE ZASIFROVANA
Informace
Krok 1 - PLATBA
Krok 2 - Informujte nas
Step 3 - Obnova dat
Vaše data a soubory jsou nyni bohužel zašifrovaný našim klicem. K šifrováni byl použit unikatni AES-256 key generovaný na tomto pocitaci. V tento okamžik jsou jiz všechny soubory zašifrované a klic bezpecne uloženy v zasifrovane v podobě klice RSA-2048.
Jediný a pouze mozny způsob navraceni Vašich souboru je provést platbu Bitcoinem a vyzadat od nas klice k odsifrovani. Neverte zadnym pohádkám na internetu, ze toto je mozne obejit, jednoduše neni kdyby bylo mnoho veci na tomto svete přestane fungovat.
Zaplatte dle instrukci v následujících krocích podle listy nahoře a vyčkejte na Vaše klice. I nam jde o profesionální klientsky servis a reputaci na trhu, proto se budeme snažit odemknout Vaše soubory co nejdříve.
Castka k uhrade: 0.8 BTC
Castka k uhrade: 2.1 BTC (another variant)

Перевод текста с первой вкладки на русский язык:
Все ваши личные данные, к сожалению для вас, были зашифрованы
Информация
Шаг 1 - ОПЛАТА
Шаг 2 - Расскажите нам
Шаг 3 - Восстановление данных
Ваши данные и файлы были зашифрованы, к сожалению, нашим ключом. Для шифрования использован уникальный ключ AES-256, созданный на этом компьютере. На данный момент все файлы уже зашифрованы и ключи надежно сохранены в зашифрованном виде с RSA-2048.
Только одним способом можно вернуть ваши файлы - произвести оплату в биткоинах и получить у нас ключ для расшифровки. Не верьте никаким сказкам в Интернете, что это можно обойти, если бы это было просто, то много вещей в мире перестало работать.
Заплатите по инструкции, переходя по вкладкам, и ждите ваших ключей. Мы дорожим профессиональным обслуживанием клиентов и репутацией на рынке, поэтому постараемся разблокировать ваши файлы как можно скорее.
Сумма платежа: 0,8 BTC
Сумма платежа: 2.1 BTC (другой вариант)

Все вкладки экрана блокировки

Распространяется путём размещения вредоноса на скомпрометированных сайтах (один сайт чешский, другой словацкий). На скриншоте указаны стрелками. 

Может также начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asf, .avi, .cer, .div, .dll, .exe, .flv, .inf, .ini, .jpg, .mkv, .mng, .mov, .mp3, .mp4, .mpeg, .mpg, .ogg, .ogv, .pkg, .qt, .rm, .rmvb, .run, .sh, .txt, .webm, .wmw, .xvid, .yuv (19 расширений). 
Это текстовые файлы, сертификаты, DLL, EXE, фотографии, музыка, видео и прочие файлы. 

Список директорий, в которых файлы подвергаются шифрованию:
Contacts
Desktop
Documents
Downloads
Favorites
Links
Music
Pictures
SavedGames
SavedSearches
Videos

Файлы, связанные с этим Ransomware:
UserFilesLocker.exe
elektronicka-komunikacia-instalacia.exe
prehled_hotely.exe
Installer.exe
IUDL.exe
encrypt.pinfo - файл с паролем шифрования
Decryptor.exe

Расположения:
%USERPROFILE%\Documents\UserFilesLocker.exe
%USERPROFILE%\Desktop\__encrypt.pinfo
%USERPROFILE%\Documents\__encrypt.pinfo

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***uradvlady.eu
***financnasprava.digital
***www.easycoin.cz
***www.localbitcoins.com
***www.simplecoin.cz
vlastnou.hlavou@mailfence.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as UserFilesLocker)
 Video review (add. March 1, 2017)
 

 Thanks: 
 Jiri Kropac
 Alex Svirid 
 Michael Gillespie
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.