MacAndChess

MacAndChess Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> MacAndChess

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ_IT.txt

Содержание записки о выкупе:
Your files were hacked by the MacAndChess Ransomware!
Send an email at MacAndChessDecrypt@macr2.com on how to decrypt your files
And we will reply back in less than 48 hours in how you can decrypt your files.

Перевод записки на русский язык:
Твои файлы взломаны с помощью MacAndChess Ransomware!
Отправь email на MacAndChessDecrypt@macr2.com как дешифровать файлы
И мы ответим за 48 часов, как ты сможешь дешифровать свои файлы.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MacAndChess.exe
READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***www.titanhdri.16mb.com/MacAndChess/write.php?info=
MacAndChessDecrypt@macr2.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kirk+Spock

Kirk Ransomware & Spock Decryptor

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в криптовалюте Monero в размере ~1,100, чтобы вернуть файлы. Оригинальное название. Разработчик: Trekkie. Написан на Python. По всей видимости это первый крипто-вымогатель, требующий оплату в криптовалюте Monero. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .kirked 

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: RANSOM_NOTE.txt

Содержание записки о выкупе:
KIRK RANSOMWARE
Oh no! The Kirk ransomware has encrypted your files!
! IMPORTANT ! READ CAREFULLY:
Your computer has fallen victim to the Kirk malware and important files have been encrypted - locked up so they don't work. This may have broken some software, including games, office suites etc.
Here's a list of some the file extensions that were targetted:
***
There are an additional 441 file extensions that are targetted. They are mostly to do with games.
To get your files back, you need to pay. Now. Payments recieved more than 48 hours after the time of infection will be charged double. Further time penalties are listed below. The time of infection has been logged.
Any files with the extensions listed above will now have the extra extension '.kirked', these files are encrypted using military grade encryption.
In the place you ran this program from, you should find a note (named RANSOM_NOTE.txt) similar to this one.
You will also find a file named 'pwd' - this is your encrypted password file. Although it was generated by your computer, you have no way of ever decrypting it. This is due to the security of both the way it was generated and the way it was encrypted. Your files were encrypted using this password.
SPOCK TO THE RESCUE!
"Logic, motherfucker." ~ Spock.
Decrypting your files is easy. Take a deep breath and follow the steps below.
 1) Make the proper payment.
     Payments are made in Monero. This is a crypto-currency, like bitcoin.
     You can buy Monero, and send it, from the same places you can any other
     crypto-currency. If you're still unsure, google 'bitcoin exchange'.
     Sign up at one of these exchange sites and send the payment to the address below.
     Make note of the payment / transaction ID, or make one up if you have the option.
    Payment Address (Monero Wallet):
 4AqSwfTexbNaHcn8giSJw3KPiWYHGBaCF9bdgPxvHbd5A8Q3Fc7n6FQCReEns8uEg8jUo4BeB79rwf4XSfQPVL1SKdVp2jz
      Prices:
        Days   :  Monero  : Offer Expires
        0-2    :  50      : 03/18/17 15:32:14
        3-7    :  100     : 03/23/17 15:32:14
        8-14   :  200     : 03/30/17 15:32:14
        15-30  :  500     : 04/15/17 15:32:14
    Note: In 31 days your password decryption key gets permanently deleted.
          You then have no way to ever retrieve your files. So pay now.
 2) Email us.
     Send your pwd file as an email attachment to one of the email addresses below.
     Include the payment ID from step 1.
     Active email addresses:
        kirk.help@scryptmail.com
        kirk.payments@scryptmail.com
 3) Decrypt your files.
     You will recieve your decrypted password file and a program called 'Spock'.
     Download these both to the same place and run Spock.
     Spock reads in your decrypted password file and uses it to decrypt all of the
     affected files on your computer.
     > IMPORTANT !
       The password is unique to this infection.
       Using an old password or one from another machine will result in corrupted files.
       Corrupted files cannot be retrieved.
       Don't fuck around.
 4) Breathe.
LIVE LONG AND PROSPER

Перевод записки на русский язык:
KIRK RANSOMWARE
О нет! Kirk ransomware зашифровал ваши файлы!
! ВАЖНО ! ВНИМАТЕЛЬНО ЧИТАЙТЕ:
Ваш компьютер стал жертвой вредоносного ПО Kirk, а важные файлы были зашифрованы - заблокированы
Так что они не работают. Это может привести к поломке некоторых программ, в том числе игр, офисных наборов и т.д.
Вот список некоторых расширений файлов, которые были целями:
***
Есть ещё 441 расширение файлов, тоже целевые. Они в основном связаны с играми.
Чтобы вернуть файлы, вам нужно заплатить. Сейчас. Платежи, полученные через 48 часов после инфекции удвоятся. Дальнейшие штрафы указаны ниже. Время заражения записано.
Любые файлы с перечисленными выше расширениями теперь будут иметь дополнительное расширение '.kirked', эти файлы зашифрованы с помощью шифрования военного образца.
В том месте, где вы запускали эту программу, вы должны найти заметку (с именем RANSOM_NOTE.txt), похожую на эту.
Вы также найдете файл с именем 'pwd' - это ваш зашифрованный файл с паролями. Хотя он был сгенерирован вашим компьютером, у вас нет способа его дешифровать. Это связано с безопасностью, как способом его создания, так и способом его шифрования. С помощью этого пароля ваши файлы были зашифрованы.
СПОК НА ПОМОЩЬ!
«Логично, ублюдок». ~ Спок.
Дешифровать ваши файлы очень просто. Сделайте глубокий вдох и следуйте инструкциям ниже.
 1) Сделайте правильный платеж.
     Выплаты производятся в Monero. Это криптовалюта, как биткойн.
     Вы можете купить Monero, и отправить его, из тех же мест, где вы можете любой другой
     Криптовалюта. Если вы все еще не уверены, выполните команду Google bitcoin exchange.
     Зарегистрируйтесь на одном из этих сайтов обмена и отправьте платеж по указанному ниже адресу.
     Запишите идентификатор платежа / транзакции или создайте его, если у вас есть такая возможность.
    Адрес для оплаты (Monero Wallet):
 4AqSwfTexbNaHcn8giSJw3KPiWYHGBaCF9bdgPxvHbd5A8Q3Fc7n6FQCReEns8uEg8jUo4BeB79rwf4XSfQPVL1SKdVp2jz
      Цены:
        Дни: Monero: Предложение истекает
        0-2: 50: 03/18/17 15:32:14
        3-7: 100: 03/23/17 15:32:14
        8-14: 200: 03/30/17 15:32:14
        15-30: 500: 04/15/17 15:32:14
    Примечание. Через 31 день ваш ключ дешифрования пароля будет удален окончательно.
    Тогда у вас не будет способа получить ваши файлы. Так что платите сейчас.
 2) Напишите нам.
     Отправьте свой файл pwd в качестве вложения на один из указанных ниже адресов email.
     Укажите идентификатор платежа на шаге 1.
     Активные электронные адреса:
        Kirk.help@scryptmail.com
        Kirk.payments@scryptmail.com
 3) Расшифруйте ваши файлы.
     Вы получите дешифрованный файл с паролем и программу под названием «Спок».
     Загрузите эти файлы в одно и то же место и запустите Спока.
     Спок считает в дешифрованном файле пароль и использует его для дешифровки всех
     поврежденных файлов на вашем компьютере.
     > ВАЖНО!
       Пароль уникален для этой инфекции.
       Использование старого или другого пароля приведет к повреждению файлов.
       Поврежденные файлы не могут быть восстановлены.
       Не напрягайся.
 4) Дыши.
ЖИВИ ДОЛГО И ПРОЦВЕТАЙ

Вредонос генерирует ключ AES, который будет использоваться для шифрования файлов жертвы. Затем этот ключ шифруется с помощью встроенного открытого ключа шифрования RSA-4096 и сохраняется в файле под названием PWD в одном каталоге с исполняемым файлом вымогателя. 

Технические детали

При распространении выдаёт себя за инструмент стресс-тестирования сети Low Orbital Ion Cannon, но может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.01, .11, .12, .123, .13, .14, .15, .18, .20, .21, .24, .25, .256, .2da, .32, .3do, .3g2, .3gp, .4, .42, .43, .6, .602, .7z, .9, .acm, .addr, .afl, .age3yrec, .ags, .ahc, .ai, .aif, .aiml, .ala, .alo, .anm, .anm, .ant, .apk, .arch00, .arj, .arz, .asf, .asg, .asset, .asx, .atlas, .aud, .avi, .azp, .baf, .bag, .bank, .bar, .bat, .bba, .bf, .bff, .big, .bik, .bikey, .bin, .bix, .bk, .blb, .blk, .blorb, .blp, .bm2, .bmd, .bmg, .bmp, .bnd, .bndl, .bnk, .bns, .bnt, .bod, .bot, .bsa, .bsm, .bsp, .bun, .bundledmesh, .c, .cab, .capx, .card, .cas, .cbf, .ccw, .cd, .cdata, .cdp, .cem, .cfm, .cfr, .cgi, .cgm, .cha, .civ5save, .class, .clz, .cm, .cme, .cmg, .cok, .com, .cow, .cpn, .cpp, .cpx, .crf, .cry, .cs2, .csv, .ctp, .cvm, .d2i, .dat, .DayZProfile, .dazip, .db, .db0, .db1, .db7, .db9, .dbf, .dbi, .dc6, .dcc, .dcz, .dds, .ddsx, .ddt, .ddv, .deb, .dem, .dff, .dif.z, .djs, .dl, .dm_1, .dnf, .doc, .docm, .docx, .dog, .dor, .dot, .dotm, .dotx, .drl, .drs, .ds1, .dsb, .dxt, .dzip, .e4mod, .ebm, .ed, .edf, .ees, .eix, .ekx, .elu, .emi, .emz, .enc, .epc, .epk, .erp, .ert, .esf, .esm, .eur, .evd, .exe, .fbrb, .fda, .ff, .flmod, .flv, .fmf, .fomod, .forge, .fos, .fpk, .fps, .frd, .frw, .fsh, .fuk, .fxcb, .gaf, .gam, .game, .gax, .gblorb, .gcm, .gct, .gcv, .ggpk, .ghb, .gif, .gla, .gm, .gm1, .gob, .grle, .gro, .gsc, .gtf, .gxt, .h, .hak, .hbr, .he0, .hkx, .hlk, .hmi, .hogg, .hpk, .hsv, .htm, .html, .hwp, .i3animpack, .i3chr, .i3d, .i3exec, .ibf, .ibi, .ibt, .icd, .ids, .imc, .ims, .intr, .iqm, .isb, .itm, .itp, .iwd, .iwi, .j2e, .jam, .jar, .java, .jdf, .jit, .jpeg, .jpg, .jpz, .JQ3SaveGame, .js, .jsp, .jtd, .jtt, .key, .kf, .kto, .l2r, .la0, .lab, .lbf, .ldw, .lec, .lfd, .lfl, .litemod, .lmg, .lnc, .lng, .los, .lpr, .lrf, .lrn, .lsd, .lsd, .lta, .lts, .ltx, .lua, .lug, .lvl, .lzc, .m2, .m2ts, .m4s, .mao, .map, .material, .mca, .mcmeta, .mcworld, .md2, .md4, .mdl, .me2headmorph, .mgx, .mine, .mis, .mkv, .mlx, .mob, .model, .modpak, .mog, .mov, .mp3, .mp4, .mpa, .mpeg, .mpeg4, .mpg, .mpk, .mpq, .mpqe, .mrm, .mta, .mtf, .mtr, .mul, .mve, .mwm, .myp, .mys, .n2pk, .nav, .naz, .ncs, .nfs11save, .nfs13save, .ngn, .nh, .nif, .ntl, .nut, .oac, .odp, .ods, .ogg, .oob, .opk, .oppc, .opq, .osf, .osk, .osr, .osu, .osz, .otd, .p3d, .pac, .package, .pak, .papa, .pat, .patch, .pbn, .pcc, .pck, .pcpack, .pdb, .pdf, .pff, .php, .phz, .pk2, .pk3, .pk4, .pk7, .pkg, .pkx, .pkz, .pl, .player, .plr, .png, .pot, .potm, .potx, .ppe, .pps, .ppt, .pptm, .pptx, .profile, .psark, .psd, .psk, .psv, .psw, .pt2, .pta, .pud, .pxl, .py, .pyc, .qst, .qsv, .qvm, .raf, .rar, .rav, .rbn, .rbz, .rcf, .rda, .re4, .replay_last_battle, .res, .rez, .rgm, .rgss3a, .rgssad, .rgt, .rim, .rlv, .rm, .rmv, .rofl, .rpack, .rpf, .rrs, .rss, .rtf, .rvm, .rvproj2, .rw, .rwd, .rwv, .rx3, .rxdata, .sabl, .sabs, .sav, .sav2, .save, .sc1, .SC2Replay, .scb, .scm, .sco, .sda, .sdc, .sdd, .sdp, .sdw, .sex, .sfar, .sga, .sgh, .sgl, .sgm, .sh, .shader_bundle, .sii, .sims2pack, .sims3pack, .skudef, .slh, .slk, .sngw, .sns, .spawn, .spidersolitairesave-ms, .spv, .stormreplay, .streamed, .sv4, .sv5, .sve, .swar, .swd, .swe, .swf, .swift, .sww, .szs, .t3, .tad, .taf, .tar, .tar.gz, .tas, .tbc, .tbi, .tdf, .tew, .tex, .tfc, .tfil, .tgx, .tif, .tiff, .tiger, .til, .tinyid, .tir, .tit, .tlk, .tobj, .tor, .tre, .trf, .tsr, .tst, .ttarch, .ttarch2, .ttg, .ttz, .txd, .txt, .u2car, .uasset, .uax, .ubi, .uc, .ucs, .udk, .udm, .ugd, .uhtm, .umod, .umv, .unity, .unity3d, .unr, .uof, .uot, .upk, .ut4mod, .utc, .utx, .vb, .vcm, .vdf, .vdk, .vef, .vfs, .vfs0, .vis, .vmt, .vob, .vol, .vor, .vpp, .vpp_pc, .vpt, .vtf, .w3g, .w3x, .w3z, .wad, .wai, .wav, .wb2, .wep, .wf, .whd, .wk1, .wks, .wld, .wma, .wmv, .world, .wotreplay, .wowpreplay, .wowsreplay, .wpd, .wpl, .wps, .wsf, .wso, .wtf, .wx, .wxd, .xbe, .xbf, .xcr, .xex, .xfbin, .xhtml, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xmg, .xml, .xp3, .xpd, .xpk, .xtbl, .xwm, .xxx, .yaf, .ydc, .ydk, .ydr, .yrm, .yrp, .ytd, .z2f, .z3, .zar, .zdk, .zfs, .zip, .zse (617 расширений без дублей). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RANSOM_NOTE.txt
loic_win32.exe
PWD-файл
FileDecrypter.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
kirk.help@scryptmail.com
kirk.payments@scryptmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Kirk)
 Write-up, Topic
 * 

 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Turkish FileEncryptor

Turkish FileEncryptor Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $150 в биткоинах, чтобы вернуть файлы. Оригинальное название: FileEncryptor. На файле написано: FileEncryptor.exe

Обнаружения: 
DrWeb -> Trojan.Encoder.10492, Trojan.Encoder.10868
BitDefender -> Trojan.Ransom.Turkrypt.A, Trojan.Generic.21169819
ALYac -> Trojan.Ransom.Turkish, Trojan.Generic.21169819
Avira (no cloud) -> TR/Genasom.tzwmm, TR/Ransom.UI
Symantec -> Trojan.Gen.6, Infostealer.Limitail
TrendMicro -> Ransom_GENASOM.P, Ransom_MEDLINZ.A

© Генеалогия: Turkish FileEncryptor ? > Estemani

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на турецких пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Beni Oku.txt

Другим информатором жертвы является экран блокировки, имеющий переключаемый текст на 4 языках. 

Содержание записки о выкупе:
DOSYALARINIZ ŞİFRELENDİ
Yerel diskleriniz, ağ konumlarınız, harici depolama birimleriniz 256 bit şifreleme
tekniği ile şifrelenmiştir, bu yöntem ile şifrelenen dosyalar geçerli key "Anahtar"
olmadan açılamazlar Key anahtarına sahip olmak için şifre çözme yazılımını satın
almanız gerekmektedir, yazılım satın alındığında tüm dosyalarınızdaki şifreler
çözülecek ve eski haline gelecektir. Yazılımı 24 saat içerisinde satın almadığınız
taktirde tüm dosyalarınız yerel depolama birimlerinden geri gelmeyecek şekilde
silinecektir. Ayrıntılı bilgi için Belgelerim klasörünüzdeki "Beni Oku.txt"
dosyasına bakabilirsiniz
İletişim Adresi: d3crypt0r@lelantos.org
BTC Adresi : 13HP68KeUVogYJhvlf7XQMEoX8DPR8odx5
Yukarıdaki BTC adresine 150 $ ödeme yapmanız gerekmektedir. Bitcoin
alımlarını www.localbitcoins.com üzerinden yapabilirsiniz
Bilgilendirme : Bilgisayarınızı geri yükleme yapmak hiçbir fayda etmeyecektir
Dosyaları antivirüs ile taratmanız dosyaların bozulmasına yol açacak ve geri
getirilmeyecek şekilde bozulmasına sebep olacaktır

Перевод записки на русский язык:
ФАЙЛЫ ЗАШИФРОВАНЫ
Ваши локальные диски, сетевые папки, ваши внешние накопители зашифрованы с помощью технологии 256-битного шифрования, этот способ шифрования файлов с помощью ключа. Они не могут быть открыты без покупки программы дешифрования и закрытого ключа, после покупки программа дешифрует все ваши файлы, и вы будете работать, как раньше. Если вы не купите  программу в течение 24 часов, то все ваши файлы будут удалены безвозвратно. Смотрите папку "Мои документы" для дополнительной информации в файле "Beni Oku.txt".
Контактный адрес: d3crypt0r@lelantos.org
BTC-адрес: 13hp68keuvogyjhvlf7xqmeox8dpr8odx5
Нужно заплатить в BTC по указанному выше адресу $150 Bitcoin
Вы можете сделать это при покупке Bitcoin на www.localbitcoins.co
Информация: Использование восстановления компьютера не поможет. Антивирусная проверка не поможет вернуть файлы, но может привести к потерям.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bmp, .docx, .ini, .jpg 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FileEncryptor.exe
Mart_ayi_faturasi.exe
Beni Oku.txt
privateKey.xml
publicKey.xml
%name%.manifest.xml - местонахождение ключа

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: d3crypt0r@lelantos.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 апреля 2017:
Пост в Твиттере >> 
Файлы:  Islem Dekontunuz.exe, Islem_Dekontunuz-KaMsndjaKqwoeKqjwdgAfGh.exe
Расширение: .encrypted
Записка: Beni Oku.txt
URL: ***.aktifbank.pw/***
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic
 * 

 Thanks: 
 Jakub Kroustek, MalwareHunterTeam
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

CryptoMix-Revenge

Revenge Ransomware

CryptoMix-Revenge Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-1024, а затем требует оплатить программу и ключ дешифрования, чтобы вернуть файлы. Оригинальное название, связанное со словом "revenge" (реванш, месть). Фальш-копирайт: MicroWare Considine PLC.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix > CryptoMix-Revenge

К зашифрованным файлам добавляется расширение .REVENGE

Файлы переименовываются по формату [16_hex_char_vicimt_id] [16_hex_char_encrypted_filename] [unknown_8_hex_char_string] [8_char_encrypted_filename].REVENGE

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, но в записке добавлен текст ещё на 4 языках (итальянском, немецком, польском, корейском), чтобы распространять вымогатель по всему миру и причинить ущерб ещё большему числу пользователей.

Записки с требованием выкупа называются:
# !!!HELP_FILE!!! #.TXT

Содержание записки о выкупе:
===ENGLISH===
All of your files were encrypted using REVENGE Ransomware.
The action required to restore the files.
Your files are not lost, they can be returned to their normal state by decoding them.
The only way to do this is to get the software and your personal decryption key.
Using any other software that claims to be able to recover your files will result in corrupted or destroyed files.
You can purchase the software and the decryption key by sending us an email with your ID.
And we send instructions for payment.
After payment, you receive the software to return all files.
For proof, we can decrypt one file for free. Attach it to an e-mail.

===ITALIAN===
 Tutti i file sono stati crittografati utilizzando REVENGE ransomware.
 L'azione richiesta per ripristinare i file.
 I file non sono persi, possono essere restituiti al loro normale stato di loro decodifica.
 L'unico modo per farlo è quello di ottenere il software e la decrittografia personale chiave.
 L'uso di qualsiasi altro software che sostiene di essere in grado di recuperare i file si tradurrà in file danneggiati o distrutti.
 È possibile acquistare la chiave di software e decifratura con l'invio di una e-mail con il tuo ID.
 E mandiamo le istruzioni per il pagamento.
 Dopo il pagamento, si riceve il software per ripristinare tutti i file.
 Per dimostrare che siamo in grado di decodificare il file. Inviaci un file di e-mail. 

 ===GERMAN===
 Alle Dateien wurden mit REVENGE Ransomware verschlüsselt.
 Die notwendigen Schritte, um die Dateien wiederherzustellen.
 Die Dateien werden nicht verloren, können sie dekodiert werden.
 Der einzige Weg, zu tun ist, um die Software zu erhalten, und den privaten Schlüssel zu entschlüsseln.
 Mit Software, die auf Ihre Dateien zu können behauptet, bewegen als Folge von beschädigten oder zerstörten Dateien wiederhergestellt werden.
 Sie können die Software und Entschlüsselungsschlüssel erwerben, indem Sie uns per E-Mail Ihre ID senden.
 Und wir werden Anweisungen für die Zahlung senden.
 Nach der Bezahlung werden Sie eine Rückkehr von Software erhalten, die alle Dateien wiederherstellen würde.
 Um zu beweisen, dass wir eine Datei kostenlos entschlüsseln kann. Anhängen einer Datei an eine E-Mail.

 ===POLISH===
 Wszystkie pliki zostały zaszyfrowane przy użyciu REVENGE szkodnika.
 Konieczne działania w celu przywrócenia plików.
 Pliki nie są tracone, mogą one zostać zwrócone do swojego normalnego stanu poprzez ich dekodowania.
 Jedynym sposobem na to jest, aby oprogramowanie i swój osobisty klucz deszyfrowania.
 Korzystanie z innego oprogramowania, które twierdzi, że jest w stanie odzyskać pliki spowoduje uszkodzonych lub zniszczonych plików.
 Można kupić oprogramowanie i klucz deszyfrowania wysyłając do nas e-maila z ID.
 A my wyślemy instrukcje dotyczące płatności.
 Po dokonaniu płatności otrzymasz oprogramowanie do zwrotu   plików.
 W celu udowodnienia, że możemy odszyfrować plik. Dołączyć go do wiadomości e-mail.

 ===KOREAN===
 모든 파일은 REVENGE Ransomware를 사용하여 암호화되었습니다.
 파일을 복원하는 데 필요한 작업.
 파일은 손실되지 않으며 디코딩하여 정상 상태로 되돌릴 수 있습니다.
 이를 수행하는 유일한 방법은 소프트웨어와 개인 암호 해독 키를 얻는 것입니다.
 파일을 복구 할 수 있다고 주장하는 다른 소프트웨어를 사용하면 파일이 손상되거나 파손됩니다.
 신분증을 이메일로 보내 소프트웨어 및 암호 해독 키를 구입할 수 있습니다.
 그리고 우리는 지불 지시를 보낸다.
 지불 후 모든 파일을 반환하는 소프트웨어를 받게됩니다.
 우리는 무료로 하나의 파일의 암호를 해독 할 수 있습니다. 전자 메일 파일을 보내 주시기 바랍니다.

CONTACT E-MAILS:
 EMAIL: rev00@india.com
 EMAIL: revenge00@writeme.com
 EMAIL: rev_reserv@india.com

 ID (PERSONAL IDENTIFICATION): *****

Перевод записки на русский язык:
===АНГЛИЙСКИЙ===
Все ваши файлы были зашифрованы REVENGE Ransomware.
Теперь нужно восстановить файлы.
Ваши файлы не потеряны, их можно вернуть в обычное состояние, расшифровав их.
Есть лишь один способ — получить программу и ваш ключ дешифрования.
Использование любой иной программы, якобы способной вернуть ваши файлы, приведет к повреждению или уничтожению файлов.
Вы можете купить программу и ключ дешифрования, отправив нам email с вашим ID.
И мы отправим инструкции по оплате.
После оплаты вы получите программу для возврата всех файлов.
Для пробы даром дешифруем один файл. Прикрепите его к email.

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов Rig EK и EiTest, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Изменяет функциональность автозапуска, создаёт значения в реесте. 
Похищает конфиденциальную информацию из браузеров. 
Создает множество процессов. 

После шифрования удаляет теневые копии файлов, отключает работу Windows Startup Repair и изменяет BootStatusPolicy с помощью команд:
/C vssadmin.exe Delete Shadows /All /Quiet
/C bcdedit /set {default} recoveryenabled No
/C bcdedit /set {default} bootstatuspolicy ignoreallfailures
/C net stop vss
/C vssadmin.exe Delete Shadows /All /Quiet
/C net stop vss

Список файловых расширений, подвергающихся шифрованию:
.1CD, .3DM, .3DS, .3FR, .3G2, .3GP, .3PR, .7Z, .7ZIP, .AAC, .AB4, .ABD, .ACC,.ACCDB, .ACCDE, .ACCDR, .ACCDT, .ACH, .ACR, .ACT, .ADB, .ADP, .ADS, .AGDL, .AI, .AIFF, .AIT, .AL, .AOI, .APJ, .APK, .ARW, .ASCX, .ASF, .ASM, .ASP, .ASPX, .ASSET, .ASX, .ATB, .AVI, .AWG, .BACK, .BACKUP, .BACKUPDB, .BAK, .BANK, .BAY, .BDB, .BGT, .BIK, .BIN, .BKP, .BLEND, .BMP, .BPW, .BSA, .C, .CASH, .CDB, .CDF, .CDR, .CDR3, .CDR4, .CDR5, .CDR6, .CDRW, .CDX, .CE1, .CE2, .CER, .CFG, .CFN, .CGM, .CIB, .CLASS, .CLS, .CMT, .CONFIG, .CONTACT, .CPI, .CPP, .CR2, .CRAW, .CRT, .CRW, .CRY, .CS, .CSH, .CSL, .CSS, .CSV, .D3DBSP, .DAC, .DAS, .DAT, .DB .DB_JOURNAL, .DB3, .DBF, .DBX, .DC2, .DCR, .DCS, .DDD, .DDOC, .DDRW, .DDS, .DEF, .DER, .DES, .DESIGN, .DGC, .DGN, .DIT, .DJVU, .DNG, .DOC, .DOCM, .DOCX, .DOT, .DOTM, .DOTX, .DRF, .DRW, .DTD, .DWG, .DXB, .DXF, .DXG, .EDB, .EML, .EPS, .ERBSQL, .ERF, .EXF, .FDB, .FFD, .FFF, .FH, .FHD, .FLA, .FLAC, .FLB, .FLF, .FLV, .FLVV, .FORGE, .FPX, .FXG, .GBR, .GHO, .GIF, .GRAY, .GREY, .GROUPS, .GRY, .H, .HBK, .HDD, .HPP, .HTML, .IBANK, .IBD, .IBZ, .IDX, .IIF, .IIQ, .INCPAS, .INDD, .INFO, .INFO_, .IWI, .JAR, .JAVA, .JNT, .JPE, .JPEG, .JPG, .JS, .JSON, .K2P, .KC2, .KDBX, .KDC, .KEY, .KPDX, .KWM, .LACCDB, .LBF, .LCK, .LDF, .LIT, .LITEMOD, .LITESQL, .LOCK, .LTX, .LUA, .M, .M2TS, .M3U, .M4A, .M4P, .M4V, .MA, .MAB, .MAPIMAIL, .MAX, .MBX, .MD, .MDB, .MDC, .MDF, .MEF, .MFW, .MID, .MKV, .MLB, .MMW, .MNY, .MONEY, .MONEYWELL, .MOS, .MOV, .MP3, .MP4, .MPEG, .MPG, .MRW, .MSF, .MSG, .MTS, .MYD, .ND, .NDD, .NDF, .NEF, .NK2, .NOP, .NRW, .NS2, .NS3, .NS4, .NSD, .NSF, .NSG, .NSH, .NVRAM, .NWB, .NX2, .NXL, .NYF, .OAB, .OBJ, .ODB, .ODC, .ODF, .ODG, .ODM, .ODP, .ODS, .ODT, .OGG, .OIL, .OMG, .ONE, .ORF, .OST, .OTG, .OTH, .OTP, .OTS, .OTT, .P12, .P7B, .P7C, .PAB, .PAGES, .PAS, .PAT, .PBF, .PCD, .PCT, .PDB, .PDD, .PDF, .PEF, .PFX, .PHP, .PIF, .PL, .PLC, .PLUS_MUHD, .PM!, .PM, .PMI, .PMJ, .PML, .PMM, .PMO, .PMR, .PNC, .PND, .PNG, .PNX, .POT, .POTM, .POTX, .PPAM, .PPS, .PPSM, .PPSX, .PPT, .PPTM, .PPTX, .PRF, .PRIVATE, .PS, .PSAFE3, .PSD, .PSPIMAGE, .PST, .PTX, .PUB, .PWM, .PY, .QBA, .QBB, .QBM, .QBR, .QBW, .QBX, .QBY, .QCOW, .QCOW2, .QED, .QTB, .R3D, .RAF, .RAR, .RAT, .RAW, .RDB, .RE4, .RM, .RTF, .RVT, .RW2, .RWL, .RWZ, .S3DB, .SAFE, .SAS7BDAT, .SAV, .SAVE, .SAY, .SD0, .SDA, .SDB, .SDF, .SH, .SLDM, .SLDX, .SLM, .SQL, .SQLITE, .SQLITE3, .SQLITEDB, .SQLITE-SHM, .SQLITE-WAL, .SR2, .SRB, .SRF, .SRS, .SRT, .SRW, .ST4, .ST5, .ST6, .ST7, .ST8, .STC, .STD, .STI, .STL, .STM, .STW, .STX, .SVG, .SWF, .SXC, .SXD, .SXG, .SXI, .SXM, .SXW, .TAX, .TBB, .TBK, .TBN, .TEX, .TGA, .THM, .TIF, .TIFF, .TLG, .TLX, .TXT, .UPK, .USR, .VBOX, .VDI, .VHD, .VHDX, .VMDK, .VMSD, .VMX, .VMXF, .VOB, .VPD, .VSD, .WAB, .WAD, .WALLET, .WAR, .WAV, .WB2, .WMA, .WMF, .WMV, .WPD, .WPS, .X11, .X3F, .XIS, .XLA, .XLAM, .XLK, .XLM, .XLR, .XLS, .XLSB, .XLSM, .XLSX, .XLT, .XLTM, .XLTX, .XLW, .XML, .XPS, .XXX, .YCBCRA, .YUV, .ZIP (453 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Rig-EK.swf (эксплойт)
svchost.exe
a1xpr65r.exe
vob7ubl7.exe
5mncp36m.exe
<random>.exe
<random>.bin.exe

Расположение:
%AppData%\Local\Temp\<random>.exe
C:\ProgramData\Microsofts\Windows NT\svchost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.everythingcebu.com - скомпрометированный сайт;
dfg.stickneylodge.com (217.107.34.86)
109.236.87.201

rev00@india.com 
revenge00@writeme.com 
rev_reserv@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
VirusTotal на SWF-файл >>
Malwr анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Все варианты смотрите в статье CryptoMix Ransomware и там по ссылкам.
Все или почти все, вышедшие после CryptoMix-Revenge, идентифицируются в ID Ransomware, как варианты CryptoMix Revenge. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 июня, затем август, затем 10 декабря 2018: 
Пост в Твиттере >>
Название внутри семейства: CryptoMix-SYS Ransomware 
Расширение: .SYS
Шаблон зашифрованного файла: <16 uppercase hex>.SYS
Пример зашифрованного файла: 6A3EB4CA3B477BB69CEFB2213E675F6A.SYS
Email: leab@tuta.io
itprocessor@protonmail.com
pcambulance1@protonmail.com
leablossom@yandex.com
blossomlea@yandex.com
leablossom@dr.com
Записка: _HELP_INSTRUCTION.TXT

➤ Содержание записки:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
leab@tuta.io
itprocessor@protonmail.com
pcambulance1@protonmail.com
leablossom@yandex.com
blossomlea@yandex.com
leablossom@dr.com
Please send email to all email addresses! We will help You as soon as possible!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-97*****-dd**-**0-a53d-da******** number


Обновление от 9 января 2019 года:
Статья на сайте BleepingComputer >>
Статья на сайте Coveware >>
Название внутри семейства: CryptoMix-DAT Ransomware
Расширение: .DAT 
Email: windat@protonmail.com
windat1@protonmail.com
windat@dr.com
windat@tuta.io
windat1@yandex.com
windat2@yandex.com
Записка: _HELP_INSTRUCTION.txt

Обновление от 18 июня 2019:
Топик на форуме >>
Расширение: .SYS
Пример зашифрованного файла: 594AACCA1656765A5ECB064319835A06.SYS
Записка: _HELP_INSTRUCTION.TXT
➤ Содержание записки:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
biossys@protonmail.com
biossysx@protonmail.com
biossys@dr.com
biossys@tuta.io
biossysx@tuta.io
biossys@yandex.com
biossysx@yandex.com
Please send Your email to our all email addresses! We will help You immediately! As faster You will contact us as cheaper will be the recovery price!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXX number

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoMix Revenge)
 Write-up
 Video review (added on April 2, 2017)

 Thanks: 
 Broad Analysis, Michael Gillespie, GrujaRS
 Andrew Ivanov (author)
 

© Amigo-A (Andrew Ivanov): All blog articles.