MOTD

MOTD Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные на сайтах с помощью AES/RSA, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: motd

★ Для справки:
motd - стандартный текстовый файл в Unix-системе, содержит "сообщение дня", используемое для отправки общего сообщения всем пользователям. 

Содержание записки о выкупе:
!WARNING!
YOU ARE INFECTED
WITH THE MOST CRYPTOGRAPHIC ADVANCED RANSOMWARE
All your data of all your users, all your databases and all your Websites are encrypted
Send your UID to e-mail: sook2serit@seznam.cz
YOUR UUID IS: 28e37776-ab3e-12c6-aa5a-1la02ms0w8bp
!WARNING!

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!
ВЫ ЗАРАЖЕНЫ
САМЫМ КРИПТОГРАФИЧЕСКИ ПРОДВИНУТЫМ RANSOMWARE
Все ваши данные всех ваших пользователей, все базы данных и сайты зашифрованы
Пошли свой UID на email: sook2serit@seznam.cz
ВАШ UUID: 28e37776-ab3e-12c6-aa5a-1la02ms0w8bp
ПРЕДУПРЕЖДЕНИЕ!

Первые 8 байт зарезервированы для хранения оригинального размера файла, а остальное содержание зашифровано. 

Распространяется с помощью целевых атак на серверы с помощью удалённого доступа. 

В перспективе может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это серверные файлы, документы на сайтах, текстовые и графические файлы, базы данных, архивы и пр.

Файлы, связанные с этим Ransomware:
server-key.enc
motd

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
50.56.221.73
sook2serit@seznam.cz
nporchi79@seznam.cz
johnmorcbw@seznam.cz
peyton7zdupont@seznam.cz
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 июля 2017:
Топик на форуме >>
Расширение: .enc1 
Расширение: .enc2
Email: beauchamp.tammie@mail.ru
Содержание записки:
****************************************!WARNING!************************************************
******************************YOUR SERVER ARE INFECTED*******************************************
*******ALL YOUR DATABASES, SITES AND USERS HOME DIRECTORIES HAVE BEEN ENCRYPTED******************
=================================================================================================
YOUR UUID IS : 321809823178739217389217398217120392193893725897638217782601690971287794612871293
=================================================================================================
If you want to restore your files, send your UUID to  e-mail: beauchamp.tammie@mail.ru
You have to pay for decryption in Bitcoins. The price depends on how fast you write to
us. After payment we will send you the decryption tool that will decrypt all your files.
FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 1 files for free decryption.
Please note that files must NOT contain valuable information
and their total size must be less than 1Mb
*************************************************************************************************
*************************************************************************************************
****************************************!WARNING!************************************************

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Topic of Support
 ID Ransomware (ID as MOTD)
 Write-up, Topic of Support + Topic
 * 

 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CrptXXX

CrptXXX Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует перейти на сайт, чтобы узнать, как вернуть файлы. Название от используемого расширения. Написан на языке Delphi.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CrptXXX > BTCWare

К зашифрованным файлам добавляется расширение .crptxxx

Активность первого образца крипто-вымогателя пришлась на начало марта 2017 г., другой был обнаружен уже в середине марта. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
README.txt, HOW_TO_DECRYPT.txt - вариант от 8 марта
HOW_TO_FIX_!.txt - вариант от 16 марта

Содержание записки о выкупе от 16 марта:
Warning!
All your files have been encrypted with AES
If you want to restore them, use this instructions:
1) Download tor browser
2) Run tor and go to: xxxx://dokg5gcojuswihof.onion
Or you can use tor2web services
xxxx://dokg5gcojuswihof.onion.to
In login panel enter your personal ID: %id%
Follow next instructions on website
If server is down - try connect later
!! Decoders from other users are not compatible with your data, because each users unique encryption key !!
!! Do not try to decrypt your data using third party software, it may cause permanent data loss. !!

Перевод записки на русский язык:
Предупреждение!
Все ваши файлы были зашифрованы с AES
Если хотите вернуть их, используйте эти инструкции:
1) Загрузите Tor-браузер
2) Запустите tor и откройте: xxxx://dokg5gcojuswihof.onion
Или используйте службы tor2web
xxxx://dokg5gcojuswihof.onion.to
В панели входа введите свой личный ID: *****
Следуйте инструкциям на веб-сайте
Если сервер не работает, попробуйте позже.
!! Декодеры от других пользователей несовместимы с вашими данными, т.к. у каждого пользователя уникальный ключа шифрования!
!! Не пытайтесь расшифровать данные с помощью чужих программ, это  приведёт к потере данных. !!

Другой вариант записки:
Warning!!!
All your files are encrypted with AESalgorithm!
For decrypt use this instructions: 
Download tor browser
Run tor and go to: xxxx://vejtqvliimdv66dh.onion
Or you can use tor2web services
xxxx://vejtqvliimdv66dh.onion.to
in log panel enter your id (CRPTksrjghkrkwkrjthkewVM)
follow next instructions
if server is down, try connect later
locker version 3.0.0


*| Параметр id может быть различным на разных заражённых компьютерах.

Сайт вымогателей в сети Tor

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Использует метод @enigma0x3's UAC bypass для обхода UAC. 

➤ При запуске CrptXXX проверяет наличие работающего процесса VBoxService.exe, а в случае его обнаружения переходит в режим бесконечной паузы. 
При запуске с параметром командной строки -d расшифровывает ранее зашифрованные файлы. 
Проверяет наличие ключа системного реестра: HKCU\Software\mscloq

➤ Затем CrptXXX пытается установить соединение с управляющим onion-сервером в сети TOR. При успешной установке соединения выполняет шифрование. 

➤ В момент запуска CrptXXX проверяет, запущен ли он из файла mtrea.exe, и, если это не так, создает файл с таким именем в папке %APPDATA%. Если же условие соблюдается, проверяет наличие процесса с таким именем и при его обнаружении завершает работу.

➤ Регистрирует свой исполняемый файл в ветви системного реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run 

➤ Для шифрования файлов используется библиотека DCPCrypt и применяется алгоритм AES в режиме CBC с длиной ключа 256 бит. 

Список файловых расширений, подвергающихся шифрованию:

.1c, .3fr, .accdb, .ai, .arw, .bac, .bay, .bmp, .cdr, .cer, .cfg, .config, .cr2, .crt, .crw, .css, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .gif, .htm, .html, .indd, .iso, .jpe, .jpeg, .jpg, .kdc, .lnk, .mdb, .mdf, .mef, .mk, .mp3, .mp4, .mrw, .nef, .nrw, .odb, .ode, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .rar, .raw, .rtf, .rw2, .rwl, .sql, .sr2, .srf, .srw, .tif, .wb2, .wma, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .zip (94 расширения без дублей).  

Список расширений в другой версии (от 1 мая 2017):

.1c, .3fr,  .6cm, .8cm, .8svx, .a2b, .a2i, .a2m, .a2p, .a2t, .a52, .aa, .aa3, .aac, .aax, .abc, .abm, .ac3, .accdb, .acd, .acd-bak, .acd-zip, .acm, .acp, .act, .adg, .adts, .adv, .afc, .agm, .agr, .ahx, .ai, .aif, .aifc, .aiff, .aimppl, .ais, .akp, .al, .alac, .alaw, .all, .als, .amf, .amr, .ams, .amxd, .amz, .aob, .ape, .apf, .apl, .aria, .ariax, .arw, .ase, .at3, .atrac, .au, .aud, .aup, .avastsounds, .awb, .ay, .b4s, .bac, .band, .bap, .bay, .bcs, .bdd, .bidule, .bmml, .bmp, .bonk, .box, .brstm, .bun, .bwf, .bwg, .bww, .c01, .caf, .caff, .cda, .cdda, .cdlx, .cdo, .cdr, .cel, .cer, .cfa, .cfg,  .cgrp, .cidb,.cine, .cip, .ckb, .ckf, .clpi, .cmf, .cmmp, .cmmtpl, .config, .cr2, .crt, .crw, .css, .csv, .cvc, .cx3, .d2v, .d3v, .dash, .dat, .dav, .db, .dbf, .dce, .dck, .dcr, .ddat, .der, .dif, .dir, .divx, .dlx, .dmb, .dmsd, .dmsd3d, .dmsm, .dmsm3d, .dmss, .dmx, .dnc, .dng, .doc, .docm, .docx, .dpa, .dpg, .dream, .dv, .dv4, .dv-avi, .dvr, .dvr-ms, .dvx, .dwg, .dxf, .dxg, .dxr, .dzm, .dzp, .dzt, .edl, .eps, .erf, .evo, .eye, .f4f, .f4p, .f4v, .fbr, .fbz, .flc, .flh, .fli, .flv, .flx, .ftc, .gfp, .gif, .gl, .gom, .grasp, .gts, .gvi, .gvp, .h264, .hdmov, .hdv, .hkm, .htm, .html, .ifo, .imovieproject, .indd, .ircp, .irf, .ismc, .ismv, .iso, .iva, .ivf, .ivr, .ivs, .izz, .izzy, .jmv, .jpe, .jpeg, .jpg, .jss, .jts, .jtv, .k3g, .kdc, .kmv, .lnk, .lrec, .lrv, .lsf, .lsx, .lvix, .m15, .m1pg, .m1v, .m21, .mdb, .mdf, .mef, .mk, .mp3, .mp4, .mrw, .nef, .nrw, .odb, .ode, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .ppt, .pptm, .pptx, .prx, .psd, .psh, .pssd, .pst, .ptx, .pva, .pvr, .pxv, .qt, .r3d, .rar, .raw, .rtf, .rw2, .rwl, .sbg, .sbi, .sbk, .sc2, .scs11, .sd, .sd2, .sd2f, .sdat, .sdii, .sds, .sdx, .seg, .ses, .sesx, .sf, .sf2, .sfap0, .sfk, .sfl, .sfpack, .sgp, .shn, .sib, .sid, .slx, .smf, .smp, .smpx, .snd, .sng, .sns, .snsf, .sou, .sph, .sppack, .spx, .sql, .sr2, .srf, .srw, .sseq, .ssnd, .stm, .stx, .sty, .svd, .svx, .sw, .swa, .swav, .sxt, .syh, .syn, .syw, .syx, .tak, .td0, .tfmx, .thx, .tif, .tm2, .tm8, .tmc, .toc, .trak, .tsp, .tta, .tun, .txw, .u, .u8, .ub, .ulaw, .ult, .ulw, .uni, .usf, .usflib, .ust, .uw, .uwf, .v2m, .vag, .val, .vap, .vc3, .vdj, .vgm, .vlc, .vmd, .vmf, .vmo, .voc, .voi, .vox, .voxal, .vpl, .vpm, .vpw, .vqf, .vrf, .vs, .wb2, .wma, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .zip (379 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
binz.exe
mtrea.exe

HOW_TO_DECRYPT.txt
README.txt
HOW_TO_FIX_!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://m5r2t7rwszffszra.onion
xxxx://m5r2t7rwszffszra.onion.to
xxxx://dokg5gcojuswihof.onion
xxxx://dokg5gcojuswihof.onion.to
xxxx://vejtqvliimdv66dh.onion
xxxx://vejtqvliimdv66dh.onion.to
См. также ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Есть возможность дешифровать файлы!
Обращайтесь по ссылке 
https://support.drweb.ru/new/free_unlocker/for_decode/
В базе Dr.Web это Trojan.Encoder.10465

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CrptXXX)
 Write-up, Write-up
 * 

 Thanks: 
 MalwareHunterTeam, Karsten Hahn
 Michael Gillespie
 Dr.Web
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.

ZinoCrypt

ZinoCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ZINO

Активность этого крипто-вымогателя пришлась на март 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ZINO_NOTE.TXT

Содержание записки о выкупе:
ZinoCrypt Ransomware - 2017 Edition
Your important files has been encrypted with the new ZinoCrypt Ransomware. (Photos, Videos, Etc..)
There are no tools online that will allow you to decode your files for free. 
The only way to get your files back is to pay us. 
Payment would be done stricly via BTC / Bitcoin. 
Do not worry, al your files are safe, but are unavailable at the moment. 
To recover the files you need to get special decryption software and personal key. 
You can contact us: 
Primary Email: ZinoCrypt@protonmail.com 
Personal ID: 
*****

Перевод записки на русский язык:
ZinoCrypt Ransomware - выпуск 2017 года
Ваши важные файлы были зашифрованы с помощью нового ZinoCrypt Ransomware. (Фото, видео и т.д..)
В Интернете нет инструментов, которые позволят вам бесплатно расшифровывать файлы.
Единственный способ вернуть ваши файлы - это заплатить нам.
Оплата будет осуществляться через BTC / Биткойн.
Не беспокойтесь, все ваши файлы в безопасности, но недоступны на данный момент.
Для восстановления файлов вам надо получить специальную программу для дешифрования и персональный ключ.
Вы можете обратиться к нам:
Основной адрес email: ZinoCrypt@protonmail.com
Персональный ID:
*****

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
ZinoCrypt@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ZinoCrypt)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AnonFive

AnonFive Ransomware

D3vilH0rn Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название: AnonFive. Другое, указанное на файле: D3vilH0rn. Разработчик: Cyryx.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Hidden Tear >> AnonFive

К зашифрованным файлам добавляется расширение .anonfive

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ_IT.txt

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.
1

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MacAndChess

MacAndChess Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> MacAndChess

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ_IT.txt

Содержание записки о выкупе:
Your files were hacked by the MacAndChess Ransomware!
Send an email at MacAndChessDecrypt@macr2.com on how to decrypt your files
And we will reply back in less than 48 hours in how you can decrypt your files.

Перевод записки на русский язык:
Твои файлы взломаны с помощью MacAndChess Ransomware!
Отправь email на MacAndChessDecrypt@macr2.com как дешифровать файлы
И мы ответим за 48 часов, как ты сможешь дешифровать свои файлы.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MacAndChess.exe
READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***www.titanhdri.16mb.com/MacAndChess/write.php?info=
MacAndChessDecrypt@macr2.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kirk+Spock

Kirk Ransomware & Spock Decryptor

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в криптовалюте Monero в размере ~1,100, чтобы вернуть файлы. Оригинальное название. Разработчик: Trekkie. Написан на Python. По всей видимости это первый крипто-вымогатель, требующий оплату в криптовалюте Monero. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .kirked 

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: RANSOM_NOTE.txt

Содержание записки о выкупе:
KIRK RANSOMWARE
Oh no! The Kirk ransomware has encrypted your files!
! IMPORTANT ! READ CAREFULLY:
Your computer has fallen victim to the Kirk malware and important files have been encrypted - locked up so they don't work. This may have broken some software, including games, office suites etc.
Here's a list of some the file extensions that were targetted:
***
There are an additional 441 file extensions that are targetted. They are mostly to do with games.
To get your files back, you need to pay. Now. Payments recieved more than 48 hours after the time of infection will be charged double. Further time penalties are listed below. The time of infection has been logged.
Any files with the extensions listed above will now have the extra extension '.kirked', these files are encrypted using military grade encryption.
In the place you ran this program from, you should find a note (named RANSOM_NOTE.txt) similar to this one.
You will also find a file named 'pwd' - this is your encrypted password file. Although it was generated by your computer, you have no way of ever decrypting it. This is due to the security of both the way it was generated and the way it was encrypted. Your files were encrypted using this password.
SPOCK TO THE RESCUE!
"Logic, motherfucker." ~ Spock.
Decrypting your files is easy. Take a deep breath and follow the steps below.
 1) Make the proper payment.
     Payments are made in Monero. This is a crypto-currency, like bitcoin.
     You can buy Monero, and send it, from the same places you can any other
     crypto-currency. If you're still unsure, google 'bitcoin exchange'.
     Sign up at one of these exchange sites and send the payment to the address below.
     Make note of the payment / transaction ID, or make one up if you have the option.
    Payment Address (Monero Wallet):
 4AqSwfTexbNaHcn8giSJw3KPiWYHGBaCF9bdgPxvHbd5A8Q3Fc7n6FQCReEns8uEg8jUo4BeB79rwf4XSfQPVL1SKdVp2jz
      Prices:
        Days   :  Monero  : Offer Expires
        0-2    :  50      : 03/18/17 15:32:14
        3-7    :  100     : 03/23/17 15:32:14
        8-14   :  200     : 03/30/17 15:32:14
        15-30  :  500     : 04/15/17 15:32:14
    Note: In 31 days your password decryption key gets permanently deleted.
          You then have no way to ever retrieve your files. So pay now.
 2) Email us.
     Send your pwd file as an email attachment to one of the email addresses below.
     Include the payment ID from step 1.
     Active email addresses:
        kirk.help@scryptmail.com
        kirk.payments@scryptmail.com
 3) Decrypt your files.
     You will recieve your decrypted password file and a program called 'Spock'.
     Download these both to the same place and run Spock.
     Spock reads in your decrypted password file and uses it to decrypt all of the
     affected files on your computer.
     > IMPORTANT !
       The password is unique to this infection.
       Using an old password or one from another machine will result in corrupted files.
       Corrupted files cannot be retrieved.
       Don't fuck around.
 4) Breathe.
LIVE LONG AND PROSPER

Перевод записки на русский язык:
KIRK RANSOMWARE
О нет! Kirk ransomware зашифровал ваши файлы!
! ВАЖНО ! ВНИМАТЕЛЬНО ЧИТАЙТЕ:
Ваш компьютер стал жертвой вредоносного ПО Kirk, а важные файлы были зашифрованы - заблокированы
Так что они не работают. Это может привести к поломке некоторых программ, в том числе игр, офисных наборов и т.д.
Вот список некоторых расширений файлов, которые были целями:
***
Есть ещё 441 расширение файлов, тоже целевые. Они в основном связаны с играми.
Чтобы вернуть файлы, вам нужно заплатить. Сейчас. Платежи, полученные через 48 часов после инфекции удвоятся. Дальнейшие штрафы указаны ниже. Время заражения записано.
Любые файлы с перечисленными выше расширениями теперь будут иметь дополнительное расширение '.kirked', эти файлы зашифрованы с помощью шифрования военного образца.
В том месте, где вы запускали эту программу, вы должны найти заметку (с именем RANSOM_NOTE.txt), похожую на эту.
Вы также найдете файл с именем 'pwd' - это ваш зашифрованный файл с паролями. Хотя он был сгенерирован вашим компьютером, у вас нет способа его дешифровать. Это связано с безопасностью, как способом его создания, так и способом его шифрования. С помощью этого пароля ваши файлы были зашифрованы.
СПОК НА ПОМОЩЬ!
«Логично, ублюдок». ~ Спок.
Дешифровать ваши файлы очень просто. Сделайте глубокий вдох и следуйте инструкциям ниже.
 1) Сделайте правильный платеж.
     Выплаты производятся в Monero. Это криптовалюта, как биткойн.
     Вы можете купить Monero, и отправить его, из тех же мест, где вы можете любой другой
     Криптовалюта. Если вы все еще не уверены, выполните команду Google bitcoin exchange.
     Зарегистрируйтесь на одном из этих сайтов обмена и отправьте платеж по указанному ниже адресу.
     Запишите идентификатор платежа / транзакции или создайте его, если у вас есть такая возможность.
    Адрес для оплаты (Monero Wallet):
 4AqSwfTexbNaHcn8giSJw3KPiWYHGBaCF9bdgPxvHbd5A8Q3Fc7n6FQCReEns8uEg8jUo4BeB79rwf4XSfQPVL1SKdVp2jz
      Цены:
        Дни: Monero: Предложение истекает
        0-2: 50: 03/18/17 15:32:14
        3-7: 100: 03/23/17 15:32:14
        8-14: 200: 03/30/17 15:32:14
        15-30: 500: 04/15/17 15:32:14
    Примечание. Через 31 день ваш ключ дешифрования пароля будет удален окончательно.
    Тогда у вас не будет способа получить ваши файлы. Так что платите сейчас.
 2) Напишите нам.
     Отправьте свой файл pwd в качестве вложения на один из указанных ниже адресов email.
     Укажите идентификатор платежа на шаге 1.
     Активные электронные адреса:
        Kirk.help@scryptmail.com
        Kirk.payments@scryptmail.com
 3) Расшифруйте ваши файлы.
     Вы получите дешифрованный файл с паролем и программу под названием «Спок».
     Загрузите эти файлы в одно и то же место и запустите Спока.
     Спок считает в дешифрованном файле пароль и использует его для дешифровки всех
     поврежденных файлов на вашем компьютере.
     > ВАЖНО!
       Пароль уникален для этой инфекции.
       Использование старого или другого пароля приведет к повреждению файлов.
       Поврежденные файлы не могут быть восстановлены.
       Не напрягайся.
 4) Дыши.
ЖИВИ ДОЛГО И ПРОЦВЕТАЙ

Вредонос генерирует ключ AES, который будет использоваться для шифрования файлов жертвы. Затем этот ключ шифруется с помощью встроенного открытого ключа шифрования RSA-4096 и сохраняется в файле под названием PWD в одном каталоге с исполняемым файлом вымогателя. 

Технические детали

При распространении выдаёт себя за инструмент стресс-тестирования сети Low Orbital Ion Cannon, но может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.01, .11, .12, .123, .13, .14, .15, .18, .20, .21, .24, .25, .256, .2da, .32, .3do, .3g2, .3gp, .4, .42, .43, .6, .602, .7z, .9, .acm, .addr, .afl, .age3yrec, .ags, .ahc, .ai, .aif, .aiml, .ala, .alo, .anm, .anm, .ant, .apk, .arch00, .arj, .arz, .asf, .asg, .asset, .asx, .atlas, .aud, .avi, .azp, .baf, .bag, .bank, .bar, .bat, .bba, .bf, .bff, .big, .bik, .bikey, .bin, .bix, .bk, .blb, .blk, .blorb, .blp, .bm2, .bmd, .bmg, .bmp, .bnd, .bndl, .bnk, .bns, .bnt, .bod, .bot, .bsa, .bsm, .bsp, .bun, .bundledmesh, .c, .cab, .capx, .card, .cas, .cbf, .ccw, .cd, .cdata, .cdp, .cem, .cfm, .cfr, .cgi, .cgm, .cha, .civ5save, .class, .clz, .cm, .cme, .cmg, .cok, .com, .cow, .cpn, .cpp, .cpx, .crf, .cry, .cs2, .csv, .ctp, .cvm, .d2i, .dat, .DayZProfile, .dazip, .db, .db0, .db1, .db7, .db9, .dbf, .dbi, .dc6, .dcc, .dcz, .dds, .ddsx, .ddt, .ddv, .deb, .dem, .dff, .dif.z, .djs, .dl, .dm_1, .dnf, .doc, .docm, .docx, .dog, .dor, .dot, .dotm, .dotx, .drl, .drs, .ds1, .dsb, .dxt, .dzip, .e4mod, .ebm, .ed, .edf, .ees, .eix, .ekx, .elu, .emi, .emz, .enc, .epc, .epk, .erp, .ert, .esf, .esm, .eur, .evd, .exe, .fbrb, .fda, .ff, .flmod, .flv, .fmf, .fomod, .forge, .fos, .fpk, .fps, .frd, .frw, .fsh, .fuk, .fxcb, .gaf, .gam, .game, .gax, .gblorb, .gcm, .gct, .gcv, .ggpk, .ghb, .gif, .gla, .gm, .gm1, .gob, .grle, .gro, .gsc, .gtf, .gxt, .h, .hak, .hbr, .he0, .hkx, .hlk, .hmi, .hogg, .hpk, .hsv, .htm, .html, .hwp, .i3animpack, .i3chr, .i3d, .i3exec, .ibf, .ibi, .ibt, .icd, .ids, .imc, .ims, .intr, .iqm, .isb, .itm, .itp, .iwd, .iwi, .j2e, .jam, .jar, .java, .jdf, .jit, .jpeg, .jpg, .jpz, .JQ3SaveGame, .js, .jsp, .jtd, .jtt, .key, .kf, .kto, .l2r, .la0, .lab, .lbf, .ldw, .lec, .lfd, .lfl, .litemod, .lmg, .lnc, .lng, .los, .lpr, .lrf, .lrn, .lsd, .lsd, .lta, .lts, .ltx, .lua, .lug, .lvl, .lzc, .m2, .m2ts, .m4s, .mao, .map, .material, .mca, .mcmeta, .mcworld, .md2, .md4, .mdl, .me2headmorph, .mgx, .mine, .mis, .mkv, .mlx, .mob, .model, .modpak, .mog, .mov, .mp3, .mp4, .mpa, .mpeg, .mpeg4, .mpg, .mpk, .mpq, .mpqe, .mrm, .mta, .mtf, .mtr, .mul, .mve, .mwm, .myp, .mys, .n2pk, .nav, .naz, .ncs, .nfs11save, .nfs13save, .ngn, .nh, .nif, .ntl, .nut, .oac, .odp, .ods, .ogg, .oob, .opk, .oppc, .opq, .osf, .osk, .osr, .osu, .osz, .otd, .p3d, .pac, .package, .pak, .papa, .pat, .patch, .pbn, .pcc, .pck, .pcpack, .pdb, .pdf, .pff, .php, .phz, .pk2, .pk3, .pk4, .pk7, .pkg, .pkx, .pkz, .pl, .player, .plr, .png, .pot, .potm, .potx, .ppe, .pps, .ppt, .pptm, .pptx, .profile, .psark, .psd, .psk, .psv, .psw, .pt2, .pta, .pud, .pxl, .py, .pyc, .qst, .qsv, .qvm, .raf, .rar, .rav, .rbn, .rbz, .rcf, .rda, .re4, .replay_last_battle, .res, .rez, .rgm, .rgss3a, .rgssad, .rgt, .rim, .rlv, .rm, .rmv, .rofl, .rpack, .rpf, .rrs, .rss, .rtf, .rvm, .rvproj2, .rw, .rwd, .rwv, .rx3, .rxdata, .sabl, .sabs, .sav, .sav2, .save, .sc1, .SC2Replay, .scb, .scm, .sco, .sda, .sdc, .sdd, .sdp, .sdw, .sex, .sfar, .sga, .sgh, .sgl, .sgm, .sh, .shader_bundle, .sii, .sims2pack, .sims3pack, .skudef, .slh, .slk, .sngw, .sns, .spawn, .spidersolitairesave-ms, .spv, .stormreplay, .streamed, .sv4, .sv5, .sve, .swar, .swd, .swe, .swf, .swift, .sww, .szs, .t3, .tad, .taf, .tar, .tar.gz, .tas, .tbc, .tbi, .tdf, .tew, .tex, .tfc, .tfil, .tgx, .tif, .tiff, .tiger, .til, .tinyid, .tir, .tit, .tlk, .tobj, .tor, .tre, .trf, .tsr, .tst, .ttarch, .ttarch2, .ttg, .ttz, .txd, .txt, .u2car, .uasset, .uax, .ubi, .uc, .ucs, .udk, .udm, .ugd, .uhtm, .umod, .umv, .unity, .unity3d, .unr, .uof, .uot, .upk, .ut4mod, .utc, .utx, .vb, .vcm, .vdf, .vdk, .vef, .vfs, .vfs0, .vis, .vmt, .vob, .vol, .vor, .vpp, .vpp_pc, .vpt, .vtf, .w3g, .w3x, .w3z, .wad, .wai, .wav, .wb2, .wep, .wf, .whd, .wk1, .wks, .wld, .wma, .wmv, .world, .wotreplay, .wowpreplay, .wowsreplay, .wpd, .wpl, .wps, .wsf, .wso, .wtf, .wx, .wxd, .xbe, .xbf, .xcr, .xex, .xfbin, .xhtml, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xmg, .xml, .xp3, .xpd, .xpk, .xtbl, .xwm, .xxx, .yaf, .ydc, .ydk, .ydr, .yrm, .yrp, .ytd, .z2f, .z3, .zar, .zdk, .zfs, .zip, .zse (617 расширений без дублей). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RANSOM_NOTE.txt
loic_win32.exe
PWD-файл
FileDecrypter.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
kirk.help@scryptmail.com
kirk.payments@scryptmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Kirk)
 Write-up, Topic
 * 

 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.