AngleWare

AngleWare Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,2 биткоинов, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> MafiaWare > AngleWare

К зашифрованным файлам добавляется расширение .AngleWare

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ_ME.txt

Содержание записки о выкупе:
Your files has been encrypted by AngleWare
Pay 3BTC to my bitcoin address 1NEcE8ffNZqAucBtp42a5YXMMUSLY7YfEP
And send the proof to my email angledarknet@gmail.com

Перевод записки на русский язык:
Твои файлы были зашифрованы AngleWare
Плати 3BTC на мой bitcoin-адрес 1NEcE8ffNZqAucBtp42a5YXMMUSLY7YfEP
И пришли пруф на мой email angledarknet@gmail.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
AngleWare.exe
READ_ME.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: angledarknet@gmail.com
BTC: 1NEcE8ffNZqAucBtp42a5YXMMUSLY7YfEP
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Zorro

Zorro Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Оригинальное название. Фальш-имя: Microscoft. Среда разработки: Visual Studio 2015. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .zorro

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
Take_Seriously (Your saving grace).txt

Содержание записки о выкупе:
IMPORTANT NOTICE THAT IS URGENT AND TRUE
DEAR Sir/Ma,
Sorry to inform you but your files has just been encrypted with a strong key. This simply means that you will not be able to use your files until it is decrypted by the same key used in encryping it.
To get the Key, you have to make a payment to us so as to recover your files.
You have the grace of 3 days from now to pay the sum of 1 btc to the bitcoin address below:
BITCOIN ADDRESS:=>> 19DbpPPahyjvupryKZerpwz2LG57jqYcgC
Today has just begun the count-down of the payment before your files become unusable and entirely useless.
SO, my advice to you is to pay up the amount to the bitcoin address above. Pay 1 BTC.
NOTE:
Bitcoin doesn't need a bank account - your bitcoin wallet is your bank account, and you don't need any permission or paperwork to start using bitcoin.
GOTO https://localbitcoins.com/ to change cash to bitcoins and vice versa, you don’t need any kind of bank account at all. 
When payment is made, a decrypting software with the embedded strong key used in encrypting your files will be emailed to you to decrypt your files and start using it again.
ONCE PAYMENT IS MADE THE DECRYPTION PROGRAM WILL BE EMAILED TO YOU SO YOU CAN USE YOUR FILES ONCE AGAIN.

Перевод записки на русский язык:
ВАЖНОЕ ЗАМЕЧАНИЕ, СРОЧНОЕ И ПРАВДИВОЕ
ДОРОГОЙ Сэр / Мадам,
Извините, сообщаю вам, что ваши файлы были зашифрованы сильным ключом. Это значит, что вы не сможете использовать свои файлы, пока не будут расшифрованы ключом, который использовался при его шифровании.
Чтобы получить ключ, вы должны заплатить нам, чтобы восстановить ваши файлы.
У вас есть всего 3 дня, чтобы заплатить сумму в 1 BTC на биткойн-адрес ниже:
Биткоин-адрес: = >> 19DbpPPahyjvupryKZerpwz2LG57jqYcgC
Сегодня начался обратный отсчет платежа, как ваши файлы стали непригодными и совсем бесполезными.
Так что мой вам совет - заплатите сумму на биткойн-адрес выше. Платите 1 BTC.
ЗАМЕТКА:
Биткоин не нуждается в банковском счете - ваш биткойн-кошелек - это ваш банковский счет, и вам не нужно разрешение или документы, чтобы начать использовать биткойн.
Иди https://localbitcoins.com/, чтобы поменять деньги на биткоины и наоборот, вам вообще не нужен какой-либо банковский счет.
Когда оплата будет произведена, вам будет отправлено email с программой дешифрования со встроенным надежным ключом, использовавшимся для шифрования ваших файлов, чтобы расшифровать ваши файлы и начать использовать их снова.
ПОСЛЕ ПРИНЯТИЯ ОПЛАТЫ ПРОГРАММОЙ ДЕШИФРОВАНИЯ ВАМ ПРИДЕТ ПИСЬМО, ЧТО ВЫ МОЖЕТЕ СНОВА ИСПОЛЬЗОВАТЬ ВАШИ ФАЙЛЫ.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.1, .10, .11, .12, .13, .14, .15, .16, .17, .18, .19, .1cd, .2, .20, .3, .3dm, .3Ds, .3fr, .3g2, .3gp, .3pr, .4, .5, .6, .7, .7z, .7zip, .8, .9, .aac, .ab4, .abd, .abh, .acc, .accdb, .accde, .accdr, .accdt, .ach, .aco, .acr, .act, .adb, .adp, .ads, .aes, .aff, .aft, .agdl, .ai, .aiff, .ait, .al, .alv, .aoi, .apj, .apk, .arw, .ascx, .asd, .asf, .asl, .asm, .asp, .aspx, .asset, .asx, .atb, .atn, .aux, .avi, .awg, .ax, .axd, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .big, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .c00, .c01, .c02, .c03, .c04, .c05, .c06, .c07, .c96, .c97, .c99, .cache, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfm, .cfn, .cg, .cgm, .chm, .cib, .Class, .cls, .cmt, .conf, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csh, .csl, .csproj, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbrsb, .dbrush, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dic, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .DTD, .dwg, .dxb, .dxf, .dxg, .eap, .edb, .eml, .eps, .erbsql, .erf, .ESD, .eve, .exf, .fdb, .feed-ms, .feedsdb-ms, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .fon, .forge, .fp3, .fp5, .fp5, .fp7, .fp8, .fp9, .fpx, .full, .fxg, .gbk, .gbr, .gho, .gif, .gitattributes, .gitignore, .gray, .grd, .grey, .groups, .gry, .h, .h, .hbk, .hdd, .hdt, .hlp, .hpp, .htm, .html, .ibank, .ibd, .ibz, .ico, .idx, .iif, .iiq, .incpas, .indd, .inf, .inf_loc, .info, .info_, .iros, .irs, .iwi, .ja, .jar, .java, .jnt, .jpe, .jpeg, .JPG, .jpg, .js, .json, .jsonlz4, .jsx, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .list, .lit, .litemod, .litesql, .little, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4b, .m4p, .m4p, .m4v, .ma, .mab, .manifest, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .meek-http-helper, .mef, .mfw, .mht, .mid, .middle, .mkv, .mlb, .mmw, .mnu, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .mshi, .mts, .mui, .myapp, .myd, .nd, .ndd, .ndf, .nef, .New, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .odt, .ogg, .oil, .old, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p00, .p01, .p02, .p03, .p04, .p05, .p06, .p07, .p12, .p3e, .p3m, .p7b, .p7c, .p7x, .p96, .p97, .p98, .pab, .pages, .pas, .pat, .pat, .pbf, .pbk, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pfx, .php, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .PNF, .PNG, .png, .pnx, .pot, .potm, .potx, .ppam, .ppkg, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .pri, .Private, .properties, .ps, .psafe3, .psd, .psd, .pset, .pspimage, .pst, .ptx, .pub, .pwm, .py, .pyc, .pyd, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re2, .re4, .resources, .resp, .resx, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sbstore, .sd0, .sda, .sdb, .sdf, .setting, .settings, .sh, .shc, .sldm, .sldx, .slm, .sln, .small, .sql, .sqlite - shm, .sqlite - wal, .sqlite, .sqlite3, .sqlitedb, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .sys, .tax, .tbb, .tbk, .tbn, .tex, .tff, .tga, .thm, .tif, .tiff, .tlg, .tlx, .tme, .tmp, .tpl, .ttf, .TTF, .txt, .upk, .usr, .vb, .vbox, .vbproj, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .webm, .wma, .wmdb, .wmf, .wmv, .wpd, .wpl, .wps, .x11, .x3f, .xaml, .xeml, .xis, .xla, .xlam, .xlk, .xlm, .xlmx, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xml, .xpi, .xpi, .xps, .xxx, .ycbcra, .yuv, .zap, .zip (613 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных и специализированных программ и пр.

Файлы, связанные с этим Ransomware:
Take_Seriously (Your saving grace).txt
Zorro.exe
Zorro.ini

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Deepviz анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer, Lawrence Abrams
 Andrew Ivanov, Alex Svirid
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Help50

Help50 Ransomware

Dat Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью логической операции OR, а затем указывает только email для связи. Оригинальное название: нигде не было указано. Поэтому для названия статьи и вымогателя был использован логин из почты вымогателей. 

© Генеалогия: выясняется.

Это изображение логотип статьи

К зашифрованным файлам добавляется расширение .dat

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: DECRYPT_FILES.txt

Содержание записки о выкупе:
help50@yandex.ru

!!! Файлы в этом образце были зашифрованы порциями по 8 Мб и безвозвратно повреждены, из-за использования необратимой логической операции OR. Уплата выкупа бесполезна!!!

!!! В новых образцах шифратора возможна расшифровка силами специалистов.
Смотрите ссылки на форум под статьей в блоке =БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS=

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Наиболее известным распространением, о которым сообщают пострадавшие, является фальшивое обновление для программы RedirectGen.exe, которое устанавливает шифровальщик. Этот файл представлен на анализ в апреле 2017 г. (ссылка). На VirusTotal представлен полный пакет, используемый для распространения через обновлений этого шифровальщика (ссылка). Смотрите там в разделе "Сведения о файле" файл Project1.exe и его отдельный анализ. 

Второй известный способ распространения через программу PR Manager VK. На VirusTotal представлен полный пакет, используемый для распространения через обновлений этого шифровальщика (ссылка). Смотрите там в разделе "Сведения о файле" файл Project1.exe и его отдельный анализ. 

Список файловых расширений, подвергающихся шифрованию:

.1cd, .3gp, .7z , .ac3, .ape, .avi, .bmp, .cdr, .cer, .dbf, .divx, .djvu, .doc, .docx, .dwg, .flac, .flv, .gif, .gzip, .htm, .html, .ifo, .jpeg, .jpg, .kwm, .m2v, .max, .md, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .p12, .pdf, .pfx, .png, .ppt, .pptx, .psd, .pwm, .rar, .tar, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsx (54 расширения) + .zip в версии от 12.12.2017 (итого 55 расширений). 

Это документы MS Office, PDF, текстовые файлы, базы данных, фото и другие изображения, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
setup.exe или Setup.exe
project1.exe или Project1.exe
DECRYPT_FILES.txt или DecryptFiles.txt
RedirectGen.exe
redirectgen.exe
Qt5Core.dll
%WINDIR%\SYSTEM32\sechost.dll
%WINDIR%\system32\MSVCP100.dll

%WINDIR%\system32\MSVCR100.dll
%PROGRAMFILES%\Wireshark\Qt5Core.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: help50@yandex.ru
Satana@mail.ru
URL: xxxx://bitsatan.do.am/other/RedirectGen.txt

xxxx://server64.blogspot.com/p/blog-page_4.html
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >> HA>>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предистория:
Информация от 15 октября 2016:
Email: Satana@mail.ru, bitSatana@mail.ru
Адреса URL из uCoz, участвовавшие в распространении вируса: 
xxxx://disembark502.clan.su/ 
xxxx://justness.clan.su/
xxxx://cashlink.do.am/
xxxx://www.sound30.usite.pro/
xxxx://kazesynelj.do.am/
Файл вредоносного проекта: D:\Projects\WinRAR\SFX\build\sfxrar32\Release\sfxrar.pdb
Файл вредоносного проекта: D:\CFILES\Projects\WinSSL\openssl-1.0.2h\out32dll\ssleay32.pdb

Файл EXE: RedirectGen.exe
Результаты анализов: HA + VT

Обновление от 30 ноября 2017:
Записка: DECRYPT_FILES.txt
Email: help50@yandex.ru
Шифрование: AES-128
Файлы можно дешифровать! 
Шифрование AES-128, выполняется со статичным ключом, который генерируется случайным образом (разный ключ при каждом запуске), потом накрывается шифром RSA-2048 и затем помещается в конец файла. Пока нет изменений в работе шифровальщика, то имея пару файлов зашифрованный и незашифрованный, можно подобрать ключ дешифрования. 
---

Обновление от 12 декабря 2017:
В список расширений добавились файлы с расширением .zip
Ключ шифрования генерируется иначе и он разный для каждого файла. Дешифрование файлов без RSA-ключа теперь практически невозможно.  

Обновление от 2 марта 2018:
Вымогатели теперь используют алгоритм RSA для шифрования файлов. 
Прежний способ дешифровки не будет работать. 

Обновление от 15 июня 2018:
Расширение: .dat
Email: blackmagic8@yandex.com
Записка: DecryptFiles.txt

➤ Содержание записки: 
blackmagic8@yandex.com
Топик на форуме >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Это непросто, но в некоторых случаях возможно.
Обращайтесь по ссылке к консультанту thyrex
Создайте там новую тему "Help50 зашифровал файлы".

 Read to links: 
 Topic on Cyberforum.ru
 ID Ransomware (ID as Help50)
 Write-up, Topic
 * 

 Thanks: 
 Thyrex, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

LLTP Locker

LLTP Ransomware
LLTP Locker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в $200 в биткоинах (~0.2 BTC), чтобы вернуть файлы. Оригинальное название. Разработчик: LLTP Locker Team. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: VenusLocker > LLTP

К зашифрованным файлам добавляются расширения:
.ENCRYPTED_BY_LLTP
.ENCRYPTED_BY_LLTPp

Активность этого крипто-вымогателя пришлась на вторую половину марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ReadMe.txt и LEAME.txt

Содержание текста о выкупе на английском языке:
--- THE LLTP RANSOMWARE ---
Unfortunately, you are hacked.
1. What happened to my files?
Your personal files, including your photos, documents, videos and other important files on this computer, have been encrypted with RSA-4096, the strongest encryption algorithm. RSA algorithm generates a public key and a private key for your computer. The public key was used to encrypt your files a moment ago. The private key is necessary for you to decrypt and recover your files. Now, your private key is stored on our secret Internet server. And there is no doubt that no one can recover your files without your private key.
For further information about RSA algorithm, please refer to https://en.wikipedia.org/wiki/RSA_(cryptosystem)
2. How to decrypt my files?
To decrypt and recover your files, you have to pay #ramt# US Dollars for the private key and decryption service. Please note that you have ONLY 72 HOURS to complete your payment. If your payment do not be completed within time limit, your private key will be deleted automatically by our server. All your files will be permanently encrypted and nobody can recover them. Therefore, it is advised that you'd better not waste your time, because there is no other way to recover your files except making a payment.
3. How to pay for my private key?
There are three steps to make a payment and recover your files: 
1). For the security of transactions, all the payments must be completed via Bitcoin network. Thus, you need to exchange #ramt# US dollars (or equivalent local currencies) to Bitcoins, and then send these Bitcoins (about #btc# BTC) to the following address. 19fhNi9L2aYXTaTFWueRhJYGsGDaN6WGcP
2). Send your personal ID to our official email: LLTP@mail2tor.com
Your personal ID is: #id#
3). You will receive a decryptor and your private key to recover all your files within one working day.
4. What is Bitcoin?
Bitcoin is an innovative payment network and a new kind of money. It is based on an open-source cryptographic protocol that is independent of any central authority. Bitcoins can be transferred through a computer or a smartphone withour an intermediate financial institution.
5. How to make a payment with Bitcoin?
You can make a payment with Bitcoin based on Bitcoin Wallet or Based on Perfect Money. You can choose the way that is more convenient for you.
About Based on Bitcoin Wallet
1) Create a Bitcoin Wallet. We recommend Blockchain.info (https://blockchain.info/)
2) Buy necessary amount of Bitcoins. Our recommendations are as follows.
LocalBitcoins.com -- the fastest and easiest way to buy and sell Bitcoins.
CoinCafe.com -- the simplest and fastest way to buy, sell and use Bitcoins.
BTCDirect.eu -- the best for Europe.
CEX.IO -- Visa / MasterCard
CoinMama.com -- Visa / MasterCard
HowToBuyBitcoins.info -- discover quickly how to buy and sell Bitcoins in your local currency.
3) As mentioned above, send about #btc# BTC (equivalent to #ramt# USD) to our Bitcoin receiving address.
4) As mentioned above, and then, send us your personal ID via email, you will receive your private key soon.
About Based on Perfect Money
1) Create a Perfect Money account. (https://perfectmoney.is)
2) Visit to PMBitcoin.com. (https://pmbitcoin.com/btc) 
input our Bitcoin receiving address in the "Bitcoin Wallet" textbox. 
input #ramt# in the "Amount" textbox, the amount of Bitcoin will be calculated automatically.
click "PAY" button, then you can complete you payment with your Perfect Money account and local debit card.
6. If you have any problem, please feel free to contact us via official email.
Best Regards
The LLTP Locker Team

Перевод текста на русский язык:
--- LLTP Ransomware ---
К сожалению, вы взломаны.
1. Что случилось с моими файлами?
Ваши личные файлы, включая ваши фото, документы, видео и другие важные файлы на этом компьютере, были зашифрованы с помощью RSA-4096, самым сильным алгоритмом шифрования. Алгоритм RSA генерирует открытый и закрытый ключи для вашего компьютера. Открытый ключ использован для шифрования файлов минуту назад. Секретный ключ необходим вам, чтобы расшифровать и восстановить файлы. Теперь ваш закрытый ключ хранится на нашем секретном Интернет-сервере. И без сомнений никто не сможет восстановить ваши файлы без вашего секретного ключа.
Для получения дополнительной информации об алгоритме RSA, обратитесь к https://en.wikipedia.org/wiki/RSA_(cryptosystem)
2. Как расшифровать мои файлы?
Для того, чтобы расшифровать и восстановить файлы, вы должны платить 200 долларов США за ключ и частную услугу дешифрования. Заметьте, у вас есть только 72 часов, чтобы сделать оплату. Если ваш платеж не будет совершен в течение срока, ваш закрытый ключ будет автоматически удален нашим сервером. Все ваши файлы останутся зашифрованными и никто не сможет их восстановить. Поэтому, рекомендуется, что вы не тратили своё время, т.к. нет никакого другого пути, чтобы восстановить ваши файлы, кроме внесения платежа.
3. Как оплатить мой личный ключ?
Есть три шага, чтобы сделать оплату и восстановить файлы:
1). Для обеспечения безопасности сделок, все платежи должны быть завершены через сеть Bitcoin. Таким образом, вам нужно обменять 200 долларов США (или эквивалент в национальной валюте) в Bitcoins, а затем отправить эти биткоины (около 0,2 BTC) на следующий адрес. 19fhNi9L2aYXTaTFWueRhJYGsGDaN6WGcP
2). Отправьте свой ID и email на наш официальный адрес: LLTP@mail2tor.com
Ваш личный идентификационный номер: *****
3). Вы получите дешифратор и закрытый ключ для восстановления всех файлов в течение одного рабочего дня.
4. Что такое Bitcoin?
Bitcoin является инновационной сетью оплаты и новым видом денег. Он основан на криптографическом протоколе с открытым исходным кодом, который не зависит от какого-то центрального органа. Биткоины могут быть переданы через компьютер или смартфон без промежуточного финансового учреждения.
5. Как сделать платеж с помощью Bitcoin?
Вы можете произвести оплату в биткоинах на основе на Bitcoin-кошелька или на Perfect Money. Вы можете выбрать путь, который является более удобным для Вас способом.
Основное о Bitcoin-кошельке
1) Создать кошелек Bitcoin. Мы рекомендуем Blockchain.info (https://blockchain.info/)
2) Купить нужное количество битконов. Наши рекомендации заключаются в следующем.
LocalBitcoins.com - самый быстрый и простой способ купить и продать Bitcoins.
CoinCafe.com - самый простой и быстрый способ покупать, продавать и использовать Bitcoins.
BTCDirect.eu - лучший для Европы.
CEX.IO - Visa / MasterCard
CoinMama.com - Visa / MasterCard
HowToBuyBitcoins.info - быстро найти, как купить и продать Bitcoins в местной валюте.
3) Как уже упоминалось выше, отправить около 0,2 BTC (эквивалент 200 USD) на наш приемный Bitcoin-адрес.
4) Как уже упоминалось выше, затем отправьте нам свой ID по email b вы получите ваш личный ключ в ближайшее время.
Основное о Perfect Money
1) Создать аккаунт Perfect Money. (https://perfectmoney.is)
2) Посетить PMBitcoin.com. (https://pmbitcoin.com/btc)
Ввести наш Bitcoin-адрес получателя в "Bitcoin Wallet" текстовое поле.
Ввести 200 в текстовое поле "Amount", количество Bitcoin будет рассчитано автоматически.
Нажать кнопку "PAY", вы можете совершить ваш платеж с помощью аккаунта Perfect Money и местной дебетовой карты.
6. Если у вас есть какие-то проблемы, пожалуйста, не стесняйтесь связаться с нами по официальной email.
С наилучшими пожеланиями
LLTP Locker Team

Содержание текста о выкупе на испанском языке:
¡¡¡ATENCION!!!
A partir de este momento, todos los archivos importantes almacenados en este computador, tales como: documentos (excel, pdf, doc, etc), bases de datos (sql, mdb, etc), fotos, música, videos entre otros, se encuentran encriptados con cifrado AES-256 y RSA-2048, esto significa que estos archivos están actualmente BLOQUEADOS con una llave virtual única generada excusivamente para este computador, la cual se encuentra almacenada en nuestro servidor secreto de internet, y le aseguramos que es IMPOSIBLE desbloquearlos sin dicha llave virtual.
Pero no se preocupe, sus archivos aun se encuentran en su computador, pero están bloqueados.
Si a usted le importan sus archivos y desea recuperarlos, todo lo que debe hacer es realizar un pago de 0,2 Bitcoins (Cerca de $ 200 USD) por la llave virtual y el servico de decifrado, enviando dichos bitcoins a la siguiente dirección: 19fhNi9L2aYXTaTFWueRhJYGsGDaN6WGcP
Si desea realizar el pago y recuperar sus archivos, favor envienos un e-mail a nuestra dirección oficial: LLTP@mail2tor.com con su ID personal y recibirá toda la asesoria necesaria para completar su pago y desbloquear sus archivos.
Su ID personal es: *****
NOTA: SOLO DISPONE DE 72 HORAS PARA REALIZAR EL PAGO, DE LO CONTRARIO SU LLAVE VIRTUAL SERA ELIMINADA AUTOMATICAMNETE Y
TODOS SUS ARCHIVOS QUEDARAN BLOQUEADOS PERMANENTEMENTE
NOTA2: NO INTENTE RECUPERAR SUS ARCHIVOS POR SU CUENTA YA QUE PODRIA DAÑARLOS Y ESTO ENCARECERIA EL SERVICIO DE DECIFRADO, O PEOR AUN PODRIA TERMINAR DE PERDERLOS PARA SIEMPRE.

Перевод текста на русский язык:
!!! ВНИМАНИЕ !!!
С этого момента все важные файлы на этом компьютере, такие как документы (excel, pdf, doc и т.д.), базы данных (sql, mdb и т.д.), фото, музыка, видео и другие, зашифрованы с помощью шифров AES-256 и RSA-2048, это значит, что эти файлы теперь заблокированы с помощью одного виртуального ключа, созданного только для для этого компьютера, который хранится на нашем секретном интернет-сервере, и мы заверяем вас, что разблокировать файлы без этого виртуальный ключ невозможно.
Но не волнуйтесь, ваши файлы всё ещё находятся на вашем компьютере, хоть и заблокированы.
Если вы цените ваши файлы и хотите их обратно, то всё, что вам нужно, это сделать платеж в размере 0,2 биткоина (около $200 США) за виртуальный ключ и услугу расшифровки, отправив эти биткоины по следующему адресу: 19fhNi9L2aYXTaTFWueRhJYGsGDaN6WGcP
Если вы хотите заплатить и вернуть файлы, то отправьте email на наш официальный адрес: LLTP@mail2tor.com с вашим личным ID и получите всю необходимую помощь для завершения платежа и разблокировки ваших файлов.
Ваш личный ID: *****
ПРИМЕЧАНИЕ: Есть только 72 часа для оплаты, иначе виртуальный ключ будет удален, а фалы останутся заблокированными. 
Примечание 2: Не пытайтесь восстановить файлы на свой страх, т.к. это может повредить их, затруднить расшифровку, или даже хуже, вы можете потерять их навсегда.


Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Технические детали

LLTP Ransomware может шифровать файлы жертвы, независимо от наличия подключения к Интернету, т.е. как онлайн, так и в автономном оффлайн-режиме. При первом запуске LLTP подключается к своему C&C-серверу ***moniestealer.co.nf и отправляет имя ПК жертвы, имя пользователя и строку-идентификатор "lltp2.4.0". Вероятно, 2.4.0 - это номер версии вымогателя. 

C&C-сервер отвечает с AES-паролем, используемым для шифрования файлов жертвы, и ID, который будет вставлен в записку о выкупе. Если шифровальщик не может соединиться с C&C-сервером, то он сам сгенерирует эту информацию.

Пароль шифрования шифруется с помощью встроенного RSA-ключа шифрования и сохраняется в tlltpl-файле, как показано ниже. Вот это расположение: %UserProfile%\AppData\Local\Temp\tlltpl.tlltpl

⚠ Не рекомендуется пострадавшим удалять файл tlltpl.tlltpl, пока они не приняли решения, что делать дальше, т.е. платить выкуп, ждать чуда или смириться с потерей файлов. 

LLTP Ransomware будет шифровать файлы с помощью AES-256. При этом исходное имя файла кодируется в Base64, а затем к нему добавляется специальное расширение, основанное на типе файлов, перечисленные ниже. Например, файл с именем Wildlife.wmv после шифрования станет V2lsZGxpZmUud212.ENCRYPTED_BY_LLTPp

LLTP создаёт папку %Temp%\lltprwx86\ и извлекает в неё файл encp.exe, который является переименованным копией Rar.exe. Затем он создаёт подпапку \vault\ и копирует в неё все зашифрованные файлы, получившие расширение .ENCRYPTED_BY_ LLTPp. Затем с помощью encp.exe в папке-хранилище будет создан защищенный паролем RAR-архив. Паролем для таких архивов служат 32-х символьные пароли, используемые для шифрования файлов. Причина создания этого архива пока неизвестна.

Команда, используемая для создания защищенного паролем RAR-архива:
encp.exe a -r -mt2 -dw -hp [password] -m0 %Temp%\lltprwx86\Files.LLTP %Temp%\lltprwx86\vault\*.*

Это же в коде шифровальщика:

Во время шифрования тома теневых копий удаляются командой:
C:\\Windows\\system32\\wbem\\wmic.exe shadowcopy delete

LLTP Ransomware извлекает файл RansomNote.exe и сохраняет его на рабочем столе. Затем для него создаётся ссылка в Автозапуске системы. 

 

При запуске этого файла на экране жертвы будет отображаться испанская записка о выкупа, см. ниже. Дополнительно на рабочем столе будет сохранена записка о выкупе под названием LEAME.txt

👉 Обратите внимание, что окно с испанским текстом содержит англоязычный заголовок, а текстовый файл с испанским словом "LEAME" (ПРОЧТИ) содержит английский текст. 

Автоматически будет загружен файл VdREVyH.jpg для установки как обои рабочего стола. Он тоже содержит требования выкупа $200, Bitcoin-адрес 19fhNi9L2***, email-адрес LLTP@mail2tor.com, на который жертва должна выслать ID и данные платежной операции.

Скринлок на обоях рабочего стола

Список типов файлов, подвергающихся шифрованию c добавлением расширения .ENCRYPTED_BY_LLTP:
.asp, .aspx, .c, .cc, .class, .cpp, .cs, .css, .csv, .cxx, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .h, .html, .ini, .jar, .java, .log, .msg, .php, .pl, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .py, .rtf, .sldm, .sldx, .sln,.txt, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, xlsb (59 расширений)

Список типов файлов, подвергающихся шифрованию c добавлением расширения .ENCRYPTED_BY_LLTPp:
.1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .aaf, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aep, .aepx, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .as, .as3, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .class, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .csv, .ctt, .cty, .cwf, .dal, .dap, .dat, .db, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .eat, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .game, .gif, .grf, .grle, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idml, .idx, .img, .indb, .indd, .indl, .indt, .ini, .ink, .inx, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .jsp, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .oab, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .ost, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plb, .plc, .pli, .pm, .pmd, .png, .pot, .potm, .potx, .ppam, .ppd, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prel, .prproj, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rpt, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .sldm, .sldx, .slot, .slt, .snp, .so, .spr, .spv, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .sv5, .svg, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlv, .xlw, .xlwx, .xml, .xpi, .xpt, .xqx, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (514 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и пр. Но, как и в случаях с предыдущими итерациями VenusLocker, большинство расширений из первого списка дублируются во втором. Я выполнил сравнение списков, смотрите наглядный скриншот. 

Лоуренс Адамс предположил, что первый список проверяется шифровальщиком в первую очередь. 

Шифровальщик пропускает директории: 
Program Files, Program Files (x86), Windows, Python27, Python34, AliWangWang, Avira, wamp, Avira, 360, ATI, Google, Intel, Internet Explorer, Kaspersky Lab, Microsoft Bing Pinyin, Microsoft Chart Controls, Microsoft Games, Microsoft Office, Microsoft.NET, MicrosoftBAF, MSBuild, QQMailPlugin, Realtek, Skype, Reference Assemblies, Tencent, USB Camera2, WinRAR, Windows Sidebar, Windows Portable Devices, Windows Photo Viewer, Windows NT, Windows Media Player, Windows Mail, NVIDIA Corporation, Adobe, IObit, AVAST Software, CCleaner, AVG, Mozilla Firefox, VirtualDJ, TeamViewer, ICQ, java, Yahoo!

Файлы, связанные с этим Ransomware:
LLTP.exe - исполняемый файл вымогателя;
encp.exe - переименованная копия Rar.exe (v.5.40 x86);
RansomNote.exe - экран с текстом на испанском языке;
bg.jpg - файл для обоев рабочего стола;
ReadMe.txt и LEAME.txt - записки о выкупе;
tlltpl.tlltpl - файл содержит зашифрованный ключ жертвы!!!
uinf.uinf - специальный файл с информацией для вымогателей;
<random>.exe - исполняемый файл со случайным именем; 
<random>.tmp - временный файл со случайным именем; 
<random>.doc.exe - исполняемый файл со случайным именем; 
<random>.exe.tmp - исполняемый файл со случайным именем. 

Расположения:
%UserProfile%\Desktop\ReadMe.txt
%UserProfile%\Desktop\LEAME.txt
%UserProfile%\bg.jpg
%UserProfile%\AppData\Local\Temp\lltprwx86\
%UserProfile%\AppData\Local\Temp\lltprwx86\encp.exe
%UserProfile%\AppData\Local\Temp\lltprwx86\Files.LLTP
%UserProfile%\AppData\Local\Temp\lltprwx86\vault\
%UserProfile%\AppData\Local\Temp\tlltpl.tlltpl
%UserProfile%\AppData\Local\Temp\uinf.uinf

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\LLTP %UserProfile%\Desktop\Ransomnote3.5.exe
HKCU\Control Panel\Desktop\Wallpaper   "%UserProfile%\bg.jpg"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://i.imgur.com/VdREVyH.jpg - скринлок на обои;
xxxx://moniestealer.co.nf/nran/gen.php - C&C-сервер;
Email: LLTP@mail2tor.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
LLTP Locker больше не распространяется.
Подробные сведения собраны и указаны по ссылкам.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as LLTP)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.