Cry36

Cry36 Ransomware

X3M Ransomware: Next Variation

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RC4, а затем требует выкуп в # BTC, чтобы вернуть файлы. Название получил из-за новых особенностей. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: X3M > CryptON > X3M Next > Cry128 > Cry36

Этимология названия:
В отличие от предыдущих итераций у данного шифровальщика имеется особенность, выражающаяся в том, что зашифрованный файл на 36 байт больше, чем оригинал. Отсюда название. 

К зашифрованным файлам добавляется случайное расширение с пристройкой в виде ID+email, или ID+onion-сайт.

Примеры расширений без пристройки: 
.08c85
.4se9s
.47kv5
.5d4s9
.830s7
.a97rq
.b1m74
.be87r
.gpsdh
.l454t
.netn6
.r2vy6
.vs95l

Примеры зашифрованных файлов по шаблону .id-1234567890_[email_ransom].<random5>
SECRET.TXT.id-1234567890_[mk.baraka@aol.com].830s7
SECRET.TXT.id-1234567890_[mk.rain@aol.com].be87r
SECRET.TXT.id_1234567890_[mk.kabal@aol.com].gpsdh
SECRET.TXT.id_1234567890_[m.reptile@aol.com].47kv5
SECRET.TXT.id_1234567890_[yotabyte@protonmail.com].4se9s
SECRET.TXT.id_1234567890_[liukang@mortalkombat.su].08c85
SECRET.TXT.id_1234567890_[don-corleone@mortalkombat.su].vs95l

Примеры зашифрованных файлов по шаблону .id-1234567890_<URL_ransom>.onion*
SECRET.TXT.id_1234567890_fgb45ft3pqamyji7.onion
C360_1970-01-02-08-01-39-912.jpg.id_87654545_fgb45ft3pqamyji7.onion
SECRET.TXT.id_1234567890_gebdp3k7bolalnd4.onion._
SECRET.TXT.id_1234567890_2irbar3mjvbap6gt.onion.to._

* (звёздочка) здесь означает добавления после расширения onion

Шаблоны для Cry36 кратко можно записать так: 
.id_<ID_0-9{10}>_[email_ransom].<random5>
.id_<ID_0-9{10}>_[URL_onion]
.id_<ID_0-9{10}>_[URL_onion]._

Активность этого крипто-вымогателя пришлась на конец апреля, весь май, июнь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа были разные, они называются:
### DECRYPT MY FILES ###.txt
_DECRYPT_MY_FILES.txt
-DECRYPT-MY-FILES.txt

Содержание записки о выкупе ### DECRYPT MY FILES ###.txt
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software – «Nemesis decryptor»
You can find out the details / buy decryptor + key / ask questions by email: mk.rain@aol.com
Your personal ID: 123456789

Перевод записки на русский язык:
*** ВСЕ ВАШИ РАБОТЫ И ПЕРСОНАЛЬНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ ***
Для расшифровки ваших файлов вам нужно купить специальную программу - «Nemesis decryptor»
Вы можете узнать детали / купить декриптор + ключ / спросить по email: mk.rain@aol.com
Ваш личный ID: 123456789

Содержание записки о выкупе _DECRYPT_MY_FILES.txt
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software. To recover data, follow the instructions!
You can find out the details/ask questions in the chat:
xxxxs://fgb45ft3pqamyji7.onion.to (not need Tor)
xxxxs://fgb45ft3pqamyji7.onion.cab (not need Tor)
xxxxs://fgb45ft3pqamyji7.onion.nu (not need Tor)
You ID: 1234567890
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address xxxxs://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://fgb45ft3pqamyji7.onion in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
If you have any problems installing or using, please visit the video tutorial xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q

Перевод записки на русский язык: 
*** ВСЕ ВАШИ РАБОТЫ И ПЕРСОНАЛЬНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ ***
Для расшифровки ваших файлов вам нужно купить специальную программу. Чтобы восстановить данные, следуйте инструкциям!
Вы можете узнать детали / задать вопросы в чате:
xxxxs://fgb45ft3pqamyji7.onion.to (не нужен Tor)
xxxxs://fgb45ft3pqamyji7.onion.cab (не нужен Tor)
xxxxs://fgb45ft3pqamyji7.onion.nu (не нужен Tor)
Ваш ID: 1234567890
Если ресурс недоступен долгое время, установите и используйте Tor-браузер:
1. Запустите свой интернет-браузер.
2. Введите или скопируйте адрес xxxxs://www.torproject.org/download/download-easy.html в адресную строку вашего браузера и нажмите клавишу ENTER
3. На сайте будет предложено загрузить Tor-браузер, загрузите и установите его. Запустите.
4. Подключитесь кнопкой "Connect" (если вы используете английскую версию)
5. После подключения откроется обычное окно Tor-браузера
6. Введите или скопируйте адрес xxxx://fgb45ft3pqamyji7.onion в адресную строку Tor-браузера и нажмите клавишу ENTER
7. Подождите, пока сайт загрузится.
Если у вас возникли проблемы с установкой или использованием, посетите видео-урок xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q

На момент публикации сайты вымогателей не открывались. 

Распространяется путём взлом через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифруются все файлы, кроме находящихся в директориях (чтобы не затронуть работу и загрузку системы): Windows, Program Files и %UserProfile%

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
### DECRYPT MY FILES ###.txt
_DECRYPT_MY_FILES.txt
-DECRYPT-MY-FILES.txt
svchost.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Известные email вымогателей:
d.fedor2@aol.com
mk.baraka@aol.com
mk_rain@aol.com
mk.kabal@aol.com
mk.smoke@aol.com
mk.kunglao@aol.com
don-corleone@mortalkombat.su
liukang@mortalkombat.su
yotabyte@protonmail.com
m.reptile@aol.com
m.subzero@aol.com
и другие

Известные сайты вымогателей:
fgb45ft3pqamyji7.onion
gebdp3k7bolalnd4.onion
2irbar3mjvbap6gt.onion.to

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Файлы, зашифрованные Cry36, возможно, не будут расшифрованы дешифровщиком от Emsisoft, предназначенным для Cry128, т.к. ключ генерируется безопасным способом, который не может быть взломан.

Обновление от 5 июля 2017:
Расширение: .4x82n
Пример составного расширения: .id_2314357193_[pay@cyberdude.com].4x82n
Email: pay@cyberdude.com

Обновление от 14 июня 2018:
Пост на форуме >>
Расширение: .nem3end
Записка: #DECRYPT_MY_FILES#.txt
Email: karnel.fikol@aol.com
URL: xxxx://wolahedbune.com/lolo/index_shell.php
Файлы: lock.exe (lock.exe.bat)
Результаты анализов: VT + HA
➤ Содержание записки: 
 [ALL YOUR IMPORTANT FILES ARE ENCRYPTED] ***
Your documents, photos, databases and other important have been encrypted! 
To decrypt your files you need to buy the special software - «Nemesis decryptor».
To obtain decryptor, please contact me by email: karnel.fikol@aol.com
Your personal ID: 2219482***

Обновление от 8 февраля 2019:
Пост на форуме >>
Расширение: .nemesis
Записка: ### DECRYPT MY FILES ###.txt
Email: sanio.marino@aol.com
➤ Содержание записки: 
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software – «Nemesis decryptor»
You can find out the details / buy decryptor + key / ask questions by email: sanio.marino@aol.com
Your personal ID: 14790*****

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов некоторых вариантов есть дешифровщик
Скачать RakhniDecryptor для дешифровки >>
Если не помогло, пишите на partner.support@kaspersky.com
***
Attention!
For files, which encrypted with some variants Cry36, have a free RakhniDecryptor.
You can free download RakhniDecryptor to decrypt your files by the link >>
If the RakhniDecryptor did not help, write to email partner.support@kaspersky.com

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Cry36)
 Write-up, Topic of Support
 * 

 Thanks: 
 Fabian Wosar
 Michael Gillespie
 Andrew Ivanov
 KasperskyLab
 

© Amigo-A (Andrew Ivanov): All blog articles.

Haters

Haters Ransomware
CryptoCerber Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует ввести пароль, чтобы вернуть файлы. Оригинальное название: CryptoCerber.
Относится к группе вымогателей Stupid Ransomware. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .haters

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком Form2:

Содержание записки о выкупе:
Your Files Are Encrypted
button [Decrypted]

Перевод записки на русский язык:
Твои Файлы Зашифрованы
кнопка [Decrypted]

Ключ дешифрования:
masihmaubullyguaanjeng

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoCerber.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 8 мая 2017:
Пост в Твиттере >>
Название версии: FTSCoder
Самоназвание: Cerber3Ransomware
Файл: Cerber3Ransomware.exe
Расширение: .haters

Результаты анализов: VT

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic
 * 

 Thanks: 
 MarceloRivero
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PEC 2017

PEC 2017 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .pec

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на итальяноязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: AIUTO_COME_DECIFRARE_FILE.html

Содержание записки о выкупе:
PEC 2017
Informazioni su come decifrare i file
I tuoi file sono stati cifrati dal sistema PEC 2017 con crittografia AES 256.
PEC non è decifrabile da nessun software e da nessun antivirus.
Come recuperare i dati criptati
Unico modo per recuperare i dati danneggiati è acquistare il software di recupero PEC CLEANER.
Quando hai ottenuto il software potrai procedere al recupero ed il ripristino dei file danneggiati.
Con lo stesso software potrai decriptare tutti i file danneggiati anche quelli nei dischi esterni o di rete.
Avvertenze
Non utilizzare alcun software antivirus o di decrypt in quanto non solo non efficaci, ma potrebbero compromettere per sempre il recupero dei dati.
Con PEC Cleaner potrai recuperare tutti i tuoi dati perfettamente funzionanti e senza attese.
Come acquistare PEC CLEANER
contatta il produttore del software di decrypt per acquisto della licenza e download del programma:
pec.clean@protonmail com
La tua chiave di sblocco è
DD9D5A4143317432EFE883DBE50DA394FB5B78CBDD78C71E7E1EBD83236A9911449F1D55AF23
Il software verrà reso disponibile al download entro 24 ore dal pagamento e ti consentirà il ripristino immediato dei dati.

Перевод записки на русский язык:
PEC 2017
Информация о том, как расшифровать файлы
Ваши файлы зашифрованы системой PEC 2017 с AES-256 шифрованием.
PEC не расшифрует никакая антивирусная программа.
Как восстановить зашифрованные данные
Единственный способ восстановить поврежденные данные - это купить программу для восстановления PEC CLEANER.
Когда у вас будет программа, вы можете приступить к дешифрванию и восстановлению поврежденных файлов.
С этой программой вы сможете расшифровать все поврежденные файлы, хранящиеся на внешних или сетевых дисках.
Предупреждение
Не используйте антивирусы, они не только не смогут расшифровать, но поставят под угрозу когда-то вернуть данные.
С PEC CLEANER вы можете получить все ваши данные в отличном рабочем состоянии и без ожидания.
Как купить PEC CLEANER
Обратитесь к производителю программы для приобретения и загрузки программы расшифровки:
pec.clean@protonmail com
Ваш ключ разблокировки
DD9D5A4143317432EFE883DBE50DA394FB5B78CBDD78C71E7E1EBD83236A9911449F1D55AF23
Программа будет доступна для скачивания в течение 24 часов с момента оплаты и позволит вам мгновенно восстановить данные.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
AIUTO_COME_DECIFRARE_FILE.html
languageplugin.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PEC 2017)
 Write-up, Topic
 * 

 Thanks: 
 xXToffeeXx
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

vCrypt1

vCrypt Ransomware

vCrypt1 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью XOR (в записке RSA), а затем требует написать на email вымогателей, чтобы вернуть файлы. Оригинальное название vCrypt, версия 1 (точнее 1.0.0.17 и 1.0.0.20). В тексте записки указан как vCrypt1. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .vCrypt1

👉 Шифруется максимум 102400 байт. Для шифрования используется простой XOR с каждым байтом строки gnk98a^%IHKJOIY8348923ggROihIjoi

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется:
КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt

Содержание записки о выкупе:
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом-шифровальщиком vCrypt1!
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью криптоалгоритма RSA2048. Восстановить файлы можно только зная уникальный для вашего ПК пароль и имея соответствующий дешифратор.
Подобрать ключ невозможно. Смена операционной системы ничего не изменит. Ни один системный администратор не решит эту проблему, не зная ключа.
Ни в коем случае не изменяйте файлы, иначе расшифровать их будет невозможно даже нам!
Ваши действия должны быть следующими:
1. Сделайте резервную копию всех ваших файлов.
2. Напишите нам письмо на адрес fns-service@pochta.com, чтобы узнать как получить ключ и дешифратор.
К письму можете приложить любой файл с известным Вам содержимым, мы вышлем в ответ расшированную копию.
Это докажет, что мы действительно обладаем возможностью расшифровать Ваши файлы.
Среднее время ответа нашего специалиста 3-24 часов.
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ! Только МЫ можем расшифровать Ваши файлы!

Перевод записки на английский язык (Google translation):
If you are reading this message, then your computer was attacked by the most dangerous virus-encryptor vCrypt1!
All of your information (documents, databases, backups and other files) on this computer was encrypted using the RSA2048 cryptographic algorithm. You can recover files only knowing a unique password for your PC and having the appropriate decoder.
You can not find the key. Changing the operating system will not change anything. No system administrator will solve this problem without knowing the key.
Do not change the files at all, otherwise it will be impossible to decipher them even to us!
Your actions should be as follows:
1. Make a backup of all your files.
2. Write us a letter to fns-service@pochta.com to find out how to get the key and decoder.
To the letter you can attach any file with the content known to you, we will send an decrypted copy in response.
This will prove that we really have the ability to decrypt your files.
The average response time of our specialist is 3-24 hours.
Threatened letters will threaten only you and your files!
DO NOT FORGET! Only we can decrypt your files!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Примеры вредоносных вложений:
Интернет-обращение-лкип.zip
tblr4O83.zip

Список файловых расширений, подвергающихся шифрованию:

.ai, .cdr, .cdw, .doc, .docx, .dwg, .dxf, .jpg, .mdb, .mdf, .ods, .odt, .pdf, .ppt, .pptx, .psd, .rtf, .xls, .xlsx (19 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, файлы образов и пр.

Файлы, связанные с этим Ransomware:
КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt
vCrypt.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
fns-service@pochta.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ для 1.0.0.20 >>
VirusTotal анализ для 1.0.0.20 >>
VirusTotal анализ для 1.0.0.17 >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 10 мая 2017:
Пост в Твиттере >>
Версия: aCrypt v.1.1.0.31
Файлы: Счет-фактура.txt.exe и aCrypt.exe
Расширение: .aCrypt
Результаты анализов: VT

Обновление от 12 мая 2017:
Пост в Твиттере >>
Версия: bCrypt v.1.0.0.44
Файл: bCrypt.exe
Расширение: .bCrypt
Результаты анализов: VT

Обновление от 14 мая 2017:
Пост в Твиттере >>
Версия: xCrypt25 v.1.0.0.0
Файл: xCrypt.exe
Расширение: .xCrypt25
Целевые файлы: .doc, .jpg, .ppt, .xls
Результаты анализов: VT

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as vCrypt)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Alex Svirid
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Lockify

Lockify Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 0.0002-0.004 BTC, чтобы вернуть файлы. Оригинальное название: Lockify. Оно заимствовано вымогателями у известного приложения Lockify для обмена приватными сообщениями. Другое название, указанное на файле: ConsoleApplication1. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Lockify

К зашифрованным файлам добавляется расширение .Lockify

Активность этого крипто-вымогателя пришлась на первую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Readme.hta

Содержание записки о выкупе:
LOCKIFY RANSOMWARE
Instructions
Can't you find the necessary files?
Is the content of your files not readable?
It is normal because the files names and the data in your files have been encrypted by "Lockify Ransomware".
It means your files are NOT damaged! Your files are modified only. This modification is reversible.
From now it is not possible to use your files until they will be decrypted.
The only way to decrypt your files safely is to buy the special decryption software "Lockify Decryptor".
Any attempts to restore your files with the third-party software will be fatal for your files!
-
You can proceed with purchasing of the decryption software at your personal page:
xxxx://i6r2ug4pil44jdnr.1J1dgw.top/
If this page cannot be opened click here to get a new address of your personal page.
If the address of your personal page is the same as before after you tried to get a new one, you can try to get a new address in one hour.
At this page you will receive the complete instructions how to buy the decryption software for restoring all your files.
Also at this page you will be able to restore any one file for free to be sure "Lockify Decryptor" will help you.
———
If your personal page is not available for a long period there is another way to open your personal page – installation and use of Tor Browser:
- run your Internet browser (if you do not know what it is run the Internet Explorer);
- enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
- wait for the site loading;
- on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
- run Tor Browser;
- connect with the button "Connect" (if you use the English version);
- a normal Internet browser window will be opened after the initialization;
- type or copy the address in this browser address bar;
- press ENTER;
- the site should be loaded; if for some reason the site is not loading wait for a moment and try again.
If you have any problems during installation or use of Tor Browser, please, visit https://www.youtube.com and type request in the search bar "Install Tor Browser Windows" and you will find a lot of training videos about Tor Browser installation and use.
———
Additional information:
You will find the instructions ("*HELP_DECRYPT*.hta") for restoring your files in any folder with your encrypted files.
The instructions "*HELP_DECRYPT*.hta" in the folders with your encrypted files are not viruses! The instructions "*HELP_DECRYPT*.hta" will help you to decrypt your files.
Remember! The worst situation already happened and now the future of your files depends on your determination and speed of your actions.

Перевод записки на русский язык:
LOCKIFY RANSOMWARE
Инструкции
Не можете найти нужные файлы?
Содержание ваших файлов нечитаемо?
Это нормально, потому что имена файлов и данные в ваших файлах были зашифрованы "Lockify Ransomware".
Это значит, что ваши файлы НЕ повреждены! Ваши файлы только изменены. Эта модификация обратима.
С этого момента вы не сможете использовать ваши файлы, пока они не будут расшифрованы.
Единственный способ безопасно расшифровать ваши файлы - это купить специальную программу для дешифрования "Lockify Decryptor".
Любые попытки восстановить ваши файлы с помощью сторонних программ будут фатальны для ваших файлов!
-
Вы можете приступить к приобретению программы для дешифрования на своей личной странице:
хххх: //i6r2ug4pil44jdnr.1J1dgw.top/
Если эта страница не открывается, нажмите здесь, чтобы получить новый адрес вашей личной страницы.
Если адрес вашей личной страницы такой же, как прежде, после того, как вы попытались получить новый, вы можете попытаться получить новый адрес через час.
На этой странице вы получите полную информацию о том, как купить программу дешифрования для восстановления всех ваших файлов.
Также на этой странице вы сможете восстановить любой файл бесплатно, чтобы убедиться, что "Lockify Decryptor" поможет вам.
---
Если ваша личная страница недоступна долгое время, существует еще один способ открыть вашу личную страницу - установка и использование Tor Browser:
- запустите свой интернет-браузер (если вы не знаете какой, то запустите Internet Explorer);
- введите или скопируйте адрес https://www.torproject.org/download/download-easy.html.en в адресную строку вашего браузера и нажмите ENTER;
- дождитесь загрузки сайта;
- на сайте вам будет предложено скачать Tor-браузер; загрузите и запустите его, следовать инструкциям по установке, дождитесь завершения установки;
- запустите Tor-браузер;
- подключитесь с помощью кнопки "Connect" (если вы используете английскую версию);
- после инициализации откроется обычное окно интернет-браузера;
- введите или скопируйте адрес в адресную строку браузера;
- нажмите ENTER;
- сайт должен загрузиться; если по какой-либо причине сайт не загружается, подождите минуту и ​​повторите попытку.
Если у вас возникли проблемы при установке или использовании Tor-браузера, то посетите https://www.youtube.com и введите запрос в строке поиска «Install Tor Browser Windows», и вы найдете много обучающих видео о Tor-браузере, установке и использованию.
---
Дополнительная информация:
Вы найдете инструкции ("*HELP_DECRYPT*.hta") для восстановления ваших файлов в любой папке с зашифрованными файлами.
Инструкции "*HELP_DECRYPT*.hta" в папках с зашифрованными файлами не являются вирусами! Инструкции "*HELP_DECRYPT *.hta" помогут вам расшифровать ваши файлы.
Запомните! Самая худшая ситуация уже случилась, и теперь будущее ваших файлов зависит от вашей решимости и скорости ваших действий.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

👐 Анализ текста и перевода показал, что эта инструкция сначала была составлена на русском языке, но есть некоторые несоответствия в орфографии, которые могут указывать на другой регион, где русский язык тоже используется, например в Украине. Также инструкция могла быть взята из другого вымогателя или написана по заказу другими лицами. 

Список файловых расширений, подвергающихся шифрованию:

.3GP, .aes, .ARC, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m4v, .max, .mdb, .mdf,.mid, .mkv, .mml, .mov, .MP3, .MP4, .mpeg, .mpg, .ms11, .MYD, .MYI, .NEF, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .PAQ, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .RTF, .sch, .sldm, .sldx, .slk, .sql, .SQLITE3, .SQLITEDB, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (141 расширение). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускаются следующие директории:
$Recycle.Bin
\AppData\Local\
\AppData\Roaming\
\AppData\Locallow\
\Windows\
\Users\All Users\ 
\Program\
\Python27\

Файлы, связанные с этим Ransomware:
ConsoleApplication1.exe - исполняемый файл шифровальщика;
Readme.HTA - записка о выкупе;
*HELP_DECRYPT*.HTA - инструкция по дешифровке.

Расположения:
\Desktop\Readme.HTA
\User_folders\*HELP_DECRYPT*.HTA

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Вымогатели используют технологию DGA (Domain Generation Algorithm, алгоритм генерации доменных имен). Об этом методе методе можно прочитать по ссылке. 

Сетевые подключения и связи:
xxxx://i6r2ug4pil44jdnr.1J1dgw.top - один из сгенерированных доменов
xxxx://freegeoip.net/json/ - определяет IP, страну, регион, город, временную зону
***9svdsio0.cdn.o66o.pw/***
***ggzmc76dwcvykik4.1j1dgw.pw - Швейцария
***ggzmc76dwcvykik4.1j1dgw.top - Украина
***ggzmc76dwcvykik4.1j1dgw.net
***ggzmc76dwcvykik4.1j1dgw.xyz
***ggzmc76dwcvykik4.1j1dgw.com
***ggzmc76dwcvykik4.1j1dgw
***btc.blockr.io - США
***findingresult.com - Виргинские острова
***btc.blockr.io/address/info/1J1dgwQHvQpsrLssx5pR2PiFZVh3Hw61Fn
и другие связанные ресурсы
BTC: 1J1dgwQHvQpsrLssx5pR2PiFZVh3Hw61Fn
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Michael Gillespie
 Karsten Hahn
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FartPlz

FartPlz Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные компьютеров организаций с помощью AES/RSA, а затем требует выкуп в 2.5 BTC за каждый компьютер или 30 BTC за все компьютеры, чтобы вернуть файлы. Название дано по используемому расширению.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .fartplz (или .FartPlz)

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadME_Decrypt_Help_<number>.html

Содержание записки о выкупе:
What happened to your files?
All of your files locked and protected by a strong encryption with RSA-2048 and AES-256 ciphers.
 More information about the RSA and AES can be found here:
   https://en.wikipedia.org/wiki/RSA_(cryptosystem)
   https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
 In summery you can't read or work with your files, But with our help you can recover them.
 It's not possible to recover your files without private key and our unlocking software
How to get private key or unlocking software?
You must send us (2.5 Bitcoin per affected computers)   OR   (30 Bitcoin for all affected computers) to receive private key and unlocking software.
 Our Bitcoin wallet is available in our site
How To Access To Our Site?
Click on one of the blow links:
  xxxxs://tr6ufmisqyuz36qk.onion.cab/4pnp5tr/ 
  xxxxs://tr6ufmisqyuz36qk.onion.to/4pnp5tr/ 
  xxxx://tr6ufmisqyuz36qk.onion.link/4pnp5tr/ 
Alternative way you can access to our site
 For accessing to our website you must install Tor browser:
1 - Open your internet browser (If you don't know run internet explorer or firefox or chrome)
2 - Go to this address: https://www.torproject.org/download/download.html.en
3 - Select Microsoft Windows and Click on Download Tor Browser
4 - Follow the instruction and install it
5 - Run Tor-Browser with clicking on connect
6 - After initializing a normal internet browser will be opened (similar internet explorer window)
7 - Enter our web site address: xxxx://tr6ufmisqyuz36qk.onion/4pnp5tr/
8 - Now you are in our website!
 If you have any problem yet to accessing our web site, search in Google "How to access onion sites"

Перевод записки на русский язык:
Что случилось с вашими файлами?
Все ваши файлы блокированы и защищены сильным шифрованием с шифрами RSA-2048 и AES-256.
 Подробную информацию о RSA и AES можно найти здесь:
   https://en.wikipedia.org/wiki/RSA_(cryptosystem)
   https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
 Всё лето вы не сможете читать или работать с вашими файлами, но с нашей помощью вы можете их восстановить.
 Восстановление файлов без личного ключа и нашего программного обеспечения для разблокировки невозможно
Как получить личный ключ или программу разблокировки?
Вы должны отправить нам (2.5 биткойн за зараженный компьютер) ИЛИ (30 биткойн за все зараженные компьютеры), чтобы получить закрытый ключ и программу разблокировки.
 Наш биткойн-кошелек доступен на нашем сайте
Как получить доступ к нашему сайту?
Нажмите на одну из ссылок удара:
  xxxxs://tr6ufmisqyuz36qk.onion.cab/4pnp5tr/
  xxxxs://tr6ufmisqyuz36qk.onion.to/4pnp5tr/
  хххх://tr6ufmisqyuz36qk.onion.link/4pnp5tr/
Альтернативный способ доступа к нашему сайту
 Для доступа к нашему сайту вы должны установить Tor-браузер:
1 - откройте свой интернет-браузер (если вы не знаете запустите internet explorer или firefox или chrome)
2 - Перейдите по этому адресу: https://www.torproject.org/download/download.html.en
3 - Выберите Microsoft Windows и нажмите «Скачать Tor-браузер»
4 - Следуйте инструкциям и установите его
5 - Запустить Tor-браузер, нажмите на Connect
6 - После инициализации откроется обычный интернет-браузер (аналог окна Internet Explorer)
7 - Введите адрес нашего веб-сайта: xxxx://tr6ufmisqyuz36qk.onion/4pnp5tr/
8 - Теперь вы на нашем сайте!
 Если у вас есть какие-то проблемы с доступом к нашему веб-сайту, выполните поиск в Google "Как получить доступ к onion-сайтам"

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadME_Decrypt_Help_<number>.html
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://tr6ufmisqyuz36qk.onion.cab/4pnp5tr/
xxxxs://tr6ufmisqyuz36qk.onion.to/4pnp5tr/
xxxx://tr6ufmisqyuz36qk.onion.link/4pnp5tr/
xxxx://tr6ufmisqyuz36qk.onion/4pnp5tr/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as FartPlz)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.