Rans0mLocked

Rans0mLocked Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,1 BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .owned 

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Your computer has been locked
Hello, your computer has been blocked to unblock it please follow the instructions -
- step 1 make you on https://www.coinbase.com/signup
- Sign up - buy (0.1 Bitcoins)
- Send the amount has shown bitcoin address
Click the button "How to use bitcoin?" to see a mote advanced guide.
Once the payment is done, click the button "Check"
button "Check"
button "How to use bitcoin?"

Перевод записки на русский язык:
Ваш компьютер заблокирован
Привет, ваш компьютер блокирован, для разблокировки, следуйте инструкциям -
- шаг 1 вам надо перейти на https://www.coinbase.com/signup
- Зарегистрироваться - купить (0.1 биткойна)
- Отправить сумму на указанный биткойн-адрес
Нажать кнопку "How to use bitcoin?" для подробного руководства.
После сделанного платежа, нажмите кнопку "Check"
кнопка "Check"
кнопка "How to use bitcoin?"

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
***
Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Rans0mLocked)
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer‏
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Clouded

Clouded Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Clouded.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .cloud

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется:

Содержание записки о выкупе:
All your documents have been encrypted by the Clouded ransomware!
Any new files will deleted, so do not try to download or move/copy files to this computer!
- How do I decrypt my files?
- In order to decrypt your files, you must pay atleast 0.1 BTC to the Bitcoin address
1FoRjcEbKfL949gKGE7Etk7sKPtYJq7QVy  and press "Check and Decrypt".
- What's Bitcoin?
- It's a cryptocurrency and an electronic payment system. More information at
https://en.wikipedia.org/wiki/Bitcoin
button [Check and Decrypt]
IMPORTANT: DO NOT turn off your computer while this screen is displayed or your files will be lost forever!

Перевод записки на русский язык:
Все ваши документы были зашифрованы Clouded ransomware!
Любые новые файлы будут удалены, поэтому не пытайтесь загружать или перемещать/копировать файлы на этот компьютер!
- Как я могу расшифровать свои файлы?
- Чтобы расшифровать ваши файлы, вы должны заплатить по меньшей мере 0.1 BTC на биткойн-адрес
1FoRjcEbKfL949gKGE7Etk7sKPtYJq7QVy 
и нажать "Check and Decrypt".
- Что такое Биткойн?
- Это криптовалюта и электронная платежная система. Больше информации на https://en.wikipedia.org/wiki/Bitcoin
кнопка [Check and Decrypt]
ВАЖНО: НЕ выключайте компьютер во время отображения этого экрана или ваши файлы будут потеряны навсегда!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
clouded.exe
doccompressed.exe


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Clouded)
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cry36

Cry36 Ransomware

X3M Ransomware: Next Variation

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RC4, а затем требует выкуп в # BTC, чтобы вернуть файлы. Название получил из-за новых особенностей. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: X3M > CryptON > X3M Next > Cry128 > Cry36

Этимология названия:
В отличие от предыдущих итераций у данного шифровальщика имеется особенность, выражающаяся в том, что зашифрованный файл на 36 байт больше, чем оригинал. Отсюда название. 

К зашифрованным файлам добавляется случайное расширение с пристройкой в виде ID+email, или ID+onion-сайт.

Примеры расширений без пристройки: 
.08c85
.4se9s
.47kv5
.5d4s9
.830s7
.a97rq
.b1m74
.be87r
.gpsdh
.l454t
.netn6
.r2vy6
.vs95l

Примеры зашифрованных файлов по шаблону .id-1234567890_[email_ransom].<random5>
SECRET.TXT.id-1234567890_[mk.baraka@aol.com].830s7
SECRET.TXT.id-1234567890_[mk.rain@aol.com].be87r
SECRET.TXT.id_1234567890_[mk.kabal@aol.com].gpsdh
SECRET.TXT.id_1234567890_[m.reptile@aol.com].47kv5
SECRET.TXT.id_1234567890_[yotabyte@protonmail.com].4se9s
SECRET.TXT.id_1234567890_[liukang@mortalkombat.su].08c85
SECRET.TXT.id_1234567890_[don-corleone@mortalkombat.su].vs95l

Примеры зашифрованных файлов по шаблону .id-1234567890_<URL_ransom>.onion*
SECRET.TXT.id_1234567890_fgb45ft3pqamyji7.onion
C360_1970-01-02-08-01-39-912.jpg.id_87654545_fgb45ft3pqamyji7.onion
SECRET.TXT.id_1234567890_gebdp3k7bolalnd4.onion._
SECRET.TXT.id_1234567890_2irbar3mjvbap6gt.onion.to._

* (звёздочка) здесь означает добавления после расширения onion

Шаблоны для Cry36 кратко можно записать так: 
.id_<ID_0-9{10}>_[email_ransom].<random5>
.id_<ID_0-9{10}>_[URL_onion]
.id_<ID_0-9{10}>_[URL_onion]._

Активность этого крипто-вымогателя пришлась на конец апреля, весь май, июнь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа были разные, они называются:
### DECRYPT MY FILES ###.txt
_DECRYPT_MY_FILES.txt
-DECRYPT-MY-FILES.txt

Содержание записки о выкупе ### DECRYPT MY FILES ###.txt
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software – «Nemesis decryptor»
You can find out the details / buy decryptor + key / ask questions by email: mk.rain@aol.com
Your personal ID: 123456789

Перевод записки на русский язык:
*** ВСЕ ВАШИ РАБОТЫ И ПЕРСОНАЛЬНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ ***
Для расшифровки ваших файлов вам нужно купить специальную программу - «Nemesis decryptor»
Вы можете узнать детали / купить декриптор + ключ / спросить по email: mk.rain@aol.com
Ваш личный ID: 123456789

Содержание записки о выкупе _DECRYPT_MY_FILES.txt
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software. To recover data, follow the instructions!
You can find out the details/ask questions in the chat:
xxxxs://fgb45ft3pqamyji7.onion.to (not need Tor)
xxxxs://fgb45ft3pqamyji7.onion.cab (not need Tor)
xxxxs://fgb45ft3pqamyji7.onion.nu (not need Tor)
You ID: 1234567890
If the resource is not available for a long time, install and use the Tor-browser:
1. Run your Internet-browser
2. Enter or copy the address xxxxs://www.torproject.org/download/download-easy.html in the address bar of your browser and press key ENTER
3. On the site will be offered to download the Tor-browser, download and install it. Run.
4. Connect with the button "Connect" (if you use the English version)
5. After connection, the usual Tor-browser window will open
6. Enter or copy the address xxxx://fgb45ft3pqamyji7.onion in the address bar of Tor-browser and press key ENTER
7. Wait for the site to load
If you have any problems installing or using, please visit the video tutorial xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q

Перевод записки на русский язык: 
*** ВСЕ ВАШИ РАБОТЫ И ПЕРСОНАЛЬНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ ***
Для расшифровки ваших файлов вам нужно купить специальную программу. Чтобы восстановить данные, следуйте инструкциям!
Вы можете узнать детали / задать вопросы в чате:
xxxxs://fgb45ft3pqamyji7.onion.to (не нужен Tor)
xxxxs://fgb45ft3pqamyji7.onion.cab (не нужен Tor)
xxxxs://fgb45ft3pqamyji7.onion.nu (не нужен Tor)
Ваш ID: 1234567890
Если ресурс недоступен долгое время, установите и используйте Tor-браузер:
1. Запустите свой интернет-браузер.
2. Введите или скопируйте адрес xxxxs://www.torproject.org/download/download-easy.html в адресную строку вашего браузера и нажмите клавишу ENTER
3. На сайте будет предложено загрузить Tor-браузер, загрузите и установите его. Запустите.
4. Подключитесь кнопкой "Connect" (если вы используете английскую версию)
5. После подключения откроется обычное окно Tor-браузера
6. Введите или скопируйте адрес xxxx://fgb45ft3pqamyji7.onion в адресную строку Tor-браузера и нажмите клавишу ENTER
7. Подождите, пока сайт загрузится.
Если у вас возникли проблемы с установкой или использованием, посетите видео-урок xxxxs://www.youtube.com/watch?v=gOgh3ABju6Q

На момент публикации сайты вымогателей не открывались. 

Распространяется путём взлом через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифруются все файлы, кроме находящихся в директориях (чтобы не затронуть работу и загрузку системы): Windows, Program Files и %UserProfile%

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
### DECRYPT MY FILES ###.txt
_DECRYPT_MY_FILES.txt
-DECRYPT-MY-FILES.txt
svchost.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Известные email вымогателей:
d.fedor2@aol.com
mk.baraka@aol.com
mk_rain@aol.com
mk.kabal@aol.com
mk.smoke@aol.com
mk.kunglao@aol.com
don-corleone@mortalkombat.su
liukang@mortalkombat.su
yotabyte@protonmail.com
m.reptile@aol.com
m.subzero@aol.com
и другие

Известные сайты вымогателей:
fgb45ft3pqamyji7.onion
gebdp3k7bolalnd4.onion
2irbar3mjvbap6gt.onion.to

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Файлы, зашифрованные Cry36, возможно, не будут расшифрованы дешифровщиком от Emsisoft, предназначенным для Cry128, т.к. ключ генерируется безопасным способом, который не может быть взломан.

Обновление от 5 июля 2017:
Расширение: .4x82n
Пример составного расширения: .id_2314357193_[pay@cyberdude.com].4x82n
Email: pay@cyberdude.com

Обновление от 14 июня 2018:
Пост на форуме >>
Расширение: .nem3end
Записка: #DECRYPT_MY_FILES#.txt
Email: karnel.fikol@aol.com
URL: xxxx://wolahedbune.com/lolo/index_shell.php
Файлы: lock.exe (lock.exe.bat)
Результаты анализов: VT + HA
➤ Содержание записки: 
 [ALL YOUR IMPORTANT FILES ARE ENCRYPTED] ***
Your documents, photos, databases and other important have been encrypted! 
To decrypt your files you need to buy the special software - «Nemesis decryptor».
To obtain decryptor, please contact me by email: karnel.fikol@aol.com
Your personal ID: 2219482***

Обновление от 8 февраля 2019:
Пост на форуме >>
Расширение: .nemesis
Записка: ### DECRYPT MY FILES ###.txt
Email: sanio.marino@aol.com
➤ Содержание записки: 
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software – «Nemesis decryptor»
You can find out the details / buy decryptor + key / ask questions by email: sanio.marino@aol.com
Your personal ID: 14790*****

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов некоторых вариантов есть дешифровщик
Скачать RakhniDecryptor для дешифровки >>
Если не помогло, пишите на partner.support@kaspersky.com
***
Attention!
For files, which encrypted with some variants Cry36, have a free RakhniDecryptor.
You can free download RakhniDecryptor to decrypt your files by the link >>
If the RakhniDecryptor did not help, write to email partner.support@kaspersky.com

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Cry36)
 Write-up, Topic of Support
 * 

 Thanks: 
 Fabian Wosar
 Michael Gillespie
 Andrew Ivanov
 KasperskyLab
 

© Amigo-A (Andrew Ivanov): All blog articles.

Haters

Haters Ransomware
CryptoCerber Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует ввести пароль, чтобы вернуть файлы. Оригинальное название: CryptoCerber.
Относится к группе вымогателей Stupid Ransomware. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .haters

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком Form2:

Содержание записки о выкупе:
Your Files Are Encrypted
button [Decrypted]

Перевод записки на русский язык:
Твои Файлы Зашифрованы
кнопка [Decrypted]

Ключ дешифрования:
masihmaubullyguaanjeng

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoCerber.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 8 мая 2017:
Пост в Твиттере >>
Название версии: FTSCoder
Самоназвание: Cerber3Ransomware
Файл: Cerber3Ransomware.exe
Расширение: .haters

Результаты анализов: VT

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic
 * 

 Thanks: 
 MarceloRivero
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PEC 2017

PEC 2017 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .pec

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на итальяноязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: AIUTO_COME_DECIFRARE_FILE.html

Содержание записки о выкупе:
PEC 2017
Informazioni su come decifrare i file
I tuoi file sono stati cifrati dal sistema PEC 2017 con crittografia AES 256.
PEC non è decifrabile da nessun software e da nessun antivirus.
Come recuperare i dati criptati
Unico modo per recuperare i dati danneggiati è acquistare il software di recupero PEC CLEANER.
Quando hai ottenuto il software potrai procedere al recupero ed il ripristino dei file danneggiati.
Con lo stesso software potrai decriptare tutti i file danneggiati anche quelli nei dischi esterni o di rete.
Avvertenze
Non utilizzare alcun software antivirus o di decrypt in quanto non solo non efficaci, ma potrebbero compromettere per sempre il recupero dei dati.
Con PEC Cleaner potrai recuperare tutti i tuoi dati perfettamente funzionanti e senza attese.
Come acquistare PEC CLEANER
contatta il produttore del software di decrypt per acquisto della licenza e download del programma:
pec.clean@protonmail com
La tua chiave di sblocco è
DD9D5A4143317432EFE883DBE50DA394FB5B78CBDD78C71E7E1EBD83236A9911449F1D55AF23
Il software verrà reso disponibile al download entro 24 ore dal pagamento e ti consentirà il ripristino immediato dei dati.

Перевод записки на русский язык:
PEC 2017
Информация о том, как расшифровать файлы
Ваши файлы зашифрованы системой PEC 2017 с AES-256 шифрованием.
PEC не расшифрует никакая антивирусная программа.
Как восстановить зашифрованные данные
Единственный способ восстановить поврежденные данные - это купить программу для восстановления PEC CLEANER.
Когда у вас будет программа, вы можете приступить к дешифрванию и восстановлению поврежденных файлов.
С этой программой вы сможете расшифровать все поврежденные файлы, хранящиеся на внешних или сетевых дисках.
Предупреждение
Не используйте антивирусы, они не только не смогут расшифровать, но поставят под угрозу когда-то вернуть данные.
С PEC CLEANER вы можете получить все ваши данные в отличном рабочем состоянии и без ожидания.
Как купить PEC CLEANER
Обратитесь к производителю программы для приобретения и загрузки программы расшифровки:
pec.clean@protonmail com
Ваш ключ разблокировки
DD9D5A4143317432EFE883DBE50DA394FB5B78CBDD78C71E7E1EBD83236A9911449F1D55AF23
Программа будет доступна для скачивания в течение 24 часов с момента оплаты и позволит вам мгновенно восстановить данные.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
AIUTO_COME_DECIFRARE_FILE.html
languageplugin.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PEC 2017)
 Write-up, Topic
 * 

 Thanks: 
 xXToffeeXx
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

vCrypt1

vCrypt Ransomware

vCrypt1 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью XOR (в записке RSA), а затем требует написать на email вымогателей, чтобы вернуть файлы. Оригинальное название vCrypt, версия 1 (точнее 1.0.0.17 и 1.0.0.20). В тексте записки указан как vCrypt1. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .vCrypt1

👉 Шифруется максимум 102400 байт. Для шифрования используется простой XOR с каждым байтом строки gnk98a^%IHKJOIY8348923ggROihIjoi

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется:
КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt

Содержание записки о выкупе:
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом-шифровальщиком vCrypt1!
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью криптоалгоритма RSA2048. Восстановить файлы можно только зная уникальный для вашего ПК пароль и имея соответствующий дешифратор.
Подобрать ключ невозможно. Смена операционной системы ничего не изменит. Ни один системный администратор не решит эту проблему, не зная ключа.
Ни в коем случае не изменяйте файлы, иначе расшифровать их будет невозможно даже нам!
Ваши действия должны быть следующими:
1. Сделайте резервную копию всех ваших файлов.
2. Напишите нам письмо на адрес fns-service@pochta.com, чтобы узнать как получить ключ и дешифратор.
К письму можете приложить любой файл с известным Вам содержимым, мы вышлем в ответ расшированную копию.
Это докажет, что мы действительно обладаем возможностью расшифровать Ваши файлы.
Среднее время ответа нашего специалиста 3-24 часов.
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ! Только МЫ можем расшифровать Ваши файлы!

Перевод записки на английский язык (Google translation):
If you are reading this message, then your computer was attacked by the most dangerous virus-encryptor vCrypt1!
All of your information (documents, databases, backups and other files) on this computer was encrypted using the RSA2048 cryptographic algorithm. You can recover files only knowing a unique password for your PC and having the appropriate decoder.
You can not find the key. Changing the operating system will not change anything. No system administrator will solve this problem without knowing the key.
Do not change the files at all, otherwise it will be impossible to decipher them even to us!
Your actions should be as follows:
1. Make a backup of all your files.
2. Write us a letter to fns-service@pochta.com to find out how to get the key and decoder.
To the letter you can attach any file with the content known to you, we will send an decrypted copy in response.
This will prove that we really have the ability to decrypt your files.
The average response time of our specialist is 3-24 hours.
Threatened letters will threaten only you and your files!
DO NOT FORGET! Only we can decrypt your files!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Примеры вредоносных вложений:
Интернет-обращение-лкип.zip
tblr4O83.zip

Список файловых расширений, подвергающихся шифрованию:

.ai, .cdr, .cdw, .doc, .docx, .dwg, .dxf, .jpg, .mdb, .mdf, .ods, .odt, .pdf, .ppt, .pptx, .psd, .rtf, .xls, .xlsx (19 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, файлы образов и пр.

Файлы, связанные с этим Ransomware:
КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt
vCrypt.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
fns-service@pochta.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ для 1.0.0.20 >>
VirusTotal анализ для 1.0.0.20 >>
VirusTotal анализ для 1.0.0.17 >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 10 мая 2017:
Пост в Твиттере >>
Версия: aCrypt v.1.1.0.31
Файлы: Счет-фактура.txt.exe и aCrypt.exe
Расширение: .aCrypt
Результаты анализов: VT

Обновление от 12 мая 2017:
Пост в Твиттере >>
Версия: bCrypt v.1.0.0.44
Файл: bCrypt.exe
Расширение: .bCrypt
Результаты анализов: VT

Обновление от 14 мая 2017:
Пост в Твиттере >>
Версия: xCrypt25 v.1.0.0.0
Файл: xCrypt.exe
Расширение: .xCrypt25
Целевые файлы: .doc, .jpg, .ppt, .xls
Результаты анализов: VT

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as vCrypt)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Alex Svirid
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.