UIWIX

UIWIX Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в ~0,122 BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Crypton > X3M, Nemesis > UIWIX

Родство подтверждено сервисом IntezerAnalyze >>

К зашифрованным файлам добавляется составное расширение по шаблону ._<id>.UIWIX

На момент исследования в ID входили 10 цифр. потому шаблон расширения можно записать как ._[10_digit_victim_id].UIWIX
Пример зашифрованного файла: image001.jpg._1441251728.UIWIX

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _DECODE_FILES.txt

Содержание записки о выкупе:
>>> ALL YOUR PERSONAL FILES ARE DECODED <<<
Your personal code: *****
To decrypt your files, you need to buy special software.
Do not attempt to decode or modify files, it may be broken.
To restore data, follow the instructions!
You can learn more at this site:
xxxxs://4ujngbdqqm6t2c53.onion.to
xxxxs://4ujngbdqqm6t2c53.onion.cab
xxxxs://4ujngbdqqm6t2c53.onion.nu
If a resource is unavailable for a long time to install and use the tor browser.
After you start the Tor browser you need to open this link xxxx://4ujngbdqqm6t2c53.onion

Перевод записки на русский язык:
>>> ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ДЕКОДИРОВАНЫ <<<
Ваш персональный код: *****
Для расшифровки ваших файлов вам надо приобрести специальную программу.
Не пытайтесь декодировать или модифицировать файлы, это может навредить.
Для восстановления данных следуйте инструкциям!
Вы можете узнать больше на этом сайте:
xxxxs://4ujngbdqqm6t2c53.onion.to
xxxxs://4ujngbdqqm6t2c53.onion.cab
xxxxs://4ujngbdqqm6t2c53.onion.nu
Если ресурс недоступен долгое время установите и используйте Tor-браузер.
После запуска Tor-браузера вам надо открыть эту ссылку xxxx://4ujngbdqqm6t2c53.onion

Tor-сайт вымогателей (до и после ввода данных)

Содержание текста с сайта:
To get the program to decrypt files You need to pay: 0.12261 BTC (~200$)
How to pay?
B bitcoin
1. You should click Here to find out how to sign up for a Bitcoin wallet.
2. Buying Bitcoin is getting simpler every day, See the below for ways to buy Bitcoin:
• coincafe.com - Recommended for fast, simple service.
Payment methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order
• btcdirect.eu - The best place for Europe
• other - Or any other convenient for you service
3. Send 0.12261 BTC to Bitcoin address: 17cykEkQpskcvCoPjP3C6PzCeWPRmnjHi2
4. Ensure your payment information and then Click 'Check Payment'
[Check Payment]

Рекомендации по предотвращению угрозы

Рекомендации по предотвращению угрозы аналогичным тем, что в статье о WanaCrypt0r 2.0 Ransomware.

Технические подробности

Распространяется с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов (использует EternalBlue SMB Exploit), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ UIWIX выполняется в памяти после использования эксплойта EternalBlue. При обнаружении виртуальной машины (Vmware, VirtualBox, Virtual PC и др.) или песочницы (Sunbelt Sandbox, Sandboxie, Cuckoo Sandbox) прекращает свое выполнение. Также прекращает работу, если IP компьютера принадлежит России, Беларуси или Казахстану. Имеет функционал сбора учетных данных из браузера, из FTP, email и мессенджеров.

➤ Для каждой жертвы указывается новый Bitcoin-кошелёк.

➤ Используется функционал утилиты RMS от TektonIT и утилита LiteManager для удаленного управления компьютерами. Подтверждено сервисом IntezerAnalyze (ссылка). 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_DECODE_FILES.txt
<random>.exe
mini-tor.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***07.super5566.com*** - C&C-сервер
***aa1.super5566.com*** - C&C-сервер
xxxxs://4ujngbdqqm6t2c53.onion.to
xxxxs://4ujngbdqqm6t2c53.onion.cab
xxxxs://4ujngbdqqm6t2c53.onion.nu
xxxx://4ujngbdqqm6t2c53.onion.to
xxxx://4ujngbdqqm6t2c53.onion.cab
xxxx://4ujngbdqqm6t2c53.onion
xxxxs://netcologne.dl.sourceforge.net/project/cyqlite/3.8.5/sqlite-dll-win32-x86-3080500.zip
xxxx://sqlite.org/2014/sqlite-dll-win32-x86-3080500.zip
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>

Степень распространённости: низкая или средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as UIWIX)
 Microsoft Security Bulletin MS17-010 - Critical

Added later:
Topic of support (add. May 10, 2017)
Write-up on TrendMicro (add. May 17, 2017)
Write-up on BC (add. May 18, 2017)
Video Review

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Gruxer

Gruxer Ransomware

(шифровальщик-вымогатель, гибрид-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $250 в биткоинах, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Gruxer

К зашифрованным файлам добавляется расширение .grux

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется:

Содержание текста о выкупе:
----- ATTENTION! DO NOT SHUT OFF YOUR COMPUTER -----
Your personal files have been encrypted by GruxEr ransomware
Your documents, photos, databases and other important files have been encrypted with the strongest encryption known to man. And is secured with a unique key, generated for this computer. The private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay to obtain your key.
You must pay $250 in Bitcoin to the bitcoin address below. If you do not have Bitcoin visit the site Localbitcoins and purchase $250 USD worth of bitcoin. Within 2 minutes of recieveing your payment, an automated bot will send your computer your personal decryption key.
You have 72 hours to submit the payment. If you do not send the money within the provided time, all your files will be permanently crypted and no one will ever be able to recover them.
[What is ransomware?]
□ I made the payment
[Decypt my files]

Перевод текста на русский язык:
----- ВНИМАНИЕ! НЕ ВЫКЛЮЧАЙТЕ ВАШ КОМПЬЮТЕР -----
Ваши личные файлы были зашифрованы GruxEr ransomware
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с самым сильным шифрованием, известным человеку. И защищен уникальным ключом, созданным для этого компьютера. Частный ключ дешифрования хранится на секретном интернет-сервере
и никто не сможет расшифровать ваши файлы, пока вы не заплатите за получение ключа.
Вы должны заплатить $250 в биткоинах на биткойн-адрес ниже. Если у вас нет биткоинов, посетите сайт Localbitcoins и купите биткоинов на сумму $250. В течение 2 минут после получения платежа бот автоматически отправит вашему компьютеру ваш личный ключ дешифрования.
У вас есть 72 часа, чтобы отправить платеж. Если вы не отправите деньги в течение этого времени, все ваши файлы будут зашифрованы навсегда, и никто не сможет их восстановить.
кнопка [What is ransomware?]
□ Я сделал платеж
кнопка [Decypt my files]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Состоит Gruxer из трёх частей: 
1) блокировщик экрана - Gruxer (собственно Gruxer), блокирует экран пользователя и демонстрирует свой с требованиями о выкупе;
2) шифровальщик - Tears (собственно HiddenTear), извлекается и запускается из загрузчика;
3) червь JPG-инфектор - Worm, ищет JPG-файлы и перезаписывает начало файла встроенным PNG-файлом.

Код встроенного шифровальщика HiddenTear

Содержание записки о выкупе из модуля шифрования:
Files has been encrypted with hidden tear
Send me some bitcoins or kebab
And I also hate night clubs, desserts, being drunk.

Перевод на русский язык:
Файлы были зашифрованы hidden tear
Пошлите мне немного биткоинов или кебаб
И еще я ненавижу ночные клубы, десерты, пьяниц.

Файлы, атакованные червём, в сравнении с оригинальными

PNG-изображение, используемое червём (кривизна надписи оригинальная)

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GRUXER.EXE
TEARS.EXE
WORM.EXE
READ_IT.txt

Расположения:
\Desktop\READ_IT.txt
\Temp\GRUXER.EXE
\Temp\TEARS.EXE
\Temp\WORM.EXE

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 11 мая 2017:

Пост в Твиттере >>
Файл: GruxEr.exe
Результаты анализов: VT 
<< Скриншот экрана 
*
*
*
*

Обновление от 14 мая 2017:
Файлы: GRUXER.EXE
HIDDEN-TEAR - COPY.EXE
Результаты анализов: VT 
<< Скриншот экрана

 Read to links: 
 Tweet on Twitter
 ID Ransomware  (n/a)
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BitKangoroo

BitKangoroo Ransomware

(шифровальщик-вымогатель, деструктор)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: BitKangoroo.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: родство подтверждено IntezerAnalyze

К зашифрованным файлам добавляется расширение .BitKangoroo

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки BitKangoroo:

Содержание записки о выкупе:
Your desktop file have been encrypted.
To unlock them, pay 1 BTC to the following address...
Every hour you wait to pay, I'll delete one of them.
Bitcoin address: 
18aRr8X8TEum1cLcCZLRZw7HJTdboSawTw
Time remaining: 40:13
Decryption key:
[Decrypt my files]
Once you have paid, send the following email adding your bitcoin address:
Click me to write the email!

Перевод записки на русский язык:
Файл на вашем рабочем столе зашифрован.
Для разблокировки оплатите 1 BTC на следующий адрес...
Каждый час в ожидании оплаты, я удалю один из них.
Биткоин-адрес:
18aRr8X8TEum1cLcCZLRZw7HJTdboSawTw
Осталось времени: 40:13
Ключ дешифрования:
[Расшифровать мои файлы]
После оплаты отправьте следующий email, добавив свой биткойн-адрес:
Нажмите, чтобы написать письмо!

Вымогатель отображает таймер с обратным отсчётом времени. При достижении 60 минут он удаляет один зашифрованный файл, сбрасывает таймер и снова отсчитывает 60 минут. 

При вводе ключа дешифровки выходит следующее предупреждение.

Содержание диалога:
Are you sure the decryption key is correct? You have ONE attempt to insert the key! If it isn't correct, all your files will be deleted!

Перевод на русский язык:
Вы уверены, что ключ дешифрования правильный? У вас есть ОДНА попытка ввода ключа! Если это не так, все ваши файлы будут удалены!

Предположительно, BitKangoroo находится в разработке и ещё не успел наследить. А как ещё объяснить его изуверские замашки: большая по сегодняшним меркам сумма выкупа в 1 BTC, таймер на удаление файлов и удаление всех зашифрованных файлов при вводе неправильного кода. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BitKangoroo.exe или bitkangoroo.exe
IEAgent.exe

Расположения:
%UserProfile%\AppData\Roaming\IEAgent.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bitkangoroo@mailinator.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать BitKangorooDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as BitKangoroo)
 Write-up, Topic
 * 

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Donation1

Donation1 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .donation1@protonmail.ch.12345

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RESTORE-12345-FILES.TXT

Содержание записки о выкупе:
WARNING
YOUR FILES ARE ENCRYPTED!
Your personal Indification key
*****
For get decryption tool write to donation1@protonmail.ch
In the mail attach your Indification key (look in begin of this document).
If you dont get answer in 2 hours or mail not working.
 * Register on site http://bitmsg.me (online message service to send Bitmessage)
 * Write on Bitmessage adress BM-NC3HHaoR9KTpHFGfKZhzqcVakdNpZozo with your email and Indification key.
In answer you will get restoration cost and Bitcoin wallet adress 
You will need send demanded donation on given btc wallet.
You may send few small files for test decryption before payment.
Soon after your payment (usualy 10-30 min) you will get decryption software and restore your files.
If you dont have Bitcoins
 * Create Bitcoin wallet: https://blockchain.info/ru/wallet/new
 * Buy Bitcoin:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet, etc.)
   https://totalbitcoin.org/guide-on-how-to-buy-bitcoin/
Important note!
 * Contact us soon as you can so we can save your contacts (our email can be blocked).
 * Restore files without our help is useless If you dont have full backups of data.
 * Decryption software unique generated for each client.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
WARNING

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный ключ Indification 
*****
Для получения инструмента дешифрования пишите на donation1@protonmail.ch
В письме приложите свой ключ Indification (смотрите в начале документа).
Если вы не получите ответ через 2 часа или почта не работает.
 * Зарегистрируйтесь на сайте http://bitmsg.me (онлайн-сервис для отправки Bitmessage)
 * Напишите на Bitmessage-адрес BM-NC3HHaoR9KTpHFGfKZhzqcVakdNpZozo ваш email и ключ Indification.
В ответ вы получите стоимость восстановления и адрес биткоин-кошелька
Вам понадобится отправить требуемое пожертвование на данный кошелек btc.
Вы можете отправить несколько небольших файлов для тест-дешифровки до оплаты.
Вскоре после вашего платежа (обычно 10-30 минут) вы получите программу для дешифрования и восстановите свои файлы.
Если у вас нет биткоинов
 * Создайте биткоин-кошелек: https://blockchain.info/ru/wallet/new
 * Купите биткоины:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и т.д.)
   https://totalbitcoin.org/guide-on-how-to-buy-bitcoin/
Важная заметка!
 * Свяжитесь с нами как можно скорее, чтобы мы могли сохранить ваши контакты (наш email может быть заблокирован).
 * Восстановление файлов без нашей помощи бесполезно. Если у вас нет полных резервных копий данных.
 * Программа для дешифрования создаётся для каждого клиента.
 * Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавят плату за нас), или вы можете стать жертвой мошенничества.
ПРЕДУПРЕЖДЕНИЕ

👉 В тексте вымогателей содержится ошибка:
слово Indification вместо Identification.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RESTORE-12345-FILES.TXT
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: donation1@protonmail.ch
BM-NC3HHaoR9KTpHFGfKZhzqcVakdNpZozo
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Crypto-Blocker

Crypto-Blocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует заплатить выкуп в 10 долларов или 10 евро за 5 часов, чтобы вернуть файлы. Оригинальное название: Crypto-Blocker.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .corrupted

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
CRYPTO-BLOCKER ENCRYPT YOUR FILES !
Hello, User_name
This is the hacker company, we encrypt all your personal files (OS, Documents, Images,...)
This program is actually a ransomware, you've been hacked !
If you want to keep your PC alive, please pay 10 (dollars, euros, pounds, you choose the money type)
After paying, get your decryption key, this virus close by itself.
If you didnt pay after 5 hours then... your PC will crash or maybe unusable.
YOU HAVE 5 HOURS !
Type code here:
button [Pay]

Перевод текста на русский язык:
CRYPTO-BLOCKER ЗАШИФРОВАЛ ВАШИ ФАЙЛЫ!
Привет, User_name.
Это хакерская компания, мы шифруем все ваши личные файлы (ОС, документы, изображения, ...)
Эта программа на самом деле является вымогателем, вы взломаны!
Если хотите сохранить свой компьютер в живых, заплатите 10 (доллары, евро, фунты, вы выбираете тип денег)
После оплаты получите ключ расшифровки, этот вирус закроется сам.
Если вы не заплатите через 5 часов, то... ваш компьютер выйдет из строя или будет непригодным для использования.
У ВАС ЕСТЬ 5 ЧАСОВ!
Введите код:
кнопка [Pay]

Нет никаких контактов для связи, не указан сайт для оплаты. Куда платить, кому платить — не указано. Находится в разработке или не доделан. 


Используйте код 01001, чтобы разблокировать компьютер и расшифровать файлы, или используйте Stupid Decrypter. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crypto-Blocker.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic
 * 

 Thanks: 
 S!Ri
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ThunderCrypt

ThunderCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 0.345 BTC, чтобы вернуть файлы. Сумма может отличаться. Оригинальное название: ThunderCrypt. 

© Генеалогия: ThunderCrypt >> SZ40, Lorenz

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент публикации вредонос использовался на тайваньских форумах для атаки на пользователей. 

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
Good afternoon!
We have encrypted all your personal files!
To see the list of encrypted files click here.
We did this using hybrid RSA-2048 public key encryption. It basically means there is no way to decrypt your files without the private key. The private key is stored on our server.
Indeed, we can recover your files. You just have to pay us before the deadline (see the countdown). If you don't the private key will be securely erased from our server and you will lose encrypted files forever.
Transfer required amount (see on the left) to the Bitcoin address below, which was generated just for your payment. If you don't know how to use Bitcoin or where to buy Bitcoins, click here. As soon as the transaction gets confirmed, the decryption will start automatically. It usually takes about 30 minutes for a transaction to become confirmed. You will be notified about any progress.
1HFY12o56xbHer3oeNxC99A7SGyXaR64hs    [Copy]
WARNING. Antivirus software may remove this program, but it can't decrypt your files. So, better temporarily disable your antivirus, because we can't decrypt your files if this program is damaged. Also, do not modify any of the encrypted files, otherwise even we won't be able to recover them.
If you have any questions or if you encounter any problems with payment, feel free to contact us.
Also we can decrypt one file up to 3 MiB for free as a proof that decryption is possible.

Перевод записки на русский язык:
Добрый день!
Мы зашифровали все ваши личные файлы!
Чтобы увидеть список зашифрованных файлов, нажмите здесь.
Мы сделали это, используя шифрование с открытым ключом RSA-2048. Это значит, что нет способа расшифровать ваши файлы без закрытого ключа. Закрытый ключ хранится на нашем сервере.
Да, мы можем восстановить ваши файлы. Вы просто должны заплатить нам до окончания срока (см. Обратный отсчет). Если вы этого не сделаете, секретный ключ будет удален с нашего сервера, и вы потеряете зашифрованные файлы навсегда.
Переведите требуемую сумму (см. Слева) на Биткойн-адрес ниже, созданный только для вашего платежа. Если не знаете, как использовать биткойн или где купить биткойны, нажмите здесь. Как только транзакция будет подтверждена, дешифрование начнется автоматически. Обычно для подтверждения транзакции требуется около 30 минут. Вы будете уведомлены об этом прогрессе.
1HFY12o56xbHer3oeNxC99A7SGyXaR64hs   [Копировать]
ПРЕДУПРЕЖДЕНИЕ. Антивирусы могут удалить эту программу, но это не может дешифровать ваши файлы. Поэтому лучше временно отключить антивирус, потому что мы не сможем дешифровать ваши файлы, если эта программа будет повреждена. Кроме того, не изменяйте зашифрованные файлы, иначе даже мы не сможем их восстановить.
Если у вас есть какие-то вопросы или возникли проблемы с оплатой, напишите нам.
Также мы можем бесплатно дешифровать один файл до 3 МБ как доказательство того, что дешифровка возможна.

Технические детали

Распространяется как обновление для Adobe Flash Player на тайваньских форумах. Также может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, других фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
eyny.exe - исполняемый файл вымогателя. 

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 megakotaro, Michael Gillespie 
 Andrew Ivanov (article author) 
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.