Cryptoviki

CryptoViki Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .viki

Примеры зашифрованных файлов

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на русскоязычных и англоязычных пользователей, что помогает распространять его по всему миру.

Записка с требованием выкупа называется: readme.txt

Содержание записки о выкупе:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо написать письмо 
на электронный адрес cryptoviki@gmail.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потере информации.
Если вы всё же хотите попытаться, то предварительно сделайте резервные копии файлов, иначе в случае их изменения расшифровка станет невозможной ни при каких условиях. 

Your files have been encrypted.
To decrypt them, You need to write a letter
to the email address cryptoviki@gmail.com .
Next, you will receive all necessary instructions.
Attempts to decipher alone will not lead to anything other than irretrievable loss of information.
If you still want to try, make a backup of the files, or in the case they change the decryption will be impossible under any circumstances.

Перевод записки на русский язык:
см. выше.

Изображение на обоях рабочего стола

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme.txt
wallpaper.jpg
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoViki)
 Write-up, Topic
 * 

 Thanks: 
 Marcelo Rivero
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Jaff

Jaff Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA и AES-256 (CBC-режим), а затем требует выкуп в ~1.82-2.036 BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Jaff. Начало.

К зашифрованным файлам добавляется расширение .jaff

Позже стали добавляться расширения:
.wlu - от 22 мая
.sVn - от 7 июня

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
ReadMe.txt
ReadMe.html
ReadMe.bmp

Содержание записки о выкупе:
jaff decryptor system
Files are encrypted!
To decrypt flies you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet
You must install Tor Browser: https://www.torproject.org/download/download-easy.html.en
After instalation, run the Tor Browser and enter address: http://rktazuzi7hbln7sy.onion/ 
Follow the instruction on the web-site.
Your decrypt ID: 00335*****

Перевод записки на русский язык:
jaff decryptor system
Файлы зашифрованы!
Для расшифровки файлов вам нужно получить закрытый ключ.
Только одна копия закрытого ключа, которая позволит вам дешифровать ваши файлы, находится на секретном сервере в Интернете
Вы должны установить Tor-браузер: https://www.torproject.org/download/download-easy.html.en
После установки запустите Tor-браузер и введите адрес: http://rktazuzi7hbln7sy.onion/
Следуйте инструкциям на веб-сайте.
Ваш ID дешифровки: 00335 *****

Страницы с Tor-сайта:

 Скриншоты страниц до ввода ID и после

Разработчики Jaff Ransomware позаимствовали макет требований о выкупе и HTML-записку для Tor-сайта у Locky Ransomware (в одной из последних итераций).

Распространяется с помощью email-спама и вредоносных вложений (Word-документ с макросами, PDF и пр.), ботнета Necurs, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Документ Word, требующий включить отображение содержимого - "Enable Content".

Вредоносные вложения могут иметь формат:

Copy_[Random Numbers]

Document_[Random Numbers]

Scan_[Random Numbers]

File_[Random Numbers]

PDF_[Random Numbers]

✋ Если пользователь по незнанию или по неосторожности разрешит включить макросы в документе, то макрос загрузит копию шифровальщика-вымогателя и запустит её на выполнение. 

Список файловых расширений, подвергающихся шифрованию:
.001, .002, .003., .004, .005, .006, .007, .008, .009, .010, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .7z, .7ZIP, .aac, .ab4, .accdb, .accde, .accdt, .acd, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aif, .aiff, .ait, .al, .aoi, .apj, .arw, .as4 .asf, .asm, .asp., .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cad, .cbr, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .deb, .der, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dsr, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erd, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fif, .fla, .flac, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .htm, .html, .ibank, .ibd, .ibz, .ico, .ics, .idf, .idx, .iff, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lit, .log, .lua, .m, .m2ts, .m3u, .m4a, .m4p, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mdi, .mef, .mfw, .mid, .mix, .mkv, .mlb, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpd, .MPEG, .mpg, .mrw.des, .msg, .nd, .ndd, .ndf, .nef, .nk, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obd, .obj, .obt, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .ord, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .p12, .p7b, .p7c, .pab, .pages, .par, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .prn, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .py, .qba, .qbb, .qbm, .qbr.myd, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rpm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdf, .sitx, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .swm, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.gz, .tex, .tga, .thm, .tib, .tlg, .txt, .vbox, .vcf, .vdi, .veg, .vhd, .vhdx, .vib, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsc, .vsd, .wab, .wad, .wallet, .wav, .waw, .wb2, .wbk, .wda, .wma, .wmv, .wp, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm,.xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xmod, .ycbcra, .zip, .zipx, .zpf (421 расширение). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и пр.

Jaff Ransomware может шифровать файлы без подключения к Интернету, благодаря специальной схеме шифрования, но он всё-таки подключается к серверу fkksjobnn43.org, чтобы сообщить, что новая жертва шифруется, отправляя слово "Created". 

👮 Операторы Jaff Ransomware и подпольная торговая площадка PaySell используют один и тот же сервер c IP-адресом 5.101.66.85 (принадлежит хостинг-провайдеру из Санкт-Петербурга). Площадка PaySell предлагает платный доступ к взломанным банковским учетным записям, аккаунтам PayPal, eBay и интернет-магазинов, продаёт персональную информацию пользователей, такой как номера социального страхования, формы W-2 (документ, в котором содержится полная информация о зарплате и уплаченных налогах) и т.д. Кроме того, в отдельном разделе сайта даже предлагается доступ к взломанным компьютерам (только на базе Windows).

Файлы, связанные с этим Ransomware:
ReadMe.txt
ReadMe.html
ReadMe.bmp
WallpapeR.bmp
Rcfcngzxx.exe
pitupi20.exe
<random>.exe
jaffdecryptor.exe
nm.pdf


Расположения:
C:\ProgramData\Rondo\
C:\ProgramData\Rondo\backup.om\
C:\ProgramData\Rondo\WallpapeR.bmp\

Записи реестра, связанные с этим Ransomware:
HKCU\Control Panel\Desktop\Wallpaper   "C:\ProgramData\Rondo\WallpapeR.bmp"
См. ниже результаты анализов.

Сетевые подключения и связи:
fkksjobnn43.org/a5/ (47.91.107.213:80) - C&C-сервер
xxxx://rktazuzi7hbln7sy.onion/
***datadunyasi.com\\jhg6fgh***
***brotexxshferrogd.net\\af\\jhg6fgh***
***herrossoidffr6644qa.topWafWjhg6fgh***
***f1tohl.com\\jhg6fgh***
xxxx://paysell.info***
xxxx://paysell.net***
xxxx://paysell.me***
xxxx://paysell.bz***
xxxx://paysell.org***
xxxx://paysell.ws***
***paysellzh4l5lso7.onion***
xxxx://5.101.66.85
См. также результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 22 мая 2017:
Записки: README_TO_DECRYPT.txt, README_TO_DECRYPT.html и README_TO_DECRYPT.bmp
Расширение: .wlu
Email-вложения: DOCM, PDF
URL: maximusstafastoriesticks.info/a5/
xxxx://rktazuzi7hbln7sy.onion/
Файл: levinsky8.exe
Сумма выкупа: ~0.36 BTC
Список типов файлов, подвергающихся шифрованию:

.001, .002, .004, .005, .006, .007, .008, .009, .010, .1cd, .3dm, .3ds, .3fr, .3g2, .3pr, .7ZIP, .aac, .ab4, .accdb, .accde, .accdt, .acd, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .aif, .aiff, .ait, .aoi, .apj, .arw, .as4, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .cad, .cbr, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .csh, .csl, .css, .csv, .dac, .dat, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .deb, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dsr, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erd, .exf, .fdb, .ffd, .fff, .fhd, .fif, .fla, .flac, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .gz, .hbk, .hdd, .hdr, .hpp, .htm, .html, .ibank, .ibd, .ibz, .ico, .ics, .idf, .idx, .iff, .iif, .iiq, .incpas, .indd, .iso, .java, .jnt, .jpe, .jpeg, .jpg, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lit, .log, .lua, .m2ts, .m3u, .m4a, .m4p, .m4v, .mapimail, .max, .mbx, .mdb, .mdc, .mdf, .mdi, .mef, .mfw, .mid, .mix, .mkv, .mlb, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpd, .MPEG, .mpg, .msg, .myd, .ndd, .ndf, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obd, .obj, .obt, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .ord, .ost, .otg, .oth, .otp, .ots, .ott, .ova, .p12, .p7b, .p7c, .pab, .pages, .par, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .prn, .psafe3, .psd, .pspimage, .pst, .ptx, .pub, .pwm, .qba, .qbb, .qbm, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rpm, .rtf, .rvt, .rw2, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdf, .sitx, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .swm, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .thm, .tib, .tif, .tlg, .txt, .vbox, .vcf, .vdi, .veg, .vhd, .vhdx, .vib, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vsc, .vsd, .wab, .wad, .wallet, .wav, .waw, .wb2, .wbk, .wda, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xmod, .ycbcra, .zip, .zipx, .zpf (404 расширения).

Видеообзор >>
Скриншоты записок и сайта вымогателей

 

Обновление от 7 июня 2017:
Пост в Твиттере >>
Расширение: .sVn
Сумма выкупа: ~0.54 BTC
Файлы: SKM_C224e9930.exe и другие.
URL: rktazuzi7hbln7sy.tor2web.cf
Записки: !!!!README_FOR_SAVE FILES.txt
!!!SAVE YOUR FILES.bmp

 

Содержание записки: 
Your decrypt ID: *****
Files are encrypted!
To decrypt flies you need to obtain the private key.
The only copy of the private key, which will allow you to decrypt your 
files, is located on a secret server in the Internet.
Use this Link: http://rktazuzi7hbln7sy.tor2web.cf
If the link does not work:
1. You must install Tor Browser:
https://www.torproject.org/download/download-easy.html.en
2. After instalation, run the Tor Browser and enter address:
http://rktazuzi7hbln7sy. oni on/
Follow the instruction on the website.
Your decrypt ID: *****
Видеообзор от GrujaRS >>

Внимание!
Для зашифрованных файлов есть декриптор от ЛК
Скачать RakhniDecryptor для дешифровки >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Jaff)
 Video review + video review
 Write-up, Write-up, Topic

Added later:
Write-up on BC (add. May 24, 2017)
Write-up by Fortinet (add. January 31, 2019)
*

 Thanks: 
 Karsten Hahn, MalwareHunterTeam
 Michael Gillespie
 GrujaRS
 Sarah
 

© Amigo-A (Andrew Ivanov): All blog articles.

BlockFile12

BlockFile12 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .block_file12, но не в одиночку, а по шаблону:
 xxxxx.!===contact_mail===itankan12@gmail.com===.block_file12

Например, шифровальщик шифрует даже свою записку о выкупе:
HOW TO DECRYPT FILES.txt!===contact_mail===itankan12@gmail.com===.block_file12

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
njRAT 0.6.4
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: itankan12@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BlockFile12)
 Write-up, Topic
 Write-up about njRAT 0.6.4 

 Thanks: 
 Michael Gillespie 
 woji (victim in the topic of support)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

UIWIX

UIWIX Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в ~0,122 BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Crypton > X3M, Nemesis > UIWIX

Родство подтверждено сервисом IntezerAnalyze >>

К зашифрованным файлам добавляется составное расширение по шаблону ._<id>.UIWIX

На момент исследования в ID входили 10 цифр. потому шаблон расширения можно записать как ._[10_digit_victim_id].UIWIX
Пример зашифрованного файла: image001.jpg._1441251728.UIWIX

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _DECODE_FILES.txt

Содержание записки о выкупе:
>>> ALL YOUR PERSONAL FILES ARE DECODED <<<
Your personal code: *****
To decrypt your files, you need to buy special software.
Do not attempt to decode or modify files, it may be broken.
To restore data, follow the instructions!
You can learn more at this site:
xxxxs://4ujngbdqqm6t2c53.onion.to
xxxxs://4ujngbdqqm6t2c53.onion.cab
xxxxs://4ujngbdqqm6t2c53.onion.nu
If a resource is unavailable for a long time to install and use the tor browser.
After you start the Tor browser you need to open this link xxxx://4ujngbdqqm6t2c53.onion

Перевод записки на русский язык:
>>> ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ДЕКОДИРОВАНЫ <<<
Ваш персональный код: *****
Для расшифровки ваших файлов вам надо приобрести специальную программу.
Не пытайтесь декодировать или модифицировать файлы, это может навредить.
Для восстановления данных следуйте инструкциям!
Вы можете узнать больше на этом сайте:
xxxxs://4ujngbdqqm6t2c53.onion.to
xxxxs://4ujngbdqqm6t2c53.onion.cab
xxxxs://4ujngbdqqm6t2c53.onion.nu
Если ресурс недоступен долгое время установите и используйте Tor-браузер.
После запуска Tor-браузера вам надо открыть эту ссылку xxxx://4ujngbdqqm6t2c53.onion

Tor-сайт вымогателей (до и после ввода данных)

Содержание текста с сайта:
To get the program to decrypt files You need to pay: 0.12261 BTC (~200$)
How to pay?
B bitcoin
1. You should click Here to find out how to sign up for a Bitcoin wallet.
2. Buying Bitcoin is getting simpler every day, See the below for ways to buy Bitcoin:
• coincafe.com - Recommended for fast, simple service.
Payment methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order
• btcdirect.eu - The best place for Europe
• other - Or any other convenient for you service
3. Send 0.12261 BTC to Bitcoin address: 17cykEkQpskcvCoPjP3C6PzCeWPRmnjHi2
4. Ensure your payment information and then Click 'Check Payment'
[Check Payment]

Рекомендации по предотвращению угрозы

Рекомендации по предотвращению угрозы аналогичным тем, что в статье о WanaCrypt0r 2.0 Ransomware.

Технические подробности

Распространяется с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов (использует EternalBlue SMB Exploit), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ UIWIX выполняется в памяти после использования эксплойта EternalBlue. При обнаружении виртуальной машины (Vmware, VirtualBox, Virtual PC и др.) или песочницы (Sunbelt Sandbox, Sandboxie, Cuckoo Sandbox) прекращает свое выполнение. Также прекращает работу, если IP компьютера принадлежит России, Беларуси или Казахстану. Имеет функционал сбора учетных данных из браузера, из FTP, email и мессенджеров.

➤ Для каждой жертвы указывается новый Bitcoin-кошелёк.

➤ Используется функционал утилиты RMS от TektonIT и утилита LiteManager для удаленного управления компьютерами. Подтверждено сервисом IntezerAnalyze (ссылка). 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_DECODE_FILES.txt
<random>.exe
mini-tor.dll

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***07.super5566.com*** - C&C-сервер
***aa1.super5566.com*** - C&C-сервер
xxxxs://4ujngbdqqm6t2c53.onion.to
xxxxs://4ujngbdqqm6t2c53.onion.cab
xxxxs://4ujngbdqqm6t2c53.onion.nu
xxxx://4ujngbdqqm6t2c53.onion.to
xxxx://4ujngbdqqm6t2c53.onion.cab
xxxx://4ujngbdqqm6t2c53.onion
xxxxs://netcologne.dl.sourceforge.net/project/cyqlite/3.8.5/sqlite-dll-win32-x86-3080500.zip
xxxx://sqlite.org/2014/sqlite-dll-win32-x86-3080500.zip
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>

Степень распространённости: низкая или средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as UIWIX)
 Microsoft Security Bulletin MS17-010 - Critical

Added later:
Topic of support (add. May 10, 2017)
Write-up on TrendMicro (add. May 17, 2017)
Write-up on BC (add. May 18, 2017)
Video Review

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Gruxer

Gruxer Ransomware

(шифровальщик-вымогатель, гибрид-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $250 в биткоинах, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Gruxer

К зашифрованным файлам добавляется расширение .grux

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется:

Содержание текста о выкупе:
----- ATTENTION! DO NOT SHUT OFF YOUR COMPUTER -----
Your personal files have been encrypted by GruxEr ransomware
Your documents, photos, databases and other important files have been encrypted with the strongest encryption known to man. And is secured with a unique key, generated for this computer. The private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay to obtain your key.
You must pay $250 in Bitcoin to the bitcoin address below. If you do not have Bitcoin visit the site Localbitcoins and purchase $250 USD worth of bitcoin. Within 2 minutes of recieveing your payment, an automated bot will send your computer your personal decryption key.
You have 72 hours to submit the payment. If you do not send the money within the provided time, all your files will be permanently crypted and no one will ever be able to recover them.
[What is ransomware?]
□ I made the payment
[Decypt my files]

Перевод текста на русский язык:
----- ВНИМАНИЕ! НЕ ВЫКЛЮЧАЙТЕ ВАШ КОМПЬЮТЕР -----
Ваши личные файлы были зашифрованы GruxEr ransomware
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с самым сильным шифрованием, известным человеку. И защищен уникальным ключом, созданным для этого компьютера. Частный ключ дешифрования хранится на секретном интернет-сервере
и никто не сможет расшифровать ваши файлы, пока вы не заплатите за получение ключа.
Вы должны заплатить $250 в биткоинах на биткойн-адрес ниже. Если у вас нет биткоинов, посетите сайт Localbitcoins и купите биткоинов на сумму $250. В течение 2 минут после получения платежа бот автоматически отправит вашему компьютеру ваш личный ключ дешифрования.
У вас есть 72 часа, чтобы отправить платеж. Если вы не отправите деньги в течение этого времени, все ваши файлы будут зашифрованы навсегда, и никто не сможет их восстановить.
кнопка [What is ransomware?]
□ Я сделал платеж
кнопка [Decypt my files]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Состоит Gruxer из трёх частей: 
1) блокировщик экрана - Gruxer (собственно Gruxer), блокирует экран пользователя и демонстрирует свой с требованиями о выкупе;
2) шифровальщик - Tears (собственно HiddenTear), извлекается и запускается из загрузчика;
3) червь JPG-инфектор - Worm, ищет JPG-файлы и перезаписывает начало файла встроенным PNG-файлом.

Код встроенного шифровальщика HiddenTear

Содержание записки о выкупе из модуля шифрования:
Files has been encrypted with hidden tear
Send me some bitcoins or kebab
And I also hate night clubs, desserts, being drunk.

Перевод на русский язык:
Файлы были зашифрованы hidden tear
Пошлите мне немного биткоинов или кебаб
И еще я ненавижу ночные клубы, десерты, пьяниц.

Файлы, атакованные червём, в сравнении с оригинальными

PNG-изображение, используемое червём (кривизна надписи оригинальная)

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GRUXER.EXE
TEARS.EXE
WORM.EXE
READ_IT.txt

Расположения:
\Desktop\READ_IT.txt
\Temp\GRUXER.EXE
\Temp\TEARS.EXE
\Temp\WORM.EXE

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 11 мая 2017:

Пост в Твиттере >>
Файл: GruxEr.exe
Результаты анализов: VT 
<< Скриншот экрана 
*
*
*
*

Обновление от 14 мая 2017:
Файлы: GRUXER.EXE
HIDDEN-TEAR - COPY.EXE
Результаты анализов: VT 
<< Скриншот экрана

 Read to links: 
 Tweet on Twitter
 ID Ransomware  (n/a)
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.