Если вы не видите здесь изображений, то используйте VPN.

вторник, 6 июня 2017 г.

TheDarkEncryptor

TheDarkEncryptor Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: The Dark Encryptor. На файле написано: RansomWare. Разработчик: carlv
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .tdelf

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текстовая записка с требованием выкупа размещается на рабочем столе. 

Требования выкупа также содержит скринлок, встающий обоями рабочего стола. Содержит текст и изображение из эпатажного вымогателя Jigsaw. 

Содержание записки о выкупе:
THE DARK ENCRYPTOR
All your files have been encrypted by THE DARK ENCRYPTOR using a military grade encryption algorithm.
But dont worry ! You can get them backn you just need to pay 100 USD in bitcoin. For more informationst please read the text document placed on your Desktop.
Have a nice day !
WARNING: The price will rise to 350 USD if you don't pay in the next 5 days.

Перевод записки на русский язык:
THE DARK ENCRYPTOR
Все твои файлы были зашифрованы THE DARK ENCRYPTOR с алгоритмом шифрования военного класса.
Но не волнуйся! Ты можешь получить их обратно, тебе просто нужно заплатить 100 долларов в биткойнах. Для получения информации прочитай текстовый документ, размещенный на рабочем столе.
Хорошего дня !
ПРЕДУПРЕЖДЕНИЕ: цена возрастёт до 350 долларов, если ты не заплатишь в течение 5 дней.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RansomWare.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT+
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as TheDarkEncryptor)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 5 июня 2017 г.

$ucyLocker

$ucyLocker Ransomware

VapeHacksLoader Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: $ucyLocker. На файле написано Loader-Private и VapeHacksLoader.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> $ucyLocker (VapeHacksLoader)

К зашифрованным файлам добавляется расширение .WINDOWS

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Your files have been encrypted.
Read the Program for more information 
read program for more information.

Перевод записки на русский язык:
Ваши файлы были зашифрованы.
Читайте программу для дополнительной информации
Читайте программу для дополнительной информации.

Другим информатором жертвы выступает экран блокировки. 

Содержание текста из окон экрана блокировки: 
Your computer is locked. Please do not close this window as that will result in serious computer.
Click next for more information and payment on how to get your files back.
$ucyLocker
---
Your Files are locked. They are locked because you downloaded something with this file in it.
This is Ransomware. It locks your files until you pay for them. Before you ask, 
Yes we will give you your files back once you pay and our server confrim that you pay. 
---
I paid, Now give me back my files.
1MmpEmebJkqXG8nQv4ciJSmxZQFVmFo63M

Перевод текста на русский язык:
Ваш компьютер заблокирован. Не закрывайте это окно, т.к. это приведёт к серьезному компьютеру.
Нажмите Next для дополнительной информации и оплаты, как вернуть файлы.
$ucyLocker
---
Ваши файлы блокированы. Они блокированы, т.к. вы загрузили что-то с этим файлом в нем.
Это Ransomware. Он блокирует ваши файлы, пока вы не заплатите за них. Прежде чем спросить,
Да, мы дадим вам ваши файлы обратно, как только вы заплатите, а наш сервер поймет, что вы платите.
---
Я заплатил, теперь верните мне мои файлы.
1MmpEmebJkqXG8nQv4ciJSmxZQFVmFo63M

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.asp, .aspx, .bat, .csv, .doc, .docx, .html, .java, .jpg, .kys, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .URL, .xls, .xlsx, .xml (24 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, веб-файлы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
$ucyLocker.exe
VapeHacksLoader.exe
<random>.exe

Расположения:
%USERPROFILE%\Desktop\READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1MmpEmebJkqXG8nQv4ciJSmxZQFVmFo63M
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏
 Alex Svirid
 *
 *
 
Это 600-й пост в блоге!

© Amigo-A (Andrew Ivanov): All blog articles.

Ogre

Ogre Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 20€ в BTC, чтобы вернуть файлы. Оригинальное название: Ogre. На файле написано: OgreRSMWRE.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ogre

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Позиционирует себя как программа для теста. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ogre RansomWare
Your files have been encrypted.
The only way to recover them is to send 20€ in bitcoin to this adress.
(Programme test)
Note: Critical files have been encrypted.
If you stop your computer, there are high chance your computer will be unusable for ever.
Enter your bitcoin adress used to pay
button [Decrypt]
button [Check payment]

Перевод записки на русский язык:
Ogre RansomWare
Ваши файлы были зашифрованы.
Единственный способ вернуть их - отправить 20€ в биткоинах на этот адрес.
(Программа-тест)
Примечание. Критические файлы были зашифрованы.
Если вы остановите свой компьютер, есть вероятность, что ваш компьютер станет непригодным для использования.
Введите свой биткоин-адрес, с которого платили
Кнопка [Decrypt]
Кнопка [Check payment]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
OgreRSMWRE.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Mr.Locker

Mr.Locker Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель не шифрует данные пользователей, но требует выкуп в $250 в BTC, чтобы сохранить файлы, иначе грозит их удалить. Оригинальное название: Mr.Locker. На файле написано: Ransomware.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Mr.Locker builder > Mr.Locker

Образец этого вымогателя был найден в начале июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
YOUR FILES ARE AT RISK!!!
Ooops, you have just downloaded malware. What you were doing is unknown. Well your files are not encrypted, but they will be deleted if you do not pay $250 in bitcoin your files will be deleted.
- Thank you,
Mr. Locker
Send $250 of Bitcoin to the address
14QXxE461mZTyeCyiTMpwv14oZvCUJVnEt
You have 10 days...
Enjoy ;)

Перевод записки на русский язык:
ТВОИ ФАЙЛЫ В ОПАСНОСТИ !!!
Упс, ты только что загрузил вредонос. Ты сделал это по незнанию. Но твои файлы не зашифрованы, но они будут удалены, если ты не заплатишь $250 в биткоинах, твои файлы будут удалены.
- Спасибо,
Mr. Locker
Отпрать $250 в биткоинах по адресу
14QXxE461mZTyeCyiTMpwv14oZvCUJVnEt
У тебя есть 10 дней...
Наслаждайся ;)

Распространяется с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
файлы не шифруются.

Файлы, связанные с этим Ransomware:
VisualStudioProgramIMade.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название этого вымогателя.

воскресенье, 4 июня 2017 г.

Executioner

Executioner Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: Executioner. На файле написано: Shiva.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: EDA2 >> ExecutionerCryptoJoker 2017 > ExecutionerPlus > CryptoNar

К зашифрованным файлам добавляется случайное расширение .<random6>
👉 Примечательно, что у каждого файла своё случайное расширение!
Примеры таких расширений:
.3fulbm
.ndb5ns
.ynycjb

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на турецкоязычных пользователей, что не мешает распространять его по всему миру. Также имеется английский текст. 


Скриншоты и описание


Записка с требованием выкупа называется: Şifre_çöz_Talimat.html (т.е. Инструкция по расшифровке). 

Содержание записки о выкупе:
Executioner Ransomware!!
Oops All Of Your Files Are Safely Encrypted!!!"
Please Visit execut2bp3arv6er.onion.cab or execut2bp3arv6er.onion.rip To Learn How To Decrypt Your Files.
YOUR ID 6InmkFj5Is
Executioner Ransomware!!
---Tum Dosyalariniz Guvenle Sifrelenmistir!"
Lutfen execut2bp3arv6er.onion.cab veya execut2bp3arv6er.onion.rip ziyaret ederek dosyalarinizi kurtarmak icin 
TALIMATLARI OKUYUNUZ!!!
KIMLIK NUMARANIZ 6InmkFj5Is

Перевод записки на русский язык:
Executioner Ransomware!!
К сожалению, все ваши файлы безопасно зашифрованы!!! "
Пожалуйста, посетите execut2bp3arv6er.onion.cab или execut2bp3arv6er.onion.rip чтобы узнать, как дешифровать файлы.
ВАШ ID 6InmkFj5Is
Executioner Ransomware!!
К сожалению, все ваши файлы безопасно зашифрованы!!! "
Пожалуйста, посетите execut2bp3arv6er.onion.cab или execut2bp3arv6er.onion.rip чтобы узнать, как дешифровать файлы.
ПРОЧТИТЕ ИНСТРУКЦИЮ!!!
Ваш ID 6InmkFj5Is

+ Более полная версия записки предоставлена позже исследователями из BleepingComputer 16 мая 2017.

Содержание текста с более полной версии записки:
Oops all of your files Are safely Encrypted!!! "
Please Visit any links that given below to read the instructions and learn how to Decrypt Your Files!!
xxxxs://execut2bp3arv6er.onion.rip/
xxxxs://executcoe6vxnsw7.onion.rip/
xxxxs://execu4d2wasjip5x.onion.rip/
---
IF IT DOESN'T WORK TRY THIS!!
xxxxs://execut2bp3arv6er.onion.cab/
xxxxs://executcoe6vxnsw7.onion.cab/
xxxxs://execu4d2wasjip5x.onion.cab/
---
IF IT DOESN'T WORK AGAIN THEN TRY THIS!!
1. Download 'Tor Browser' from xxxxs://www.torproject.org/ and install it.!
2. OPEN ANY LINK THAT GIVEN BELOW!!!
execut2bp3arv6er.onion
executcoe6vxnsw7.onion
execu4d2wasjip5x.onion
---
YOUR COMPUTER ID
TEST
---
Tum Dosyalariniz Guvenle Sifrelenmistir! "
Lutfen asagida verilen linklerden birini ziyaret ederek dosyalarinizi kurtarmak icin TALIMATLARI OKUYUNUZ!!!
xxxxs://execut2bp3arv6er.onion.rip/
xxxxs://executcoe6vxnsw7.onion.rip/
xxxxs://execu4d2wasjip5x.onion.rip/
---
EGER CALISMAZ ISE ASAGIDA VERILEN LINKLERDEN BIRINE GIRINIZ!
xxxxs://execut2bp3arv6er.onion.cab/
xxxxs://executcoe6vxnsw7.onion.cab/
xxxxs://execu4d2wasjip5x.onion.cab/
---
EGER YUKARIDAKI VERILEN METHOD OLMADIYSA ASAGIDAKI METHODU DENEYINIZ!!!
1. 'Tor Browser'u xxxxs://www.torproject.org/ sitesinden indirip kurunuz !
2. ASAGIDA BULUNAN LINKLERDEN BIRTANESINE GIRINIZ!!!!
execut2bp3arv6er.onion
executcoe6vxnsw7.onion
execu4d2wasjip5x.onion
--- 
KIMLIK NUMARANIZ
TEST
---
EXECUTIONER RANSOMWARE

Другим информатором жертвы выступает изображение, загружаемое с хостинга изображений imgur.com

Содержание текста о выкупе:
LUTFEN BUNU OKUYUN!!
TUM DOSYALARINIZ EXECUTIONER RANSOMWARE TARAFINDAN SIFRELENMISTIR!!!
BILGISAYARINIZDAKI BELGELER, FOTOGRAFLAR, VERITABANLARI, VE DIGER ONEMLI TUM DOSYALAR SIFRELENMISTIR!!
SIFRELENMIS OLAN DOSYALARI GERI KURTARMAK ICIN LUTFEN TALIMATLARI OKUYUNUZ!!
NOT: VIRUSU BILGISYARINIZDAN KALDIRABILIRSINIZ FAKAT SIFRELENMIS OLAN DOSYALARINIZA GERI ERISIM SAGLIYAMAZSINIZ!!
DOSYA KURTARMA YAZILIMINI SATIN ALMA?
ASAGIDA BULUNAN BITCOIN HESABINA 150 DOLAR ($) DEGERINDE BITCOlN AKTARMANIZ GEREKMEKTE YATIRMA ISLEMINI YAPTIKTAN HEMEN
SONRA ASAGIDA VERILEN MAIL ADRESINE BITCOlN ADRESINIZI VE BULGISAYAR KIMLIK KODUNU YAZIP BIZE GONDERDIGINIZ VAKIT YATIRMA
ISLEMLERI KONTROL EDILIP SIZE SIFRE COZME YAZILIMI VE DECRYPT KODU GONDERILICEKTIR!!
Mail: executioner.ransom@protonmail.com
BITCOlN ADRESS: 164eQzsZUZCR9mfLWGdiqqGcUyQsYcX6vU
EXECUTIONER 
Detayli bilgi için masa üstün'de bulunan Şifre_çöz_Talimat.html açarak inceleyiniz

Перевод текста на русский язык:
ПРОЧТИТЕ ЭТО!!
Ваши файлы зашифрованы Executioner Ransomware!!!
На компьютере, документы, фотографии, базы данных и другие важные файлы зашифрованы!!
Пожалуйста, сохраните файл с инструкциями по расшифровке!!
Примечание: на вашем ПК нет вирусов, вы можете удалить шифрованные на файлы, но тогда вы их потеряете!!
Хотите приобрести программу для восстановления файлов?
Вы должны немедленно перевести 150 долларов в биткоинах на биткоин-адрес ниже.
Потом пришлите на email, приведенный ниже биткоин-адреса, ваш ID и время, когда вы послали биткоины.
После проверки платежа и ID вы получите программу декриптер, который дешифрует ваши файлы!!
Mail: executioner.ransom@protonmail.com
Биткоин-адрес: 164eQzsZUZCR9mfLWGdiqqGcUyQsYcX6vU
Прочтите на рабочем столе файл şifre_çöz_talimat.html для получения дополнительной информации.


Скриншоты сайта с выбором английской версии


Используется картинка из компьютерной игры MAFIA II. Видимо для устрашения пострадавших. 


Технические детали


После доработки может распространяется с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога

Executioner не используют C&C-сервер, зато посылает информацию о зараженных компьютерах с помощью email на подконтрольный ящик вымогателей. Отправляются собранные данные: имя компьютера, имя пользователя, IP-адрес, ключ дешифрования. Пересылка осуществляется от executioner.ransom@bk.ru до executioner.ransom@protonmail.com

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asp,.aspx, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt,.crw, .css, .csv, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .doc, .docm, .docx, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .html, .hvpl, .ibank, .icxs, .indd, .itdb,.itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl,.m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdb, .mdbackup, .mddata,.mdf, .mef, .menu, .mlx,.mov,.mp3, .mp4, .mpg, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pk7, .pkpass, .png, .png, .ppt, .ppt, .pptm, .pptx, .pptx, .psd, .psk, .pst, .ptx,.py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .snx, .sql, .sql, .sr2, .srf,.srw,.sum, .svg, .syncdb, .t12, .t13, .tax, .tor,.txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xls, .xlsb, .xlsm, .xlsx,  .xlsx, .xml, .xxx, .zip, .ztmp (209 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Шифрование пропускает файлы в директориях: 
Windows, Program Files и Program Files (x86)

Файлы, связанные с этим Ransomware:
Executioner.exe
Şifre_çöz_Talimat.html
f2lnJK9.jpg
<random>.exe

Расположения:
%ALLUSERSPROFILE%\Microsoft\Crypto\RSA\MachineKeys\Sifre_Coz_Talimat.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***execut2bp3arv6er.onion.cab
***execut2bp3arv6er.onion.rip
Email: 
executioner.ransom@bk.ru
executioner.ransom@protonmail.com
executioner.update@protonmail.com
BTC: 164eQzsZUZCR9mfLWGdiqqGcUyQsYcX6vUСм. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 Video review
 Thanks: 
 BleepingComputer, Michael Gillespie
 Alex Svirid
 GrujaRS
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 3 июня 2017 г.

Ramsey

Ramsey Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100 турецких лир в BTC, чтобы вернуть файлы. Оригинальное название: Ramsey. Фальш-имя: Firefox.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Jigsaw >> Ramsey 

К зашифрованным файлам добавляется расширение .ram

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на турецкоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с текстом на турецком языке. Используется фон из фильма "Матрица". Нижняя часть экрана на английском сообщает об удалении 1 файла через час и имеет жёлтую кнопку для сообщения о сделанном платеже. 

Содержание текста о выкупе:
Merhaba Bilgisayarınız'da ki bütün veriler
Resimler, videolar, dosyalar, işletim sistemine ait system dosyaları
ve daha birçok veriler Ramsey ransomvare tarafından 2048 bit RSA + 256 bit olarak
Sakın bilgisayara format atmaya kalkmayın aksi taktirde
Bilgisayar'ın bütün sistem dosyaları'na zarar verirsiniz
Bir daha ( Kesinlikle işletim sistemi kurulamaz bilgisayarınıza )
Şifreli dosyaları kurtarmanın ( Yalnızca tek bir yolu var..! )
Aşağı'da ki belirtilen Bitcoin adresine 100TL'lik bitcoin göndermeniz gerekmektedi
100TL'lik Bitcoin Âşağı'da ki bitcoin adresine gönderildikten sonra Sarı butona ba
şifreli bütün dosyaların şifrelerini kaldırabilirsiniz.
100TL'lik bitcoin'i btcturk.com üzerinden satın alıp gönderebilirsız.
Anlamadığınız birşey veya sormak istediğiniz bir soru olursa bana
( ramsey34.ramsey34@vfemail.net ) mail adresinden ulaşabilirsiniz..!
Mail'inize maximum 5 saat içinde cevap vericeğız...
Sizinle eğlenmek çok güzeldi. :) Teşekkürler. :) _
1B6f7prMW8FXuNB6qfeBMwQZf6oF2amdrG

Перевод текста на русский язык:
Привет, все данные на компьютере: фото, видео, файлы, системные файлы операционной системы и различные другие данные зашифрованы Ramsey Ransomvare c 2048 bit RSA + 256 bit. 
Не пытайтесь поставить компьютер на форматирование, в противном случае вы можете повредить всю файловую систему.
Еще один (не будет установлена операционная система на вашем компьютере). 
Зашифрованные файлы можно восстановить (есть только один способ!).
Ниже есть Bitcoin-адрес для отправки на указанных 100 турецких лир в биткоинах. 
После отправки 100 турецких лир на Bitcoin-адрес нажмите желтую кнопку...
Вы можете удалить все пароли с зашифрованных файлов.
Вы можете сделать обмен 100 турецких лир на биткоины через btcturk.com.
Если вы хотите что-то узнать или задать вопрос, который вы не понимаете, напишите мне (Ramsey34.ramsey34@vfemail.net) со своего email-адреса!
Мы ответим вам максимум через 5 часов ...
Было приятно общаться с вами. :) Спасибо. _ :)
1B6f7prMW8FXuNB6qfeBMwQZf6oF2amdrG

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ramsey_Ransomware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: btcturk.com
Email: ramsey34.ramsey34@vfemail.net
BTC: 1B6f7prMW8FXuNB6qfeBMwQZf6oF2amdrG
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Jigsaw)
 Write-up, Topic of Support
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *