Spectre

Spectre Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200, чтобы вернуть файлы. Оригинальное название. На файле написано: systemlog.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение .spectre
Файлы переименовываются с использованием Base64.

Образец этого крипто-вымогателя был найден в начале июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HowToDecryptIMPORTANT!.txt

Содержание записки о выкупе:
IMPORTANT INFORMATION!
All your files are encrypted by encryption algorithm AES-256, you can't decrypt your files without a key.
If you want to decrypt your files you should pay 200$.
To decrypt your files go to xxxx://a0142503.xspn.ru/login.php 
your ID: ***

Перевод записки на русский язык:
ВАЖНАЯ ИНФОРМАЦИЯ!
Все ваши файлы зашифрованы алгоритмом AES-256, вы не сможете расшифровывать файлы без ключа.
Если хотите расшифровать файлы, вы должны заплатить 200$.
Для расшифровки файлов, идите на xxxx://a0142503.xspn.ru/login.php 
ваш ID: ***

Скриншот указанного выше сайта до ввода ID

Скриншот того же сайта с сообщением

Другие страницы сайта

Пока находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Теневые копии файлов удаляются. Контактирует с удаленным C2-сервером. После шифрования на удалённый сервер отправляется информация о количестве зашифрованных файлов. 

Список файловых расширений, подвергающихся шифрованию:

.avi, .bmp, .doc, .docx, .gif, .jpeg, .jpg, .mpeg, .pdf, .png, .ppt, .pptx, .rar, .rtf, .tiff, .txt, .wav, .wmv, .xls, .xlsx, .zip (21 расширение). 

Это документы MS Office, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
systemlog.exe
HowToDecryptIMPORTANT!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://a0142503.xsph.ru*** (141.8.195.157:80)
***xxxx://a0142503.xsph.ru/systemlog.exe***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Spectre)
 Write-up, Topic of Support
 Video review 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

xXLecXx

xXLecXx Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $150, чтобы вернуть файлы. Оригинальное название: xXLecXx. На файле написано: xXLecXx.exe. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. Его можно закрыть сочетанием клавиш Alt + F4.

Содержание записки о выкупе:
Your files are encrypted with xXLecXx Ransomware
Your files have been encrypted by xXLecXx Ransomware.
You cannot access your PC right now. You have 2 options
1. We delete all your files
2. You pay us $150 USD and we decrypt all your files
The choice is yours. If you choose option 2, click the button below, (What to Do) and pay us $150 USD and get a decrypt code
button [What to Do]
Have your decrypt code? Submit it here. 
button [Submit]

Перевод записки на русский язык:
Ваши файлы зашифрованы XXLecXx Ransomware
Ваши файлы были зашифрованы XXLecXx Ransomware.
Вы не можете получить доступ к своему ПК сейчас. У вас есть 2 варианта
1. Мы удаляем все ваши файлы
2. Вы платите нам $150 и мы расшифровываем все ваши файлы
Выбор за вами. Если вы выберете вариант 2, нажмите кнопку ниже, (What to Do) и заплатите нам $150 и получите код дешифрования
кнопка [Что делать]
У вас есть расшифрованный код? Отправьте его здесь. 
кнопка [Отправить]

Пока находится в разработке, но после выпуска может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
файлы не шифруются. 

Файлы, связанные с этим Ransomware:
xXLecXx.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название этого вымогателя.

CryptoGod

CryptoGod 2017 Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.03 BTC, чтобы вернуть файлы. Оригинальное название: CryptoGod. На файле написано: Ricevuta 25-05-2017.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> MoWare H.F.D > CryptoGod 2017 > CryptoGod 2018

К зашифрованным файлам добавляется расширение .payforunlock

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Your Personal Files has been Encrypted and Locked
Your documents, photos, databases and other important files have been encrypted with strongest encryption and locked with unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
Caution: Removing of CryptoGod will not restore access ti your encrypted files.
Frequently Asked Questions
What happened to my files ? understanding the issue
How can i get my files back ? the only way to restore your
What should i do next ? Buy decryption key
Now you have the last chance to decrypt your files.
1. Buy Bitcoin (https://blockchain.info)
2. Send amount of 0.03 BTC to address: 1JC2xyroJXvtFtxW6s5fM89Dke5geqCAep
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at cryptogod@airmail.cc
Click here to restore and recovery your files

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы и блокированы
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с использованием самого сильного шифрования и защищены ключом, созданным для этого компьютера.
Частный ключ дешифрования хранится на секретном интернет-сервере, и никто не может расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
Предупреждение: Удаление CryptoGod не восстановит доступ к вашим зашифрованным файлам.
Часто задаваемые вопросы
Что случилось с моими файлами? Понимание проблемы
Как я могу вернуть свои файлы? Единственный способ восстановить
Что я должен делать дальше ? Купить ключ дешифрования
Теперь у вас есть последний шанс для расшифровки файлов.
1. Купить биткоины (https://blockchain.info)
2. Отправить сумму 0.03 BTC на адрес: 1JC2xyroJXvtFtxW6s5fM89Dke5geqCAep
3. Для подтверждения транзакции требуется около 15-30 минут.
4. Когда транзакция подтверждена, отправьте нам email по адресу cryptogod@airmail.cc
Нажмите здесь, чтобы восстановить и вернуть ваши файлы

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Особенности: 
Отключает реестр, диспетчер задач, командную строку.

Список файловых расширений, подвергающихся шифрованию:
.#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .aet, .afm, .ai, .aif, .amj, .as, .as3, .asc, .asf, .asm, .asp, .asx, .ati, .avi, .back, .bak, .bat, .bay, .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .cat, .cb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .cfp, .cgm, .cgn, .ch, .chg, .cht, .clas, .clk, .cmd, .cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .csr, .css, .csv, .cur, .cus, .d07, .dac,.dat, .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsb, .dsf, .dtau, .dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs, .efsl, .efx, .emd, .eml, .emp, .ens, .ent, .epa, .epb, .eps, .eqb, .ert, .esk, .ess, .esv, .etq, .ets, .exp, .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem, .gfi, .gif, .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12, .hbk, .hif, .hpp, .hsr, .html, .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int?, .intu, .inv, .inx, .ipe, .ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .key, .kmo, .kmy, .lay, .lay6, .lcd, .ldc, .ldf, .ldr, .let, .lgb, .lhr, .lid, .lin, .lld, .lmr, .log, .lua, .lz, .m, .m10, .m11, .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max, .mbsb, .md, .mda, .mdb, .mdf, .mef, .mem, .met, .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc, .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd, .nef, .nl2, .nni, .npc, .nv, .nv2, .oab, .obi, .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc, .ofx, .old, .omf, .op, .orf, .ost, .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct, .pcx, .pd6, .pdb, .pdd, .pdf, .pem, .per, .pfb, .pfd, .pfx, .pg, .php, .pic, .pl, .plb, .pls, .plt, .pma, .pmd, .png, .pns, .por, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptdb, .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rsspptm, .rtf, .rtp, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .say, .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .seam, .ses, .set, .shw, .sic, .skg, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .tax, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .text, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv, .zdb, .ziparc, .zipx, .zix, .zka (666 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ricevuta 25-05-2017.exe (в итальянском слово означает "получение")

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cryptogod@airmail.cc
BTC: 1JC2xyroJXvtFtxW6s5fM89Dke5geqCAepСм. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoGod)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BeethoveN

BeethoveN Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BeethoveN. На файле написано: BeethoveN.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: BeethoveN. Начало

К зашифрованным файлам добавляется расширение .BeethoveN

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста из первого окна:
YOUR FILES HAVE BEEN ENCRYPTED
All your personal files have been encrypted. You can find a list of them in FILEUST.txt on your desktop ♪
They have been encrypted with military grade AES-256 bit encryption, combined with RSA-2048 bit encryption. This encryption is impossible to break without the private key ♪
The unique private key for your files is stored on our servers, however it will be deleted exactly 168 hours after the encryption process finished ♪
Unless you have recent backups, there is no way to recover those files which have been lost without the private key ♪
To get the private key (and recover your files), you must pay a ransom, which you can do from our website ♪
After you make the online payment, click Decrypt Files and we will verify with the server that the payment was successful. The private key will then be downloaded from the server and be used to automatically decrypt all your files ♪
Please visit xxxx://127.0.0.1:8030 in your web browser and login with the ID below to decrypt your files ♪
ANY ATTEMPTS TO REMOVE THIS PROGRAM MAY RESULT IN YOUR PRIVATE KEY BEING PERMANENTLY INACCESSIBLE, MEANING YOU CAN NEVER RECOVER YOUR FILES ♪
It is recommended that you do not shutdown your computer until you have successfully paid for and decrypted your files. In the event that this program is closed, you can find a copy on your desktop named BeethoveN.exe which you can use to decrypt your files
[xxxxs://soltec6d5qinsppi.hiddenservice.net/]
REFERENCE ID: 123
button [Decrypt Files]

Перевод текста на русский язык:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Все ваши личные файлы были зашифрованы. Вы можете найти их список в файле FILEUST.txt на своем рабочем столе ♪
Они были зашифрованы с шифрование AES-256 военного класса, в сочетании с шифрованием RSA-2048. Это шифрование невозможно взломать без закрытого ключа ♪
Уникальный закрытый ключ для ваших файлов хранится на наших серверах, однако он будет удален ровно через 168 часов после завершения процесса шифрования ♪
Если у вас нет последних резервных копий, нет способа восстановить те файлы, которые были потеряны без закрытого ключа ♪
Чтобы получить закрытый ключ (и восстановить файлы), вы должны заплатить выкуп, который вы можете сделать с нашего сайта ♪
После того, как вы сделаете онлайн-платеж, нажмите Decrypt Files, и мы проверим с сервера успешность платежа. Закрытый ключ затем будет загружен с сервера и будет использоваться для автоматического дешифрования всех ваших файлов ♪
Посетите xxxx://127.0.0.1:8030 в своем веб-браузере и войдите с ID ниже, чтобы расшифровать свои файлы ♪
ЛЮБЫЕ ПОПЫТКИ УДАЛИТЬ ЭТУ ПРОГРАММУ МОГУТ ПРИВЕСТИ К ТОМУ, ЧТО ВАШ ЗАКРЫТЫЙ КЛЮЧ СТАНЕТ НЕДОСТУПНЫМ, ТО ЕСТЬ ВЫ НИКОГДА НЕ СМОЖЕТЕ ВОССТАНОВИТЬ СВОИ ФАЙЛЫ ♪
Рекомендуется не выключать компьютер до тех пор, пока вы не заплатите и не расшифруете свои файлы. Если эта программа закрыта, вы можете найти копию на рабочем столе с именем BeethoveN.exe, которую вы можете использовать для расшифровки ваших файлов
[xxxxs://soltec6d5qinsppi.hiddenservice.net/]
REFERENCE ID: 123
button [Decrypt Files]

Содержание текста из второго окна:
Files Decypted
Thankyou for choosing to decrypt your files. If any have been missed, please place them on your desktop then click "Rescan" to decrypt them ♪
Have a nice day :) ♪
button [Rescan]
button [Select File Manually]

Перевод текста на русский язык:
Файлы дешифрованы
Спасибо, что решили расшифровать ваши файлы. Если они были пропущены, поместите их на рабочий стол, затем нажмите "Rescan", чтобы расшифровать их. ♪
Хорошего дня :) ♪
кнопка [Rescan]
кнопка [Select File Manually]

👉 Примечательно, что в тексте вместо точек используются значки ♪. Такая вот музыка... 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.123, .3dm, .3ds, .3gp, .7z, .abr, .acc, .accdb, .act, .adi, .adn, .aep, .aes, .ai, .aif, .alc, .apk, .apx, .asd, .asm, .asp, .asset, .aup, .avi, .avr, .backup, .bak, .bal, .bas, .bat, .big, .blob, .bmp, .boo, .bup, .c++, .cab, .cc, .cdr, .cer, .cfg, .cfm, .class, .cpp, .cs, .csr, .css, .csv, .dds, .doc, .dot, .dtd, .dwg, .dxf, .eps, .exe, .fla, .fnt, .fon, .forge, .gam, .gif, .gz, .h, .htm, .ico, .ics, .ini, .java, .jpeg, .jpg, .js, .key, .kml, .litesql, .log, .lua, .map, .max, .mdb, .mdf, .mp3, .mp4, .obj, .odb, .odt, .otf, .oxt, .pdb, .pdf, .php, .pl, .png, .pps, .ppt, .ps, .psd, .pub, .py, .rar, .raw, .rtf, .sav, .sh, .sln, .sql, .svg, .tar, .tmp, .torrent, .ttf, .txt, .unity3d, .vb, .vbs, .vcxproj, .wallet, .wma, .wmv, .xcf, .xhtml, .xls, .xml, .zip (124 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BeethoveN.exe - исполняемый файл;
FILEUST.txt - список зашифрованных фалов

Расположения:
\Desktop\BeethoveN.exe - копия вымогателя
\Desktop\FILEUST.txt - список зашифрованных фалов

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***soltec6d5qinsppi.hiddenservice.net (178.17.173.18:443 - Молдова)
***www.download.windowsupdate.com (8.254.218.158)
***c6d5qinsppi.hiddenservice.net/register.php
***c6d5qinsppi.hiddenservice.net/get.php

См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 10 июня 2017:
Вместо использования C2, теперь жёстко прописаны ключи RSA и email.
Email: SK1CU3SE3FI7L@yandex.ru
Результаты анализов: VT

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

KKK

KKK Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: KKK. На файле написано: FaceBook.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> KKK

К зашифрованным файлам добавляется расширение .KKK

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с двумя кнопками. 

Содержание текста с экранов:
KKK
You are Infected by KKK Ransomware.
Please click on the Payment to restore files.
Click on Information to see what happend. 
---
Payment
Pay 0.05 bitcoins to the address below.
14CtzUcYddHPJ6ahDRq2CuPjkTAuBszzSP
---
Information
You are Infected with Ransom ware. Ransom ware steals your files and holds them for ransom. You can decrypt your files by referlng to the Payment tab on the main form.

Перевод текста  на русский язык:
KKK
Вы заражены KKK Ransomware.
Нажмите Payment для восстановления файлов.
Нажмите Information, чтобы узнать, что произошло.
---
Payment (Оплата)
Заплатите 0.05 биткойнов на следующий адрес.
14CtzUcYddHPJ6ahDRq2CuPjkTAuBszzSP
---
Information (Информация)
Вы заражены программой-вымогателем. Ransomware похищает ваши файлы и удерживает их для выкупа. Вы можете расшифровать свои файлы, перейдя на вкладку Payment в основной форме.

Пока в разработке, но после выпуска может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифруются только данные на рабочем столе. 
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
 Facebook.exe
<random>.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

CryMore

CryMore Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CryMore. На файле написано: CryMore. Разработчик: TMC.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: основан на Stupid (FTSCoder)

К зашифрованным файлам добавляется расширение .encrypt

Образец этого крипто-вымогателя был найден в начале июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
all your files are encrypted by CryMore using a strong method !
all your files (expect: exe, ink, jar, sys, vbs, dll) has been encrypted using AES ... this method using a "password"...
this password is same password to decrypt your files how to get it ? Sorry hut you have....
dont even try to decode your files without paying because you will cause only file losing !
i hope you understand the dangerous ...
you can recover you files by paying me using BTC (Bitcoin) only ! check in the button to know...
---
Hurry UP if you want to pay more !... every 12 the price will get x1.5 !
---
What is Bitcoin? Where can i get Bitcoin? Can i pay using a different way?

Перевод записки на русский язык:
Все ваши файлы зашифрованы CryMore, используя сильный метод!
Все ваши файлы (это: exe, ink, jar, sys, vbs, dll) были зашифрованы с помощью AES ... этот метод использует «пароль» ...
Этот пароль - это и пароль для дешифрования ваших файлов. Как его получить? Извините, но вы ...
Даже не пытайтесь декодировать свои файлы, не заплатив, т.к. вы только потеряете файлы!
Надеюсь, вы понимаете опасность ...
Вы можете восстановить ваши файлы, только заплатив мне за использование BTC (биткоин)! Жмите кнопку, чтобы узнать ...
---
Скорее, если вы хотите заплатить больше! ... каждые 12 цена растет x1.5!
---
Что такое биткоин? Где я могу получить биткоин? Могу ли я платить другим способом?

Пока в разработке, но после выпуска может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
шифрует файлы в тестовой папке "testcd" на рабочем столе.
Это могут документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
CryMore.exe
папка C:\Users\TMC\Desktop\testcd 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Zilla

Zilla Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название: Zilla. На файле написано: ConsoleApplication1.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .zilla

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: OkuBeni.txt

Содержание записки о выкупе:
Dosyalarınız şifrelendi!

Перевод записки на русский язык:
Ваши файлы зашифрованы!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bmp, .doc, .docx, .jpg, .mov, .mp3, .mp4, .pdf, .png, .ppt, .pptx, .rar, .txt, .xls, .xlsx, .zip (16 расширений).
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, музыка и пр.

Файлы, связанные с этим Ransomware:
ConsoleApplication1.exe
Zilla.exe
OkuBeni.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://meric-ware.tk/ransomware/ransom.php***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 22 июля 2017: 
Пост в Твиттере >>
Расширение: .Atom 
Файл: love.exe 
На файле написано: JAtom.exe
Записка: ReadMeNow.txt
Содержание записки: 
Hey !! Congratulations. All your fucking files are encoded. Donate: 0.045 btc to coinbase address : 1DAYeVqQXN283ntHxugznhyajZaH5bb6sG to get it back.
Результаты анализов: HA+VT

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Zilla)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jakub Kroustek‏ 
 Michael Gillespie
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.