Если вы не видите здесь изображений, то используйте VPN.

суббота, 2 декабря 2017 г.

Scarabey

Scarabey Ransomware

Scarab-Scarabey Ransomware

Scarab-Russian Ransomware

(шифровальщик-вымогатель, деструктор)

(первоисточник)



Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Scarabey. Написан на Delphi без упаковки в C++ которая используется в оригинальном Scarab. 

Для вас подготовлен видеообзор одной из версий >>

© Генеалогия: Scarab > Scarabey

К зашифрованным файлам добавляется расширение .scarab
Позже стали добавляться расширения .oneway, .omerta, .rent, .mvp и другие. Цель: запутать идентификацию и исследователей. 
Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU
Стилизация выполнена в виде скарабея, держащего глобус с Россией.

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа написана на русском языке и называется: Инструкция по расшифровке.TXT

Содержание записки о выкупе:
Добрый день. Ваш компьютер подвергся заражению Scarabey. Все данные зашифрованы уникальным ключем, который находится только у нас. 
Без уникального ключа - файлы восстановить невозможно.
Каждые 24 часа удаляются 24 файла. (их копии есть у нас)
Если не запустить программу дешифратор в течении 72 часов, все файлы на компьютере удаляются полностью, без возможности восстановления.

Прочтите Внимательно инструкции, как восстановить все зашифрованные данные.
Scarabey
----------------------------------------------------------
Востановить файлы Вы сможете так:
1. связаться с нами по e-mail:  support7@cock.li
 - высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.
   Мы их расшифровываем, в доказательство возможности расшифровки.
   также получаете инструкцию по оплате. (оплата будет в bitcoin)
 - сообщите Ваш ID и мы выключим произвольное удаление файлов 
   (если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет
   удаляться по 24 файла. Если сообщите ID- мы выключим это)
2. оплачиваете и подтверждаете оплату.
3. после оплаты получаете дешифратор. Который восстановит ваши данные и выключит функцию удаления файлов.
----------------------------------------------------------
У Вас есть 48 часов на оплату.
Если не успеете за 48 часов оплатить, то цена расшифровки увеличивается в 2 раза.
Чтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 48 часов.
За подробными инструкциями обращайтесь e-mail: support7@cock.li
 - После запуска дешифратор, файлы расшифровываются в течении часа.
 - Если будете пытаться сканировать или расшифровать данные самостоятельно - можете потерять Ваши файлы навсегда.
 - Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
==============================
Ваш идентификатор. 
+4IAAAAAAAAagIUuHZLHEQAl***lwAxNEiDVrkUqanFasK=hC212=ky

------------------ P.S. ---------------------------------
Если у Вас нет биткойнов
 * Здесь вы можете обменять любые эллектронные деньги - https://bestchange.ru
   это список обменников.
 * Приобретите криптовалюту Bitcoin удобным способом:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
 - Не имеет смысла устраивать панику. 
 - Каждое нецензурное слово в наш адрес равняется + 50$ к оплате.
 - Жалобами заблокировав e-mail, Вы лишаете возможность остальных, расшифровать свои компьютеры.
   Остальных, у кого также зашифрованы компьютеры Вы лишаете ЕДИНСТВЕННОЙ НАДЕЖДЫ расшифровать. НАВСЕГДА.
 - Просто войдите с нами в контакт, оговорим условия расшифровки файлов и доступной оплаты, 
   в дружественной обстановке.
---------------------------------------------------------
Ваш идентификатор. 
+4IAAAAAAAAagIUuHZLHEQAl***lwAxNEiDVrkUqanFasK=hC212=ky


Перевод записки на русский язык:
Уже сделан вымогателями. Примечательно, что кроме банальной ошибки в слове "ключем" в тексте немало других ошибок, что говорит не в пользу грамотности составителей вымогательского текста. Да, похоже, что их было несколько, кто-то добавлял текст, кто-то удалял слова. Отсюда множественные ошибки с пунктуацией и лексикой. 



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Также может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами: 
cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
cmd.exe /c wmic SHADOWCOPY DELETE
cmd.exe /c vssadmin Delete Shadows /All /Quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

Особенности:
- По названию записка о выкупе аналогична тем, что использовались в обновлениях крипто-вымогателей Amnesia и Amnesia-2. Но по детекту это одна из разновидностей Scarab Ransomware, ориентированная на русскоязычных пользователей.  
- Кроме шифрования файлов также производится их выборочное удаление, отсюда вторая характеристика — деструктор. 
- Scarabey ориентирован на российских пользователей и распространяется через RDP и ручную установку на серверы и системы.

Список файловых расширений, подвергающихся шифрованию:
Большинство типов файлов, кроме тех, что нужны для работы системы. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Инструкция по расшифровке.TXT
sevnz.exe
svhosts.exe
<random>.exe

Расположения:
\Desktop\ -> Инструкция по расшифровке.TXT
\Downloads\ -> Инструкция по расшифровке.TXT
\Documents\ -> Инструкция по расшифровке.TXT
\User_folders\ -> Инструкция по расшифровке.TXT
C:\Windows\HhSm\svhosts.exe
\%APPDATA%\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
uSjBVNE = "%Application Data%\sevnz.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: support7@cock.li
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.





=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 23 декабря 2017:
Оригинальное название: Scarabey
Расширение: .scarab
Записка: Инструкция по расшифровке.TXT (текст аналогичен, email новый)
Email: Support56@cock.li
Файл: sevnz.exe
Те же деструктивные функции. Смотрите видеообзор в блоке ссылок ниже. 
Результаты анализов: HA + VT

Обновление от 25 января 2018:
Расширение: .scarab
Записка: Инструкция по расшифровке.TXT
Email: helper023@cock.li

Обновление от 25 апреля 2018: 
Расширение: .scarab
Email: decrypt014@cock.li
Записка: Инструкция по расшифровке файлов.TXT
Скриншот записки о выкупе >>
Топик на форуме >>


Обновление от 4 июня 2018:
Расширение: .scarab
Самоназвание: Scarabey
Email: locker87@cock.li
ID содержит 431 знак. 
Записка: Как расшифровать файлы.TXT
➤ Содержание записки: 
locker87@cock.li
Добрый день. Ваш компьютер подвергся заражению Scarabey. Все данные зашифрованы уникальным ключем, который находится только у нас. 
Без уникального ключа - файлы восстановить невозможно.
Каждые 24 часа удаляются 24 файла. (их копии есть у нас)
Если не запустить программу дешифратор в течении 72 часов, все файлы на компьютере удаляются полностью, без возможности восстановления.
Прочтите Внимательно инструкции, как восстановить все зашифрованные данные.
Scarabey
----------------------------------------------------------
Восстановить файлы Вы сможете так:
1. связаться с нами по e-mail:  locker87@cock.li
 - высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.
   Мы их расшифровываем, в доказательство возможности расшифровки.
   также получаете инструкцию по оплате. (оплата будет в bitcoin)
 - сообщите Ваш ID и мы выключим произвольное удаление файлов 
   (если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет
   удаляться по 24 файла. Если сообщите ID- мы выключим это)
2. оплачиваете и подтверждаете оплату.
3. после оплаты получаете дешифратор. Который восстановит ваши данные и выключит функцию удаления файлов.
----------------------------------------------------------
У Вас есть 48 часов на оплату.
Если не успеете за 48 часов оплатить, то цена расшифровки увеличивается в 2 раза.
Чтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 48 часов.
За подробными инструкциями обращайтесь e-mail: locker87@cock.li
 - После запуска дешифратор, файлы расшифровываются в течении часа.
 - Если будете пытаться сканировать или расшифровать данные самостоятельно - можете потерять Ваши файлы навсегда.
 - Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
==========================================================
Ваш идентификатор. 
+4IAAAAAAACA3z8gH***nlxkOlw
------------------ P.S. ---------------------------------
Если у Вас нет биткойнов
 * Здесь вы можете обменять любые электронные деньги - https://bestchange.ru
   это список обменников.
 * Приобретите криптовалюту Bitcoin удобным способом:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
 - Не имеет смысла устраивать панику. 
 - Каждое нецензурное слово в наш адрес равняется + 50$ к оплате.
 - Жалобами заблокировав e-mail, Вы лишаете возможность остальных, расшифровать свои компьютеры.
   Остальных, у кого также зашифрованы компьютеры Вы лишаете ЕДИНСТВЕННОЙ НАДЕЖДЫ расшифровать. НАВСЕГДА.
 - Просто войдите с нами в контакт, оговорим условия расшифровки файлов и доступной оплаты, 
   в дружественной обстановке.
---------------------------------------------------------
Ваш идентификатор. 
+4IAAAAAAACA3z8gH***nlxkOlw


Обновление от 16 июня 2018:
Расширение: .scarab
Самоназвание: криптолокер Scarabey
Email:  Scarab@horsefucker.org
Записка: Как расшифровать файлы.TXT
➤ Содержание записки:
Scarab@horsefucker.org
Добрый день. 
Нет, Ваши файлы не удалены, они зашифрованы криптолокером Scarabey. Все данные зашифрованы уникальным ключем, который находится только у нас. 
Без уникального ключа - файлы восстановить невозможно. 
Каждые 24 часа удаляются 24 файла. (их копии есть у нас)
Если не запустить программу дешифратор в течении 72 часов, все файлы на компьютере удаляются полностью, без возможности восстановления.
Прочтите Внимательно инструкции, как восстановить все зашифрованные данные.
Scarab
----------------------------------------------------------
Восстановить файлы Вы сможете так:
1. связаться с нами по e-mail:  Scarab@horsefucker.org
 - высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.
   Мы их расшифровываем, в доказательство возможности расшифровки.
   также получаете инструкцию по оплате. (оплата будет в bitcoin)
 - сообщите Ваш ID и мы выключим произвольное удаление файлов 
   (если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет
   удаляться по 24 файла. Если сообщите ID- мы выключим это)
2. оплачиваете и подтверждаете оплату.
3. после оплаты получаете дешифратор. Который восстановит ваши данные и выключит функцию удаления файлов.
----------------------------------------------------------
У Вас есть 48 часов на оплату.
Если не успеете за 48 часов оплатить, то цена расшифровки увеличивается в 2 раза.
Чтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 48 часов.
За подробными инструкциями обращайтесь e-mail: Scarab@horsefucker.org
 - После запуска дешифратор, файлы расшифровываются в течении часа.
 - Если будете пытаться сканировать или расшифровать данные самостоятельно - можете потерять Ваши файлы навсегда.
 - Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
==========================================================
Ваш идентификатор. 
+4IAAAAAAACp0O7oHZ***7xN=gHyM3XqjucXdDk


Обновление от 18 июня 2018:
Расширение: .oneway
Email: ibm15@horsefucker.org
Записки могут называться: Как расшифровать файлы oneway.TXT
или Инструкция по расшифровке файлов oneway.TXT
Статус: Файлы можно дешифровать. 
➤ Содержание записки:
Напишите на почту - ibm15@horsefucker.org
========================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный идентификатор
+4IAAAAAAAASDeOZHZ***5YTVClk5rnLn7aBk
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - ibm15@horsefucker.org
 *В письме указать Ваш личный идентификатор
 *Прикрепите 2 файла до 1 мб для тестовой расшифровки. 
  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.
 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
 -Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования
 * Не пытайтись найти решение на стороне, это 100% развод. Никто кроме нас расшифровать не может.
========================================
Если связаться через почту не получается
 * Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB с указанием Вашей почты и личного идентификатора
Ваш личный идентификатор
+4IAAAAAAAASDeOZHZ***5YTVClk5rnLn7aBk



Обновление от 19-20 июня 2018:
Файлы можно было дешифровать, если они были зашифрованы до 18 июня 2018 года.
В июне 2018 злоумышленники, распространяющие шифровальщики семейства Scarab, обновили основной крипто-конструктор. 
В предыдущих версиях Scarab-шифровальщиков был Trojan.Encoder.18000 (по классификации Dr.Web). Файлы можно было дешифровать. 
В новых версиях файл шифровальщика детектируется уже как Trojan.Encoder.25574 (по классификации Dr.Web). Зашифрованные им файлы пока не дешифруются. 

Обновления, которые касаются вариантов Scarab-Scarabey смотрите ниже. На каждом будет указана статус дешифрования. 

Обновление от 20 июня 2018:
Расширение: .oneway
Email: ibm15@horsefucker.org
Записка: Как расшифровать файлы oneway.TXT
Обновленный шифровальщик. 
Статус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.
Скриншот нового варианта записки о выкупе. 

Обновление от 6 августа 2018:
Расширение: .omerta
Email: ibm15@horsefucker.org
BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB
Записка: Инструкция по расшифровке файлов.TXT
Может пересекаться с Scarab-Omerta Ransomware, но по сути вымоагтели с прежними контактами, просто стали добавлять новое расширение. 
Обновленный шифровальщик. 
Статус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.
➤ Содержание записки:
Напишите на почту - ibm15@horsefucker.org
=============================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный идентификатор
;AQAAAAAAACccD.`TeTHDhNADA***A}U&Aj)kl
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - ibm15@horsefucker.org
 *В письме указать Ваш личный идентификатор
 *Прикрепите 2 файла до 1 мб для тестовой расшифровки. 
  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.
 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
 -Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
 * Не пытайтись найти решение на стороне, это 100% развод. Никто кроме нас расшифровать не может.
=============================
Если связаться через почту не получается
 * Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB с указанием Вашей почты и
личного идентификатора
Ваш личный идентификатор
;AQAAAAAAACccD.`TeTHDhNADA***A}U&Aj)kl


Обновление от 16 августа 2018:
Расширение: .rent
Записка: Инструкция по расшифровке файлов Rent.TXT
Email: diven@cock.li или другой
Bitmessage: BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB
Статус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.
➤ Содержание записки:
Напишите на почту - diven@cock.li
================================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный идентификатор
+4IAAAAAAADv7HAE***oRTWlw
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - diven@cock.li
 *В письме указать Ваш личный идентификатор
 *Прикрепите 2 файла до 1 мб для тестовой расшифровки. 
  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.
 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
 -Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
 * Не пытайтись найти решение на стороне, это 100% развод. Никто кроме нас расшифровать не может.
================================================
Если связаться через почту не получается
 * Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB с указанием Вашей почты и
личного идентификатора
Ваш личный идентификатор
+4IAAAAAAADv7HAE***oRTWlw

Обновление от 23 августа 2018:
Расширение: .omerta
Email: xvalera228@protonmail.com
Топик на форуме >>
Статус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.

Обновление от 10 сентября 2018:
Пост в Твиттере >>
Расширение: .mvp
Файлы переименовываются.
Пример заш-файла: 3oIoZu+32IciG9rHroIoFpy3rN1ICT5DHxSHTZCU7M9xXkWzydDXCq+M.mvp
Записка: Как расшифровать файлы.TXT
Email: thermal@lock.li
Файлы: scan document.pdf.exe, systems.exe
Mutex: STOPSCARABSTOPSCARABSTOPSCARABSTOPSCARABSTOPSCARAB
На файле написано: Globalwebdatasample Ten
Фальш-имя: T668f Authentication
Фальш-копирайт: IBM (c) 2015 Company
Результаты анализов: VT

Статус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.

Обновление от 23 сентября 2018:
Расширение: .omerta
Файлы переименованы. 
Записка: Инструкция по расшифровки omerta.TXT
Email: thermal@cock.li
Статус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.
➤ Содержание записки:
Напишите на почту - thermal@cock.li
===============================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный идентификатор
;AQAAAAAAACgrkr-Le***PeA~jn)+#aI~[P
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - thermal@cock.li
 *В письме указать Ваш личный идентификатор
 *Прикрепите 2 файла до 1 мб для тестовой расшифровки. 
  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.
 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
 -Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования
 * Не пытайтись найти решение на стороне, это 100% развод. Никто кроме нас расшифровать не может.
===============================
Ваш личный идентификатор
;AQAAAAAAACgrkr-Le***PeA~jn)+#aI~[P

Обновление от 17 декабря 2018:
Пост на форуме >>
Расширение: .omerta
Email: alices@mail2tor.com
Другие email вымогателей (февраль 2019):  alices@cock.li, bin420@cock.li
BM-2cTx9M1bfonGRN31Rw3F7h7MFYomEWoGJ1
Записка: Инструкция по расшифровке файлов.txt
➤ Содержание записки:
Напишите на почту - alices@mail2tor.com
=========================================================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный идентификатор
pAQAAAAAAABpG9LdH***SnX=cteKU0RY3
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы.
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - alices@mail2tor.com
 *В письме указать Ваш личный идентификатор
 *Прикрепите 2 файла до 1 мб для тестовой расшифровки.
  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.
 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
 -Написав нам на почту вы получите дальнейшие инструкции по оплате.
 Если связаться через почту не получается
* Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cTx9M1bfonGRN31Rw3F7h7MFYomEWoGJ1 с указанием Вашей почты и
личного идентификатора
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
=========================================================================
Ваш личный идентификатор
pAQAAAAAAABpG9LdH***SnX=cteKU0RY3

Обновление от 1 февраля 2019:
Расширение: .secure
Записка: Расшифровать файлы и работать дальше.TXT
Расшифровать файлы и работать дальше.TXT.secure
Особенность: Записка о выкупе тоже получает расширение .secure
Email: secure32@cock.li
Файл EXE: osk.exe
➤ Содержание записки: 
Напишите на почту - secure32@cock.li 
=========================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный идентификатор pAQAAAAAAACazRP***Shoh+8DfAk 
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию. 
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется) 
Для расшифровки данных: 
Напишите на почту - secure32@cock.li 
*В письме указать Ваш личный идентификатор 
*Прикрепите 2 файла до 1 мб для тестовой расшифровки. мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать. 
-Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов. 
-Написав нам на почту вы получите дальнейшие инструкции по оплате. 
В ответном письме Вы получите программу для расшифровки. 
Запустите инструмент на вашем компьютере и безопасно расшифруйте все ваши данные. 
Мы гарантируем: 100% успешное восстановление всех ваших файлов 100% гарантию соответствия 100% безопасный и надежный сервис 
Внимание! 
* Не пытайтесь удалить программу или запускать антивирусные средства 
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных 
* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования =========================================
Ваш личный идентификатор pAQAAAAAAACazRP***Shoh+8DfAk 









=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
Или прочтите инфу по ссылке. Мой перевод рядом. 
Or ask for help using this link. My translation beside.
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Scarab)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Andrew Ivanov, Alex Svirid
 GrujaRS, Michael Gillespie, S!Ri, Emmanuel_ADC-Soft
 ANY.RUN, Intezer Analyze
 всем пострадавшим из топиков поддержки на англоязычных и русскоязычных форумах
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 1 декабря 2017 г.

Test CryptoMix

Test CryptoMix Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Frtan. На файле написано: Frtan.exe. Фальш-копирайт: Alibaba Group.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: CryptoMix >> CryptoMix Revenge > Test CryptoMix

К зашифрованным файлам добавляется расширение .TEST

Примеры зашифрованных файлов:
1AED817642C6C312C87585DE45ECA75A.TEST
1CB7EDC01677AD4CC77334F0199D9194.TEST
1CD850591F5EFE618035157D21C4E2A9.TEST

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
test757@tuta.io
test757@protonmail.com
test757xz@yandex.com
test757xy@yandex.com
test757@consultant.com
Please send email to all email addresses! We will help You as soon as possible!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Привет!
Все Ваши данные зашифрованы!
Для подробной информации отправьте нам email с Вашим ID номером:
test757@tuta.io
test757@protonmail.com
test757xz@yandex.com
test757xy@yandex.com
test757@consultant.com
Отправьте email на все email-адреса! Мы поможем Вам как можно быстро!
ВАЖНО: НЕ ИСПОЛЬЗУЙТЕ ПУБЛИЧНЫЙ СОФТ! ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШИ ДАННЫЕ НАВСЕГДА!
DECRYPT-ID-[id] number



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов и публичного софта. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: test757@tuta.io
test757@protonmail.com
test757xz@yandex.com
test757xy@yandex.com
test757@consultant.com
См. ниже результаты анализов.

Связанные публичные ключи:
Этот вариант также, как и предыдущие, содержит 11 общедоступных ключей RSA-1024, которые используются для шифрования AES-ключа, используемого для шифрования файлов жертвы. Это позволяет шифровальщику работать автономно без сетевого подключения. 

Ключи те же, что и в предыдущем варианте 0000 CryptoMix
См. ключи в статье на сайте BC. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая или средняя.
Подробные сведения собираются регулярно.


*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
AzerNoobExtePirateCKZayka, Zero, DG - июль 2017
OgoniaErrorEmptyArena - август 2017
Shark  - сентябрь 2017
x1881Coban - октябрь 2017
XZZX0000Test - ноябрь 2017
WORKFILETastylock - декабрь 2017
SERVERSystem - январь 2018
MOLE66 - март 2018


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

HC7

HC7 Ransomware

GOTYA Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) и SHA256, а затем требует выкуп в $500-$700 в BTC за каждый ПК или $5000 за всю сеть предприятия, чтобы вернуть файлы. Оригинальное название не указано. Написан на Python.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HC6 > HC7

К зашифрованным файлам добавляется расширение .gotya или .GOTYA

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RECOVERY.TXT 

Содержание записки о выкупе (два разных варианта):
ALL YOUR FILES WERE ENCRYPTED.
TO RESTORE THIS FILE, YOU MUST SEND $700 BTC FOR MASCHINE
OR $5,000 BTC FOR ALL NETOWRK
ADDRESS: 1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6
AFTER PAYMENT SENT EMAIL m4zm0v@keemail.me
ALONGWITH YOUR DENTITY: TVNHT0JTMDk=
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK
---

ALL YOUR FILES WERE ENCRYPTED. 

TO RESTORE, YOU MUST SEND $500 BTC FOR ONE COMPUTER
OR $5,000 BTC FOR ALL NETWORK
ADDRESS: 1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
AFTER PAYMENT SENT EMAIL m4zn0v@keemail.me
ALONG WITH YOUR IDENTITY: REVWRUxPUEVSLTA4
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK


Перевод записки на русский язык:
Все ваши файлы были зашифрованы.
Чтобы восстановить, вы должны отправить $500 в BTC за один компьютер
или $5000 за всю сеть
Адрес: 1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
После оплаты отправьте email на m4zn0v@keemail.me
Вместе с вашей идентификацией: REVWRUxPUEVSLTA4
Не выключайте компьютер, если он не сломается



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

HC7 использует пароль, передаваемый через командную строку. 

Идентификатор жертвы, сохраняемый в записке о выкупе, создается путем добавления 9-ки к имени компьютера, а затем результат кодируется в base64.


Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .3gp, .7z, .accdb, .aes, .ai, .apk, .ARC, .arch00, .arw, .asc, .asf, .asm, .asp, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .biz, .bkf, .bkp, .blob, .bmp, .brd, .bsa, .cab, .cas, .cdr, .cer, .cfr, .cgm, .class, .cmd, .cpp, .cr2, .crt, .crw, .csr, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbf, .dbfv, .dch, .dcr, .der, .desc, .dif, .dip, .djv, .djvu, .dmp, .dng, .doc, .docb, .docm, .docm, .docx, .DOT, .dotm, .dotx, .dwg, .dxg, .epk, .eps, .erf, .esm, .exe, .ff, .fla, .flv, .forge, .fos, .fpk, .frm, .fsh, .gdb, .gho, .gpg, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .hwp, .ibank, .ibd, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jpeg, .jpeg, .jpg, .js, .kdb, .kdc, .key, .kf, .lay, .lay6, .layout, .lbf, .ldf, .lic, .litemod, .log, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mid, .mkv, .mlx, .mml, .mov, .mp3, .mpeg, .mpg, .mpqge, .mrwref, .ms11(Securitycopy), .MYD, .MYI, .ncf, .NEF, .nrw, .ntl, .ocx, .odb, .odc, .odm, .odp, .ods, .ods, .odt, .orf, .otg, .ots, .ott, .p12, .p7b, .p7c, .pak, .PAQ, .pas, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppam, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qcow2, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sch, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .snx, .sql, .SQLITE3, .SQLITEDB, .sr2, .srf, .srt, .srw, .stc, .stw, .sum, .svg, .swf, .sxc, .sxm, .sxw, .syncdb, .t12, .t13, .tar, .tar.bz2, .tar.gz, .tax, .tbk, .tgz, .tif, .tiff, .tor, .unity3d, .uot, .upk, .upx, .vbs, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmx, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlc, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xlw, .xml, .xxx, .zip, .ztmp (285 расширений). Замеченные дубли зачёркнуты и не считаются. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, файлы wallet.dat, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ, файлы интернет-банкинга, налоговые декларации и пр. пр.

Файлы, связанные с этим Ransomware:
RECOVERY.TXT 
hc7.exe
diskimagemounter.exe

Расположения:
C:\RECOVERY\RECOVERY.TXT и во всех папках с зашифрованными файлами. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m4zm0v@keemail.me
BTC: 1JFjQ8JA6d5QYVXYijUkpx2eBFTgyz77ch
1FhvGZeUDGr4a6EshsgBr1wXpgom547wCK
1FcVZiLC6w5eARhmRhtAifyrRgudG9kfJ
1PE9ryU3Zp5k42TbQPBi6YA9tURrsPr7J9
1GgzdjARzVYvaUNNL66LQfNPqCVbfFYmKM
1M4RY6Q3vXhjtvGwRBkD2bqV9HdnJ5QSBS
1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6
1NYaVPJGEFzwCzYsvp5swNTDiU2so1BvKx
14QQ9RAcAMyFQWnPTWt2JedsHYG6GUupAk
1G7sCE1rSKZh4kif6a8hLU1fSn3sxg8Yp5
1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
15aM71TGtRZRrY97vdGcDEZeJYBWZhf4FP
15PbYxKuH8KNdxzUeuXqr5VctuKQxdEPeE
19AyaPNbimiCgNbCFQ2fWCw5ArySB1SCAi
+ новые
1CoxQUgDxbxcxFuU7u3nBZRYitouNJKyZs
1ADFwZU8pR2z2CUUMNNRnczWUFkjBLybRj
14waKKzAEQbTmM1Wyfax2N1cgjJbHjhH7J
1C9veduaMxAy5nEAxBqwLqZ33ujPfeZ8z9
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  + HA >>
VirusTotal анализ >>  + VT >>  + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 декабря 2017:
Добавлена функция тестирования. 
Добавлено удаление теневых копий.
Идёт работа над новым вариантом HC9. См. вторую ссылку HA.


Обновление от 13 декабря 2017:
Пост в Твиттере >>
Расширение: .DS335
Записка: RECOVER.txt
Email: m4zn0v@keemail.me
BTC: 1C9veduaMXAy5nEAxBqwLqZ33ujPfeZ8z9
Файл: backupsvcp.exe
Результаты анализов: VT


Обновление от 28 декабря 2017:
Расширение: .QUILT
Записка: RECOVER.txt
Email: m4zn0v@keemail.me
BTC: 17XLpF9d2zT85P3PoQS2NB86G3coqJa84q
Содержание записки о выкупе:
ALL FILES WERE ENCRYPTED.
TO RESTORE, YOU MUST SEND $700 BTC FOR ONE COMPUTER
OR $3,500 FOR ENTIRE NETWORK
ADDRESS: 17XLpF9d2zT85P3PoQS2NB86G3coqJa84q
BEFORE PAYMENT SENT EMAIL m4zn0v@keemail.me
ALONG WITH YOUR IDENTITY:
AND A SAMPLE FILE AS PROOF OF DECRYPT
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK
Топик на форуме >>

Обновление от 9 января 2018:
Условное название: HC9 Ransomware
Расширение: .PLANETARY
Записка: recover_your_fies.txt
Email: m4rk0v@tutanota.de
Содержание записки:
ALL FILES ARE ENCRYPTED. 
TO RESTORE, YOU MUST SEND $700 EQUIVALENT FOR ONE COMPUTER
OR $5,000 FOR ALL NETWORK
PAYMENTS ACCEPTED VIA BITCOIN, MONERO AND ETHEREUM
BTC ADDRESS: [bitcoin_address]
MONERO (XMR) ADDRESS: [monero_address]
CONTACT US WHEN ETHEREUM PAYMENT INFORMATION
BEFORE PAYMENT SENT EMAIL m4rk0v@tutanota.de
ALONG WITH YOUR IDENTITY: [base64_encoded_computer_name]
INCLUDE SAMPLE ENCRYPTED FILE FOR PROOF OF DECRYPT
NOT TO SHUT OFF YOUR COMPUTER, UNLESS IT WILL BREAK
Перевод записки на русский язык:
Все файлы зашифрованы.
Чтобы восстановить, вы должны отправить эквивалент 700$ США за один компьютер
или $5000 за всю сеть
Платежи принимаются через Биткоин, Monero и Ethereum
BTC-адрес: [биткойн_адрес]
Monero-адрес (XMR): [monero_адрес]
Свяжитесь с нами, если нужна информация о платеже Ethereum
Перед оплатой отправьте email m4rk0v@tutanota.de
Вместе с вашей идентификацией: [base64_encoded_computer_name]
Включите образец зашифрованного файла для подтверждения расшифровки
Не отключайте компьютер, если он не сломается
Статья на BC >>




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую изучить статью по этой ссылке >>
🔐
После восстановления своих ключей таким образом, нужно 
запустить hc6Decrypter, ввести ключ и дешифровать файлы.
 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as hc7)
 Write-up, Topic of Support
 * 
Added later:
Write-up on BC (December 7, 2017)
Write-up on yrz.io (December 7, 2017)
*
 Thanks: 
 victims in the topics of support
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ClicoCrypter-2

ClicoCrypter-2 Ransomware

(тест-шифровальщик)


Этот крипто-вымогатель тест-шифрует данные с помощью AES (режим ECB, PKCS5Padding), а затем выводит определённый текст. Оригинальное название: CLICO Cryptor (написано на веб-странице). Написан на языке Java. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: ClicoCrypterClicoCrypter-2

К зашифрованным файлам добавляется расширение .enc

Образец этого крипто-вымогателя получен в начале декабря 2017 г. Ориентирован на англоязычных и польскоязычных пользователей.

Запиской можно считать веб-страницу вымогателя. 

Содержание текста с веб-страницы:
CLICO Cryptor info page 
Cryptor tests AV and sandbox products and general process of malware detection. 
If you see this and you are not malware resaercher please let us know: epgorgpl (-@-) gmail (dot) com

Перевод текста на русский язык:
Информационная страница CLICO Cryptor
Cryptor тестирует продукты AV и песочницы и общий процесс обнаружения вредоносных программ.
Если вы видите это, и вы не являетесь исследователем вредоносов, пожалуйста, сообщите нам: epgorgpl (- @ -) gmail (dot) com


Требования выкупа, хоть и необычными можно считать текст из следующего окна:

Содержание текста из этого окна:
Clico Cryptor says: We are watching you
---
Wszystkie twoje pliki zostały zaszyfrowane. Aby je odzyskać oplac podatek za psa, kota no i chomika. Nastepnie wejdź na stoi i krzyknij "Hokus pokus czary mary odszyfruj moje dane stary". Twoje pliki zostana przywrocone.
Masz na to 15 minut
KLUCZ SZYFRUJĄCY:
4e6ff2ce08accb7ad01ce4d212***

Перевод текста из этого окна:
Clico Cryptor говорит: Мы наблюдаем за вами
---
Все ваши файлы зашифрованы. Чтобы вернуть их, заплатите налог за собаку, кошку и хомяка. Затем выходите на стенд и кричите "Фокус-покус, чери-мэри, расшифруйте мои старые данные". Ваши файлы будут восстановлены.
У вас есть 15 минут для этого
КЛЮЧ ШИФРОВАНИЯ:
4e6ff2ce08accb7ad01ce4d212***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Clicocryptor.jar
Instrukcja.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://epg.org.pl/cryptor.php
Email: epgorgpl@gmsil.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ exe-файла >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as ClicoCrypter)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn‏
 Lawrence Abrams
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

WantMoney

Want Money Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Want Money Ransomware. Разработчик: TheYuCheng.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: XiaoBa >> WantMoney

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на китайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _Want Money_.txt
На этом скриншоте записка вместе с экраном блокировки. 

Другим информатором жертвы выступает изображение _Want Money_.bmp, встающее обоями Рабочего стола. Это изображение в стиле Petya Ransomware. 


Содержание записки о выкупе:
Simplified Chinese:
*** 中文相似的文字 ***
*** similar text in Chinese ***
*** тот же китайский текст ***

English:
Can not find the file you need?
Can not open your file?
Do not worry, all your files are only encrypted by "Want Money Ransomware."
Want to retrieve all your files? You only have to pay a small fee
Send 0.1 bitcoins to the following address:
17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
After payment send e-mail to the specified e-mail address
E-mail address: B32588601@163.com
Mail title: Request to decrypt
E-mail content: Your ID + your payment information
After sending you will get a reply, reply to the message contains the Key, please enter in the input box to decrypt the file.
What is Bitcoin? Please go to Baidu or Google search for details
There are more questions? Please contact email: B32588601@163.com
note! Please do not modify the file after the stop, or the file will not be restored, try not to restart the system.

Перевод записки на русский язык:
Не можете найти нужный файл?
Не можете открыть файл?
Не волнуйтесь, все ваши файлы зашифрованы "Want Money Ransomware".
Хотите получить все свои файлы? Вы должны заплатить небольшую плату
Отправьте 0.1 биткоина на следующий адрес:
17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
После оплаты отправьте письмо на указанный email-адрес 
Email-адрес: B32588601@163.com
Название письма: Request to decrypt (Запрос на дешифровку)
Содержимое email: ваш идентификатор + ваши платежные данные
После отправки вы получите ответ, ответ на сообщение содержит ключ, введите его в поле ввода, чтобы расшифровать файл.
Что такое биткойн? Пожалуйста, перейдите на Baidu или Google для поиска подробной информации.
Есть еще вопросы? Свяжитесь с нами по email: B32588601@163.com
заметка! Не изменяйте файл после остановки или файл не будет восстановлен, попробуйте не перезапускать систему.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_Want Money_.txt
_Want Money_.bmp
619f2b5a609889b8_hcxn92m4j9.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: B32588601@163.com, TheYuCheng@yeah.net
BTC: 17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *