BigEyes

BigEyes Ransomware

LimeDecryptor Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: Hsociety и BigEyes. На файле проекта написано: BigEyes.pdb.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Lime

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком #Lime Decryptor:

Информатором жертвы также выступает изображение, встающее обои Рабочего стола.  

Содержание записки о выкупе:
All your files have been encrypted
But You can still recover your files
Just send us 100$ Bitcoin, And we will give you your files back
After you pay us, send us email r3vo@protonmail.com
include your transaction number
This is Ransomware, It's not a joke
Thanks
Bye

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Но вы можете вернуть свои файлы
Просто отправьте нам 100$ в биткоинах, и мы вернем вам ваши файлы
После того, как вы заплатите нам, пришлите нам email на r3vo@protonmail.com
укажите номер транзакции
Это Ransomware, это не шутка
Спасибо
Пока

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crypt.exe
#BackGround.png
#Decryptor.exe
BigEyes.exe
leamon.exe
\hash\ - скрытая папка с AES-ключом

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Microsoft\hash
\Desktop\#BackGround.png
\Desktop\#Decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: r3vo@protonmail.com
BTC: 1PNh6dmaUtv96C7ezTdUqVvfWBUYuCBbUM
www.youtube.com/watch?v=Ji9IwPId5Uk
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на Crypt.exe >>
VirusTotal анализ на BigEyes.exe >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo, SDK
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Velso

Velso Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Velso. На файле написано, что попало.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .velso

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: get_my_files.txt

Содержание записки о выкупе:
Hello. If you want to return files, write me to e-mail MerlinVelso@protonmail.com
Your userkey: obxIwowrpiP2AU13qwlHXj7wDvOFIBL4NlGRd/6r0IlZudy0QbygCw==

Перевод записки на русский язык:
Привет. Если хотите вернуть файлы, пишите мне на email MerlinVelso@protonmail.com
Ваш ключ: obxIwowrpiP2AU13qwlHXj7wDvOFIBL4NlGRd/6r0IlZudy0QbygCw==

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Идентификатор ключа и жертвы генерируется CryptGenRandom (), используя AES-256 OpenSSL в режиме ECB.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
get_my_files.txt
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: MerlinVelso@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 февраля 2018:
Пост в Твиттере >>
Расширение: .david
Email: davidfreemon2@aol.com
Записка: get_my_files.txt
Содержание записки:
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software
You can find out the details / buy decryptor + key / ask questions by contact for communication (email): davidfreemon2@aol.com
Your userkey: *****
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Demonslay335 >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Velso)
 Write-up, Topic of Support
 * 

Added later:
Write-up on BC (added January 26, 2018)
*

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KillDisk-Dimens

KillDisk-Dimens Ransomware

(фейк-шифровальщик, деструктор)

Этот крипто-вымогатель не шифрует данные на дисках пользователей и даже пока не требует выкуп, чтобы вернуть файлы. Файлы перезаписываются нулями и удаляются. Оригинальное название: не указано. 

© Генеалогия: KillDisk >> KillDisk-Dimens

К фейк-зашифрованным файлам никакое расширение не добавляется. Файлы затираются нулевыми байтами. 

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на финансовые организации латиноамериканских стран, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: отсутствует.
Также не выдвигается никаких требований о выкупе. Возможно, требования будут выдвинуты позже, когда причинённый ущерб станет масштабнее. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

По мнению исследователей из TrendMicro, вредонос KillDisk-Dimens, попав на компьютер, загрузится в память, удалит файлы с диска и переименует себя. Затем он перезапишет первые 20 секторов MBR каждого запоминающего устройства с 0x00 байтами.

После этого он перепишет первые 2800 байт каждого файла с теми же 0x00 байтами на каждом фиксированном и съемном накопителе. Единственными оставленными файлами являются файлы и папки, найденные в следующих каталогах Windows:
WINNT
Users
Windows
Program Files
Program Files (x86)
ProgramData
Recovery (case-sensitive check)
$Recycle.Bin
System Volume Information
old
PerfLogs

Таким образом содержимое файлов сначала перезаписывается нулевыми байтами, фактически — затирается, а потом файлы удаляются. 

Потом KillDisk запускает таймер на 15 минут, а затем завершает следующие процессы: 
Client/server run-time subsystem (csrss.exe)
Windows Start-Up Application (wininit.exe)
Windows Logon Application (winlogon.exe)
Local Security Authority Subsystem Service (lsass.exe)


Т.к. это критические процессы ОС, то компьютер либо войдет в BSOD, либо будет принудительно перезагружен без опции пользователя.

Специалисты TrendMicro нарисовали схему работы этой версии вредоноса.

Список файловых расширений, подвергающихся шифрованию:
файлы не шифруются, а перезаписываются нулями и потом удаляются.

Файлы, связанные с этим Ransomware:
dimens.exe
<random>.exe

Расположения:
C:\Windows\dimens.exe
C:\Windows\0123456789
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 TrendMicro
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MoneroPay, SpriteCoin

MoneroPay Ransomware
SpriteCoin Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20, а затем требует выкуп в 0.3 Monero, чтобы вернуть файлы. Оригинальное название: MoneroPay. На файле написано: MoneroPayAgent.exe и spritecoind.exe. Статус: Файлы можно дешифровать!

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Your files are encrypted
If you close this window, you can always restart and it should appear again.
All your files have been encrypted by us. This means you will be unable to access or use them. In order to retrieve them, you must send 0.3 monero (about $120 USD) to:
46FXmRvyffu59N***
Make sure you include your payment ID:
Use CTRL +C to copy both
IF YOU DO NOT INCLUDE YOUR PAYMENT ID, YOUR FILES CANNOT BE DECRYPTED. Do not waste your time — only we can decrypt your files.
If you have paid, click on the DECRYPT button to return your files to normal. Don't worry, we'll give you your files back if you pay.
[DECRYPT]
FAQ
• What is monero?
   Monero is a cryptocurrency, like bitcoin.
• How do I get monero?
   You can buy monero in many of the same places you can get bitcoin. [More info]
• What happens if I don't pay?
***

Перевод текста на русский язык:
Ваши файлы зашифрованы
Если вы закроете это окно, то всегда сможете перезапустить его, и он должен появиться снова.
Все ваши файлы были зашифрованы нами. Это значит, что вы не сможете получить к ним доступ или использовать их. Чтобы получить их, вы должны отправить 0.3 monero (около 120$ США) на:
46FXmRvyffu59N ***
Убедитесь, что вы указали свой идентификатор платежа:
Используйте CTRL + C, чтобы скопировать оба
ЕСЛИ ВЫ НЕ ВКЛЮЧИТЕ ВАШ PAYMENT ID, ВАШИ ФАЙЛЫ НЕ БУДУТ ДЕШИФРОВАНЫ. Не тратьте свое время - только мы можем расшифровать ваши файлы.
Если вы заплатили, нажмите кнопку DECRYPT, чтобы вернуть файлы в нормальное состояние. Не беспокойтесь, мы вернем вам ваши файлы, если вы заплатите.
[DECRYPT]
Вопросы-Ответы
• Что такое monero?
    Monero - это криптовалюта, как биткоин.
• Как получить monero?
    Вы можете купить monero во многих местах, где можете получить биткоин. [Больше информации]
• Что будет, если я не заплачу?
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Распространяется в составе дистрибутива для генерации вымышленной крипто-монеты SpriteCoin. Под видом его установки, когда SpriteCoin якобы загружает и синхронизирует blockchain, запускается шифровальщик. 

   

 Скриншоты "установщика"

Сообщения о фальшивой криптовалюте

По окончании фальшивой синхронизация поддельного блокчейна появится экран блокировки MoneroPay и отобразится экран с требованиями о выкупе. 

Список файловых расширений, подвергающихся шифрованию:
.7z, .apk, .cc, .cgi, .class, .cpp, .css, .doc, .docx, .eps,  .go, .gz, .h, .hpp, .htm, .html, .id_rsa, .img, .iso, .jar, .java, .jpeg, .jpg, .js, .key, .lua, .mkv, .mp4, .ogv, .one, .pem, .pl, .png, .ppt, .pptx, .ps1, .psd, .psf, .py, .pyw, .rar, .rtf, .tcl, .txt, .vbs, .webm, .work, .xls, .xlsx, .zip (50 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы, файлы образов, файлы wallet.dat и пр.

Файлы, связанные с этим Ransomware:
spritecoind.exe
spritecoinwallet.exe
MoneroPayAgent.exe
<random>.exe
\spritecoin\
Сбрасывает 1510 файлов

Расположения:
%APPDATA%\MoneroPayAgent.exe
%TEMP%\<random>.exe
\spritecoin\boost.dll
\spritecoin\cryptonight.dll
\spritecoin\spritecoind.exe
\spritecoin\spritecoinwallet.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /F /t REG_SZ /V "MoneroPay" /D "%APPDATA%\MoneroPayAgent.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "MoneroPay" "MoneroPayAgent.exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 
xxxx://jmqapf3nflatei35.onion.link (103.198.0.2:80 Сингапур) - C2
xxxx://papyrefb2tdk6czd.onion.link/***
xxxx://p27dokhpz2n7nvgr.onion.link/***
См. ниже результаты анализов.

Результаты анализов:
Ⓥ VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Статус: Дешифруется!

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптор
Скачать MoneroPayDecryptor для дешифровки >>
Подробная инструкция на английском >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

Added later:
Write-up by Fortinet (added on 24 January, 2018)
*

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 Alexander Adamov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

EncryptServer2018

EncryptServer2018 Ransomware

(шифровальщик-вымогатель) (первоисточник) 

Translation into English

Этот крипто-вымогатель шифрует данные на серверах с помощью AES, а затем требует выкуп в 0.5-1-2 BTC, чтобы вернуть файлы. Оригинальное название: не указано. Разработчик: Tornado.
Статус: Файлы можно дешифровать! См. информацию в "Блоке обновлений".

© Генеалогия: LockCrypt > EncryptServer2018

К зашифрованным файлам добавляется расширение .2018

Зашифрованные файлы переименовываются. 
Пример зашифрованного файла: aRx9KCdQaxM7QyxMHlwoEx8hYkNdIlNV***.2018

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Attention!!!!.txt 

Содержание записки о выкупе:
Attention !!!
All your files on this server have been encrypted.
Write this ID in the title of your message
To restore the files need to write to us on e-mail:  tornado_777@aol.com or BM-2cXXgKAo8HzUmijt8KMywZYHm8xDHhxwZg@bitmessage.ch
The price for restoration depends on how quickly you write tous.
After payment we will send you a decryption tool that willdecrypt all your files.
GUARANTEES!!!
You can send us up to 3 files for free decryption.
 -files should not contain important information
 -and their total size should be less than 1 MB
HOW TO OBTAIN BITCOINS!!!
The easiest way to buy bitcoins is the LocalBitcoins website.
You need to register, click "Buy bitcoyne" and select theseller by method of payment and price
https://localbitcoins.com/buy_bitcoins
IMPORTANT !!!
Do not rename encrypted files
Do not try to decrypt your data with third-party software,this can lead to permanent data loss!
Your ID ***


Перевод записки на русский язык:
Внимание !!!
Все ваши файлы на этом сервере зашифрованы.
Напишите этот идентификатор в заголовке вашего сообщения
Чтобы восстановить файлы надо написать нам по email: tornado_777@aol.com или BM-2cXXgKo8HzUmijt8KMywZYHm8xDHhwwgg@bitmessage.ch
Цена восстановления зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифрования, который будет дешифровать все ваши файлы.
ГАРАНТИИ!!!
Вы можете отправить нам до 3 файлов для бесплатного дешифрования.
  - файлы не должны содержать важную информацию
  - и их общий размер должен быть меньше 1 МБ
КАК ПОЛУЧИТЬ БИТТОНЫ !!!
Самый простой способ купить биткойны - это сайт LocalBitcoins.
Вам надо зарегистрироваться, нажать "Buy bitcoyne" и выбрать продавца по способу оплаты и цене
https://localbitcoins.com/buy_bitcoins
ВАЖНЫЙ !!!
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных!
Ваш ID ***

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP, может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Attention!!!!.txt 
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tornado_777@aol.com
BM-2cXXgKAo8HzUmijt8KMywZYHm8xDHhxwZg@bitmessage.ch
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы (.2018) можно дешифровать!
Рекомендую обратиться по этой ссылке >>
---
Attention!
Files (.2018) can be decrypted!
I recommend getting help with this link >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LockCrypt)
 Write-up, Topic of Support
 * 

Added later:
Decrypting the LockCrypt Ransomware by Palo Alto (July 27, 2018)
***

 Thanks: 
 (victims in the topics of support)
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Unrans

Unrans Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RansomText.txt

Запиской с требованием выкупа выступает страница Tor-сайта.

Содержание записки о выкупе:
Ransomware! Your personal files have been encrypted!
Files can be recover for 0.5 Bitcoin to 1BCXdp6jc4cQiG3hpwb5sm5XfvHN1sbSkg
Encryption date : 12/01/2018 20:30:29
Check in RansomText.txt your unique ID and submit it to get your encryption key or your time limit before price increase :
Price will be increase in
0days 23hrs 59mins 42secs
To get a proof of recovering, send an encrypted file (lower than 5MB) to krom.mork@openmail.cc with your unique ID (in RansomText.txt), we will return you the orignal file.
Help With Buying Bitcoins
As soon as your payment has been received, we will unblock your unique ID and send you your key encryption. Unrans script already on infected computer or download it here : Unrans.ps1 

Перевод записки на русский язык:
Ransomware! Ваши личные файлы зашифрованы!
Файлы можно вернуть за 0,5 биткоина на 1BCXdp6jc4cQiG3hpwb5sm5XfvHN1sbSkg
Дата шифрования: 12/01/2012 20:30:29
Проверьте в RansomText.txt свой уникальный ID и отправьте его, чтобы получить ключ шифрования или ваш лимит времени до повышения цены:
Цена будет расти
0дней 23 часа 59 минут 42 секунды
Чтобы подтвердить восстановление, отправьте зашифрованный файл (менее 5 МБ) на krom.mork@openmail.cc с уникальным ID (в RansomText.txt), мы вернем вам оригинал файла.
Помощь в покупке биткоинов
Как только ваш платеж будет получен, мы разблокируем ваш уникальный ID и отправим вам ваше ключ шифрования. Unrans-скрипт уже на зараженном компьютере или загрузите его здесь: Unrans.ps1

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RansomText.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: krom.mork@openmail.cc
TOR: xxxx://hxpoklw6l556364m.onion/
BTC: 1BCXdp6jc4cQiG3hpwb5sm5XfvHN1sbSkg
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter 
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 David Montenegro‏
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.