XeroWare

XeroWare Ransomware

XeroWare Ransom 1.2

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: XeroWare Ransom 1.2. На файле написано: XeroWare.exe.

© Генеалогия: HiddenTear >> XeroWare

К зашифрованным файлам добавляется расширение: .XERO

  Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: XeroWare_ReadME.txt

Содержание записки о выкупе:
Your files have been encrypted and your computer has been infected with XeroWare Ransom 1.2.
Q&A:
1) What Should I do?
A: Pay the specific amount we are asking from you in order to decrypt your files.
2) Can i try to remove the malware?
A: If you try anything your files will be removed, YOU have been WARNED.
3) How can i pay in order to decrypt my files ?
A: Copy the provided btc address and send the money.
4) How do i verify my payment?
A: You provide the payment transaction ID and you click confirm transaction.
5) What will happen if the payment transaction is not valid?
A: If you try to provide anything alike to fake or not valid your files will be destroyed permanetly.
6) I have paid and verified my transaction how do i decrypt my files?
A: If you have paid and verified your transaction just simply click the decrypt button and everything will revert back to normal.
You have 96 hours in order to complete that task, otherwise your files will be destroyed.
Time has already started...

Перевод записки на русский язык:
Ваши файлы были зашифрованы и ваш компьютер был заражен XeroWare Ransom 1.2.
Вопрос & Ответ:
1) Что мне делать?
О: Оплатите определенную сумму, которую мы просим у вас, чтобы расшифровать ваши файлы.
2) Могу ли я попытаться удалить вредоносное ПО?
A: Если вы попробуете что-то, ваши файлы будут удалены, Вы были ПРЕДУПРЕЖДЕНЫ.
3) Как я могу заплатить, чтобы расшифровать мои файлы?
A: Скопируйте предоставленный адрес btc и отправьте деньги.
4) Как я могу подтвердить свой платеж?
A: Вы предоставляете ID транзакции платежа и вы нажимаете подтверждение транзакции.
5) Что произойдет, если транзакция платежа недействительна?
A: Если вы пытаетесь предоставить что-то типа поддельное или недействительное, ваши файлы будут уничтожены навсегда
6) Я оплатил и подтвердил свою транзакцию, как я могу расшифровать мои файлы?
A: Если вы оплатили и подтвердили свою транзакцию, просто нажмите кнопку дешифрования, и все вернется в нормальное русло.
У вас есть 96 часов, чтобы выполнить эту задачу, иначе ваши файлы будут уничтожены.
Время уже пошло...

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
XeroWare_ReadME.txt
XeroWare.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab-Recovery

Scarab-Recovery Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Написан на Delphi.

© Генеалогия: Scarab >> Scarab Family > {update encryptor} > Scarab-Recovery

Это изображение — логотип статьи. Изображает скарабея с диском и глобусом.

This image is the logo of the article. It depicts a scarab with a disk recovery and a globe.

К зашифрованным файлам добавляется расширение: .BD.Recovery

Файлы не переименовываются. Пример зашифрованных файлов:
Instruct.xml.BD.Recovery
My_documents.doc.BD.Recovery


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER  FILES.TXT

Содержание записки о выкупе:
=======================================================================
                         All your files are encrypted!!!!!!
=======================================================================
Your documents, photos, databases and other important data were encrypted.
Data recovery requires a decryptor.
To receive the decryptor, you should send an email to the email address:
bd.recovery@aol.com or bd.recovery@india.com
In the letter, indicate your personal identifier (see at the end of the document).
Then you will receive further instructions
Attention!
  * Do not attempt to uninstall the program or run antivirus software
  * Attempts to self-decrypt files will result in the loss of your data
=======================================================================
----------------------------------------------------------------------------------
6A02000000000000***95EA03
----------------------------------------------------------------------------------

Перевод записки на русский язык:
=======================================================================
Все ваши файлы зашифрованы !!!!!!
=======================================================================
Ваши документы, фото, базы данных и другие важные данные были зашифрованы.
Для восстановления данных требуется дешифратор.
Чтобы получить дешифратор, вы должны отправить email на email-адрес:
bd.recovery@aol.com или bd.recovery@india.com
В письме укажите свой личный идентификатор (см. в конце документа).
Затем вы получите дополнительные инструкции
Внимание!
   * Не пытайтесь удалить программу или запустить антивирусную программу
   * Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
=======================================================================
----------------------------------------------------------------------------------
6A02000000000000***95EA03
----------------------------------------------------------------------------------

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bd.recovery@aol.com
bd.recovery@india.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 28 июля 2019:
Расширение: .rsalive
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: recoverysupp@aol.com
BTC: 12GFeyrq3RgeLfGSxs3qWn7RnUQW14Ndda
➤ Точно неизвестно, какая группа запустила этот вариант, но ключевым словом послужило слово "recovery" в тексте и логине email. 

➤ Содержание записки: 
******************************************************************************************
                          Your Files are Now Encrypted! 
******************************************************************************************
All your files have been encrypted due to a security problem with your PC.
Now you need to buy a Recovery Key! Recovery Key price is ~ $200 in Bitcoins.
If you are ready to buy a Recovery Key -> Send (0.025) Bitcoin Wallet.
Bitcoin Wallet -> 12GFeyrq3RgeLfGSxs3qWn7RnUQW14Ndda (0.025)
After that write to us on email address: recoverysupp@aol.com
After payment we will send you the decryption tool that will decrypt all your files. 
You should send us email with your Personal Identifier.
******************************************************************************************
                           Free Decryption as Guarantee!
******************************************************************************************
Free decryption as guarantee!
Before paying you can send us up to 1 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins? 
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 
   'Buy bitcoins', and select the seller by payment method and price: 
   https://localbitcoins.com/buy_bitcoins 
 * Also you can find other places to buy Bitcoins and beginners guide here:   
   http://www.coindesk.com/information/how-can-i-buy-bitcoins   
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.  
******************************************************************************************
Your Personal Identifier:
pAQAAAAAAAB***Eloj3skM
******************************************************************************************

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
Или прочтите инфу по ссылке. Мой перевод рядом. 
Or ask for help using this link. My translation beside.

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 

 Thanks: 
 (victims in the topics of support)
 Andrew Ivanov, Emmanuel_ADC-Soft
 Michael Gillespie, Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BlackFireEye

BlackFireEye Ransomware

BlackRansomwareFireeye

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BlackRansomwareFireeye. На файле написано: нет данных.

© Генеалогия: AresCrypt >> BlackFireEye, Cyspt Ransomware

К зашифрованным файлам добавляется расширение: .jes


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Содержание текста о выкупе:
What is happening?
Well, Your important files are encrypted by this Ransomware modified by Fireeye.
The documents more importants like photos, videos, databases, and other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recover your files, but do not waste your time. You will not be able to recover your files without our decryption service.
Is it possible to recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time. You can decrypt some of your
files for free.Try now by clicking <Decrypt>. But if you want to decrypt all your files, you need to pay. You only have 3 days to submit the payment. After that the price will be doubled. Also, if you don't pay in 7 days, you won't be able to recover your files forever.
How Do I Pay?
Payment is accepted in Bitcoin and ZCash only. For more information, click <About bitcoin>. Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.
And send the correct amount to the address specified in this window. After your payent, click <Check Payment>. Once the payment is checked, you can start decrypting your files immediately.
Contact
If you need our assistance, send a message by clicking <Contact Us>. We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!

Перевод текста на русский язык:
Что происходит?
Ну, ваши важные файлы зашифрованы этим Ransomware, измененным Fireeye.
Документы, более важные, такие как фото, видео, базы данных и другие файлы, недоступны, т.к. они были зашифрованы.
Возможно, вы ищете способ восстановить свои файлы, но не тратьте свое время. Вы не сможете восстановить файлы без нашей службы расшифровки.
Можно ли восстановить Мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас мало времени. Вы можете расшифровать некоторые из своих файлы бесплатно. Попробуйте сейчас, нажав <Decrypt>. Но если вы хотите расшифровать все ваши файлы, вам нужно заплатить. У вас есть только 3 дня отправить платеж. После этого цена будет удвоена. Кроме того, если вы не платите за 7 дней, вы не сможете восстановить свои файлы никогда.
Как мне оплатить?
Оплата принимается только в биткоине и ZCash. Для получения дополнительной информации нажмите <About bitcoin>. Пожалуйста, проверьте текущую цену биткоина и купите несколько биткоинов. Для получения дополнительной информации нажмите <How to buy bitcoins>.
И отправьте правильную сумму по адресу, указанному в этом окне. После вашего платежа нажмите <Check Payment>. Как только платеж будет проверен, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>. Мы очень рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите, и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, она не сможет восстановить ваши файлы, даже если вы заплатите!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BlackRansomwareFireeye.exe - файл вымогателя
CrackerSocialNetwork V3.5.exe - файл дроппера
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
https://ipinfo.io/ - сервис используется
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ дроппера >>
𝚺  VirusTotal анализ пейлоада >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as AresCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PoisonFang

PoisonFang Ransomware

(шифровальщик-вымогатель, Eduware)

Translation into English

Этот крипто-вымогатель создан для исследовательских целей и может шифровать данные, а затем сообщить условные требования о том, как вернуть файлы. Оригинальное название: PoisonFang. На файле написано: Poisonfang - A C# Ransomware, Ransomware Project Spring 18 и PoisonfangDropper.exe. Для x64-систем Windows. Разработчики: Omer Kohen, Tal Porat (Израиль). 

© Генеалогия: выясняется.

Изображение из ресурсов (значок файла)

Этимология названия:
PoisonFang (англ.) — ядовитый зуб (клык). 

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской с требованием выкупа выступает следующий экран.

Содержание текста со скриншота:
THIS SOFTWARE IS FOR ACADEMIC RESEARCH PURPOSES ONLY!
Poisonfang was developed as part of a ransomware project at the Technion Israel Institute of Technology

Перевод текста на русский язык:
ЭТА ПРОГРАММА ТОЛЬКО ДЛЯ АКАДЕМИЧЕСКИХ ИССЛЕДОВАНИЙ!
Poisonfang был разработан в рамках Ransomware-проекта в Технион, Израильском технологическом институте

Технические детали

Сообщается, что это некий академический (образовательный проект). 
После некоторой доработки может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. 

➤ Останавливает службу "Журнал событий" и очищает журналы. 
Останавливает также ряд системных служб Windows. 

➤ Прекращает работу ряда антивирусов (Avast, Microsoft, Panda, Immunet, ESET, F-PROT, Ikarus, ClamAV и др.). 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PoisonfangDropper.pdb - файл проекта
\P0150N\ - папка с завуалированным словом "POISON"
PoisonfangDropper.exe
PoisonfangService.exe
PoisonfangService.InstallLog
PoisonfangService.InstallState
PoisonfangUI.exe
PoisonBrowserExtractor.exe
fang.ico
Poisondrop.zip
и другие

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\P0150N\PoisonfangService.exe
C:\Windows\P0150N\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://poisonfangproject.azurewebsites.net/
xxxx://victimblob.blob.core.windows.net
xxxx://192.168.56.152:2869/upnphost/udhisapi.dll?content=uuid:4f8e1a2d-3fec-4a15-86de-6f8fafe83a56
xxxx://[fe80::c8c7:a44f:142b:cf30]:2869/upnphost/udhisapi.dll?content=uuid:4f8e1a2d-3fec-4a15-86de-6f8fafe83a56
xxxx://ocsp.msocsp.com0
xxxx://www.microsoft.com/pki/mscorp/cps0
xxxx://ocsp.digicert.com0
xxxx://crl3.digicert.com/Omniroot2025.crl0=
xxxxs://webcourse.cs.technion.ac.il/236499/Spring2018
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as PoisonFang)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.