Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
К заблокированным файлам добавляется расширение: .Lock Файлы заперты в архив с паролем, а затем архивное расширение заменено на .Lock Вероятно, что применено шифрование AES-256, которое обеспечивается технологией WinRar.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало и середину июля
2018 г., зафиксирована в Индии. Атаки с использованием этого вымогательства были продолжены также в сентябре 2018 года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Судя по записке вымогатели плохо знают английский язык, но это также могло быть намеренным искажением английских фраз. Записка с требованием выкупа называется: how to unlick your files.txt
Содержание записки о выкупе: HOW to unlock your file? send Msg on telegram messanger on : https://t.me/ruberfiles or id : @ruberfiles We help you for unlocking your Files for get your PW files pm we on telegram messanger god luck Перевод записки на русский язык: Как разблокировать файл? отправь месагу на telegram-мессенджер: https://t.me/ruberfiles или id: @ruberfiles Мы поможем тебе разблокировать твои файлы как получить твои PW файлы, мы сообщим в telegram-мессенджере удачи
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся блокировке: Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр. Файлы, связанные с этим Ransomware: alldata.Lock - все данные в архиве с паролем for trust send us.Lock - специальный файл how to unlick your files.txt - записка о выкупе javid-V2-update.zip - возможный файл-источник вируса <random>.exe - файл со случайным названием Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ ->
Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: xxxx://t.me/ruberfiles @ruberfiles - аккаунт вымогателей активен
См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid анализ >> 𝚺 VirusTotal анализ >> 🐞 Intezer анализ >> Ⓥ VirusBay образец >> ⴵ VMRay анализ >> ᕒ ANY.RUN анализ >> 👽 AlienVault анализ >> 🔃 CAPE Sandbox анализ >> ⨇ MalShare анализ >> ⟲ JOE Sandbox анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 1 октября 2018: Топик на форуме >> AllDataLocked.Lock - все данные в архиве с паролем Fortrust send us.Lock - специальный файл How to unlock your files.txt - записка о выкупе Содержание записки: HOW to unlock your file? send Msg on telegram messanger on : https://t.me/ruberfiles or id : @ruberfiles We help you for unlocking your Files for get your PW files pm we on telegram messanger god luck
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Этимология названия: Nar - на турецком и азербайджанском: гранат К зашифрованным файлам добавляются расширения: .fully.cryptoNar - при полном шифровании; .partially.cryptoNar - при частичном шифровании. Точнее: Файлы с расширениями .txt или .md шифруются целиком и к имени зашифрованного файла добавляется расширение .fully.cryptoNar
Файлы всех остальных типов шифруются частично (только первые 1024 байта) и получают расширения .partially.cryptoNar Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец августа
2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: CRYPTONAR RECOVERY INFORMATION.txt
Содержание записки о выкупе: Your important files including photos, videos, documents, databases, etc. Were encrypted with our CryptoNar ransomware. The only way to get your files back is to pay us. Otherwise, your files will be lost forever. Important note: Removing CryptoNar will not restore access to your encrypted files. Encryption was made using a unique RSA-2048 public key generated for this computer, to decrypt files you need to acquire the private key (decryption key). The only copy of the private key, which will allow you to decrypt your files, is located on a secret server in the Internet; the server will eliminate the key after 72 hours since its generation (since the moment your computer was infected), once this has been done, nobody will ever be able to restore your files. In order to receive your decryption key, you will have to pay $200 in bitcoins to this bitcoin address: 1FeutvrVeiF8Qdnnx9Rr3CyBfHBCFeKWPq When time comes to send the bitcoins to us, make sure to include your e-mail and your personal ID (you can see it below) in the extra information box (it may apper also as 'Extra Note' or 'optional message') in order to get your personal decryption key. It may take up to 6-8 hours to take your personal decryption key. After the payment was made, and you received your decryption key, just press the decryption button in the decryptor (located on the desktop). Enter your decryption key you received, and wait until the decryption process is done. Your ID: BCBEF350078BFBFF000206A7 Перевод записки на русский язык: Ваши важные файлы, включая фото, видео, документы, базы данных и т. Д. Зашифрованы с помощью нашего CryptoNar ransomware. Единственный способ вернуть ваши файлы - это заплатить нам. В противном случае ваши файлы будут потеряны навсегда. Важное примечание. Удаление CryptoNar не приведет к восстановлению доступа к вашим зашифрованным файлам. Шифрование было выполнено с уникальным открытым ключом RSA-2048, сгенерированным для этого компьютера, для дешифрования файлов, необходимых для получения секретного ключа (ключ дешифрования). Единственная копия закрытого ключа, которая позволит вам расшифровать ваши файлы, находится на секретном сервере в Интернете; сервер удалит ключ через 72 часа с момента его создания (с момента заражения вашего компьютера), как только это будет сделано, никто никогда не сможет восстановить ваши файлы. Чтобы получить ключ дешифрования, вам придется заплатить $200 в биткоинах на этот биткоин-адрес: 1FeutvrVeiF8Qdnnx9Rr3CyBfHBCFeKWPq Когда придет время отправить нам биткоины, обязательно добавьте свой email и свой личный ID (вы можете увидеть его ниже) в дополнительном информационном поле (оно может также использоваться как «Особая записка» или «опциональное сообщение») чтобы получить ваш личный ключ дешифрования. Для принятия вашего личного ключа дешифрования может потребоваться до 6-8 часов. После того, как платеж был сделан, и вы получили ключ дешифрования, просто нажмите кнопку дешифрования в дешифраторе (расположенном на рабочем столе). Введите полученный ключ дешифрования и дождитесь завершения процесса дешифрования. Ваш ID: BCBEF350078BFBFF000206A7 Информатором жертвы также выступает экран блокировки:
Технические детали
Распространяется как триал-резет к продуктам Kaspersky.
На скриншоте видно название файла проекта kasperskytrialreset.pdb и связь с предыдущим CryptoJoker Ransomware (2017 года) и его запиской CryptoJoker Recovery Information.txt Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. ➤ UAC не обходит. Требуется разрешение на запуск. ➤ Файлы с расширениями .txt или .md шифруются целиком и к имени зашифрованного файла добавляется расширение .fully.cryptoNar
Параметры для файлов .txt и .md и других
Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: CRYPTONAR RECOVERY INFORMATION.txt CryptoNar.exe asdfc4.exe <random>.exe - случайное название narnar - название проекта kasperskytrialreset.pdb - файл проектаCryptoNarDecryptor.exe
Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Мьютексы: CryptNarWalker90912 CryptNarWalkerDecryptor90912 Global\.net clr networking Сетевые подключения и связи: ➤ Домены: smtp.zoho.eu config.edge.skype.com s-0001.s-msedge.net client-office365-tas.msedge.net afdo-tas-offload.trafficmanager.net vip5.afdorigin-prod-bl02.afdogw.com ➤ IP: 185.20.209.34 13.107.3.128 40.121.213.159 157.56.120.208 95.222.164.48 ➤Email: johnstang@zoho.eu johnsmith987654@tutanota.com ➤ BTC: 1FeutvrVeiF8Qdnnx9Rr3CyBfHBCFeKWPq См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid анализ >> 𝚺 VirusTotal анализ >> 🐞 Intezer анализ >> Ⓥ VirusBay образец >> ⴵ VMRay анализ >> ᕒ ANY.RUN анализ >> 👽 AlienVault анализ >> 🔃 CAPE Sandbox анализ >> ⨇ MalShare анализ >> ⟲ JOE Sandbox анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
CryptoJoker 2016 Ransomware - январь 2016 Executioner Ransomware - начало июня 2017 CryptoJoker 2017 Ransomware - середина июня 2017 ExecutionerPlus Ransomware - декабрь 2017 CryptoNar (CryptoJoker 2018) Ransomware - август 2018 CryptoJoker 2019 Ransomware - сентябрь 2019 CryptoJoker 2020 Ransomware - ноябрь 2020
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 5 сентября 2018: Пост в Твиттере >> К зашифрованным файлам добавляются расширения: .fully.cryptoloker - при полном шифровании; .partially.cryptoloker - при частичном шифровании.
Изображение только логотип статьи (термит в маске анонима)
К зашифрованным файлам добавляется расширение: .aaaaaa
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец августа
2018 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе: ***t314.520@qq.com*** Перевод записки на русский язык: ***t314.520@qq.com***
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Использует системные takeown.exe и icacls.exe для получения админ-прав на файл mswsock.pdb и смены владельца. ➤Использует in-addr.arpa и ip6.arpa Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: Tool.xls.exe Payment.exe Termite.exe <random>.exe - случайное название mswsock.pdb - название проекта Расположения: %USERPROFILE%\Desktop\Payment.exe \Desktop\ -> \User_folders\ -> \%TEMP%\ ->
Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: t314.520@qq.com См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid анализ >> 𝚺 VirusTotal анализ >> 🐞 Intezer анализ >> Ⓥ VirusBay образец >> ⴵ VMRay анализ >> ᕒ ANY.RUN анализ >> 👽 AlienVault анализ >> 🔃 CAPE Sandbox анализ >> ⨇ MalShare анализ >> ⟲ JOE Sandbox анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Изображение только логотип статьи (кассета и мешок биткоинов)
К зашифрованным файлам добавляется расширение: .cassetto
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на конец августа
2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Известно о пострадавших из Италии. Записка с требованием выкупа называется: IMPORTANT ABOUT DECRYPT.txt
Содержание записки о выкупе: L!W2Be%BS4 WARNING!! YOU ARE SO F*UCKED!!! Your Files Has Encrypted What happened to your files? All of your files were protected by a strong encryptation There is no way to decrypt your files without the key. If your files not important for you just reinstall your system. If your files is important just email us to discuss the the price and how to decrypt your files. You can email us to omg-help-me@openmailbox.org We accept just BITCOIN if you don´t know what it is just google it. We will give instructions where and how you buy bitcoin in your country. Price depends on how important your files and network is. It could be 0.5 bitcoin to 25 bitcoin. You can send us a encrypted file for decryption. Fell free to email us with your country, computer name and username of the infected system. --- *| Красным выделены слова с явными ошибками. Перевод записки на русский язык: L!W2Be%BS4 ПРЕДУПРЕЖДЕНИЕ!! ВЫ ВЗЛОМАНЫ !!! Ваши файлы зашифрованы Что случилось с вашими файлами? Все ваши файлы были защищены сильным шифрованием Невозможно расшифровать файлы без ключа. Если ваши файлы не важны для вас, просто переустановите свою систему. Если ваши файлы важны, просто напишите нам, чтобы обсудить цену и как расшифровать ваши файлы. Вы можете написать нам по адресу omg-help-me@openmailbox.org. Мы принимаем только BITCOIN, если вы не знаете, что такое просто гуглите. Мы дадим указания, где и как вы покупаете биткойн в своей стране. Цена зависит от того, насколько важны ваши файлы и сеть. Это может быть 0.5 биткойна до 25 биткойнов. Вы можете отправить нам зашифрованный файл для дешифрования. Не стесняйтесь сообщить нам по email вашу страну, имя компьютера и имя пользователя зараженной системы.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: IMPORTANT ABOUT DECRYPT.txt <random>.exe - случайное название Расположения: \Desktop\ -> \User_folders\ -> \%TEMP%\ ->
Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: omg-help-me@openmailbox.org См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. Результаты анализов: Ⓗ Hybrid анализ >> 𝚺 VirusTotal анализ >> 🐞 Intezer анализ >> Ⓥ VirusBay образец >> ⴵ VMRay анализ >> ᕒ ANY.RUN анализ >> 👽 AlienVault анализ >> 🔃 CAPE Sandbox анализ >> ⨇ MalShare анализ >> ⟲ JOE Sandbox анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 
Read to links: Сообщения в СМИ, Сообщения в СМИ + myTweet ID Ransomware (ID as ***) Write-up, Topic of Support *
Thanks: (victims in the topics of support) Andrew Ivanov * *
