Princess Locker

Princess Locker Ransomware

Princess Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 3 биткоина (равны $ 1800), чтобы вернуть файлы. Если оплата не поступает в установленный срок, то сумма выкупа удваивается до 6 биткоинов. Название получил от использованного логотипа Princess на сайте уплаты выкупа. Оригинальное название: Rule donkey. Разработчик: Pelican Products. 

© Генеалогия: Princess Locker > Princess Locker-2

К зашифрованным файлам добавляется случайное расширение, например, .1igw или .1cbu1. Шаблон: .[4-5_random_char]. Число знаков может быть и больше, просто в примерах были 4 или 5 знаков. 

Активность этого криптовымогателя пришлась на сентябрь 2016 г. 

Записки с требованием выкупа называются:
!_HOW_TO_RESTORE_[4-5_random_char_extension].TXT
!_HOW_TO_RESTORE_[4-5_random_char_extension].html
!_HOW_TO_RESTORE_[4-5_random_char_extension].url

Содержание записки о выкупе:
Your files are encrypted!
Your ID: ***
You can unlock .1igw files using these instructions: 
1) Read decrypting instructions on our website: 
http://6s2a2qa6sdoz4sjt.torstorm.org/
http://6s2a2qa6sdoz4sjt.onion.nu/
http://6s2a2qa6sdoz4sjt.onion.cab/
http://6s2a2qa6sdoz4sjt.onion.link/
http://6s2a2qa6sdoz4sjt.onion.to/
2) If you can't access these websites from your browser, you have to download TOR browser: https://www.torproject.org/projects/torbrowser.html
3) Follow this link via Tor Browser: http://6s2a2qa6sdoz4sjt.onion

Перевод записки на русский язык:
Твои файлы зашифрованы!
Твой ID: ***
Ты можешь разблокировать .1igw файлы, используя эти инструкции:
1) Прочитай инструкции дешифрования на нашем сайте:
http://6s2a2qa6sdoz4sjt.torstorm.org/
http://6s2a2qa6sdoz4sjt.onion.nu/
http://6s2a2qa6sdoz4sjt.onion.cab/
http://6s2a2qa6sdoz4sjt.onion.link/
http://6s2a2qa6sdoz4sjt.onion.to/
2) Если не можешь получить доступ к этим сайтам с помощью браузера, то нужно загрузить Tor-браузер: https://www.torproject.org/projects/torbrowser.html
3) Перейди по этой ссылке в Tor-браузере: http://6s2a2qa6sdoz4sjt.onion


Сайт уплаты выкупа имеет флажки-ссылки на 12 языках, которые предлагается выбрать жертве для уплаты выкупа. Что очень похоже на сайт Cerber Ransomware. Сначала надо выбрать свой язык, затем ввести полученный ID в открывшейся странице. С несуществующим ID нужная страница не откроется. Один файл предлагают дешифровать бесплатно. 

Примечательно, что вымогатели в инструкциях по оплате используют редкий термин "fiat currency" (фиатные деньги, фиатная валюта), значение которого мало кто знает.  

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .gif, .pdf, .png, .ppt, .pptx, .xls, .xlsx и др.

Файлы, связанные с этим Ransomware:
!_HOW_TO_RESTORE_[extension].TXT
!_HOW_TO_RESTORE_[extension].html
!_HOW_TO_RESTORE_[extension].url
<random_name>.EXE
RxWis.exe

Записи реестра, связанные с этим Ransomware:
См. результаты анализов.

Сетевые подключения:
myexternalip.com
6s2a2qa6sdoz4sjt.onion

cxufwls2xrlqt6ah.onion.link
103.198.0.2

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ EXE >>
VirusTotal анализ DLL >>
Symantec: Ransom.PrincessLocker >>

Степень распространённости: низкая.
Подробные сведения собираются.


Обновление от 16 февраля 2017:


Пост в Твиттере >>
Записка: @_USE_TO_FIX_JJnY.txt
Адрес: oat3viyjqoyqh3ck.onion
Скриншот сайта 

Обновление от 23 августа 2017:

Пост в Твиттере >>

Записка: !_HOW_TO_RESTORE_*.TXT

<< Две страницы Tor-сайта вымогателей

Tor-URL: royall6qpvndxlsj.onion

Содержание текста с сайта: 

Your files are encrypted!

Log into secure area to proceed with decrypting your personal data.

Your personal ID can be found in the text file «!_HOW_TO_RESTORE_*.TXT» which is stored on your PC.

***

ВНИМАНИЕ!






Для зашифрованных файлов есть декриптер



Скачать декриптер для Princess Locker v.1 >>

Read to links: 
Write-up on BC
Topic on BC
ID Ransomware

Recent additions:
Write-up on Malwarebytes
Video review by shaheresade
Princess Locker decryptor

 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 hasherezade

© Amigo-A (Andrew Ivanov): All blog articles.

HelpDCFile

HelpDCFile Ransomware 

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES и RSA, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название получил от названия записки о выкупе: help_dcfile. 

© Генеалогия: R980 > HelpDCFile

К зашифрованным файлам добавляется расширение .xxx. 
Шаблон зашифрованных файлов: [10_random_characters.xxx]

Активность этого криптовымогателя пришлась на сентябрь 2016 г.

Записки с требованием выкупа называются: help_dcfile.txt и help_dcfile.html. Они размещаются на рабочем столе и, возможно, в других заметных местах. 

Содержание записки о выкупе:
!!!!Attention!!!!
Your personal files are encrypted.
Your files have been safely encrypted on this PC: photos, videos, documents, etc. 
Encryption was produced using a unique public key AES and RSA generated for this computer.To decrypt files you need to obtain the private key which have been saved on our server. 
You only have 72 hours( 26/09/2016 12:41:47 + 72 hours ) to submit the payment!! If you dont pay in 72h , Your key will be destroyed.
How to get your files back:
To decrypt your files you have to pay 0.5 Bitcoins(BTC).
How to make payment?
1. Firstly,you have to buy bitcoins. You can buy bitcoins easily at the following site(you can skip this step if you already have bitcoins)
https://www.coinbase.com/
https://coincafe.com/
https://bitquick.co/
2. Send 0.5 bitcoins to the following bitcoin address. You dont have to send the exact amount above. You have to send at least this amount for our system.
BITCOIN ADDRESS: 1HfaCTfwsVXDitg9SgV8cR8ujYs7ZcKkto
3. Find your transaction ID(TXID) and enter TXID on the form.
4. Once you have paid to the above bitcoin address we will give you a link to decrypt key that will fix your files.
It will be sent to a public email account we have created for you.
(example) https://www.mailinator.com/inbox2.jsp?public_to=ULBPKVaSs10JVbOyZSrs 
Please wait up to 24 hours for your decrypt key to arrive.

Перевод записки на русский язык:
!!!!Внимание!!!!
Ваши личные файлы зашифрованы.
Ваши файлы безопасно зашифрованы на этом компьютере: фото, видео, документы и т.д.
Шифрование произведено с использованием уникального открытого ключа AES и RSA, созданного для этого ПК. Для расшифровки файлов надо получить секретный ключ, который сохранен на нашем сервере.
У вас есть только 72 часа (26/09/2016 12:41:47 + 72 часов) для оплаты!! Если вы не платите за 72 ч., ваш ключ будет уничтожен.
Как получить файлы обратно:
Для расшифровки файлов вы надо заплатить 0,5 биткоинов (BTC).
Как сделать платеж?
1. Сначала вы должны купить биткойны. Вы можете купить биткойны на следующих сайтах (можете пропустить этот шаг, если у вас уже есть биткойны)
https://www.coinbase.com/
https://coincafe.com/
https://bitquick.co/
2. Отправить 0,5 биткойна по Bitcoin-адресу. Вы не должны отправить точную сумму выше. Вы должны отправить по крайней мере эту сумму для нашей системы.
Bitcoin-адрес: 1HfaCTfwsVXDitg9SgV8cR8ujYs7ZcKkto
3. Найдите свой ID транзакции (TXID) и введите TXID в форму.
4. После того, как вы заплатили по указанному выше Bitcoin-адресу мы дадим вам ссылку на ключ дешифровки, который исправит ваши файлы.
Он будет направлен на адрес почты, который мы создали для вас.
(Пример) https://www.mailinator.com/inbox2.jsp?public_to=ULBPKVaSs10JVbOyZSrs
Пожалуйста, ждите до 24 часов для прихода вашего ключа дешифровки.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с HelpDCFile Ransomware:
C:\Program Files (x86)\wsW1u4.exe
help_dcfile.txt
help_dcfile.html
update.exe

Записи реестра, связанные с HelpDCFile Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
https://id-ransomware.malwarehunterteam.com/
https://www.pcrisk.com/removal-guides/10522-helpdcfile-ransomware

 Thanks: 
 Michael Gillespie
 Tomas Meskauskas
 

© Amigo-A (Andrew Ivanov): All blog articles.

Donald Trump

Donald Trump Ransomware

(фейк-шифровальщик)

   Этот крипто-вымогатель не шифрует данные пользователей с помощью AES, хотя функционал шифрования всё же имеется, а просто ищет и перемещает в папку "encrypt" файлы, имеющие определённые расширения, кодирует в base64 их имена, а затем добавляет к ним расширение .ENCRYPTED. Оригинальное название: CRPT-TRX. 

Название получил от использованной фотографии Дональда Трампа, известного кандидата в президенты США. Его имя вымогатели также вывели в название экрана блокировки. 

К зашифрованным файлам добавляется расширение .ENCRYPTED.

Текстовых записок с требованием выкупа нет. 

Распространяется с помощью email-спама и вредоносных вложений. 

В этой, находящейся в стадии разработки версии, можно просто нажать на кнопку "Unlock files", чтобы файлы были переименованы в свои исходные имена. Но функционал шифрования всё же есть, только пока не реализован. 

Ввиду того, что среди целевых файлов есть файлы для Minecraft, можно заключить, что целью вымогателей были пользователи именно этой игры. 

Список файловых расширений, подвергающихся шифрованию:
 .7z, alts.json, .assets, .avi, .bukkit.jar, .cfg, .css, .csv, .csv, .dat, .dat_mcr, .dll, .doc, .docx, .flv, .gif, .html, .icarus, .ico, .ini, .Ink, .itl, .java, .jpeg, .jpg, .js, .litemod, .log, .lvl, .m3u, .mca, .mdbackup, .menu, .Minecraft, .mp3, .mp4, .odt, .pak, .php, .png, .ppt, .pptx, .psd, .pub, .rar, .raw, .resource, .rtf, .sav, .sidn, .sk, .sln, .swf, .tax, .tex, .txt, .vb, .wma, .wmv, .wolfram, .xcf, .xml, .xxx, .yml, .zip (66 расширений, включая специальные файлы для Minecraft). 

Файлы, связанные с Donald TrumpRansomware:
CRPT-TRX.exe
<random_name>.exe

Записи реестра, связанные с Donald Trump Ransomware:
См. ниже гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Maldun анализ >>
Malwares анализ >>


Т.к. файлы всё же не шифруются, то Donald Trump Ransomware я отношу к фейк-шифровальщикам. 

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Write-up on BC
*
*
*

 Thanks:
 Lawrence Abrams
 
 

© Amigo-A (Andrew Ivanov): All blog articles.

Nagini, Voldemort

Nagini  Ransomware 

Voldemort Ransomware

  Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует ввести номер кредитной карты, чтобы оплатить выкуп. 

Название получил от от Nagini — названия огромной ядовитой змеи, принадлежащей Волдеморту, который сам изображен на экране блокировки. 

К зашифрованным файлам добавляется расширение ???.

Записки с требованием выкупа нет. Если запустить установочный файл вымогателя, то открывается блокировщик экрана с кнопкам управления.

Содержание надписей на кнопках:
Done encrypting!
Enter your credit card:
Get key!
Enter your key to decrypt the files:
Decrypt Now!

Перевод записки на русский язык:
Зашифровано!
Введи свою кредитную карту:
Получи ключ!
Введи ключ для дешифровки файлов:
Дешифровать!

Вымогатель пока находится в стадии разработки и не финализирован. По некоторым признакам можно заключить, что финальная версия может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
.bmp, .doc, .docx, .exe, .jpeg, .jpg, .pdf, .png, .ppt, .pptx, .xls, .xlsx

Файлы, связанные с этим Ransomware: 
c:\Temp\voldemort.horcrux
%UserProfile%\1.exe
%UserProfile%\Nagini.exe

Записи реестра, связанные с этим Ransomware:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run "Voldemort" = "[path_to]\Nagini.exe"

Гибиридный анализ на Payload Security >>
Детекты с него на VirusTotal >>


Степень распространённости: единичные случаи.
Подробные сведения собираются.

  Read to links:
 https://www.youtube.com/watch?v=dLLcc4oQDtI
 http://www.bleepingcomputer.com/news/security/the-nagini-ransomware-sics-voldemort-on-your-files/

  Thanks:
  CyberSecurity GrujaRS
 Michael Gillespie (Demonslay335)
 Lawrence Abrams (Grinler)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cyber SpLiTTer Vbs

Cyber SpLiTTer Vbs Ransomware

Cyber SpLiTTer NextGen 

Cyber SpLiTTer Android Ransomware

(фейк-шифровальщик)

(шифровальщик-вымогатель)

   Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 1 биткоин за дешифровку файлов. Название оригинальное, написано в окне экрана блокировки. Новая версия уже шифрует данные с помощью AES-256. Разработчик: Cyber SpLiTTer Vbs Team, Cyber SpLiTTer. 

Файлы можно расшифровать в некоторых случаях. 

© Генеалогия: HiddenTear >> Cyber SpLiTTer Vbs > более новые варианты и проекты > Cyborg Ransomware, Cyborg Builder Ransomware > Ransomware for Android

В версии, найденной в сентябре 2016, на самом деле ничего не шифровалось, вымогатели брали на испуг и демонстрировали следующий экран с биткоин-адресом для уплаты выкупа. 

Записки с требованием выкупа не было. Вымогатель по примеру Cerber произносил следующую фразу: "your pictures, videos, and, documents, are, encrypted".

Перевод на русский язык:
твои изображения, видео и документы зашифрованы.

По мнению специалистов на момент написания этой статьи вымогатель находился в разработке и не распространялся. 

Теневые копии файлов удаляются командой:
C:\Users\User_name>vssadmin delete shadows /for={volume} /oldest /all /shadow={ID of the Shadow} /quiet

Файлы, связанные с этим Ransomware:
Cyber SpLiTTer Vbs.exe
<random>.exe
Текстовые записки о выкупе в новых версиях.

Детект на VirusTotal >>

Т.к. файлы всё же не шифруются, то сентябрьскую версию Cyber SpLiTTer Vbs Ransomware я отношу к фейк-шифровальщикам. 

Но версия от 3 ноября 2016 уже шифрует данные и показывает текстовую записку о выкупе. 

Степень распространённости: низкая.
Подробные сведения собираются. 

Смотрите более новые версии и варианты ниже. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 3 ноября 2016:
Файлы: Cyber SpLiTTer Vbs.exe
Записка: READ@My.txt
Результаты анализов: VT, VT


Вариант от 7 ноября 2016:
Версия: 2.0
Имя файла: Ransom.exe
Фальш-имя: Windows Internet Explorer
Результаты анализов: VT, VT
<= Экран блокировки
Thanks: Karsten Hahn



Вариант от 17 января 2017:
Пост в Твиттере >>
Имя файла: Microsoft office.exe
Фальш-имя: Microsoft office
Результаты анализов: VT
<= Экран блокировки
Код разблокировки: 123456789cybersplittervbs
Thanks: Karsten Hahn  






Вариант от 13-14 февраля 2017:
Пост в Твиттере >>
Название: Blue Eagle
Файл: Runsome.exe
Видеообзор от GrujaRS / Video review by GrujaRS
Результаты анализов: HA+VT, HA+VT. 
Скриншоты >>

 

Вариант от 14 февраля 2017:
Пост в Твиттере >>
Имя файла: Microsoft office.exe
Фальш-имя: Microsoft office
Результаты анализов: HA, VT
<= Экран блокировки
Код разблокировки: 123456789simoxbebsimoxben987654321
Особенности: пытается распространяться с помощью autorun.inf

Вариант от 21 августа 2017:
Пост в Твиттере >>
Файлы: STUB.exe
Расширение: .Isis
Email: mifoudz19@gmail.com
BTC: 31zwsxv9xr2W6mnUdJTDNxhBch2gWUGuSx
Результаты анализов: HA+VT
<< Скриншот экрана блокировки






Вариант от 29 сентября 2017:
Название: Cyborg Builder Ransomware (Cyber SpLiTTer)
Видеообзор крипто-строителя >>

Вариант от 19 марта 2018:
Пост в Твиттере >>
Private Builder Ransomware v2.01 
🎥 Видеообзор >>
Расширение: .Isis
Записка: @-Decrypt-@.txt
Файл: Process_Hacker3.exe
Результаты анализов: HA + VT
Скриншоты записок >>

Вариант без указания даты: 

Вариант от 29 мая 2019:

Надпись на скриншоте:

This Code Was Successfully Encrypted By 5H311_1NJ3C706

Contact Email : HackerBaloch07@gmail.com

xxxxs://darknet-cyber.blogspot.com/

####### BLACK_PHANTOM_CYBER #######

Вариант от 12 октября 2019:

Сообщение на форуме о выходе Cyborg Builder Ransomware V2

Telegram: xxxxs://t.me/Cyborg_SpUTTer

Email: HackerBaloch07@gmail.com

Вариант от 12 февраля 2020:

➤ Содержание текста с экрана: 

!!! YOUR FILES HAVE BEEN ENCRYPTED WITH RANSOMWARE !!!

The Key to Decrypt Your Files Will Be DELETED in 7 Days

Send Me 0.3 Bitcoins (You Have Only 7 Days From Now)

Bitcoin Address: 1BDCsTttBiGM79hBK9svG7nEi47eaMBaQa

Send Proof of Payment Transactions via Email:

HackerBaloch07@gmail.com

I Will Send You the Key to Decrypt Your Files

Вариант от 18 октября 2020: 

Пост в Твиттере >>

Самоназвание: TinyEvil 

Email: hackerbaloch07@gmail.com

BTC: 1KyTKXNY4WVVDfdWdXaSsm6t59rRyufNyB

➤ Содержание текста с экрана: 

*** Military Grade Encryption Algorithm. There Is No WayTo Restore Your Data *** Decrypt Key.

To Purchase Your Key And Restore Your Data, Please Follow These Easy Steps:

1. Send $1000 Worth Of Bitcoin To Following Address: 

1KyTKXNY4WVVDfdWdXaSsm6t59rRyufNyB

2. Send Proof of Bitcoin Payment Transactions to My Email: HackerBaloch07@gmail.com

3. And You Will Get the Decryption Key

- - -

- - -

If you already purchased your key, please enter it below. 

Key: _

---

Функционал:  Задержка исполнения. Обход антивируса. Блокировка экрана. Шифрование: AES 256. 

ICQ : Cyber_SpLiTTer

Сайт: xxxxs://darknet-cyber.blogspot.com/2020/03/anonymous-ransomware-new-version-20.html

Сайт: xxxxs://mirror-h.org/zone/2564044/

Вариант от 7 октября 2020: 

Сообщение >>  Сообщение >>  Сообщение >>

Расширение: .Crypted

Шифрование: SHA1 + AES-128

Файлы можно расшифровать. Пароль хранится в shared_pref. 

URL: xxxx://blockschain.great-site.net/

 

 

Файл: free.apk

Результаты анализов: VT + IA

➤ Обнаружения: 

Avira (no cloud) -> ANDROID/Agent.cxwkf

DrWeb -> Android.Encoder.11.origin

ESET-NOD32 -> A Variant Of Android/Agent.BIO

Kaspersky -> HEUR:Trojan.AndroidOS.Boogr.gsh

Microsoft -> Trojan:AndroidOS/Banker.D!MTB

Symantec -> Trojan.Gen.MBT

Symantec Mobile Insight -> Other:Android.Reputation.1

Tencent -> Dos.Trojan.Boogr.Wtdj

---

 

Содержание текста о выкупе (на индонезийском языке): 

Ups, Ponsel Anda Di Bloked Oleh Cyber_SpLiTTer. semua foto dan file Anda dienkripsi (terkunci) dan Anda akan menemukan nama pengguna Anda di bawah. kirim email ke sini Shadows_Brokers@protonmail.com dengan nama pengguna Anda. dan dapatkan kunci pribadi Anda dan dekripsi file Anda dalam waktu kurang dari 2 menit. Jadi, Anda memiliki waktu 24 jam untuk mendapatkan kuncinya. Kunci Anda akan secara otomatis dihapus dari server kami dan file juga akan otomatis dihapus dan tidak akan dipulihkan selamanya ... Semoga hari Anda menyenangkan!!!

---

Перевод текста на русский язык: 

Увы, Ваш телефон заблокирован Cyber_SpLiTTer. Все Ваши фотографии и файлы зашифрованы (блокированы), и Вы найдете свое имя пользователя ниже. Отправьте email на Shadows_Brokers@protonmail.com с Вашим именем пользователя. И получите ваш закрытый ключ и расшифруете файлы за менее 2 минуты. Итак, у Вас 24 часа, чтобы получить ключи. Ваши ключи будут автоматически удалены с наших серверов, и файлы тоже будут автоматически удалены и их не вернуть никогда... Хорошего Вам дня!!!

---

➤ Скриншоты от исследователей:

Обновление от 11 февраля 2021:

Записка: ReadMe.txt

➤ Содержание записки: 

Congratulations, All Your Android Data Is Infected With Ransomware. 

To get the Decryption Tool, you only need to pay me $ 100 to the Bitcoin address: 1ESP1rhVNhskqWY8633k7qvaWWUFNjmogr 

Or you can contact me with ICQ: https://icq.im/Cyber_SpLiTTer

---

➤ Текст на сайте:

Greetings, This Website Has Been Encrypted Ransomware.

HOW TO UNLOCK MY FILE AND DATABASE?

Oops, All Your Files, Documents, Photos, Databases And Other Important Files Are Encrypted. To Restore The Encrypted File, Please Send $300 To My Bitcoin Address.

Copy The Bitcoin Address Below:

1ESP1rhVNhskqWY8633k7qvaWWUFNjmogr

Or You Can Contact Me Through the Links Below:

https://icq.im/Cyber_SpLiTTer

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Read to links:
Tweet on Twitter
Write-up on BC
***

 Thanks:
Karsten Hahn, Lawrence Abrams
Michael Gillespie, GrujaRS
Andrew Ivanov (article author)

© Amigo-A (Andrew Ivanov): All blog articles.