NxRansomware

NxRansomware Ransomware

(шифровальщик-вымогатель, Open Source)

Это вымогательский Open Source проект, выложен на GitHub в конце марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Разработчик: Guilherme Bacellar Moralez. Ник в GitHub: guibacellar. 

Среда разработки: .Net Framework 4.5 + C&C System
Шифрование: AES / RSA
Исполняемый файл: GoogleUpdate.exe
Результаты анализов: HA + VT
Фальш-имя: Google Software Update. 
Фальш-копирайт: Google Inc. 
Этимология названия: Nx = Next / т.е Next Ransomware 

К зашифрованным файлам добавляется настраиваемое расширение, например, .lock

Запиской с требованием выкупа выступает экран блокировки, в котором можно написать свой текст. 

Технические детали + IOC

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.AVI, .C, .CLASS, .CONFIG, .CPP, .CS, .CSC, .DBX, .DOC, .DOCX, .EML, .GIF, .GZ, .H, .JAVA, .JPG, .JS, .JSON, .JSP, .MBX, .MP3, .MP4, .MPEG, .MSG, .NEF, .PDF, .PHP, .PNG, .PPT, .PPTX, .PST, .PY, .R, .RAR, .TAR, .TXT, .VB, .VBS, .WAB, .XAML, .XLS, .XLSX, .ZIP (43 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы, скрипты и пр.

Файлы, связанные с этим Ransomware:
GoogleUpdate.exe
master_pri_key.info
master_public_key.info

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 декабря 2017:

Пост в Твиттере >>
Файл: GoogleUpdate1.exe
Фальш-имя: Google Update1
Результаты нализов: VB + VT + TG
➤ Содержание записки: 

I'll Make you Cry :D:D

---

What has happened To your Computer?

Your computer has been encrypted

Its better to pay ransom

Or we are going to make you feel sorry

Then nobody will help you out

Can I Recover my files back?

Yes you can. Just pay us the bit coins and we will send you decryption code

Then paste that code inside the decryption module and get everything back

How do I pay bitcoin?

Just follow the link below.

Buy and send us.

---

Send Us BitCoins of $300 worth and we will send you decryption key:

12t9dfsad5fsd6das5da64f98f4a5sasdsak

 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as NxRansomware)
 Write-up, Topic

 Thanks: 
 Michael Gillespie
 Karsten Hahn
 Alex Svirid

© Amigo-A (Andrew Ivanov): All blog articles.

Pr0tector

Pr0tector Ransomware

Sorebrect Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .pr0tect

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Сначала распространялся в ближневосточных странах (Кувейт, Ливан). Но к началу мая уже был в Канаде, Китае, Тайване, Японии, Хорватии, Италии, Мексике, России, США. 

Записки с требованием выкупа называются: READ ME ABOUT DECRYPTION.txt

Содержание записки о выкупе:
Your files were encrypted.
Your personal ID is: PCHOSTNAME#601E1*****470
To buy private key for unlocking files please contact us:
pr0tector@india.com
pr0tector@tutanota.com
Please include the ID above.

Перевод записки на русский язык:
Ваши файлы зашифрованы.
Ваш личный ID: PCHOSTNAME # 601E1*****470
Чтобы купить закрытый ключ для разблока файлов, напишите нам:
pr0tector@india.com
pr0tector@tutanota.com
Включите ID, что выше.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует возможности легитимной утилиты PsExec, которая позволяет системным администраторам выполнять команды или запускать исполняемые файлы на удаленных системах. Он активно развертывает PsExec и выполняет инъекцию кода. Потом инжектирует свой код в системный процесс svchost.exe, чтобы далее легитимно шифровать файлы. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ ME ABOUT DECRYPTION.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
pr0tector@india.com
pr0tector@tutanota.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Pr0tector)
 Write-up by TrendMicro, Topic
 * 

 Thanks: 
 Michael Gillespie
 Buddy Tancio (TrendMicro)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AnDROid

AnDROid Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться с вымогателем, чтобы вернуть файлы. Оригинальные названия: AnDROid и Encrypt Ransome. Разработчик: humanpuff69. Код разблокировки: 62698b8ff9e416d9a7ac0fb3bd548b96

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid / FTSCoder >> AnDROid

К зашифрованным файлам добавляется расширение .android

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

 

Скриншот экрана блокировки

Анимированное изображение "говорящего" черепа

Содержание текста о выкупе:
Hy, sorry your files has been encrypted.
But, not all your file encrypted
Klick "Contact Me" and i will give your key.
"Contact Me"
Contact Me:
Facebook: www.facebook.com/rn.sanjay.qm

Перевод текста на русский язык:
Извините, ваши файлы зашифрованы.
Но не все ваши файлы зашифрованы
Клик "Связь со мной" и я отдам свой ключ.
Связь со мной:
Facebook: www.facebook.com/rn.sanjay.qm

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
AnDROid.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.facebook.com/rn.sanjay.qm
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать декриптер для AnDROid Ransomware >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Stupid Ransomware, old ID as AnDROid)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

R, NMoreira3

R Ransomware

NMoreira3 Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 / RSA-2048, а затем требует выкуп в 1-2 биткоина, чтобы вернуть файлы. Оригинальное название: R. Новой итерацией этого крито-вымогателя является NM4 Ransomware. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: NMoreira > NMoreira 2.0 > R (NM3) > NM4

К зашифрованным файлам добавляется расширение .R или без расширения. 

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Ransomware.txt

Содержание записки о выкупе:
Encrypted files!
All your files are encrypted. Using AES256-bit encryption and RSA-2048-bit encryption.
Making it impossible to recover files without the correct private key.
If you are interested in getting is the key and recover your files You should proceed with tne following steps.
The only way to decrypt your files safely is to buy the Descrypt and Private Key software.
Any attempts to restore your files with the third-party software will be fatal for your files!
To proceed with the purchase you must access one of the link below
xxxxs://rvneiqch7moech7j.onion.to/
xxxxs://rvneiqch7moech7j.onion.link/
If neither of the links is online for a long period of time, there is another way to open it, you should install the Tor Browser
If your personal page is not available for a long period there is another way to open your personal page - installation and use of Tor Browser:
1. run your internet browser (if you do not know what it is run the internet Explorer);
2. enter or copy the address xxxxs://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3. wait for the site loading;
4. on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5. run Tor Browser;
6. connect with the button 'Connect' (if you use the English version);
7. a normal internet browser window will be opened after the initialization;
8. type or copy the address
xxxxs://rvneiqch7moech7j.onion in this browser address bar;
9. press ENTER;
10. the site should be loaded; if for some reason the site is not loading wait for a moment and try again.
If you have any problems during installation or use of Tor Browser, please, visit https://www.youtube.com and type request in the search bar 'Install Tor Browser Windows' and you will find a lot of training videos about Tor Browser installation and use.
Your Key: ***

Перевод записки на русский язык:
Зашифрованы файлы!
Все ваши файлы зашифрованы. Использовано AES256-бит шифрование и RSA-2048-бит шифрование.
Делает невозможным восстановление файлов без правильного закрытого ключа.
Если вы заинтересованы в получении ключа и восстановлении ваших файлов Вы должны выполнить следующие шаги.
Единственный способ безопасно расшифровать ваши файлы - это купить программу Descrypt и закрытый ключ.
Любые попытки восстановить ваши файлы с помощью сторонней программы будут фатальны для ваших файлов!
Чтобы продолжить покупку, вы должны получить доступ к одной из приведённых ниже ссылок
xxxxs://rvneiqch7moech7j.onion.to/
xxxxs://rvneiqch7moech7j.onion.link/
Если ни одна из ссылок не находится в сети долгое время, то есть один способ ее открыть, вам надо установить Tor Browser.
Если ваша личная страница недоступна долгое время, есть еще один способ открыть вашу личную страницу - установка и использование Tor Browser:
1. запустите свой интернет-браузер (если вы не знаете какой, запустите Internet Explorer);
2. Введите или скопируйте адрес xxxxs://www.torproject.org/download/download-easy.html.en в адресную строку вашего браузера и нажмите ENTER;
3. дождитесь загрузки сайта;
4. на сайте вам будет предложено скачать Tor Browser; Загрузите и запустите его, следуйте инструкциям по установке, дождитесь завершения установки.
5. запустите Tor Browser;
6. подключитесь кнопкой 'Connect' (если вы используете английскую версию);
7. после инициализации откроется обычное окно интернет-браузера;
8. Введите или скопируйте адрес
xxxxs://rvneiqch7moech7j.onion в адресную строку браузера;
9. нажмите ENTER;
10. сайт должен быть загружен; Если по какой-либо причине сайт не загружается, подождите минуту и ​​повторите попытку.
Если у вас возникли проблемы при установке или использовании Tor Browser, посетите https://www.youtube.com и введите запрос в строке поиска «Установить браузер Tor Browser», и вы найдете много обучающих видео о Tor-браузере по установке и использовании.
Ваш ключ: ***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Страницы с сайта оплаты

 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomware.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
rvneiqch7moech7j.onion
rvneiqch7moech7j.onion.to
rvneiqch7moech7j.onion.link
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Team XRat Ransomware - август 2016 
NMoreira Ransomware - ноябрь 2016
NMoreia 2.0 Ransomware - январь 2017
R Ransomware - март 2017
NM4 Ransomware - апрель 2017

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam‏ 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FileFrozr

FileFrozr Ransomware

FrozrLock Ransomware

(шифровальщик-вымогатель, RaaS)

Этот крипто-вымогатель распространяется как крипто-строитель (crypto-builder) и RaaS (вымогатель-как-услуга). По заявлениями разработчиков шифрует данные с помощью AES-256 + RSA-4096. Оригинальное название: FileFrozr. Разработчик и распространитель: frozr (frozt).

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: FileFrozr. Начало > FrozrLock

 

Появление этого крипто-вымогателя пришлось на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Скриншоты и описание

Содержание текста из описаниях на форумах:
FILE FROZR is a great security tool that encrypts most of your files in several minutes.
Fast, stable, and affordable crypto-locker.
Auto-buy, low price, undetectable load while working, TOR support, 250+ extensions, unmatched support, multithreaded, online builder, server side obfuscation. Bypass BitDefender and Malwarebytes Anti-Ransomware.
Encrypts user data using safe implemented AES-256 and RSA-4096, each file encrypts with it own unique key.
50$ Discount on sales start!

Перевод текста на русский язык:
FILE FROZR - * инструмент *, который шифрует большую часть ваших файлов за несколько минут.
Быстрый, стабильный и доступный криптолокер.
Автопокупка, низкая цена, легкость во время работы, поддержка TOR, более 250 расширений 250, * поддержка, многопоточный, онлайн-разработка, обфускация на стороне сервера. Обход BitDefender и Malwarebytes Anti-Ransomware. 
Шифрует данные пользователя безопасными шифрами AES-256 и RSA-4096, каждый файл шифруется своим уникальным ключом.
50$ Скидка при старте продаж!

Звёздочка (*) в переводе скрывает хвалебные эпитеты. 

 

Скриншоты с форумов, содержащих описание FileFrozr

 Скриншоты начальной страницы tor-сайта

 Скриншоты страницы обновлений и покупки лицензии tor-сайта

Содержание текста из описаниях на tor-сайте:
FILE FROZR is a great security tool that encrypts most of your files in several minutes.
First month discount -50$! Until 31.03.2017 
Coded from scratch
FILE FROZR is coded from startch in C#, no public sources were used. This makes FILE FROZR fully undetectable. Tested with Bitdefender Anti-Ransomware and MalwareBytes Antiransomeware. All builds are obfuscated at our servers. This prevrents original sources from being detected.
Affordable and ready to use "Out of the box"
Unlimited rebuilds, low price, panel with built in payment processor, AES256, RSA4096, and unique keys randomly generated for each file guaranting super strong security of files. Builds are obfuscated and crypted at our servers, no aditional crypting etc. required.
No need of vps
Panel using trusted Bitcoin processor so there is no need to set vps with BitcoinID. TOR support and low value of transfering data makes panel totally anonymous.
Support
If you need support in the installation of the panel, configuration of FILE FROZR or any other help, feel free to communicate us by following contacts:
Tox Id: C216445DDE28F475A725941F75D3FBA52F83D8C7EA774F03161C90ABA3F16768D4B4ADE77817
E-mail support: filefrozr@protonmail.com
Updates 
Roadmap
Features to add:
End of March / early April
Wipe clean space
Speech
Twofish, CAST-6, RC4
Offline version
ASP.NET panel
User suggested features
UAC Bypass
Obfuscator updated 

Перевод текста на русский язык:
FILE FROZR - * инструмент *, который шифрует большую часть ваших файлов за несколько минут.
Скидка за первый месяц -50$! До 31.03.2017
Кодирование с нуля
FILE FROZR кодирован из startch в C #, без открытых источников. Это делает FILE FROZR полностью незаметным. Протестировано с помощью антивирусного ПО Bitdefender Anti-Ransomware и MalwareBytes. Все сборки обфусцированы на наших серверах. Это исключает возможность обнаружения исходных источников.
Готовый к использованию «из коробки»
Неограниченные пересборки, низкая цена, панель со встроенным процессором оплаты, AES256, RSA4096 и уникальные ключи, генерируемые случайным образом для каждого файла, гарантирующие сверхсильную безопасность файлов. Сборка запущена и зашифрована на наших серверах, не требуется дополнительная криптография и т. Д.
Не требуется VPS
Панель использует доверенный биткойн-процессор, потому не нужно устанавливать VPS с Bitcoin ID. Поддержка TOR и низкое значение передачи данных делают панель полностью анонимной.
Поддержка
Если вам нужна поддержка при установке панели, конфигурации FILE FROZR или любой другой помощи, вы можете связаться с нами по следующим контактам:
Tox Id: C216445DDE28F475A725941F75D3FBA52F83D8C7EA774F03161C90ABA3F16768D4B4ADE77817
E-mail support: filefrozr@protonmail.com
Обновления
Дорожная карта
Добавленные фичи:
Конец марта / начало апреля
Стирание свободного места
Речь
Twofish, CAST-6, RC4
Оффлайн-версия
Панель ASP.NET
Функции, предложенные пользователями
Обход UAC
Обфускатор обновлён

Скриншоты окон "инструмента"

Окна AutoDecrupt, Manual, Decoder в FileFrozr

 

Окна ForzrLock и Buy MasterKey

Технические детали

Обходит защиту: UAC, BitDefender, Malwarebytes Anti-Ransomware.

Распространяется на форумах, также может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Более 250 расширений. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
builder.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
frozrlockqqxz7a2.onion
frozrlockqqxz7a2.tor2web.cf
frozrlockqqxz7a2.onion2web.gq
frozrlockqqxz7a2.onion2web.tk
frozrlockqqxz7a2.onion.link
filefrozr@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Frozr
 Rommel Joven‏
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cry9

Cry9 Ransomware

Cry128 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоина, чтобы вернуть файлы. Оригинальное название. По данным Фабиана Восара Cry9 использует SHA-512 и модифицированную версию AES, которая работает на 64-байтовых блоках и с 512-битными ключами в режиме ECB.

© Генеалогия: CryptON > Cry9 > Cry128

К зашифрованным файлам добавляется одно из следующих расширений:
.<id>
.id-<id>
.id-<id>_r9oj
.id-<id>_x3m
.<id>-juccy[a]protonmail.ch
.<id>_[wqfhdgpdelcgww4g.onion.to].r2vy6
.id-<id>_[nemesis_decryptor@aol.com].xj5v2
.id-<id>_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m
.<id>-isabela1956aprotonmail.ch
.<id>-sofia_lobsterprotonmail.ch
и другие. 

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: *нет данных*.

Содержание записки о выкупе:
!!!SEUS ARQUIVOS FORAM CRIPTOGRAFADOS!!!
Sua identificacao pessoal: *****
Para receber o decodificador deve pagar pela descodificacao.
Compre 0.5 BTC nestes sites:
xxxxs://localbitcoins.com
xxxxs://www.coinbase.com
xxxx://xapo.com/
ENDEREÇO BITCOIN PARA PAGAR:
1NNF7ZK8A8uBWuYVSR3bS8a9v7DReExdNy
Envie 0.5 btc para a decodificacao
Depois de pagar:
1. Enviar captura de ecra ou foto do pagamento para o endereco: juccy@protonmail.ch
2. Se voce quiser permanecer anonimo ou se voce nao esta recebendo uma resposta, tente usar a mensagem bit (bitmessage.ch) e use este endereço para entrar em contato comigo:
BM-2cxrw462ayqKXPangQ4jxbuq2uZjYTzH37@bitmessage.ch . Este metodo funcionara 100%.
3. No e-mail deve incluir o sua identificacao pessoal (*****).
Em seguida, voce recebera o descodificador e instrucoes.
!!!Atencao!!!
- Voce realmente obter o decifrador apos o pagamento.
- Tentativas de auto-descriptografar arquivos resultara na perda de seus dados.
- Os descodificadores de outros usuarios nao sao compativeis com seus dados, porque a chave de criptografia unica de cada usuario.

Перевод записки на русский язык:
!!!Ваши файлы были зашифрованы!!!
Ваш личный ID: *****
Чтобы получить декодер нужно заплатить за дешифровку.
Купить 0.5 BTC с этих сайтов:
xxxxs://localbitcoins.com
xxxxs://www.coinbase.com
xxxx://xapo.com/
Bitcoin-адрем для оплаты:
1NNF7ZK8A8uBWuYVSR3bS8a9v7DReExdNy
Отправьте 0.5 BTC за дешифровку
После оплаты:
1. Отправьте снимок экрана или изображение платежа по адресу: juccy@protonmail.ch
2. Если вы хотите сохранить анонимность, или если вы не получаете ответ, попробуйте использовать бит-сообщение (bitmessage.ch) и этот адрес, чтобы связаться со мной:
BM-2cxrw462ayqKXPangQ4jxbuq2uZjYTzH37@bitmessage.ch. Этот метод будет работать на 100%.
3. В email нужно включить свой личный ID (*****).
После этого вы получите декодер и инструкции.
!!!Внимание!!!
- Вы точно получите декодер после оплаты.
- Попытка самостоятельно дешифровать файлы приведёт к потере данных.
- Декодеры от других пользователей не совместимы с вашими данными, т.к. ключ шифрования для каждого пользователя уникален.

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Cry9 шифруются все типы файлов. 
Это будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Все зашифрованные файлы будет иметь размер на 16 байт больше, чем исходный файл.

Директории, исключаемые из шифрования: 
C:\Windows, 
C:\Program Files
Папка профиля пользователя

Таким образом, на загрузку системы и другие важные процессы шифрование не влияет.

Файлы, связанные с этим Ransomware:
<random>.exe
<ransom_note>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
juccy@protonmail.ch
isabela1956aprotonmail.ch
sofia_lobsterprotonmail.ch
BM-2cxrw462ayqKXPangQ4jxbuq2uZjYTzH37@bitmessage.ch
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 22 апреля:
Новая итерация: Cry128

Вариант от 24 апреля 2017:

Дешифратор для Cry9: https://decrypter.emsisoft.com/cry9

Расширение: .<id>-isabela1956@aprotonmail.ch

Email: isabela1956@aprotonmail.ch

Результаты анализов: VT

Вариант от 26 апреля 2017:

Дешифратор для Cry9: https://decrypter.emsisoft.com/cry9

Расширение: .<id>-sofia_lobster@protonmail.ch

Email: sofia_lobster@protonmail.ch

Результаты анализов: VT

Внимание!
Для зашифрованных файлов есть декриптер
Скачать Cry9 Decrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Cry9)
 Write-up, Topic
 * 

 Thanks: 
 Fabian Wosar
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.