HELP@AUSI

HELP@AUSI Ransomware
SOS@AUSI Ransomware

(шифровальщик-вымогатель)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA или XOR+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: не указано. Написан на языке Delphi. 

© Генеалогия: более ранний >> HELP@AUSI
© Генеалогия по версии Dr.Web: Trojan.Encoder.102 > Trojan.Encoder.293

К зашифрованным файлам добавляются различные расширения:
.HELP@AUSI.COM_DE
.HELP@AUSI.COM_XE
.HELP@AUSI.COM_XQxxx
.HELP@AUSI.COM_XOxxx
.SOS@AUSI.COM_FGxxx
.SOS@AUSI.COM_IDxxx
.sos@ausi.com_ZQxxx
и многие другие, см. "Блок обновлений" внизу статьи. 

Под xxx скрыт 1х-3х-цифровой код. 

Примеры:
HELP@AUSI.COM_XO105
HELP@AUSI.COM_XQ100
SOS@AUSI.COM_ID85

Имелись также версии без дополнительного расширения. 

Наиболее ранняя выявленная активность этого крипто-вымогателя пришлась на вторую половину февраля 2013 г. Вымогательская деятельность безнаказанно продолжалась на протяжении трёх лет (2013-2016), а с учетом ранних версий — даже пять лет (с апреля 2011 до конца 2016 год). 

Был ориентирован на англоязычных и русскоязычных пользователей, что позволяло распространять его по всему миру. 

Записки с требованием выкупа в большинстве случаев отсутствовали. 

В некоторых версиях всё же были записки или экраны блокировки с текстом. См. например, Kolobo Ransomware. 

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Шифрование файлов выполнялось в два этапа: 
- сначала файл шифровался использованием алгоритма XOR блоками по примерно 0x200 байт (длина блока различная в рахных версиях);
- затем файл шифровался с использованием алгоритма RSA. 
Подробнее о шифровании в описании у Dr.Web >>

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, DBF-файлы и базы данных, файлы программы 1C.Бухгалтерия, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
HELP@AUSI.COM и help@ausi.com
SOS@AUSI.COM и sos@ausi.com
COMODO@EXECS.COM
NUMBAZA@SEZNAM.CZ
REDBULL@PRIEST.COM
SAD@FIREMAN.NET
и многие другие
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Другие известные расширения:
.anna_stepanova@aol.com_
.backspace@riseup.net_xxx
.byaki_buki@aol.com_
.COMODO@EXECS.COM_hexxxx, например: .COMODO@EXECS.COM_hex361
.contact@casinomtgox.com
.evromaidan2014@aol.com_
.Heinz@oaht.com_hxxx
.iizomer@aol.com_
.kolobocheg@aol.com_ - см. статью Kolobo Ransomware
.moshiax@aol.com_
.NUMBAZA@SEZNAM.CZ_Qxxx
.numlock@2riseup.net_
.numlock@riseup.net_
.oduvansh@aol.com_
.ONE@AUSI.COM
.REDBULL@PRIEST.COM_RBxxx
.REDBULL@PRIEST.COM_RExxx
.SAD@FIREMAN.NET_AMxxx
.starpex@riseup.net_
.Support@casinomtgox.com
.Support@casinomtgox.com_lot
.two@AUSI.COM
.ZANZIBAR@umpire.com_ZAxxx

Другие известные email:
anna_stepanova@aol.com
backspace@riseup.net
byaki_buki@aol.com
contact@casinomtgox.com
evromaidan2014@aol.com
Heinz@oath.com
iizomer@aol.com
kolobocheg@aol.com - см. статью Kolobo Ransomware
moshiax@aol.com
numlock@2riseup.net
numlock@riseup.net
oduvansh@aol.com
ONE@AUSI.COM
starpex@riseup.net
Support@casinomtgox.com_lot
two@AUSI.COM
ZANZIBAR@umpire.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Универсального дешифровщика для всех версий нет.
Но отдельные версии расшифровывались специалистами Dr.Web. 
Ссылка на форум поддержки со списком версий >>
Или создайте индивидуальный запрос на расшифровку >>

 Read to links: 
 Write-up
 ID Ransomware (n/a)
 Topic of Support
 * 

 Thanks: 
 Владимир Мартьянов
 Dr.Web
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Revoyem, DirtyDecrypt

Revoyem Ransomware

DirtyDecrypt Ransomware

(шифровальщик-вымогатель)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA+RC4, а затем требует выкуп, чтобы вернуть файлы.

Этот крипто-вымогатель шифрует файлы пользователей, главным образом doc, .xls, .pdf, jpg, png и другие файлы, которые недавно были созданы или изменены пользователем. 

Revoyem впервые обнаружен в марте 2013 года на территории Германии и Великобритании. К осени того же года ареал обитания Revoyem уже охватывал 15 стран, в их числе США, Испания, Францию, Италия, Турция и Канада. Источник информации. Позже в новых вредоносных кампаниях были затронуты и другие страны, в том числе и Россия (см. внизу блок обновлений). 

Вредонос внедряет PNG-записку с требованием выкупа в файлы, сохраняя первоначальное расширение файла. 

После того, как пользователь попытается открыть поврежденный файл, он увидит следующее сообщение:

Содержание записки о выкупе:
File is encrypted
This file can be decrypted using the program DirtyDecrypt.exe
Press CTRL+ALT+D to run DirtyDecrypt.exe
If DirtyDecrypt.exe not opened сheck the paths:
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[USERNAME]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Application Data\Dirty\DirtyDecrypt.exe

Перевод записки на русский язык:
Файл зашифрован 
Этот файл можно дешифровать с помощью DirtyDecrypt.exe 
Нажмите CTRL + ALT + D для запуска DirtyDecrypt.exe 
Если DirtyDecrypt.exe не открылся, проверь пути: 
C:\Program Files\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Local Settings\Application Data\Dirty\DirtyDecrypt.exe
C:\Program Files (x86)\Dirty\DirtyDecrypt.exe
C:\Users\[USERNAME]\AppData\Roaming\Dirty\DirtyDecrypt.exe
C:\Documents and Settings\[USERNAME]\Application Data\Dirty\DirtyDecrypt.exe

Технические детали

Распространяется при помощи email-спама, вредоносных JS-вложений, через редиректы на порносайтах.  См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Кликнув по вредоносному баннеру, установленному в рамках партнерской программы TrafficHolder, посетитель попадает на страницу с детским порно, которая к тому же служит плацдармом для набора эксплойтов Styx. При успешной отработке эксплойта на машину жертвы загружается Revoyem, который блокирует доступ к системе и выводит во весь экран сообщение, обвиняющее пользователя в просмотре противозаконного контента. Эффект от атаки сильнее тем, что пользователь, открывший данный сайт, действительно просмотрел запрещенный контент, хотя и мельком, и не по своей воле. Испугавшись, жертва может форсировать уплату "штрафа", чтобы восстановить работоспособность ПК, пока кто-то из близких не увидел "содеянного". 

Блокирующий доступ к системе блокировщик экрана имитирует уведомление от блюстителей правопорядка и требуют уплатить "штраф" за разблокировку. В сообщениях "от ФБР" приводятся IP-адрес и местонахождение пользователя, а также запрещенные фото, логи визитов с данного IP-адреса и список статей, которые нарушила жертва.

«В случае уплаты штрафа все собранные против вас улики будут удалены из доказательной базы», — говорится на последней странице, отображаемой Revoyem. Платеж предлагается произвести с помощью MoneyPak, Paysafeсard или Ukash.

Кроме того, Revoyem в фоновом режиме ворует информацию из браузера, отключив диспетчер задач, и при инсталляции обеспечивает себе автозапуск при каждом запуске Windows. 

По своим действиям Revoyem мало отличается от семейства вымогателей Police Ransomware, но тот факт, что Revoyem перенаправляет свои жертвы на веб-сайты, содержащие порнографическое содержание, делает его более опасным, чем его предшественники.

Если напуганная жертва решит заплатить выкуп, то рискует просто потерять деньги, т.к. нет никакой гарантии, что данные, хранящиеся на компьютере будут расшифрованы. В шоковом состоянии жертва также может бессознательно раскрыть данные кредитной карты и онлайн-банкинга. 

Список файловых расширений, подвергающихся шифрованию:
.doc, .xls, .pdf, jpg, .png и другие важные файлы.
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
DirtyDecrypt.exe
<random>.exe - случайное название файла
<image>.png - картинка, внедряемая в файлы

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: была высокая, но на данный момент низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4 июня 2015:
Email: vorjdsa@mail.ru, Opensupport@india.com
Записка о выкупе: ХОЧЕШЬ ВЕРНУТЬ ФАИЛЫ!.txt
Содержание записки:
Здравствуйте! все ваши данные на дисках зашифрованы если хотите расшифровать ваши фаилы то пишите нам на емайл vorjdsa@mail.ru и на Opensupport@india.com мы ответим в течении 1-4 часов 
ПРИ ОБРАЩЕНИИ УКАЖИТЕ ВАШ ПЕРСОНАЛЬНЫЙ КОД
Ваш код 27xxxxxx
мы предоставляем гарантии расшифровки! 
Топик на форуме Dr.Web >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DirtyDecrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 ThreatPost и другие
 Michael Gillespie
 v.martyanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles. 

Remove Revoyem DirtyDecrypt Decode Restore files Recovery data Удалить Revoyem DirtyDecrypt Дешифровать Расшифровать Восстановить файлы

Done

Done Ransomware

(шифровальщик-вымогатель)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES / RSA-1024, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .done или .DONE

Активность этого крипто-вымогателя пришлась на вторую половину ноября и часть декабря 2012 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: how to repair.txt

Содержание записки о выкупе:
If you read this text,it means your`s important files(photos,videos, documents,archives,bases, backups, etc.) are locked with strongest military cifer RSA1024. 
Nobody can`t help you restore  files without our decoder.
If you want recover files, send e-mail to the repairmyfile@tormail.org WITH "how to repair.txt" and 1-2 encrypted files less than 1MB .
After checking you will receive the decrypted files and our conditions how you'll get the decoder .
Follow the instructions to transfer payment.

Перевод записки на русский язык:
Если вы читаете этот текст, то значит ваши важные файлы (фото, видео, документы, архивы, базы, резервные копии и т.д.) блокированы с сильным военным шифрованием RSA-1024.
Никто не сможет помочь вам восстановить файлы без нашего декодера.
Если вы хотите восстановить файлы, отправьте на email repairmyfile@tormail.org с файлом "how to repair.txt" 1-2 зашифрованных файла менее 1 МБ.
После проверки вы получите расшифрованные файлы и наши условия, как вы получить декодер.
Следуйте инструкциям, чтобы перевести платеж.

Технические детали

Распространялся или мог распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
random.exe - случайное название
how to repair.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
repairmyfile@tormail.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: была высокая на момент распространения. 
Подробные сведения собираются регулярно. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 (victim in the topics of support)
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ACCDFISA, ACCDFISA v2.0

ACCDFISA Ransomware

ACCDFISA v2.0 Ransomware

Anti-Porn Locker Ransomware 

ACCDFISA Protection Program

(шифровальщик-вымогатель, rar-вымогатель)

Translation into English

  Этот крипто-вымогатель якобы шифрует данные серверов и пользователей общей сети предприятий с помощью AES, а затем требует выкуп от 100$ или 100€ до 300$ (в других версиях это может быть 500$-1000$ и видимо больше), чтобы вернуть файлы. Оригинальные названия: Anti-Porn Locker (APL), Anti-Child Porn Protection (ACPP), Malware Protection, ACCDFISA Protection Program, ACCDFISA Protection Center, Anti Cyber Crime Department of Federal Internet Security Agency (ACCDFISA). На файле может быть написано, что угодно. Для перечисления оплаты предлагаются платёжные системы: MoneyPak, Paysafecard, Ukash. Написан на языке PureBasic. 

✔ На самом деле используется не прямое шифрование, а помещение данных в специальный архив с помощью WinRar и длинного пароля. В WinRar файлы, помещенные в архив с паролем, защищены AES-шифрованием. 

Пример файла помещенного ACCFISA в RAR-SFX-архив защищенный паролем 

© Генеалогия: rar-вымогатели > ACCDFISA > ACCDFISA 2.0

К файлам, помещенным в архив, добавляется архивное расширение .rar, которое потом заменяется на .aes 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Этимология названия:
Вымогатели действуют якобы от "Anti Cyber Crime Department of Federal Internet Security Agency" или сокращенно "ACCDFISA". Такого учреждения не существует. Активность этого крипто-вымогателя пришлась на февраль-апрель 2012 г. и продолжилась позже. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, который отображает пользователю уведомление о выкупе и блокирует использования системы.

Примеры таких экранов:

Содержание текста о выкупе:
К сожалению, спустя много лет я не установил, какие скриншоты каким версиям принадлежали. 

Технические детали

Используется удаленное проникновение на серверный ПК через незащищенную конфигурацию RDP. Может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Для удалённого хакерского проникновения злоумышленники используют инструмент под названием DUBrute для поиска систем, на которых запущены службы удалённого рабочего стола или службы терминалов, обычно используемые для удалённо обслуживаемых серверов Windows. 
Судя по логам, атакуются следующие учетные записки:
1, 123, a, actuser, adm, admin, admin1, admin2, Administrator, aspnet, backup, console, daniel, david, Guest, james, john, michael, mike, office, owner, pos, pos1, pos2, pos3, pos4, robert, root, sale, sales, scanner, server, sql, staff, support, support_388945a0, sys, test, test1, test2, test3, user, user1, user2, user3, user4, user5
При успешной атаке методом перебора злоумышленник удалённо войдет в систему, загрузит и запустит своё вредоносное ПО.

➤ Используется утилита SDelete для безвозвратного удаления после шифрования оригинальных файлов пользователя. Также используются инструменты NoSafeMode и Netsh для выполнения соответствующих им задач. 

➤ Используется утилита WinRar (версия командной строки) для создания защищенного паролем архива, содержащего исходные файлы. WinRar защищает файлы, помещённые в архив с паролем, AES-шифрованием. Также используется технология WinRAR SFX для самоизвления вредоноса. 

💬 Пост вымогателя на форуме BleepingComputer >> с описанием и насмешками над исследователями.

Список файловых расширений, подвергающихся захвату и помещению в архив:

.$er, .3ds, .4dd, .ac $, .ads, .aft, .ahd, .arx, .ask, .atc, .aws, .azz, .bib, .bmp, .bok, .btr, .cdb, .crd, .crt, .daf, .dat, .db, .db2, .db3, .dbc, .dbf, .dbs, .dbv, .df1, .doc, .docx, .dp1, .dsk, .dta, .dvb, .dwf, .dwg, .dws, .dwt, .dxf, .dxl, .eco, .edb, .eql, .fcd, .fdb, .fic, .fid, .fol, .fp7, .gdb, .hdb, .his, .ihx, .jpe, .jpeg, .jpg, .jtx, .lgc, .mdb, .mdf, .mud, .myd, .ns2, .ns3, .ns4, .nsf, .nyf, .odb, .ods, .old, .olk, .ora, .owg, .pan, .pdb, .pdf, .pdm, .phm, .php, .png, .psd, .pub, .pwa, .qbw, .qdb, .qvd, .rar, .rsd, .rtf, .sbf, .sdb, .sdf, .sql, .sxg, .tcx, .tdt, .tif, .txt, .udb, .v12, .vhd, .wdb, .xld, .xls, .xlsx, .xml, .zdb, .zip (110 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
sys100s.exe
aescryptor.exe
aes256crypter.exe
decrypt.exe
fvd31234.bat
fvd31234.txt
svchost.exe
ghzsrwhbfg.dlls
udsjaqsksw.dlls
dkpslqhnsoa.dll
stppthmainfv.dll
dc.exe
cfwin32.dll
csrss32.dll
csrss64.dll
default2.sfx
NoSafeMode.dll
nsf.exe
sdelete.dll
svschost.exe
how to decrypt aes files.lnk указывает на С:\decrypt\decrypt.exe
<random>.exe - случайное название

Расположения:
С:\decrypt\decrypt.exe
C:\Documents and Settings\All Users\Desktop\fvd31234.bat
C:\Documents and Settings\All Users\Desktop\fvd31234.txt
C:\dvsdlk\svchost.exe
C:\ProgramData\rbnedwdels\svchost.exe
C:\ProgramData\sgcvsap\svchost.exe
C:\ProgramData\tcvedwdcv\ghzsrwhbfg.dlls
C:\ProgramData\tcvedwdcv\udsjaqsksw.dlls
C:\ProgramData\thcgds\dkpslqhnsoa.dll
C:\ultimatedecrypter\dc.exe
C:\WINDOWS\system32\cfwin32.dll
C:\WINDOWS\system32\csrss32.dll
C:\WINDOWS\system32\csrss64.dll
C:\WINDOWS\system32\default2.sfx
C:\WINDOWS\system32\NoSafeMode.dll
C:\WINDOWS\system32\nsf.exe
C:\WINDOWS\system32\sdelete.dll
C:\WINDOWS\system32\svschost.exe

Файлы при заражении Windows x32:
C:\decrypt\decrypt.exe
C:\how to decrypt aes files.lnk
C:\ProgramData\local\aescrypter.exe
C:\ProgramData\local\crdfoftrs.dll
C:\ProgramData\local\svchost.exe
C:\ProgramData\local\undxkpwvlk.dll
C:\ProgramData\local\vpkswnhisp.dll
C:\Decrypt\Decrypt.exe
%System%\csrsstub.exe
%System%\dcomcnfgui.exe
%System%\tcpsvcss.exe
%System%\tracerpts.exe
%System%\ucsvcsh.exe
%System%\wcmtstcsys.sss

Файлы при заражении Windows x64:
C:\decrypt\decrypt.exe
C:\how to decrypt aes files.lnk
C:\ProgramData\local\aescrypter.exe
C:\ProgramData\local\crdfoftrs.dll
C:\ProgramData\local\svchost.exe
C:\ProgramData\local\undxkpwvlk.dll
C:\ProgramData\local\vpkswnhisp.dll
C:\Users\Public\Desktop\how to decrypt aes files.lnk
C:\Windows\SysWOW64\csrsstub.exe
C:\Windows\SysWOW64\dcomcnfgui.exe
C:\Windows\SysWOW64\tcpsvcss.exe
C:\Windows\SysWOW64\tracerpts.exe
C:\Windows\SysWOW64\ucsvcsh.exe
C:\Windows\SysWOW64\wcmtstcsys.sss

Записи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netprofms
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdiServiceSysHost
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "svchost"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "svchost"="%PATH_TO_SCREEN_LOCKER%"
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: antispam@cyberservices.com
security11220@gmail.com
bracode17@gmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

ACCDFISA Ransomware - февраль 2012
ACCDFISA 2.0 Ransomware - июнь 2016

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 сентября 2012:
Email: sec222555@gmail.com
1000.JPG(!! to decrypt email id 1423316714 to sec222555@gmail.com !!).exe

Обновление от 6 июня 2016:
Email: allhelp16@gmail.com
Записки: howtodecryptaesfiles.txt или другие
Содержание записок о выкупе и приписок к заархивированным файлам: 
All your files encrypted.
To decrypt email id: 1310822015 to allhelp16@gmail.com
---
!! to get password email id 1449462382 to allhelp16@gmail.com !!

Обновление от 5 июля 2016:

Email: auinfo16@gmail.com

document.ZIP(!! to get password email id 895638026 to auinfo16@gmail.com !!)
---

Обновление от 21 июля 2016

Email: helpasia16@gmail.com

document(!! to get password email id 1898904150 to helpasia16@gmail.com !!).exe

Обновление от 21 июля 2016

Email: lathelp16@gmail.com
document(!!to get password email id 2124118085 to lathelp16@gmail.com !!).exe

Обновление от 20 января 2017:

Email: brcodes16@gmail.com

Readme.txt(!! to get password email id 964979184 to brcodes16@gmail.com !!).exe

---

Обновление от 29 марта 2017:

Email: brcodes17@gmail.com

document.doc(!! to get password email id 615619024 to brcodes17@gmail.com !!).exe

---

Обновление от 29 августа 2017:

Email: brcode2017@gmail.com

Обновление от 15 сентября 2017:
Email: brainfo17@gmail.com
document.doc(!! to get password email id 1174911968 to brainfo17@gmail.com !!).exe

Обновление от 29 сентября 2017:
Email: uscodes17@gmail.com
document.doc(! to get password email id 806148890 to uscodes17@gmail.com).exe

Обновление от 10 октября 2017:
Email: eucodes17@gmail.com

Обновление от 10 октября 2017:
Email: brainfo17@gmail.com
document.doc(!! to get password email id 1174911968 to brainfo17@gmail.com !!).exe

Обновление от 20 октября 2017:
Email: brcode2017@gmail.com

Обновление 24 ноября 2017:
Email: bracode17@gmail.com
Email: uscodes17@gmail.com 

Обновление от 16 декабря 2017:
Анализ и описание >>

Обновление от 2 января 2018:
Email: eucodes17@gmail.com
document.doc(!! to get password email id 36423892 to eucodes17@gmail.com !!).exe

Обновление от 10 апреля 2018:
Создатель программы вымогателя внес изменения в шифрование, при котором используется более длинный пароль. 

Обновление от 28 мая 2018:
Email: brbrcodes@gmail.com
Содержание записки:
All your files encrypted.
To decrypt email id: 1234565432 to brbrcodes@gmail.com
---

document.doc(!! to get password email id 736855924 to brbrcodes@gmail.com !!)

Обновление от 9 декабря 2018:
Email: codescodes18@gmail.com
filename.txt(!! to get password email id 145420172 to codescodes18@gmail.com !!).exe

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы ранних можно дешифровать!
Рекомендую обратиться на форум Bleeping Computer >>
***
Cracking ACCDFISA Ransomware (July 06, 2015) >> 
Topic of support and decrypting ACCDFISA v2.0 >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ACCDFISA )
 Write-up, Topic of Support, Topic of Support, Write-up, 
 How to remove and decrypt the ACCDFISA Protection Program 

 Thanks: 
 BleepingComputer, Lawrence Abrams, Fabian Wosar
 Michael Gillespie, MalwareHunterTeam, Karsten Hahn
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Xorist-Vandev

Xorist-Vandev Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записках не указано. На файле написано: что попало.

Обнаружения: 
Kaspersky Lab ->Trojan-Ransom.Win32.Xorist / Trojan-Ransom.MSIL.Vandev.a
Dr.Web -> Trojan.Encoder.157

© Генеалогия: ранний Xorist >> Xorist-Vandev > Xorist 2013-2015 > Xorist 2016-2019

К зашифрованным файлам добавлялись расширения: 
.rsa1024
.ENC
.EBF
и другие.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Начало распространения пришлось на середину февраля 2012 г. Активность этого крипто-вымогателя продолжалась на протяжении 2012 года, а затем и позже. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру. Встречались варианты и на английском языке. 

Записки с требованием выкупа называются: 
HOW TO DECRYPT FILES.txt
HOW_TO_DECRYPT_FILES.txt
КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT

Содержание записки о выкупе:
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо написать нам письмо на адрес cryptosupport@tormail.net К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
A18E9DCE1300CD4E6C55F78F4F24580F6C1477CF580110FAE2D508D90DFED9DBEE62D3892B96E441EDA94F3423A128C31765C996E9DCE5E529FF821076C774DA
BA8872322F9676FF85570C2F158B78C9DF94D8A950387B262FF9A18E1DD3DC82D945F147613F0917D71F120E2493BC3D2CE92921112C342422D5BF8413309891

Перевод записки на русский язык:
уже сделан

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию (мог отличаться в разных версиях):
.3d, .3d4, .3df8, .3g2, .3gp, .3gp2, .3mm, .7z, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .aac, .abk, .abw, .ac3, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .asa, .asc, .ascx, .ase, .ashx, .asmx, .asp, .aspx, .asr, .atom, .avi, .avs, .bdp, .bdr, .bi8, .bib, .bic, .big, .bik, .bin, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .crd, .crt, .cs, .csi, .cso, .css, .ctt, .cty, .cwf, .dal, .dap, .db, .dbb, .dbx, .dcp, .dcu, .ddc, .ddcx, .dem, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dxe, .elf, .eps, .eql, .err, .euc, .evo, .ex, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idx, .img, .ink, .ipa, .iso, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .lnk, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md0, .md1, .md2, .md3, .md3, .mdf, .mdl, .mdn, .mds, .mic, .mid, .midi, .mip, .mlx, .mm6, .mm7, .mm8, .mmf, .mod, .moz, .mp1, .mp3, .mp4, .mpa, .mpga, .mpu, .msg, .msi, .msp, .mxp, .nav, .ncd, .nds, .nfo, .now, .nrg, .nri, .nrt, .odc, .odf, .odi, .odm, .odp, .ods, .oft, .oga, .ogg, .opf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .puz, .pwf, .pwi, .pxp, .qdf, .qel, .qif, .qpx, .qtiq, .qtq, .qtr, .r00, .r01, .r02, .r03, .ra, .ram, .rar, .raw, .res, .rev, .rgn, .rnc, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .srf, .srt, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .t01, .t03, .t05, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tiff, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpk, .wpl, .wsh, .wtd, .wtf, .wvx, .xl, .xla, .xlam, .xlc, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xml, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (463 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и прочие.

Файлы, связанные с этим Ransomware:
Cryptomaster.exe (CryptoMaster.exe)
ps.ce
tx.ce
<random>.exe - случайное название
HOW TO DECRYPT FILES.txt
HOW_TO_DECRYPT_FILES.txt
КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT
CryptLogFile.txt
Deleter.bat

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cryptosupport@tormail.net
blocksupport@tormail.net
the1024rsa@i2pmail.org
decrypting-files@yandex.ru
decrypting@tormail.org
blockage@tormail.org
beryukov.mikuil@gmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 20 февраля 2012:
Пост на форуме >>
Email: cryptosupport@tormail.net
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
написать нам письмо на адрес cryptosupport@tormail.net К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
A18E9DCE1300CD4E6C55F78F4F24580F6C1477C*** (256 знаков)

Обновление от 27 февраля 2012:
Пост на форуме >>
Email: blocksupport@tormail.net
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
написать нам письмо на адрес blocksupport@tormail.net К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
245AB9144C0A5C834686FD4F2F2D1693FD6B4600*** (256 знаков)

Обновление от 15 апреля 2012:
Пост на форуме >>
Расширение: .rsa1024
Email: the1024rsa@i2pmail.org
Записка: HOW TO DECRYPT FILES.TXT

Обновление от 29 июня 2012:
Пост на форуме >>
Email: blockage@tormail.org
Записка: HOW TO DECRYPT FILES.TXT
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
написать нам письмо на адрес blockage@tormail.org К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================
E7B0FCCFB10E410D07B207E5498B782F89F1D62FA3CAE7E91E249B04D35A9B2D
3149BE86AE715E2426DFBBA26571873926741C385E7A833317B7FC917F79668D
A30ECE0C47E75AA1DF370CB7937F53DA4945AE7ACF6AFFD39A0D3A6DF1D1296B
75B36C08DA8C3968214A227D69EC1F74BB9DAE2DB449920517D9B183B45D02A4
19535D5E525A5056549B472BCA7B3DFBE9F8812F0DB4DD203243019F16D2486C
====================

Обновление от 5 сентября 2012:
Пост на форуме >>
Расширение: .ENC
Email: decrypting-files@yandex.ru
Записка: HOW TO DECRYPT FILES.TXT
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting-files@yandex.ru чтобы узнать как получить дескриптор и пароль.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
U05m67u4UtFXCFcU60N2H0l620KXa5j
====================================================================

Обновление от 7-8 сентября 2012:
Пост на форуме >>
Пост на форуме >>
Расширение: .ENC
Email: decrypting-files@yandex.ru
Записка: HOW TO DECRYPT FILES.TXT
Содержание записок: аналогично предыдущему от 5 сентября 2012. Только другие ID жертв. 

Ответ вымогателей с указанием стоимости расшифровки (10000 рублей на счет QIWI).

Обновление от 14 сентября 2012:
Пост на форуме >>
Расширение: .ENC
Email: decrypting@tormail.org
Записка: HOW TO DECRYPT FILES.TXT
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода. 
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting@tormail.org чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! 
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
4j1BanT7Ere70s0GAjS36A70UYUPpq4
====================================================================

Обновление от 20 сентября 2012:
Статья об этом варианте >>
Расширение: .ENC
Email: decrypting-files@yandex.ru
Записка: HOW TO DECRYPT FILES.TXT

➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting-files@yandex.ru чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
pLE4TieL3KK0660G4s0Kla4N085Y0iY
====================================================================

Ответ вымогателей на просьбу снизить цену.

Обновление от 21 сентября 2012:
Топик на форуме >>
Расширение: .ENC
Записка: HOW_TO_DECRYPT_FILES.txt 
Ссылка на способ расшифровки >>

Обновление от 24 сентября 2012:
Топик на форуме >>
Расширение: .ENC
Email: decrypting@tormail.org, beryukov.mikuil@gmail.com
Записка: HOW TO DECRYPT FILES.TXT
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .ENC
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода. 
Не в коем случае не изменяйте файлы, иначе разблокировать даже нам будет не под силу.
Напишите нам письмо на адрес decrypting@tormail.org (если в течение суток вам не ответят то на beryukov.mikuil@gmail.com) чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 3-5 часов.
К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! 
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
================================================== ============
Wc7l4d1631e288ih60p2A012TC0xBU4
================================================== ============

Обновление от 10 октября 2012:
Пост на форуме >>
Расширение: .ENC
Email: blockage@tormail.org
Записка: HOW TO DECRYPT FILES.TXT
Файлы EXE: exzi.exe, hoky.exe, taskhost.exe и другие. 
➤ Содержание записки: 
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся Ваша информация (документы, фильмы и другие файлы) на этом компьютере была зашифрована
с помощью самого криптостойкого алгоритма в мире RSA1024.
Восстановить файлы можно только при помощи специальной программы. Чтобы её получить, Вам необходимо
написать нам письмо на адрес blockage@tormail.org К письму прикрепите файл "HOW TO DECRYPT FILES.TXT".
Письма с угрозами будут угрожать только Вам и Вашим файлам! НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================
2F25ED3DB73D36F19975BE2CECB03FCFFA07F814E07226D0ED370B13616EF305
EDABA9C9C218E8B28BCEDFA029AAE1421ADE51143FA052179E361D6B90B8CD69
D5256486E90FC736D4B56EB80E1F42170147D627D087266F189B8584E91DBA87
CCE2AC8DD02F569ADEAC59B942FA2DA67AB73F9B1974C28F3D0C1ED661CA2411
19535D5E525A505654BEC2B2F6AEE642AA0E7A365AAC5484306C241000E804CD
====================

Обновление от 10 октября 2012:
Пост на форуме >>
Расширение: .EBF
Email: decrypting@tormail.org, beryukov.mikuil@gmail.com

Записки: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT 

HOW_TO_DECRYPT_FILES.TXT

Файл EXE: rundll16.exe

➤ Содержание записки: 
Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .EBF
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода. 
Не в коем случае не изменяйте файлы!
Напишите нам письмо на адрес decrypting@tormail.org (если в течение суток вам не ответят то на beryukov.mikuil@gmail.com) чтобы узнать как получить дешифратор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-5 часов.
К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt".
Письма с угрозами будут угрожать только Вам и Вашим файлам! 
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!
====================================================================
sugMQ3tI4L4jjG8UVmqjP4thR8YiqWq0
====================================================================

Обновление от 17 октября 2012:

Топик на форуме >>

Используется алгоритм шифрования Blowfish (EBF - EncryptBlowFish)

Расширение: .EBF
Email: decrypting@tormail.org, beryukov.mikuil@gmail.com
Записки: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT 

HOW_TO_DECRYPT_FILES.TXT

Формат записок аналогичен предыдущему. 

➤ Ответ вымогателей: 

Здравствуйте!

Чтобы получить дешифратор с уникальным для Вашего пк паролем, необходимо пополнить наш счет QIWI на сумму 10 000 рублей.

После поступления средств мы вышлем вам инструкцию для дешифровки ваших файлов вместе с расшифровщиком и паролем.

Скидок нет. Рассрочек тоже.

Мы готовы расшифровать любой небольшой текстовый документ или фотографию для подтверждения своих намерений.

Базы данных прикреплять не нужно, бесплатно их вам никто не расшифрует.

Вместе с ним прикрепите КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.TXT либо HOW_TO_DECRYPT_FILES.TXT

Реквизиты вышлем за несколько часов до оплаты, потому как они постоянно меняются.

Кошелек действует в течение 24 часов после отправки его вам.

Пожалуйста, не изменяйте тему сообщения.

Обновление от 7 февраля 2013:

Топик на форуме >>

Расширение: .EBF

Записка: ЧТО_НУЖНО_СДЕЛАТЬ.TXT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Для зашифрованных файлов есть разные дешифровщики: 
от Dr.Web (ссылка)
от ЛК (ссылка на статью)
*
*

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Thyrex
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.