BitCrypt

BitCrypt Ransomware

(шифровальщик-вымогатель)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-426 + AES, а затем требует выкуп в # BTC (биткоины), чтобы вернуть файлы. Оригинальные названия: Bitcrypt и BitCrypt (указано в записке). На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: BitCrypt > BitCrypt 2.0

К зашифрованным файлам добавляется расширение .bitcrypt

Активность этого крипто-вымогателя пришлась на вторую половину февраля - начало марта 2014 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: BitCrypt.txt

Содержание записки о выкупе:
Attention! ! !
Your BitCrypt ID:
DRU-217-439xxx
All necessary files on your PC ( photos, documents, data bases and other) were encoded with a unique RSA-1024 key.
Decoding of your files is only possible by a special programm that is unique for each BitCrypt ID.
Specialists from computer repair services and anti-virus labs won't be able to help you.
In order to receive the program decryptor you need to follow this link xxxx://www.bitcrypt.info and read the instructions.
If current link doesn't work but you need to restore files please follow the directions:
1. Try to open link kphijmuo2x5expag.tor2web.com. If you failed proceed to step 2.
2. Download and install tor browser xxxx://www.torproiect.org/projects/torbrowser.html
3. After installation, start tor browser and put in tne following address kphijmuo2x5expag.onion
Remember, the faster you act the more chances to recover your files undamaged.

Перевод записки на русский язык:
Внимание! ! !
Ваш BitCrypt ID:
DRU-217-439xxx
Все нужные файлы на вашем ПК (фото, документы, базы данных и другие) были зашифрованы с уникальным ключом RSA-1024.
Дешифрование ваших файлов возможно только с помощью специальной программы, которая уникальна для каждого BitCrypt ID.
Специалисты из служб ремонта компьютеров и антивирусных лабораторий не смогут вам помочь.
Чтобы получить дешифратор программы, вам необходимо следовать этой ссылке xxxx://www.bitcrypt.info и прочитать инструкции.
Если текущая ссылка не работает, но вам необходимо восстановить файлы, следуйте инструкциям:
1. Попробуйте открыть ссылку kphijmuo2x5expag.tor2web.com. Если вы не перешли к шагу 2.
2. Загрузите и установите браузер браузера xxxx://www.torproiect.org/projects/torbrowser.html.
3. После установки запустите браузер браузера и введите следующий адрес: kphijmuo2x5expag.onion
Помните, чем быстрее вы действуете, тем больше шансов восстановить неповрежденные файлы.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Регистрирует в системе новое расширение .ccw для своего файла конфигурации. 

➤ Завершает следующие процессы, если они находятся в памяти затронутой системы:
taskmgr.exe
regedit.exe

➤ Вносит изменения в реестр Windows:
- Прописывается в Автозагрузку системы. 
- Удаляет следующие ключи реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

➤ Запрашивает значение ключа реестра, который содержит значение географического местонахождения ПК:
HKEY_CURRENT_USER\Control Panel\International\Geo\Nation

Это значение затем используется как часть идентификатора Bitcrypt ID.

➤ Выполняет следующие деструктивные команды:
cmd.exe / K bcdedit / set {bootmgr} displaybootmenu no
cmd.exe / K bcdedit / set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
.abw, .arj, .asm, .bpg, .cdr, .cdt, .cdx, .cer, .css, .dbf, .dbt, .dbx, .dfm, .djv, .djvu, .doc, .docm, .docx, .dpk, .dpr, .frm, .jpeg, .jpg, .key, .lzh, .lzo, .mdb, .mde, .odc, .pab, .pas, .pdf, .pgp, .php, .pps, .ppt, .pst, .rtf, .sql, .text, .txt, .vbp, .vsd, .wri, .xfm, .xlc, .xlk, .xls, .xlsm, .xlsx, .xlw, .xsf, .xsn (53 расширения).
Это документы MS Office и Visio, PDF, текстовые файлы, базы данных, изображения, файлы иных программ и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
bitcrypt.ccw - файл конфигурации
BitCrypt.txt - записка о выкупе

Расположения:
%Application Data%\bitcrypt.ccw
%Application Data%\BitCrypt.txt
\Folders with user's encrypted files\BitCrypt.txt
%AppData%\<random>.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ccw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ccw\OpenWithList
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts   .ccw
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Bitcomint = "%Application Data%\{random}.exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://www.bitcrypt.info***
xxxx://kphijmuo2x5expag.onion***
xxxx://kphijmuo2x5expag.tor2web.com***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая на момент распространения.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. статью BitCrypt 2.0 Ransomware

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Инструкция есть по этой ссылке >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BitCrypt, BitCrypt 2.0)
 Write-up, Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 Fabien Perigaud, Cedric Pernet
 Trend Micro
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Torchwood

Torchwood Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные серверов, а затем требует выкуп в 15000 рублей, чтобы вернуть файлы. Оригинальное название: Torchwood. 

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Torchwood >> (2013, 2014, 2015 -> 2018)

К зашифрованным файлам добавляются расширения: 
.torchwood
.TORCHWOOD


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на конец декабря 2013 - январь-февраль 2014 г. и продолжилась позже. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру. 

✋ По всей видимости для проникновения использовалась незащищенная конфигурация RDP и хакерские инструменты, позволяющие просканировать Интернет на предмет поиска, отследить незащищённую конфигурацию Windows Server, выявить простые пароли, проникнуть на сервер и в сеть и запустить шифрование вручную. 

Записка с требованием выкупа называется: 
ИНСТРУКЦИЯ_ПО_РАСШИФРОВКЕ_ФАЙЛОВ.txt

Содержание записки о выкупе:
Внимание!
Если Вы читаете это сообщение, значит Вы уже догадались, что с компьютером что-то не так.
Вынуждены сообщить Вам не самую приятную новость:
вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
Все зашифрованые файлы имеют расширение .TORCHWOOD
Этот шифратор полностью криптоустойчив, поэтому восстановить файлы можно только имея уникальный для вашего пк дешифратор.
Смена ОС, установка антивирусов и обращение к специалистам по дешифровке лишь отнимут Ваше время.
Без дешифратора эту проблему не решит ни один системный администратор в мире.
На всякий случай предупреждаем:
не изменяйте файлы и не используйте чужие дешифраторы, иначе Вы можете потерять Ваши данные навсегда.
Если Вы всё же хотите попытаться решить проблему сами, то делайте это на копии, чтобы потом не было претензий к нам.

чтобы узнать как получить дешифратор, напишите нам письмо на адрес torchwood0000@yandex.com
Пожалуйста дублируйте все Ваши письма на адрес - torchwood@66.ru
Если мы Вам не ответили в течении 6 часов - повторите пересылку письма.

В письмо укажите номер - 456789 или вставьте текст из файла ИНСТРУКЦИЯ_ПО_РАСШИФРОВКЕ_ФАЙЛОВ.txt
В ответном письме Вы получите все инструкции.

Перевод записки на русский язык:
Уже сделан вымогателями.

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP на устаревших Windows Server с использованием хакерских инструментов. 

Также может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ При шифровании создаёт уникальный ключ сессии, что не позволит дешифровать тем же ключом файлы на другом компьютере. 

➤ Вымогатели позволяют дешифровать один файл бесплатно, чтобы подтвердить возможность дешифровки. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ИНСТРУКЦИЯ_ПО_РАСШИФРОВКЕ_ФАЙЛОВ.txt - вариант записки 2014 года
ИНСТРУКЦИЯ.txt - вариант записки 2015 года
cmdo.vbs
1C3AEF59DD6C5DEF00001C3AD3246348\1C3AEF59DD6C 5DEF00001C3AD3246348.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
<random>\<random>.exe
C:\WINDOWS\system32\cmdo.vbs 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
torchwood0000@yandex.com
torchwood@66.ru
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Torchwood в 2013 г. с расширением .torchwood или .TORCHWOOD
Torchwood в 2014 г. с расширением .torchwood или .TORCHWOOD
Torchwood в 2015 г. с расширением .torchwood или .TORCHWOOD
...
Torchwood в 2018 г. с расширением .trchwd или .TRCHWD

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 февраля 2014 года:
Рашсирение: .TORCHWOOD
Email: torchwood0000@yandex.com, torchwood@66.ru
Записка: ИНСТРУКЦИЯ_ПО_РАСШИФРОВКЕ_ФАЙЛОВ.txt

➤ Содержание записки: 
Внимание!
Если Вы читаете это сообщение, значит Вы уже догадались, что с компьютером что-то не так.
Вынуждены сообщить Вам не самую приятную новость:
вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
Все зашифрованые файлы имеют расширение .TORCHWOOD
Этот шифратор полностью криптоустойчив, поэтому восстановить файлы можно только имея уникальный для вашего пк дешифратор.
Смена ОС, установка антивирусов и обращение к специалистам по дешифровке лишь отнимут Ваше время.
Без дешифратора эту проблему не решит ни один системный администратор в мире.
На всякий случай предупреждаем:
не изменяйте файлы и не используйте чужие дешифраторы, иначе Вы можете потерять Ваши данные навсегда.
Если Вы всё же хотите попытаться решить проблему сами, то делайте это на копии, чтобы потом не было претензий к нам.
чтобы узнать как получить дешифратор, напишите нам письмо на адрес torchwood0000@yandex.com
Пожалуйста дублируйте все Ваши письма на адрес - torchwood@66.ru
Если мы Вам не ответили в течении 6 часов - повторите пересылку письма.
В письмо укажите номер - 191641 или вставьте текст из файла ИНСТРУКЦИЯ_ПО_РАСШИФРОВКЕ_ФАЙЛОВ.txt
В ответном письме Вы получите все инструкции.
Топик на форуме >>

Обновление от 15 августа 2014:
Расширение: .TORCHWOOD
Всё аналогично.
Топик на форуме >>

Обновление от 22 июня 2015 года:
Расширение: .TORCHWOOD
Email: torchwood0000@yandex.com, torchwood@riseup.net
Записка: ИНСТРУКЦИЯ.txt

➤ Содержание записки: 
Внимание!
Если Вы читаете это сообщение, значит Вы уже догадались, что с компьютером что-то не так.
Вынуждены сообщить Вам не самую приятную новость:
вся Ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
Все зашифрованые файлы имеют расширение .TORCHWOOD
Этот шифратор полностью криптоустойчив, поэтому восстановить файлы можно только имея уникальный для вашего пк дешифратор.
Смена ОС, установка антивирусов и обращение к специалистам по дешифровке лишь отнимут Ваше время.
Без дешифратора эту проблему не решит ни один системный администратор в мире.
На всякий случай предупреждаем !!!ВАЖНО!!!:
не изменяйте файлы и не используйте чужие дешифраторы, иначе Вы можете потерять Ваши данные навсегда.
Если Вы всё же хотите попытаться решить проблему сами, то делайте это на копии, чтобы потом не было претензий к нам.
чтобы узнать как получить дешифратор, напишите нам письмо на адрес torchwood0000@yandex.com
Пожалуйста дублируйте все Ваши письма на адрес - torchwood@riseup.net
Если мы Вам не ответили в течении 6 часов - проверьте не попало ли наше письмо в СПАМ и повторите пересылку письма.
В письмо укажите номер - 553391 или вставьте текст из файла ИНСТРУКЦИЯ.txt
В ответном письме Вы получите все инструкции.
Топик на форуме >>


Обновление от 20 августа 2018:
Расширение: .TRCHWD
Email: torchwood0000@yandex.com, torchwood@riseup.net
Записка: ИНСТРУКЦИЯ.txt

➤ Содержание записки:
Чтобы узнать как получить дешифратор, напишите нам письмо на адрес torchwood0000@yandex.com или torchwood@riseup.net
Если мы Вам не ответили в течении 24 часов - проверьте не попало ли наше письмо в СПАМ и повторите пересылку письма.
В теме письма укажите номер - 62078986 или вставьте текст из файла ИНСТРУКЦИЯ.txt
Если желаете убедится в возможности восстановления, можете прикрепить к письму пару файлов, чей общий размер не превышает 10 мегабайт.
В ответном письме Вы получите все инструкции. 
Топик на форуме >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Torchwood)
 ***

Topic of Support: 
30.12.2013 - https://virusinfo.info/showthread.php?t=152438
07.01.2014 - https://virusinfo.info/showthread.php?t=152747
14.01.2014 - https://virusinfo.info/showthread.php?t=153206
22.01.2014 - https://virusinfo.info/showthread.php?t=153757
19.05.2014 - https://virusinfo.info/showthread.php?t=159884
15.08.2014 - https://virusinfo.info/showthread.php?t=164941
22.06.2015 - https://virusinfo.info/showthread.php?t=185747
*
20.08.2018 - https://virusinfo.info/showthread.php?t=219985

 Thanks: 
 thyrex, mike 1
 Andrew Ivanov
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptorBit

Cryptorbit Ransomware

CryptorBit Ransomware

HowDecrypt Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует выкуп от $500-600 до ~$1000 в BTC (0.5 BTC в то время), чтобы вернуть файлы. Оригинальное название: Cryptorbit, указано в заголовке экрана блокировки, причем написано с выделением "or": Cryptorbit. На файле написано: CryptorBit.exe. Нацелен на все версии Windows, включая Windows XP, Windows Vista, Windows 7 и Windows 8. 
---
Обнаружения (вероятно, файл трояна-загрузчика):

Avira (no cloud) -> TR/Crypt.ZPACK.Gen7

BitDefender -> Gen:Variant.Symmi.37326, Gen:Variant.Strictor.48413

CAT-QuickHeal -> Ransomware.Cryptorbit.A

DrWeb -> Trojan.Inject1.35058

ESET-NOD32 -> Win32/TrojanDownloader.Nymaim.AB

Kaspersky -> Trojan.Win32.Sharik.rex

Malwarebytes -> Trojan.Agent.ED

McAfee -> Generic.dx!3023D7526B47, Generic.eni

Microsoft -> Ransom:Win32/Nymaim

Rising -> Malware.XPACK-HIE/Heur!1.9C48, Trojan.Generic@ML.94 (RDML:mQ*

Symantec -> Trojan.Zbot, ML.Attribute.HighConfidence

Tencent -> Win32.Trojan.Sharik.Lfpr

TrendMicro -> TROJ_SHARIK.BB

VBA32 -> Trojan.Sharik.340A

---

© Генеалогия: ✂️ CryptoLocker >> CryptorBit (HowDecrypt)

Вероятно, второе название "HowDecrypt" получил по названию записки с требованием выкупа. Я не видел более ранних вариантов. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.
 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Рання активность этого крипто-вымогателя пришлась на первую половину декабря 2013 года и продолжилась в 2014 году и позже. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

Записки с требованием выкупа называются: 

HowDecrypt.txt - текстовый файл

HowDecrypt.gif - изображение с текстом. 

Содержание записки о выкупе: 

All files including videos, photos and documents on your computer are encrypted.

File Decryption costs ~ $ 500.

In order to decrypt the files, you need to perform the following steps:

1. You should download and install this browser http://www.torproject.org/projects/torbrowser.html.en

2. After installation, run the browser and enter the address: 4sfxctgp53imlvzk.onion

3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

Guaranteed recovery is provided within 10 days.

IMPORTANT INFORMATION:

Your Personal CODE: 00000001-xxxxxx

Перевод записки на русский язык: 

Все файлы, включая видео, фото и документы на вашем компьютере, зашифрованы.

Расшифровка файлов стоит ~ $ 500.

Чтобы расшифровать файлы вам нужно сделать следующие действия:

1. Вам нужно загрузить и установить этот браузер http://www.torproject.org/projects/torbrowser.html.en

2. После установки запустите браузер и введите адрес: 4sfxctgp53imlvzk.onion

3. Следуйте инструкциям на сайте. Напоминаем, чем раньше вы это сделаете, тем больше шансов восстановить файлы.

Гарантированное восстановление в течении 10 дней.

ВАЖНАЯ ИНФОРМАЦИЯ:

Ваш личный код: 00000001-xxxxxx

Другим информатором жертвы выступает экран блокировки: 

Содержание текста о выкупе: 

YOUR PERSONAL FILES ARE ENCRYPTED

All files including videos, photos and documents, etc on your computer are encrypted.

Encryption was produced using a unique public key generated for this computer. To decrypt files, you need to obtain the private key.

The single copy of the private key, which will allow you to decrypt the files, located on a secret server on the Internet; the server will destroy the key after a time specified in this

window, After that, nobody and never will be able to restore files

In order to decrypt the files, open site

4sfxctgp53imlvzk.onion.to/index.php and follow the instructions.

If 4sfxctgp53imlvzk.onion.to is not opening, please follow the steps below:

1. You must download and install this browser:

http://www.torproject.org/projects/torbrowser.html.en

2. After installation, run the browser and enter the address:

4sfxctgp53imlvzk.onion/index.php

3. Follow the instructions on the web-site. We remind you that the sooner you do, the more chances are left to recover the files.

Перевод текста на русский язык: 

ВАШИ ПЕРСОНАЛЬНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ

Все файлы, включая видео, фото, документы и т.д. на вашем компьютере, зашифрованы.

Шифрование выполнено с помощью уникального открытого ключа, созданного для этого компьютера. Чтобы расшифровать файлы, вам нужно получить закрытый ключ.

Единственная копия закрытого ключа, которая позволит вам расшифровать файлы, находится на секретном сервере в Интернете; сервер уничтожит ключ через время, указанное в этом окне, после этого никто и никогда не сможет восстановить файлы

Чтобы расшифровать файлы, откройте сайт

4sfxctgp53imlvzk.onion.to/index.php и следуйте инструкциям.

Если 4sfxctgp53imlvzk.onion.to не открывается, выполните следующие действия:

1. Вы должны загрузить и установить этот браузер:

http://www.torproject.org/projects/torbrowser.html.en

2. После установки запустите браузер и введите адрес:

4sfxctgp53imlvzk.onion/index.php

3. Следуйте инструкциям на сайте. Напоминаем, что чем раньше вы это сделаете, тем больше будет шансов восстановить файлы.

Скриншоты с сайтов вымогателей:

Технические детали

Вероятно связан с трояном-загрузчиком Nymaim и SmokeLoader. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Cryptorbit не шифрует весь файл, а скорее повреждает его, заменяя первые 512 байтов файла.

Подробности шифрования: 

Cryptorbit копирует первые 512 байтов исходного заголовка файла, шифрует эти байты и сохраняет их в конце файла. Затем он создает другой 512-байтовый заголовок и заменяет им обычный заголовок файла. Это фактически повреждает файл, потому что программа, которая обычно открывала бы этот тип файла, увидит неизвестный заголовок и не сможет его открыть. 

В начале 2014 года был найдены методы и разработана программа, которая может восстановить заголовок файла и поврежденные файлы. 

Чтобы восстановить файлы JPEG, JPG, .PDF, .WAV, .PST, .DOC, .XLS, .XLSX, .PPTX, .DOCX и .MP3, нужно загрузить Anti-CryptorBitV2.exe из текста по ссылке. Свойства файла прилагаются. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:

HowDecrypt.txt - название файла с требованием выкупа

HowDecrypt.gif  - изображение с текстом выкупа
cxtdfx.exe, <random>.exe - случайное название вредоносного файла

xKeNIVpFABUmG.bat  - случайное название вредоносного bat-файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
\REGISTRY\USER\S-1-5-21-1985363256-3005190890-1182679451-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\ProgramData\\qej\\cxtdfx.exe,explorer.exe"

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 4sfxctgp53imlvzk.onion

Email: - 
BTC: 15JTKDkU4U6Tn5MBc9Pt52mMzXDmvmaanR

12GZoiAdcUubEwtArg1MApKB5uazpVneih

1CgMiXHjLFUM3E79USnVM5Sikf5j9gTdXy

17FSkXDULjtK6R9G3cpwmLMYbWRZJ9c8vZ

Список сайтов / DNS:

ahfgalsid.com

amexmub.org

bdvdxafnnr.info

ckmoyvqq.biz

dpvvkldbw.net

fqmarkdicq.net

fxvxrvrm.ru

gjyzud.com

gpyxvhxw.com

hyktlqar.biz

irulcuv.biz

iwxyeko.net

jfwxqgvj.net

jihnynk.net

jqmodlczdla.net

kcgldirxear.ru

mcidpd.org

mdlzljkm.ru

mikayyar.ru

mrahrsbx.biz

mtbjinqs.info

nfoposn.info

nmqilakndbe.com

nshomblfby.ru

ofaysexz.biz

poliglotsexot.org

qisgup.biz

relonsywu.ru

rwvupxk.org

rybmqwcqup.info

sanjwno.ru

ttuktb.com

ureorgnta.biz

vmdfejfbzsi.ru

wdrwdwjq.org

wqshzrd.net

wtorlsbx.net

xbvsorrhc.info

ybohemdbnoh.info

yplodnvti.org

См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Ⓗ Hybrid analysis >>  HA>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>  IA>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

В 2014 году появились версии CryptorBit v.2 и v.3

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as CryptorBit)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

EncFileSOS

EncFileSOS Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации различных алгоритмов (DES, RC2, RC4, RC5, RC6, 3DES, Blowfish, AES, ГОСТ 28147-89, IDEA, Tea, CAST-128, CAST-256, ICE, Twofish, Serpent, MARS, MISTY1). Способ шифрования выбирается исходя из значения  параметра, получаемого в конфигурационном XML-файле. Затем после шифрования оставляет записку с требованием выкупа, в которой требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. По сообщениям специалистов из DrWeb, чаще используется шифрование RC4 (модифицированный алгоритм) + DES. Оригинальное название: в записке не указано. На файле написано: нет данных.

---
Обнаружения:
DrWeb -> Trojan.Encoder.225
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Symantec -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: более ранние варианты >> EncFileSOS > MrCrTools,  Rakhni Family

Информация для идентификации

Активность этого крипто-вымогателя была в сентябре - октябре 2013, а позже появились новые модификации. Ориентирован на русскоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .encfilesos@aol.com

Записка с требованием выкупа называется: 

KAK_PАCШИФPOBATЬ_ВАШИ_ФAЙЛЫ.TXT

Вероятно, должен быть еще англоязычный вариант HOW_TO_DECRYPT_YOUR_FILES.TXT, но в изученном варианте он оказался зашифрован. 

Содержание записки о выкупе (вариант сентября 2013):

Все вaши файлы dос,xls,рdf,jpg бaзы дaнныx зaшифpoвaны.

Чтобы купить дешифратор напишите нам на email:

encfilesos@aol.com

В теме письма укажите ваш ID.

Если вы хотите удостовериться в том, что мы можем расшифровать ваши файлы, можете приложить любой файл и мы его расшифруем (базы данных для теста не расшифровываем!)

ID:F05DB***

---------------------------------------------------------------------------------

Содержание записки о выкупе (вариант октября 2013):

Все вaши файлы и бaзы дaнныx зaшифpoвaны.

Расшифровка платная. 

Чтобы купить дешифратор свяжитесь с нами по email:

encfilesos@aol.com

В теме письма укажите ваш ID (ID05EF2***)

Если вы хотите удостовериться в том, что мы можем расшифровать ваши файлы, приложите к письму какой-нибудь файл и мы его расшифруем (базы данных для теста не расшифровываем!)

--------------------------------------------------------------------

ID:05EF2***

--------------------------------------------------------------------

Все вaши файлы и бaзы дaнныx зaшифpoвaны.

Расшифровка платная. 

Чтобы купить дешифратор свяжитесь с нами по email:

encfilesos@aol.com

В теме письма укажите ваш ID (ID05EF2***)

Если вы хотите удостовериться в том, что мы можем расшифровать ваши файлы, приложите к письму какой-нибудь файл и мы его расшифруем (базы данных для теста не расшифровываем!)

--------------------------------------------------------------------

ID:05EF2***

--------------------------------------------------------------------

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

 Может распространяться с помощью email-спама и вредоносных вложений. (это может быть номер какого-то заказа, например "Заказ №320123543",  имитация письма из банка, например о задолженности), обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. 

 В момент открытия вложенного файла, содержащего известный эксплоит к CVE2012-0158, вредоносный файл проникает на компьютер жертвы, используя уязвимость Microsoft Office. После начала действия вируса файлы Excel, Word, фото, архивы, базы данных 1С, аудио-файлы будут зашифрованы. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KAK_PАCШИФPOBATЬ_ВАШИ_ФAЙЛЫ.TXT - название файла с требованием выкупа на русском языке;

HOW_TO_DECRYPT_YOUR_FILES.TXT - название файла с требованием выкупа на английском языке;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: encfilesos@aol.com
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: - 

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as ***)
 Topic of Support, Topic of Support
 DrWeb расшифровали множество файлов после Trojan.Encoder.225. 

 Thanks: 
 v.martyanov
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.