Magic

Magic Ransomware

Memekap Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Обладателям серверов нужно заплатить 2 биткоина. 

Название получил от добавляемого расширения или исполняемого файла вымогателя. Magic представляет собой копию крипто-вымогателя EDA2 с открытым исходным кодом. В Microsoft (19 декабря 2015 г.) и TrendMicro (26 января 2016) используется название Memekap. 

© Генеалогия: EDA2 >> Memekap ⟺ Magic  > HugeMe

✋Внимание!!! Microsoft не опубликовали технических деталей. Они есть только у TrendMicro. TM упоминают в своей статье про Memekap о Magic как о другом (обновлённом) образце вымогателя на основе EDA2. 

Таким образом, собрав воедино все сведения, я внёс корректировки в эту статью. 
1) Есть ряд различий в версиях Memekap и Magic: расширение, добавляемое к зашифрованным файлам, другой exe-файл, разное количество типов файлов, подвергающихся шифрованию (у Memekap - 416, у Magic - 473). 
2) Но совпадает текст записок о выкупе, их имена, а самое главное — те же email-адреса и тот же Bitcoin-адрес. Значит за ними стоит одна и та же группа вымогателей. 

К зашифрованным файлам добавляется расширение .magic.

Активность этого криптовымогателя пришлась на декабрь 2015 - январь 2016 (Memekap) и январь-февраль 2016 (Magic). 
На протяжении 2016 года образцы ещё попадаются и, судя по образцам новой версии, найденным в октябре 2016, эта вредоносная разработка продолжается. Ориентирован на англоязычных пользователей.
В феврале 2017 г. появилось ещё одно "продолжение" под названием HugeMe Ransomware. 

Записки с требованием выкупа называются:
DECRYPT.TXT
DECRYPT_ReadMe.TXT.ReadMe
DECRYPT_ReadMe1.TXT.ReadMe

Содержание записки о выкупе:
All your files encrypted with strong encryption.
To unlock your files you must pay 1 bitcoin to address :
1LXFUhLtEnJYTo2YyMhdUCBaHcgc6LaLfR
You can search google for how to buy and send bitcoin in your country.
After you send the bitcoin email to : 
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net
use all email to communicate with the information of username and pcname and the time you send bitcoins.
When we will confirme the transaction you will receive decryption key and decryption program.
Price depend on the system. If you have a sql server or server based system send 2 bitcoin.
If your network share or system encrypted with axx extensions email to discuss price to decrypt your system.

Перевод записки на русский язык:
Все твои файлы зашифрованы с сильным шифрованием.
Для разблока файлов ты должен заплатить 1 Bitcoin на адрес:
1LXFUhLtEnJYTo2YyMhdUCBaHcgc6LaLfR
Ты можешь поискать в Google как купить и отправить Bitcoin в твоей стране.
После отправки Bitcoin напиши на email:
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net
используй все email для контакта c информацией о пользователе и ПК-имя и времени отправки биткоинов.
Когда мы подтвердим транзакцию ты получишь ключ дешифрования и дешифратор.
Цена зависит от системы. Если у тебя есть SQL сервер или система на базе сервера, отправь 2 биткоина.
Если твои сетевые ресурсы или система зашифрованы с axx-расширениями, то пиши на email, чтобы обсудить цену для расшифровки твоей системы.

Примечательно, что расширения .axx использует AxCrypt Ransomware, значит эти крипто-вымогатели взаимосвязаны. 

Устанавливается через взлом терминальных служб или с использование протокола удаленного рабочего стола. Но вполне может начать распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, если уже не начал. 

После шифрования, чтобы лишить жертву возможности восстановления данных, удаляет теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию (в версии Memekap):

.aac, .abk, .abw, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .ccd, .cch, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cpp, .crd, .crt, .crw, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .exif, .faq, .fcd, .fdr, .fds, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gzig, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .plc, .pli, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .shar, .shr, .shw, .slt, .snp, .spr, .sql, .sqx, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .utc, .utx, .uvx, .uxx, .val, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .zap, .zip, .zipx, .zoo (416 расширений). 

Список файловых расширений, подвергающихся шифрованию (в версии Magic):
 .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase,.asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (473 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Во время шифрования пропускаются директории:
C:\Windows
C:\Program

По окончании шифрования дисков выполняется bat-файл, проводящий зачистку исполняемых файлов крипто-вымогателя. 

После чего жертве показываются уведомления — это текстовые файлы DECRYPT.TXT и DECRYPT_ReadMe.TXT.ReadMe, записки с требованием выкупа, которые сохраняются на рабочем столе.

Файлы, связанные с Magic Ransomware:
magic.exe -  исполняемый файл вымогателя;
ransomware.exe - исполняемый файл вымогателя (вариант);
<random_name>.exe - исполняемый файл вымогателя (вариант);
DECRYPT.TXT - записка с требованием выкупа
DECRYPT_ReadMe.TXT.ReadMe - записка с требованием выкупа
DECRYPT_ReadMe1.TXT.ReadMe - добавляется лог
deleteMyProgram.bat - bat-файл, используется для удаления теневых копий и зачистки файлов вымогателя

Расположение: 
%Desktop%\DECRYPT.TXT
%Desktop%\DECRYPT_ReadMe.TXT.ReadMe
%Desktop%\DECRYPT_ReadMe1.TXT.ReadMe
%Desktop%\\deleteMyProgram.bat

Записи реестра, связанные с Magic Ransomware:
***не указаны***

Сетевые подключения:
xxxx://reloaded.orgfree.com/new/my.php
xxxx://reloaded.orgfree.com/new/your.php
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
Malwr анализ >>

Обновление: 5 октября 2016:
Использование продолжается.
Версия: 5.4.3.2

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC + 2nd Write-up on BC + Write-up on TM
 Topic on BC
 Моя статья на SZ

 Thanks: 
 TrendMicro
 Lawrence Abrams, Michael Gillespie, 
 Мне самому как SNS-amigo
 *
 

KeyBTC-2016

KeyBTC-2016 Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024 (из записки), а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: KeyBTC-2014 > KeyBTC-2016

К зашифрованным файлам никакое расширение не добавляется. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2016 г. и продолжилась примерно до апреля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPT_YOUR_FILES.txt

Содержание записки о выкупе:
ATTENTION:
All your documents, photos, databases and other important personal files were encrypted using strong RSA-1024 algorithm with a unique key.
To restore your files you have to pay 0.5 BTC (bitcoins). To do this:
1. Create Bitcoin wallet here:
 https://blockchain.info/wallet/new
2. Buy 0.5 BTC with cash, using search here:
 https://localbitcoins.com/buy_bitcoins
3. Send 0.5 BTC to this Bitcoin address:
 oJHR97yvh97wrjvwlkrcnqrp79w9rvqnrvj
4. Send any e-mail to:
 keybtc@inbox.com
After that you will recieve e-mail with detailed instructions how to restore your files.
Remember: nobody can help you except us. It is useless to reinstall Windows, rename files, etc.
Your files will be decrypted as quick as you make payment.

Перевод записки на русский язык:
ВНИМАНИЕ:
Все ваши документы, фотографии, базы данных и другие важные личные файлы зашифрованы с использованием надежного алгоритма RSA-1024 с уникальным ключом.
Для восстановления ваших файлов вы должны заплатить 0.5 BTC (биткоины). Для этого:
1. Создайте биткоин-кошелек здесь:
  https://blockchain.info/wallet/new
2. Купите 0.5 BTC наличными, воспользовавшись поиском здесь:
  https://localbitcoins.com/buy_bitcoins
3. Отправьте 0.5 BTC на этот биткойн-адрес:
  oJHR97yvh97wrjvwlkrcnqrp79w9rvqnrvj
4. Отправьте любое email по адресу:
  keybtc@inbox.com
После этого вы получите email с подробными инструкциями по восстановлению ваших файлов.
Помните: никто не может помочь вам, кроме нас. Бесполезно переустанавливать Windows, переименовывать файлы и т.д.
Ваши файлы будут расшифрованы так же быстро, как вы сделаете платёж.

Технические детали

Для атаки используется возможности JavaScript и системное приложение WScript.exe. Может распространяться с помощью email-спама и вредоносных JS-вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ KeyBTC шифрует только первые 2048 байтов файла.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .7z, .accdb, .als, .asm, .aup, .avi, .bas, .blend, .cad, .cdr, .cpp, .cpr, .cpt, .cs, .csv, .doc, .docx, .dsk, .dwg, .eps, .gpg, .gz, .indd, .jpg, .kdb, .kdbx, .lwo, .lws, .m4v, .max, .mb, .mdb, .mdf, .mp4, .mpe, .mpeg, .mpg, .mpp, .npr, .odb, .odm, .odt, .pas, .pdf, .pgp, .php, .ppt, .pptx, .psd, .pub, .rar, .raw, .rtf, .scad, .skp, .sldasm, .slddrw, .sldprt, .ssh, .sxi, .tar, .tif, .tiff, .tsv, .u3d, .vb, .vbproj, .vcproj, .vdi, .veg, .vhd, .vmdk, .wdb, .wmf, .wmv, .xls, .xlsx, .zip (79 расширений без повторов). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT_YOUR_FILES.txt
<random>.exe - случайное название вредоносного файла
fax_0000329455.doc.js - пример вредоносного вложения
scan_0000125475.doc.js - пример вредоносного вложения
224017_crypt.exe - вредоносный файл, созданный WScript.exe
224017_readme.txt - файл, созданный WScript.exe, с текстом, как в записке
224017_tree.cmd - файл, созданный WScript.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://pondybuilders.com/wp-admin/files/
xxxx://pondybuilders.com/wp-admin/htm/login.html
xxxx://iumlkottakuppam.com/css.php
xxxx://corestaffingsolutions.com/counter/?http://realmadlocal.com/our-designs/
Email: keybtc@inbox.com
BTC: oJHR97yvh97wrjvwlkrcnqrp79w9rvqnrvj
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать KeyBTCDecrypter для дешифровки файлов >>
*
*

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as KeyBTC)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, BleepingComputer, Fabian Wosar
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

KEYHolder

KEYHolder Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные пользователей с помощью алгоритма XOR (режим CFB, Cipher Feedback), хотя жертву нарочно пугают алгоритмом RSA-2048, затем требует выкуп в 1,5 биткоина или ~$500 (позже цена была снижена), чтобы вернуть файлы обратно. Новое творение создателей CryptorBit. Время распространения, судя по форумам оказания помощи, довольно продолжительно — с конца 2014 до начала 2016 гг. Вполне ещё может вернуться в новом обличье.

  Отдельный метод распространения неизвестен. Видимо устанавливается путём заражения вручную, методом взлома удаленного рабочего стола или служб терминалов. Название KEYHolder переводится как "брелок с ключами", который и изображен на картинке ниже. 

  После запуска KEYHolder будет сканировать все буквы дисков и шифровать любые файлы данных, которые на нем находятся. По окончании шифрования удаляются все теневые копий файлов, чтобы из нельзя было восстановить файлы с помощью функции восстановления системы или с помощью специальных программ типа Shadow Explorer. 

  В каждой папке с зашифрованными файлами сохраняются файлы HOW_DECRYPT.gif и HOW_DECRYPT.html, которые содержат информацию о том, как получить доступ к сайту для уплаты выкупа.

Текст с картинки с ключами:

KEYHolder

YOUR PERSONAL FILES ARE ENCRYPTED

All files including videos, photos and documents on your computer are encrypted.

File Decryption costs ~$500

In order to decrypt the files, you need to perform the following steps:

1. Your should download and install this browser http://www.torproject.org/torbrowser.html.en

2. After installation, run the browser and enter the address: mwyigd4n52mkbyhe.onion

3. Follow the instructions on the web-site.

We remind that you that the sooner you do, the more chances are left to recover the files.

Guaranteed recovery is provided within 10 days.

Перевод на русский язык:

KEYHolder

Ваши личные файлы зашифрованы

Все файлы, включая видео, фото и документы на вашем ПК зашифрованы.

Файл дешифровки стоит ~$500

Для дешифровки файлов, вам надо сделать следующие шаги:

1. Загрузите и установите этот браузер http://www.torproject.org/torbrowser.html.en 

2. После установки запустите браузер и введите адрес: mwyigd4n52mkbyhe.onion

3. Следуйте инструкциям на веб-сайте.

Напоминаем, что чем раньше вы это сделаете, тем больше шансов вернуть файлы.

Гарантирован возврат файлов в течение 10 дней.

Степень распространённости: высокая. 
Подробные сведения собираются.

RackCrypt, MVP Locker

RackCrypt Ransomware

MVP Locker Ransomware 

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1.3 BTC, чтобы вернуть файлы. Оригинальное название: MVP Locker. На файле написано: нет данных.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .rack

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: rackinfo.txt

Содержание записки rackinfo.txt:
Your PC was infected with MVP Locker which encrypts all your personal files: music, video, images and so on. Now to get everything back you have to pay. You can clean your PC from this program, however in case you want to get all your data back we do not recommend do that since we will verify the existence of files, and if you tried to eliminate this program you have no chances to get encrypted data back even in case you did a payment.
The payment proceed in bitcoin currency, We won't provide you with the informatation how you can create your own wallet and put money on it, everything you can find using internet. There is enough info about it.
// ==========================
There is information that you might need:
bitcoin wallet number (you should make your paymenton on this address): 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
e-mail support address (use this in case you have problems you can't solve): mvplocksvc@yahoo.com

Перевод записки на русский язык:
Ваш ПК был заражен MVP Locker, который шифрует все ваши личные файлы: музыку, видео, изображения и т.д. Теперь, чтобы получить все обратно, вы должны заплатить. Вы можете очистить свой компьютер от этой программы, однако, если вы хотите вернуть все свои данные, мы не рекомендуем это делать, так как мы проверим наличие файлов, и если вы попытаетесь устранить эту программу, у вас не будет шансов вернуть зашифрованные данные даже в случае, если вы заплатили.
Оплата производится в биткоин-валюте. Мы не предоставим вам информацию о том, как вы можете создать свой собственный кошелек и положить на него деньги, все, что вы можете найти с помощью Интернета. Об этом достаточно информации.
// ==============================
Есть информация, которая вам понадобится:
биткойн-кошелек (вы должны заплатить на этот адрес): 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
email-адрес поддержки (используйте это, если у вас проблемы, которые не можете решить): mvplocksvc@yahoo.com


Запиской с требованием выкупа выступает экран блокировки с кнопками.

При нажатии на кнопку "files" открывается файл rackfiles.txt со списком зашифрованных файлов. 

При нажатии на кнопку "info" открывается записка о выкупе rackinfo.txt.

При нажатии на кнопку "copy" адрес биткоин-кошелька, указанный в сообщении, помещается в буфер обмена.

При нажатии на кнопку "decrypt" открывается следующее сообщение.

По данным Microsoft ещё должно быть изображение rack.jpg, встающее обоями Рабочего стола. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .ank, .apk, .arch00, .arw, .asset, .avi , .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .cas, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db0, .dba, .dbf , .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .et, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hpp, .hvpl, .ib, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp3, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pas, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wall, .wb2  .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (197 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
rackinfo.txt - запсик ао выкупе
rackfiles.txt - содержит список зашифрованных файлов
rack.jpg - изображение, заменяющее обои
firefox.exe
loader.exe
smss.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\<exe_ransom>.exe
%TEMP%\rackfiles.txt
%TEMP%\rackinfo.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mvplocksvc@yahoo.com
BTC: 17Avc5GfDEzMeos71G2ftfpvfnvjkL2oo7
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as RackCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Lortok

Lortok Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 5 долларов, чтобы вернуть файлы обратно. Ориентирован на русскоязычных пользователей. Активность этого крипто-вымогателя пришлась на январь-март 2016 г. В 2017 году были обнаружены новые случаи заражения. 

  К зашифрованным файлам добавляются расширения .crime или .<ID жертвы> или .<victim_ID>, в их числе расширения по шаблону с 8-ю случайными буквами и цифрами, т.е. .<random8>, например:
.f84cbfea
.ku2bcg3h
.3betfr5u

Примеры файлов с расширением .<random8>

  Записка с требованием выкупа называется ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt 

  Примечательно, что в 2014-2015 гг. было множество криптовымогателей с тем же названием записки и тем же текстом внутри. Различие было лишь в начале "Для этого откройте ярлык 'Онлайн консультант' (другой вариант 'Ваш консультант'), который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл", да и расширение добавлялось .AES256 или другое. Компании ЛК удалось создать декриптор для вредоносов этого типа.

Оригинальный текст записки о выкупе:
Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
СТОИМОСТЬ РАСШИФРОВКИ ФАЙЛОВ 5$
Для этого выполните следующие действия:
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке 'xxxx://3qo5aqjlesrudfm3.onion/?id=...' в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте
--------------------------------------------------------------
Для авторизации на сайте используйте:
ID: ffc75... 
HashID: 4f85fadb2...
--------------------------------------------------------------
1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.
2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.
3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.
4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.
--------------------------------------------------------------
Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов: 
1) Открыть архив можно только введя пароль
2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.
3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.
4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.
--------------------------------------------------------------
Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!
https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard

Технические детали

  После попадания на ПК жертвы Lortok создаёт свою копию в директориях:
C:\Users\Администратор\AppData\Roaming\installdir\help.exe
C:\Users\Администратор\AppData\Roaming\update_<случайный букво-цифрокод>.exe

Файлы, связанные с этим Ransomware:

ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt
help.exe
update_{Ransom_name}.exe

Расположения:
%USERPROFILE%\AppData\Roaming\installdir\help.exe
%USERPROFILE%\AppData\Roaming\update_<random_name>.exe

Сетевые подключения и связи:
xxxx://3qo5aqjlesrudfm3.onion***
xxxx://2hscl4fwxetqdiml.onion***

Степень распространённости: средняя. 
Подробные сведения собираются регулярно.

Внимание! 
Для зашифрованных файлов есть декриптор
Скачать RakhniDecryptor для Lortok >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Lortok)
 Write-up (n/a), Topic of Support, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 Thyrex
 victim in the topics of support
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoJoker

CryptoJoker Ransomware 

(шифровальщик-вымогатель) (первоисточник)

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в биткоинах, чтобы вернуть файлы обратно. 

Активность этого крипто-вымогателя пришлась на деабрь 2015 - январь-март 2016 г. Ориентирован на англоязычных и русскоязычных пользователей. 

На русском языке название звучит как КриптоДжокер. Не путайте с CryptoLocker (КриптоЛокер). 

© Генеалогия: CryptoJoker 2016 ✂️ + EDA2 >> Executioner ⇔ CryptoJoker 2017 > ExecutionerPlus > CryptoNar (CryptoJoker 2018) > CryptoJoker 2019 >

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .crjoker

 Записки с требованием выкупа называются: README!!!.txt, GetYouFiles.txt, crjoker.html и другие.

Последний файл фактически является экраном блокировки с отсчетом оставшегося времени. Текст написан на русском и английском языках. 

Содержание записки о выкупе: 
ENGLISH:
Your personal files were encrypted using RSA key cryptographically!
It decrypts files can be knowing a unique, private RSA key length of 2048 bits, which is only for us.
Write to us at mail: file987@sigaint.org Spare mails: file9876@openmail.cc or file987@tutanota.com
Instructions for payment will be sent in the opposite letter.
After payment we will send your key and decoder.
And remember, you only have 72 hours to make a payment, then the price will rise to decipher.
Attempts to decipher on their own will not lead to anything other than irretrievable loss of information.
Your unique key that is required to send to the specified email:
Good luck.

RUSSIAN:
Ваши личные файлы были зашифрованы при помощи криптостойкого RSA ключа!
Расшифровать файлы можно зная уникальный, закрытый RSA ключ длиной 2048 бит, который есть только у нас.
Напишите нам на мейл: file987@sigaint.org Запасные мейлы: file9876@openmail.cc или file987@tutanota.com
Инструкция для оплаты будут высланы в обратном письме.
После оплаты мы вышлем ваш ключ и дешифратор.
И помните, у вас есть только 72 часа, чтобы произвести оплату, потом цена на расшифровку поднимется.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Ваш уникальный ключ, который обязательно вышлите на указанный email:
Удачи.

Перевод записки на русский язык: 

Не требуется, т.к. уже сделан самими вымогателями.

  Распространяется с помощью email-спама и вредоносных вложений. Установщик CryptoJoker маскируется под PDF-файл. После запуска установщика на выполнение будет докачано и сгенерировано нужное количество исполняемых файлов в папке %Temp% и один в папке %AppData%. Каждый из них будет выполнять определенные задачи, например, такие, как отправка информации на C&C-сервер, поиск и завершение важных системных задач, блокировка экрана и демонстрация вымогательского окна поверх всех открытых приложений.

  Когда CryptoJoker шифрует данные, он сканирует все диски на компьютере жертвы, в том числе сетевые, выполняя поиск файлов с определенными расширениями.

Список файловых расширений, подвергающихся шифрованию:
.txt, .pdf, .doc, .docx, .docm, .xls, .xlsx, .xlsb, .xlsm, .ppt, .pptx, .pptm, .odt, .jpg, .png, .jpeg, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .java, .db

Во время шифрования данных CryptoJoker отправляет информацию на сервер свой управляющий C&C-сервер, расположенный вserver6.thcservers.com. Отправляемая информация включает в себя дату, имя хоста, имя пользователя, имя компьютера.

Код, используемый для отправки такой информации, приведён ниже.

В процессе установки CryptoJoker также создает в %Temp% папке пакетный файл new.bat, который удаляет теневые копии файлов и отключает автоматическое исправление загрузки Windows. Это делает невозможным использование теневых копий оригинальных файлов, чтобы восстановить зашифрованные файлы.

С помощью этого пакетного файла выполняются следующие команды:
vssadmin.exe Delete Shadows /All /Quiet
bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
vssadmin.exe delete shadows /all /quiet

Экран блокировки отображает инструкции на английском и русском языках. В них указаны адреса электронной почты file987@sigaint.org, file9876@openmail.cc, file987@tutanota.com для получения платежных инструкций. [Для сведения: Экран блокировки будет оставаться поверх других приложений, пока вы не завершите Temp-процесс WinDefrag.exe].

Экран блокировки

При отправке письма вымогателям пострадавшая сторона должна скопировать строку текста, зашифрованную с алгоритмом RSA, из этого окна, или продублированную в файле README!!!.TXT в папке %Temp%.

Файлы, связанные с CryptoJoker Ransomware: 

\Desktop\DECRYPT FILES.txt
\Desktop\GET MY FILES.txt
\Desktop\READ NOW.txt
\Desktop\read this file.txt
\Desktop\READ.txt
\Desktop\README!!!.txt
\Desktop\readme.txt
%Temp%\crjoker.html

%Temp%\drvpci.exe

%Temp%\GetYouFiles.txt

%Temp%\imgdesktop.exe

%Temp%\new.bat

%Temp%\README!!!.txt

%Temp%\sdajfhdfkj

%Temp%\windefrag.exe

%Temp%\windrv.exe

%Temp%\winpnp.exe

%AppData%\dbddbccdf.exe

%AppData%\README!!!.txt22

Записи реестра, связанные с CryptoJoker Ransomware:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\winpnp    %Temp%\winpnp.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\drvpci     %Temp%\drvpci.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\windefrag    %Temp%\windefrag.exe

Ранний детект на VirusTotal >>>
Июльский детект на VirusTotal >>>

Symantec: Ransom.CryptoJoker >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoJoker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.