JohnyCryptor

JohnyCryptor Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (CBC-режим) + RSA1024, а затем требует написать на email вымогателей, чтобы дешифровать файлы. Название придумано вымогателями. Известен с января-февраля 2016, новый виток был в мае 2016 и продолжился летом. Ориентирован на англоязычных пользователей. По данным исследователей, вероятно, является одним из ранних вариантов CrySiS Ransomware. JohnyCryptor и CrySiS созданы и распространялись из Украины. Программным приемником CrySiS Ransomware является вымогательский проект Dharma Ransomware и некоторые другие. 

© Генеалогия: CrySiS <=> JohnyCryptor

К зашифрованным файлам добавляется составное расширение по шаблон:
.id-[ID_victim]-johnycryptor@aol.com.xtbl
.id-[ID_victim].johnycryptor@hackermail.com.xtbl. 

Записка о выкупе How to decrypt your files.txt предельно кратка: 
DECRYPT FILES EMAIL Johnycryptor@aol.com or Johnycryptor@india.com

Содержание текста со скринлока с почтой JohnyCryptor@aol.com
Attention!
Your computer has been encrypted by cryptographically strong algorithm. All your files are now encrypted. You have only one way to get them back safely – using original decryption tool. Using another tools could corrupt your files, use it on your own risk.
To get original decryptor contact us with email.
JohnyCryptor@aol.com
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we won’t keep your decryption keys at our servers more than one week in interest of our security.
PS. only in case you do not receive a response from the first email address within 48 hours, please use this alternative email address
JohnyCryptor@india.com

В августе 2016 в связи с выходом новой версии скринлок был обновлен.

Содержание текста со скринлока с почтой JohnyCryptor@hackermail.com
Attention! 
Your computer has been encrypted by cryptographically strong algorithm. 
All your files are now encrypted. You have only one way to get them back safely - using original decryption tool. Using another tools (back-ups, recovery soft and others) could corrupt your files, in case of using third-party software we don’t give guarantees that full recovery is possible, so use it on your own risk.
To get original decryptor contact us with email. 
In subject line write your ID, which you can find in name of every files, also attach to email 3 crypted files. (files have to be less that 2MB). 
JohnyCryptor@hackermail.com 
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we won’t keep your decryption keys at our servers more than one week in interest of our security. 
P.S. only in case you don’t receive a response from the first email address within 24 hours, please use this alternative email address. 
JohnyCryptor@india.com
Also you can contact us with questions about our old builds:...

На скринлоках, встающих обоями рабочего стола, сумма выкупа нигде не указывается. Видимо, вымогатели нарочно скрывают ее, а потом в ответном письме заламывают цену неимоверно. 

Вот содержание ответа вымогателей: 

Hello!

We can decrypt your data, here is price:

– 6 Bitcoins in 20 hours without any stupid questions and test decryption.

– 8 Bitcoins if you need more than 20 hours to pay us, but less than 48 hours.

– 10 Bitcoins if you need more than 48 hours to pay us.

Pay us and send payment’s screenshot in attachment.

In this way after you pay we will send you decryptor tool with instructions.

TIME = MONEY.

If you don’t believe in our service and you want to see a proof, you can ask about test decryption.

Test decryption costs 1 Bitcoin.

About test decryption:

You have to send us 1 crypted file.

Use sendspace.com and Win-Rar to send file for test decryptions.

File have to be less than 5 MB.

We will decrypt and send you your decrypted files back.

Also, if you don’t wanna pay you can try to bruteforce cryptokey, but it will take about 400+ days if you have powerful enough machine. Answer us with your decision.

Time limit starts from this email. Here is our bitcoin wallet:

1GDviucuUdDAiPAKrpqq1Y46wra3gb1FrG

We can recommend easy bitcoin exchange service – localbitcons.com

or you can google any service you want.

Johny Cryptor

johnycryptor@aol.com

second email – johnycryptor@india.com

Перевод ответа на русский: 

Привет!

Мы можем расшифровать ваши данные, вот прайс:

- 6 биткоинов за 20 часов без любых глупых вопросов и тест-дешифровки.

- 8 биткоинов, если вам нужно больше 20 часов для оплаты нам, но менее 48 часов.

- 10 биткоинов, если вам нужно больше 48 часов для оплаты нам.

Заплатите и пришлите скриншот платежки вложением.

После вашей оплаты мы вышлем вам декриптор с инструкциями.

ВРЕМЯ = ДЕНЬГИ.

Если вы не верите в наш сервис и хотите видеть доказательство, то закажите тест-дешифровку.

Тест-дешифровка стоит 1 биткоин.

О тест-дешифровке:

Вы должны прислать 1 зашифрованный файл.

Используйте sendspace.com и Win-Rar для отправки файл на тест-дешифровку.

Файл должен быть меньше 5 МБ.

Мы дешифруем и вернём вам дешифрованные файлы.

Если вы не хотите платить, то можете поптаться взломать CryptoKey, но это уйдёт 400+ дней, если у вас есть мощная машина. Сообщите нам о своём решении.

Лимит времени начался с этого email. Вот наш Bitcoin-кошелек:

1GDviucuUdDAiPAKrpqq1Y46wra3gb1FrG

Мы рекомендуем удобный сервис обмена Bitcoin - localbitcons.com

или сами нагуглите любой сервис на выбор.

Johny Cryptor

johnycryptor@aol.com

второй email – johnycryptor@india.com

 Список файловых расширений, подвергающихся шифрованию: 
.3fr, .3gp, .7z, .ai3, .ai4, .ai5, .ai6, .arw, .as, .asa, .ascx, .asmx, .asp, .aspx, .asr, .avi, .bak, .bay, .bmp, .bz2, .c, .cdr, .cer, .cfc, .cfn, .cfnl, .cin, .chm, .class, .config, .cpp, .crt, .cs, .css, .csv, .cub, .dae, .db, .dc3, .dcm, .der, .dic, .dif, .divx, .djvu, .dl, .doc, .docm, .docx, .docxml, .dot, .dotm, .dotx, .dpx, .dqy, .dtd, .dwg, .dx, .dxf, .dsn, .dwt, .eps, .exr, .fido, .frm, .gif, .gz, .h, .hpp, .hta, .htc, .htm, .html, .icb, .ics, .iff, .inc, .ind, .ini, .iqy, .j2c, .i2k, .java, .jp2, .jpc, .jpf, .jpg, .jpg2, .jpx, .js, .jso, .json, .kmz, .lbi, .m4v, .mdb, .mdf, .mef, .mht, .mhtml, .mkv, .mov, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .obj, .odb, .odc, .odm, .ods, .oft, .one, .onepkg, .onetoc2, .opt, .oqy, .p7b, .p7c, .pcx, .pdd, .pdf, .pdp, .pem, .pfx, .php, .php3, .php4, .php5, .phtml, .pl, .pm, .png, .pot, .potm, .potx, .pps, .ppsn, .ppt, .pptm, .pptx, .prn, .pst, .ptx, .pxr, .py, .r3d, .rar, .rdf, .rle, .rqy, .rss, .rtf, .rw2, .rwl, .sct, .sdpx, .shtm, .shtml, .slk, .sln, .sql, .srw, .ssi, .stn, .svg, .svg2, .swf, .tar, .tdi, .tga, .tld, .txt, .u3d, .udl, .uxdc, .vcs, .vda, .wbm, .wbmp, .xlk, .xlm, .xlmv, .xls, .xlsm, .xlsx, .xltx, .xlw, .xml, .xsd, .xsl, .xsc, .xslt, .xz, .wb2, .wim, .wmv, .zip (200 расширений). 

 Файлы, связанные с Ransomware: 
%AppData%/johny.exe

Сетевые подключения и связи: 
Email: johnycryptor@aol.com, johnycryptor@india.com
BTC: 1GDviucuUdDAiPAKrpqq1Y46wra3gb1FrG

Степень распространённости: высокая. 
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

JohnyCryptor Ransomware
CrySiS Ransomware
Crysis XTBL Ransomware
Dharma Ransomware

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщики! 
*
1) Скачать RakhniDecryptor для CrySiS >>
2) Скачать Avast Decryptor для CrySiS >>
3) Скачать ESET Crysis decryptor для CrySiS >>
*

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CrySiS)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Hi Buddy!

Hi Buddy! Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 0.77756467 биткоинов за расшифровку. Зашифрованные файлы получают расширение .cry. 

 © Генеалогия: Hidden Tear >> Hi Buddy!

  После запуска в системе вымогатель сканирует все пользовательские директории (MyMusic, Desktop, MyPictures и Personal) в поисках целевых расширений файлов. Записка с требованием выкупа READ_ME.txt создается во всех папках. Другая имеет расширение HTML.

Содержание записки о выкупе:
Hi Buddy!
Hello Buddy! if you see this message all your important files are been crypted :)
What can you do? You can pay with bit coin and wait 10 min for decryption!
It's very easy! Dont you know how to purchase bitcoin"? www.localbitcoins.com it's your place!
If Antivirus block the crypter, youII be unable to decrypt ...
If is this your case, go to : http://www.***.onion.to
1) click on "Download for specific btc adress"
2) Insert the btc addressm, download, pay and wait:)
Thank you
Your btc address is : ***

Перевод на русский язык:
Привет дружище!
Привет дружище! если ты видишь это сообщение все твои файлы зашифрованы :)
Что делать? Ты можешь заплатить биткоин и ждать 10 минут для дешифрования!
Это очень легко! Не знаешь, как купить Bitcoin? www.localbitcoins.com это тут!
Если антивирус заблокирует Crypter, ты не сможет дешифровать ...
Если это твой случай, перейди на: http://www.***.onion.to
1) нажми кнопку "Download for specific btc adress"
2) Вставь BTC-адрес, скачай, оплати и жди :)
спасибо
Твой BTC-адрес: ***

Список расширений, подвергающихся шифрованию:

.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .js, .mdb,.mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (23 расширения). 

Файлы, связанные с этим Ransomware:
READ_ME.txt 
ransom.exe
t11.exe
sec_check.scr.exe

Hi Buddy! атакует следующие разделы реестра, чтобы закрепиться в системе:
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion
» SOFTWARE\Microsoft\Cryptography\\MachineGuid
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProductName
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\CSDVersion

Hi Buddy! создает следующие ключи реестра, чтобы запускаться при каждом старте системы:
» SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Microsoft 

Сетевые соединения и связи:
24fkxhnr3cdtvwmy.onion.to/help.php

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Hi Buddi!)
 Write-up, Topic
 Threat Landscape Dashboard

 Thanks: 
 Mosh
 Michael Gillespie
 McAfee
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

NanoLocker

NanoLocker Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (ключ RSA), а затем требует выкуп в 0,1 Bitcoin (~$43), чтобы вернуть файлы обратно. Активность вымогателя пришлась на конец января - начало февраля 2016 г. 

  Информация о выкупе содержится в файле ATTENTION.RTF и в экране блокировке, который работает как центр управления платежами и дешифровкой. 

Экран блокировки и управления

  Способ распространения: email-спам и фишинговые письма с вредоносным вложением, маскирующимся под PDF-документ. При его открытии выходит сообщение об ошибке, но на самом деле в фоновом режиме начинается процесс сканирования и шифрования файлов. После шифрования никакого специального расширения к файлам не добавляется. Имена зашифрованных файлом и их местонахождение записываются в специальном файле %LocalAppData%\lansrv.ini

  По окончании шифрования и после перезагрузки ПК NanoLocker продолжает работать и демонстрирует экран блокировки, в котором сообщается, что случилось с файлами, какова сумма выкупа, как получить биткоины, как и их вывести и оплатить выкуп, и как использовать экран блокировки для ввода ключа и расшифровки файлов.

Список файловых расширений, подвергающихся шифрованию:
.aaf, .accdb, .aep, .aepx, .aet, .aif, .arw, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .crt, .crw, .csv, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .game, .grle, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg,.jpg, .kdc, .max, .mdb, .mdf, .mef, .mid, .mlx, .mov, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .psd, .pst, .ptx, .raf, .rar, .raw, .rtf, .rwl, .sav, .sdf, .sldm, .sldx, .slot, .spv, .sql, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (138 расширений).

  NanoLocker использует уникальный способ оплаты и передачи ключей извлеченных при оплате выкупа. Для этого в экране блокировке пострадавший должен вставить строку в кодировке Base64 в поле Public Note, когда посылает оплату. Код Public Note привязывается к сделке в Bitcoin и может быть прочитан с помощью программа разработчика-вымогателя. Когда оплата будет получена, он отправит через микро-транзакцию другой код с ключом дешифрования.  

  Жертва должна вставить полученный ключ в самое нижнее поле в программе, чтобы расшифровать свои файлы, нажав кнопку "Decrypt files". 

 Из-за особенностей процесса шифрования, имеется возможность дешифровки файлов без уплаты выкупа. Здесь мы опускаем эти подробности, а желающие могут ознакомиться с ними самостоятельно. 

Файлы, связанные с NanoLocker:
C:\Users\User\AppData\Local\lansrv.exe
C:\Users\User\AppData\Local\lansrv.ini
C:\Users\User\Desktop\ATTENTION.RTF

Записи реестра, связанные с NanoLocker:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\LanmanServer    C:\Users\User\AppData\Local\lansrv.exe

Степень распространённости: очень низкая. 
Подробные сведения собираются.

7ev3n

7ev3n Ransomware 

(шифровальщик-вымогатель)

 Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 13 биткоинов, чтобы вернуть файлы обратно. Название происходит от видоизмененного английского слова "seven" (семь). 

© Генеалогия: 7ev3n > 7ev3n-HONE$T

К зашифрованным файлам добавляется расширение .R5A или, в единичных случаях, .R4A. Активность этого крипто-вымогателя пришлась на январь 2016 г. 

 Записка с требованием выкупа называется: FILES_BACK.txt

К ней добавляется экран блокировки. 

 Содержание записки о выкупе: 
YOUR PERSONAL INFORMATION ARE ENCRYPTED by 7ev3n
All your documents, photos, databases, office projects and other important files have been encrypted with strongest encryption algorithm and unique key, original files have been overwritten, recovery tools and software will not help. Private key is stored on a server and nobody can decrypt your files until you pay and obtain the private key.
You have only 96 hours to make a payment. If you do not send money within provided time, private key will be destroyed, and all your files will be lost. Follow the instructions:
1. Pay amount of 13 bitcoin (approximately 4980 USD) to address: bitcoin address, this unique address generated only for you.
2. Transaction will take about 50 minutes to accept and confirm the payment, decryption and uninstalling of this software will start automatically. For correct key and decryption, DO NOT: power off computer, disable Internet connection, run antivirus program. Usually decryption will take about 1-3 hours, average decrypt speed 21gb per hour.
Bitcoin is a digital currently that you can buy on ‘eBay.com’, ‘localbitcoins.com’, ‘anxpro.com’, ‘cued.com’ and many other online and physical exchangers through credit card, bank account, using PayPal and many other payment methods.
Warning, do not try to get rid of this program, any action taken will result in decryption key being destroyed, you will lose your files forever, one way to get you files os to follow that instructions. In case of non-payment reserve the right to publicly publish all encrypted files.

 Перевод записки на русский язык: 
Ваша личная информация зашифрована 7ev3n
Все ваши документы, фото, базы данных, офисные проекты и другие важные файлы были зашифрованы с сильным алгоритмом шифрования и уникальным ключом, оригинальные файлы перезаписаны, инструменты восстановления и программы не помогут. Секретный ключ хранится на сервере, и никто не расшифрует файлы, пока не платите и получите секретный ключ.
У вас есть только 96 часов для оплаты. Если не отправите деньги за это время, закрытый ключ будет уничтожен, и все ваши файлы будут потеряны. Следуй инструкциям:
1. Выплати сумму 13 Bitcoin (около $4980 США) по адресу: Bitcoin-адрес, уникальный адрес генерируется только для вас.
2. Сделка займет около 50 минут, чтобы принять и подтвердить платеж, дешифровка и удаление этой программы начнется автоматически. Для правильного ключа и дешифрования, НЕ отключайте питание компьютера, не отключайте подключение к Интернету, не запускайте антивирусную программу. Обычно дешифровка идет 1-3 часа, средняя скорость декрипта 21 Гб в час.
Bitcoin представляет собой современную цифровую валюту, вы можете купить на eBay.com, localbitcoins.com, anxpro.com, cued.com и на мн. др. онлайн и физических обменниках через кредитную карту, банковский счет, используя PayPal и мн. др. способов оплаты.
Внимание, не пытайтесь избавиться от этой программы, любые действия приведут к уничтожению ключа дешифрования, а вы потеряете ваши файлы навсегда, один из способов, чтобы заставить вас вернуть файлы системы, это следовать этой инструкции. В случае неуплаты оставляем за собой право публично выложить все зашифрованные файлы.

 Распространяется с помощью email-спама и вредоносных вложений. 

Запустившись в первый раз в системе шифровальщик сканирует побуквенно все диски в поисках определенных файловых расширений и, зашифровав файлы, переименовывает их согласно цифровому порядку, добавляя расширение .R5A. Например, если папка содержит 10 разных файлов, то они будут переименованы в 1.R5A, 2.R5A, 3.R5A ... 10.R5A.

Закончив шифрование, 7ev3n отображает окно с требованием выкупа и указанием Bitcoin-адреса, на который нужно его отправить. После того, как 7ev3n эффективно заблокирует все возможные варианты восстановления, обойдя экран UAC, он вносит изменения в реестр, отключающие комбинации клавиш, которые обычно используются для устранения проблем Windows, например, такие как Alt + Tab, переключающие между активными процессами. А также меняет специальное значение в реестре, отключающее клавиши: F1, F10, F3, F4, Enter, Escape, левый Alt, Ctrl, Левый Windows, Num Lock, правый Alt, правый Ctrl, правый Shift, правый Windows и Tab. 

Это значение реестра показано ниже.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"

Кроме того, вредонос создает задачу Windows, которая выполняет эти команды каждый раз, когда пользователь входит в систему.

Список файловых расширений, подвергающихся шифрованию: 
 .accdb, .arw, .dbf, .doc, .docm, .docx, .jpe, .jpeg, .jpg, .mdb, .mdf, .odb, .odm, .odp, .ods, .pdf, .rar, .sql, .txt, .xlsb, .xlsm, .xlsx, .zip (23 расширения). 

Файлы, связанные с 7ev3n Ransomware: 
%LocalAppData%\bcd.bat - пакетный файл с разными BCDedit-командами, отключающих варианты восстановления загрузки системы.
%LocalAppData%\del.bat - пакетный файл-чистильщик, зачищающий файлы вымогателя;
%LocalAppData%\system.exe - основной исполняемый файл вымогателя, шифрующий данные и отображающий требование выкупа;
%LocalAppData%\time.e - файл, содержащий временную отметку с началом инфекции;
%LocalAppData%\uac.exe - исполняемый файл, позволяющий компонентам вымогателя работать с повышенными правами без отображения контроля учетных записей;
C:\Windows\System32\Tasks\uac
C:\Windows\System32\elsext.dll

Записи реестра, связанные с 7ev3n Ransomware: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{62EC9C46-634C-4957-8A5C-4566462D0CE6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\uac
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "C:\Users\[login_name]\AppData\Local\system.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" /v "crypted"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 
00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"
HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys "Flags"  = 506
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "System"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" "rgd_bcd_condition"  = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" "EnableLUA"  = 0

Степень распространённости: низкая. 
Подробные сведения собираются.

Magic

Magic Ransomware

Memekap Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Обладателям серверов нужно заплатить 2 биткоина. 

Название получил от добавляемого расширения или исполняемого файла вымогателя. Magic представляет собой копию крипто-вымогателя EDA2 с открытым исходным кодом. В Microsoft (19 декабря 2015 г.) и TrendMicro (26 января 2016) используется название Memekap. 

© Генеалогия: EDA2 >> Memekap ⟺ Magic  > HugeMe

✋Внимание!!! Microsoft не опубликовали технических деталей. Они есть только у TrendMicro. TM упоминают в своей статье про Memekap о Magic как о другом (обновлённом) образце вымогателя на основе EDA2. 

Таким образом, собрав воедино все сведения, я внёс корректировки в эту статью. 
1) Есть ряд различий в версиях Memekap и Magic: расширение, добавляемое к зашифрованным файлам, другой exe-файл, разное количество типов файлов, подвергающихся шифрованию (у Memekap - 416, у Magic - 473). 
2) Но совпадает текст записок о выкупе, их имена, а самое главное — те же email-адреса и тот же Bitcoin-адрес. Значит за ними стоит одна и та же группа вымогателей. 

К зашифрованным файлам добавляется расширение .magic.

Активность этого криптовымогателя пришлась на декабрь 2015 - январь 2016 (Memekap) и январь-февраль 2016 (Magic). 
На протяжении 2016 года образцы ещё попадаются и, судя по образцам новой версии, найденным в октябре 2016, эта вредоносная разработка продолжается. Ориентирован на англоязычных пользователей.
В феврале 2017 г. появилось ещё одно "продолжение" под названием HugeMe Ransomware. 

Записки с требованием выкупа называются:
DECRYPT.TXT
DECRYPT_ReadMe.TXT.ReadMe
DECRYPT_ReadMe1.TXT.ReadMe

Содержание записки о выкупе:
All your files encrypted with strong encryption.
To unlock your files you must pay 1 bitcoin to address :
1LXFUhLtEnJYTo2YyMhdUCBaHcgc6LaLfR
You can search google for how to buy and send bitcoin in your country.
After you send the bitcoin email to : 
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net
use all email to communicate with the information of username and pcname and the time you send bitcoins.
When we will confirme the transaction you will receive decryption key and decryption program.
Price depend on the system. If you have a sql server or server based system send 2 bitcoin.
If your network share or system encrypted with axx extensions email to discuss price to decrypt your system.

Перевод записки на русский язык:
Все твои файлы зашифрованы с сильным шифрованием.
Для разблока файлов ты должен заплатить 1 Bitcoin на адрес:
1LXFUhLtEnJYTo2YyMhdUCBaHcgc6LaLfR
Ты можешь поискать в Google как купить и отправить Bitcoin в твоей стране.
После отправки Bitcoin напиши на email:
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net
используй все email для контакта c информацией о пользователе и ПК-имя и времени отправки биткоинов.
Когда мы подтвердим транзакцию ты получишь ключ дешифрования и дешифратор.
Цена зависит от системы. Если у тебя есть SQL сервер или система на базе сервера, отправь 2 биткоина.
Если твои сетевые ресурсы или система зашифрованы с axx-расширениями, то пиши на email, чтобы обсудить цену для расшифровки твоей системы.

Примечательно, что расширения .axx использует AxCrypt Ransomware, значит эти крипто-вымогатели взаимосвязаны. 

Устанавливается через взлом терминальных служб или с использование протокола удаленного рабочего стола. Но вполне может начать распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, если уже не начал. 

После шифрования, чтобы лишить жертву возможности восстановления данных, удаляет теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию (в версии Memekap):

.aac, .abk, .abw, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .ccd, .cch, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cpp, .crd, .crt, .crw, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .exif, .faq, .fcd, .fdr, .fds, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gzig, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .plc, .pli, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .shar, .shr, .shw, .slt, .snp, .spr, .sql, .sqx, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .utc, .utx, .uvx, .uxx, .val, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .wad, .war, .wav, .wave, .waw, .wbk, .wdgt, .wks, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .zap, .zip, .zipx, .zoo (416 расширений). 

Список файловых расширений, подвергающихся шифрованию (в версии Magic):
 .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase,.asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (473 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Во время шифрования пропускаются директории:
C:\Windows
C:\Program

По окончании шифрования дисков выполняется bat-файл, проводящий зачистку исполняемых файлов крипто-вымогателя. 

После чего жертве показываются уведомления — это текстовые файлы DECRYPT.TXT и DECRYPT_ReadMe.TXT.ReadMe, записки с требованием выкупа, которые сохраняются на рабочем столе.

Файлы, связанные с Magic Ransomware:
magic.exe -  исполняемый файл вымогателя;
ransomware.exe - исполняемый файл вымогателя (вариант);
<random_name>.exe - исполняемый файл вымогателя (вариант);
DECRYPT.TXT - записка с требованием выкупа
DECRYPT_ReadMe.TXT.ReadMe - записка с требованием выкупа
DECRYPT_ReadMe1.TXT.ReadMe - добавляется лог
deleteMyProgram.bat - bat-файл, используется для удаления теневых копий и зачистки файлов вымогателя

Расположение: 
%Desktop%\DECRYPT.TXT
%Desktop%\DECRYPT_ReadMe.TXT.ReadMe
%Desktop%\DECRYPT_ReadMe1.TXT.ReadMe
%Desktop%\\deleteMyProgram.bat

Записи реестра, связанные с Magic Ransomware:
***не указаны***

Сетевые подключения:
xxxx://reloaded.orgfree.com/new/my.php
xxxx://reloaded.orgfree.com/new/your.php
myqjs01@gmail.com
wowaanne@mail.ru
viper1990@safe-mail.net

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
Malwr анализ >>

Обновление: 5 октября 2016:
Использование продолжается.
Версия: 5.4.3.2

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC + 2nd Write-up on BC + Write-up on TM
 Topic on BC
 Моя статья на SZ

 Thanks: 
 TrendMicro
 Lawrence Abrams, Michael Gillespie, 
 Мне самому как SNS-amigo
 *
 

KeyBTC-2016

KeyBTC-2016 Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024 (из записки), а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: KeyBTC-2014 > KeyBTC-2016

К зашифрованным файлам никакое расширение не добавляется. 


Активность этого крипто-вымогателя пришлась на вторую половину января 2016 г. и продолжилась примерно до апреля 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPT_YOUR_FILES.txt

Содержание записки о выкупе:
ATTENTION:
All your documents, photos, databases and other important personal files were encrypted using strong RSA-1024 algorithm with a unique key.
To restore your files you have to pay 0.5 BTC (bitcoins). To do this:
1. Create Bitcoin wallet here:
 https://blockchain.info/wallet/new
2. Buy 0.5 BTC with cash, using search here:
 https://localbitcoins.com/buy_bitcoins
3. Send 0.5 BTC to this Bitcoin address:
 oJHR97yvh97wrjvwlkrcnqrp79w9rvqnrvj
4. Send any e-mail to:
 keybtc@inbox.com
After that you will recieve e-mail with detailed instructions how to restore your files.
Remember: nobody can help you except us. It is useless to reinstall Windows, rename files, etc.
Your files will be decrypted as quick as you make payment.

Перевод записки на русский язык:
ВНИМАНИЕ:
Все ваши документы, фотографии, базы данных и другие важные личные файлы зашифрованы с использованием надежного алгоритма RSA-1024 с уникальным ключом.
Для восстановления ваших файлов вы должны заплатить 0.5 BTC (биткоины). Для этого:
1. Создайте биткоин-кошелек здесь:
  https://blockchain.info/wallet/new
2. Купите 0.5 BTC наличными, воспользовавшись поиском здесь:
  https://localbitcoins.com/buy_bitcoins
3. Отправьте 0.5 BTC на этот биткойн-адрес:
  oJHR97yvh97wrjvwlkrcnqrp79w9rvqnrvj
4. Отправьте любое email по адресу:
  keybtc@inbox.com
После этого вы получите email с подробными инструкциями по восстановлению ваших файлов.
Помните: никто не может помочь вам, кроме нас. Бесполезно переустанавливать Windows, переименовывать файлы и т.д.
Ваши файлы будут расшифрованы так же быстро, как вы сделаете платёж.

Технические детали

Для атаки используется возможности JavaScript и системное приложение WScript.exe. Может распространяться с помощью email-спама и вредоносных JS-вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ KeyBTC шифрует только первые 2048 байтов файла.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .7z, .accdb, .als, .asm, .aup, .avi, .bas, .blend, .cad, .cdr, .cpp, .cpr, .cpt, .cs, .csv, .doc, .docx, .dsk, .dwg, .eps, .gpg, .gz, .indd, .jpg, .kdb, .kdbx, .lwo, .lws, .m4v, .max, .mb, .mdb, .mdf, .mp4, .mpe, .mpeg, .mpg, .mpp, .npr, .odb, .odm, .odt, .pas, .pdf, .pgp, .php, .ppt, .pptx, .psd, .pub, .rar, .raw, .rtf, .scad, .skp, .sldasm, .slddrw, .sldprt, .ssh, .sxi, .tar, .tif, .tiff, .tsv, .u3d, .vb, .vbproj, .vcproj, .vdi, .veg, .vhd, .vmdk, .wdb, .wmf, .wmv, .xls, .xlsx, .zip (79 расширений без повторов). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT_YOUR_FILES.txt
<random>.exe - случайное название вредоносного файла
fax_0000329455.doc.js - пример вредоносного вложения
scan_0000125475.doc.js - пример вредоносного вложения
224017_crypt.exe - вредоносный файл, созданный WScript.exe
224017_readme.txt - файл, созданный WScript.exe, с текстом, как в записке
224017_tree.cmd - файл, созданный WScript.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://pondybuilders.com/wp-admin/files/
xxxx://pondybuilders.com/wp-admin/htm/login.html
xxxx://iumlkottakuppam.com/css.php
xxxx://corestaffingsolutions.com/counter/?http://realmadlocal.com/our-designs/
Email: keybtc@inbox.com
BTC: oJHR97yvh97wrjvwlkrcnqrp79w9rvqnrvj
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать KeyBTCDecrypter для дешифровки файлов >>
*
*

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as KeyBTC)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, BleepingComputer, Fabian Wosar
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

KEYHolder

KEYHolder Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные пользователей с помощью алгоритма XOR (режим CFB, Cipher Feedback), хотя жертву нарочно пугают алгоритмом RSA-2048, затем требует выкуп в 1,5 биткоина или ~$500 (позже цена была снижена), чтобы вернуть файлы обратно. Новое творение создателей CryptorBit. Время распространения, судя по форумам оказания помощи, довольно продолжительно — с конца 2014 до начала 2016 гг. Вполне ещё может вернуться в новом обличье.

  Отдельный метод распространения неизвестен. Видимо устанавливается путём заражения вручную, методом взлома удаленного рабочего стола или служб терминалов. Название KEYHolder переводится как "брелок с ключами", который и изображен на картинке ниже. 

  После запуска KEYHolder будет сканировать все буквы дисков и шифровать любые файлы данных, которые на нем находятся. По окончании шифрования удаляются все теневые копий файлов, чтобы из нельзя было восстановить файлы с помощью функции восстановления системы или с помощью специальных программ типа Shadow Explorer. 

  В каждой папке с зашифрованными файлами сохраняются файлы HOW_DECRYPT.gif и HOW_DECRYPT.html, которые содержат информацию о том, как получить доступ к сайту для уплаты выкупа.

Текст с картинки с ключами:

KEYHolder

YOUR PERSONAL FILES ARE ENCRYPTED

All files including videos, photos and documents on your computer are encrypted.

File Decryption costs ~$500

In order to decrypt the files, you need to perform the following steps:

1. Your should download and install this browser http://www.torproject.org/torbrowser.html.en

2. After installation, run the browser and enter the address: mwyigd4n52mkbyhe.onion

3. Follow the instructions on the web-site.

We remind that you that the sooner you do, the more chances are left to recover the files.

Guaranteed recovery is provided within 10 days.

Перевод на русский язык:

KEYHolder

Ваши личные файлы зашифрованы

Все файлы, включая видео, фото и документы на вашем ПК зашифрованы.

Файл дешифровки стоит ~$500

Для дешифровки файлов, вам надо сделать следующие шаги:

1. Загрузите и установите этот браузер http://www.torproject.org/torbrowser.html.en 

2. После установки запустите браузер и введите адрес: mwyigd4n52mkbyhe.onion

3. Следуйте инструкциям на веб-сайте.

Напоминаем, что чем раньше вы это сделаете, тем больше шансов вернуть файлы.

Гарантирован возврат файлов в течение 10 дней.

Степень распространённости: высокая. 
Подробные сведения собираются.