Pompous

Pompous Ransomware 

SkidLocker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в ~0,5 биткоинов, чтобы вернуть файлы (каждый раз сумма другая, например, 0,500437). Сумма менялась неслучайно, так вымогатель номеровал своих жертв. На уплату выкупа им давалось 72 часа. Название получил от напыщенного сообщения разработчика-вымогателя к своим жертвам во второй части запсики о выкупе. Другое название: SkidLocker. 

© Генеалогия: EDA2 >> Pompous (SkidLocker) >> MM Locker

К зашифрованным файлам добавляется расширение .Locked. 
Примечательно, что в системной папке Windows шифровальщик добавляет к файлам, не имеющим своих расширений, специальное расширение .mp4. 

Активность этого крипто-вымогателя пришлась на март-апрель 2016 г. Примечательно, что он сумел за один день зашифровать файлы у 700 жертв. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: READ_IT.txt
Вторым уведомлением о зашифрованных файлах является скринлок, т.е. изображение ransom.jpg, встающее обоями рабочего стола. Там только короткая фраза, указывающая на вышеназванный текстовый файл. 

Содержание части текстовой записки о выкупе:
Uh oh.  It looks like your data has been the victim of the encryption thief.  Your files have been encrypted with AES: search your drive for "locked" if you don't believe me .  Unfortunately you're going to have to pay some money to get your files back and your fee is approximately $200 in US Dollars.  I'll get right to the ugly details for that:
* You have 72 hours to make this happen as of 08/03/2016 22:57:36.  Otherwise, your files are lost for good.  I will delete the necessary code for all time and I don't even have to revisit your machine to do it.
* You will be paying by Bitcoin.  Don't worry, it is easy to figure out.  Your fee is 0.500437 BTC.  Pay this amount precisely, or I might not know who it was that paid in order to rescue them.
* Use LocalBitcoins.com.  It isn't hard to use, there are numerous ways to pay for my bitcoins on there, and most importantly, it is fast.  Did I mention you have 72 hours?
* The address you will be sending the bitcoins to is 192awRvM4V8LS24GSHj6o3v2fVQ5QYh4pB .
* Then you will wait for me to get the unlock code for you.  Your code will be shown here, http://let-me-help-you-with-that.webnode.com/ , under the amount you paid.  This may take a day or so: you are on my schedule now :P
* Once you have the code, you can unlock your files as follows:
*** Go to your Start Menu
*** In the search field, type "cmd".
*** Right click the cmd program.
*** Click Run As Administrator (doesn't have to be but files might be missed otherwise)
*** Click Yes to allow it to run like that.
*** Type "cd C:\Users\Wiwi"
*** Type "Decrypter.exe <Your Code>"
*** Other people's codes will not work for you, obviously.

That is basically it.  The rest of this document is a further description about your situation...

Перевод части записки на русский язык:
Ой-ой. Похоже, что ваши данные стали жертвой шифрования. Ваши файлы зашифрованы с помощью AES: поищите на диске "locked", если вы мне не верите мне. К сожалению, вы будете должны заплатить определенную сумму денег, чтобы получить ваши файлы обратно и эта сумма составляет около $200 в долларах США. Я имеют право сообщить неприятные деталей этого:
* У вас есть 72 часа, с момента когда это произошло, по состоянию на 08/03/2016 22:57:36. Иначе ваши файлы будут потеряны навсегда. Я удалю необходимый код после этого времени, и мне не состави труда, чтобы сделать это.
* Вы должны платить в биткоинах. Не волнуйтесь, это нетрудно. Ваш взнос составляет 0.500437 BTC. Заплатить надо точно эту сумму, или я не смогу узнать, кто что заплатил, чтобы спасти их.
* Используйте LocalBitcoins.com. Это не трудно. Есть много способов оплаты моих биткоинов там, и самое главное, это быстро. Я уже говорил, у вас есть 72 часа?
* Адрес, на который вы должны посылать биткоины это 192awRvM4V8LS24GSHj6o3v2fVQ5QYh4pB.
* Вы будете ждать меня, чтобы получить ваш код разблокировки. Ваш код будет показан здесь, http://let-me-help-you-with-that.webnode.com/, под сумму, которую вы заплатили. Это может занять день или больше...
* После того, как у вас будет код, вы можете разблокировать ваши файлы следующим образом: 
*** Перейдите в меню Пуск
*** В поле поиска введите "cmd".
*** Щелкните правой кнопкой мыши по "cmd" в меню.
*** Нажмите "Запуск от имени администратора"...
*** Нажмите Да, чтобы разрешить ему работать...
*** Тип "cd C:\Users\User_name"
*** Тип "Decrypter.exe <Ваш код>"
*** Чужие коды не будут работать у вас, наверное.

Это основное. Остальная часть этого документа относится к описанию вашей ситуации...

   Далее в записке разработчик-вымогатель, создавший Pompous Ransomware, ведет себя дерзко, бахвалится и злорадствует, для чего написал своим жертвам целую петицию следующего содержания (привожу его текст лишь частично):
"Вы никогда не сможете найти меня. Полиция никогда не сможет найти меня... Можете обращаться куда хотите, но тогда не ждите ваши данные обратно... Через 72 часа вы уже не сможете получить эти файлы обратно...Так что будьте благодарны, чтобы не стало хуже. Я мог бы попросить больше денег... "

Распространяется этот шифровальщик с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Пропускаются файлы с размером более 1 Гб и каталог Windows. 

Благодаря бэкдору, внедрённому Ютку Сеном в EDA2, ему с помощником Demonslay335, удалось получить множество ключей дешифрования и выложить список в открытый доступ (имя ПК, имя пользователя, AES-ключ), чтобы помочь пострадавшим дешифровать их файлы. Сейчас список уже удалён за ненадобностью. 

После уплаты выкупа и запуска декриптера от вымогателей, он заменяет обои вымогателя на новые: Thank You...

Список файловых расширений, подвергающихся шифрованию:

 .asp, .aspx, .avi, .box, .csv, .db, .dbf, .doc, .docx, .frm, .gam, .ged, .gif, .html, .ifx, .jpg, .log, .lwp, .m4a, .mdb,  .mov, .mp3, .mp4, .mpa, .mpg, .msg, .myd, .myi, .myo, .ncf, .nsf, .ntf, .odt, .ofx, .pdf,.php, .png, .pps, .ppt, .pptx, .psd, .qdf, .qfx, .qif, .rm, .sav,.sln,  .sql, .tax, .tax2013, .tax2014, .tax2015,.txt, .wav, .wmv, .xls, .xlsx, .xml, .ynab (59 расширений). 

Файлы, связанные с Pompous Ransomware:
 ransom.exe
 mm.exe
 C:\Users\User_name\Desktop\READ_IT.txt
 C:\Users\User_name\Desktop\ransom.jpg
 C:\Users\User_name\Desktop\Decrypter.exe
 C:\Users\User_name\WindowsUpdate.bat

Записи реестра, связанные с Pompous Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
хттп://i.imgur.com/By3yCwd.jpg
хттп://i.imgur.com/eROA81P.jpg
23.227.199.175 (США)
23.227.199.83 (США)

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
VirusTotal анализ ещё >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC
 Nyxbone Analysis
 *

 Thanks: 
 Lawrence Abrams
 Michael Gillespie (Demonslay335)
 Mosh on Nyxbone
 

KeRanger

KeRanger Ransomware

(шифровальщик-вымогатель для Mac OS X)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Linux.Encoder > KeRanger 

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_FOR_DECRYPT.txt

Содержание записки о выкупе:
Your computer has been locked and all your files has been encrypted with 2048-bit RSA encryption.
Instruction for decrypt:
1. Go to https://fiwf4kwysm4dpw5l.onion.to ( IF NOT WORKING JUST DOWNLOAD TOR BROWSER AND OPEN THIS LINK: http://fiwf4kwysm4dpw5l.onion )
2. Use 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN as your ID for authentication
3. Pay 1 BTC (~407.25$) for decryption pack using bitcoins (wallet is your ID for authentication - 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN)
4. Download decrypt pack and run
---> Also at https://fiwf4kwysm4dpw5l.onion.to you can decrypt 1 file for FREE to make sure decryption is working.
Also we have ticket system inside, so if you have any questions - you are welcome.
We will answer only if you able to pay and you have serious question.
IMPORTANT: WE ARE ACCEPT ONLY(!!) BITCOINS 
HOW TO BUY BITCOINS:
https://localbitcoins.com/guides/how-to-buy-bitcoins
https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)

Перевод записки на русский язык:
Ваш компьютер заблокирован и все ваши файлы зашифрованы с шифрованием RSA 2048 бит.
Инструкция для расшифровки:
1. Перейдите на страницу https://fiwf4kwysm4dpw5l.onion.to (ЕСЛИ НЕ РАБОТАЕТ, ТО СКАЧАЙТЕ TOR-БРАУЗЕР И ОТКРЫТЬ ЭТУ ССЫЛКУ: http://fiwf4kwysm4dpw5l.onion)
2. Используйте 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN как ваш ID для аутентификации
3. Заплатите 1 BTC (~407.25 $) за пакет дешифрования, используя биткоины (кошелёк - ваш ID для аутентификации - 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN)
4. Загрузите пакет дешифрования и запустите
---> Также на https://fiwf4kwysm4dpw5l.onion.to вы можете дешифровать 1 файл БЕСПЛАТНО, чтобы убедиться, что дешифрование работает.
Также у нас есть система тикетов внутри, поэтому, если у вас есть какие-то вопросы, пожалуйста.
Мы ответим только в том случае, если вы сможете заплатить, и у вас есть серьезный вопрос.
ВАЖНО: МЫ ПРИНИМАЕМ ТОЛЬКО (!!) БИТКОИНЫ 
КАК КУПИТЬ БИТКОИНЫ:
https://localbitcoins.com/guides/how-to-buy-bitcoins
https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)

Технические детали

Распространялся с помощью зараженных инсталляторов ПО Transmission для Mac OS X, которое представляет из себя свободно распространяемый клиент BitTorrent. 

После доработки может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, других перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Вредоносные установщики были сгенерированы и подписаны утром 4 марта. Исполняемые файлы KeRanger были подписаны цифровой подписью с использованием действительного сертификата, выпущенного Apple для компании-разработчика приложений для Mac, поэтому он смог обойти защиту Apple Gatekeeper. Разработчиком, указанным в этом сертификате, является турецкая компания с ID  Z7276PX673. 

➤ Apple уже отозвала скомпрометированный сертификат и обновила сигнатуры антивирусной защиты XProtect, а веб-сайт transmissionbt.com удалил вредоносные инсталляторы со своего веб-сайта и написала предупреждение для пользователей. 

➤ Palo Alto Networks, первой описавшая этот вредонос, также обновила фильтрацию URL и Threat Prevention, чтобы остановить атаку KeRanger на системы пользователей Mac OS X.

➤ В инсталляторах, зараженных KeRanger, имеется дополнительный файл General.rtf в каталоге Transmission.app/Contents/Resources. Он использует значок, который выглядит как обычный RTF-файл, но на самом деле является исполняемым файлом формата Mach-O, упакованным с UPX 3.91. 

Когда пользователи нажимают на эти зараженные приложения, их исполняемый пакет Transmission.app/Content/MacOS/Transmission копирует этот файл General.rtf в ~ / Library / kernel_service и выполняет "kernel_service" перед появлением любого пользовательского интерфейса.

➤ Если пользователь установил заражённые приложения, то встроенный исполняемый файл запускается в системе. Затем KeRanger ждет 3 дня, прежде чем подключиться к серверам управления (C&C) через сеть анонимайзеров Tor. 

За это время он каждые 40 минут уведомляет свой сервер C&C о том, что он жив. В ответ он получает сообщение, закодированное в base64, содержащее ключ шифрования и текстовый файл README_FOR_DECRYPT.txt, который содержит инструкции для оплаты. Вымогатели предлагают дешифровать один файл бесплатно, чтобы убедиться, что дешифрование возможно.
После пробуждения KeRanger свяжется с одним из трёх C&C-серверов в сети TOR.

➤ Затем KeRanger начинает шифрование определённых типов файлов документов и данных. Похоже, что KeRanger также пытается зашифровать файлы резервного копирования Time Machine, чтобы жертвы не могли восстановить свои резервные данные. 

➤ После завершения шифрования KeRanger требует, чтобы жертвы выплачивали 1 биткоин (около 400 долларов США на 6 марта 2016 г.) на биткоин-адрес вымогателей, чтобы получить возможность восстановить свои файлы. Ключ для дешифрования хранится на серверах злоумышленников.

➤  KeRanger нацелен не только на папки пользователя /Users, но и на папки с файлами /Volumes, хранящиеся на внешних жестких дисках и серверах. 

➤ KeRanger, видимо, находится в разработке. 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3g2, .3gp, .7z, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .asx, .avi, .back, .backup, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkf, .bkp, .blend, .bpw, .cdb, .cdf, .cdr, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .class, .cls, .cmt, .cnv, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db3, .dbf, .dbr, .dbs, .dc2, .dcr, .dcs, .dcx, .ddd, .ddoc, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .ebd, .edb, .eml, .eps, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fm, .fp7, .fpx, .fxg, .gdb, .gray, .grey, .grw, .gry, .gzip, .hbk, .hpp, .ibd, .idx, .iif, .indd, .java, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .laccdb, .lua, .m4v, .maf, .mam, .maq, .mar, .maw, .max, .mdb, .mdc, .mde, .mdf, .mdt, .mef, .mfw, .mmw, .mos, .mov, .mp3, .mp4, .mpg, .mpp, .mrw, .mso, .myd, .ndd, .nef, .nk2, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .one, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pages, .pas, .pat, .pbo, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pip, .pl, .plc, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .pub, .puz, .py, .qba, .qbb, .qbm, .qbw, .qbx, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rwz, .sas7bdat, .say, .sd0, .sda, .sdf, .snp, .sparsebundle, .sql, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tex, .tga, .tgz, .thm, .tib, .tlg, .txt, .vob, .vsd, .vsx, .vtx, .wav, .wb2, .wbk, .wdb, .wll, .wmv, .wpd, .wps, .x11, .x3f, .xla, .xlam, .xlb, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xpp, .xsn, .yuv, .zip (311 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Зашифрованные файлы

Файлы, связанные с этим Ransomware:
README_FOR_DECRYPT.txt
General.rtf
/Library/

Расположения:
~/Desktop/README_FOR_DECRYPT.txt
~/Library/.kernel_complete
~/Library/.kernel_pid
~/Library/.kernel_time
~/Applications/Transmission.app/Contents/Resources/General.rtf
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://fiwf4kwysm4dpw5l.onion.to - сайт оплаты
xxxxs://fiwf4kwysm4dpw5l.onion - сайт оплатыlclebb6kvohlkcml.onion.link - 1-й C2
lclebb6kvohlkcml.onion.nu - 1-й C2
bmacyzmea723xyaz.onion.link - 2-й C2
bmacyzmea723xyaz.onion.nu - 2-й C2
nejdtkok7oz5kjoc.onion.link - 3-й C2
nejdtkok7oz5kjoc.onion.nu - 3-й C2
BTC-1: 1Lhgda4K77rFMTkgBKqmsdinDNYYVbLDJN
BTC-2: 1KGusS7xB9hnqZQdCZ1G8Tno16RfTS95ey
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>  VT>>  VT>>  VT>>  VT>>  VT>>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Linux.Encoder.1 
Linux.Encoder.1
Linux.Encoder.3
Linux.Encoder.4 > KeRanger

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter, Topic of Support
 ID Ransomware (ID as KeRanger)
 Write-up, Write-up, Write-up, Write-up, Write-up
 *

 Thanks: 
 PaloAlto
 Lawrence Abrams, Michael Gillespie
 Bitdefender LABS, ESET
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Защита от шифровальщиков

10 способов защиты от шифровальщиков-вымогателей

(первоисточник)

Защита от Ransomware в режиме реального времени

10 правильных способов защиты от крипто-вымогателей

БЭКАП 
1. Регулярное резервное копирование ценных данных по методу 3-2-1.
2. Корректировка резервных копий согласно времени их создания.

ЗАЩИТА
3. Использование коммерческой ежегодно продлеваемой антивирусной программы.
4. Изучение работы и настройка в ней автоматического резервного копирования.

ПОЧТА
5. Использование функции Антиспам в почтовой программе или почтовом сервере.
6. Изучение информации по основным угрозам, исходящим от электронной почты.

СЕМЬЯ
7. Изучение и понимание рисков, связанных с использованием сети Интернет.
8. Изучение информации по шифровальщикам и другим блокировщикам компьютера. 

ВЫКУП
9. При столкновении с программами-вымогателями не паникуйте прежде времени.
10. Шифрование с целью выкупа — это преступление, его можно и нужно пресечь.

Не самая полезная привычка пользователей ПК — это накопление информации и различного мусора. Фотографии хранятся гигабайтами, видео терабайтами. Вместо того, чтобы выбрать лучшие и сохранять их на отдельном внешнем накопителе, который лежит большее время на полке в шкафу и не доступен для вирусов. Нужно соблюдать порядок на своём ПК — не разбрасывать информацию и не хранить её гигабайтами или терабайтами, тогда и атака вымогателей будет не страшна. 

А теперь более подробно по каждому пункту... 

БЭКАП 🔛
1. Регулярное резервное копирование ценных данных по методу 3-2-1.
Правило "3-2-1" заключается в следующем: создать 3 резервные копии на 2-х различных носителях и 1-м хранимом в отдельном месте (вне офиса, в облаке и пр.). Так можно лишить вымогателей козырной карты и вернуть свои файлы с минимальными потерями (переустановка системы за небольшую денежную трату на услуги айтишника). Это гораздо дешевле суммы, что хотят вымогатели. Смотрите в конвертере эквиваленты 1 BTC. 

2. Корректировка резервных копий согласно времени их создания.
Корректировка заключается в следующем: сначала надо упорядочить файлы по категориям (документы, фотографии, музыка, видео, другие важные файлы), а потом поддерживать их по временным датам (важное событие, месяц, год и пр.) и проверять целостность. Упорядоченная информация гораздо ценнее "творческого беспорядка", на восстановление которого бесполезно и бессмысленно тратить время. 

Где хранить копии? Что лучше: внешний диск или облако? 
Чтобы резервные копии на внешнем жёстком диске не пострадали, не подключайте этот диск, когда выходите в Интернет, что-то качаете и ставите. Будьте также осторожны с облачными сервисами: DropBox, OneDrive, Яндекс.Диск и другими — отключите автоматическую синхронизацию, входите только по несохраняемому паролю. Иначе хранимые там файлы тоже будут зашифрованы. 

ЗАЩИТА  🏥
3. Использование коммерческой ежегодно продлеваемой антивирусной программы.
Давно пора всем отказаться от использования Free-антивирусов, как поставщиков ложного чувства защищённости. Но антивирусные компании, желая привлечь больше пользователей на свою сторону ради высокого рейтинга, продолжают проталкивать их всеми способами. Коммерческие продукты имеют более актуальный защитный функционал, способный защитить от большинства шифровальщиков. 

4. Изучение работы и настройка в ней автоматического резервного копирования. 
Это ещё один аргумент в пользу коммерческой ежегодно продлеваемой антивирусной программы, у которой имеется функционал автоматического резервного копирования (бэкапа). Он также может называться защитой данных от повреждения и удаления. Вопреки убеждениям пользователей, настройка этого функционала заключается только в выборе нескольких опций и места хранения файлов.

Где её взять? Хотите попробовать, прежде, чем купить? 
Скачайте защиту на 30 дней. Выберите, что хотите на другом моем сайте. 
Я рекомендую Norton Security или Norton 360, вы будете под защитой одного из лучших антивирусных решений с мировым именем. В Norton 360 есть функционал бэкапа и файлы будут под защитой и их резервные копии защищены и на своём месте. 

ПОЧТА  📧
5. Использование функции Антиспам в почтовой программе или почтовом сервере.
Сегодня функция Антиспам имеется у большинства почтовых серверов (yandex.ru, mail.ru и пр.), которая, как и антивирусная проверка вложений, предоставляются бесплатно. Но пользователь может ему немного помочь и самостоятельно отмечать как спам подозрительные и незапрошенные им самим входящие сообщения. Почтовые программы имеют свои настройки, разобраться с которыми нетрудно. 

6. Изучение информации по основным угрозам, исходящим от электронной почты.
Многие коммерческие антивирусные программы имеют функционал защиты электронной почты, это еще один плюс в их пользу. Но без элементарных знаний об email-угрозах, все их усилия сведутся к нулю, если пользователь, например, откроет хоть одно вредоносное email-вложение, без его предварительного сохранения в специально отведённой для этого дела папке и без проверки его антивирусом.

СЕМЬЯ  👪
7. Изучение и понимание рисков, связанных с использованием сети Интернет.
Антивирусные и ИБ-компании регулярно публикуют аналитические обзоры и исследования вредоносных программ и методов, с помощью которых совершаются онлайн-преступления: распространение вредоносов и спама, хакерские атаки и взлом, фишинг и хищение данных, шифрование информации, социальные преступления, перенесённые в Интернет и пр. Читайте ресурсы по информационной безопасности. 

8. Изучение информации по шифровальщикам и другим блокировщикам компьютера. 
Для этого дела прекрасно подойдёт этот блог, в котором регулярно публикуется новейшая информация и обновления по различным шифровальщикам-вымогателям, блокировщикам-вымогателям, вообще не использующим шифрование, а также по фейк-шифровальщикам, которые не шифруют файлы, но используют похожие методы запугивания своих жертв, чтобы заставить их поскорее выплатить выкуп.

ВЫКУП  💰
9. При столкновении с программами-вымогателями не паникуйте прежде времени.
Пострадавшим не нужно паниковать, потому что, как сказано выше, не все вымогатели шифруют файлы, иногда используется статический ключ шифрования, не у всех алгоритм шифрования безупречен, зачастую можно найти ошибки, позволяющие специалистам по шифровальщикам создать программу для дешифровки / разблокировке файлов. 

10. Шифрование с целью выкупа — это преступление, его можно и нужно пресечь. 
Важно знать, что вымогательство с требованием выкупа за заблокированные (зашифрованные) файлы является уголовно наказуемым преступлением и разбираться с преступниками должны правоохранительные органы. По всем фактам такого вымогательства, произошедшего с российскими гражданами или предприятиями, нужно НЕМЕДЛЕННО обращаться в местное Управление "К" МВД России или территориальный орган МВД России. 

По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Подробнее о заявлении и его содержании >>

ВНИМАНИЕ! Вам не надо никуда идти в поисках информации по атаковавшему вас шифровальщику, т.к. она есть на этом сайте. Если затрудняетесь найти, напишите мне в форму обратной связи (см. ниже статьи) и получите ответ. 

См. также статьи 
"Лучшие базовые методы профилактики и защиты"
"Комплекс мероприятий для защиты от Ransomware"
"Бесплатные программы и майнинг криптовалюты".

© Amigo-A (Andrew Ivanov): 10 способов защиты от шифровальщиков-вымогателей (первоисточник). 
© Amigo-A (Andrew Ivanov): All blog articles.
© Amigo-A (Andrew Ivanov): Все статьи блога.

Защита от вирусов-шифровальщиков
Защита от троянов-шифровальщиков
Защита от шифровальщиков-вымогателей

Статья о фейках

Фейк-шифровальщики

Fake encryptors

(первоисточник)

   Среди разработчиков и распространителей вредоносного ПО наметилась тенденция "косить" под шифровальщиков-вымогателей (криптовымогателей), выпуская вредонос, который не производит никакого шифрования, но портит, удаляет, прячет или зипует файлы пользователей, а затем требует выкуп за "дешифровку". Изучив подробно данный вопрос, я назвал их © фейк-шифровальщиками (фальшивыми шифровальщиками, лже-шифровальщиками; англ. fake encryptor). На момент публикации данной статьи этого слова и этой категории вредоносного ПО ещё не существовало. 

  Среди фейк-шифровальщиков есть откровенные вредители, которые просто удаляют файлы без какой-либо заботы о их возвращении, или помещают файлы в специально созданный архив со сложным паролем, или портят содержимое файлов, которые уже нельзя будет восстановить ни после дешифрования, ни после уплаты выкупа. Кроме того, некоторые разработчики шифровальщиков, несмотря на профессионально выполненные действия по инфицированию и шифрованию, от версии к версии не могут реализовать работающий декриптор, потому уплатившие выкуп жертвы не могут дешифровать файлы с его помощью. 

  Есть и такие вымогатели, которые имитируют работу ранее выпущенных шифровальщиков, производя различные показные и деструктивные действия, среди которых:
- использование чужого названия, внешнего вида, в том числе полное копирование ряда основных признаков;
- использование чужих записок о выкупе или скринлоков с частичной заменой содержимого;
- использование чужих расширений для зашифрованных файлов или двойного шифрования;
- использование другого незаявленного в записках шифрования, имеющее целью запутать;
- подражание работе другого шифровальщика с использованием описанных выше действий (имитация).

Так что это за вымогатели, о которых идёт речь в этой статье? 

Вот далеко не полный их список, который я буду пополнять.
На данный момент в списке 55 штуки, но в блоге может быть и больше.

Adonis Ransomware
AnonPop Ransomware
Bart 1.0 Ransomware
Blooper Ransomware
CainXPii Ransomware
Cancer Ransomware
CIA Special Agent 767 Ransomware
CryptConsole 1.0 Ransomware
CryptoDark Ransomware
CryptoFinancial Ransomware
CryptoHost Ransomware
Cryptorium Ransomware
CTB-Faker Ransomware
CVLocker Ransomware
Cyber SpLiTTer Vbs Ransomware 
CYR-Locker Ransomware
Czech Anon Ransomware
D2+D Ransomware
DarkLocker (Monument) Ransomware
DeadSec-Crypto Ransomware
Donald Trump Ransomware
DotZeroCMD Ransomware
Eternal Ransomware
Fake Cerber Ransomware
Fake WannaCry Ransomware
FCP Ransomware
Halloware Ransomware
Haze Ransomware
Hells Ransomware
Hitler Ransomware
IsraBye Ransomware
Kovter Ransomware
Locker-Pay Ransomware
M4N1F3STO Ransomware 
Mancros+AI4939 Ransomware
Meteoritan Ransomware
Mr.Locker Ransomware
Nhtnwcuf Ransomware
Ocelot Locker Ransomware
Ordinypt (HSDFSDCrypt) Ransomware
Petya+ Ransomware
Pirateware Ransomware
Ransom Prank Ransomware
RarVault Ransomware 
RenLocker Ransomware 
SkyName Ransomware
SmartRansom (Chinese) Ransomware
SpongeBob Ransomware
StrawHat Ransomware
SureRansom Ransomware
TowerWeb Ransonware
TPS1.0 Ransomware
Trick-Or-Treat Ransomware
Widia (WidiaLocker) Ransomware
xXLecXx Ransomware

Вымогатели, вне зависимости от того, шифруют ли они файлы, или только пишут, что шифруют, запугивая своих жертв, требуют от них каких-то действий, или самоназываются открытыми проектами для образования, всё равно являются вымогателями и относиться к ним необходимо со всей строгостью местных законов. Если причинён вред, потеряна информация, в том числе личная, то это только усугубляет вину в причинении вреда. 

 ✋ Помните!!! В вымогательстве нет ни капли благородства, как бы не красовались злоумышленники, малюя записки о выкупе и скринлоки в html-, bmp-, jpg-, png-форматах, как бы не оправдывали в записках свои действия. Вымогатели всегда оставляют за собой право — возвращать или не возвращать файлы после получения выкупа. Однозначно, никогда не следует соглашаться на уплату выкупа, каким бы он не был. Легко можно потерять не только свои файлы, но и деньги. Любая выплаченная вымогателям "копейка" стимулирует их на новые акции по заражению ПК и новому вымоганию выкупа. Наглость вымогателей, как и сумма требуемого ими выкупа, раз от разу будет только расти. 

© Amigo-A (Андрей Иванов): Идея, шаблоны, публикация, переводы с других языков, графическая обработка, глоссарий, примечания, скриншотинг, распознавание с экрана, вебрайтинг, копирайтинг, рерайтинг.
© Авторское право распространяется на все статьи блога. При цитировании ссылка на блог и/или автора обязательна. 

© Amigo-A (Andrew Ivanov): Фейк-шифровальщики (первоисточник). 
© Amigo-A (Andrew Ivanov): Все статьи блога.
© Amigo-A (Andrew Ivanov): All blog articles.

Онлайн-заявление

Онлайн-заявление 

в Управление "К" МВД 

России, Беларуси, Казахстана, Украины

Шифрование или блокировка данных с целью выкупа — это преступление и его необходимо безотлагательно пресечь.

По всем фактам такого вымогательства, произошедшего с гражданами или предприятиями, нужно НЕМЕДЛЕННО обращаться в местное Управление "К" МВД вашей страны или в Департамент Киберполиции, или в территориальный орган МВД вашей страны.

Раз вы читаете это сообщение, значит у вас есть возможность перейти по ссылке на сайт МВД и подать онлайн-заявление. Кликните по флажку своей страны и перейдите на страницу с подробной информацией. 

            

Действия кибер-вымогателей подпадают под следующие статьи Уголовного Кодекса. 

Статьи УК Российской Федерации: 
Статья 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
Статья 163. "Вымогательство"
Статья 165. "Причинение имущественного ущерба путем обмана или злоупотребления доверием"
Статья 272. "Неправомерный доступ к компьютерной информации" 
Статья 273. "Создание, использование и распространение вредоносных компьютерных программ"

Статьи УК Республики Беларусь: 
Статья 209 (ч.3, 4). Мошенничество.  "Мошенничество, совершенное в крупном размере" и "Мошенничество, совершенное организованной группой либо в особо крупном размере"
Статья 212 (ч.1,2,3,4). Хищение путем использования компьютерной техники
Статья 349 (ч.1, 2). Несанкционированный доступ к компьютерной информации
Статья 350 (ч.1, 2). Модификация компьютерной информации
Статья 351 (ч.1, 2). Компьютерный саботаж ч.1 и 2. "Умышленные уничтожение, блокирование, приведение в непригодное состояние компьютерной информации или программы, либо вывод из строя компьютерного оборудования, либо разрушение компьютерной системы, сети или машинного носителя (компьютерный саботаж)"
Статья 352. Неправомерное завладение компьютерной информацией
Статья 353. Изготовление либо сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети
Статья 354  (ч.1,2). Разработка, использование либо распространение вредоносных программ
Статья 355 (ч.1,2,3). Нарушение правил эксплуатации компьютерной системы или сети

Статьи УК Республики Казахстан:
Статья 190. Мошенничество
Статья 194. Вымогательство
Статья 205. Неправомерный доступ к информации, в информационную систему или сеть телекоммуникаций
Статья 206. Неправомерные уничтожение или модификация информации
Статья 207. Нарушение работы информационной системы или сетей телекоммуникаций
Статья 208. Неправомерное завладение информацией
Статья 210. Создание, использование или распространение вредоносных компьютерных программ и программных продуктов
Статья 211. Неправомерное распространение электронных информационных ресурсов ограниченного доступа
Статья 212. Предоставление услуг для размещения интернет-ресурсов, преследующих противоправные цели

Статьи УК Республики Украина:
Статья 189. Вымогательство. п.4. Вымогательство, причинившее имущественный ущерб в особо крупных размерах, или совершенное организованной группой.
Статья 190. Мошенничество. п.3. Мошенничество, совершенное в крупных размерах, или путем незаконных операций с использованием электронно-вычислительной техники. 1-й пример ареста мошенников >> и 2-й пример >>
Статья 361. Несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи.
Статья 361-1. Создание в целях использования, распространения или сбыта вредных программных или технических средств, а также их распространение или сбыт.
Статья 361-2. Несанкционированные сбыт или распространение информации с ограниченным доступом, хранящейся в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или на носителях такой информации.
Статья 362. Несанкционированные действия с информацией, которая обрабатывается в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или хранится на носителях такой информации, совершенные лицом, имеющим право доступа к ней.
Статья 363. Нарушение правил эксплуатации электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи либо порядка или правил защиты информации, которая в них обрабатывается.
Статья 363-1. Воспрепятствование работе электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи путем массового распространения сообщений электросвязи.

Какую информацию нужно заранее подготовить?

В общем случае при подаче заявление могут понадобиться подробные данные об инциденте. Желательно представить следующую информацию. 

- Укажите вашу личную информацию (ФИО, адрес, телефон).
- При подаче заявления за другое лицо (адрес, контакты) получите от него разрешение. 
- Укажите дату и время, когда против вас или другого лица было совершено преступление.
- Оцените примерный причинённый ущерб с указанием типа и размера повреждённых данных. 
- Укажите примеры пожеланий (на выбор): расшифровать данные, разблокировать, восстановить.
- Укажите какие действия привели к заражению, блокировке ПК или шифрованию файлов?
- Укажите, связывались ли вы с вымогателями по email, телефону, в чате, в мессенджере и т.п.
- Опишите как выглядит экран блокировщика или шифровальщика (фото, скриншот, текст).
- Запишите и укажите контакты вымогателей, если не можете сделать фото или скриншот.
- Запишите и укажите bitcoin-адреса и другие счета вымогателей, при той же причине.
- Платили ли вы выкуп вымогателям? Куда, когда и сколько? Сделайте фото или скриншот.

Если по каким-то причинам вы не смогли сделать фото, скриншоты или собрать нужную информацию, то можете воспользоваться описаниями крипто-вымогателей (шифровальщиков) с этого сайта. 

Для того, чтобы вам было легче опознать атаковавший вас шифровальщик, здесь приводятся скриншоты и тексты записок о выкупе. 
Укажите в своём заявлении ссылки на описание, если подаёте его в электронном виде (скопируйте адрес ссылки). 

Если собрались подать заявление в отделении полиции, то запишите вручную хотя бы так: 
"Я нашел описание на сайте Шифровальщики-вымогатели" ... и запишите название опознанного вами Ransomware из моего обширного списка. 

★★★

👮 Если вы стали жертвой преступления в Европе, вам нужно обратиться в местную или национальную полицию. При необходимости они свяжутся с Европолом или Интерполом.

👮 If you are the victim of a crime in Europe, you need to contact your local or national police. The authorities will contact Europol or Interpol if required. 

👮 Are recommended that anyone citizen of the USA who is affected by this Ransomware file an official complaint with the FBI by going to this URL. 

★★★

Могу также вам предложить: 

Образцы заявлений от Dr.Web >>
Обратиться за помощью в Group-IB >>

Также можете прочесть мои статьи: 
Не плати выкуп! Шифровальщики — чума Интернета
10 способов защиты от шифровальщиков-вымогателей
Первые шаги после атаки шифровальщика. Руководство для пострадавшего от вымогателей
FAQ (ЧаВо) по Ransomware. ВСЁ, ЧТО НУЖНО ЗНАТЬ!!!
Глоссарий сайта ID-Ransomware.RU (Сборник специальных слов и словосочетаний)

Вам это пока не надо? 

Подождите, дочитайте до конца! 

Если вы ещё не пострадали от крипто-вымогателей и не настолько глупы, чтобы думать, что вам это не грозит, то прочтите эти общие рекомендации.

1) Пройдите простые тесты "Готов ли ваш ПК выдержать атаку крипто-вымогателей" и "Готовы ли вы выдержать атаку крипто-вымогателей". 

Всего по 5 вопросов с вариантами ответов. 

2) Если там вы набрали 10 баллов и ни балла меньше, то добавьте к своему антивирусу одно из дополнительных решений из проекта Anti-Ransomware.

3) Если вы набрали 9 и меньше баллов, то изучите и следуйте способам защиты из статьи "10 способов защиты от крипто-вымогателей" и тоже добавьте к своему антивирусу одно из дополнительных решений из проекта Anti-Ransomware (например, RansomFree или AppCheck).

4) Если вы всё ещё думаете, что вам нечего терять и "Чума Интернета" вас не коснётся, то вы очень сильно заблуждаетесь. С каждым днём появляются новые способы обхода самозащиты новейшей ОС Windows 10 и новейших антивирусных средств, потому мы и рекомендуем использовать не только комплексную антивирусную защиту и одно из дополнительных решений из проекта Anti-Ransomware, но и постоянно обновляем информацию по шифровальщикам и прочим блокировщикам-вымогателям. 

5) Мы также обновляем информацию по Дешифровщикам (декриптерам), т.е. программам, которые ежедневно спасают террабайты информации у пользователей всего мира. Но если посмотреть внимательно, то можно заметить и сравнить количество актуальных и реально помогающих дешифровщиков с количеством описанных в блоге шифровальщиков и блокировщиков. Конечно, там и тут это не все, что существуют в реальности, но и это соотношение ужасающе точно. Задумайтесь. 

© Amigo-A (Andrew Ivanov): Онлайн-заявление (первоисточник). 
© Amigo-A (Andrew Ivanov): All blog articles.
© Amigo-A (Andrew Ivanov): Все статьи блога.