CryptoHost

CryptoHost Ransomware

ManameCrypt Ransomware

(фейк-шифровальщик, rar-вымогатель)

   Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,33 биткоинов, чтобы вернуть файлы обратно. Активность этого криптовымогателя пришлась на март-апрель 2016 г. Другие названия: ManameCrypt, ROI Locker.

В реальности данные не шифруются, а копируются в защищенный паролем RAR-архив. К счастью, пароль легко обнаруживается, таким образом пострадавшие могут получить свои файлы обратно. Подробнее в статье GDATA. 

Пароль для файла RAR состоит из следующих компонентов:

SHA1Hash(Win32_processor.processorID + VolumeSerialNumber_Volume_C + Win32_BaseBoard.SerialNumber) + username

Эта инфекция определяется как Ransom:MSIL/Manamecrypt.A [Microsoft] или Ransom_CRYPTOHOST.A. [Trend Micro]

Запиской с требованием выкупа выступает скринлок:

Содержание записки о выкупе из главного окна блокировщика:
Your Computers Files have been Encrypted and Locked!
Your files have been encrypted and are unuseable and inaccessable.
Don't worry, they're safe, for now.
This is unfortunate although for a small fee all of your Files will be returned to their original location as if nothing ever happened.
Simply pay the recovery fee stated on this form and follow the instructions.
Once the payment has been received your Files will be returned to normal.
Not paying the Unlock Fee to the supplied Bitcoin Address before the Timer runs out means loss of all Files permenantly.
The only payment accepted is Bitcoin. If you don't know what Bitcoin is there are instructions on how to obtain Bitcoin and pay the Fee.
Just press the "How It Works" Button below to learn how Bitcoin works.
This software checks the Bitcoin Network for the exact payment amount on the Bitcoin address provided. Once the amount is confirmed by clicking
"Confirm Payment" your files will be returned to their original locations.
Removing this software causes permanent loss of your files!
This software is the only way to get your files back!

Перевод записки на русский язык:
Ваши компьютерные файлы зашифрованы и заперты!
Ваши файлы были зашифрованы, непригодны для использования и недоступны.
Не волнуйтесь, они безопасны, пока.
Это печально, но за небольшую плату все ваши файлы будут возвращены на прежнее место, как ничего не случилось.
Просто оплатите указанную в этой форме стоимость восстановления и следуйте инструкциям.
После получения компенсации ваши файлы будут возвращены в нормальное состояние.
Неполученная  в срок по таймеру на Bitcoin-адрес плата приведет к потере всех файлов.
К оплате берутся только Bitcoin. Если не знаете, что такое Bitcoin, есть инструкции, как получить Bitcoin и заплатить выкуп.
Просто нажмите кнопку "How It Works" ниже, чтобы узнать, как работает Bitcoin.
Эта программа проверяет наличие точной суммы в биткоинах на Bitcoin-адресе. После подтверждения оплаты нажать
"Confirm Payment" и ваши файлы будут возвращены на прежнее место.
Удаление этой программы приводит к полной потере ваших файлов!
Эта программа единственный способ получить ваши файлы обратно!

Экран проверки оплаты из кнопки "Check Payment Status"

Экран из кнопки "How it Works"

Блокировщик имеет четыре подэкрана с дополнительной информацией, два из них приведены выше. 

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, через ПО с мошеннических сайтов, через P2P-приложения и в комплекте с инсталлятором Utorrent.

Когда CryptoHost заражает систему пользователя, он перемещает его файлы в защищенный паролем RAR-архив, который находится в C:\Users\[username]\AppData\Roaming folder.

Например: 
C:\Users\Test\AppData\Roaming\3854DE6500C05ADAA539579617EA3725BAAE2C57

Этот файл получает имя из 41 символа и без расширения. Имя архива будет SHA1 хешем следующей информации:
processorId + volume_serial_number_of_c: + motherboard_serial_number


Пароль для этого архива будет в форме SHA1 хэша + имя пользователя. Поэтому, если хэш SHA1 составляет 3854DE6500C05ADAA539579617EA3725BAAE2C57, а у пользователя имя Test, то пароль будет 3854DE6500C05ADAA539579617EA3725BAAE2C57Test.

При первом запуске CryptoHost пытается удалить раздел реестра HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot, чтобы не дать пользователю загрузить систему в Safe Mode. К счастью, процесс cryptohost.exe не работает под требуемыми привилегиями, которые нужны, чтобы удалить этот ключ.

CryptoHost также будет следить за названиями рабочих процессов и установленных в системе антивирусных программ. Список названий и строк, которые отслеживаются вредоносом:

anti virus, anti-virus, antivirus, avg, bitdefender, eset, mcafee, dr.web, f-secure, internet security, obfuscator, debugger, monitor, registry, system restore, kaspersky, norton, ad-aware, sophos, comodo, avira, bullguard, trend micro, eset, vipre, task manager, system configuration, registry editor, game, steam, lol, rune, facebook, instagram, youtube, vimeo, twitter, pinterest, tumblr, meetme, netflix, amazon, ebay, shop, origin

Как восстановить заблокированные файлы? 
Запустите диспетчер задач комбинацией клавиш Ctrl+Alt+Del, на вкладке "Процессы" выберите и завершите процесс cryptohost.exe
Разархивируйте "зашифрованный" архив в папку с таким же названием и на запрос о пароле введите добытый выше ваш персональный пароль. Ваши файлы будут распакованы и восстановлены. Дальше можете поступать с ними как вам угодно.

Список файловых расширений, подвергающихся блокировке:
 .3g2, .3gp, .7z, .asf, .avi, .doc, .docx, .flv, .gif, .jpeg,.jpg, .m4v, .mov, .mp4, .mpeg, .mpg, .pdf, .png, .ppd, .pps, .ppt, .pptx, .psd, .qt, .rm, .tiff, .txt, .wmv, .wpd, .wps, .xlr, .xls, .xlsl, .zip

Файлы, связанные с Ransomware:
%Temp%\uTorrent.exeuTorrent.exe
%AppData%\cryptohost.exe - копия исполняемого файла
%AppData%\processor.exe - инструмент командной строки WinRAR
%AppData%\files - список файлов с зашифрованными файлами

%AppData%\[Encrpted_RAR_with_generic_name]

Записи реестра, связанные с Ransomware:
HKCU\Software\Classes\FalconBetaAccount
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\software    %AppData%\cryptohost.exe
HKCU\Software\VB and VBA Program Settings\software\setting\

Т.к. файлы всё же не шифруются, то я отношу CryptoHost Ransomware к фейк-шифровальщикам. 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Write-up, Write-up
 * 

 Thanks: 
 Lawrence Abrams
 TrendMicro
 Microsoft
 G DATA
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoBit

CryptoBit Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 1-2 биткоина или больше, чтобы вернуть файлы. Название оригинальное. Параллельно распространялась другая версия этого крипто-вымогателя, которая описана у нас под названием Mobef Ransomware, но несмотря на возможное родство, имеются различия технического и визуального характера. 

© Генеалогия: Booyah (Salam!) ⇔ CryptoBit ⟺ Mobef  (см. Генеалогия)

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на апрель 2016 г. Также замечен в ряде вредоносных кампаний лета 2016 года (июнь-июль). Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Не путайте с CryptorBit из 2014 года!

Записки с требованием выкупа называются по разному. В данной статье это:
OKSOWATHAPPENDTOYOURFILES
helloreadmenow23.TXT
helloreadmenow24.TXT

Содержание записки о выкупе:
Your ID: 589*****
***
Hi. Your files are now encrypted. I have the key to decrypt them back.
I will give you a decrypter if you pay me. If you pay me today, the price is only 1 bitcoin.
If you pay me tomorrow, you will have to pay 2 bitcoins. If you pay me one week later the price will be 7 bitcoins and so on. So, hurry up.
Contact me using this email address: torrenttracker@india.com
If you don't get a reply or if the email dies, then contact me using Bitmessage:
download it form here
***github.eom/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Run it, click New Identity and then send me a message at BM-NBvzKEY***

Перевод записки на русский язык:
Ваш ID: 589*****
***
Привет. Ваши файлы теперь зашифрованы. У меня есть ключ для дешифровки их обратно. Я дам вам декриптер, если вы заплатите мне. Если вы платите мне сегодня, цена будет всего 1 биткоин.
Если вы платите мне завтра, вам придется заплатить 2 биткоина. Если вы платите мне через неделю, цена будет 7 битконов и так далее. Итак, поторопитесь.
Свяжитесь со мной, используя этот адрес email: torrenttracker@india.com
Если вы не получите ответа или если email закроют, то свяжитесь со мной, используя Bitmessage:
загрузите его здесь
***github.eom/mailchuck/PyBitmessage/releases/download/v0.5.8/Bitmessage-0.5.8.exe
Запустите его, нажмите кнопку "New Identity", а затем отправьте мне сообщение на BM-NBvzKEY***

Последующее развитие привело к изменению информационной составляющей вымогательского процесса. 

Содержание текстовых записок поменялось:
ID:[six_or_seven-digit number in the 900,000 or 7,000,000 range]
PC:[host name]
USER:[user name]
IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE EMAIL ME AT:
epiclesis@protonmail.ch + kyklos@scryptmail.com + malakia@opemnailbox.org + sycophant@sigaint.org
Send an email to all these addresses, just in case, sometimes emails get lost.
Don't forget to check your spam/junk folder later, most likely my reply will end up there.
If you want to remain anonymous or if you aren't getting a reply, please try using bitmessage (bitmessage.org) and use this address to contact me: BM-NAxZ29ouecw2Y7ibaXKuslvxDRDfhew6. This method will work 100%.
Encrypted files LOG: C:\users\(user name]\Documents\[six_or_seven-digit number].log

Перевод на русский язык:
ID: [6-7-значное число в диапазоне 900.000 или 7.000.000]
PC: [имя хоста]
USER: [имя пользователя]
Если вы хотите получить все файлы обратно, пожалуйста, напишите мне по адресу:
epiclesis@protonmail.ch + kyklos@scryptmail.com + malakia@opemnailbox.org + sycophant@sigaint.org
Отправьте по email на все эти адреса, на всякий случай, иногда письма теряются.
Не забудьте проверить папку спам/нежелательные, позже, скорее всего, мой ответ окажется там.
Если вы хотите сохранить анонимность, или если вы не получаете ответ, пожалуйста, попробуйте использовать bitmessage (bitmessage.org) и этот адрес для контакта со мной: BM-NAxZ29ouecw2Y7ibaXKuslvxDRDfhew6. Этот метод будет работать на 100%.
Зашифрованные файлы LOG: C:\users\(user name]\Documents\[6-7-значное число].log

Распространяется с помощью email-спама и вредоносных вложений, веб-инжектов и эксплойтов (RIG и др.), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

CryptoBit, попав на компьютер, первым делом проверяет по своему запрещающему списку языки клавиатуры. При использовании пользователем одного из определённых кодов языков (0x1a7, 0x419 – русский или 0x43f — казахский), шифрование файлов прерывается. Если языки клавиатуры не входят в этот список, то CryptoBit производит по всем локальным дискам, сетевым папкам и съёмным устройствам (USB) поиск целевых файлов и производит их шифрование. 

После шифрования AES-ключа с помощью RSA, он будет храниться в файле "sekretzbel0ngt0us.KEY" (в разных версиях названия другие), и будет понятен только при наличии соответствующего закрытого ключа RSA.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .4db, .4dd, .7zip, .accdb, .accdt, .aep, .aes, .arj, .bpw, .cdr, .cer, .crp, .crt, .csv, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .dwfx, .dwg, .dwk, .dxf, .eml, .fdb, .gdb, .gho, .gpg, .gxk, .idx, .ifx, .iso, .jpg, .kdb, .kdbx, .key, .ksd, .max, .mdb, .mdf, .mpd, .mpp, .myo, .nba, .nbf, .nsf, .nv2, .odb, .odp,.ods, .odt, .ofx, .p12, .pdb, .pdf, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptx, .prproj, .psd, .psw, .qba, .qbb, .qbo, .qbw, .qfx, .qif, .rar, .raw, .rtf, .saj, .sdc, .sdf, .sko, .sql, .sxc, .tar, .tax, .tbl, .tib, .txt, .wdb, .xls, .xlsm, .xlsx, .xml, .zip  (96 расширений). 
Это документы MS Office, OpenOffice, PDF, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.tmp.exe
<random>.exe
OKSOWATHAPPENDTOYOURFILES.TXT
sekretzbel0ngt0us.KEY
helloreadmenow23.TXT, helloreadmenow24.TXT и пр., цифры по дате
HITLERSNASTYLITTLECRYPTEROMGWTFHELP.KEY23 - цифры по дате
HITLERSNASTYLITTLECRYPTEROMGWTFHELPOHNOES.KEY24 - цифры по дате

Ещё файлы (для Mobef и CryptoBit):
[date]-INFECTION.txt
[date]-INFECTIONE.txt
[date]000.KEY
1NFORMAT1ONFOR.YOU
ENCRYPT1ON.KEY+[1-2-3-digit_number]
[10-digits].KEY 
INSTRUCTIONS.MSG1
INSTRUCTIONS.MSG23

INSTRUCTIONS.MSG31
HELLOREADME+[random_number_1-31].TXT
HELLOWREADME+[random_number_1-31].TXT
helloreadmenow+[random_number_1-31].TXTZ
HITLERSLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERSNASTYLITTLECRYPTER.KEY+[1-2-3-digit_number]
HITLERHASYOURFILES.KEY+[1-2-3-digit_number]

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
realstatistics.info
kjyrxilohcowy.dyndns.org
smobutdobesy.dyndns.org
laoismacau.com
videodrome69.net***
bitmessage.org
torrenttracker@india.com
epiclesis@protonmail.ch
kyklos@scryptmail.com
kyklos@lelantos.org
malakia@opemnailbox.org
malakia@anoninbox.net
sycophant@sigaint.org
BM-NAxZ29ouecw2Y7ibaXKus1vxDRDfheW6

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up + Write-up
 ID Ransomware (ID Mobef)
 Write-up
 *
 *

 Thanks: 
 PandaSecurity
 PaloAltoNetworks
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

7ev3n-HONE$T

7ev3n-HONE$T Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 1 Bitcoin (400 USD), чтобы вернуть файлы обратно. Название происходит от видоизмененного слова HONE$T (англ. Honest - "честный") - ЧЕ$ТНЫЙ. 

© Генеалогия: 7ev3n > 7ev3n-HONE$T

К зашифрованным файлам добавляется расширение .R5A. 

  7ev3n-HONE$T является обновленной версией 7ev3n Ransomware. Пострадавшие от этой версии могут заплатить половину выкупа, чтобы вернуть себе контроль над половиной своих зашифрованных файлов. Активность этого крипто-вымогателя пришлась на апрель 2016 г. Распространяется с помощью email-спама и вредоносных вложений. 

  Записка с требованием выкупа называется: FILES_BACK.txt. К ней добавляется экран блокировки. 

Содержание записки о выкупе: 
HI, YOUR PERSONAL FILES WERE ENCRYPTED BY 7ev3n-HONE$T
All your photos, media, documents, databases, MS Office and other important files were encrypted with strong algorithm.
Decryption price 1.0 bitcoin (400 USD)
Unique bitcoin address for payment was generated only for you: -
File decryption process is completely automated! The process is “PAY-DECRYPT”.
1. The list of encrypted files are available by click on “VIEW”.
2. You are able to decrypt 3-5 files free of charge. The choice is random. Therefor click on “TEST DECRYPT”.
3. You are able to decrypt the half (50%) of the files, therefor pay 0.6 BTC (240 USD) to unique address specified above the program will randomly choose the half of the files and decrypt them. Sine then you can pay additional 0.6 BTC (240 USD) and the program will decrypt the rest of the files. If you pay the total amount (1.0) at one you get 20% discount.
4. Confirmation of one transaction takes 30 minutes or less. The process of files decryption and self-deleting is automated. Decryption process takes 1-3 hours based on the amount of encrypted files, decryption speed is 7 Gb/hr.
5. To get keys and start decrypting process after payment, please ensure that your internet-connection is active!
6. If you don’t know that are bitcoins, how to purchase and use them click on “How to Pay”.
Don’t try to delete the program, any delete actions will be resulted in irrecoverable loss of your files. Don’t try to change file names and their extensions. Don’t enable Antivirus of Firewall software. The only way to recover access to your files is to pay for decryption process. Encryption algorithm is invincible. There are no third programs for this algorithm decryption and there would not be any.
Attention! you have to pay within 72 hours. If the payment is not performed, private key will be destroyed and files will be lost.

Перевод записки на русский язык: 
Привет, ваши личные файлы были зашифрованы 7ev3n-HONE$T
Все ваши фото, медиа, документы, базы данных, MS Office и другие важные файлы зашифрованы с сильным алгоритмом.
Дешифровка стоит 1,0 Bitcoin (400 USD)
Уникальный Bitcoin-адрес для оплаты был создан для вас: ***
Процесс дешифровки полностью автоматизирован! Называется "PAY-DECRYPT".
1. Перечень зашифрованных файлов откроется, при нажатии на "VIEW".
2. Можно дешифровать 3-5 файлов бесплатно. Выбор случайный. Для этого нажмите на "TEST DECRYPT".
3. Можно дешифровать половину (50%) файлов, и платить 0,6 BTC ($240 США) на уни-адрес выше. Программа случайным образом выберет половину файлов и дешифрует их. Позже можете доплатить еще 0,6 BTC ($240 США), и программа дешифрует остальные файлы. Если вы платите полную сумму (1.0 BTC) сразу, то получаете 20% скидку.
4. Подтверждение одной сделки занимает 30 минут или меньше. Процесс дешифровки файлов и самостирания автоматизирован. Процесс дешифровки занимает 1-3 часа, в зависимости от количества зашифрованных файлов, скорость дешифровки 7 Гб / час.
5. Для того, чтобы получить ключи и начать процесс дешифровки после оплаты, пожалуйста, убедитесь, что интернет подключен!
6. Если вы не знаете, что такое Bitcoin, как приобрести и использовать их, нажмите на "How to Pay".
Не пытайтесь удалить программу, любые действия по удалению приведут в безвозвратной потере ваших файлов. Не пытайтесь изменить имена файлов и их расширения. Не включайте антивирус и брандмауэр. Единственный способ восстановить доступ к файлам — заплатить за дешифровку. Алгоритм шифрования непобедим. Нет третьей программы для дешифровки этого алгоритма и не будет.
Внимание! Вы должны заплатить за 72 часа. Если оплата не поступит, закрытый ключ будет уничтожен, а файлы будут потеряны.

  Шифруя данные 7ev3n-HONE$T переименовывает файлы в папках согласно цифровому порядку, добавляя к ним расширение .R5A. Например, если папка содержит 10 разных файлов, то вымогатель будет шифровать и переименовать все файлы в 1.R5A, 2.R5A, 3.R5A ... 10.R5A. После этого 7ev3n-HONE$T добавляет имя зашифрованного файла в файл C:\Users\Public\files.

  Закончив шифрование данных крипто-вымогатель подключается к C&C-серверу и загружает на него различную информацию и статистические данные. Передаваемая информация включает назначенный жертве Bitcoin-адрес, общее количество зашифрованных файлов, количество расширений каждого типа файлов, и уникальный идентификатор. C&C-сервер расположен на IP-адресе 46.45.169.106 (Turkey Istanbul Radore Veri Merkezi Hizmetleri As / AS197328).

Когда это сделано, в каталоге C:\Users\Public будут находиться следующие файлы:
C:\Users\Public\conlhost.exe - исполняемый файл крипто-вымогателя;
C:\Users\Public\files - список зашифрованных файлов;
C:\Users\Public\FILES_BACK.txt - альтернативный метод связи с разработчиком;
C:\Users\Public\testdecrypt - список файлов, которые могут быть бесплатно расшифрованы;
C:\Users\Public\time.e - метка времени, когда крипто-вымогатель зашифровал файлы.

  Экран крипто-вымогателя разбивается на четыре разных окна. Первое окно — основной экран блокировки, отображает записку и Bitcoin-адрес для выкупа. Второе окно позволяет выполнить тестовую дешифровку 3-5 файлов. На третьем отображается список всех зашифрованных файлов. Четвертое сообщает о том, как заплатить выкуп.

 

 

Список файловых расширений, подвергающихся шифрованию: 
Вероятно тот же, что и у предыдущей версии: .accdb, .arw, .dbf, .doc, .docm, .docx, .jpe, .jpeg, .jpg, .mdb, .mdf, .odb, .odm, .odp, .ods, .pdf, .rar, .sql, .txt, .xlsb, .xlsm, .xlsx, .zip (23 расширения). 

Файлы, связанные с 7ev3n-HONE$T Ransomware: 
C:\Users\Public\conlhost.exe
C:\Users\Public\files
C:\Users\Public\FILES_BACK.txt
C:\Users\Public\testdecrypt
C:\Users\Public\time.e
%Temp%\fpnzzre

Записи реестра, связанные с 7ev3n-HONE$T Ransomware: 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\allkeeper    C:\users\Public\conlhost.exe
HKCU\Software\crypted    1
HKCU\Software\testdecrypt    1

Дешифровщик для 7ev3n-HONE$T >>> 

Используйте на свой страх и риск. 

Степень распространённости: низкая. 
Подробные сведения собираются.

CryptoHasYou

CryptoHasYou Ransomware

.CryptoHasYou. Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные с помощью алгоритма  AES-256 с RSA-2048 ключом, а затем требует $300 USD, чтобы вернуть файлы обратно. Через три дня после заражения и каждые сутки потом оплата поднимается на $150. 

---

Обнаружения: 
DrWeb -> Trojan.Encoder.4312

Avira (no cloud) -> HEUR/AGEN.1110387

BitDefender -> Gen:Variant.Graftor.746916

ESET-NOD32 -> A Variant Of Win32/Filecoder.NGD

Kaspersky -> Trojan.Win32.Deshacop.bzu

Kingsoft -> Win32.Troj.Undef.(kcloud)

Microsoft -> Trojan:Win32/Dynamer!ac

Rising -> Trojan.Filecoder!8.68 (TFE:4:VZ4csWKwUXN)

Symantec -> Trojan.Dropper

Tencent -> Ransom.Win32.CryptHasyou.b

TrendMicro -> Ransom_CRYPTESLA.YUYAKG

---

К зашифрованным файлам добавляется расширение .enc. 

Этимология названия: 

Название крипто-вымогателя произошло от слова .Cryptohasyou, которое скрывает фразу "Crypto_has_you" (Крипто_имел_вас). Видимо, начальная версия крипто-вымогателя должна была использовать расширение .Cryptohasyou, но потом его заменили на .enc.  

  Записка о выкупе называется YOUR_FILES_ARE_LOCKED.txt 

Записка о выкупе, TXT-версия

Записка о выкупе, BMP-версия

  Содержание записки о выкупе:
READ THIS. IT IS VERY IMPORTANT.
Hello, Unfortunately for you, a virus has found its way onto your computer. The virus has encrypted all of the files that exist on this computer (pictures, 
documents, spreadsheets, videos, etc.). There is no way to restore the files back to their original forms without the unique decryption programs.
Fortunately, we can help. We have your unique decryption program. If you value your locked files and want to restore them, we can provide you with 
the decryption program and any assistance you need for the price of $300.
Want us to fix all of your files? Have a question? Want to send us a complaint(or compliment)?
Contact us! Our email is locked@vistomail.com
We will get back to you with haste.
If you want proof that we can decrypt your files, send us a single encrypted file in an email and we will return it to you fixed and in original condition!
You must respond to this in a timely fashion if you want your original files back.
The initial price of our service is $300. For every 3 days that pass, the price of our service will raise by an additional $150. We will know how long it 
has been. Remember, we are your only option. If you consult an IT expert, they will tell you the same thing.
Cheers.
Additional Details: (for IT People)
[+] It is impossible to recover the original files without our help.
[+] Encryption scheme: aes256(filesystem, aes_key) -> rsa2048(aes_key, public key)
-In other words, the private_key is required to decrypt the filesystem
[+] During filesystem encryption, all affected files had the original data overwritten with the encrypted data several times over to prevent recovery.
[+] If the extention of an encrypted file is not “.enc” when the decryption program is run, it will not be decrypted.
[+] Do not shut down or restart your computer while filesystem decryption occurs
FOR FILE DECRYPTION CONTACT US: locked@vistomail.com
You will need to provide the following data to us along with a payment in order to decrypt your files:
< DATA >
{уникальный ID-номер с буквами и цифрами}

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами: 

 vssadmin.exe vssadmin delete shadows /all /quiet 

 bcdedit.exe bcdedit /set {default} recoveryenabled no 

 bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures 

 Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, за исключением имеющих расширения: .bat, .bin, .blf, .cat, .cdf-ms, .cdfs, .cmd, .com, .conf, .cpl, .dat, .dev, .dll, .dmp, .drv, .enc, .etl, .evt, .evtx, .exe, .folder, .gadget, .gpd, .grp, .idx, .inf, .ini, .ins, .inx, .isu, .job, .jse, .key, .lib, .lnk, .lock, .man, .manifest, .mark, .mci, .mdmp, .msc, .msi, .msn, .msp, .mst, .mui, .my, .nls, .ocx, .osc, .paf, .pdb, .pif, .reg, .rgu, .scr, .sct, .sfc, .sfcache, .shb, .shs, .shs, .sif, .sys, .vbe, .vbs, .vbscript, .vtd, .wsf (70 расширений) и файла .bmp со случайным именем (в этом примере это c35312fb3a.bmp), которые ему нужны. 

По завершении шифрования могут быть зашифрованы и файлы оставшихся типов. Это делает крипто-вымогатель буквально всеядным. 

Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_LOCKED.txt - Записка о выкупе, создается во всех папках с зашифрованными файлами;
C:\Users\W7_MMD\AppData\Local\Roaming\c35312fb3a.bmp - экран блокировки, встает в качестве обоев Рабочего стола, файл со случайным именем;
C:\Users\W7_MMD\AppData\Local\Temp\dejqmavb.bat - bat-файл для зачистки следов вымогателя в системе, файл со случайным именем. 

Сетевые покдючения и связи:

Email: locked@vistomail.com

BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>

Степень распространённости: средняя. 
Подробные сведения собираются.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (ID as CryptoHasYou)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. 

KimcilWare

KimcilWare Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные веб-сайтов с помощью алгоритма Rijndael (AES), а затем требует выкуп в пределах от $ 140 до $ 415 (в зависимости от версии, которой сайт был заражен), чтобы вернуть файлы. Название оригинальное. Активность пришлась на март 2016 г., но известные более ранние атаки, например в феврале этого года. Разработчик: MAFIA MALWARE INDONESIA, хакерская группировка из Индонезии.

© Генеалогия: Hidden Tear modified >> MafiaWare > KimcilWare

За этим крипто-вымогателем стоит одна из индонезийских хакерских группировок, специализирующаяся на взломе веб-сайтов по всему миру. Выявлена связь с другим вымогательским ПО этой группировки — MireWare. 

Этимология слов, использованных вымогателями:
kimcil - индонез. одно из названий проститутки
tuyuljahat (Tuyul Jahat) - индонез. название злого духа, вымогающего деньги. 

Известны две версии сценариев для шифрования сайтов. Один скрипт шифрует все данные на веб-сайте, добавляет расширение .kimcilware к зашифрованным файлам, заменяет index-страницу сайта на свой файл index.html (см. ниже), и требует выкуп в размере 140 долларов США. 

Пример содержимого веб-папки с зашифрованными с помощью сценария KimcilWare см. ниже.

Другой скрипт добавляет расширение .locked к зашифрованным файлам, но не заменяет index-страницу сайта на записку с требованием выкупа. Вместо этого он создаёт в каждой папке, в которой были зашифрованы файлы, записку о выкупе под именем README_FOR_UNLOCK.txt, содержащую инструкции для оплаты выкупа в 1 биткоин или 415 долларов США.

Содержание записки README_FOR_UNLOCK.txt:
ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: *****
Contact tuyuljahat@hotmail.com after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.
Hope you enjoy

Перевод на русский язык:
ВСЕ ФАЙЛЫ ВАШЕГО ВЕБ-СЕРВЕРА БЛОКИРОВАНЫ
Вы должны послать мне 1 BTC для разблокировки ваших файлов.
Платите на BTC-адрес: *****
Мыльте на tuyuljahat@hotmail.com после отправки мне BTC. Сообщите мне адрес веб-сайта и ваш Bitcoin-адрес.
Я буду проверять свой Bitcoin и если вы прислали мне BTC, то я пришлю дешифратор для разблокировки ваших файлов.
Надеюсь, вам понравится 

Активность этого криптовымогателя пришлась на март 2016 г. Ориентирован на англоязычных пользователей, что не мешает использовать его по всему миру.

KimcilWare направлено на веб-сайты, основанные на системе управления интернет-магазинами Magento. Возможно, заражению способствует установка пока ещё легитимных расширений для CMS Magento. Одно из них, Helios Vimeo Video Gallery (от Helios Solutions), уже помечено как опасное. Но не исключается вероятность программной прокладки-заготовки в самом Magento, как и во всех других CMS.

Владельцы интернет-магазинов, работающих на Magento, должны использовать сильные пароли для учётных записей администратора, и как можно скорее обновить систему управления сайтом до последней версии Magento, или установить все доступные патчи для используемой версии.

KimcilWare устанавливается после взлома веб-сервера. При желании злоумышленники могут распространять его с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы и папки, находящиеся в директории веб-сайта, некоторые даже по 2 раза. 

Файлы, связанные с KimcilWare Ransomware:
README_FOR_UNLOCK.txt

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC
 ID Ransomware
 Fortinet blog
 *

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 *
 

MireWare

MireWare Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы обратно. Разработчик: MAFIA MALWARE INDONESIA, хакерская группировка из Индонезии. См. также KimcilWare. 

К зашифрованным данным добавляются расширения .bleeped, .fucked, .fuck 

© Генеалогия: Hidden Tear modified >> MafiaWare > MireWare 

Записка о выкупе READ_IT.txt размещается на Рабочем столе и в корне каждого диска. 

Содержание записки о выкупе: 
Files have been encrypted
Send me some bitcoins to decrypte your files
Contact tuyuljahat@hotmail.com for more information and deal!

Перевод на русский язык:
Файлы были зашифрованы
Отправь мне биткоины, чтобы дешифровать файлы
Пишите на tuyuljahat@hotmail.com для информации и сделки!

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml

Файлы, связанные с этим Ransomware:
%UserProfile% \Desktop\READ_IT.txt
hidden-tear.exe
<random>.exe

В настоящее время C&C-серверы вымогателей отключены, потому вымогатель подключиться к серверу через HTTPS не может. Есть сведения, что вымогатели сменили сервера, переписали шифровальщики и используют для атаки пользователей другие Ransomware: KimcilWare, 8lock8 и ряд других пока малоизвестных. 

Степень распространённости: низкая.
Подробные сведения собираются. 

 Внимание!!! 

Для зашифрованных файлов есть декриптер. 

Подробная инструкция по дешифровке