GhostCrypt

GhostCrypt Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует файлы, используя алгоритм AES-256, а затем требует 2 Bitcoins, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .Z81928819. 

© Генеалогия: Hidden Tear >> GhostCrypt

GhostCrypt cоздан на основе криптоконструктора HiddenTear. 

  Записка о выкупе READ_THIS_FILE.txt размещается на Рабочем столе. 

Перевод записки на русский язык:
Файлы были зашифрованы с помощью CryptoLocker.
Для того, чтобы расшифровать и получить обратно ваши файлы, надо заплатить 2 BTC (Bitcoin).
Вы должны сделать следующие шаги:
1. Android-пользователи должны загрузить приложение Bitcoin Wallet. iOS-пользователи должны загрузить приложение под названием Copay.
2. После регистрации и получения аккаунта Bitcoin, вы должны купить 2 BTC (Bitcoins) и загрузить в свой аккаунт.
3. Вы должны отправить эти Bitcoins на один из следующих счетов.
Аккаунты:
1. 19YWTHeSf1c4a2j1YNPTb3VCJn5ee21GRX
2. 1546jBPBRnR4NVrCZzVm7NtaH8FMQEy9mQ
После получения оплаты вам будет выдан ключ дешифрования и ваши файлы будут расшифрованы.
Для дополнительной информации посетите: https://goo.gl/wDhp4J

Примечательно, что ссылка ведет на итальянский раздел Bitcoin-вики. 

  Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .avi, .bk, .bmp, .css, .csv, .divx, .doc, .docx, .eml, .htm, .html, .index, .jpeg, .jpg, lnk , .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .msg, .odt, .ogg .pdf, .php, .png, .ppt, PPTX, psd, .rar, .sln , .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip

Степень распространённости: низкая.
Подробные сведения собираются. 

Внимание!!! 

Для зашифрованных файлов есть декриптер. 

Скачать. 

SeginChile

SeginChile Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует файлы, используя алгоритм AES-256, а затем предлагает ввести полученный идентификатор и расшифровать файлы бесплатно. Создан на основе крипто-конструктора EDA2. 

© Генеалогия: EDA2 >> SeginChile

К зашифрованным файлам добавляется расширение .seginchile

Записки о выкупе, написанные на испанском языке, создаются в текстовом и html-вариантах — instrucciones.html и instrucciones.txt, и сохраняются на Рабочем столе. 

HTML-вариант записки о выкупе

TXT-вариант записки о выкупе

Перевод записки на русский язык: 
Инструкции
• Откройте https://victima.hackinq.cl
• Введите идентификатор, который вам предоставили ниже
• Скачайте дешифровщик
• Сгенерированный ключ дешифрования введите в дешифровщик
• Уникальный идентификатор: [*************]

Вымогатели предлагают свои жертвам посетить сайт Victima.hacking.cl, ввести полученный идентификатор и дешифровать файлы. Бесплатно. 

В качестве обоев Рабочего стола ставится следующее изображение

Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd.sln, .sql, .txt, .xls, .xlsx, .xml

Степень распространённости: средняя.
Подробные сведения собираются. 

BuyUnlockCode

BuyUnlockCode Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует файлы с помощью алгоритма шифрования RSA-1024, а затем требует выкуп — приобретение уникального ключа разблокировки. Сначала файлы шифруются с помощью AES-шифрования, а затем AES-ключ шифруется с помощью RSA-ключа. К зашифрованным файлам прибавляется расширение .encoded.<unique id> . Например, файл example.txt примет вид example.txt.encoded.JS8521121, где буквенно-цифровой код в конце файла и будет уникальным идентификатором - ID. Можно представить также в виде схемы (.*).encoded.([A-Z0-9]{9}) . 

  Распространяется через троянские программы и фальшивые обновления программного обеспечения. Тома теневых копий файлов не удаляются. 

  Когда шифровальщик закончит шифрование файлов, то показывает по пострадавшему пользователю записку о выкупе BUYUNLOCKCODE.txt, располагающуюся по адресу: C:\Users\User\AppData\Roaming\SunDevPackUpdate\BUYUNLOCKCODE.txt  
А также изменяет обои Рабочего стола на следующее изображение.

Обои вымогателя

Записка о выкупе

Содержание записки о выкупе:

Hi, your ID = JSOXXXXXXXX

All important files were encoded with RSA-1024 encryption algorithm.

There is the only way to restore them - purchase the unique unlock code.

Warning! Any attempt to recovering files without our "Special program" will cause data damage or complete data loss.

As we receive your payment, we will send special program and your unique code to unlock your system.

Guarantee: You can send one of the encrypted file by email and we decode it for free as proof of our abilities.

No sense to contact the police. Your payment must be made to the e-wallet. It's impossible to trace.

Don`t waste your and our time.

So, if you are ready to pay for recovering your files, please reply this email ChiuKhan@tom.com

Then we will send payment instructions.

В записке указаны email-адреса: 

nick.jameson@expressmail.dk

ChiuKhan@tom.com

  Список файловых расширений, подвергающихся шифрованию: 
.crt, .xls, .docx, .doc, .cer, .key, .pem, .pgp, .der, .rtf, .xlsm, .xlsx, .xlsb, .txt, .xlc, .docm, .ptb, .qbb, .qbw, .qba, .qbm, .xlk,.dbf, .mdb, .mdf, .mde, .accdb, .text, .jpg, .jpeg, .ppt, .pdf, .cdx, .cdr, .bpg, .vbp, .php, .css, .dbx, .dbt, .arw, .dwg, .dxf, .dxg, .eps, .indd, .odb, .odm, .nrw, .ods, .odp, .odt, .orf, .pdd, .pfx, .kdc, .nef, .mef, .mrw, .crw, .dng, .raf, .psd, .rwl, .srf, .srw,.wpd, .odc, .sql, .pab, .vsd, .xsf, .pps, .wps, .pptm, .pptx, .pst, .zip, .tar, .rar

  Файлы связанные с BuyUnlockCode Ransomware: 
%AppData%\SunDevPackUpdate\
%AppData%\SunDevPackUpdate\BUYUNLOCKCODE.txt
%AppData%\SunDevPackUpdate\pbinfoset.sww
%AppData%\SunDevPackUpdate\wallpp.bmp

  Записи реестра связанные с BuyUnlockCode Ransomware: 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\bcdel   cmd.exe /c del "%AppData%\SunDevPackUpdate\<random>.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\oldex   cmd.exe /c del "path-to-installer\installer.exe"
HKCU\Control Panel\Desktop\Wallpaper   "%AppData%\SunDevPackUpdate\wallpp.bmp"


Степень распространённости: не определена.
Подробные сведения собираются. 

8lock8

8lock8 Ransomware

   Этот криптовымогатель шифрует файлы с с помощью алгоритма AES-256. К зашифрованным файлам добавляется расширение .8lock8

© Генеалогия: Hidden Tear >> 8lock8

  Записка о выкупе READ_IT.txt написана на английском и русском. Размещается на Рабочем столе и в корне каждого диска. Примечательно, что в записке имеются email-адреса, которые указывают на Индию и Индонезию. 

Контакты из записки:

d1d81238@tuta.io

d1d81238@india.com

   Распространяется, главным образом, как вредоносное вложение в email, или посредством ссылки на вредоносный сайт, размещенной в фишинг-письме, или даже в новостях с предложением "Узнать подробнее" или "Поучаствовать". Никогда не посещайте подобные ссылки, если у вас стоит антивирус Free!

  Есть сведения, которые связывают 8lock8 с криптовымогателями MireWare и KimcilWare, тоже созданными на основе конструктора HiddenTear, и имеющими в записке о выкупе email тех же регионов. Есть и другие совпадения. 

  Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bmp, .csv, .doc, .docx, .htm, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, PPTX , .rar, .sln, .sql, .txt, .wav, .xls, .xlsx, .xml, .zip 

Степень распространённости: низкая.
Подробные сведения собираются. 

Для файлов, зашифрованным этим криптовымогателем Майклом Джиллеспи, был создан декриптер (дешифровщик). 

 Внимание!!! 
Для зашифрованных файлов есть декриптер. 

Подробная инструкция по дешифровке

GNL Locker

GNL Locker Ransomware

   Криптовымогатель GNL Locker при запуске проверяет IP-адрес компьютера и шифрует файлы с помощью алгоритма AES-256 только в том случае, если компьютер находится в Нидерландах или Германии. Отсюда его название  — G+N+L (Германско-Нидерландский Локер). 

 Файлы, зашифрованные с помощью GNL Locker, получают расширение .locked, а к ним прилагаются записки с требованием выкупа: 
UNLOCK_FILES_INSTRUCTIONS.txt
UNLOCK_FILES_INSTRUCTIONS.html

HTML-записка о выкупе

Степень распространённости: низкая.

Подробные сведения собираются. 

Приемником GNL Locker стал Zyklon Locker. 

Crypren

Crypren Ransomware 

   Этот криптовымогатель шифрует данные, а затем требует 0.1 Bitcoins (45.06 USD), чтобы вернуть файлы обратно. К счастью, криптовымогатель имеет дефект, потому специалистам удалось создать дешифратор DecryptCrypren. Шифрование в данном случае условно, скорее это базовая арифметика, больше похожая на обфускацию, чем шифрование. Просто генерируется случайная строка, а затем дополняется байтами, полученными с помощью ключа, взятого из каждого 64-байтного блока.

  К зашифрованным файлам добавляется расширение .encrypted . Закончив шифрование, вымогатель выводит на экране следующее сообщение, призывающее жертву перезагрузить ПК, чтобы получить инструкции и прочитать записку о выкупе READ_THIS_TO_DECRYPT.html

HTML-записка о выкупе. 

Файл READ_THIS_TO_DECRYPT.html размещается во всех системных папках и информирует жертву о том, то случилось с файлами. Для оплаты выкупа прилагается Bitcoin-адрес, на который нужно сделать перевод денег: Предупреждается, что ключ шифрования будет удалена через одну неделю после заражения компьютера. Но это требование, как показало изучение, не соответствует действительности.

Кнопки "How to buy Bitcoins #1" и "How to buy Bitcoins #2" внизу требования информируют жертву, как она может купить биткоины для последующей уплаты выкупа. 

 Согласно записи в реестре, файл READ_THIS_TO_DECRYT.html также отображается при каждом запуске системы. 

Записка о выкупе прописывается в автозагрузку.

Список файловых расширений, подвергающихся шифрованию:

.accdb, .accde, .accdr, .accdt, .bmp, .cpp, .cs, .css, .csv, .csy, .doc, .docm, .docx, .docxml, .docz, .gif, .gzip, .html, .jpg, .jpg2, .mdb, .mp3, .mp4, .mp4infovid, .mp4v, .pdf, .php, .php3, .png, .ppt, .pptm, .pptx, .py, .rar, .rar5, .rb, .rtf, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .swfhtml, .tar, .targz, .targz2, .tarlzma, .tarxz, .txt, .xlmv, .xls, .xlsm, .xlsx, .xml, .zip, .zipx 

Как показало исследование, ключ шифрования хранится непосредственно в каждом из измененных файлов, потому этот помогло получить информацию без оплаты его создателей. Пароль имеет буквенно-цифровой код длиной 64 байта. 

После дешифровки с помощью утилиты DecryptCrypren к дешифрованным файлам добавляется расширение .decrypt. Например, зашифрованный файл изображения test.jpg.ENCRYTED станет test.jpg.ENCRYTED.decrypt .

Файлы, связанные с Crypren Ransomware:

Crypren.exe

READ_THIS_TO_DECRYPT.html

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\READ_THIS_TO_DECRYPT.html

Записи реестра, связанные с Crypren Ransomware:

См. ниже гибридный анализ.

Сетевые подключения и связи:

хттпs://bitcoin.org/en/getting-started

хттпs://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)

хттп://www.openssl.org/support/faq.html

Результаты анализов:

Гибридный анализ >>

VirusTotal анализ >>

Malwr анализ >>

Степень распространённости: низкая. 
Подробные сведения собираются. 

Petya + Mischa

Petya + Mischa Ransomware

Petya & Mischa Ransomware

Aliases: Green Petya, Petya-2

(шифровальщик-вымогатель, MBR-модификатор)

Этот крипто-вымогатель является тандемом ранее известного крипто-вымогателя Petya и нового — Mischa. Именно Misha шифрует все файлы пользователей с помощью AES, а затем требует выкуп в 1,93380 BTC, чтобы вернуть файлы. Оригинальное название: Mischa Ransomware. 

© Генеалогия: Petya > Petya + Mischa (Petya-2) > GoldenEye, Petna, Bitch 

Обратите внимание на логотип крипто-вымогателя. 
RАИSОМЩАЯЗ - это RANSOMWARE, только с русскими и английскими буквами. Только теперь вместо PETYA написано MISCHA. 

Этимология названия Mischa: 
Братья-вымогатели получили название не от каких-то реальных Пети и Миши, а от киношных советских спутников, которые фигурируют в одном из фильмов об агенте 007 Джеймсе Бонде ("GoldenEye" или "Золотой глаз", 1995). В декабре 2016 появится новый вымогатель. получивший название из того фильма, это GoldenEye Ransomware. GoldenEye по фильму - это название советского космического оружия, частью которого и являются спутники-близнецы. Спутник Petya выходит на орбиту в первой половине фильма, а Mischa во второй половине, ближе к концу фильма. 
Примечательно, что по-английски имя Миша пишется как Misha, а по-немецки Mischa, но фильме на экране монитора указано именно Mischa, и именно так написано название вымогателя в оригинале. 
Порядковое название данной версии: Petya-2 или Petya 2.0

К зашифрованным файлам Mischa добавляет четырёхсимвольное расширение, т.е. .<random{4}>

Примеры расширений: 
.7GP3
.A3BN
.KJP8

Активность этого крипто-вымогателя пришлась на первую половину мая 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: YOUR_FILES_ARE_ENCRYPTED.TXT и YOUR_FILES_ARE_ENCRYPTED.HTML

Содержание записки о выкупе:
You became victim of the MISCHA RANSOMWARE!
The files on your computer have been encrypted with an military grade encryption algorithm. There is no way to restore your data without a special key. You can purchase this key on the darknet page shown in step 2.
To purchase your key and restore your data, please follow these three easy steps:
1. Download the Tor Browser at "https://www.torproject.org/". If you need help, please google for "access onion page".
2. Visit one of the following pages with the Tor Browser:
xxxx://mlschapuk6hyrn72.onion/7RP8fM
xxxx://mischa5xyix2mrhd.onion/7RP8fm
3. Enter your personal decryption code there:
17RP8fM*****

Перевод записки на русский язык:
Вы стали жертвой MISCHA RANSOMWARE!
Файлы на вашем компьютере были зашифрованы с помощью алгоритма шифрования военного класса. Невозможно восстановить данные без специального ключа. Вы можете приобрести этот ключ на странице тёмной сети, указанной на шаге 2.
Чтобы приобрести ключ и восстановить свои данные, выполните следующие три простых действия:
1. Загрузите Tor-браузер со страницы "https://www.torproject.org/".  Если вам нужна помощь, то погуглите для "доступа к onion-сайтам".
2. Посетите одну из следующих страниц с помощью Tor-браузера:
хххх://mlschapuk6hyrn72.onion/7RP8fM
хххх://mischa5xyix2mrhd.onion/7RP8fm
3. Введите ваш личный код дешифрования:
17RP8fM*****


Страницы Tor-сайта вымогателей:

Технические детали

Установщик Petya+Mischa распространяется через фишинговые email-рассылки (email-спам). Письма содержат ссылку на сервис облачного хранения данных, которая содержит фото претендента на работу и исполняемый файл, замаскированный под резюме в формате PDF. На самом деле это исполняемый файл PDFBewerbungsmappe.exe. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Когда жертва по неосторожности запускает этот файл, то сначала в системе пытается получить админ-права и установиться Petya, чтобы изменить MBR, а если это невозможно (потому что права пользователя ограничены или на запрос UAC он ответил "Нет"), то устанавливается шифровальщик Mischa, которому админ-права не нужны. 

Если же пользователь ответит "Да", то всё равно вредонос запустится и установит вредоносный модуль Petya для модификации MBR. Тогда всё произойдет, как ранее описано в статье Petya Ransomware, только на этот раз при загрузке компьютера будет показано стилизованное изображение черепа с костями на зелёно-чёрном фоне. Текст записки о выкупе будет написан зелёными буквами на чёрном фоне. 

Вредоносные действия Mischa Ransomware

При установке Mischa будет сканировать компьютер на наличие определённых файлов, которые будет шифровать с помощью AES-алгоритма, и добавлять к имени файла четырёхсимвольное расширение. Например, файл test.jpg может стать test.jpg.7GP3. Зашифрованный ключ дешифрования будет храниться в конце зашифрованного файла. 

Список файловых расширений, подвергающихся шифрованию Misha Ransomware:
.3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .a2c, .aa, .aa3, .aac, .accdb, .aepx, .ai, .aif, .amr, .ape, .apnx, .ari, .arw, .asf, .asp, .aspx, .asx, .avi, .azw, .azw1, .azw3, .azw4, .bak, .bat, .bay, .bin, .bmp, .camproj, .cat, .ccd, .cdi, .cdr, .cer, .cert, .cfg, .cgi, .class, .cmf, .cnf, .conf, .config, .cpp, .cr2, .crt, .crw, .crwl, .cs, .csv, .cue, .dash, .dat, .db, .dbf, .dcr, .dcu, .dds, .default, .der, .dfm, .directory, .disc, .dll, .dmg, .dng, .doc, .docm, .docx, .dtd, .dvd, .dwg, .dxf, .eip, .emf, .eml, .eps, .epub, .erf, .exe, .fff, .flv, .frm, .gfx, .gif, .gzip, .htm, .html, .ico, .idl, .iiq, .indd, .inf, .ini, .iso, .jar, .java, .jfif, .jge, .jpe, .jpeg, .jpg, .js, .json, .jsp, .k25, .kdc, .key, .ldf, .lib, .lit, .lnk, .localstorage, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mef, .mkv, .mobi, .mov, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpv2, .mrw, .msg, .mts, .mui, .myi, .nef, .nrg, .nri, .nrw, .number, .obj, .odb, .odc, .odf, .odm, .odp, .ods, .odt, .ogg, .orf, .ost, .p12, .p7b, .p7c, .pages, .pas, .pbk, .pdd, .pdf, .pef, .pem, .pfx, .php, .png, .po, .pps, .ppt, .pptm, .pptx, .prf, .props, .ps, .psd, .pspimage, .pst, .ptx, .pub, .py, .qt, .r3d, .ra, .raf, .ram, .rar, .raw, .result, .rll, .rm, .rpf, .rtf, .rw2, .rwl, .sql, .sqlite, .sqllite, .sr2, .srf, .srt, .srw, .svg, .swf, .tga, .tiff, .toast, .ts,.txt, .vbs, .vcd, .vlc, .vmdk, .vmx, .vob, .wav, .wb2, .wdb, .wma, .wmv, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xps, .xsl, .yml, .yuv, .zip (240 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Обратите внимание, что среди шифруемых файлов есть EXE-файлы. Это значит, что никакая программа не запустится, но и сама Windows уже не сможет загрузиться. Уплата выкупа бесполезна. 

Misha не шифрует файлы, находящиеся в директориях \Windows, \$Recycle.Bin, \Microsoft, \Mozilla Firefox, \Opera, \Internet Explorer, \Temp, \Local, \LocalLow и \Chrome, по-видимому это нужно, чтобы скрыть своё присутствие до некоторого времени.

Файлы, связанные с этим Ransomware:
YOUR_FILES_ARE_ENCRYPTED.HTML
YOUR_FILES_ARE_ENCRYPTED.TXT
PDFBewerbungsmappe.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Коллекция образцов Petya за всё время (см. вкладку "Родство") >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

💫💫💫

Примечание 1.
💀 Примечательно, что оба крипто-вымогателя получили "взрослые" имена Пётр и Михаил только в "Лаборатории Касперского": это Trojan-Ransom.Win32.Petr и Trojan-Ransom.Win32.Mikhail
У других антивирусов они в детекте просто Petya и Mischa. 🙆🙌

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Topic of Support
 Video review, Video review-2

 Thanks: 
 Lawrence Abrams
 CyberSecurity GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Shujin

Shujin Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует документы китайских пользователей, а затем требует 1 биткоин, чтобы вернуть файлы обратно. Другое название: KinCrypt. 

  Записка о выкупе "文件解密帮助.txt" (Help file decryption.txt) помещается на Рабочем столе C:\Users\MMD\Desktop\文件解密帮助.txt . Содержит информацию о том, что случилось с файлами, и подробную инструкцию о том, как вернуть эти файлы.

  Имеется предупреждение от вымогателей: 
Не используйте антивирусное ПО или другие инструменты для проверки ПК и восстановления зашифрованных файлов, потому что антивирус может удалить специальный зашифрованный файл, который нельзя будет восстановить. 

Содержимое инструкции для возврата файлов: 
- скачать и запустить китайскую версию TOR-браузера для подключение к onion-сайту;
- открыть специальный веб-сайт "eqlc75eumpb77ced.onion";
- скопировать машинный код из "Help file decryption.txt";
- отправить оператору вымогателя;
- получить Bitcoin-адрес для уплаты выкупа;
- добыть биткоины согласно инструкции;
- уплатить выкуп на данный Bitcoin-адрес;
- проверить состояние платежа;
- получить ссылку для загрузки декриптера Decrypt.exe;
- получить с его помощью ключ дешифрования;
- ввести этот ключ в специальное поле;
- нажать кнопку "Дешифровать мои файлы". 

 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Symantec: Ransom.Shujin >>
TrendMicro обзор >>

Степень распространённости: высокая. 
Подробные сведения собираются. 

Enigma

Enigma Ransomware

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот крипто-вымогатель шифрует данные с помощью алгоритма AES-128, а затем требует 0.4291 BTC (около $ 200 USD), чтобы вернуть файлы обратно. 

© Генеалогия: Enigma > Enigma 2

Ориентирован на русскоязычные страны, т.к. записка о выкупе написана на русском языке и веб-сайт для выкупа имеет русскоязычный интерфейс. 

Вымогатель Enigma удаляет теневые копии файлов командой:
vssadmin delete shadows / all / quiet

  Enigma Ransomware распространяется через HTML-вложения, содержащие всё необходимое для создания исполняемого файла, сохранения его на жёстком диске и запуска на выполнение. При открытии HTML- вложения запускается браузер и выполняет встроенный JavaScript, который создаёт автономный файл под названием "Свидетельство о регистрации частного предприятия.js".

  Запущенный пользователем скрипт создаёт исполняемый файл с именем 3b788cd6389faa6a3d14c17153f5ce86.exe , автоматически запускающийся на выполнение. Он создаётся из массива байтов, хранящихся в JavaScript-файле.

  После выполнения, исполняемый файл начинает шифрование данные на компьютере жертвы и добавляет к уже зашифрованным расширение .enigma . Например, файл test.jpg примет вид test.jpg.enigma .

 Когда процесс шифрования будет завершен, он выполнит файл %USERPROFILE%\Desktop\enigma.hta , служащий для показа записки о выкупе при каждой загрузке Windows. В нем написано о том, что случилось с файлами и дана ссылка на Tor-сайт для оплаты выкупа.

Содержимое записки о выкупе (на русском):
Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованы алгоритмом AES 128 (Advanced Encryption Standard — Википедия) с приватным ключём, который знаем только мы.
Зашифрованные файлы имеют расширение .ENIGMA. Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.
Если хотите получить файлы обратно:
1) Установите Tor Browser Tor Project: Anonymity Online
2) Найдите на рабочем столе ключ для доступа на сайт ENIGMA_(номер вашего ключа).RSA
3) Перейдите на сайт xxxx//f6lohswy737xq34e.onion в тор-браузере и авторизуйтесь с помощью ENIGMA_ (номер вашего ключа) .RSA
4) Следуйте инструкциям на сайте и скачайте дешифратор.
Если основной сайт будет недоступен попробуйте HTTP: xxxx//ohj63tmbsod42v3d.onion/

В процессе шифрования создаются следующие файлы:

%Temp%\testttt.txt - Файл отладки для решения вопроса с дескриптором и создания исполняемого файла вымогателя.

%AppData%\testStart.txt - Файл отладки, показывающий, что шифрование началось и было успешным.

%UserProfile%\Desktop\allfilefinds.dat - Список зашифрованных файлов.

%UserProfile%\Desktop\enigma.hta - Файл в автозагрузке Windows, служащий для показа записки о выкупе.

%UserProfile%\Desktop\ENIGMA_[id_number].RSA - Уникальный ключ, связанный с ПК жертвы, для входа на сайт оплаты.

%UserProfile%\Desktop\enigma_encr.txt - Текст записки о выкупе.

%UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe - Исполняемый файл вымогателя.

Для уплаты выкупа нужно открыть специальный TOR-сайт, созданный разработчиками-вымогателями. Его адрес находится в записке с требованием выкупа и требует загрузить файл ENIGMA_[id_number].RSA для входа в систему платежа.

Войдя в систему жертва увидит, сколько биткоинов нужно отправить в качестве выкупа, а также Bitcoin-адрес получателя. Этот сайт предлагает жертве расшифровать один файл бесплатно, чтобы доказать, что дешифровка действительно возможна.

Здесь также есть мини-чат поддержки, через который жертва может поговорить с разработчиками вредоноса. После поступления оплаты, будет показана ссылку для загрузки дешифратора.

Список файловых расширений, подвергающихся шифрованию файлов: 
.1cd, .2d, .3dc, .7z, .aes, .asm, .asp, .asp, .aspx, .avi, .bat, .bmp, .bz, .bz2, .bza, .bzip, .bzip2, .cad, .cd, .cdr, .cmd, .cpp, .crt, .csr, .csv, .czip, .dat, .dbf, .dif, .djv, .djvu, .doc, .docb, .docm, .docx, .dwg, .fla, .gif, .gz, .gz, .gz2, .gza, .gzi, .gzip, .hdoc, .html, .hwp, .java, .jpeg, .jpg, .key, .kwm, .lzma, .max, .mdb, .mdb, .mkv, .mml, .mov, .mpeg, .mpg, .MYD, .MYI, .odg, .odp, .ods, .odt, .odt, .otg, .otp, .ots, .ott, .pas, .pem, .php, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .pptx, .psd, .rar, .rtf, .rtf, .slk, .sln, .sql, .sqlite, .sqlite, .sqlite3, .sqlitedb, .sqx, .sqz, .srep, .stc, .std, .sti, .stw, .swf, .sxc, .sxi, .sxm, .sxw, .tar, .taz, .tbk, .tbz, .tbz2, .tg, .tgz, .tif, .tiff, .tlz, .tlzma, .tsk, .tx_, .txt, .txz, .tz, .uc2, .uot, .vbs, .vdi, .wks, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlsx, .xlt, .xltm, .xltx, .xlw, .xz, .zi, .zip, .zip, .zipx, .zix (151 расширение).

Список файловых расширений, подвергающихся удалению файлов: 
.aba, .abf, .abk, .acp, .as4, .asd, .ashbak, .asvx, .ate, .ati, .bac, .bak, .bak, .bak~, .bak2, .bak3, .bakx, .bbb, .bbz, .bck, .bckp, .bcm, .bk1, .bk1, .bkc, .bkf, .bkp, .bks, .blend1, .blend2, .bm3, .bpa, .bpb, .bpm, .bpn, .bps, .bup, .bup, .cbk, .cbu, .ck9, .crds, .da0, .dash, .dba, .dbk, .diy, .dna, .dov, .fbc, .fbf, .fbk, .fbk, .fbu, .fbw, .fh, .fhf, .flka, .flkb, .fpsx, .ftmb, .ful, .fza, .gb1, .gb2, .gbp, .gho, .ghs, .icf, .ipd, .iv2i, .jbk, .jdc, .kb2, .lcb, .llx, .mbk, .mbw, .mddata, .mdinfo, .mem, .mig, .mpb, .mv_, .nb7, .nba, .nbak, .nbd, .nbd, .nbf, .nbf, .nbi, .nbk, .nbs, .nbu, .nco, .nfb, .nfc, .npf, .nps, .nrbak, .nrs, .nwbak, .obk, .oeb, .old, .onepkg, .ori, .orig, .paq, .pbb, .pbj, .qba, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbx, .qic, .qsf, .rbc, .rbf, .rbk, .rbs, .rdb, .rgmb, .rmbak, .rrr, .sbb, .sbs, .sbu, .skb, .sn1, .sn2, .sna, .sns, .spf, .spg, .spi, .srr, .stg, .sv$, .sv2i, .tbk, .tdb, .tig, .tis, .tlg, .tlg, .tmr, .trn, .ttbk, .uci, .v2i, .vbk, .vbm, .vpcbackup, .vrb, .wbb, .wbcat, .win, .win, .wjf, .wpb, .wspak, .xlk, .yrcbck (168 расширений).

Файлы связанные с Enigma Ransomware:
%Temp%\testttt.txt
%Temp%\b815_appcompat.txt

%AppData%\testStart.txt
%UserProfile%\Desktop\allfilefinds.dat
%UserProfile%\Desktop\enigma.hta
%UserProfile%\Desktop\ENIGMA_807.RSA или ENIGMA_682.RSA - содержит ключ шифрования
%UserProfile%\Desktop\enigma_encr.txt
%UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe

Записи реестра связанные с Enigma Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgram 3b788cd6389faa6a3d14c17153f5ce86.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
MyProgramOk = %Desktop%\enigma.hta
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgramOk %UserProfile%\Desktop\enigma.hta

Сетевые подключения и связи:
xxxx//f6lohswy737xq34e.onion
xxxx//ohj63tmbsod42v3d.onion/

Read to links:
Topic on BC

Write-up

CryptoHitman

CryptoHitman Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: CryptoHitman. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Jigsaw > CryptoHitman

Этимология названия: 
CryptoHitman использует персонаж Hitman из популярных видео-игр и фильмов. Изображение киллера дополняет экран блокировки с порнографическими изображениями.  

К зашифрованным файлам добавляются расширения .porno или .pornoransom

Активность этого крипто-вымогателя пришлась на начало мая 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your files have been encrypted. We will delete files every hour.
Ransom / Recompensa ID: 10958847
You must pay $150 USD in Bitcoins to the address specified below.
Depending on the amount of files you have your Ransom can double to $300
If you dont pay within 36 hours.
Take a picture of the BTC address, Ransom ID and contact email.
We will delete files everyhour until you pay!
If you do not have Bitcoins visit www.localbitcoins.com to purchase.
Your payment BTC Address is 19a93M9JGX377yfVzWBs4abcUpwLfXsvE
Everytime you restart your computer it recrypts everything. It will take a while for you to see the this screen again. Take a photo in case you want to contact us.
Every time you restart the computer you run the risk of damaging the hard drive.
Questions - email us: cryptohitman@yandex.com

Перевод записки на русский язык:
Ваши файлы были зашифрованы. Мы будем удалять файлы каждый час.
Ransom / Recompensa ID: 10958847
Вы должны заплатить $150 США в биткоинах по указанному ниже адресу.
В зависимости от количества ваших файлов, вы можете удвоить сумму до $300 США, если вы не платите в течение 36 часов.
Сделайте снимок адреса BTC, Ransom ID и контактного email.
Мы будем удалять файлы каждый час, пока вы не заплатите!
Если у вас нет биткоинов, посетите сайт www.localbitcoins.com для покупки.
Ваш платёжный BTC-адрес - 19a93M9JGX377yfVzWBs4abcUpwLfXsvE
Каждый раз, когда вы перезагружаете компьютер, он переписывает все. Вам понадобится время, чтобы снова увидеть этот экран. Сделайте снимок, если вы хотите связаться с нами.
Каждый раз, когда вы перезагружаете компьютер, вы рискуете повредить жесткий диск.
Вопросы - напишите нам: cryptohitman@yandex.com

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Как и Jigsaw этот шифровальщик-вымогатель тоже удаляет файлы при каждом запуске Windows, при перезапуске процесса вымогателя и когда таймер досчитает до нуля.

Основные отличия CryptoHitman от Jigsaw:
- использование порнографического экрана;
- использование игрового персонажа Hitman;
- использование расширений .porno и .pornoramsom;
- новые имена исполняемых файлов вымогателя.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
папка \Suerdf\ и файл suerdf.exe
папка \Mogfh\ и файл mogfh.exe
папки \System32Work\ и \dr\
Address.txt
EncryptedFileList.txt

Расположения:
%LocalAppData%\Suerdf\
%LocalAppData%\Suerdf\suerdf.exe
%AppData%\Mogfh\
%AppData%\Mogfh\mogfh.exe
%AppData%\System32Work\
%AppData%\System32Work\Address.txt
%AppData%\System32Work\dr
%AppData%\System32Work\EncryptedFileList.txt

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\mogfh.exe    %AppData%\Mogfh\mogfh.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cryptohitman@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать JigsawDecrypter для дешифровки >>

Для расшифровки файлов по горячим следам сначала нужно прекратить процессы 
%LocalAppData%\Suerdf\suerdf.exe и %AppData%\Mogfh\mogfh.exe в диспетчере задач. 
Затем нужно запустить MSConfig и отключить автозапуск для этих исполняемых файлов.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoHitman)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.