CrySiS

CrySiS Ransomware

(шифровальщик-вымогатель) 

Translation into English

  Этот крипто-вымогатель шифрует данные с помощью алгоритма Rijndael (AES-256), а затем требует от 2.5 до 3 биткоинов (до 900 евро) за расшифровку. Уплатить выкуп необходимо в течении 48 часов. CrySiS  создан и распространялся из Украины. Программным приемником CrySiS Ransomware является вымогательский проект Dharma Ransomware и некоторые другие. 

Изображение - это логотип статьи

© Генеалогия: CrySiS > Crysis XTBL, Dharma, Phobos

Этимология названия:
Название получил от Crysis — популярная компьютерная игра, научно-фантастический шутер от первого лица, разработанный немецкой компанией Crytek и изданный Electronic Arts в 2007 году.  

Зашифрованные файлы получают расширение .CrySis, которое дополняется email-адресом вымогателей. Данный приём позже стал довольно популярным среди вымогателей. По данным СМИ CrySiS вместе с "продолжением" Crysis XTBL занял девятую позицию в топ-10 вымогателей 2016 года. Жертвами шифровальщика в основном стали жители России, Японии, Южной Кореи, Бразилии и других стран. 

Пример зашифрованного файла: 
desktop.ini.{dalailama2015@protonmail.ch}.CrySiS

Записка с требованием выкупа называется: How to decrypt your files.txt

Содержание записки о выкупе:
Attention! Your computer was attacked by virus-encoder.
All your files are encrypted cryptographically strong, without the original key recovery is impossible!To get the decoder and the original key, you need to to write us at the email: dalailama2015@protonmail.ch with the subject "encryption" stating your id.
Write in the case, do not waste your and our time on empty threats.
Responses to letters only appropriate people are not adequate ignore.
P.S. only in case you do not receive a response from the first email address within 48 hours please use this alternative email goldmanO@india.com

Перевод текста на русский язык:
Внимание! На ваш компьютер атаковал вирус-энкодер.
Все ваши файлы зашифрованы криптографически сильно, без оригинального ключа восстановление невозможно! Чтобы получить декодер и оригинальный ключ, вам нужно написать нам на email: dalailama2015@protonmail.ch с темой "шифрование" с указанием вашего идентификатора.
Напишите в случае, не тратьте свое и наше время на пустые угрозы.
Ответы на письма только подходящим людям неадекваты игнорируются.
P.S. только в том случае, если вы не получите ответ с первого email-адреса в течение 48 часов, пожалуйста, используйте этот альтернативный email goldmanO@india.com

Некоторые версии Crysis устанавливают своё изображение (wp.jpg или DECRYPT.jpg) в качестве обоев рабочего стола файл с тем же содержанием. 

Обои, установленные вымогателем

Текстовое сообщение вымогателя

Список файловых расширений, подвергающихся шифрованию:
Криптовымогатель шифрует ВСЕ файлы, которые не являются частью операционной системы и не находятся в критически важных папках, нужных для работы, что затрудняет возможности их восстановления. 

Файлы, принадлежащие вымогателю:
C:\Users\User\Desktop\name.exe
C:\Users\User\AppData\Local\name.exe
C:\Windows\System32\name.exe
C:\Users\User\Documents\wp.jpg или DECRYPT.jpg
C:\Users\User\Desktop\How to decrypt your data.txt
C:\Users\Name\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg

CrySis прописывается в реестре, чтобы запускаться при каждом старте системы:
» HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKCU\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\System Service
» HKLM\\Control Panel\\Desktop

Известные email вымогателей: 
dalailama2015@protonmail.ch
goldman0@india.com
и другие.

Степень распространённости: высокая. 
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

JohnyCryptor Ransomware
CrySiS Ransomware
Crysis XTBL Ransomware
Dharma Ransomware

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщики! 
*
1) Скачать RakhniDecryptor для CrySiS >>
2) Скачать Avast Decryptor для CrySiS >>
3) Скачать ESET Crysis decryptor для CrySiS >>
*

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CrySiS)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

AxCrypter

AxCrypter Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует файлы с помощью AES-шифрования, используя возможности легитимной утилиты Axantum AxCrypt, и затем требует выкуп в размере $2500 или равнозначно в биткоинах, чтобы вернуть файлы обратно. 

© Генеалогия: EDA2 >> Memekap ⟺ Magic > AxCrypter 

К зашифрованным файлам добавляется расширение .axx. 
Завершив шифрование вымогатель удаляет теневые копии файлов. 

Часть текста из записки о выкупе:
I encrypt some data that I believe are important to your system.
Only your server to encrypt your data so you can bring me back again,
* .axx Extension with its own place in your home directory or disk "reserves" named
After you hide the folder, it will not be brought back to delete data by writing over the original.
If your data again working my way wish to install on your server Eders new me
Please contact via e-mail. Create your ip necessarily the subject of the e-mail you write.
I demand from you to your system cost $ 2,500. If we agree on,
I will send the necessary information in order to transfer you the money gönfer.
control the delivery of a currency that you sent me (at the latest half an hour) then your system 
I made it to connect older.
...

Перевод текст на русский язык (ужасный английский):
Я зашифровал некоторые данные, которые, как я считаю, важны для вашей системы.
Только на вашем сервере зашифрованы ваши данные, чтобы вы могли вернуть файлы в *.axx расширением из вашего домашнего каталога или "резервного" диска 
После того, как вы скроете папку, она не будет возвращена, чтобы удалить данные, написав оригинал.
Если ваши данные снова работают по моему желанию, установите на свой сервер Eders новый мне
Пожалуйста, свяжитесь с нами по email. Создайте свой ip обязательно в теме email-письма, которое вы напишете.
Я требую от вас за вашу систему сумму в 2500 долларов. Если согласны,
я пришлю необходимую информацию, куда вам передать деньги gönfer.
контролируйте доставку валюты, которую вы отправили мне (не позднее получаса), тогда ваша система
Я сделал это для подключения позже.

  Вымогательская записка довольно длинная, текст путаный, несвязный, есть турецкие слова в тексте записки (Eders, gönfer), что может указывать на турецкоязычного автора. Из полного текста записки явствует, что криптовымогатель осуществляет таргетированную атаку серверов организаций. 

Технические детали

Нет данных о массовом распространении. Скорее всего шифрование осуществляется после проникновения через незащищенную конфигурацию RDP.

➤ Я обнаружил взаимосвязь AxCrypter с Magic Ransomware из их записки о выкупе. 

Степень распространённости: единичные случаи. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles. 

Bloccato

Bloccato (Italian) Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные с помощью AES-256 и требует 5 биткойнов ($2000) за расшифровку. Причем, эта сумма выкупа, уплаченного в течении 3 дней, после шифрования, потом будет уже 10 битоинов и еще 3 суток на уплату, после чего ключ дешифрования будет уничтожен. Вымогатели обещают прислать ключ в течении 3 суток после уплаты выкупа. Файлы, зашифрованные с помощью Bloccato, получают расширение .bloccato. 

© Генеалогия: Hidden Tear >> Bloccato (Italian)

Криптовымогатель ориентирован на итальянских пользователей, т.к. название записки о выкупе и текст написаны на итальянском языке. Слово bloccato переводится с итальянского как "блокирован". 

  Распространяется с помощью email-спама со ссылками на вредоносные сайты, через вредоносные вложения в фишинг-письма и сети общего доступа. 

  Записка с требованием выкупа и с инструкциями для уплаты выкупа LEGGI QUESTO FILE.txt  добавляется на Рабочий стол и в каждую папку с зашифрованными файлами. 

Содержание записки о выкупе:

EGREGIO AMICO, I SUOI FILES SONO STATI CRIPTATI CON UN ALGORITMO AD ELEVATA CIFRATURA

LA CHIAVE PER RIPRISTINARE I SUOI FILES È STATA MEMORIZZATA SU UN NOSTRO SERVER SEGRETO\nPER AVERLA DOVRÀ PAGARE CON 5 BITCOIN ENTRO MASSIMO 3 GIORNI

QUALORA NON DOVESSE PAGARE ENTRO I TERMINI SPECIFICATI, IL COSTO DELLA CHIAVE SALIRÀ AUTOMATICAMENTE A 10 BITCOIN

E AVRÀ SOLO ALTRE 72 ORE DI TEMPO PER PAGARE.

SE RIFIUTA DI PAGARE LA CHIAVE VERRÀ DISTRUTTA DEFINITIVAMENTE

MEDESIMO DESTINO SE PROVERÀ A RIMUOVERE O A ELIMINARE QUESTO PROGRAMMA

PER SAPERE COME FARE AD EFFETTUARE IL PAGAMENTO IN BITCOIN VADA SU QUESTO SITO: WWW.COMPRABITCOIN.IT O SU WWW.BITCOIN.ORG/IT O BISTAMP.NET

SE RISCONTRASSE DIFFICOLTÀ LA INVITO A RIVOLGERSI AD UN ESPERTO INFORMATICO PER FARSI AIUTARE

QUESTO È L'INDIRIZZO BITCOIN A CUI INVIARE IL DENARO: 1FVGnjjRNg8k7RgXMsvQpVdeRyJtHsXV6T

ENTRO 72 ORE DAL RICEVIMENTO DEL PAGAMENTO LE INVIEREMO IL CODICE,

E TUTTE LE INFORMAZIONI UTILI ALLO SBLOCCO DI TUTTI I SUOI FILES.

CERTO DI UN SUO FAVOREVOLE RISCONTRO LE PORGO I MIEI PIÙ CORDIALI SALUTI

Список файловых расширений, подвергающихся шифрованию:

.avi, .csv, .dbf, .dif, .doc, .docx, .dwg, .dxf, .eps, .fm3, .html, .jpeg, .jpg, .mdb, .mov, .odt, .pdf, .png, .pps, .ppt, .pptx, .psd, .rar .rtf, .sql, .txt, .wks, .xls, .xlsx, .xml, .zip

Файлы, принадлежащие вымогателю:

mateo-renzi.exe - исполняемый файл, названный так по имени премьер-министра Италии Матео Ренци;

LEGGI QUESTO FILE.txt  - записка о выкупе, переводится как "Прочтите этот файл".

Степень распространённости: низкая. 

Подробные сведения собираются.

Zyklon Locker

Zyklon Locker Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель создает вредоносные файлы в ключевых папках Windows, использует их для шифрования файлов пользователя, а затем требует 250 евро за расшифровку. Файлы, создаваемые этим вредоносом могут быть следующих типов: .dll, .exe, .js, .cmd, .bat, .vbs. Файлы, зашифрованные с помощью Zyklon Locker, получают расширение .zyklon. Закончив шифрование, Zyklon удаляет тома теневых копий файлов. Название Zyklon переводится с английского как "циклон". 

  Генеалогия: GNL Locker > Zyklon Locker

  Распространяется с помощью email-спама со ссылками на вредоносные сайты, DB-загрузок, через вредоносные вложения в фишинг-письма, с помощью фальшивых исполняемых файлов популярных программ, через поддельные Java или флэш-обновления и сети общего доступа. 

  Записки с требованием выкупа и с инструкциями для уплаты выкупа UNLOCK_FILES_README.html и UNLOCK_FILES_README.txt добавляются на Рабочий стол и в каждую папку с зашифрованными файлами. 

 По некоторым данным, Zyklon — это модификация уже известного GNL Locker, созданного для Германии и Нидерландов, только получившая новое расширение и название записок о выкупе. Информация проверяется. 

Список файловых расширений, подвергающихся шифрованию:
.3d, .3dm, .3ds, .3g2, .3gp, .7z, .accdb, .ai, .aif, .apk, .app, .asf, .asp, .aspx, .avi, .bat, .bin, .bmp, .cab, .cad, .cbr, .cer, .cfg, .cfm, .cgi, .com, .cpl, .crx, .csr, .css, .csv, .cue, .cur, .dat, .db, .dbf, .dds, .deb, .dem, .deskthemepack, .dll, .dmg, .dmp, .doc, .docx, .drv, .dwg, .dxf, .eps, .exe, .flv, .fnt, .fon, .gadget, .gam, .ged, .gif, .gis, .gpx, .gz, .hqx, .htm, .html, .icns, .ico, .iff, .indd, .ini, .iso, .jar, .jpg, .js, .jsp, .key, .keychain, .kml, .kmz, .lnk, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .nes, .obj, .odt, .otf, .pages, .pct, .pdb, .pdf, .php, .pif, .pkg, .plugin, .png, .pps, .ppt, .pptx, .prf, .ps, .psd, .pspimage, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sitx, .sql, .srt, .svg, .swf, .sys, .tar, .tar.gz, .tax2014, .tax2015, .tex, .tga, .thm, .tif, .tiff, .toast, .ttf, .txt, .uue, .vcd,  .vcf, .vob, .wav, .wma, .wmv,  .wpd, .wps, .wsf, .xhtml, .xlr, .xls, .xlsx, .xml, .yuv, .zip, .zipx (157 расширений). 

Это документы MS Office, OpenOffice, файлы изображений, аудио-видео, CAD-файлы, зашифрованные легитимными программами файлы, CAD-файлы, образы, проекты, файлы других прикладных программ. 

Zyklon добавляется в автозагрузку системы, изменив одну из следующих записей реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Файлы, принадлежащие вымогателю:
Zyklon.exe - исполняемый файл;
UNLOCK_FILES_README.html - записка о выкупе в HTML-формате;
UNLOCK_FILES_README.txt - записка о выкупе в TXT-формате. 

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles. 

SNSLocker

SNSLocker Ransomware

(шифровальщик-вымогатель)

  Этот криптовымогатель шифрует данные с помощью алгоритма AES-256 и требует 0,66 биткойнов ($300) за расшифровку. Файлы, зашифрованные с помощью SNSLocker, получают расширение .RSNSLocked. В названии расширения сокращено название криптовымогателя — Ransomware SNSLocked. Создатель крипто-вымогателя: Saad Nabil Soufyane. Отсюда его аббревиатура SNS. 

© Генеалогия: EDA2 >> SNSLocker

Написан на .Net Framework 2.0, с популярными библиотеками Newtonsoft.Json и MetroFramework UI. 

  Записка с требованием выкупа и с инструкциями для уплаты выкупа устанавливается в качестве обоев Рабочего стола ПК и показывается как уведомления при загрузке системы. В качестве вымогательских обоев, видимо, используется набор картинок, т.е. у разных пострадавших они могут быть разные. Их цель — шокировать жертву и ускорить уплату выкупа.  

 

  Распространяется SNSLocker с помощью email-спама, фишинг-рассылок, эксплойтов на зараженных сайтах, с помощью сетей общего доступа, в том числе с помощью кейгенов, активаторов и краков, а также как отдельные файлы SNSLocker.exe и SNSLOcker2.exe

Адрес C&C-сервера базируется в Германии и после того, как SNSLocker подключается к нему, то посылает следующую информацию с зараженного ПК:
- ID машины жертвы (8 символов, например, yas9yc92);
- имя компьютера;
- имя пользователя;
- публичный IP-адрес;
- MAC-адрес;
- дата шифрования.

Закончив шифрование файлов SNSLocker открывает окно-записку с требованием выкупа и инструкцией для расшифровки файлов, а также сообщает жертве присвоенный ID машины. 

 

Список файловых расширений, подвергающихся шифрованию:
 .1pa, .3dm, .3g2, .3gp, .aaf, .aep, .aepx, .aet, .aif, .als, .as3, .asf, .asx, .avi, .bik, .bmp, .bps, .c, .cal, .cdr, .cdt, .cdx, .cgn, .cis, .clk, .cmx, .cnt, .cpp, .cpt, .cpx, .cs, .csl, .csv, .cur, .die, .db, .dbf, .der, .dies, .doc, .docb, .docm, .docx, .dotm, .dotx, .drw, .ds4, .dsf, .dwg, .dxf, .efx, .eps, .fim, .fla, .flv, .fmv, .fpx, .fx0, .fx1, .fxr, .gem, .gif, .glas, .h, .höchste, .icbm, .idml, .iff, .iif , .img, .indb, .indd, .indl, .indt, .inx, .iso, .java, .jpeg, .jpg, .js, .klasse, .klopfen, .lgb, .m3u, .m3u8, .m4u, .mac, .max, .mdb, .met, .mitte, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .mx0, .nap, natter, .nd, .obdachlos, .out, .pcd, .pct, .pcx, .pdf, .pfb, .php, .pic, .plb, .plt, .pmd, .png, .pot, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prn, .prproj, .ps, .psd, .psp, .ptb, .punkt, .py, .qbb, .qbi, .qbm, .qbo, .qbp, .qbw, .qbx, .qby, .qpd, .qsm, .qss, .qst, .qwc, .rar, .raw, .roh, .rb, .rif, .rtf, .rtp, .sct, .ses, .set, .shw, .sldm, .sldx, .sql, .svg, .swf, .tga, .tif, .tiff, .tlg, .ttf, .txt, .v30, .vcf, .vob, .vsd, .wanderwege, .wav, .webm, .wi, .wk3, .wk4, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .xcf, .xla, .xlam, .xii, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .zu (204 расширения). 
В список расширений у некоторых исследователей вкрались повторы одних и тех же расширений. Я убрал повторы и пересчитал количество расширений. Их оказалось не 229, а 204. Список перед вами. 

Примечательно, что если размер файла больше, чем нужно шифровальщику по умолчанию, то используются функции SplitFileBasedOnSize и SizeSplit, призванные разбить файл на равные части, которым добавляется расширение .RSplited. Вероятно, что потом файл всё-таки шифруется, перезаписывается и расширение заменяется на .RSNSlocked. 


По данным TrendMicro вымогатель атаковал пользователей по всему миру, отдавая предпочтение жертвам из США, среди которых и оказалось больше всего пострадавших.

Еще примечательно, что создатели SNSLocker забыли удалить из кода информацию о собственном сервере. Видимо, в целях сэкономии, они вместо выделенного сервера держали свой управляющий сервер у провайдера бесплатного виртуального хостинга, который оперативно отреагировал на запрос экспертов Trend Micro и заблокировал источник вредоносов. Также оператор SNSLocker использовал легитимный шлюз для приема платежей. Пока командный сервер еще работал, исследователи воспользовались учетными данными из кода SNSLocker и получили доступ к панели управления шифровальщиком, в том числе ко всей статистике и ключам дешифрования. 

Исполняемый файл, чтобы не быть замеченным, может менять имя:
[random_name].exe
ransomware.exe
svchost.exe
notepad.exe
Your Confirmation.exe
Receipt.exe

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Сетевые подключения:
хттп://saad.eu5.org/getinfo.php (C&C)
хттпs://i.imgur.com/VRJBpep.jpg (загружаемая картинка)

Степень распространённости: высокая.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC
 ID Ransomware
 TrendMicro blog (added much later)
 *

 Thanks: 
 Lawrence Abrams of BC
 Michael Gillespie
 *
 *
 

777, Seven Legion

777 Ransomware

Legion (Seven Legion) Ransomware

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 

По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 

См. также статьи УК РФ: 

ст. 272 "Неправомерный доступ к компьютерной информации" 

ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот крипто-вымогатель шифрует файлы, используя алгоритм XOR или аналог, а затем требует выкуп $800 в Bitcoins, чтобы вернуть файлы сегодня, и $1000 — завтра утром. Название дано по добавляемому расширению, другие названия: Sevleg или Seven legion. 

  К зашифрованным файлам добавляется расширение .777 или .legion, а его имя модифицируется согласно установленной схеме: 
FileName.[nativefiletype]_[timestamp]_$[emailtocontact]$.777
Имя файла.[расширение]_[число-месяц-год-время]_$[email для связи]$.777

  Таким образом файл Sales_May_2016.xls в зашифрованном виде принимает вид 
Sales_May_2016.xls_18-05-2016-08-32-40_$seven_legion@india.com$.777

  Если шифрование было прервано, то у пострадавших могло не оказаться записки с требованием выкупа. 

  Примечательно, что вредонос (или его прототип) известен в дикой природе с сентября 2015 г.  

  Сейчас пострадавшие получили записку о выкупе Read_this_file.txt:
FOR DECRYPT FILES
SEND ONE FILE IN E-MAIL
kaligula.caesar@aol.com

или 
FOR DECRYPT FILES
SEND ONE FILE IN E-MAIL
ninja.gaiver@aol.com

Замеченные email вымогателей: 
ninja.gaiver@aol.com
kaligula.caesar@aol.com
seven_legion@india.com

  Список файловых расширений, подвергающихся шифрованию: 
.1cd, .3ds, .3gp, .4db, .4dd, .7z, .7zip, .a3d, .abf, .accdb, .accdt, .aep, .aes, .ai, .alk, .arj, .asm, .avi, .axx, .bak, .bpw, .cdr, .cdx, .cer, .cpt, .crp, .crt, .csv, .db, .db3, .dbf, .dbx, .der, .doc, .docm, .docx, .dot, .dotm, .dotx, .drc, .dwfx, .dwg, .dwk, .dxf, .eml, .enz, .fbf, .fbk, .fbw, .fbx, .fdb, .flk, .flka, .flkb, .flkw, .flwa, .gbk, .gdb, .gho, .gpg, .gxk, .gzip, .hid, .hid2, .idx, .ifx, .iso, .iv2i, .jpeg, .jpg, .k2p, .kdb, .kdbx, .key, .keystore, .ksd, .ldf, .m2v, .m3d, .max, .mdb, .mdf, .mkv, .mov, .mp3, .mpd, .mpeg, .mpp, .myo, .nba, .nbd, .nbf, .nrw, .nsf, .nv2, .nx1, .odb, .odc, .odp, .ods, .odt, .ofx, .old, .orf, .ost, .p12, .pdb, .pdf, .pef, .pfx, .pgp, .ppj, .pps, .ppsx, .ppt, .pptm, .pptx, .prproj, .psd, .pst, .psw, .ptx, .pz3, .qba, .qbb, .qbo, .qbw, .qfx, .qic, .qif, .r3d, .rar, .raw, .rfp, .rpt, .rsa, .rtf, .rwl, .rx2, .saj, .sbs, .sdc, .sdf, .sef, .sko, .sldasm, .sldprt, .sn1, .sna, .spf, .sql, .sqlite, .sr2, .srf, .srw, .sxc, .tar, .tax, .tbl, .tc, .tib, .tis, .txt, .wdb, .wps, .x3f, .xbrl, .xls, .xlsm, .xlsx, .xml, .zip (172 расширения).

Список игнорируемых расширений:
dll, exe, msi, 777 (зашифрованные). 

Файлы размером меньше 100 байт тоже игнорируются.

Вредонос изменяет системные файлы, удаляет или портит теневые копии, шифрует файлы не только на локальных, но и на сетевых дисках. 

Степень распространённости: относительно низкая.
Подробные сведения собираются. 

Внимание!!! 

Для зашифрованных файлов есть декриптер.

Скачать декриптер для 777 >>

GhostCrypt

GhostCrypt Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует файлы, используя алгоритм AES-256, а затем требует 2 Bitcoins, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .Z81928819. 

© Генеалогия: Hidden Tear >> GhostCrypt

GhostCrypt cоздан на основе криптоконструктора HiddenTear. 

  Записка о выкупе READ_THIS_FILE.txt размещается на Рабочем столе. 

Перевод записки на русский язык:
Файлы были зашифрованы с помощью CryptoLocker.
Для того, чтобы расшифровать и получить обратно ваши файлы, надо заплатить 2 BTC (Bitcoin).
Вы должны сделать следующие шаги:
1. Android-пользователи должны загрузить приложение Bitcoin Wallet. iOS-пользователи должны загрузить приложение под названием Copay.
2. После регистрации и получения аккаунта Bitcoin, вы должны купить 2 BTC (Bitcoins) и загрузить в свой аккаунт.
3. Вы должны отправить эти Bitcoins на один из следующих счетов.
Аккаунты:
1. 19YWTHeSf1c4a2j1YNPTb3VCJn5ee21GRX
2. 1546jBPBRnR4NVrCZzVm7NtaH8FMQEy9mQ
После получения оплаты вам будет выдан ключ дешифрования и ваши файлы будут расшифрованы.
Для дополнительной информации посетите: https://goo.gl/wDhp4J

Примечательно, что ссылка ведет на итальянский раздел Bitcoin-вики. 

  Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .avi, .bk, .bmp, .css, .csv, .divx, .doc, .docx, .eml, .htm, .html, .index, .jpeg, .jpg, lnk , .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .msg, .odt, .ogg .pdf, .php, .png, .ppt, PPTX, psd, .rar, .sln , .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip

Степень распространённости: низкая.
Подробные сведения собираются. 

Внимание!!! 

Для зашифрованных файлов есть декриптер. 

Скачать. 

SeginChile

SeginChile Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует файлы, используя алгоритм AES-256, а затем предлагает ввести полученный идентификатор и расшифровать файлы бесплатно. Создан на основе крипто-конструктора EDA2. 

© Генеалогия: EDA2 >> SeginChile

К зашифрованным файлам добавляется расширение .seginchile

Записки о выкупе, написанные на испанском языке, создаются в текстовом и html-вариантах — instrucciones.html и instrucciones.txt, и сохраняются на Рабочем столе. 

HTML-вариант записки о выкупе

TXT-вариант записки о выкупе

Перевод записки на русский язык: 
Инструкции
• Откройте https://victima.hackinq.cl
• Введите идентификатор, который вам предоставили ниже
• Скачайте дешифровщик
• Сгенерированный ключ дешифрования введите в дешифровщик
• Уникальный идентификатор: [*************]

Вымогатели предлагают свои жертвам посетить сайт Victima.hacking.cl, ввести полученный идентификатор и дешифровать файлы. Бесплатно. 

В качестве обоев Рабочего стола ставится следующее изображение

Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd.sln, .sql, .txt, .xls, .xlsx, .xml

Степень распространённости: средняя.
Подробные сведения собираются. 

BuyUnlockCode

BuyUnlockCode Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует файлы с помощью алгоритма шифрования RSA-1024, а затем требует выкуп — приобретение уникального ключа разблокировки. Сначала файлы шифруются с помощью AES-шифрования, а затем AES-ключ шифруется с помощью RSA-ключа. К зашифрованным файлам прибавляется расширение .encoded.<unique id> . Например, файл example.txt примет вид example.txt.encoded.JS8521121, где буквенно-цифровой код в конце файла и будет уникальным идентификатором - ID. Можно представить также в виде схемы (.*).encoded.([A-Z0-9]{9}) . 

  Распространяется через троянские программы и фальшивые обновления программного обеспечения. Тома теневых копий файлов не удаляются. 

  Когда шифровальщик закончит шифрование файлов, то показывает по пострадавшему пользователю записку о выкупе BUYUNLOCKCODE.txt, располагающуюся по адресу: C:\Users\User\AppData\Roaming\SunDevPackUpdate\BUYUNLOCKCODE.txt  
А также изменяет обои Рабочего стола на следующее изображение.

Обои вымогателя

Записка о выкупе

Содержание записки о выкупе:

Hi, your ID = JSOXXXXXXXX

All important files were encoded with RSA-1024 encryption algorithm.

There is the only way to restore them - purchase the unique unlock code.

Warning! Any attempt to recovering files without our "Special program" will cause data damage or complete data loss.

As we receive your payment, we will send special program and your unique code to unlock your system.

Guarantee: You can send one of the encrypted file by email and we decode it for free as proof of our abilities.

No sense to contact the police. Your payment must be made to the e-wallet. It's impossible to trace.

Don`t waste your and our time.

So, if you are ready to pay for recovering your files, please reply this email ChiuKhan@tom.com

Then we will send payment instructions.

В записке указаны email-адреса: 

nick.jameson@expressmail.dk

ChiuKhan@tom.com

  Список файловых расширений, подвергающихся шифрованию: 
.crt, .xls, .docx, .doc, .cer, .key, .pem, .pgp, .der, .rtf, .xlsm, .xlsx, .xlsb, .txt, .xlc, .docm, .ptb, .qbb, .qbw, .qba, .qbm, .xlk,.dbf, .mdb, .mdf, .mde, .accdb, .text, .jpg, .jpeg, .ppt, .pdf, .cdx, .cdr, .bpg, .vbp, .php, .css, .dbx, .dbt, .arw, .dwg, .dxf, .dxg, .eps, .indd, .odb, .odm, .nrw, .ods, .odp, .odt, .orf, .pdd, .pfx, .kdc, .nef, .mef, .mrw, .crw, .dng, .raf, .psd, .rwl, .srf, .srw,.wpd, .odc, .sql, .pab, .vsd, .xsf, .pps, .wps, .pptm, .pptx, .pst, .zip, .tar, .rar

  Файлы связанные с BuyUnlockCode Ransomware: 
%AppData%\SunDevPackUpdate\
%AppData%\SunDevPackUpdate\BUYUNLOCKCODE.txt
%AppData%\SunDevPackUpdate\pbinfoset.sww
%AppData%\SunDevPackUpdate\wallpp.bmp

  Записи реестра связанные с BuyUnlockCode Ransomware: 
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\bcdel   cmd.exe /c del "%AppData%\SunDevPackUpdate\<random>.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\oldex   cmd.exe /c del "path-to-installer\installer.exe"
HKCU\Control Panel\Desktop\Wallpaper   "%AppData%\SunDevPackUpdate\wallpp.bmp"


Степень распространённости: не определена.
Подробные сведения собираются. 

8lock8

8lock8 Ransomware

   Этот криптовымогатель шифрует файлы с с помощью алгоритма AES-256. К зашифрованным файлам добавляется расширение .8lock8

© Генеалогия: Hidden Tear >> 8lock8

  Записка о выкупе READ_IT.txt написана на английском и русском. Размещается на Рабочем столе и в корне каждого диска. Примечательно, что в записке имеются email-адреса, которые указывают на Индию и Индонезию. 

Контакты из записки:

d1d81238@tuta.io

d1d81238@india.com

   Распространяется, главным образом, как вредоносное вложение в email, или посредством ссылки на вредоносный сайт, размещенной в фишинг-письме, или даже в новостях с предложением "Узнать подробнее" или "Поучаствовать". Никогда не посещайте подобные ссылки, если у вас стоит антивирус Free!

  Есть сведения, которые связывают 8lock8 с криптовымогателями MireWare и KimcilWare, тоже созданными на основе конструктора HiddenTear, и имеющими в записке о выкупе email тех же регионов. Есть и другие совпадения. 

  Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bmp, .csv, .doc, .docx, .htm, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, PPTX , .rar, .sln, .sql, .txt, .wav, .xls, .xlsx, .xml, .zip 

Степень распространённости: низкая.
Подробные сведения собираются. 

Для файлов, зашифрованным этим криптовымогателем Майклом Джиллеспи, был создан декриптер (дешифровщик). 

 Внимание!!! 
Для зашифрованных файлов есть декриптер. 

Подробная инструкция по дешифровке