JuicyLemon

JuicyLemon Ransomware

(шифровальщик-вымогатель)

  Этот криптовымогатель шифрует данные, а затем требует выкуп, который сообщается индивидуально по контактам связи. Ориентировочно 1000 € (евро) с выплатой в биткоинах. 

© Genealogy: JuicyLemon > PizzaCrypts

К зашифрованным файлам добавляется расширение, включающее ID жертвы, по схеме: .id-[девять цифр]_. Пример, .id-778215456_

Полностью:
.id-[9_digits_victim’s_ID]_email1_support@juicylemon.biz_email2_provectus@protenmail.com_BitMessage_BM-[BM-address]

Зашифрованные файлы получают в код строку следующего вида: 
1039734717_email1_support@juicylemon.biz_email2_provectus@protonmail.com_BitMessage_BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F, где с легкостью угадываются два email и BM-адрес. 

 Шифруются только пользовательские данные. Системные и программные файлы не трогаются. Также, как у Chimera Ransomware и Bitmessage Ransomware требуется установить мессенджер Bitmessage для связи с вымогателями.

Записка с требованием выкупа называется RESTORE FILES.txt

Содержание записки о выкупе: 
Hello! We inform you that all, absolutely all of your files are encrypted!
But do not despair. Decryption is not possible without our help, our help is not free and costs a certain amount of money.
To begin the process of recovery your files you need to write us an email, attaching an example of an encrypted file.
- Our contacts for communication:
- Primary email: support@juicylemon.biz
- Additional email: provectus@protonmail.com
- Bitmessage:  BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
How To Use Bitmessage see https://youtu.be/ndqIffqCMaM
We encourage you to contact us for all three contacts!
- Very important:
Do not try to decrypt files by third-party decoders otherwise you will spoil files !
Be adequate in dealing with us and we will solve your problem.

Перевод записки на русский язык:
Привет! Сообщаем Вам, что все, абсолютно все ваши файлы зашифрованы!
Но не отчаивайтесь. Дешифровка невозможна без нашей помощи, наша помощь небесплатна и стоит некоторую сумму денег.
Чтобы начать процесс восстановления файлов, надо написать нам на email, приложить 1 зашифрованный файл.
- Наши контакты для связи:
- Первый email: support@juicylemon.biz
- Второй email: provectus@protonmail.com
- Bitmessage: BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
Как использовать Bitmessage см. https://youtu.be/ndqIffqCMaM
Мы рекомендуем Вам связаться с нами по всем трём контактам!
- Очень важно:
Не пытайтесь дешифровать файлы с помощью сторонних декодеров, иначе вы испортите файлы!
Будьте адекватны в общении с нами и мы решим вашу проблему.

Ответное письмо вымогателей:
Hello! The cost of the decoder for you is 1000 (€) euro in bitcoins, for a guarantee of existence the recovery program at us you can send the test file for decoding, after decoding of the test file we will send you requisites for payment of the decoder, and after payment the instruction on decoding and the decoder.

Перевод письма на русский язык:
Привет! Цена декодера для вас 1000 (€) евро в Bitcoin, для гарантии существования у нас программы восстановления пришлите нам 1 зашифрованный файл, после его дешифровки мы вышлем Вам реквизиты для оплаты декодера, а после оплаты инструкцию по дешифровке и декодер.

Список файловых расширений, НЕ подвергающихся шифрованию: 
 .acm .ade .adp .app .asa .asp .aspx .ax .bas .bat .bin .boo .acm .bootmgr .cer .chm .clb .cmd .cnt .cnv .com .cpl .cpx .crt .csh .dll .drv .dtd .exe .fxp .grp .h1s .hlp .hta .ime .inf .ini .ins .isp .its .js .jse  .ksh .lnk .mad .maf .mag .mam .man .maq .mar .mas .sys

Шифровальщик не шифрует файлы со следующими именами, находящие в корне системного диска:
boot.ini
bootmgr
BOOTNXT
BOOTSECT.BAK
Bootfont.bin
NTDETECT.COM
ntldr
NTUSER.DAT
PDOXUSRS.NET

В продуктах Symantec называется Trojan.Ransomcrypt.BB >>

Обновление от 10 июля 2016
Новое расширение: .id-[10_digits_victim’s_ID]_sos@juicylemon.biz

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

SilentShade

SilentShade Ransomware 

(BlackShades Crypter) 

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (ключ RSA-4096), а затем требует выкуп в 0.07 BTC ($30), чтобы вернуть файлы обратно. Срок уплаты выкупа - 96 часов. Зашифрованные файлы получают расширение .silent. Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. 

  SilentShade удаляет теневые копии файлов,  добавляет себя в автозагрузку Windows, отключает диспетчер задач и восстановление системы. Может работать как процесс "win.exe". Может распространяться как поддельное видео, поддельные краки и патчи. 

  Записки с требованием выкупа называются   Hacked_Read_me_to_decrypt_files.Html и Hacked.txt. Также создаются и размещаются в папках с зашифрованными данными файлы "YourID.txt" и "Ваш идентификатор", содержащие ID жертвы, который затем нужно предоставить вымогателям. В записке о выкупе создатели криптовымогателя именуют его BlackShades Crypter. Отсюда второе название в заголовке статьи. 

 

1-й вариант HTML-записки

2-й вариант HTML-записки

Записка Hacked.txt

Примечательно, что получены два варианта html-записки о выкупе. Порядок текста немного отличается, но суть та же. 

Оригинальное двуязычное содержание 1-го варианта записки о выкупе: 

You have been struck with Black Shades
All of your files were protected by a strong encryption with RSA-4096

What is RSA-4096?
More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
Your files will be enqrypted for your life So Dont Wait so long To Restore your files Because YOU CANNOT!!
You Need to Folow One of this Steps:
- Visit this website > http://daftoraytg.com/ and folow the steps to decrypt your files
- Send 30$ = 0.0700 Bitcoin to this Account > 14CcrhERkVWkJoiE15vxxxxxxxxxxxxxxx and then contact silentshades@protonmail.com ...

Why is RSA-4096 dangerous?
After RSA-4096 sneaks into your system, without you even realizing it, it goes to work.
It begins the encryption process and cloaks everything you have stored on your computer. Every file, every photo, every video, music, documents, nothing, is safe.
The infection encrypts everything. You still see it, but you cannot open it. That’s its play. It keeps it right in your reach but doesn’t allow you to access it.

Please note:
- 100% you will have your all files Back ) if you will follow the steps 1 or 2
- After (96) hours the key to decrypt your files will be deleted from our database
- After you finshed 1 of your steps open the decrypter porgram and restore your all files wich we will sended to you after our deal
- You can find the ID Detals in [/Desktop or /Downloads or /Documents] folder.
===========================

Ваш компьютер поражен Black Shades
Все файлы были зашифрованы с сильным шифрованием RSA-4096.

Что такое RSA-4096?
Более подробную информацию о даннном типе шифрования с использованием RSA-4096 можно найти здесь: https://ru.wikipedia.org/wiki/RSA
Ваши файлы будут зашифрованы для вашей жизни Так что не так долго ждать
чтобы восстановить ваши файлы вам нужно сделать следующее >
- Посетите этот сайт http://daftoraytg.com/  Для дешифрования файлов
- отправить 30 $ = 0,0700 Bitcoin на этот Счет >> 14CcrhERkVWkJoiE15vxxxxxxxxxxxxxxx, а затем свяжитесь по этому адресу silentshades@protonmail.com

Почему RSA-4096 опасно?
После того, как RSA-4096 пробирается в вашу систему начинается процесс шифрования и маскирует все, что вы сохранили на вашем компьютере. Каждый файл, каждая фотография, каждое видео, музыка, документы вирус шифрует все кроме системных файлов. вы не можете открыть или восстановить ваши данные! Он держит их в вашей досягаемости, но не позволяет получить к ним доступа.

ПРИМЕЧАНИЕ
- 100% вы будете иметь все ваши файлы обратно, если вы выполните 1 или 2 условие
- В течении (96) часов ключи для расшифровки файлов будут удалены из нашей базы данных
- После того как вы сделали то что от вас требуется, Откройте Decrypter его вы получите на указанном выше сайте. после вам нужно вставить свой id и порграмма восстановит все файлы
- ID Подробности (вы найдете его на [/ Desktop или / Загрузка или / Documents] )
============================

Оригинальное содержание так называемого "русского" текста записки сохранено полностью. 
Делегирование домена daftoraytg.com, указанного в тексте о выкупе, уже приостановлено. 

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3ds, .3fr, .3g2, .3gp, .3gp, .7z, .aac, .AAC, .ach, .ai, .apk, .ar, .arw, .asf, .asp, .asx, .avi, .AVI, .back, .bak, .bay, .bz2, .c, .cdr, .cer, .cpp, .cr2, .crt, .crw, .cs, .cs, .CSS, .csv, .db, .dbf, .dcr, .dds, .der, .des, .dng, .doc, .docm, .docx, .dtd, .dwg, .dxf, .dxg, .eml, .eps, .ert, .fla, .fla, .flac, .flv, .FLV, .fon, .gif, .gz, .h, .hpp, .html, .html, .ico, .iif, .indd, .ini, .ipe, .ipg, .jar, .java, .JNG, .jp2, .jpeg, .jpg, .JPG, .jsp, .kdc, .key, .log, .lua, .lz, .m, .m4a, .m4v, .max, .mda, .mdb, .mdf, .mef, .mhtml, .MKV, .mov, .MP2, .mp3, .mp4, .MP4, .MP4, .mpe, .mpeg, .mpg, .mpg, .mrw, .msg, .myo, .nd, .nef, .nk2, .nrw, .oab, .obi, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .pas, .PC1, .PC2, .PC3, .pct, .pdb, .pdd, .pdf, .pem, .per, .pfx, .php, .pl, .png, .PNS, .PPJ, .pps, .ppt, .pptm, .pptx, .prf, .ps, .psd, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .raw, .rm, .rss, .rtf, .rw2, .rwl, .rz, .s7z, .sql, .sr2, .srf, .str, .swf, .tar, .text, .txt, .vb, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xhtml, .xlk, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xml, .yuv, .zip, .zipx (всего 195 расширений). 

Перед запуском процесса шифрования BlackShades определяет IP-адрес пользователя, обращаясь к сайту http://icanhazip.com, а чтобы проверить соединение с Интернетом, вредонос обращается к Google.com.

В этой особенности Black Shades кроется простой способ борьбы с ним. Достаточно отредактировать файл hosts и добавить в него строку 127.0.0.1 www.icanhazip.com. Если криптовымогатель не сможет соединиться с icanhazip.com, то аварийно завершит работу и выведет сообщение об ошибке (на иллюстрации ниже). Таким образом, работа это шифровальщика прервется, не успев начаться.

Файлы, связанные с BlackShades Crypter Ransomware:
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Hacked_Read_me_to_decrypt_files.Html
%UserProfile%\AppData\Roaming\Windows\win.exe
YourID.txt
Ваш идентификатор
Hacked_Read_me_to_decrypt_files.Html

Записи реестра, связанные с BlackShades Crypter Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Driver"="%UserProfile%\AppData\Roaming\Windows\win.exe" /autostart"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\Setup\Generalize "DisableSR" = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1

Степень распространённости: низкая. 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

UltraCrypter

UltraCrypter Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные с помощью ключа RSA-4096 (алгоритм шифрования AES-256, CBC-режим), а затем требует выкуп в 1.2 биткоина за дешифровщик UltraDeCrypter. Если выкуп не уплачен в отведённое время (96 часов), то его сумма удваивается до 2.4 BTC. К зашифрованным файлам добавляется расширение .cryp1. 

© Генеалогия: CryptXXX > UltraCrypter 

  UltraCrypter является по сути обновлённой версией CryptXXX, потому почти идентичен. Вымогатели предлагают дешифровать один файл бесплатно, чтобы доказать реальность дешифровки файлов. 

  После успешного шифрования UltraCrypter создаёт три файла с текстом о выкупе: 
bmp-файл - изображение с текстом, заменяет собой обои Рабочего стола; 
txt-файл и html-файл - записки о выкупе с одинаковым названием [Victim’s personal ID] (персональный ID жертвы). 

  Эти файлы расположены в каждой папке с зашифрованными файлами, а также в папке автозагрузки пользователя, чтобы отображаться всякий раз при входе пользователя в систему. Файлы содержат информацию о том, как получить доступ к платёжному сайту и получить файлы обратно.

  Распространяется через email-спам с вредоносным вложением или ссылками на заражённые веб-сайты с набором эксплойтов Angler. Заголовок письма призван обмануть получателя и открыть письмо якобы от судоходной компании DHL или FedEx. Излишне любопытные и неосторожные получатели торопятся открыть письмо, а потом и прикреплённый файл или перейти по ссылке на вредоносный сайт. 

Степень распространенности: перспективно высокая.
Подробные сведения собираются. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptXXX)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LeChiffre

LeChiffre Ransomware

Variants: LeChiffre 2016-2020

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные с помощью алгоритма Blowfish, а затем требует выкуп, чтобы вернуть файлы обратно. Название происходит от французского слова "шифр". Известен с июня 2015 года. Главным образом ориентирован на сервера и компании. 

К зашифрованным данным добавляется расширение .lechiffre

  Устанавливается вручную на взломанных с помощью удаленного рабочего стола или служб терминалов серверах. После взлома сервера хакеры вручную запускают исполняемый файл LeChiffre.exe для шифрования данных, а затем, после выхода, удаляют все следы своей программы. 

  Записка с требованием выкупа называется _How to decrypt LeChiffre files.html и размещается в папках с зашифрованными файлами. 

  В записке о выкупе указан email-адрес decrypt.my.files@gmail.com, который нужен для связи с вымогателями, чтобы получить инструкции по оплате. Примечательно, что если жертва не нуждается в своих файлах сейчас или нет денег на выкуп, то можно подождать 6 месяцев и получить файлы обратно бесплатно. 

  Инсталлятором является файл LeChiffre.exe с известной для Рунета иконкой программы 1С.

После его запуска открывается следующее окно с русскоязычными надписями. 

Работа по шифрованию начинается с нажатия кнопки Пуск — шифровальщик запускается, сканирует все доступные диски и шифрует файлы с заданными расширениями. 

Технические детали

Может распространяться путем взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

✋ LeChiffre Ransomware ориентирован на сервера и компании, поэтому необходимо использовать именно серверную и комплексную защиту. Бесплатный антивирус или средство защиты для домашних компьютеров НЕ ЗАЩИТЯТ ВАШ СЕРВЕР И КОМПАНИЮ. 


Список файловых расширений, подвергающихся шифрованию: 
.001, .900, ... .db, .doc, .docx, ... .jpeg, .jpg, .pdf, .png, ... .rar, ... .xls, .xls, .zip

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, серверные элементы управления HTML и пр.

Файлы, связанные с этим Ransomware: 
_How to decrypt LeChiffre files.html
LeChiffre.exe
LeChiffreDecrypt.exe

Степень распространенности: средняя.
Подробные сведения собираются. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 июня 2016: 
Пост в Твиттере >>
Email: lechiffre@india.com и lechiffre@mailchuck.com
Записка: _how to decode[PC-NAME].txt

Обновление от 18 сентября 2016:

Топик на форуме >>

Расширение: .LeChiffre

Обновление от 30 октября 2016:
Топик на форуме >>
Расширение: .LeChiffre
Записка: _how to decodeMX.txt
E-mail: lechiffre@india.com, lechiffre@mailchuck.com
Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

➤ Содержание записки:
qxKKjMa5gceDlbtVY3fFsp0q*** [всего 172 знака]
==================
end of secret_key
Hello. 
Your some files were encrypted with the strongest cipher RSA 1024 and AES.
No one will help you to restore files without our decoder. Any programs for
recovering files or disk repair are useless and can destroy your files
irreversibly. Irreversibly. So don't try to decrypt it yourself. We warned you.
There is only one way to restore your files - send e-mail to lechiffre@india.com
with attached file "_how to decode[MX].txt" (you read this file right now).
To test our honesty you can send an one encrypted file less than 4 MB (not zipped)
as *.doc *.xls *.jpg *.pdf, but not database file or backup file 
(*.900 *.001 *.db *.zip *.rar *.bkp etc).
We will decode your sample for free.
You will receive deciphered sample and our conditions how you will get the
decoder. Follow the instructions to send the payment. Be attentive! The decoder
for each server is paid separately.
P.S. Remember, we are not scammers. We don`t need your files. If you want, you
can get the password for free after 6 month wait.
Just send a request immediately after infection and download the decoder.
All data will be restored absolutely. 
Our guarantee of honesty - your deciphered sample. 
E-mail: lechiffre@india.com
E-mail: lechiffre@mailchuck.com
Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

Обновление от 6 января 2017:

Топик на форуме >>

Расширение: .LeChiffre

Записка: _how to decode[VIVASBSSERVER].txt

Email: lechiffre@india.com, lechiffre@mailchuck.com

Bitmessage: BM-2cX29XoQx3AduRtttTmqtSC9pZekDffkEy

Обновление от 9 июня 2020: 

Пост на форуме >>

Расширение: .QLZWVR_LeChiffre

Записка: QLZWVR_LeChiffre_ReadMe.txt

Telegram: @isres

https://t.me/isres

Email: lechiffre@firemail.cc, lechiffre@mailchuck.com

Bitmessage: BM-2cTTNY8gzaTxEoPDs9P1jaSRPdit9n8G65

➤ Содержание записки:
hello.
to recover your files, send any message to:
telegram  messenger: 
https://t.me/isres
@isres
or
email: 
lechiffre@firemail.cc
reserve method of communication:
email:
lechiffre@mailchuck.com
usually the answer is 1-10min. If there is no answer,
check the spam folder or write from another email where there is no spam filtering.
super reserve method of communication:
bitmessage messenger: 
BM-2cTTNY8gzaTxEoPDs9P1jaSRPdit9n8G65
download the messenger: https://bitmessage.org/wiki/Main_Page
in the response, you will receive instructions.
Have a nice day!

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as LeChiffre)
 Write-up, Topic of Support
 ***

Внимание!
Для зашифрованных файлов есть дешифровщик.
Скачать Emsisoft Decryptor for LeChiffre можно по этой ссылке >>
Он работает только с файлами, зашифрованными до его выпуска. 
По новым случаям шифрования, пишите на форум Emsisoft >>

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Gomasom

Gomasom Ransonware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы обратно. 

© Генеалогия: Gomasom > RotorCrypt

Этимология названия: 
Название "Gomasom" получено путем сложения начальных букв словосочетания GOogle MAil ranSOM, потому что для выкупа использовались email-адреса почтовой службы Gmail. 

Зашифрованные файлы в добавление к оригинальному имени получают расширение, созданное по схеме "original_filename.extension" + !___*email*@gmail.com__.crypt, где под *email* скрывается логин вымогателя в почте Gmail. Например, crydhellsek, т.е. в результате к файлам прибавится расширение !___crydhellsek@gmail.com__.crypt 

Email-адреса из такого расширения служат для связи между жертвой и злоумышленниками.
Пример зашифрованного файла: Tulips.jpg!___prosschiff@gmail.com_.crypt

Адреса email вымогателей:
crydhellsek@gmail.com
cryphelp963@gmail.com
helpsend369@gmail.com
panerai794@gmail.com
prosschiff@gmail.com

 Записки о выкупе (текстовые и изображения) называются: 
de_crypt_readme.txt 
de_crypt_readme.html
de_crypt_readme .bmp
de_crypt_readme.png

  После установки Gomasom создаёт вредоносный исполняемый файла со случайным именем в C:\Users\User\AppData\Local\Microsoft Help\ и прописывается в Автозагрузку Windows. Далее он шифрует не только пользовательские, но и исполняемые файлы, из-за чего многие приложения становятся недоступными. 

Файлы, созданные Gomasom:
%LocalAppData%\Microsoft Help\<random>.exe

Записи реестра, созданные Gomasom:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ "C:\Users\User\AppData\Local\Microsoft Help\<random>.exe"
HKCU\Software\<random>

  Одним из признаков того, что есть заражение ПК этим видом вымогателя, может являться неожиданное уведомление Windows о том, что имеются файлы для записи на диск. 

Это произойдет из-за того, что Windows обнаружит, что содержимое папки, используемой для записи файлов изменилось. Даже если там нет ничего, кроме скрытого системного файла desktop.ini, который был зашифрован, то появится уведомление о том, что файлы должны быть записаны, как на картинке ниже. 

Такое поведение замечено исследователем безопасности Лоуренсом Адамсом при проведении тестов с Gomasom, TeslaCrypt, Chimera и Fulba Ransomware. 

Степень распространенности: средняя.
Подробные сведения собираются. 

Внимание!!! 

Для зашифрованных файлов есть декриптер.

Скачать декриптер для Gomasom

DMA Locker 4.0

DMA Locker 4.0 Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (режим ECB, RSA-2048 ключ; ключ генерируется случайным образом для каждого файла, шифруется RSA и сохраняется в файле), а затем требует выкуп в 1-2 (~$ 440 за 1 BTC на 24 мая 2016 г.), чтобы вернуть файлы обратно. C 25 мая уже 3 BTC, с 26 мая - 4 BTC. Аппетиты вымогателей ужасающе растут. 

© Генеалогия: DMALocker 1.0, 2.0, 3.0 > DMALocker 4.0 > DMALocker NextGen (XTP Locker 5.0)

  К зашифрованным файлам никакое специальное расширение не добавляется, но вместо этого добавляется префикс !DMALOCK4.0 в заголовок зашифрованного файла. В остальном имя файла остается прежним. Можно проверить файл в шестнадцатеричном редакторе и первые 9 байт будут содержать строку !DMALOCK4. По этому признаку можно опознать "работу" криптовымогателя. Шифруются почти все системные и пользовательские файлы на всех локальных, внешних и сетевых дисках. 

  Текстовый вариант записки о выкупе называется cryptinfo.txt, он сохраняется в папке Program Data и отображается при загрузке Windows. Экран блокировки (файл cryptinfo.png) см. ниже. Он ставится в качестве обоев Рабочего стола. 

 

  Email вымогателя, указанный на экране блокировки и в записках, dma4004@zerobit.en 

Технические детали

  Распространяется с помощью email-спама и вредоносных вложений, фишинг-рассылок и ссылок на зараженные эксплойтами сайты, через вредоносный JavaScript, поддельные обновления Adobe Flash Player. А также при помощи набора эксплойтов Neutrino, который эксплуатирует уязвимости в компонентах Java Runtime Environment Oracle. 

  При целевых атаках на организации сумма выкупа может быть гораздо выше и уже в долларах. Такое многообразное распространение и поддержка уже 4-й версии может говорить только о развертывании широкомасштабных и целенаправленных атак. Потому степень распространенности с учетом этих показателей — высокая.  

  Запустившись в первый раз на ПК, DMA Locker 4.0 проверяет какие процессы и приложения используются для резервного копирования данных и восстановление системы, и завершает их работу. Теневые копии файлов удаляются. 

  DMA Locker 4.0 получил веб-сайт, где объясняется, как заплатить выкуп. Примечательно, что сумма выкупа на этом сайте может отличаться от затребованной.  

 В программном плане исследователями замечены некоторые недостатки в работе этого вымогательского ПО и его декриптера, что может говорить о том, что создатели вредоноса работают на скорую руку. В связи с этим, в скором времени следует ожидать появления 5-й версии вымогателя, где недостатки 4-й версии будут, наверняка, исправлены. Мы намеренно их не озвучиваем, чтобы не помогать вымогателям делать своё черное дело. 

Степень распространенности: перспективно высокая.
Подробные сведения собираются. 

© Amigo-A (Andrew Ivanov): All blog articles.

ECLR

ECLR Ransomware

(шифровальщик-вымогатель)

 Этот криптовымогатель шифрует данные пользователей, а затем требует выкуп в 100 биткоинов. Это может быть показателем ориентированности криптовымогателя на организации и коммерческий сектор. Зашифрованные файлы получают расширение .eclr.

После того, как файлы будут зашифрованы, ECLR Ransomware удаляет теневые копии файлов и отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, и требует перевести деньги в Bitcoin. На уплату выкупа даётся всего 48 часов. Торг неуместен. В каждой папке с зашифрованными файлами размещается записка о выкупе README_IMPORTANT.txt и специальный файл secret.key. 

Содержание записки о выкупе:
YOUR FILES ARE FULLY ENCRYPTED
MAKE THE PAYMENT OF 100 BITCOINS TO THE BTC ADDRESS BELOW
3KHkWFDX9PDsaFRtrDKBGYd41HZWTu2L21
AFTER WE RECEIVE THE PAYMENT THE DECRYPTION PROGRAM AND KEY WILL BE SENT TO YOUR EMAIL
THE DECRYPTION PROGRAM WILL RESTORE YOUR FILES BACK TO NORMAL.
7399@sigaint.org
TO ASSURE YOU WE CAN RESTORE YOUR FILES, WE WILL DECRYPT A SINGLE FILE YOU SEND US.
## YOU HAVE 48 HOURS TO SAVE YOUR FILES ##
CONTACT US ONLY AFTER MAKING THE PAYMENT,
ALL PRICE NEGOTIATIONS WILL BE IGNORED
THE ABOVE EMAIL ADDRESS WILL EXPIRE AFTERWARDS AND NO COMMUNICATIONS WILL BE AVAILABLE

Перевод на русский язык:
Ваши файлы зашифрованы
Сделайте оплату 100 Bitcoins на Bitcoin-адрес
3khkwfdx9pdsafrtrdkbgyd41hzwtu2l21
По получения компенсации дешифровщик и ключ придут на ваш email
Дешифровщик восстановит ваши файлы обратно в норму.
7399@sigaint.org
Для гарантии, что файлы можно вернуть, мы дешифруем 1 ваш файл.
## У вас 48 часов для возврата файлов ##
Контакт с нами только после оплаты,
Все попытки торга проигнорируются
Вышеуказанный email-адрес после этого будет недоступен

Этот вымогатель шифрует множество типов файлов, среди них, разумеется, изображения, фотографии, аудио, видео и документы. 

Степень распространенности: неизвестна.
Подробные сведения собираются. 

RemindMe

RemindMe Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2 биткоина. Файлы могут быть расшифрованы только при помощи секретного ключа, который хранится на C&C-серверах RemindMe. На оплату выкупа даётся 5 дней, а если он не уплачен в срок, секретный ключ будет удален. Название придумано его создателями: "RemindMe" переводится с английского как "Напомни мне". 

Зашифрованные файлы получают расширение .remind или .xcrypt. 

Записки с требованием выкупа и инструкциями называются: 
DECRYPT_YOUR_FILES.HTML
decypt_your_files.html
decypt_your_files.txt 

Содержание записки о выкупе:
All your files have been encrypted with the RemindMe Ransomware
Your unique GUID for decrypt: -
Send me some 2 bitcoin on address: -
After confirming the payment, all your files can be decrypted. If you do not make payment within 5 days, you will lose the ability to decrypt them AND ALL YOUR FILES HAVE BEEN DELETED. 
Make your Bitcoin Wallet in hxxps://www.coinbase.com/ or hxxp://blockchain.info
How to buy/sell and send Bitcoin:
1) xxxps://support.coinbase.com/customer/en/portal/topics/796521-payment-method-vertification/articles
2) xxxps://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
3) xxxps://support.coinbase.com/customer/en/portal/topics/60112-sending-receiving-bitcoin/articles
After the payment, snd the wallet from which paid and you uniq ID to mail: [email protected]
After receiving the payment, we will contact and give you decryption tools and faq how to decrypt your files.

Перевод на русский язык:
Все ваши файлы были зашифрованы RemindMe Ransomware
Ваш уникальный GUID для дешифровки: ----- 
Отправьте мне 2 биткоина по адресу: ----- 
После подтверждения оплаты, все файлы могут быть расшифрованы. Если вы не платите 5 дней, то лишаетесь возможности расшифровывать их И ВСЕ ВАШИ ФАЙЛЫ БУДУТ УДАЛЕНЫ. 
Сделайте Bitcoin-кошелек в hxxps: //www.coinbase.com/ или hxxp: //blockchain.info
Как купить/продать и отправить Bitcoin:
1) xxxps://support.coinbase.com...
2) xxxps://support.coinbase.com...
3) xxxps://support.coinbase.com...
После оплаты, пришлите номер кошелька, из которого вы платили и ID на почту: -----
Получив оплату, мы свяжемся с вами, дадим декриптер и FAQ, как дешифровать файлы.

Технические детали

Распространяется RemindMe с помощью email-спама, фишинг-рассылок, эксплойтов на зараженных сайтах. 


➤ После того, как файлы будут зашифрованы, RemindMe удаляет теневые копии файлов и отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, даёт инструкции о том, как перевести деньги в Bitcoin, как потом произвести оплату на Bitcoin-кошелёк вымогателей и получить декриптер для дешифровки файлов.   

➤ Удаляет теневые копии файлов с помощью команды:
vssadmin delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
.adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .csv, .doc, .docx, .dwf, .jpg, .html, .msg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .qbb, .rpt, .sldprt, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT_YOUR_FILES.HTML
decypt_your_files.html
decypt_your_files.txt 
RemindMe.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов: 
Hybrid анализ >>
VirusTotal анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Mosh
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.