AnonPop

AnonPop Ransomware

(фейк-шифровальщик)

   Этот вымогатель якобы шифрует файлы, а затем требует выкуп в 125 долларов за "дешифровку". На самом деле файлы не шифруются, а удаляются. Название вымогателя составлено из английских слов "Anonymous" + "Pop-up", т.е. используется маска хакерской группы Anonymous и всплывающее, как на веб-страницах, окно с сообщением. 

Remove AnonPop Decrypt AnonPop Decode Restore files Recovery data 
Удалить AnonPop Дешифровать Расшифровать Восстановить файлы

  Во многом AnonPop схож с TowerWeb Ransonware, у которого есть та же маска, тот же текст и почта на yandex.com, хоть и другая. Возможно, что за обоими вымогателями стоят одни и те же дэвы, или одни подражают другим. 

  К счастью, пострадавшая сторона может использовать recovery-программы или системные функции (восстановления системы и службу теневых копий) для восстановления удаленных данных. Источник информации. 

В результате вредоносной деятельности AnonPop будут удалены все файлы, найденные им в следующих папках и дисках:

%USERPROFILE%\Documents\

%USERPROFILE%\Downloads\

%USERPROFILE%\Pictures\

%USERPROFILE%\Music\

%USERPROFILE%\Videos\

%USERPROFILE%\Contacts\

%USERPROFILE%\Favorites\

%USERPROFILE%\Searches\

C:\Program Files\Google\

C:\Program Files\Windows Defender\

C:\Program Files\Mozilla Firefox\

C:\Program Files\Internet Explorer\

C:\Program Files (x86)\Google\

C:\Program Files (x86)\Internet Explorer\

C:\Program Files (x86)\Mozilla Firefox\

%AppData%\Local\Temp\

%USERPROFILE%\Desktop\

D:\ E:\ F:\ H:\ G:\ I:\

  Вместо текстовых сообщений о выкупе, используется блокировщик экрана. Надпись на нем сообщает, что ваш компьютер и файлы зашифрованы и вы должны заплатить $125 в течение 24 часов или $199 после 24 часов, чтобы получить файлы обратно, а после 72 часов файлы будут удалены. Написать вымогателям после уплаты выкупа нужно на email supportfiles@yandex.com 

  Если жертва видит это сообщение на своем экране, то файлы в указанных выше папках уже удалены, и никакой выкуп не поможет. 

  Распространяется с помощью email-спама с различными темами письма, например, "Жалоба", "Уведомление", "Постановление суда" и пр. В сообщении содержится ссылка на предполагаемый документ, ведущая на вредоносный сайт, или прилагается вложение в виде PDF-документа, содержащего скрипт или эксплойт. Ниже приведено содержание одного из таких документов.

Содержание письма на английском: From: The Office of The Attorney General 
Subj: The Office of The Attorney General Complaint Body:
Dear Business Owner: -------------------
A complaint has been filed against your Business. Enclosed is a copy of the complaint which requires your response. You have 10 days to file a rebuttal if you so desire. You may view the complaint at the link below complaint376878.pdf Rebuttals should not exceed 25 pages and may refer to any additional documents or exhibits that are available on request. The Office of The Attorney General cannot render legal advice... Please review the enclosed complaint. If filing a rebuttal please do so during the specified time frame.
Sincerely, The Office of The Attorney General -------------------
This document and any files transmitted with it are confidential and intended solely for the use of the individual or entity to whom they are addressed. If you have received this email in error, please notify the system manager. This message contains confidential information and is intended only for the individual named. If you are not the named addressee, you should not disseminate, distribute or copy this email.

Перевод на русский:
От: Офис Генерального прокурора
Тема: В офис Генерального прокурора поступила жалоба:
Уважаемый владелец бизнеса: -------------------
Жалоба была подана в отношении вашего бизнеса. Прилагаю копию жалобы, требующую вашего ответа. У вас есть 10 дней на подачу опровержения. Вы можете прочитать жалобу по ссылке complaint376878.pdf. Опровержение не должно превышать 25 страниц и может ссылаться на любые дополнительные документы. Управление Генеральный прокурора не оказывает юридическую консультацию... Пожалуйста, ознакомьтесь с прилагаемой жалобой. Подачу опровержения, пожалуйста, делайте в течение указанного времени.
С уважением, Управление Генерального прокурора -------------------
Этот документ и любые файлы, переданные с ним, являются конфиденциальными и предназначены исключительно для использования физическим или юридическим лицом, которому они адресованы. Если вы получили это письмо по ошибке, пожалуйста, сообщите менеджеру системы. Это сообщение содержит конфиденциальную информацию и предназначена только для названного человека по его имени. Если вы не названный адресат, Вы не должны распространять, распространять или копировать этот email.

Когда пользователь кликнет ссылку на вложенный ZIP-файл, содержащий поддельный PDF-файл, то будет загружен и установлен AnonPop, который начнет свою вредоносную деятельность по удалению файлов пользователя. 

Т.к. файлы всё же не шифруются, то AnonPop Ransomware я отношу к фейк-шифровальщикам. 

Степень распространенности: низкая.
Подробные сведения собираются. 

CTB-Faker

CTB-Faker Ransomware

(фейк-шифровальщик, zip-вымогатель)

   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,08686 биткоина ($50) якобы за дешифровку. На самом деле он помещает файлы в защищенный паролем ZIP-архив, а выкуп нужен, чтобы получить пароль для этих файлов. Заявление якобы от CTB-Loker — обман. 

Remove CTB-Faker Decrypt CTB-Faker Decode Restore files Recovery data Удалить CTB-Faker Дешифровать Расшифровать Восстановить файлы

  Основной исполняемый файл CTB-Faker содержит множество изображений, которые используются в качестве фона для записки с требованием выкупа. Похоже, что девелоперы являются посетителями BleepingComputer, потому что одно из этих изображений от старого вымогателя под названием ZeroLocker имеет водяной знак BleepingComputer. Приведенное ниже изображение найдено в исполняемом файле help.exe.

  CTB-Faker в настоящее время распространяется через поддельные страницы профилей на сайтах для взрослых, которые содержат пароли и ссылки на якобы защищенное паролем стриптиз-видео. 

  Когда пользователь нажимает на ссылку в профиле, она загружает ZIP-файл, который размещен в JottaCloud. После того, как пользователь извлекает содержимое zip-файлов и запускает находящийся там исполняемый файл, то вымогатель начинает шифрование файлов.

  CTB-Faker представляет собой файл WinRAR SFX, который при выполнении извлекает множество пакетных файлов, VBS-файлы и исполняемые файлы в папку С:\ProgramData. Основной установщик запускает VBS-файл, который отображает сообщение якобы об ошибке в работе графической карты, которая якобы не позволяет просмотреть стриптиз-видео.

При этом вымогатель создает архив Users.zip с собранными из C:\Users файлами пользователя и помещает его в корень диска C:\. Этот процесс проходит очень медленно и потребляет очень много ресурсов ПК, при этом потерпевшие могут обнаружить, что их жесткие диски постоянно используются и процессор загружен гораздо больше, чем обычно.

Когда создание архива будет завершено, CTB-Faker удалит все VBS и пакетные файлы из папки C:\Programdata, а затем перезагрузит компьютер. После перезагрузки ПК и входа жертвы в систему ей будет представлен экран блокировки со следующим требованием выкупа.

Сообщается, что файлы были зашифрованы и жертва должна заплатить 50 долларов США в биткоинах на указанный адрес. После того, как оплата будет произведена нужно написать на miley@openmailbox.org, чтобы получить пароль. 

Есть также альтернативное изображение, которое содержит Bitcoin-адрес вымогателей и email-адрес help@openmailbox.org, как показано ниже. 

Bitcoin-адрес c этого изображения имеет много выплат, уже произведенных пострадавшими.

Список файловых расширений, помещающихся в архив с паролем: 

 .7z, .avi, .bmp, .cab, .dat, .data, .dll, .exe, .gif, .iso, .jpeg, .jpg, .mp3, .mp4, .msi, .png, .psd, .rar, .wav, .zip, (20 расширений).

Файлы, связанные с CTB-Faker:
C:\ProgramData\7zxa.dll
C:\ProgramData\Default.SFX
C:\ProgramData\Descript.ion
C:\ProgramData\Rar.exe
C:\ProgramData\RarExt.dll
C:\ProgramData\RarExt64.dll
C:\ProgramData\RarFiles.lst
C:\ProgramData\UNACEV2.DLL
C:\ProgramData\UnRAR.exe
C:\ProgramData\Uninstall.lst
C:\ProgramData\WinCon.SFX
C:\ProgramData\WinRAR.exe
C:\ProgramData\Zip.SFX
C:\ProgramData\archiver.bat
C:\ProgramData\archiver.vbs
C:\ProgramData\copy.bat
C:\ProgramData\copy.vbs
C:\ProgramData\help.exe
C:\ProgramData\index.html
C:\ProgramData\rarnew.dat
C:\ProgramData\restore.exe
C:\ProgramData\startup.exe
C:\ProgramData\startup.vbs
C:\ProgramData\untitled.png
C:\ProgramData\untitled.vbs
C:\ProgramData\your personal files are encrypted.txt
C:\ProgramData\zipnew.dat
C:\your personal files are encrypted.txt

Т.к. файлы всё же не шифруются, то CTB-Faker Ransomware я отношу к фейк-шифровальщикам. 

Степень распространенности: средняя.
Подробные сведения собираются. 

PizzaCrypts

PizzaCrypts Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на посту вымогателей и приложить 1 зашифрованный файл. Сумма выкупа будет указана в ответном письме. 

© Genealogy: JuicyLemon > PizzaCrypts

Remove PizzaCrypts Decrypt PizzaCrypts Decode Restore files Recovery data Удалить PizzaCrypts Дешифровать Расшифровать Восстановить файлы

Зашифрованные файлы получают расширение по шаблону .id-[victim_id]-maestro@pizzacrypts.info

Зашифрованные файлы

Pizzacrypts Info.txt

Записка о выкупе

Содержание записки о выкупе:
Attention!
All your files are encrypted cryptographically strong algorithm!
Decoding is not possible without our help!
In order to start the process of decoding the files, you need to contact us on the below
contacts, attached the example of an encrypted file:
- Primary email: maestro@pizzacrypts.info
- Secondary email: pizzacrypts@protonmail.com
- Bitmessage: BM-NBRCUPTenKgYbLVCAfevuHVsHFK6ue2F
How To use Bitmessage see https://www.youtube.com/watch?v=ndqlffqCMaM
We encourage you to contact us for all three contacts!
- Very important:
We recommend to write email us with gmail address, otherwise your email may not reach us !
Do not try to decrypt files by third-party decipherers, otherwise you will spoil files!

Перевод на русский язык: 
Внимание!
Все ваши файлы зашифрованы криптостойким алгоритмом!
Дешифровка невозможна без нашей помощи!
Для того, чтобы начать дешифровку файлов, вам надо связаться с нами, см. контакты ниже,
и приложить 1 зашифрованный файл:
- Первый email: maestro@pizzacrypts.info
- Второй email: pizzacrypts@protonmail.com
- Bitmessage: BM-NBRCUPTenKgYbLVCAfevuHVsHFK6ue2F
Как пользоваться Bitmessage см. xxxxs://www.youtube.com/watch?v=ndqlffqCMaM
Мы рекомендуем связь с нами для всех трех контактов!
- Очень важно:
Мы рекомендуем писать нам на email с Gmail-адреса, иначе ваш email не может до нас не дойти!
Не пытайтесь дешифровать файлы другими декриптерами, можете испортить файлы!

Технические детали

Распространяется с помощью набора эксплойтов Neutrino. Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Pizzacrypts Info.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: maestro@pizzacrypts.info
Email-2: pizzacrypts@protonmail.com
Bitmessage: BM-NBRCUPTenKgYbLVCAfevuHVsHFK6ue2F
Video: xxxxs://www.youtube.com/watch?v=ndqlffqCMaM
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Другой анализ >>

Степень распространенности: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID under JuicyLemon)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Michael Gillespie
 BleepingComputer
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Это сотый пост блога!!!

CryptoFinancial

CryptoFinancial Ransomware

Ranscam Ransomware

(фейк-шифровальщик)

   Этот крипто-вымогатель якобы шифрует данные, а затем требует выкуп в 0,2 BTC, чтобы вернуть файлы обратно. Цели вымогателя: базы данных, документы, PDF, фотографии, музыка, видео, общие папки и пр. Другие названия вымогателя: Ranscam.

Вместо текстовых записок о выкупе используется скринлок с текстом.

Текст со скринлока:
YOUR COMPUTER AND FILES ARE ENCRYPTED
YOU MUST PAY 0,2 BITCOINS TO UNLOCK YOUR COMPUTER
---------------------------------------------------------------------------------------------
YOUR FILES HAVE BEEN MOVED TO A HIDDEN PARTITION AND CRYPTED.
ESSENTIAL PROGRAMS IN YOUR COMPUTER HAVE BEEN LOCKED
AND YOUR COMPUTER WILL NOT FUNCTION PROPERLY.
— 0 —
ONCE YOUR BITCOIN PAYMENT IS RECEIVED YOUR COMPUTER AND
FILES WILL BE RETURNED TO NORMAL INSTANTLY.
---------------------------------------------------------------------------------------------
YOUR BITCOIN PAYMENT ADDRESS IS:
1 G6tQeWrwp6TU1qunLJdNmLTPQu7PnsMYd
[COPY THE ADDRESS EXACTLY I CASE SENSITIVE]
[CONFIRM PAYMENT BELOW TO UNLOCK COMPUTER AND FILES]
IF YOU DO NOT HAVE BITCOINS VISIT WWW.LOCALBITCOINS.COM TO PURCHASE
---------------------------------------------------------------------------------------------
IF YOU HAVE MADE THE BITCOIN PAYMENT CLICK BELOW TO UNLOCK YOUR COMPUTER AND FILES
----------------------------------------------
I MADE PAYMENT
PLEASE VERIFY
AND UNLOCK MY COMPUTER
----------------------------------------------

Перевод на русский язык:
ВАШ КОМПЬЮТЕР И ФАЙЛЫ ЗАШИФРОВАНЫ
ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ 0,2 БИТКОИНА ЗА РАЗБЛОК ПК
-------------------------------------------------- ------------------------------------------
Ваши файлы перенесены в скрытый раздел и зашифрованы.
Необходимые программы в вашем ПК блокированы
И ваш компьютер будет работать неправильно.
- 0 -
Когда биткоин-платёж будет получен, ваш компьютер и
файлы будут возвращены в нормальное состояние.
-------------------------------------------------- ------------------------------------------
Ваш платежный биткоин-адрес:
1G6tQeWrwp6TU1qunLJdNmLTPQu7PnsMYd
[Копируйте адрес без ошибок, он чувствителен к регистру]
[Подтвердите оплату ниже для разблокировки ПК и файлов]
Если нет биткоинов, посетите www.localbitcoins.com для приобретения
-------------------------------------------------- ------------------------------------------
Если вы перевели биткоины, кликните кнопку ниже для снятия блокировки ПК и файлов
--------------------------------------
Я сделал оплату
Пожалуйста, проверьте
И разблокируйте мой ПК
--------------------------------------

На самом деле CryptoFinancial не шифрует файлы, а просто удаляет их без возможности восстановления, даже если жертва заплатит выкуп.

  На скринлоке внизу имеется жёлтая кнопка для подтверждения платежа, но после нажатия на неё она преобразуется в красную с сообщением: "Ваш платеж не подтвержден" с угрозой удаления одного файла при каждой неподтвержденной оплате. Вымогатели действуют как террористы. 

  Это уведомление получают все жертвы в независимости от того заплатили они выкуп или просто попробовали нажать на кнопку. Имитация верификационного процесса как бы происходит, но это обман. На самом деле, никакой проверки не происходит, а все файлы уже были удалены ранее.

Технические детали

  Исполняемый файл, подписанный с использованием цифрового сертификата, выданного reca.net 6 июля 2016, копирует себя в %AppData% и использует планировщик заданий для создания запланированного задания, чтобы запускаться при каждом запуске системы. А также распаковывает и сохраняет исполняемый файл в %TEMP%. Запускается пакетный скрипт, который размножается и заполняет систему жертвы. Затем скрипт удаляет ряд важных системных файлов, в том числе, отвечающий за восстановление системы, службу теневого копирования. Также удаляет ключи реестра Windows, связанные с загрузкой в безопасном режиме, отключает диспетчер задач. Настраивает установку Keyboard Scancode Map. После этих действий скрипт инициирует принудительное выключение системы.

  После новой загрузки системы жертве показывается экран блокировки, а по истечении 60 секунд снова инициируется выключение системы специальной командой:
@echo off
C:\Windows\System32\shutdown.exe -s -t 60 -c "Shutting Down In 60 Seconds."

Файлы вымогателя:
%APPDATA%\winstrsp.exe
%TEMP%\winopen.exewinopen.exe  

Список файловых расширений, подвергающихся блокировке:
Вероятно все пользовательские файлы.

Описание составлено автором 8 июля 2016, дополнено информацией от Cisco Talos 12 июля 2016. 
Talos придумали свое название: Ranscam — от слов ransom (англ. выкуп) и scam (афера). 

Т.к. файлы всё же не шифруются, то CryptoFinancial (Ranscam) Ransomware я отношу к фейк-шифровальщикам. 

Степень распространенности: низкая.
Подробные сведения собираются. 


© Amigo-A (Andrew Ivanov): All blog articles.

BitStak

 BitStak Ransomware

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,07867 биткоина (40 евро или 45 долларов), чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .bitstak. Папки переименовываются и получают это расширение.

Remove BitStak Decrypt BitStak Decode Restore files Recovery data Удалить BitStak Дешифровать Расшифровать Восстановить файлы

  Зашифрованные файлы получают случайные имена, состоящие из букв и символов. Например, файл "Penguins.jpg" может быть переименован в "xfZdSbZU.aXd.bitstak". На уплату выкупа даётся 3 дня, после чего файлы будут удалены. Название вымогателю дали его разработчики. 

  Текстовой записки о выкупе нет. Вместо неё используется скринлок. 

На скринлоке имеется QR-код для мобильных устройств, который ведёт на сайт оплаты. 

Содержание текста о выкупе:
Your all files are locked and encrypted with a strong encryption method. You cannot get your files back without paying. We expect you to make payment in 3 days or your files will be permanently deleted.
BitStak
Your all files are locked. To release your files you need to pay a 40 (euro) fee using Bitcoins as a payment method. If you have any external hard-drives plugged, remember to plug them before restoring or you won't be able to restore them later.
Amount 40,00 EUR/0,07867 BTC or 45.464 USD/0.07867 BTC
Bitcoin Address
***
Or pay with Blockchain mobile app.
***
Verify your payment so you can get your files back
Already paid? Verify now to restore your files.

Перевод на русский язык: 
Все файлы блокированы и шифрованы с сильным методом шифрования. Вы не можете вернуть файлы без оплаты. Мы ждем от вас оплаты 3 дня или ваши файлы будут уничтожены.
BitStak
Все файлы блокированы. Чтобы вернуть файлы вам нужно заплатить 40 (евро) в биткоинах. Если на ваших внешних дисках есть зашифрованные файлы, то подключите их перед восстановлением или позже их уже не вернуть.
Сумма 40,00 EUR / 0,07867 BTC или 45.464 USD / 0,07867 BTC
***
Или пошлите Blockchain с мобильного.
***
Проверьте ваш платеж, так вы вернёте себе файлы
Уже оплачено? Проверьте, чтобы вернуть файлы.

Целевыми для шифрования являются следующие пути:
C:/Program Files/
C:/Program Files (x86)/
C:/Users/ + UserName + /AppData/Roaming/
C:/Users/ + UserName + /Documents/
C:/Users/ + UserName + /Downloads/
C:/Users/ + UserName + /Videos/
C:/Users/ + UserName + /Music/
C:/Users/ + UserName + /Pictures/
C:/Users/ + UserName + /Desktop/
Диски D:/ E:/ F:/ G:/ I:/ J:/ K:/

Целевыми для шифрования являются следующие расширения:
.txt, .doc, .exe, .dat, .bat, .vb, .zip, .7z, .rar, .jar, .mp3, .wav, .save, .mp4, .cfg, .flv, .php, .com, .db, .bin, .reg

Степень распространенности: низкая.
Подробные сведения собираются. 

 Внимание!!! 

Для зашифрованных файлов есть декриптер.

Скачать BitStak Decrypter

Alfa

Alfa Ransomware

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 1-1,5 биткоина, чтобы вернуть файлы. К зашифрованным файлам добавляется расширение .bin. Имя файла тоже меняется на случайное, состоящее из букв, цифр и знаков: [10_random_chars].bin

Генеалогия: Cerber > Alfa

Remove Alfa Decrypt Delete Alpha Decode Restore files Recovery data Удалить Alfa Alpha MSEstl Дешифровать Расшифровать Восстановить файлы Removal Uninstall Eliminar Borrar Entfernen Deinstallieren Löschen 

  Это вымогатель в настоящее время использует два различных имени в записке о выкупе и на платежном сайте TOR. Например, в записке с требованием выкупа, вымогатель упоминается как Alpha Ransomware, а на сайте TOR упомянут Alfa Decryptor с собственным логотипом. На основе разработанного Alfa-логотипа в итоге, я думаю, останется название Alfa Ransomware. Кроме того, название Alpha Ransomware ранее уже было занято другим криптовымогателем. 

Записки о выкупе называются:
README HOW TO DECRYPT YOUR FILES.HTML
README HOW TO DECRYPT YOUR FILES.TXT

HTML-записка о выкупе

TXT-записка о выкупе

Весь текст записок полностью: 
###########################################
Cannot you find the files you need?
Is the content of the files that you looked for not readable?
It is normal because the files' names, as well as the data in your files have been encrypted.
###########################################
!!! If you are reading this message it means the software
!!! "Alpha Ransomware" has been removed from your computer.
###########################################
What is encryption?
-------------------
Encryption is a reversible modification of information for security
reasons but providing full access to it for authorized users.
To become an authorized user and keep the modification absolutely
reversible (in other words to have a possibility to decrypt your files)
you should have an individual private key.
But not only it.
It is required also to have the special decryption software
(in your case "Alpha Decryptor" software) for safe and complete
decryption of all your files and data.
############################################
Everything is clear for me but what should I do?
------------------------------------------------
The first step is reading these instructions to the end.
Your files have been encrypted with the "Alpha Ransomware" software; the
instructions ("README HOW TO DECRYPT YOUR FILES.TXT" and "README HOW TO DECRYPT YOUR FILES.HTML")
in the folders with your encrypted files are not viruses, they will 
help you.
After reading this text the most part of people start searching in the
Internet the words the "Alpha Ransomware" where they find a lot of
ideas, recommendations and instructions.
It is necessary to realize that we are the ones who closed the lock on
your files and we are the only ones who have this secret key to
open them.
!!! Any attempts to get back your files with the third-party tools can
!!! be fatal for your encrypted files.
The most part of the third-party software change data within the
encrypted file to restore it but this causes damage to the files.
Finally it will be impossible to decrypt your files.
When you make a puzzle but some items are lost, broken or not put in its
place - the puzzle items will never match, the same way the third-party
software will ruin your files completely and irreversibly.
You should realize that any intervention of the third-party software to
restore files encrypted with the "Alpha Ransomware" software may be
fatal for your files.
####################################
!!! There are several plain steps to restore your files but if you do
!!! not follow them we will not be able to help you, and we will not try
!!! since you have read this warning already.
####################################
For your information the software to decrypt your files (as well as the
private key provided together) are paid products.
After purchase of the software package you will be able to:
1. decrypt all your files;
2. work with your documents;
3. view your photos and other media;
4. continue your usual and comfortable work at the computer.
If you understand all importance of the situation then we propose to you
to go directly to your personal page where you will receive the complete
instructions and guarantees to restore your files.
######################################
If you need our help:
1. run your Internet browser (if you do not know what it is run the Internet Explorer);
2. enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3. wait for the site loading;
4. on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5. run Tor Browser;
6. connect with the button "Connect" (if you use the English version);
7. a normal Internet browser window will be opened after the initialization;
8. type or copy the address in this browser address bar;
9. press ENTER;
10. the site should be loaded; if for some reason the site is not loading wait for a moment and try again.
11. enter your personal key:
12. press ENTER;
If you have any problems during installation or operation of Tor Browser,
please, visit https://www.youtube.com/ and type request in the search bar
"install tor browser windows" and you will find a lot of training videos
about Tor Browser installation and operation.
If TOR address is not available for a long period (2-3 days) it means you
are late; usually you have about 2-3 weeks after reading the instructions
to restore your files.
#######################################
Additional information:
You will find the instructions for restoring your files in those folders
where you have your encrypted files only.
The instructions are made in two file formats - HTML and TXT for
your convenience.
Unfortunately antivirus companies cannot protect or restore your files
but they can make the situation worse removing the instructions how to
restore your encrypted files.
The instructions are not viruses; they have informative nature only, so
any claims on the absence of any instruction files you can send to your
antivirus company.
########################################
Alpha Ransomware Project is not malicious and is not intended to harm a
person and his/her information data.
The project is created for the sole purpose of instruction regarding
information security, as well as certification of antivirus software for
their suitability for data protection.
Together we make the Internet a better and safer place.
#########################################
If you look through this text in the Internet and realize that something
is wrong with your files but you do not have any instructions to restore
your files, please, contact your antivirus support.
#########################################
Remember that the worst situation already happened and now it depends on
your determination and speed of your actions the further life of
your files.
*******************************

Страница платежного сайта с суммой в 1 BTC

Страница платежного сайта с суммой в 1,5 BTC

На платежном сайте один файл предлагается дешифровать бесплатно. 

Весь текст с платежного сайта:
Your documents, photos, databases and other important files have been encrypted!
To decrypt your files you need to buy the special software - "Alfa Decryptor".
All transactions should be performed via network only.
Within 3 days you can purchase this product at special price: 1.5
Each 3 days the price of the product will increase by 20%!
Your current price is 1.5
How to get "Alfa Decryptor"?
Create a Bitcoin Wallet (we recommend Blockchain.info)
Buy necessary amount of Bitcoins
Do not forget about the transaction commission in the Bitcoin network( = 0.0005)
Here are our recommendations:
LocalBitcoins.com -the fastest and easiest way to buy and sell Bitcoins;
CoinCafe.com - the simplest and fastest way to buy, sell and use Bitcoins;
BTCDirect.eu- the best for Europe;
CEX.IO-Visa/MasterCard;
CoinMama.com -Visa/MasterCard;
HowToBuyBitcoins.info discover quickly how to buy and sell bitcoins in your local currency.
Send 1.5 to the following Bitcoin address: 1Agd8LT1YLFZhxtcAFKzj7qz5EBWFcC4EE
Control the amount transaction at the "Current Balance" panel below
Reload current page after the payment and get a link to download the software
Reload current page
At the moment we have received from you: 0 BTC
We give you the opportunity to decipher 1 file free of charge!
You can make sure that the service really works and after payment
for the "Alfa Decryptor" program you can actually decrypt the files!

Список файловых расширений, подвергающихся шифрованию:
.c, .h, .m, .ai, .cs, .db, .nd, .pl, .ps, .py, .rm, .3dm, .3ds, .3fr, .3g2, .3gp, .ach, .arw, .asf, .asx, .avi, .bak, .bay, .cdr, .cer, .cpp, .cr2, .crt, .crw, .dbf, .dcr, .dds, .der, .des, .dng, .doc, .dtd, .dwg, .dxf, .dxg, .eml, .eps, .erf, .fla, .flvv, .hpp, .iif, .jpe, .jpg, .kdc, .key, .lua, .m4v, .max, .mdb, .mdf, .mef, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .nef, .nk2, .nrw, .oab, .obj, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .pas, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pps, .ppt, .prf, .psd, .pst, .ptx, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sql, .sr2, .srf, .srt, .srw, .svg, .swf, .tex, .tga, .thm, .tlg, .txt, .vob, .wav, .wb2, .wmv, .wpd, .wps, .no, .xlk, .xlr, .xls, .yuv, .back, .docm, .docx, .flac, .indd, .java, .jpeg, .pptm, .pptx, .xlsb, .xlsm, .xlsx (142 расширения). 

Распространяется вымогатель посредством email-спама с заражёнными файлами doc и wsf. Запустившись в системе прописывается в Автозагрузку под названием MSEstl, а исполняемый файл находится по пути %UserProfile%\AppData\Roaming\Microsoft\Essential\msestl32.exe.

Файлы, связанные с Alfa Ransomware:
%UserProfile%\AppData\Roaming\Microsoft\Essential\msestl32.exe
README HOW TO DECRYPT YOUR FILES.HTML
README HOW TO DECRYPT YOUR FILES.TXT

Записи реестра, связанные с Alfa Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MSEstl      %UserProfile%\AppData\Roaming\Microsoft\Essential\msestl32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\[random]

Степень распространенности: низкая.
Подробные сведения собираются. 

Neitrino

Neitrino Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные с помощью AES-шифрования, а затем требует написать на email вымогателей, чтобы узнать стоимость декриптора. 

 © Генеалогия: Rakhni > Rakhni Family >  Kriptovor > Neitrino 


По всем признакам является вариацией Kriptovor. 

К зашифрованным файлам добавляется расширение .neitrino или .NEITRINO 

Впервые был обнаружен осенью 2015 года и активен до сих пор. 

 Данные шифруются на всех локальных и подключенных сетевых дисках. После шифрования удаляются теневые копии файлов. 

  Записка о выкупе называется MESSAGE.txt и оставляется в каждой папке с зашифрованными файлами, на Рабочем столе и в папках Автозагрузки. 

Характерный признак - слово "Унать" в начале записки, как и у Kryptovor. 

Целями вымогателя, как и у Kriptovor, в основном являются российские и русскоязычные пользователи. 

Распространяется через email-вложения, софт-порталы с взломанными и "бесплатными" программами, всяческие "инструкции", откровенный мусор. и пр. пр.

Степень распространённости: высокая. 
Подробные сведения собираются. 


Обновление от августа-сентября 2017:

Email: mr.anders@protonmail.com
Характерный признак "Унать" исправили на "Запросить". 😊
Записка: MESSAGE.txt
Разработка: Neitrino Team
Файлы: AdobeUpdate.exe и svchost.bat
Сумма выкупа: 5000 рублей или больше. 
Результаты анализов: VT

Обновление от 6 апреля 2018: 
Пост в Твиитере >>
Расширение: .excuses
Email: excuses@protonmail.com
Записка: MESSAGE.txt
Filemarker: 0x20000000
Содержание записки: 
Приобрести декриптор можно до 06.04.2018
Запросить стоимость: excuses@protonmail.com
В ТЕМЕ письма укажите ваш ID: [redacted numbers]
Письма без указания ID игнорируются.
Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.
Заявки обрабатываются автоматической системой.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Kriptovor)
 Write-up, Topic of Support
 * 

 Thanks: 
 victim in the topics of support
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Remove Neitrino Decrypt Neitrino Decode Restore files Recovery data Удалить Neitrino Дешифровать Расшифровать Восстановить файлы