Если вы не видите здесь изображений, то используйте VPN.

понедельник, 4 июля 2016 г.

Locky-Zepto

Zepto Ransomware

Locky-Zepto Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128+RSA-2048, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. 
This Locky's logo was developed on this site ID-Ransomware.RU

 © Генеалогия: Locky > Locky-Zepto

  Zepto называется приемником крипто-вымогателя Locky, но отличается от него по ряду признаков. По факту это новая итерация Locky.

К зашифрованным файлам добавляется расширение .zepto

  Zepto в отличие от первоначального Locky использует совсем другой шаблон для названия записки о выкупе: 
_ ([0-9] {1,4}) _ HELP_instructions, где диапазон [0-9] означает цифры от 0 до 9, а {1,4} - количество цифр от одной до четырех. 
Примеры: _37_HELP_INSTRUCTIONS.txt и _6789_HELP_INSTRUCTIONS.txt.

С использованием расширения .zepto зашифрованные и переименованные файлы будут иметь "шестиэтажное" название и называться примерно так: 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto

Разложим на составляющие названия файл 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto

024BCD33 — первые восемь 16-ричных символов от ID 024BCD3341D1ACD3
41D1 — другие четыре 16-ричных символов от ID 024BCD3341D1ACD3
ACD3 — другие четыре 16-ричных символов от ID 024BCD3341D1ACD3
3EEA — четыре 16-ричных символов, входящих в переименованное название файла
84083E322DFA — двенадцать 16-ричных символов, входящих в переименованное название. 

Шаблон можно записать так:
[first_8_hex_chars_of_id]-[next_4_hex_chars_of_id]-[next_4_hex_chars_of_id]-[4_hex_chars]-[12_hex_chars].zepto

  Zepto Ransomware на первый взгляд действительно имеет много общего с известным шифровальщиком Locky, потому некоторые исследователи сначала посчитали его новой версией Locky, не изучив подробно саму вредоносную компанию. Образцы Zepto впервые были получены в прошлом месяце, но резкий рост числа спам-писем с вложением, содержащим Zepto, пришелся на 27-29 июня. Это спам-кампания продолжает развитие. 

  Распространяется Locky-Zepto посредством фишинговых писем с вредоносным вложением, упакованным в zip-архив. Эти письма содержат JS-вложение с различными названиями типа swift[XXXX].js, где вместо X-ов  - комбинация из 3-4 букв и цифр. В качестве отправителя писем указан "генеральный директор", "вице-президент по продажам" и прочие высокие должностные лица. Название вложенного zip-файла создается путем объединения типа документа с именем получателя и случайным числом. Например, pdf_copy-peter_461365.zip. Кроме того, во вложении может быть и незаархивированный DOCM-документ, т.е. WORD-документ с поддержкой макросов. Эти документы не всегда содержат какой-то текст и могут оказаться совершенно пустыми, а включенный макрос сработает на загрузку вредоноса. 

С конца июля 2016 г. Locky-Zepto стал распространяться с помощью WSF-файлов, помещенных в архив, прикрепленный к email-сообщениям. WSF-файл может содержать как Jscript, так и VBScript код. Письма имитируют банковскую отчетность, счета-фактуры или сообщения о доставке.

Пример запуска Locky-Zepto Ransomware в песочнице. См. видеоролик

Текстовая запиcка о выкупе называется _HELP_instructions.html Графическая _HELP_instructions.bmp встает обоями рабочего стола с тем же текстом. 

Содержание записки: 
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. http://mphtadhci5mrdlju.tor2web.org/5E950263BC5AAB7E
2. http://mphtadhci5mrdlju.onion.to/5E950263BC5AAB7E
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: https://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: mphtadhci5mrdlju.onion/5E950263BC5AAB7E
4. Follow the instructions on the site.
!!! Your personal identification ID: 5E950263BC5AAB7E !!!

Перевод на русский:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с RSA-2048 и AES-128 шифрами.
Подробную информацию о RSA и AES можно найти здесь:
http://en.wikipedia.org/wiki/RSA_(cryptosystem)
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Дешифровать файлы можно только с закрытым ключом и декриптером, которые на нашем секретном сервере.
Для получения закрытого ключа идите по одной из ссылок:
1. http://mphhtadhci5mrdlju.tor2web.org/5E950263BC5AAB7E
2. http://mphtadhci5mrdlju.onion.to/5E950263BC5AAB7E
Если эти адреса недоступны, выполните следующие шаги:
1. Скачайте и установите Tor Browser: https://www.torproject.org/download/download-easy.html
2. После успешной установки, запустите браузер и дождитесь инициализации.
3. Введите в адресной строке: mphtadhci5mrdlju.onion/5E950263BC5AAB7E
4. Следуйте инструкциям на сайте.
!!! Ваш персональный ID: 5E950263BC5AAB7E !!!

Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .aes, .arc, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .ms11, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (142 расширения)

Степень распространенности: высокая и перспективно высокая.
Подробные сведения собираются. 

пятница, 1 июля 2016 г.

Unlock92

Unlock92 Ransomware (v.1-2)

Aliases: Unlckr, Naampa

(шифровальщик-вымогатель) 

Translation into English


   Этот крипто-вымогатель шифрует файлы пользователей с помощью AES+RSA и требует прислать на почту UNLOCK92@INDIA.COM один из зашифрованных файлов. Ответ вымогатели обещают дать в течении 24 часов. По всей видимости вымогатели из Украины. 

Обнаружения (файл от 1 августа 2016):
DrWeb -> Trojan.Encoder.5035, Trojan.Encoder.5178, Trojan.Encoder.6585, Trojan.Encoder.6634, Trojan.Encoder.7097, Trojan.Encoder.7236, Trojan.Encoder.7389, Trojan.Encoder.14941, Trojan.Encoder.33120
ALYac -> Trojan.Ransom.Unlock92
BitDefender -> Generic.Ransom.Unlock92.E033E082, Generic.Ransom.Unlock92.2E930ACE, Generic.Ransom.Unlock92.789E025B
ESET-NOD32 -> A Variant Of MSIL/Filecoder.BZ, A Variant Of MSIL/Filecoder.AC
Kaspersky -> Trojan.Win32.Deshacop.cws, Trojan-Ransom.MSIL.Geograph.bv, Trojan-Ransom.Win32.Scatter.hx
Microsoft -> Trojan:Win32/Skeeyah.A!rfn, Trojan:Win32/Dynamer!ac, Trojan:Win32/Vigorf.A
Symantec -> Ransom.Cerber, Infostealer.Limitail
Tencent -> Win32.Trojan.Raas.Auto, Msil.Trojan.Geograph.Aiik, Msil.Trojan.Geograph.Svrp, Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_CRYPZXAS.F116JL, Ransom_CRYPZXAS.F116JR, Ransom_CRYPZXAS.F116KI

© Генеалогия: 
Unlock92 > Unlock92 Zipper

Генеалогия ключей разных версий Unlock92: 
key.bin > keyvalue.bin > yourkey.ttp > your_key.rsa > ktw.sas > faee.op2 > klc.eet ...

Изображение - логотип статьи

К зашифрованным файлам добавляется расширение .CRRRT

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя началась в 2016, но продолжилась в 2017 г. и позже. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.


Текстовой записки о выкупе в этой версии нет, потому инструкция написана на русском языке на изображении (
файле qqq.jpg), встающем обоями Рабочего стола. 


Содержание записки о выкупе:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
Если вы хотите их восстановить то отправьте один из пострадавших файлов и файл Key.bin (из любой папки с зашифрованными файлами) на e-mail: UNLOCK92@INDIA.COM
Если вы не получили ответа в течение суток то скачайте с сайта https://www.torproject.org/download/download-easy.html.en
TOR браузер и зайдите с его помощью на сайт http://fnjmegsn7tbrrnkl.onion - там будет указан действующий
почтовый ящик.
Попытки самостоятельно расшифровать файлы приведут к их безвозвратной порче!


Технические детали


Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


➤ Удаляет теневые копии файлов командой: Delete Shadows /All /Quiet
Считывает информацию о сети и пытается отобразить общие ресурсы.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .7z, .accdb, .ai, .arj, .bmp, .cd, .cdr, .db, .dbf, .doc, .docx, .dwg, .epf, .jpeg, .jpg, .ldf, .max, .md, .mdb, .mdc, .mdf, .mp3, .odb, .odg, .ods, .odt, .pdf, .png, .ppt, .pptx, .psd, .rar, .rtf, .tar, .tif, .xls, .xlsx, .zip (38 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware:
<random>.exe
qqq.jpg
key.bin

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: UNLOCK92@INDIA.COM
Tor-URL: xxxx://fnjmegsn7tbrrnkl.onion

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

*

=== ШИФРОВАНИЕ И ДЕШИФРОВАНИЕ ===

➤ Файлы шифруются с помощью генерируемого случайным образом открытого ключа RSA-2048, а закрытый ключ шифруется статическим открытым ключом RSA-2048 и сохраняется как keyvalue.bin. Файлы могут быть дешифрованы только с использованием секретного ключа злоумышленника.

➤ Dr.Web идентифицирует этот шифровальщик как Trojan.Encoder.5035.

Подробнее: Шифрует файлы не полностью, а только их небольшую часть, с учетом этого, есть хорошие шансы на восстановление файлов специализированными утилитами для реконструкции поврежденных файлов. Из zip- и rar-архивов можно успешно извлечь некоторые файлы. 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== 2016 ===

Обновление от 7 июля 2016

Новая версия: Unlock92 2.0
Новое расширение: .CCCRRRPPP
Новый скринлок: ORID.jpg


В новой версии Unlock92 2.0 вымогатели перешли на шифрование с помощью RSA-2048, закрытый ключ затем шифруется с помощью статического открытого ключа RSA. 

Обновление от 1 августа 2016 г

Новое расширение: .blocked
Новая записка о выкупе, текстовая: !!!!!!!!Как восстановить файлы!!!!!!!.txt 
Детект на VirusTotal >>>

Содержание записки претерпело незначительные изменения: 
Ваши файлы зашифрованы с использованием крипто-стойкого алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: unlock92@india.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт:
fnjmegsn7tbrrnkl.onion -  там будет указан действующий почтовый ящик. Без браузера TOR зайти на этот сайт невозможно.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

Заявление об используемом алгоритме верно. Файлы шифруются со случайным  открытым ключом RSA-2048, а закрытый ключ шифруется с помощью статического открытого ключа RSA-2048 и сохраняется как keyvalue.bin. Файлы можно дешифровать только с использованием секретного ключа вымогателей.

---------------

Обновление от 20 октября 2016:
Шифрование: RSA-2048
Оригинальное название: BTTP.exe
Вредоносное вложение: карта партнера.doc.exe
Email вымогателей: unlock92@india.com
Tor-ссылка: ezulxxtwqos5g736.onion
Результаты анализов: HAVT
Обнаружения: 
DrWeb -> Trojan.Encoder.6585
ALYac -> Trojan.Ransom.Unlock92
BitDefender -> Generic.Ransom.Unlock92.2E930ACE
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AC
Kaspersky -> Trojan-Ransom.MSIL.Geograph.bv
Microsoft -> Trojan:Win32/Dynamer!ac
Symantec -> Infostealer.Limitail
Tencent -> Msil.Trojan.Geograph.Aiik
TrendMicro -> Ransom_CRYPZXAS.F116JL

Обновление от 27 октября 2016:
C# версия
Оригинальное название: BCART.exe
Вредоносное вложение: pdf.exe
Email вымогателей: unlock92@india.com
Tor-ссылка: ezulxxtwqos5g736.onion
Извлеченные файлы: !!!!!!!!E !!!!!!!.txt, keyvalue.bin, BBhrpau[1].jpg
Результаты анализов: HAVT
Обнаружения: 
DrWeb -> Trojan.Encoder.6634
ALYac -> Trojan.Agent.CAGU
BitDefender -> Trojan.Agent.CAGU
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AC
Kaspersky -> HEUR:Trojan.Win32.Generic
Microsoft -> Trojan:Win32/Vigorf.A
Symantec -> Infostealer.Limitail
Tencent -> Msil.Trojan.Geograph.Svrp
TrendMicro -> Ransom_CRYPZXAS.F116JR

Обновление от 20 ноября 2016:
Новый файл: KSATAT.exe
Новое расширение: .kukaracha
Другие файлы: keycode.tta
Результаты анализов: VT  
Обнаружения: 
DrWeb -> Trojan.Encoder.7097
ALYac -> Trojan.Ransom.Unlock92
BitDefender -> Generic.Ransom.Unlock92.5DB0E0AD
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AC
Kaspersky -> Trojan-Ransom.Win32.Scatter.hx
Microsoft -> Trojan:Win32/Vigorf.A
Symantec -> Infostealer.Limitail
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_CRYPZXAS.F116KI

Обновление от 30 ноября 2016:
Новый файл: LAMAR.exe
Новое расширение: .kukaracha
Email: unlock92@india.com
Tor: ezulxxtwqos5g736.onion
Результаты анализов: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.7236
ALYac -> Trojan.Ransom.Unlock92
BitDefender -> Generic.Ransom.Unlock92.D2069A47
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AC
Kaspersky -> Trojan-Ransom.Win32.Scatter.kq
Microsoft -> Trojan:Win32/Vigorf.A
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_CRYPZXAS.F116KU


Обновление от 16 декабря 2016:
Новый файл: MKEMBE.exe
Новое расширение: .kukaracha
Записка: keycode.tta
Email: unlock92@india.com
Tor: ezulxxtwqos5g736.onion
Результаты анализов: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.7389
ALYac -> Gen:Variant.MSILPerseus.206054
BitDefender -> Gen:Variant.MSILPerseus.206054
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AC
Kaspersky -> HEUR:Trojan.Win32.Generic
Microsoft -> Trojan:Win32/Dynamer!rfn
Symantec -> Infostealer.Limitail
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> TROJ_GEN.R002C0RHQ20


=== 2017 ===

Обновление от 8 июня 2017:
Сообщение >>
Записка: !_ИНСТРУКЦИЯ_!.txt
Расширение: .cr020801
Tor-URL: n3r2kuzhw2h7x6j5.onion
Tor-URL:n3r2kuzhw2h7x6j5.onion.cab
Tor-URL: bf6rqotof6hgyueo.onion
Email: unlckr@protonmail.com

Этот вариант также известен как Unlckr Ransomware. 
Специальный файл: yourkey.ttp или your_key.rsa
Email: вложение: "акт сверки"
JS-файл с расширением .jse


Содержание записки о выкупе: 
Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048. Если хотите их вернуть отправьте один из зашифрованных файлов и файл yourkey.ttp на e-mail: unlckr@protonmail.com 
Если вы не получили ответа в течение суток или письмо возвращается с ошибкой то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт http://n3r2kuzhw2h7x6j5.onion - там будет указан действующий почтовый ящик. 
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

Перевод записки на английский язык (не оригинал):
Your files have been encrypted using the crypto-resistant RSA-2048 algorithm. If you want to return them, send one of the encrypted files and file yourkey.ttp to e-mail: unlckr@protonmail.com
If you do not receive a response within 24 hours or the letter is returned with an error, download the TOR browser from www.torproject.com and use it to go to the site http://n3r2kuzhw2h7x6j5.onion - there you will see the current mailbox.
Attempts to repair files yourself can irretrievably ruin them!
---


Текущий email для связи


Обновление от 18 июля 2017:
Сообщение >>
Расширение: .crptd
Записка: !----README----!.jpg
Email: unlckr@protonmail.com
Файл: naampa.exe (mmspert.exe)
Файл ключа: key.res
Другие файлы: PH02466U.BMP, PH01562U.BMP
Расположения:
%USERPROFILE%\Documents\!----README----!.jpg
%USERPROFILE%\Documents\key.res
URL: xxxx://schemas.openxmlformats.org/drawingml/2006/main
xxxx://n3r2kuzhw2h7x6j5.onion
Результаты анализов: VT + HA
Не дешифруем. Генерирует ключ RSA-2048, использует открытый ключ для прямого шифрования файлов. Закрытый ключ затем шифруется статическим открытым ключом RSA-2048, встроенным во вредонос и сохраняется в файле key.res


Содержание записки о выкупе (original):
 

Ваши файлы зашифрованы с использованием алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл key.res на e-mail:
unlckr@protonmail.com
Если вы не получили ответа в течение суток или письмо возвращается с ошибкой то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт
xxxx://n3r2kuzhw2h7x6j5.onion - там будет указан действующий почтовый ящик.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!
---
Перевод записки на английский язык (Google translator):
Your files are encrypted using the RSA-2048 algorithm.
If you want to return them, send one of the encrypted files and key.res file to e-mail:
unlckr@protonmail.com
If you do not receive a reply within 24 hours or the letter is returned with an error, then download from the site www.torproject.com browser TOR and with his help go to the site
xxxx://n3r2kuzhw2h7x6j5.onion - there will be specified a valid mailbox.
Attempts to repair files yourself can irrevocably ruin them!
---


На сайте показывается текущий email для связи. 


Обновление от 2 августа 2017:
Расширение .blocked
Email: unlock92@india.com
Tor: fnjmegsn7tbrrnkl.onion
Записка: !!!!!!!!Как восстановить файлы!!!!!!!.txt
➤ Содержание:
Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.
Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: unlock92@india.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт:
http://fnjmegsn7tbrrnkl.onion -  там будет указан действующий почтовый ящик. Без браузера TOR зайти на этот сайт невозможно.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!

Обновление от 27 сентября 2017:
Составное расширение: 29112010.xls.id-1C256E56.[decrypt.guarantee@aol.com].block
Email: decrypt.guarantee@aol.com
Тема на форуме >>

Обновление от 14 октября 2017:
Сообщение >>
Название проекта: notrad
Исполняемый файл: notrad.exe
Специальный файл: ktw.sas
Email: unlckr@protonmail.com
Tor-URL: xxxx://n3r2kuzhw2h7x6j5.onion
Результаты анализов: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.14941
ALYac -> Trojan.Ransom.Unlock92
BitDefender -> Trojan.GenericKD.40616376
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AC
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Microsoft -> Ransom:Win32/Genasom
Symantec -> Ransom.CryptXXX
Tencent -> Win32.Trojan.Raas.Auto
TrendMicro -> Ransom_CRYPZXAS.K


Обновление от 26 ноября 2017 года:
Расширение: .MAY3321LTO
Файлы: %AppData%\<random4>.exe
Пример темы на форуме >>


Обновление от 22-27 декабря 2017:
Email: unlckr@protonmail.com
Tor-URL: n3r2kuzhw2h7x6j5.onion
Специальный файл: faee.op2 
Файлы: <random>.js, sdfg.xt (mssgt.xat), srvrss.xt (altarna.exe), DelShadows.exe
Результаты анализов: HA + VT
➤ Записка на обоях: READ ME.jpg
Ваши файлы зашифрованы с использованием алгоритма RSA-2048.
Если вы хотите их вернуть то отправьте один из зашифрованных файлов а так же файл faee.op2 
на e-mail: unlckr@protonmail.com
Если вы не получили ответ в течение суток то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт http://n3r2kuzhw2h7x6j5.onion - там будет указан действующий почтовый ящик.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить! 


 Скриншот изображения на обоях и действующий email



=== 2018 ===


Обновление от 6 марта 2018:
Вместо расширения используется вставка между именем и расширением файла.
Пример такого недорасширения: image005_qb10oypd12d.jpg
Делает также незашифрованные копии файлов с добавлением в название строки decryptedKLR
Пример такого файла: report002.decryptedKLR.xls
Записка: ЧТO ДEЛAТЬ ДЛЯ ВОССТАНОВЛЕНИЯ ФAЙЛOB.txt


➤ Содержание записки:
Ваши файлы зашифрoваны. 
Если хoтитe их вeрнуть oтпрaвьтe oдин из зaшифрoвaнных фaйлoв нa почту: unlckr@protonmail.com 
Если вы нe пoлучили oтвeтa в тeчeниe сутoк тo скaчaйтe с сaйтa www.torproject.con брaузeр  TOR 
и с eгo пoмoщью зaйдитe нa сaйт: http://n3r2kuzhw2h7x6j5.onion  -  тaм будeт укaзaн дeйствующий пoчтoвый ящик. 
Пoпытки сaмoстoятeльнoгo вoсстaнoвлeния фaйлoв мoгут окончательно их испoртить!
Примечательно, что система правописания выдаёт факт использования в русском тексте записки некиррилических символов. Вот как это выглядит:
Tor-URL: xxxx://n3r2kuzhw2h7x6j5.onion/
Email: unlckr@protonmail.com
Топик на форуме >>


Обновление от 21 марта 2018:
Вместо расширения используется вставка между именем и расширением файла.
Пример такого недорасширения: image005_av32iipk23y.jpg
Записка: aviipkyduplokyfnuvve.html
Записка добавляется в Автозагрузку системы и находится по пути:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\aviipkyduplokyfnuvve.html 
Tor-URL: n3r2kuzhw2h7x6j5.onion/
Email: unlckr@protonmail.com
Топик на форуме >>
Содержание записки:
Ваши файлы зашифрoваны. Если хoтитe их вeрнуть oтпрaвьтe oдин из зaшифрoвaнных фaйлoв нa почту: unlckr@protonmail.com Если вы нe пoлучили oтвeтa в тeчeниe сутoк тo скaчaйтe с сaйтa www.torproject.con брaузeр TOR и с eгo пoмoщью зaйдитe нa сaйт: http://n3r2kuzhw2h7x6j5.onion - тaм будeт укaзaн дeйствующий пoчтoвый ящик. Пoпытки сaмoстoятeльнoгo вoсстaнoвлeния фaйлoв мoгут окончательно их испoртить!
Примечательно, что и в этом случае система правописания выдаёт факт использования в русском тексте записки некиррилических символов. Вот как это выглядит:



Обновление мая 2018:
Изменился формат зашифрованных файлов.
Изменился email вымогателей: un92@protonmail.com


Обновление от 3 мая 2018 года:
Никакое расширение не добавляется. 
Записка о выкупе в виде файла qtekaadhxdli.jpg
Email: un92@protonmail.com
Tor-URL: n3r2kuzhw2h7x6j5.onion
Топик на форуме >>
Скриншот записки >> 



Обновление от 15 мая 2018 года:
Никакое расширение не добавляется. 
Записка о выкупе в виде файла jlocagtsclm.jpg
Добавляется в автозагрузку системы:
C:\Users\User_name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jlocagtsclm.jpg
Email: un92@protonmail.com
Записка на картинке как в обновлении от 3 мая 2018. 
Топик на форуме >>


Обновление от 21 мая 2018:
Сообщение >>
Видеообзор >>
Расширение: .cdrpt
Email: un92@protonmail.com
Tor-URL: n3r2kuzhw2h7x6j5.onion/
Файл: onastt.exe
Скриншот записки о выкупе (картинка на Рабочем столе) и новый email. 




Обновление от 1 октября 2018:

Сообщение >>
Расширение: .<random>@LOCKED
Пример зашифрованного файла: Ведомость.s23bn30@LOCKED
Email: unk921@protonmail.com
URL: xxxx://n3r2kuzhw2hx6j5.onion
xxxxs://n3r2kuzhw2h7x6j5.tor2web.io/
Записка: <random>.txt - в названии случайные символы, например: tfjmabjodqkb.txt


➤ Содержание записки: 
Ваши файлы зашифрованы.
Если хотите их вернуть отправьте один из зашифрованных файлов на e-mail: unk921@protonmail.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.com браузер  TOR
и с его помощью зайдите на сайт: http://n3r2kuzhw2hx6j5.onion (https://n3r2kuzhw2h7x6j5.tor2web.io/
- с любого другого браузера без использования TOR)
-  там будет указан действующий почтовый ящик.
Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!
Your files have been encrypted.
If you want to restore files, send one more file us to the e-mail: unk921@protonmail.com
Only in case you do not receive a response from the first email address
withit 24 hours, please use use TOR browser from www.torproject.com and see current
e-mail in http://n3r2kuzhw2hx6j5.onion (https://n3r2kuzhw2h7x6j5.tor2web.io/ - from any other browser w/o using a TOR)
Using another tools could corrupt your files, in case of using third party
software we dont give guarantees that full recovery is possible so use it on your own risk.

Скриншот с действующим email


*** пропущенные варианты ***


=== 2020 ===

Обновление от 20 ноября 2020: 
Самоназвание: ABMART
Расширение: .blocked
Файл ключа: keyvalue.bin
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.33120
BitDefender -> Generic.Ransom.Unlock92.789E025B
ESET-NOD32 -> A Variant Of MSIL/Filecoder.AC
Microsoft -> Trojan:Win32/Dynamer!ac
TrendMicro -> Ransom_Gen.R002C0GKF20




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!!! 
Для зашифрованных файлов 1-й версии Unlock92 есть декриптер.
Скачать Unlock92 Decrypter для 1-й версии Unlock92 >> 
***
При терпении и упорстве файлы новых версий можно исправить вручную. 
Это касается фото, текст-файлов, архивов, таблиц, 1С и прочие файлы. 
Странно, что это до сих пор не исправляется бесплатными дешифраторами. 
***
Я не знаю, поможет ли...
ЛК определяет этот Ransomware как Trojan-Ransom.Win32.Scatter 
и предлагает воспользоваться утилитой ScatterDecryptor, 
чтобы расшифровать файлы. 
Ссылка на статью и дешифровщик >>
Увы... 
Для зашифрованных файлов 2-й и новыми версиями Unlock92 нет других дешифровщиков. 
 Read to links: 
 ID Ransomware (Unlock92 и Unlock92 2.0)
 Write-up, Topic of Support 
Если вы пострадали от 2-й или более новой версии шифровальщика, то обращайтесь на форум BleepingComputer (см. ссылку выше). 
 Thanks: 
 Lawrence Abrams, Michael Gillespie
 MalwareHunterTeam, Alex Svirid
 Andrew Ivanov (author)

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *