Shark RaaS

Shark Ransomware 

   Этот вымогательский Project Shark даёт потенциальным преступникам возможность создавать своих собственных вымогателей, настраиваемых под свои желания без необходимости иметь навыки в программировании. Достаточно просто заполнить форму и нажать на кнопку создания собственного вымогателя. При использовании этого сервиса разработчики Shark RaaS будут удерживать 20% от платежей за выкуп и отдавать оставшуюся наибольшую часть дистрибьюторам-аффилятам. 

★ Для справки:
RaaS (Ransomware as a Service) — вымогатель как услуга, бизнес-модель. Стоимость услуги составляет обычно 20-30% от суммы выкупа, установленного для жертвы вымогателем. Оплата выкупа производится только в Bitcoin. Разработчики проекта удерживают установленный процент, а остальную сумму переводят своим аффилятам.

Релизный Project Shark начал работу в июле 2016 года и был размещен на общедоступном сайте на базе WordPress. Это необычно, так как RaaS и разработчики вымогателей, как правило, размещают свои сайты в сети анонимных ссылок TOR, т.к. это затрудняет властям поиск и идентификацию преступников. 

Любой желающий стать партнером-дистрибьютором [одновременно и подельником киберперступников!] по распространению крипто-вымогателей может просто зайти на сайт и, нажав на кнопку загрузки, загрузить файл PayloadBundle.zip. 

В этом архиве содержится крипто-строитель (крипто-конструктор) Payload Builder.exe, текстовая записка Readme.txt и готовый исполняемый файл вымогателя Shark.exe. 

Если по неосторожности запустить исполняемый файл ради посмотреть, то он сразу начнет свою работу по шифрованию файлов. Вымогательство — это преступление, а не игра.

Большинство вымогателей в качестве предлагаемых услуг используют свой веб-сайт, чтобы позволить настроить исполняемый файл до его загрузки. Shark RaaS делает иначе, т.к. предоставляет базовый исполняемый файл вымогателей, позволяя потенциальным преступникам самим, на своем ПК, сгенерировать желаемую конфигурацию, изменяя функциональность базового комплекта вымогателя, и создать собственный вымогатель.

Для этого настраиваются параметры конфигурации: Bitcoin-адрес, директории размещения, форматы целевых файлов, сумма выкупа, включая цены по странам, email-адрес для контакта. К зашифрованным файлам будет добавляться расширение .locked 

Имя каждого зашифрованного файла будет храниться в специальном файле files.ini в директории %UserProfile%\AppData\Roaming\Settings\ . Также будет извлечен exe-файл со случайным именем под названием "Decrypter" в  директорию %UserProfile%\AppData\Roaming\Settings.

Когда закончится шифрование, будет запущен "Decrypter", в окне которого говорится "Data on this device were locked" (Данные на этом устройстве были заблокированы), а на третьем шаге процесса, объясняется, как платить выкуп. Жертва может выбрать 30 различных языков для отображения инструкции в экрана декриптора.

От жертвы требуется ввести свой email-адрес, а затем произвести оплату по указанному Bitcoin-адресу. Затем сообщается, что пароль будет отправлен жертве после произведения ею оплаты.

Если будет какая-либо дополнительная информация, то я обновлю эту статью. Источник. 

Распространяется как услуга — RaaS. 

Определяется продуктами Symantec как Trojan.Ransomcrypt.BG >>

 Список файловых расширений, подвергающихся шифрованию: 
.bmp, .doc, .docx, .gif, .jpeg, .jpg, .m4v, .mp4, .odt, .pdf, .png, .ppt, .pptx, .psd, .rtf, .txt, .xls, .xlsx (18 расширений).

 Это умолчательный список. Нужный список также задаётся клиентом в Payload Builder.exe. 

Файлы, связанные с Shark Ransomware: 
Payload Builder.exe
%AppData%\Settings\[Random_chars].exe 
%AppData%\Settings\file.ini 
%SystemDrive%\Documents and Settings\All Users\Desktop\UNLOCK ME.url 

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\decrypter=%AppData%\Settings\[Random_chars].exe 

Результаты анализов:
Symantec: Ransom.SharkRaaS >>

 Степень распространённости: пока не определена. 
 Подробные сведения собираются.

Korean

Korean Ransomware

Korean Talk Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Название неизвестно. 

 К зашифрованным файлам добавляется расширение .암호화됨 (т.е. "Зашифровано" на русском или "Encrypted" на английском). 
Ориентирован на корейских пользователей. 

© Hidden Tear >> Korean Ransomware

Записки с требованием выкупа называются: ReadMe.txt и скринлок на экране. Перевод автора блога. 

Содержание записки:

당신 의 파일 이 암호화 되었습니다. zMUTnnIOp/Ns&3G[Password]

Перевод текста из записки на русский:

Ваши файлы были зашифрованы. zMUTnnIOp/Ns&3G[Password]

1-й экран (для уведомления)

2-й экран (для проведения оплаты)

Содержание текста с 1-го экрана: 
당신의 파일이 암호화 되었습니다.
토르 브라우저틑 다운로드하고 
xxxx://www.torproject.org/projects/torbrowser.html.en
xxxx://t352fwt225ao5mom.onion
당신의 이툴 입력하써요 그후
절 에 프로에스튠 진행하십 시요

Перевод текста с 1-го экрана на русский язык: 
Ваши файлы были зашифрованы.
Загрузите и установите Tor-браузер
http://www.torproject.org/projects/torbrowser.html.en
http://t352fwt225ao5mom.onion
Откройте и введите ваш ID-код
Следуйте инструкциям на сайте.

Перевод текста со 2-го экрана на русский язык: 
Ваши файлы были зашифрованы.
Перейти по адресу для оплаты
xxxx://2dasasfwt225dfs5mom.onion.city
Проверьте информацию для дешифрования.
Вернуться на сайт дешифрования. 
Требуется Tor-браузер.


На сайте t352fwt225ao5mom.onion можно выбрать язык интерфейса из 25 языков (русского нет). Напоминает сервис дешифровки от CrypMIC, видимо ему и подражает. Корейские версии CryptoLocker и Radamant, в том числе и подражательские, в прошлом году были наиболее распространенными крипто-вымогателями для корейских пользователей. 

Как можно увидеть из надписи на сайте, этот "Decryption service" вымогателей работает уже 2 месяца. 

 Распространяется с помощью email-спама и вредоносных вложений. 

 Список файловых расширений, подвергающихся шифрованию: 
Как минимум для вымогателей на основе Hidden Tear: 
.asp, .aspx, .bat, .bmp, .csv, .doc, .docx, .html, .hwp, .java, .jpg, .kys, .mdb, .mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rtf, .sln, .sql, .txt, .URL, .xls, .xlsx, .xml, .zip,  (30 расширений). 

 Файлы, связанные с Ransomware: 
ReadMe.txt
<random>.exe

 Расположения: 
C:\Users\User_Name\Desktop\ReadMe.txt

 Сетевые подключения и связи: 
Email: powerhacker03@hotmail.com
xxxx://www.torproject.org/projects/torbrowser.html.en
xxxx://t352fwt225ao5mom.onion
xxxx://2dasasfwt225dfs5mom.onion.city

Результаты анализов: 
Детект на VirusTotal >>

 Степень распространённости: низкая (только для одной страны). 
 Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

PokemonGO

PokemonGO Ransomware 

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, но никакой привычной в биткоинах суммы выкупа не сообщает, чтобы вернуть файлы обратно. Название происходит от популярной игры для мобильных устройств, персонажа из которой вымогатели используют. 

© Генеалогия: Hidden Tear >> PokemonGO

К зашифрованным файлам добавляется расширение .locked. 
Ориентирован на арабских пользователей. 

  Записка с требованием выкупа называется: هام جدا.txt ("Очень важно" на арабском).

Содержание записки о выкупе: 
(: لقد تم تشفير ملفاتكم، لفك الشفرة فلكسي موبيليس للعنوان التالي me.blackhat20152015@mt2015.com وشكرا على كرمكم مسبقا 

Перевод записки на русский язык (Google Translation): 
(: Ваши файлы были зашифрованы, дешифровка Falaksa Mobilis на следующий адрес me.blackhat20152015@mt2015.com и заранее благодарим вас за вашу щедрость.

Вымогатель использует значок покемон-персонажа Pikachu.

Этот криптовымогатель также устанавливает в систему скринсейвер (заставку), которая демонстрирует Пикачу на чёрном экране с надписью на арабском языке. Кажется это первый случай использования вымогателями собственной заставки вместо обоев. Видимо, покемоны очень популярны в арабских странах. Никогда бы не подумал. :)

Распространяется с помощью загружаемых инфицированных файлов. Добавляется в Автозагрузку системы, чтобы запускаться при каждом входе пользователя в систему. Также создается учетная запись нового пользователя Hack3r (типа: хакер) с правами администратора. 

Затем он скрывает эту учетную запись от просмотра на экране входа в Windows, путем внесения изменения в реестре: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList "Hack3r" = 0

PokemonGo пытается распространить себя путем копирования исполняемого файла на все съёмные диски. Для этого он создает файл Autorun.inf, чтобы вымогатель запускался каждый раз, когда кто-то вставляет съемный диск в ПК. Содержимое этого файла Autorun.inf следующее:
[AutoRun]
OPEN=PokemonGo.exe
ICON=PokemonGo.exe

PokemonGo также копирует исполняемый файл в корневой каталог каждого локального диска и устанавливает запись автозапуска с именем PokemonGo, чтобы запускать его, когда пользователь входит в систему Windows.

Вероятно, вымогатель на момент написания статьи был тестовым или недоработанным вариантом. В частности, об этом говорит использование статического AES-ключа 123vivalalgerie. 

Название этого ключа содержит фразу "vivalalgerie" (Виват Алжир), что указывает на алжирское происхождение разработчика крипто-вымогателя. 

В релизном варианте Pokemon-вымогатель будет генерировать произвольный ключ и загружать его на C&C-сервер своего разработчика. Расширенный анализ. 

Список файловых расширений, подвергающихся шифрованию: 
.asp, .aspx, .csv, .doc, .docx, .gif, .htm, .html, .jpg, .mdb, .mht, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rtf,  .sln, .sql, .txt, .xls, .xlsx, .xml (25 расширений). 

Файлы, связанные с Ransomware: 
 C:\Users\User_name\Desktop\pk - (пароль)
 C:\Users\User_name\Desktop\هام جدا.txt - (записка о выкупе)
 %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[random].exe     PokemonGo.exe  - (случайное название для этого экземпляра).

Записи реестра, связанные с Ransomware: 
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "PokemonGo"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\Hack3r

Сетевые подключения и связи:
URL: xxxxs://pokemongo.icu/


Степень распространённости: средняя (с новыми вариантами). 
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

Smrss32

Smrss32 Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Название получил от исполняемого файла smrss32.exe. 

К зашифрованным файлам добавляется расширение .encrypted. 

Активность этого крипто-вымогателя пришлась на июнь-июль 2016 г., но по всей видимости использование будет продолжено. 

  Записка с требованием выкупа называется _HOW_TO_Decrypt.bmp и располагается в каждой папке с зашифрованными файлами. 

Также используется файл wallpaper.bmp с аналогичным содержанием, встающий обоями рабочего стола. Судя по содержанию, выдает себя за CryptoWall Software, коим не является. 

 Содержание записки о выкупе (левая часть скриншота):
INTRODUCTION
Data encryption involves converting and transforming data into scrambled, unreadable, cipher-text using non-readable mathematical calculations and algorithms Restoring requires a corresponding decryption algorithm in form of software and the decryption key.
Data encryption is the process of transforming information by using some algorithm to make it unreadable to anyone except those possessing a key.
In addition to the private key you need the decryption software with which you can decrypt your files and return everything to the same level as it was in the first place. Any attempts to try restore you files with the third-party tools will be fatal for your encrypted content.
I almost understood but what do I have to do?
The first thing you should do is to read the instructions to the end. Your files have been encrypted with the "CryptoWall" Software The instructions, along with encrypted files are not viruses, they are you helpers After reading this text, 99% of people turn to a search engine with the word "CryptoWall" where you'll find a lot of thoughts, advices and instructions.
Unfortunately, antivirus companies are not and will not be able to restore your files. Moreover, they make things worse by removing instructions to restore encrypted content Antivirus companies will not be able to help decrypt your encrypted data, unless the correct software and unique decryption key is used.
Fortunately, our team is ready to help to provide instructions to decrypt your encrypted content. Keep in mind that the worse has already happened and the further life of your files directly depends on determination and speed of your actions. Therefore, we advice not to delay and follow "HOW TO DECRYPT" instructions. 
After purchasing a software package with the unique decryption key you'll be able to:
1. Decrypt all your files
2. Work with your documents
3. View your photos and other media content
4. Continue habitual and comfortable work at your computer
If you are aware of the whole importance and criticality of the situation, then we suggest to go directly to the below "HOW TO DECRYPT" instructions where you will be given final simple steps, as well as guarantees to restore your files.

 Перевод на русский язык (стиль авторов сохранён): 
ВВЕДЕНИЕ
Шифрование данных состоит из преобразования и трансформации данных в непонятный, нечитаемый, шифрованный текст с использованием алгоритмов шифрования. Восстановление требует соответствующего алгоритма дешифрования в виде ПО и ключа дешифрования.
Шифрование данных представляет собой процесс преобразования информации с помощью некоего алгоритма, чтобы сделать его нечитаемым никому, кроме тех, кто обладает ключом.
В дополнение к закрытому ключу требуется ПО дешифрования, с помощью которого можно расшифровать файлы и вернуть все на том же уровне, как это было в первую очередь. Любые попытки восстановить вам файлы с помощью иных инструментов будут фатальным для вашего зашифрованного контента.
Я почти понял, но что я должен делать?
Первое, что вы должны сделать, это прочитать инструкцию до конца. Ваши файлы были зашифрованы CryptoWall Software. Инструкции вместе с зашифрованными файлами не являются вирусами, они помогут вам после прочтения этого текста, 99% людей обращаются к поисковой системе со словом "CryptoWall", где вы найдёте много мыслей, советов и инструкций.
К сожалению, антивирусные компании не смогут восстановить ваши файлы. Кроме того, они сделают хуже, удалив инструкции для восстановления зашифрованного контента. Антивирусные компании не смогут помочь расшифровать зашифрованные данные, если не используется правильное программное обеспечение и уникальный ключ дешифрования.
К счастью, наша команда готова помочь предоставить инструкции для расшифровки зашифрованного контента. Имейте в виду, что худшее уже произошло, и дальнейшая жизнь ваших файлов напрямую зависит от точности и скорости ваших действий. Поэтому мы рекомендуем не затягивать и следовать инструкции "HOW TO DECRYPT".
После покупки пакета ПО с уникальным ключом дешифрования вы сможете:
1. Расшифровать все файлы
2. Работать с документами
3. Просматривать фотографий и другие медиа-файлы
4. Продолжить привычную и комфортную работу на вашем компьютере
Если вы узнали о всей важности и критичности ситуации, то мы предлагаем перейти непосредственно к инструкции "HOW TO DECRYPT", где будут описаны завершающие простые шаги, а также гарантии для восстановления файлов.

Технические детали

Распространяется через спам с вложениями, в которых могут присутствовать новости о претендентах на пост президента США (на английском, испанском, бразильском и прочих языках). 

Зачастую устанавливается вручную после взлома систем при подключении к удаленному рабочему столу по протоколу RDP.

Почему это возможно? 
Есть много различных способов взлома RDP-подключений, но чаще используется IP-сканер,  с помощью которого хакеры выбирают стандартный порт 3389 для сканирования определенного диапазона IP-адресов. Хакерская программа находит и сохраняет список найденных IP-адресов, потом подключается к каждому найденному компьютеру и в автоматическом режиме методом перебора пытается ввести логин и пароль. При успешном входе в аккаунт администратора хакеры получают полный доступ к его ПК и компьютерам его сети.

 Список файловых расширений, подвергающихся шифрованию: 

.18113 .3gp2 .3gpp .8pbs .acs2 .acsm .aifc .aiff .albm .amff .ascx .asmx .aspx .azw3 .back .backup .backupdb .bank .bdmv .blob .bndl .book .bsdl .cache .calb .cals .cctor .cdda .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .ciff .class .clipflair  .clpi .conf .config .contact .craw .crtr .crtx .ctor .ctuxa .d3dbsp .data .dazip .ddat .ddoc .ddrw .desc .divx .djvu .dmsk .dnax .docb .docm .docx .dotm .dotx .dsp2 .dump .encrypted .epfs .epub .exif .fh10 .flac .fmpp .forge .fsproj .gray .grey .group .gtif .gzip .h264 .hkdb .hplg .html .hvpl .ibank .icns .icxs .ilbm .im30 .incpas .indd .indt .ipsw .itc2 .itdb .ithmb .iw44 .java .jfif .jhtml .jnlp .jpeg .json .kdbx .kext .keychain .keychain .kpdx .lang .latex .lay6 .layout .ldif .litemod .log1 .log2 .log3 .log4 .log5 .log6 .log7 .log8 .log9 .m2ts .m3url .macp .maff .mcmeta .mdbackup .mddata .mdmp .menu .midi .mobi .moneywell .mp2v .mpeg .mpga .mpls .mpnt .mpqge .mpv2 .mrwref .ms11 .msmessagestore .mspx .mswmm .oeaccount .opus .otpsc .pack .pages .paint .phtml .pict .pj64 .pkpass .pntg .potm .potx .ppam .ppsm .ppsx .pptm .pptx .ppxps .psafe3 .psmdoc .pspimage .qcow2 .qdat .qzip .rels .rgss3a .rmvb .rofl .rppm .rtsp .s3db  .sas7bcat .sas7bdat .sas7bndx .sas7bpgm .sas7bvew .sidd .sidn .sitx .skin .sldm .sldx .smil  .sqlitedb .svg2 .svgz .targa .temp .test .text .tiff .tmpl .torrent .trace .tt10 .uns2 .urls .user .vcmf .vfs0 .view .vmdk .wallet .wbmp .webm .webp .wlmp .wotreplay .wrml .xbel .xfdl .xhtml .xlam .xlsb .xlsm .xlsx .xltm .xltx .xspf .xvid .ycbcra .ychat .yenc .zdct .zhtml .zipx .ztmp (233 расширения; список очищен от дублей типа .BACKUPDB и .backupdb). 

Шифровальщиком пропускаются файлы с расширением .bmp, чтобы не затронуть файл с вымогательским текстом. 

При расширенном анализе других образцов было обнаружено, что весь список расширений содержит 6674 расширения, но в нем почти половина — это дубликаты в верхнем и нижнем регистре. 

При шифровании пропускаются папки и файлы, находящиеся в следующих директориях:
AppData, Application Data, Boot, Games, Program Files, Program Files (x86), Program Data, Sample Music, Sample Pictures, System Volume Information, Temp, Windows, cache, tmp, winnt и thumbs.db. 

 Файлы и папки, связанные с Ransomware:
_HOW_TO_Decrypt.bmp
wallpaper.bmp
smrss32.exe - исполняемый файл вымогателя
%ALLUSERSPROFILE%\Wallpaper
%ALLUSERSPROFILE%\Wallpaper\wallpaper.bmp

Сетевые подключения и связи:
Email: helprecover@ghostmail.com

Гибридный анализ >>
VirusTotal анализ >>

 Степень распространённости: низкая. 
 Подробные сведения собираются.

REKTLocker

REKTLocker Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью 2048-битного шифрования, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. На самом деле шифрование производится с помощью AES, а криптовымогатель основан на исходном коде HiddenTear. К зашифрованным файлам добавляется расширение .rekt.

© Генеалогия: HiddenTear >> REKTLocker 

 Записка с требованием выкупа называется Readme.txt. К ней добавляется скринлок. 

Текст со скринлока:
Your PC has been locked with 2048 bit encryption. REKTLocker.

Перевод на русский:
Ваш ПК заблокирован с 2048-бит шифрованием. REKTLocker.

 Содержание текстовой записки о выкупе: 
Your computer has been encrypted.
Send 1 BTC to *** or your files will be permanently encrypted.
Decryptor:
other peoples keys will not work on your computer.
Do not think your antivirus will save you, it will not.

 Перевод записки на русский язык: 
Ваш компьютер был зашифрован.
Отправь 1 BTC на *** или файлы останутся зашифрованными.
Декриптор:
ключи других людей не будут работать на вашем ПК.
Не думайте, что ваш антивирус спасет вас, это не так.

 Распространяется с помощью email-спама и вредоносных вложений. 

 Список файловых расширений, подвергающихся шифрованию: 

.3gp, .7z, .apk, .asm, .avi, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cs, .css, .csv, .dacpac, .dat, .db, .db3, .dbf, .dbx, .dcx, .djvu, .doc, .docm, .docx, .drw, .dwg, .dxf, .epub, .fb2, .flv, .gif, .gz, .ibooks, .iso, .java, .jpeg, .jpg, .js, .key, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .tbl, .tif, .tiff, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (97 расширений).

ВАЖНО!!! В данном случае нет никакого способа связи с вымогателями после уплаты выкупа. Таким образом становится ясно, что дешифровка и не планировалась. Тот, кто переведёт деньги, потеряет и деньги, и данные.  Теневые копии файлов REKTLocker не удаляет, поэтому их можно использовать для восстановления части своих данных. 

 Степень распространённости: низкая. 
 Подробные сведения собираются.

Hitler

Hitler Ransomware

(фейк-шифровальщик, шифровальщик-вымогатель)

   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 25 Евро с Vodafone Card, чтобы вернуть файлы обратно. 

  Записки с требованием выкупа нет. Вместо неё используется экран блокировки, отображающий Гитлера с поднятой рукой, на котором имеется короткая фраза о том, что файлы были зашифрованы. Для оплаты выкупа за дешифровку нужно ввести код с 25-евровой Vodafone Card и нажать жёлтую кнопку "Decrypt" для запуска процесса дешифровки. Разработчик, судя по всему, немецкого происхождения и не слишком грамотный, раз допустил ошибку в названии Hitler-Ransonware (буква "n" вместо правильной "m").

Экран блокировки вымогателя

Изображение я размыл в фоторедакторе. Как выглядит оригинальный экран блокировки, см. здесь. 

Как было обнаружено, этот вымогатель всего лишь тестовый вариант. Его разработчик рассказал это в краткой фразе в пакетном файле. 

Шифрование файлов вообще не производится, а вместо этого удаляются расширения у всех файлов в следующих каталогах:
%userprofile%\Pictures
%userprofile%\Documents
%userprofile%\Downloads
%userprofile%\Music
%userprofile%\Videos
%userprofile%\Contacts
%userprofile%\Links
%userprofile%\Desktop
C:\Users\Public\Pictures\Sample Pictures
C:\Users\Public\Music\Sample Music
C:\Users\Public\Videos\Sample Videos

После этой операции вымогатель выставляет экран блокировки с текстом условий, ниже которого включается обратный отсчет времени. Через час он вырубает компьютер в синий BSOD-экран, который будет висеть, пока жертва не перезагрузит ПК. При перезагрузке Hitler-вымогатель удалит все файлы, находящиеся в директории пользователя %USERPROFILE%.

Подробности о файлах вымогателя:
Основным исполняемым файлом вымогателя является пакетный файл, который преобразуется в exe-файл в купе с другими файлами (chrst.exe, ErOne.vbs, firefox32.exe), у каждого из которых свои задачи.
Файл chrset.exe отображает экран блокировки с таймером, через час завершает системный процесс csrss.exe, что приводит к BSOD-у. После перезагрузки и входа в систему автоматически запускается файл firefox32.exe и удаляет все файлы в папке% USERPROFILE%. Файл ErOne.vbs выводит алерты типа "Файл не найден" после удаления расширений файлов и других своих операций, чтобы заставить жертву думать, что программа, которую он хочет запустить, просто некорректно работает.

VBS-алерт, как результат работы файла ErOne.vbs

BSOD, вызванный завершением процесса csrss.exe

Удаление файлов, произведенное файлом firefox32.exe

Файлы, связанные с Hitler Ransomware
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\firefox32.exe
%Temp%\[folder].tmp\
%Temp%\[folder].tmp\chrst.exe
%Temp%\[folder].tmp\ErOne.vbs
%Temp%\[folder].tmp\firefox32.exe
ExtraTools.bat
ExtraTools.exe
ErOne.vbs
ransomware_hitler.exe

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
Symantec: Ransom.Hit >>

Т.к. файлы всё же не шифруются, то я отношу Hitler Ransomware к фейк-шифровальщикам. В новой версии шифрование уже может быть реализовано. 

Степень распространённости: низкая. 

Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 сентября 2016:
Название: CainXPii
Расширение .CainXPii
Шифрование: нет. 
См. статью CainXPii Ransomware 


Обновление от 28 января 2017:
Пост в Твиттере >>
Hitler Ransomware финальная версия
Расширение: .Nazi
Файлы: HitlerRansom.exe, YOUR-BILL.pdf.exe
Фальш-имя: Adobe Reader
Результаты анализов: HA+VT
<< Экран блокировки
Судя по некоторым местам экрана блокировки этого Ransomware, то и эта "финальная" версия еще далека до релизной версии. 



Обновление от 6 ноября 2017:
Пост в Твиттере >>
🎥 Видеообзор >>
Название: Adolf Hitler
Файл: Adolf Hitler.exe
Шифрование: есть
Расширение: .AdolfHitler
Сумма выкупа: 20€ в BTC
BTC: 1GoD72v5gDyWxgPuBph7zQwvR6bFZyZnrB
Страны: Китай, Гонконг.
Результаты анализов: HA+VT
Скриншоты (изображение на обоях и экран блокировки):

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. Используется RDP для проникновения.  
Не знаю, является ли эта версия продолжением первой, представленной во главе статьи, но делать ещё одну статью с фотографиями Гитлера я бы не стал. 

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 JAMESWT‏ 
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Anti-1C, RDP-WinRAR

Anti-1C Ransomware

RDP-WinRAR Ransomware

(rar-вымогатель)

Этот rar-вымогатель блокирует данные ПО 1С и другие базы данных на серверах и помещает их в архив, защищённый паролем, а затем требует написать на email вымогателей, чтобы заплатить выкуп, получить пароль и вернуть файлы. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: архиваторы-вымогатели >> RDP-WinRAR, Anti-1C

К заблокированным в архив файлам добавляется расширение .rar

Активность этого крипто-вымогателя известна с 2016 по 2017 г. Ориентирован на русскоязычных пользователей и серверы с настройками по умолчанию, что позволяет распространять его и в других странах.

Записка с требованием выкупа называется: любое произвольное название на русском языке: Важно!!!.txt, Прочтите!!!.txt и пр.

Перевод записки на русский язык (август 2016):
К Вашему серверу был получен доступ в связи с непрофессиональной настройкой безопасности.
Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем.
Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль. 
За паролем, Вы можете обратиться, написав на электронный адрес winrar@protonmail.com
В письме укажите свой ip адрес 00.000.000.000
Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем.

Перевод записки на русский язык (ноябрь 2017):
К Вашему серверу был получен доступ в связи с непрофессиональной настройкой безопасности.
Ваши базы и файлы были архивированы при помощи архиватора WinRAR с паролем.
Для просмотра файлов откройте архив, для распаковки файлов требуется ввести пароль. 
За паролем, Вы можете обратиться, написав на электронный адрес si4im@protonmail.com
В письме укажите свой ip адрес 00.000.000.000
Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем.

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. 
Вполне возможно, что затем выполняется ручное архивирование файлов после входа на взломанный сервер. 

Также может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ ВНИМАНИЕ! В качестве дополнительного средства злоумышленниками может использоваться легитимная программа Process Hacker или ей подобная. Проверьте, не появилась ли папка "Process Hacker 2" в корневых директориях дисков и в директориях Пользователя: "Документы", "Музыка", "Видео". 

➤ Перед шифрованием с помощью хакерских инструментов останавливает ряд служб, в том числе 1С и SQL, которые в данный момент выполняются.  

Список файловых расширений, подвергающихся шифрованию:
Файлы 1С и базы данных не шифруются, а только помещаются в архив. 

Файлы, связанные с этим Ransomware:
файл-архив (.zip или .rar): 
файл или файлы шифровальщика, 
файл rar.exe, 
файл processhacker.exe

Расположения:
C:\ ->
корневая директория сервера с настройками по умолчанию (открытый RDP)

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: winrar@protonmail.com
si4im@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 *
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

VenusLocker

VenusLocker Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в $100 в биткоинах (0,15 биткоина), чтобы вернуть файлы обратно. Есть случаи, когда сумма выкупа гораздо больше - $500. На уплату выкупа даётся только 72 часа. К зашифрованным файлам добавляется расширение .Venusf или .Venusp. Другие названия: Enciphered, Crypmod. Написан на .NET Framework.

© Генеалогия: EDA2 >> VenusLocker
    VenusLocker > TrumpLocker 
    VenusLocker > LLTP Locker 

Записка с требованием выкупа называется: ReadMe.txt

К ней добавляется экран блокировки VenusLocker и изображение bg.jpg в стиле Anonymous, встающее обоями рабочего стола.

Содержание записки о выкупе:
--- Venus Locker ---
Unfortunately, you are hacked.
1. What happened to my files?
Your personal files, including your photos, documents, videos and other important files on this computer, have been encrypted with RSA-4096, a strong encryption algorithm. RSA algorithm generates a public key and a private key for your computer. The public key was used to encrypt your files a moment ago. The private key is necessary for you to decrypt and recover your files. Now, your private key is stored on our secret Internet server. And there is no doubt that no one can recover your files without your private key.
For further information about RSA algorithm, please refer to https://en.wikipedia.org/wiki/RSA_(cryptosystem)

2. How to decrypt my files?
To decrypt and recover your files, you have to pay 100 US Dollars for the private key and decryption service. Please note that you have ONLY 72 HOURS to complete your payment. If your peyment do not be completed within time limit, your private key will be deleted automatically by our server. All your files will be permanently encrypted and nobody can recover them. Therefore, it is advised that you'd better not waste your time, because there is no other way to recover your files except making a payment.

3. How to pay for my private key?
There are three steps to make a payment and recover your files:
1). For the security of transactions, all the payments must be completed via Bitcoin network. Thus, you need to exchange 100 US dollars (or equivalent local currencies) to Bitcoins, and then send these Bitcoins (about 0.15 BTC) to the following address. 1Dj9YnMiciNgaKuyzKynygu7nB21tvV6QD
2). Send your personal ID to our official email: VenusLocker@mail2tor.com
Your personal ID is cc673bcfcf644d2c1a88893cb0ff8fa7
3). You will receive a decryptor and your private key to recover all your files within one working day.

4. What is Bitcoin?
Bitcoin is an innovative payment network and a new kind of money. It is based on an open-source cryptographic protocol that is independent of any central authority. Bitcoins can be transferred through a computer or a smartphone withour an intermediate financial institution.
5. How to make a payment with Bitcoin?
You can make a payment with Bitcoin based on Bitcoin Wallet or Based on Perfect Money. You can choose the way that is more convenient for you.
About Based on Bitcoin Wallet
1) Create a Bitcoin Wallet. We recommend Blockchain.info (https://blockchain.info/)
2) Buy necessary amount of Bitcoins. Our recommendations are as follows.
LocalBitcoins.com -- the fastest and easiest way to buy and sell Bitcoins.
CoinCafe.com -- the simplest and fastest way to buy, sell and use Bitcoins.
BTCDirect.eu -- the best for Europe.
CEX.IO -- Visa / MasterCard
CoinMama.com -- Visa / MasterCard
HowToBuyBitcoins.info -- discover quickly how to buy and sell Bitcoins in your local currency.
3) As mentioned above, send about 0.15 BTC (equivalent to 100 USD) to our Bitcoin receiving address.
4) As mentioned above, and then, send us your personal ID via email, you will receive your private key soon.
About Based on Perfect Money
1) Create a Perfect Money account. (https://perfectmoney.is)
2) Visit to PMBitcoin.com. (https://pmbitcoin.com/btc) 

input our Bitcoin receiving address in the "Bitcoin Wallet" textbox. 

input 100 in the "Amount" textbox, the amount of Bitcoin will be calculated automatically.
click "PAY" button, then you can complete you payment with your Perfect Money account and local debit card.
6. If you have any problem, please feel free to contact us via official email.
Best Regards
VenusLocker Team

Перевод записки на русский язык:

--- Venus Locker ---
К сожалению, вы взломаны.
1. Что случилось с моими файлами?
Ваши личные файлы, включая ваши фото, документы, видео и другие важные файлы на этом компьютере, были зашифрованы с RSA-4096, сильным алгоритмом шифрования. Алгоритм RSA генерирует открытый и закрытый ключи для вашего компьютера. Открытый ключ был использован для шифрования файлов минуту назад. Секретный ключ необходим вам, чтобы расшифровать и восстановить файлы. Ваш закрытый ключ хранится на нашем секретном интернет-сервере. И без сомнения никто не сможет восстановить ваши файлы без этого ключа.
Для получения дополнительной информации об алгоритме RSA, пожалуйста, читайте https://en.wikipedia.org/wiki/RSA_(cryptosystem)
2. Как расшифровать мои файлы?
Для расшифровки и восстановления файлов вы должны заплатить $100 США за секретный ключ и дешифровку. Заметьте, у вас только 72 часа проведение оплаты. Если оплата не будет сделана за это время, то ваш личный ключ будет автоматически удалён с нашего сервера. Все ваши файлы будут постоянно шифроваться и никто не сможет их восстановить. Поэтому вам лучше не тратить свое время, так как нет никакого другого пути, чтобы восстановить ваши файлы, кроме оплаты выкупа. 
3. Как оплатить мой личный ключ?
Есть три шага для оплаты и восстановления файлов:
1). Для обеспечения безопасности сделок все платежи должны быть сделаны через сеть Bitcoin. Поэтому вам нужно обменять $100 США (или эквивалент местной валюты) на биткоины, а затем отправить эти Bitcoins (около 0,15 BTC) по следующему адресу.
1Dj9YnMiciNgaKuyzKynygu7nB21tvV6QD
2). Прислать ваш персональный ID на наш официальный email-адрес: VenusLocker@mail2tor.com
Ваш персональный ID cc673bcfcf644d2c1a88893cb0ff8fa7
3). Вы получите дешифратор и закрытый ключ для восстановления всех файлов за один рабочий день.
4. Что такое Bitcoin?
***опускаем описание***
5. Как сделать платеж с помощью Bitcoin?
***опускаем описание***
Об основе Bitcoin-кошелька
***опускаем описание*** Как создать, купить, перевести биткоины...
Об основе Perfect Money
***опускаем описание*** Как создать аккаунт, платить в биткоинах...
6. Если у вас возникли проблемы, пожалуйста, не стесняйтесь связаться с нами по официальной email.
С наилучшими пожеланиями
VenusLocker Team

Email вымогателей: 

VenusLocker@mail2tor.com

crazyman@keemail.me

Распространяется с помощью email-спама и вредоносных вложений, загрузок инфицированных файлов. 

Противодействует отладчикам и дампингу памяти, чтобы осложнить исследователям сбор информации о своей вредоносной активности.

Список типов файлов, подвергающихся шифрованию c добавлением расширения .Venusf:

.3dm, .3ds, .3g2, .3gp, .7z, .accdb, .aes, .ai, .aif, .apk, .app, .arc, .asc, .asf, .asm, .asp, .aspx, .asx, .avi, .bmp, .brd, .bz2, .c, .cer, .cfg, .cfm, .cgi, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .css, .csv, .cue, .dat, .db, .dbf, .dch, .dcu, .dds, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dtd, .dwg, .dxf, .eml, .eps, .fdb, .fla, .flv, .frm, .gadget, .gbk, .gbr, .ged, .gif, .gpg, .gpx, .gz, .h, .htm, .html, .hwp, .ibd, .ibooks, .iff, .indd, .jar, .java, .jks, .jpg, .js, .jsp, .key, .kml, .kmz, .lay, .lay6, .ldf, .lua, .m, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mfd, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpa, .mpg, .ms11, .msi, .myd, .myi, .nef, .note, .obj, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .p12, .pages, .paq, .pas, .pct, .pdb, .pdf, .pem, .php, .pif, .pl, .plugin, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .priv, .privat, .ps, .psd, .pspimage, .py, .qcow2, .ra, .rar, .raw, .rm, .rss, .rtf, .sch, .sdf, .sh, .sitx, .sldx, .slk, .sln, .sql, .sqlite, .sqlite, .srt, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlb, .tmp, .txt, .uop, .uot, .vb, .vbs, .vcf, .vcxpro, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .wpd, .wps, .wsf, .xcodeproj, .xhtml, .xlc, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .yuv, .zip, .zipx (228 расширений).

Список типов файлов, подвергающихся шифрованию c добавлением расширения .Venusp:

 .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .aaf, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .aep, .aepx, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .as, .as3, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .class, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .csv, .ctt, .cty, .cwf, .dal, .dap, .dat, .db, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .eat, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .game, .gif, .grf, .grle, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idml, .idx, .img, .indb, .indd, .indl, .indt, .ini, .ink, .inx, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plb, .plc, .pli, .pm, .pmd, .png, .pot, .potm, .potx, .ppam, .ppd, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prel, .prproj, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .sldm, .sldx, .slot, .slt, .snp, .so, .spr, .spv, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .sv5, .svg, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls,  .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlv, .xlw, .xlwx, .xml, .xpi, .xpt, .xqx, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (510 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ и пр. Но странно, что расширения дублируются. 

Шифровальщик пропускает директории: 
Program Files, Program Files (x86), Windows, Python27, Python34, AliWangWang, Avira, wamp, Avira, 360, ATI, Google, Intel, Internet Explorer, Kaspersky Lab, Microsoft Bing Pinyin, Microsoft Chart Controls, Microsoft Games, Microsoft Office, Microsoft.NET, MicrosoftBAF, MSBuild, QQMailPlugin, Realtek, Skype, Reference Assemblies, Tencent, USB Camera2, WinRAR, Windows Sidebar, Windows Portable Devices, Windows Photo Viewer, Windows NT, Windows Media Player, Windows Mail, NVIDIA Corporation, Adobe, IObit, AVAST Software, CCleaner, AVG, Mozilla Firefox, VirtualDJ, TeamViewer, ICQ, java, Yahoo!

Файлы, связанные с Ransomware:
C:\Users\User_name\U2FsdGVkX1DKeR.vluni
C:\Users\User_name\bg.jpg
C:\Users\User_name\Desktop\ReadMe.txt
VenusLocker.exe
code2.exe
_.doc.exe
물품스펙.doc
<random>.exe
<random>.tmp
<random>.doc.exe
<random>.exe.tmp

Примечательно, что шифровальщик использует файл U2FsdGVKX1DKeR.vluni как показатель того, что система уже заражена. Потому, если заранее положить такой файл в нужное место, то шифрование не состоится или будет прервано в самом начале.  

Сетевые подключения и связи:
xxxxs://158.255.5.153/create.php
xxxx://i.imgur.com/Jk67LrS.jpg
xxxx://ip-api.com/csv?fields=country (81.4.121.206:80) (Нидерланды)
xxxx://www.download.windowsupdate.com (13.107.4.50:80)
xxxxs://www.digicert.com/ssl-cps-repository.htm
xxxx://crl3.digicert.com
xxxx://cacerts.digicert.com
xxxx://ocsp.digicert.com
158.255.5.153:443 (Россия)
и другие, см. гибридный анализ. 

Подробный анализ и обзор от MalwareBytes >>>

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: средняя. 
VenusLocker больше не распространяется.
Подробные сведения собраны и указаны ниже.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 28 февраля 2017:
Email: crazyman@keemail.me
URL: ***185.106.122.2/keysave.php - C2
Результаты анализов: HA+VT


Обновление от 21 декабря 2017:
Криминальная группа переключилась на майнинг криптовалюты Monero (Monero Mining). Подробнее >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 Video review by GrujaRS CyberSecurity

 <- 21 августа 2016

 <-23 декабря 2016

 Thanks: 
 Michael Gillespie
 MalwareBytes
 Mosh on Nyxbone
 GrujaRS CyberSecurity

© Amigo-A (Andrew Ivanov): All blog articles.