Fantom

Fantom Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует связаться по email, чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .fantom. Название происходит от этого расширения и поведения вымогателя в системе. 

© Генеалогия: EDA2 >> Fantom 

Образцы зашифрованных файлов и записка о выкупе

Записка с требованием выкупа называется DECRYPT_YOUR_FILES.HTML и размещается в каждой папке с зашифрованными файлами.

Содержание записки о выкупе:
Attention! All your files have been encrypted
Due encrypting was used algoritm RSA-4096 and AES-256, used for protection military secrets.
That means > RESTORE YOU DATA POSIBLE ONLY BUYING decryption passwords from us.
Getting a decryption of your files is - SIMPLY task.
That all what you need:
1. Sent Your ID_KEY on mailbox fantomd12@yandex.ru or fantom12@techemail.com
2. For test, decrypt 2 small files, to be sure that we can decrypt you files.
3. Pay our services.
4. GET software with passwords for decrypt you files.
5. Make measures to prevent this type situations again.
IMPORTANT (1)
Do not try restore files without our help, this is useless, and can destroy you data permanetly.
IMPORTANT (2)
We Cant hold you decryption passwords forever.
ALL DECRYPTION PASSWORDS, for what wasn't we receive reward, will destroy after week of moment of encryption.
Your ID_KEY

Перевод записки на русский язык (оригинальный стиль изложения):
Внимание! Все ваши файлы зашифрованы.
При шифровании использован алгоритм RSA-4096 и AES-256, используемый для защиты военных секретов.
Это значит > ВЕРНУТЬ ВАШИ ДАННЫЕ МОЖЕТ ТОЛЬКО ПОКУПКА пароля дешифрования у нас.
Получение расшифровки ваших файлов - простая задача.
Все, что вам нужно:
1. Выслать ваш ID_KEY на fantomd12@yandex.ru или fantom12@techemail.com
2. Для теста, дешифровать 2 маленьких файла для уверенности, что мы можем дешифровать вам файлы.
3. Оплатить наши услуги.
4. Получить софт с паролями для дешифрования вам файлов.
5. Сделать меры для предотвращения такого рода ситуаций снова.
ВАЖНО (1)
Не пытайтесь восстановить файлы без нашей помощи, это бесполезно, и может уничтожить вам данные.
ВАЖНО (2)
Мы не можем держать вам пароли дешифрования всегда.
ВСЕ пароли дешифрования, за то, что не мы получаем награду, уничтожит после недели момента шифрования.
Ваш ID_KEY

Лоуренс Адамс: "Я должен отметить, что этот вымогатель очень плохо владеет английским языком, т.к. грамматика и формулировки могут быть одними из худших, что я видел в записках о выкупе до сего дня".

Email вымогателей: 
fantomd12@yandex.ru
fantom12@techemail.com

Распространяется с помощью email-спама и вредоносных вложений, инфицированных файлов и попутных загрузок. 

Примечательно, что Fantom Ransomware имеет интересную особенность: отображает поддельный экран обновления Windows, создавая видимость установки нового критического обновления для ОС. Тем временем на заднем плане Fantom тайно выполняет шифрование файлов. 

В свойствах исполняемого файла вымогателя утверждается, что это "критическое обновление kb01" от Microsoft.

Вместе с исполняемым файлом Fantom Ransomware извлекается и запускается ещё одна программа — WindowsUpdate.exe, которая и отображает поддельный экран обновления Windows. 

Этот экран перекрывает все активные окна и не позволяет жертве переключиться на любые другие открытые приложения. Поддельный экран содержит процентный счетчик, который увеличивается по мере тайного шифрования файлов жертвы. Сделано так, чтобы всё выглядело, как будто действительно ставится обновление, чем оправдывается и усиленная работа жёсткого диска.

Фантом-экран можно закрыть с помощью комбинации клавиш Ctrl + F4. Это позволит завершить поддельный процесс и отобразит рабочий стол Windows, но крипто-вымогатель всё же продолжит шифрование файлов в фоновом режиме. 

Вымогатель генерирует случайный ключ AES-128, шифрует его с помощью RSA, а затем загружает на C&C-сервер вымогателей. В каждой папке, где имеются зашифрованные файлы, размещается записка о выкупе DECRYPT_YOUR_FILES.HTML

Когда шифрование будет закончено, запустятся два пакетных файла, которые проведут зачистку — удалят тома теневых копий файлов и исполняемый файл поддельного обновления. 

После этого пострадавшей стороне будет показана записка о выкупе DECRYPT_YOUR_FILES.HTML, которая включает ID_KEY жертвы и предлагает получить инструкции по оплате, написав на почту вымогателей: fantomd12@yandex.ru или fantom12@techemail.com

Далее крипто-вымогатель загружает со специального сайта изображение и сохраняет его со случайным именем в директории пользователя %USERPROFILE%\2d5s8g4ed.jpg. Затем ставит его на обои рабочего стола.

Веб-адрес, с которого загружается это изображение, может что-то подсказать о личности вымогателей:
хттп://content.screencast.com/users/Gurudrag/folders/Default/media/9289aabe-7b4a-4c7f-b3bb-bdf3407e7a2f/fantom1.jpg

Список файловых расширений, подвергающихся шифрованию:
 .001, .1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .apk, .arc, .arch00, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .aspx, .asr, .asset, .avi, .avs, .bak, .bar, .bay, .bc6, .bc7, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .bkp, .blob, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsa, .bsp, .cag, .cam, .cap, .car, .cas, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cfr, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .css, .csv, .ctt, .cty, .cwf, .d3dbsp, .dal, .dap, .das, .dayzprofile, .dazip, .db0, .dbb, .dbf, .dbfv, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .desc, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dmp, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .epk, .eps, .eql, .erf, .err, .esm, .euc, .evo, .ex, .exif , .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flac, .flp, .flv, .for, .forge, .fos, .fpk, .fpp, .fsh, .gam, .gdb, .gho, .gif, .grf, .gthr, .gz, .gzig, .gzip, .h3m, .h4r, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .idx, .ifo, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .itm, .iwd, .iwi, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpw, .js, .json, .kdb, .kdc, .kf, .kmz, .kwd, .kwm, .layout, .lbf, .lbi, .lcd, .lcf, .ldb, .lgp, .litemod, .log, .lp2, .lrf, .ltm, .ltr, .ltx, .lvl, .m2, .m2v, .m3u, .m4a, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .mcgame, .mcmeta, .md, .md3, .mdb, .mdbackup, .mddata, .mdf, .mdl, .mdn, .mds, .mef, .menu, .mic, .mip, .mkv, .mlx, .mod, .mov, .moz, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrw, .mrwref, .msg, .msp, .mxp, .nav, .ncd, .ncf, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .ntl, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .odtb .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pkpass, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .psk, .pst, .ptx, .puz, .pwf, .pwi, .pwm, .pxp, .py, .qbb, .qdf, .qel, .qic, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .rb, .re4, .res, .rev, .rgn, .rgss3a, .rim, .rng, .rofl, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .sb, .sc2save, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .slt, .snp, .snx, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .sum, .svg, .svi, .svr, .swd, .swf, .syncdb, .t12, .t13, .tar, .tax, .tax2015, .tax2016, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tor, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unity3d, .unr, .unx, .uop, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdf, .vdo, .ver, .vfs0, .vhd, .vmf, .vmt, .vob, .vpk, .vpp_pc, .vsi, .vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmo, .wmv, .wmx, .wotreplay, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xf, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xml, .xpi, .xpt, .xvid, .xwd, .xxx, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo, .ztmp (582 расширения). 

Сетевое соединение Fantom Ransomware: 
хттп://powertoolsforyou.com/themes/prestashop/cache/stats.php
хттп://templatesupdates.dlinkddns.com/falssk/fksgieksi.php

Файлы, созданные Fantom Ransomware:
%AppData%\delback.bat
[Executable_Path]\WindowsUpdate.exe
[Executable_Path]\update.bat
%UserProfile%\2d5s8g4ed.jpg

Записи реестра, связанные с Fantom Ransomware:
HKCU\Control Panel\Desktop\ "Wallpaper"   "%UserProfile%\How to decrypt your files.jpg"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = 1

Обновление от 21 сентября 2016:
Обои созданные с помощью текста и случайных пикселов. 
См. пример: 
Эта версия не связывается с C2-сервером.
Сумма выкупа определяется по имени процесса. 
Email: restorefiles@protonmail.ch

Обновление от 15 ноября 2016:
Новое расширение: .locked4

Распространение: с помощью эксплойтов

Ссылка на твит >>

Степень распространённости: средняя.
Подробные сведения собираются.

Обновление от 20 декабря 2016:
Записка: RESTORE-FILES!<id>.hta
Новое расширение: .locked4
Email: fixfiles@protonmail.ch
Результаты анализов: VT

Обновление от 27 декабря 2016:
Файл: sombrd.exe
Разработчик: Suhix (Сухих). 
Результаты анализов: VT

Обновление от 27 декабря 2016:

Ссылка на статью >>
Email: fixfiles@protonmail.ch
BM: BM-NAv5DtD4t9BpLoNCDYr7gSr7B5fS3TQE
Записка: RESTORE-FILES.[time_stamp].hta
Детали: Этот вариант шифровальщика шифрует файлы и переименовывает их с помощью base64 в файл с расширением, которое основано на времени начала работы вымогателя. При этом записка о выкупе будет называться RESTORE-FILES.03032017.hta
Регистрирует состояние вредоносного процесса путём извлечения изображения с сайта iplogger.ru. Если обнаружится пользователь из России, то вымогатель завершает процесс и удаляет инфекцию с компьютера. 
Результаты анализов: VT


© Amigo-A (Andrew Ivanov): All blog articles.

Domino

Domino Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью якобы AES-1024 (на самом деле AES-256), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. 

© Генеалогия: Hidden Tear >> Domino

Этимология названия: 
Название происходит от слова Domino, использованного в записке о выкупе. 

К зашифрованным файлам добавляется расширение .domino. 

Записки с требованием выкупа называются README_TO_RECURE_YOUR_FILES.txt и HelloWorld!

Записка README_TO_RECURE_YOUR_FILES.txt  размещается на рабочем столе, а HelloWorld извлекается из exe-файла. 

Содержание записки о выкупе:
Your file had been encrypted with AES 1024 bit key!!
How to decrypt your files:
1. Send me 1 bitcoin to: 1AkHpPZ18f3QAygdMV2W4R4QjkzYxDkNEA
2. After send bitcoin, send me your (computer name + user name + bitcoin address) to email 61f1e8055af3f6a672959e6b0493a2@gmail.com to get password!
3. Using your password to decrypt your files!
If you didn't do this, your password to decrypt your file will be destroy after 72 hour.
Winter Is Coming!
How to buy bitcoin:
https://www.coinbase.com/buy-bitcoin?locale=en
https://localbitcoins.com/guides/how-to-buy-bitcoins
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
(....Domino.............)
***

Перевод записки на русский язык (оригинальный сленг сохранен):
Твой файл был зашифрован с AES 1024 бит ключ!!
Как дешифровать файлы:
1. Пришли мне 1 Bitcoin на: 1AkHpPZ18f3QAygdMV2W4R4QjkzYxDkNEA
2. После отправить Bitcoin, пришли мне твои (имя компьютера + имя пользователя + Bitcoin адрес) на email  61f1e8055af3f6a672959e6b0493a2@gmail.com, чтобы получить пароль!
3. Используй пароль для расшифровки файлов!
Если ты не сделал этого, твой пароль для дешифровки твой файл будет уничтожен через 72 часа.
Зима приближается!
Как купить Bitcoin:
https://www.coinbase.com/buy-bitcoin?locale=en
https://localbitcoins.com/guides/how-to-buy-bitcoins
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
(....Домино.............)
/ В конце пририсована корова в ASCII /

Domino Ransomware распространяется с помощью программ для взлома, в частности как инсталлятор ПО KMSpico. Во время работы якобы мастера установки KMSpico на самом деле вредоносная программа в фоновом режиме выполняет шифрование всех файлов пользователя с помощью алгоритма AES. Разумеется, что установщик реального KMSpico был предварительно взломан и модифицирован, чтобы шифровать файлы пользователей. 


При выполнении KMSpico извлекается файл со случайным именем в папку %Temp%. Затем уже тот выполняется и извлекает защищённый паролем файл Help.zip. Пароль к архиву — abc123456. Архив содержит два файла: help.exe и HelloWorld.exe. Первый шифрует файлы и добавляет к ним расширение .domino, а HelloWorld показывает записку с требованием выкупа "HelloWorld!", в которой содержатся инструкции о выкупе и email для связи с вымогателями. 

Файлы шифруются на всех зарегистрированных в системе дисках, кроме диска A:\ и CD-Rom.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asp, .aspx, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .c, .cas, .cdr, .cer, .cfm, .cfr, .class, .cpp, .cr2, .crt, .crw, .cs, .csr, .css, .csv, .d3dbsp, .das, .DayZProfile, .dazip, .db0, .dba, .dbf, .dbfv, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dtd, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .fla, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .h, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .java, .jpe, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lua, .lvl, .m, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py,  .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rss, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sh, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .swift, .syncdb, .t12, .t13, .tax, .tor, .txt, .unity3d, .upk, .vb, .vcf, .vcxproj, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xcodeproj, .xf, .xhtml, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (всего 220 расширений, без дублей в верхнем регистре и повторов, с которыми в два раза больше). 

Дэвы Domino продублировали все целевые расширения в верхнем регистре и даже некоторые (.cer, .css, .js, .py) написали четырежды. Такой ход призван нанести максимальный урон жертве и не пропустить даже те файлы, у которых расширения по какой-то причине написаны в верхнем регистре. 

Файлы, связанные с этим Ransomware:
KMSpico_setup.exe
31688EFBC3B9C99914A5BB7FB58AEC9E.exe
Help.zip
help.exe
HelloWorld.exe - это отдельный исполняемый файл, запускаемый после шифрования с запиской внутри;
README_TO_RECURE_YOUR_FILES.txt

Расположения:
%Temp%/KMSpico_setup.exe
%Temp%/31688EFBC3B9C99914A5BB7FB58AEC9E.exe
%Temp%/Help.zip
%Temp%/help.exe
%Temp%/HelloWorld.exe
README_TO_RECURE_YOUR_FILES.txt
%Temp%/ = C:\Users\User_Name\AppData\Local\Temp\

Примечательно, что в строчках кода есть текст на арабском языке.

Сетевые подключения и связи:
Email: 61f1e8055af3f6a672959e6b0493a2@gmail.com
BTC: 1AkHpPZ18f3QAygdMV2W4R4QjkzYxDkNEA

Результаты анализов:
VirusTotal анализ >>
См. образцы на сайте Nyxbone >>

Степень распространённости: низкая.
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 25 января 2017:
Файл: bootcfg.exe
Фальш-имя: Microsoft® Windows® Operating System
Записка: README_TO_RECURE_YOUR_FILES.txt
Email: cstddetnkvcmknl@gmail.com
Сетевые подключения: 74.125.133.108:587
Результаты анализов: VT

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! 
Для зашифрованных файлов есть декриптер. 
1) Ключ дешифрования можно получить с помощью HiddenTear Bruteforcer и зашифрованного PNG-файла.
2) Этим ключом дешифрования файлы могут быть дешифрованы с помощью HiddenTear Decrypter.
Если компьютер перезагружался после шифрования, то шансов на успешное получение ключа меньше. 
*

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Domino)
 Write-up, Topic of Support
 * 

 Thanks: 
 Daniel Gallagher, Lawrence Abrams
 Michael Gillespie, Mosh
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Alma Locker

Alma Locker Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. На уплату выкупа даётся 5 суток. 

К зашифрованным файлам добавляется сгенерированное для ПК жертвы расширение по шаблону .[random_5_char], но в расширении может быть 4, 5 или 6 случайных букв и цифр. Например, .a5zfn. 

Также генерируется многозначный ID жертвы (от 8 до 20 знаков), который затем нужен для уплаты выкупа в биткоинах. 

Записки с требованием выкупа называются: 
Unlock_files_<random_extension>.txt
Unlock_files_<random_extension>.html

Например: Unlock_files_a5zfn.txt или Unlock_files_a5zfn.html

Содержание записки о выкупе:
Your flies are encrypted!
Your ID: cecfb512
You can unlock .a5zfn files using these instructions:
1) Download decrypter mirrors:
http://***2eiimafg74.torstorm.org/decrypter.exe
http://***2eiimafg74.onion.nu/decrypter.exe
http://***2eiimafg74.onion.cab/decrypter.exe
http://***2eiimafg74.onion.Iink/decrypter.exe
http://***2eiimafg74.onion.to/decrypter.exe
2) Read decrypting instructions on our website:
http://***2eiimafg74.torstorm.org/
http://***2eiimafg74.onion.nu/
http://***2eiimafg74.onion.cab/
http://***2eiimafg74.onion.Iink/
http://***2eiimafg74.onion.to/
3) If you can't access these websites from your browser, you have to download TOR browser:
https://www.torproiect.org/projects/torbrowser.html
4) Follow this link via Tor Browser:
http://***2ejjmafg74.onion

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш ID: cecfb512
Вы можете разблокировать .a5zfn файлы, используя следующие инструкции:
1) Скачать декриптер с зеркал:
http://***2eiimafg74.torstorm.org/decrypter.exe
http://***2eiimafg74.onion.nu/decrypter.exe
http://***2eiimafg74.onion.cab/decrypter.exe
http://***2eiimafg74.onion.Iink/decrypter.exe
http://***2eiimafg74.onion.to/decrypter.exe
2) Прочитать инструкции дешифровки на нашем сайте:
http://***2eiimafg74.torstorm.org/
http://***2eiimafg74.onion.nu/
http://***2eiimafg74.onion.cab/
http://***2eiimafg74.onion.Iink/
http://***2eiimafg74.onion.to/
3) Если не можете получить доступ к сайтам вашим браузером, нужно загрузить Tor-браузер:
https://www.torproiect.org/projects/torbrowser.html
4) Перейдите по ссылке в Tor-браузере:
http://***2ejjmafg74.onion

Распространяется с помощью email-спама и вредоносных вложений, вредоносных сайтов и набора эксплойтов RIG.

Криптовымогатель отправляет на C&C-сервер злоумышленников следующую информацию: 
- закрытый ключ шифрования, зашифрованный с помощью AES-128;
- расширение зашифрованного файла этого ключа; 
- имя и ID пользователя;
- LCID машины жертвы;
- название активного сетевого интерфейса;
- версию установленной операционной системы; 
- название установленного антивирусного ПО;
- отметка времени запуска шифровальщика.

По окончании жертве показывается записка о выкупе. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3ds, .3gp, .accdb, .ape, .asp, .aspx, .bc6, .bc7, .bmp, .cdr, .cer, .cfg, .cfgx, .cpp, .cr2, .crt, .crw, .csr, .csv, .dbf, .dbx, .dcr, .dfx, .dib, .djvu, .doc, .docm, .docx, .dwg, .dwt, .dxf, .dxg, .eps, .htm, .html, .ibank, .indd, .jfif, .jpe, .jpeg, .jpg, .kdc, .kwm, .max, .mdb, .mdf, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdf, .pef, .pem, .pfx, .php, .png, .pps, .ppt, .pptm, .pptx, .psd, .pst, .pub, .pwm, .qbb, .qbw, .raw, .rtf, .sln, .sql, .sqlite, .svg, .tif, .tiff, .txt, .vcf, .wallet, .wpd, .xls, .xlsm, .xlsx, .xml

При шифровании пропускаются файлы и папки с названиями:
$recycle.bin
system volume information
program files
programdata
program files (x86)
windows
internet explorer
microsoft
mozilla
chrome
appdata
local settings
recycler
msocache
Unlock_files_

Сайт вымогателей в сети Tor выглядит следующим образом:

 

Декриптер от вымогателей выглядит следующим образом:

Текст с экрана декриптера:

Your files are encrypted!

Price for key: 1 BTC

It means you are no longer able to access them without the private decryption key which is stored on our server. You have 120 hours to make a decision. Send the specified BTC amount within the specified time to the specified Bitcoin payment address. Otherwise, the key will be completely erased from our server and your files will not ever be recovered.

Перевод на русский:
Ваши файлы зашифрованы!
Цена за ключ: 1 BTC
Это значит, что вы не получите доступ к ним без секретного ключа дешифрования, который хранится на нашем сервере. У вас есть 120 часов на решение. Выслать указанную сумму BTC в указанное время на указаный Bitcoin-адрес. Иначе ключ будет стерт с нашего сервера и ваши файлы никогда не будут восстановлены.

Файлы, связанные с Ransomware:
Unlock_files_[random_extension].html
Unlock_files_[random_extension].txt

Записи реестра, связанные с Ransomware:
***

Источник
Подробный анализ

Степень распространённости: низкая.
Подробные сведения собираются.

DetoxCrypto

DetoxCrypto Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2 или 3 биткоина, чтобы вернуть файлы обратно. 

На данный момент известно два варианта: Pokemon и Calipso. 

Записки с требованием выкупа написаны на скринлоках (файлы bg.jpg и pokbg.jpg) и экранах блокировки. 

 Содержание записки о выкупе: 
Your documents, photos, databases and other important files have been encrypted and a unique unlock key is generated!!
You can only unlock your files by buying this key from us, there is no other way to save or unlock your files!!
How to unlock my files?
You need to send 2 bitcoins to our Bitcoin wallet address.
To get the wallet address contact us at: contact365@mail2tor.com
We recommend to buy Bitcoins here: www.localbitcoins.com
Register and buy Bitcoins with PayPal, Skrill or find someone who sells Bitcoins. 
Locally by entering your city and select cash in person as your paying option.
To save time you can give the seller our bitcoin address and he can send the bitcoins to us directly. 
After we receive the payment we will send you the unlock key to the email you contacted us from.
** Act fast because all your files will be deleted in 96h **
** If you delete this program all your files will be deleted forever **

 Перевод записки на русский язык: 
Ваши документы, фото, базы данных и другие важные файлы зашифрованы и уникальный ключ сгенерирован!!
Можно разлочить файлы, только купив ключ у нас, нет другого способа спасти или разлочить файлы!!
Как разлочить мои файлы?
Вам надо переслать 2 биткоина на наш Bitcoin-адрес.
Адрес кошелька получите, написав нам на contact365@mail2tor.com
Мы предлагаем купить биткоины тут: www.localbitcoins.com
Регистрируйтесь и купите биткоины в PayPal, Skrill или у того, кто продает.
Впишите свой город и выберите деньги, которыми оплачиваете покупку.
Для экономии времени можно дать продавцу наш Bitcoin-адрес и он пошлет биткоины нам.
После получения оплаты мы вышлем вам ключ разблокировки на email, присланный вами.
** Спешите, все ваши файлы удалятся через 96 ч. **
** Если удалите эту программу, то все ваши файлы пропадут **

Содержание записки о выкупе варианта Calipso может различаться. Или такой же текст или более короткий.

Email вымогателей могут меняться: 
contact365@mail2tor.com
motox2016@mail2tor.com
pokemongo@mail2tor.com

Отображение экран блокировки сопровождается музыкой и представляет собой следующее, см. скришот.

Содержание текста с экрана блокировки:
We are all Pokemons
YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAVE BEEN ENCRYPTED AND A UNIQUE UNLOCK KEY IS GENERATED!!
YOU CAN ONLY UNLOCK YOUR FILES BY BUYING THIS KEY FROM US, THERE IS NO OTHER WAY TO SAVE OR UNLOCK YOUR FILES!!
HOW TO UNLOCK MY FILES?
You need to send 2 Bitcoins to our Bitcoin Wallet address.
To get the Wallet address contact us at : contact365@mail2tor.com
WE RECOMMEND TO BUY BITCOINS HERE :  WWW.LOCALBITCOINS.COM
Register and buy Bitcoins with PayPal, Skrill or find someone who sells Bitcoins Locally by entering your City and select CASH in person as Your paying option. 
TO SAVE TIME YOU CAN GIVE THE SELLER OUR BITCOIN ADDRESS AND HE CAN SEND THE BITCOINS TO US DIRECTLY. 
AFTER WE RECEIVE THE PAYMENT WE WILL SEND YOU THE UNLOCK KEY TO THE EMAIL YOU CONTACTED US FROM.
** Act fast because ALL YOUR FILES WILL BE DELETED IN 96h **
** IF YOU DELETE THIS PROGRAM ALL YOUR FILES WILL BE DELETED FOREVER **

Перевод на русский: 
Мы все покемоны
Документы, фото, базы и другие важные файлы были зашифрованы и уникальный ключ сгенерирован!!
Можно разлочить файлы, только купив ключ у нас, нет другого способа спасти или разлочить файлы!!
Как разлочить мои файлы?
Вам надо переслать 2 биткоина на наш Bitcoin-адрес.
Адрес кошелька получите, написав нам на contact365@mail2tor.com
Мы предлагаем купить биткоины тут: www.localbitcoins.com
Регистрируйтесь и купите биткоины в PayPal, Skrill или у того, кто продает.
Впишите свой город и выберите деньги, которыми оплачиваете покупку.
Для экономии времени можно дать продавцу наш Bitcoin-адрес и он пошлет биткоины нам.
После получения оплаты мы вышлем вам ключ разблокировки на email, присланный вами.
** Спешите, все ваши файлы удалятся через 96 ч. **
** Если удалите эту программу, то все ваши файлы пропадут **

 Распространяется с помощью email-спама и вредоносных вложений, с помощью инфицированных файлов и попутных загрузок, фальшивых обновлений, перепакованных и заражённых инсталляторов, в том числе маскирующихся под известные антивирусы, в частности Malwarebytes (в сентябре 2016). 

Обе версии очень похожи, потому они могли быть созданы в каком-то новом крипто-конструкторе. Или, всё же, это разные версии из разных вредоносных кампаний. Разброс: от Канады до Кореи. 

Анализ версии Pokemon на VirusTotal >>> (файл из Канады)
Анализ версии Calipso на VirusTotal >>> (файл из Кореи)

Они инфицируют ПК через exe-файл, распаковывающийся на 4 других файла: 
- изображение, встающее обоями рабочего стола; 
- звуковой файл, играемый при показе требований о выкупе;
- файл MicrosoftHost.exe, запускающий процесс шифрования;
- exe-файл, блокирующий экран для показа требований о выкупе, проверяющий оплату и запускающий дешифровку файлов. 

Примечательно, что эти вымогатели:
- НЕ используют сайт Tor для обработки платежей;
- НЕ изменяют названия у зашифрованных файлов;
- НЕ добавляют к зашифрованным файлам новое расширение;
- оба ключа (открытый и секретный) генерируют в процессе шифрования;
- завершают на компьютере работу процессов MySQL и MSSQL;
- делают и отправляют снимок рабочего стола вымогателям;
- требуют выкуп на довольно большую сумму — 2 или 3 биткоина. 

DetoxCrypto Pokemon распространяется как исполняемый файл Pokemongo.exe. Распаковывается в папку C:\Users\User_Name\Downloads\Pokemon

Файлы, связанные с DetoxCrypto Pokemon Ransomware: 
pokbg.jpg - изображение для обоев;
Pokemon.exe - exe-файл для блокировки и дешифровки;
MicrosoftHost.exe - шифровальщик;
pok.wav - музыка для фона.

DetoxCrypto Calipso распространяется как исполняемый файл Invoice.exe. Распаковывается в папку C:\Users\User_Name\Downloads\Calipso 

 Файлы, связанные с DetoxCrypto Calipso Ransomware: 
bg.jpg - изображение для обоев;
Calipso.exe - exe-файл для блокировки и дешифровки;
MicrosoftHost.exe - шифровальщик;
sound.wav - музыка для фона. 

Список файловых расширений, подвергающихся шифрованию версии Pokemon: 

.3ds, .acbl, .backup, .bak, .cab, .cdr, .csv, .dat, .dbf, .doc, .docx, .eps, .ibd, .ibz, .iso, .mdb, .mdf, .myd, .pdf, .php, .ppt, .pptx, .psb, .psd, .pst, .rar, .s3db, .sql, .sqlite, .sqlitedb, .tar, .tar.bz2, .txt, .xls, .xlsx, .xlt, .xml, .zip (38 расширений). 

 Список файловых расширений, подвергающихся шифрованию версии Calipso: 
.3gp, .7z, .apk, .asm, .avi, .bmp, .c, .cal, .casb, .ccp, .cdr, .cer, .chm, .ckp, .cmx, .conf, .cpp, .cr2, .cs, .css, .csv, .dacpac, .dat, .db, .db3, .dbf, .dbx, .dcx, .djvu, .doc, .docm, .docx, .drw, .dwg, .dxf, .epub, .fb2, .flv, .gif, .gz, .ibooks, .iso, .java, .jpeg, .jpg, .js, .key, .md2, .mdb, .mdf, .mht, .mhtm, .mkv, .mobi, .mov, .mp3, .mp4, .mpeg, .mpg, .mrg, .pdb, .pdf, .php, .pict, .pkg, .png, .pps, .ppsx, .ppt, .pptx, .psd, .psp, .py, .rar, .rb, .rbw, .rtf, .sav, .scr, .sql, .sqlite, .sqlite3, .sqlitedb, .swf, .tbl, .tif, .tiff, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xml, .xps, .zip (96 расширений). 

 Записи реестра, связанные с этим Ransomware: 
См. результаты анализов. 

Сетевые подключения и связи:
См. ниже результаты анализов. 

Обновление от 22 сентяря 2016:
Один из вариантов семейства DetoxCrypto стал распространяться под видом антивирусного решения Malwarebytes, причем в названии было сразу две ошибки, злоумышленники даже не удосужились их исправить, написав Malwerbyte и Malwerbyte.exe. Ответный пост компании Malwarebytes в Твиттере. 

Результаты анализов:
Гибридный анализ на версию Pokemon >>
VirusTotal анализ на версию Pokemon >>
VirusTotal анализ на версию Malwerbyte >>

 Степень распространённости: средняя и перспективно высокая. 
 Подробные сведения собираются.

Czech Anon

Czech Anon Ransomware 

(фейк-шифровальщик)

 Этот крипто-вымогатель шифрует данные пользователей якобы с помощью AES-256, но это не так, а затем требуют ввести код с карты Paysafe номиналом 200 крон, чтобы вернуть файлы обратно. Никакого шифрования на самом деле не производится, используется тактика запугивания. Ориентирован на чешских пользователей, т.к. текст написан на чешском языке. 

Запиской о выкупе выступает экран блокировки с текстом на чёрном фоне. 

 Содержание требований с экрана блокировки: 
Váš počítač a vaše soubory byly uzamknuty!
Co se stalo?
Veškeré vaše soubory byly zašifrovány šifrovacím algoritmem AES-256 společně s vaším osobním počítačem.
VAROVÁNÍ!!!
Pokud nesplníte všechny dané požadavky uvedené níže do 2 DNÍ, váš dešifrovací klíč se SMAŽE a vy své soubory a ÚČTY NIKDY NEUVIDÍTE.

Jak získat klíč?
- Stačí zakoupit kartu PaySafe Card v hodnotě 200Kč ,zadat její kód (číslo) do textového pole pod tímto textem a stisknout zelené tlačítko.
Vaše platba pak bude odeslána k ověření. Po ověření budou vaše soubory a váš počítač uvedeny do původního stavu.
- Kde koupím PaySafe Card?
PaySafe Card se dá zakoupit v jakékoliv trafice, či pumpě. Stačí se zeptat prodejce.

 Перевод на русский язык: 
Ваш компьютер и ваши файлы заблокированы!
Что случилось?
Все ваши файлы зашифрованы с алгоритмом шифрования AES-256 вместе с вашим компьютером.
ВНИМАНИЕ !!!
Если не выполните данные требования за 2 дня, ваш ключ дешифрования будет УДАЛЁН и вы свои файлы НИКОГДА НЕ УВИДИТЕ.

Как получить ключ?
- Просто купите Paysafe Card на 200 крон, введите код (номер) в текстовом поле ниже этого текста и нажмите зелёную кнопку.
Ваш платеж будет отправлен на проверку. После проверки файлы на вашем компьютере вернутся в исходное состояние. 
- Где купить Paysafe Card?
Paysafe Card можно купить в газетном киоске, на заправке. Или у дилера.

 Распространяется с помощью email-спама и вредоносных вложений. 

Т.к. файлы всё же не шифруются, то Czech Anon Ransomware я отношу к фейк-шифровальщикам. 

 Степень распространённости: низкая. 
 Подробные сведения собираются.

FSociety

FSociety Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, но затем даже не требует выкуп за дешифровку файлов. Название происходит от названия вымышленной хакерской группировки из американского телесериала "Mr. Robot", в котором пропагандируется борьба хактивистов с обществом потребления. Название не так просто, как может показаться, т.к. содержит в себе англоязычную фразу "F*ck Society". После инфицирования ПК на экран выводится логотип FSociety. К зашифрованным файлам добавляется расширение .locked. 

© Генеалогия: EDA2 >> FSociety 

 Записок с требованием выкупа нет. Кроме логотипа FSociety, на экране инфицированного ПК не отображается сообщение с требованием выкупа и не предоставляются никакие контакты для связи. Из чего можно сделать вывод о недоработанности шифровальщика-вымогателя. 

Этот логотип послужил названием вымогателя

 Распространяться может с помощью email-спама и вредоносных вложений, в том числе замаскированные под PDF-файлы. 

Перед шифрование перебирает и сканирует все буквы локальных дисков (от C до Z), но также ищет сетевые диски. 

 Список файловых расширений, подвергающихся шифрованию: 
Как минимум: .asp .aspx .csv .doc .docx .html .jpg .mdb .odt .php .png .ppt .pptx .psd .sln .sql .txt .xls .xlsx .xml

 Файлы, связанные с FSociety Ransomware: 
eda2.exe
filedata.exe

 Записи реестра, связанные с FSociety Ransomware: 
 см. ниже гибридный анализ.

Сетевые подключения:
www.archem.hol.es
error.hostinger.eu
хттп://i.imgur.com/PNZaSrX.jpg
185.28.20.87:80 (Литва)
31.170.160.61:80 (США)
и др., см. гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

 Степень распространённости: низкая. 
 Подробные сведения собираются.