Philadelphia

Philadelphia Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 биткоинов или больше, чтобы вернуть файлы обратно. Название дано разработчиком. 

К зашифрованным файлам добавляется расширение .locked 

Зашифрованный файл будет выглядеть следующим образом:
7B205C09B88C57ED8AB7C913263CCFBE296C8EA9938A.locked

© Генеалогия: Stampado > Philadelphia 

Записками с требованием выкупа выступает экран блокировки.

Содержание текста с экрана блокировки:
All your files have been encrypted!
All your documents (databases, texts, images, videos, musics etc.) were encrypted. The encryption was done using a secret key that is now on our servers.
To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you.
What can I do?
Pay the ransom, in bitcoins, in the amount and wallet below. You can use LocalBitcoins.com to buy bitcoins.

Перевод текста на русский язык:
Все твои файлы зашифрованы!
Все твои документы (базы данных, тексты, изображения, видео, музыка и т.п.) были зашифрованы. Шифрование сделано с помощью секретного ключа, который теперь на наших серверах.
Для дешифровки файлов тебе нужно купить секретный ключ у нас. Мы одни в мире, кто может обеспечить это тебе.
Что я могу сделать?
Плати выкуп, в биткоинах, в размере и на кошелек ниже. Можешь на LocalBitcoins.com купить биткойны.

Технические детали

Распространяется в ходе вредоносных кампаний, с помощью email-спама и вредоносных вложений.

➤ Philadelphia продается неким Rainmaker за $400, что позволяет кибер-преступникам получить готовое решение и запустить свою вымогательскую кампанию быстро и с малыми затратами. Цель распространения — заразить 20 тысяч жертв в свой первый день распространения.

➤ При ближайшем рассмотрении Ransomware оказался не столь сложным, как рекламируется его распространителем. Крипто-вымогатель написан на языке сценариев AutoIT, что позволяет его декомпилировать и проанализировать на слабые стороны. Фабиан Восар из Emsisoft уверен, что Philadelphia Ransomware может быть дешифрован.

➤ Согласно заявлениям Rainmaker-а, его Philadelphia "модернизирует" рынок вымогателей с такими функциями, как автоопределение (когда после оплаты автоматически запускается дешифровка), заражение USB-дисков и внедрение в другие компьютеры по сети. Особо следует отметить, наличие кнопки "Cive Mercy", которая позволяет сострадательному преступнику автоматически и бесплатно дешифровать файлы какой-то конкретной жертвы. Для демонстрации возможностей вымогателя Rainmaker создал PDF-файл, который можно скачать по ссылке. Функционал нагляден и не нуждается в отдельном описании. 

Центр управления Philadelphia Headquarters (штаб-квартира)

Злоумышленник может использовать центр управления под названием Philadelphia Headquarters (штаб-квартира) на своей машине, который будет подключаться к каждому сконфигурированному мосту и загружать данные жертвы. Этот клиент позволяет злоумышленнику знать, кто инфицирован, какие страны имеют наибольшее количество инфекций, и пр.пр. С реализацией этих мостов может возникнуть проблема, благодаря которой кибер-преступников можно будет обнаружить. 

Список файловых расширений, подвергающихся шифрованию:
 .7z, .asp, .avi, .bmp, .cad, .cdr, .doc, .docm, .docx, .gif, .html, .jpeg, .jpg, .mdb, .mov, .mp3, .mp4, .pdf, .php, .ppt, .pptx, .rar, .rtf, .sql, .str, .tiff, .txt, .wallet, .wma, .wmv, .xls, .xlsx, .zip (33 расширения). 

Файлы, связанные с Philadelphia Ransomware:
%UserProfile%\[random]
%UserProfile%\[random]
%UserProfile%\Isass.exe

Записи реестра, связанные с Philadelphia Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update     %UserProfile%\Isass.exe

Сетевые соединения:
hxxx://sshtunnel.at

Степень распространённости: перспективно высокая.
Подробные сведения собираются.

Обновление от 12 октября 2016:
Сумма выкупа прежняя: 0.3 BTC
Расширение: .locked
Email: piotrporo77@mail.com (Петро Порошенко?)
<< Экран блокировки






Обновление от 9 декабря 2016:
Пост в Твиттере >>
Файлы: Isass.exe, <random>.exe
Расширение: .locked
Сетевые подключения:
sequestrandok1.asia/superk.php
sequestrandok2.asia/superk.php
sequestrandok3.asia/superk.php
sequestrandok4.asia/superk.php
193.109.68.173/superk.php
<< Экран блокировки
Результаты анализов: VT
Текст с экрана:
All your files have been encrypted! 
All your documents (databases, texts, images, videos, musics etc.) were encrypted. The encryption was done using a secret key that is now on our servers. To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you. What can I do? Pay the ransom, in bitcoins, in the amount and wallet below. You can use LocalBitcoins.com to buy bitcoins.
Список расширений: .7z, .avi, .bmp, .cdr, .doc, .docx, .gif, .html, .jpeg, .jpg, .mov, .mp3, .mp4, .pdf, .ppt, .pptx, .rar, .rtf, .tiff, .txt, .wallet, .wma, .wmv, .xls, .xlsx, .zip (26 расширений)

Обновление от 24 января 2017:

Пост в Твиттере >>
Записка: How to recover my files.txt
Результаты анализов: VT

Обновление от 15 февраля 2017:
Видеообзор от GrujaRS
Расширение: .locked

Результаты анализов: HA+VT

Обновление от 19-20 января 2019:
Пост в Твиттере >>
Расширение: .locked

Результаты анализов: VT + HA + IA

Образец от 24 мая 2020:
Пост в Твиттере >>

Результаты анализов: VT + AR

Обновление от 10 октября 2020: 

Пост в Твиттере >>

Email: leeutip@protonmail.com

Telegram: telegram.me/prhmip

Результаты анализов: VT + IA

Вариант от 16 августа 2021 или раньше:

Топик на форуме >>

Расширение: .locked

Результаты анализов: VT + IA + TG

Внимание!
Для зашированных файлов есть дешифровщик!



Скачать Philadelphia Decrypter >>

Read to links:
Write-up on BC
Emsisoft Decrypter
ID Ransomware
Tweet on Twitter (October 12, 2016)

 Thanks:
Lawrence Abrams, Michael Gillespie, 
Andrew Ivanov (article author)
Jack (malwareforme), GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

RarVault

RarVault Ransomware

(фейк-шифровальщик, rar-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 

По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 

См. также статьи УК РФ: 

ст. 272 "Неправомерный доступ к компьютерной информации" 

ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот вымогатель помещает данные пользователей в один или несколько архивов, а затем требует выкуп от 1 до 50 биткоинов, чтобы вернуть файлы. Название дано самими вымогателями. Ориентирован на русскоязычных пользователей, но вполне могут появиться и англоязычные версии. 

Если вы стали жертвой этого вредоноса или знаете таковых, то сообщите нам 

в эту тему на форуме BleepingComputer. Есть возможность вам помочь! 

Вымогателями утверждается, что файлы в архиве защищены при помощи криптостойкого алгоритма шифрования AES-256 с функцией деривации ключа, основанной на PBKDF2 с использованием HMAC-SHA256. Такой пароль состоит их 127 любых символов на 2 языках. Подбор подобного пароля самыми современными компьютерами при помощи специального программного обеспечения займет около 300-500 лет.

Пример упомянутого пароля:
4c5№Ф&63*99ыD07079975e84D4№8№00660#?(60C83A7068%+(06Ж9йр;66+9О&5D&C80О973:E00CрE00 г76**5Ж2)7ы+6р(г978_0ce9876992_?6F6003A№~08A)

Для восстановления файлов нужно выслать на почту RarVault@ruggedinbox.com письмо, приложить к нему файлы "Rar_Vault_User.txt" и "Rar_Vault_User.rar" (они находятся в корне диска С:\ или в папке C:\RarVault\), уникальный идентификационный номер. После этого пополнить свой личный кошелек (номер кошелька пришлют вымогатели) на сумму - 1 Биткоин (около 250 USD, сумма может возрасти в зависимости от важности информации и составить от 1 Биткоина до 50).

Краткой запиской с требованием выкупа выступает скринлок:

Содержание полной записки о выкупе:
http://rarvault.myfreesites.net/

Перевод страницы на английский язык (часть текста):
RarVault
Main questions    List exchangers
MAIN QUESTIONS
What happened to my files?
Accessing your files has been temporarily suspended. They pomesheny to archive (or more, depending on the number of drives on your computer) and are RarVault folder or the "root" drive (ie C: \ RarVault
\ D: \ RarVault \ E: \ RarVault \ or C: \ D: \ E: \, etc.).
How can I restore my files?
To restore files, you should be sent to: RarVault(5)ruggedinbox.com letter and attach the file
"Rar_Vault_User.txt" and "Rar_Vault_User.rar" (or be in the "root" of drive C: \ or C: \ RarVault \), which
contains your unique ID number, then fill up your personal account (account number, we will send you
e) the sum of - 1 Bitcoin (about 250 USD, the amount may vary, depending on the importance of the information, and be between 1 Bitcoins to 50).
Prior to the full recovery of your files, in any case you can not delete or move the file "Rar_Vault_User.txt", to prevent the change of your unique identification number.
After recharge your purse, where the cost is fully paid - you will automatically be sent a password to unzip.
Alas, you will not be able to unzip your files without your unique password. Neither system administrators or programmers or even anti-virus companies and software developers, archives will not be able to help you. Keep in mind that your files in the archive are protected by means of cryptographically strong AES-256 encryption algorithm with a key derivation function based on PBKDF2...

Распространяется с помощью email-спама и вредоносных вложений.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с RarVault Ransomware:
lsаss.exe
Rar_Vault_User.txt
Rar_Vault_User.rar

Записи реестра, связанные с RarVault Ransomware:
***

Т.к. файлы всё же не шифруются, то RarVault Ransomware я отношу к фейк-шифровальщикам. 

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Если вы стали жертвой этого вредоноса или знаете таковых, то сообщите нам в эту тему на форуме BleepingComputer. 

© Amigo-A (Andrew Ivanov): All blog articles.

N1N1N1

N1N1N1 Ransomware 

JPA Ransomware

(шифровальщик-вымогатель) 

Translation into English

  Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует пройти по ссылке в Tor-браузере за инструкциями. В итоге выкуп будет в 1,5 биткоина или более, или менее.  
  
© Генеалогия: семейство N1N1N1

  К зашифрованным файлам в код добавляется n1n1n1. Название от него. 

Оригинальное расширение зашифрованных файлов не меняется, только после имени добавляется 8-9 случайных символов по шаблону: <original_file_name><8-9_random_characters>.<original_file_extension>

Записки с требованием выкупа называются: how return files.txt и how return files.html. Они размещаются в каждой папке с зашифрованными файлами. 

Содержание записки о выкупе:
If you don't speak english then use public online translators https://translate.google.com or https://www.bing.com/Translator or https://www.translate.com

Your files encrypted.
To decrypt and return control to all your encrypted files you need:
1) Go to https://www.torproject.org/download/download-easy.html.en . Download Tor browser for windows.
     If you can't open this page then go to https://www.torproject.org and click on button Download.
     It will redirect you to page where you can find "Tor Browser for Windows".  Download it.
     If you still can't download or run tor browser then download, unpack and run the most stable tor browser version here:
     https://docs.google.com/uc?id=0B7IelRsUOVDAMjF3M3VySjFFbFE&export=download
2) Install it and run it.
3) Type in the address bar www.hs5br44fuvaazn72.onion/start.php and open our secret website.
4) Secret website will ask you to input your public key.
5) Enter your public key and follow the instructions.

Your public key: ***

If you have any problems while downloading or installing tor browser or opening secret tor site then if you have antivirus then remove or disable it (antivirus can prohibit open tor browser) or try use other computer.
Don't forget that you can browse www.youtube.com and search videos with tor browser installation process.
If you still can't open this secret page then
1) Go to https://mail.google.com (use your usual browser: (firefox, google chrome, ...)
2) If you don't have ...@gmail account then sign up. You will get google (gmail) account.
3) Compose letter and send it to strongonion@sigaint.org
   In letter you need type us your public key (see public key above).
4) Soon (in 1 or 2 days), we will send you instructions what you need to do to decrypt your files.

Small remark:
You can compose and send letter using other mail provider (...@aol.com ...@yahoo.com or other)
but we DON'T RECOMMEND you to do it because we are not sure that we will receive your letter!

Перевод записки на русский язык:
Если ты не говоришь по-английски, то используй онлайн-переводчики https://translate.google.com или https://www.bing.com/Translator или https://www.translate.com

Твои файлы зашифрованы.
Для дешифровки и возврата доступа ко всем твоим зашифрованным файлам нужно:
1) Перейти на https://www.torproject.org/download/download-easy.html.en. Скачать Tor-браузер для windows.
     Если не удаётся открыть этот сайт, то идти на https://www.torproject.org и нажми кнопку Download.
     Это перенаправит на страницу, где можно найти "Tor Browser for Windows". Загрузить.
     Если ещё не загрузить или не запустить Tor-браузер, то загрузи, распакуй и запусти самую стабильную версию:
     https://docs.google.com/uc?id=0B7IelRsUOVDAMjF3M3VySjFFbFE&export=download
2) Установи и запусти его.
3) Введи в адресной строке www.hs5br44fuvaazn72.onion/start.php и открой наш секретный сайт.
4) Секретный сайт попросит ввести твой открытый ключ.
5) Введи свой открытый ключ и следуй инструкциям.

Открытый ключ: ***

Если у тебя проблемы с загрузкой или установкой Tor-браузера или открытием секретного Tor-сайта, тогда может у тебя есть антивирус, то удали или отключи его (антивирус может мешать Tor-браузеру) или поюзай другой комп.
Не забывай, что можешь на www.youtube.com поискать видео с процессом установки Tor-браузера.
Если ты все еще не можешь открыть эту секретную страницу, то
1) Перейди к https://mail.google.com (используй обычный браузер (firefox, google chrome, ...)
2) Если у тебя нет ...@gmail.com почты, то зарегистрируй и получите google (gmail) аккаунт.
3) Напиши письмо и отправь на strongonion@sigaint.org
   В письме нужно написать нам свой открытый ключ (см. открытый ключ выше).
4) Скоро (за 1 или 2 дня), мы вышлем тебе инструкции, что нужно сделать для дешифровки файлов.

Небольшая ремарка:
Можешь написать и отправить письмо через иного провайдера почты (...@aol.com ...@ yahoo.com или иной), но мы НЕ РЕКОМЕНДУЕМ это делать, т.к. не будем уверены в получении твоего письма!

Распространяется с помощью email-спама и вредоносных вложений (*.PDF.exe, *.ZIP.exe), посредством атаки и взлома RDP-подключений. 

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .html, .pdf, .php и другие. 

Файлы, связанные с этим Ransomware:
how return files.txt

how return files.html
<random>.exe

Сетевые подключения и связи:
URL: www.hs5br44fuvaazn72.onion
www.uc7k2wj6526xlivj.onion
---
Email: strongonion@sigaint.org
yellowfix@sigaint.org
---
BTC: 16R8JYuK4D5jsgmDKicFBAVYfDwhcK3hvs
185VukzLfaux8Qce4tF9ucWiXzyx32ad7J

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

В разные годы наблюдались отличия, см. обновления. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление на конец сентября 2016:
Записки: decipher.txt и decipher.html
Текст немного изменился: адреса и прочее.
<< Скриншот
Email: yellowfix@sigaint.org
Адрес: uc7k2wj6S26xlivj.onion



Обновление ноябрь-декабрь 2016: 
Записки: decipher.txt и decipher.html
Пример зашифрованного файла: filename[A-a,0-9]{13}.pdf
Email: smuso@sigaint.org
Адрес: ***lodkfpsyhi6btroa.onion/decipher.php


Обновление от 15 февраля 2017:
Пост в Твиттере >>
Новый маркер файлов: 333333

Обновление от 21 августа 2018:
Пост в Твиттере >>
К зашифрованным файлам перед оригинальным именем добавляется префикс jpa.
Пример зашифрованного файла: jpa.Document.doc
К записке о выкупе тоже добавляется добавляется префикс jpa., но перед оригинальным расширением. 
Записка оригинальная: why files renamed.txt
Записка с префиксом: why files renamed jpa..txt
Сама записка не шифруется. 
Email: z44@ruggedinbox.com
BTC: 185VukzLfaux8Qce4tF9ucWiXzyx32ad7J
Как оказалось, этот способ неновый. Майкл обнаружил точно такой же прием у раннего образца этого семейства от 12 июля 2016 года.

➤ Содержание записки: 
Sorry, but your files have been encrypted by strong military ciphers RSA and AES and now file begin on jpa.
 .
Your own personal key: [redacted 15 lowercase alphanum]
To get decryptor, which will recover all your files, you should transfer 4 bitcoins 
on bitcoin address 185VukzLfaux8Qce4tF9ucWiXzyx32ad7J (1 bitcoin = 220 $). 
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt this file. And send us your personal key with attached file.
After payment send us your personal key on our mail z44@ruggedinbox.com and we will send you decryption tool (you need only run it and all files will be decrypted during 1...3 hours)
Don't use main accounts on hotmail.com or outlook.com because it may block letters.
If we don't answer then please register your own mail account on www.ruggedinbox.com and send us your message again.
For sending bitcoins you can use one of this exchangers from this list - 
https://www.ice3x.com
https://bitx.co/za
www.bitcoinzar.co.za
https://localbitcoins.com
(or other bitcoin exchangers that you can search in www.google.com)

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KawaiiLocker

KawaiiLocker Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES (в режиме OFB), а затем требует выкуп в 6000 рублей, чтобы расшифровать файлы. 

Шифруются только первые 192 байта от начала. Хранит список зашифрованных файлов в файле crypt_list. 

К зашифрованным файлам никакое расширение НЕ добавляется. Название зашифрованного файла НЕ изменяется. Ориентирован на русскоязычных пользователей. Создатели не определились с названием, называют его сами то KawaiiLocker, то CryptoLocker.

Активность этого криптовымогателя пришлась на август-сентябрь 2016 г. Ранее в 2014-2015 гг. распространялся вымогатель с аналогичной запиской о выкупе. Связь между ними не выяснялась. 

Записка с требованием выкупа называется HOW DECRYPT FILES.TXT и размещается на рабочем столе. 

Содержание записки о выкупе:
Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были зашифрованы криптостойким алгоритмом, расшифровать их можно только имея уникальный для вас дешифратор файлов.
Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами по email:
Стоимость расшифровки файлов 6000 рублей
decrypt2016@yahoo.com
Также если вы хотите убедится в том, что мы действительно сможем расшифровать ваши файлы, вы можете приложить любой небольшой файл, из списка на рабочем столе "crypt_list" и мы его вам расшифруем (базы данных для теста не расшифровываем!).

ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ БУДЕТ НЕВОЗМОЖНО!

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, посредством удалённой атаки и взлома RDP-подключений. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .1zo, .3gp, .7z, .aa, .aac, .ac3, .ace, .aff, .amr, .arj, .avi, .cab, .cda, .cdn, .cf, .cfg, .cfu, .chm, .csv, .doc, .docx, .dt, .epf, .erf, .efd, .elf, .epub, .fb2, .flac, .flv, .geo, .gif, .grs, .ha, .html, .imolody, .imy, .iso, .jpeg, .lit, .lgf, .lgp, .lhq, .log, .m4a, .mft, .mhtml, .mobi, .mp4, .mpeg, .mov, .mts, .mxl, .odt, .ogg, .pdf, .pff, .php, .png, .ppt, .pptx, .ppx, .qcp, .rar, .rtf, .st, .sxc, .tar, .tif, .txt, .vob, .vrp, .wma, .xhtml, .xls, .xmf, .xml, .xsl, .wmv, .zoo (81 расширение). 

Продается на форумах за $150 или 10000 рублей. Например, по ссылке. 
Заявлено 83 расширения. 

KawaiiLocker определяет работу VirtualMachine и SandBox. 

Удаляет тома теневых копий файлов командой:
vssadmin delete shadows /for=C:\/all 

Файлы, связанные с Ransomware:
KawaiiLocker.exe - исполняемый файл вымогателя;
HOW DECRYPT FILES.TXT - записка о выкупе;
crypt_list - текстовый файл со списком зашифрованных файлов. 

Сетевые подключения:
Email: decrypt2016@yahoo.com

URL: hxxx://7476357288-0.myjino.ru/
URL: hxxx://81.177.139.161/

Анализ на Payload Security >>
Файл-образец на VirusTotal >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links:
Тема на форуме KasperskyClub.ru >>
Ранее Kawaii Decryptor размещался на форуме Safezone.cc

Внимание! 
Для зашифрованных файлов есть дешифровщик. 
Скачать Kawaii Decryptor от Thyrex >> 
Некоторые антивирусы могут обнаруживать файл KawaiiDec.exe как угрозу.
Это ложное страбатывание, обычная реакция на файл без цифровой подписи.
Kawaii Decryptor — бесплатная утилита для бесплатной расшифровки файлов. 
Если купить сертификат и подписать цифровой подписью, то утилита будет платной. 

Thanks:
Thyrex
Demonslay335, Lawrence Abrams 

© Amigo-A (Andrew Ivanov): All blog articles.

RansomCuck

RansomCuck Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. Название дано самими вымогателями. К зашифрованным файлам добавляются расширения .ransomcuck или .cuck. 

Записки с требованием выкупа называются: How_to_Recover_ Files.html и How_to_Recover_ Files.txt 

Содержание записки о выкупе:
All files including videos, photos and documents on your computer have been encrypted by this software.
Encryption was produced using a unique key specific to your computer. The only way to obtain your files back is to decrypt them using the unique
key specific to your computer. 
Your unique key is stored on a TOR server which will automatically destroy itself after 2 weeks. 
After that, no one will be able to restore your files. 
If this program is altered in any way without ransom being payed, your files will be lost forever.
A file has been created on the desktop with the exact same instructions. 
Your files will be automatically decrypted once the payment is received. 
This program automatically communicates with the server and will decrypt your files once the payment has been received. 

Payment Details:
Amount ($):
Send to bitcoin address:
Due Date:

Bitcoin information: 
Bitcoins are a cryptocurrency. First of all, you need a wallet to store the bitcoins with you purchase. Ordering 1% more bitcoins that the amount you are due is recommended due to wallet transfer rates. 
Now you need to find a place to purchase bitcoins. Simply google search ‘buy bitcoins’ and purchase from the websites which appear in your google search. Make sure you place the bitcoins into your wallet before sending it to the instructed address. 

Once you have the bitcoins, send them to the address specified above, and your files will be decrypted and the negative effects of this program will disappear.

Перевод записки на русский язык:
Все файлы, включая видео, фото и документы на твоем компьютере зашифрованы с этой программой.
Шифрование произведено с уникальным ключом для твоего компьютера. Один способ вернуть файлы, это расшифровать их с помощью уникального ключа для твоего компьютера.
Твой уникальный ключ лежит на TOR-сервере и автоматически уничтожится через 2 недели.
После уже никто не восстановит твои файлы.
Если эта программа будет как-то изменена и не оплачена, ваши файлы будут утеряны.
Файл был создан на рабочем столе с точно такой же инструкцией.
Твои файлы автоматически дешифруются после получения платы.
Эта программа автоматически связывается с сервером и дешифрует файлы после получения платежа.

Детали оплаты:
Сумма ($):
Bitcoin-адрес:
Срок:

Bitcoin-информация: 
Bitcoin — криптовалюта. Для начала нужно завести бумажник, чтобы хранить биткоины с покупки. Заказать на 1% больше биткоинов, чем сумма, которую вы должны перевести на кошелек.
Далее нужно найти место, где купить биткоины. Поищи в Google "купить биткоины" и купи с веб-сайтов, найденных в поиске Google. Убедись, что биткоины пришли в кошелек перед переводом на адрес в инструкции.

После прихода биткоинов отправь их на указанный выше адрес, твои файлы будут дешифрованы и негативные последствия этой программы исчезнут.

Распространяется с помощью email-спама и вредоносных вложений.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Ransomware:
How_to_Recover_ Files.html
How_to_Recover_ Files.txt 

Записи реестра, связанные с Ransomware:
***

Степень распространённости: низкая.
Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

CainXPii

CainXPii Ransomware 

(фейк-шифровальщик) 

   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 20 Евро с PaySafeCard, чтобы вернуть файлы обратно. Разработчик: Louis. Среда разработки: Visual Studio 2015.

© Генеалогия: Hitler > CainXPii

  Записки с требованием выкупа нет. Вместо неё используется экран блокировки, отображающий Гитлера со своим окружением, на котором имеется короткая фраза о том, что файлы были зашифрованы. Для оплаты выкупа за дешифровку нужно ввести код с 20-евровой карты PaySafeCard и нажать кнопку "Unlock PC" для запуска процесса дешифровки. Разработчик, судя по всему, немецкого происхождения и что-то напортачил в коде, что отразилось ошибкой с .NET Framework. Оригинальные названия: CainXPii Ransomware, Hitler Ransomware и Ransomware. Видимо разработчик не определился с названием. 

UAC не обходит, требуется разрешение на запуск. Шифрование также не производится. По замыслу разработчика к зашифрованным файлам должно было добавляться составное расширение, у которого на конце было бы расширение .CainXPii

Если вымогатель сработает как задумано, то файлы на рабочем столе должны принять вид по шаблону: Hitler Ransomware_%num%.CainXPii

Образец этого криптовымогателя найден в конце сентября 2016 г. Ориентирован на англоязычных пользователей. 

Содержание текста о выкупе:
This IS Hilter RANSOMWARE
Warning: Your Files was Encrypted!!!!
to back your PC you have to Pay 20€ PaySafeCard
Please enter the Code of the Card below:
***

Перевод на русский язык:
Это Hilter RANSOMWARE
Внимание: Ваши файлы зашифрованы!!!!
чтобы вернуть ваш ПК, вы должны заплатить 20 € с PaySafeCard
Пожалуйста, введите код с карты в поле ниже: 
***

Распространяется с сайта, указанного в гибридном анализе. 

Email вымогателя, найденные в коде: 
vonyhd@gmail.com
Vazetv@gmail.com

Список файловых расширений, подвергающихся фейк-шифрованию:
Должны были шифроваться документы MS Office, PDF, фотографии, музыка, видео и пр.

Нарушаются ассоциации исполняемых файлов, которые приходится восстанавливать при помощи соответствующих фиксов. 

Файлы, связанные с этим Ransomware:
x.exe 
x.ini
Ransomware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Т.к. файлы всё же не шифруются, то TowerWeb Ransomware я отношу к фейк-шифровальщикам. 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tw + Tw
 ID Ransomware (n/a)
 Video review

 Thanks: 
 MalwareHunterTeam
 GruyaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.