HDDCryptor

HDDCryptor Ransomware

(шифровальщик-вымогатель, MBR-модификатор) 

Translation into English

   Этот вымогатель перезаписывает MBR (Master Boot Record), блокируя загрузку компьютера. Кроме того, диски шифруются с помощью AES-2048 в режиме XTS. Также шифруются некоторые данных на локальных и подключенных сетевых дисках. 

Обнаружения: 

DrWeb -> Trojan.Inject2.29272

ALYac -> Trojan.Ransom.Mamba

Avira (no cloud) -> HEUR/AGEN.1109814

BitDefender -> Trojan.GenericKD.3516147

ESET-NOD32 -> A Variant Of Win32/Injector.TLD, Win32/Filecoder.DCryptor.C

Kaspersky -> Trojan-Ransom.Win32.Dcryptor.c, Trojan-Ransom.Win32.Agent.iun

McAfee -> Ransom-O

Microsoft -> Ransom:Win32/Mambretor.A, Ransom:Win32/Mambretor.D

Rising -> Trojan.Generic@ML.94 (RDML:Mz+edi***

Symantec -> Ransom.HDDCryptor

TrendMicro -> Ransom_HDDCRYPTOR.A, Ransom_HDDCRYPTOR.SM2

VBA32 -> Hoax.Dcryptor

  Первые обращения пострадавших от этого вымогателя начались ещё в январе 2016 г., но модифицированные версии активны до сих пор. Ориентирован на англоязычных пользователей, что не исключает его вредоносной деятельности для иноязычных пользователей. HDDCryptor использует коммерческие инструменты для шифрования сетевых ресурсов и блокировки жестких дисков. Уже пострадали компьютеры разных компаний в Бразилии, Индии и дочерних компаниях США.

Хотя большинство вымогателей обычно нацелены на определённые типы файлов или папок, хранящихся на локальных дисках, сменных носителях и общих сетевых ресурсах, но мы смогли выявить новую вымогательскую семью HDDCryptor. Детектируется TrendMicro как Ransom_HDDCRYPTOR.A
Подробное исследование описано в блоге TrendMicro. 

У других исследователей этот шифровальщик-вымогатель получил название Mamba Ransomware. 

HDDCryptor нацелен не только на общие сетевые ресурсы, такие как диски, папки, файлы, принтеры и последовательные порты, Server Message Block (SMB), но и блокирует привод. Такое поведение делает этот тип вымогателей очень серьезной и реальной угрозой не только для домашних пользователей, но и для предприятий.

По окончании шифрования вымогатель переписывает все MBR у всех разделов жесткого диска с помощью пользовательского загрузчика. Затем он перезагружает компьютер без взаимодействия с пользователем и показывает одну из представленных ниже текстов о выкупе.

Короткие записки с требованием выкупа выводятся на экран монитора сразу после включения ПК. В январской и майской версиях использовался четырёхзначный идентификатор жертвы, а в августе-сентябре стал использоваться шестизначный идентификатор. 

После уплаты выкупа пользователь получает пароль, который он должен ввести на экране с клавиатуры. Если пароль неправильный, появляется короткая запись: password incorrect (пароль неверен). 

Содержание записки о выкупе (вариант августа):
You are Hacked!!!! Your H.D.D. Encrypted, Contact Us For Decryption Key *email* YOUR ID: ***

Перевод на русский язык:
Ты взломан!!!! Твой H.D.D. зашифрован, контакт для ключа дешифровки *** YOUR ID: ***

Содержание записки о выкупе (вариант сентября):
You are Hacked ! H.D.D. Encrypted, Contact Us For Decryption Key (w889901665@yandex.com) YOUR ID: 123152**********
password incorrect

Перевод на русский язык:
Ты взломан! H.D.D. зашифрован, контакт для ключа дешифровки (w889901665@yandex.com) YOUR ID: 123152 **********
пароль неверен

Содержание записки о выкупе (вариант января):
Your hard drive is securely encrypted. To buy password send an email to gem337@sigaint.org with code 9011.

Перевод на русский язык:
Твой хард диск зашифрован. Для покупки пароля пришли письмо на gem337@sigaint.org с кодом 9011.

Содержание записки о выкупе (вариант мая):
Your hard drive is securely encrypted. To buy password send an email to drake117@sigaint.org with code 1978.

Перевод на русский язык:
Твой хард диск зашифрован. Для покупки пароля пришли письмо на drake177@sigaint.org с кодом 1978.

На случай, если жертва каким-то образом преодолеет начальный экран блокировки и восстановит оригинальный MBR, имеется еще полноценная записка о выкупе с суммой выкупа и инструкциями покупки / уплаты биткоинов. С января сумма выкупа была $700 или 1.0520 в биткоинах. 

Содержание записки о выкупе (вариант января и позже):
Here are our standard payment instructions.
Our bitcoin wallet address is (***) $700 is approx. 1.0520 BTC according to current exchange rate.
In case you have no prior experience with Bitcoin (and can't find someone who has - which is the best option) here's a summary on different ways to buy bitcoin: https://en.bitcoin.it/wiki/Buying_Bitcoins_%28the_newbie_version%29
For example, you can buy bitcoins on coinbase.com (using your bank account), localbitcoins.com (multiple payment methods, depending on vendor), bitquick.co (cash deposit in local bank, seems to work pretty fast but we have no personal experience with them) or virwox.com (they accept cards and paypal, and on virwox.info you can find a tutorial on buying bitcoins there).
Please note that for security reasons some websites will delay payment for up to 48 hours (that's true for purchasing on virwox with paypal) so please pay attention to terms of service. We won't be able to confirm your transaction and send you the password during that delay period.
In our experience your best chance to make the transfer quickly is to find an online seller with good reviews on localbitcoins.com. If you use cash deposit to pay that seller your transaction should only take a few hours. Also vendors can be really helpful on that website.
Alternatively you can look up bitcoin ATMs in your area - their fee is usually a bit higher but that's one of the fastest ways to buy bitcoins.
For amounts up to $300 you can use circle.com - it allows to send money from credit and debit cards almost instantly. You can also break up bigger amounts and make several payments from different accounts if you find it convenient.
After you purchase $700 worth of bitcoins you can just send them to our bitcoin wallet directly from the website you've chosen - this way you won't have to install bitcoin software, manage your own wallet etc. If you find it difficult to transfer the indicated amount in a single transaction you can break up the sum and make several transactions to the same bitcoin address (possibly using different methods of purchasing bitcoins).
After that we'll send you the password that'll let you boot Windows and further instruction on permanently decrypting hard drives. We'll also tell how we got in so you can fix it and prevent future incidents.

В сентябре вымогатели использовали другой текст и требовали 1 Bitcoin (~ $600). 

Содержание записки о выкупе (вариант сентября):

Your HDD Encrypted By AES 2048Bit

Send 1BTC Per HOST to My Bitcoin Wallet, then we give you Decryption key For Your Server HDD!!

My Bitcoin Wallet Address: 1NLnMNMPbxWeMJVtGu***

We Only Accept Bitcoin, it’s so easy!

You can use Brokers to exchange your money to BTC ASAP it's Fast way!

Here: хттпs://localbitcoins.com/

If You Don't Have a Account in Bitcoin, Read it First:

хттпs://bitcoin.org/en/getting-started

bitcoin Market:

хттпs://blockchain.info/

хттпs://www.okcoin.com/

хттпs://www.coinbase.com/

хттпs://bitcoinwallet.com/

Технические детали

Распространение, инфицирование и установка вредоноса
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

HDDCryptor может инфицировать систему через исполняемый файл, который пользователь может загрузить с вредоносного веб-сайта, или может быть установлен другими вредоносными программами. 

Вымогатель устанавливается путем дроппирования нескольких компонентов, легитимных и вредоносных, в корневой папке системы:
dcapi.dll - детектируется TrendMicro как Ransom_HDDCRYPTOR.A;
dccon.exe - используется для шифрования диска;
dcrypt.exe - легитимная утилита DiskCryptor;
dcrypt.sys - файл утилиты DiskCryptor;
log_file.txt - лог работы вредоносного ПО;
Mount.exe - сканирует подключенные сетевые диски и шифрует на них файлы;
netpass.exe - нужен для поиска ранее настроенных и доступных сетевых папок;
netuse.txt - нужен для хранения информации о подключенных сетевых дисках;
netpass.txt - нужен для хранения учетных данных для ранее подключенных сетевых дисков.

К тому же, HDDCryptor добавляет службу с именем DefragmentService и выполняет её с помощью командной строки.

Чтобы закрепиться в системе HDDCryptor создает нового пользователя с именем "Mythbusters" с паролем "123456", а также добавляет новую службу под названием "DefragmentService", которая работает при каждой загрузке. Эта служба вызывает оригинальный бинарный файл вымогателя (исполняемый файл с трёхзначным числом в названии).

Два из описанных выше файла являются свободно распространяемыми инструментами. Netpass.exe - бесплатный сетевой инструмент для восстановления пароля, а dcrypt.exe - исполняемый файл DiskCryptor, утилиты с открытым исходным кодом для шифрования диска. Netpass.exe сначала ищет ранее настроенные и доступные сетевые папки и извлекает учётные данные. Информация об этих сетевых дисках хранится в двух локальных текстовых файлах, один содержит сведения о подключенных дисках и любые учетные данные, если таковые имеются.

Функциональные возможности Mount.exe:
- Перечислить все имеющиеся подключенные диски и зашифровать все файлы
- Благодаря netpass.exe найти ранее подключенные диски или кэшированные отключенные сетевые пути и подключиться к ним, используя все полученные учетные данные. 
Запустить mount.exe без параметров всех перечисленных подключенных дисков, с помощью функции управления томами в ОС Windows GetLogicalDrives и зашифровать все файлы, хранящиеся на них.

Для того, чтобы добраться к ранее доступным сетевым папкам (на неподключенных дисках), HDDCryptor использует бесплатное ПО для восстановления сетевых паролей (netpass.exe). Утилита извлекает учётные данные текущей сессии и результат сохраняется в файл с именем netpass.txt. Кэш подключаемых к ним дисков сбрасывается в файл с именем netuse.txt. Исполняемый файл затем использует два файла дампа для доступа к кэшированным сетевым ресурсам (даже отключенным) или любому другому сетевому ресурсу, который ранее был доступен. Кроме того, DiskCryptor содержит сертификат с истекшим сроком, а само ПО не обновлялось с 7 сентября 2014 г.

Файлы, связанные с этим Ransomware:
%SystemDrive%/DC22/dcapi.dll
%SystemDrive%/DC22/dccon.exe
%SystemDrive%/DC22/dcinst.exe
%SystemDrive%/DC22/dcrypt.exe
%SystemDrive%/DC22/dcrypt.sys
%SystemDrive%/DC22/mount.exe
%SystemDrive%/DC22/netpass.exe
%SystemDrive%/DC22/netpass.txt
%SystemDrive%/DC22/log_file.txt
%SystemDrive%/DC22/netuse.txt

Ключи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DefragmentService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\config
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Instances
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Instances\dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Enum

Гибридный анализ на PS >>
Детект на VirusTotal >>
Symantec: Ransom.HDDCryptor >>

Степень распространённости: средняя.
Подробные сведения собираются.


Обновление от 29 ноября:
Результаты анализов VT, HA

В конце ноября 2016 компьютерные системы метрополитена Сан-Франциско (MUNI-RAILWAY) стали жертвой атаки этого крипто-вымогателя. Но атака не была целенаправленной. Кто-то из работников MUNI-RAILWAY скачал и запустил зараженный файл самостоятельно. После связи с вымогателями по email cryptom27@yandex.com был получен ответ:
If You are Responsible in MUNI-RAILWAY !
All Your Computer’s/Server’s in MUNI-RAILWAY Domain Encrypted By AES 2048Bit!
We have 2000 Decryption Key !
Send 100BTC to My Bitcoin Wallet , then We Send you Decryption key For Your All Server’s HDD!!
We Only Accept Bitcoin , it’s So easy!
You can use Brokers to exchange your money to BTC ASAP
It’s Fast way!
Вымогатели запросили 100 биткоинов, но работникам MUNI-RAILWAY удалось восстановить работу компьютерной сети самостоятельно, без уплаты выкупа. 
Читать об этом: здесь и здесь. 


Обновление от 9 августа 2017:
Обширная статья от ЛК >>




Обновление от 26 февраля 2018:
Топик на форуме >>
Email: PAPINDO@SCRYPTMAIL.COM
All your data encrypted. Contact: PAPINDO@SCRYPTMAIL.COM
ENTER PASSWORD: _


Обновление от 20 мая 2019:
Пост на форуме >>
Текст от вымогателей: 
Your HDDs are encrypted. Contact us to buy password via ********* Ref. code *****
Enter password: _

Read to links: 
TrendMicro blog + Renato Marinho blog
ID Ransomware (ID as HDDCryptor)
Write-up on BC

 Thanks:
 TrendMicro, Michael Gillespie
 Andrew Ivanov (author)
 Renato Marinho, Catalin Cimpanu

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoCat

CryptoCat Ransomware

   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью RSA-2048, а затем требует выкуп в 1,45 биткоинов (~ 611 USD), чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .cryptocat. Название происходит от добавляемого расширения, этимологически пересекаясь с названием мессенджера Cryptocat со встроенным шифрованием передаваемых данных. Ориентирован на англоязычных пользователей.

Записка с требованием выкупа называется: Your files are locked !.txt

Содержание записки о выкупе:
Support e-mail: mls82@hush.ai mls82@bk.ru
Your personal files encryption produced on this computer: photos, videos, documents, etc.
Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server on the Internet; the server will destroy the key after 168 hours.
After that nobody and never will be able to restore files.
To obtain the private key for this computer, you need pay 1.45 Bitcoin (~611 USD)
----------------
Your Bitcoin address: 1DoW7ifYKAsGvBzCQR5nvdgt3qcc7M15Do
You must send 1.45 Bitcoin to the specified address and report it to e-mail customer support.
In the letter must specify your Bitcoin address to which the payment was made.
----------------
The most convenient tool for buying Bitcoins in our opinion is the site: https://localbitcoins.com/
There you can buy Bitcoins in your country in any way you like, including electronic payment systems, credit and debit cards, money orders, and others.
Instructions for purchasing Bitcoins on account localbitcoins.com read here: https://localbitcoins.com/guides/how-to-buy-bitcoins
Video tutorial detailing on buying Bitcoins using the site localbitcoins.com here: http://www.youtube.com/watch?v=hroPcR-0zSI
How to withdraw Bitcoins from account localbitcoins.com to our bitcoin wallet: https://localbitcoins.com/faq#howto_buy
Also you can use to buy Bitcoins these sites:
https://www.bitstamp.net/
https://www.coinbase.com/
https://www.247exchange.com/

Перевод записки на русский язык:
Поддержка по e-mail: mls82@hush.ai mls82@bk.ru
Ваши личные файлы зашифрованы на этом компьютере: фото, видео, документы и т.д.
Шифрование произведено с уникальным открытым ключом RSA-2048 только для этого компьютера.
Для дешифровки файлов вам надо получить закрытый ключ.
Единственный экземпляр закрытого ключа, который поможет дешифровать файлы, находится на секретном сервере в Интернете; сервер уничтожит ключ через 168 часов.
После этого никто и никогда не сможет восстановить файлы.
Для получения закрытого ключа для этого компьютера, вам нужно заплатить 1,45 Bitcoin (~ 611 USD)
----------------
Ваш Bitcoin-адрес: 1DoW7ifYKAsGvBzCQR5nvdgt3qcc7M15Do
Вы должны послать 1,45 биткоина по этому адресу и сообщить по email в службу поддержки клиентов.
В письме надо указать свой Bitcoin-адрес, к которого был сделан платеж.
----------------
Самый удобным инструментом для покупки биткоинов, на наш взгляд, это сайт: https://localbitcoins.com/
Там можете купить биткоины в вашей стране, как захотите, включая электронные платежные системы, кредитные и дебетовые карты, денежные переводы и другие.
Инструкция по покупке биткоинов на аккаунт localbitcoins.com здесь: https://localbitcoins.com/guides/how-to-buy-bitcoins
Видео учебник о покупке биткоинов с помощью сайта localbitcoins.com здесь: http://www.youtube.com/watch?v=hroPcR-0zSI
Как вывести биткоины со счета localbitcoins.com на наш Bitcoin-бумажник: https://localbitcoins.com/faq#howto_buy
Также вы можете использовать для покупки биткоинов эти сайты:
https://www.bitstamp.net/
https://www.coinbase.com/
https://www.247exchange.com/

Распространяется с помощью email-спама и вредоносных вложений.

Список файловых расширений, подвергающихся шифрованию:
***
Файлы, связанные с Ransomware:
***
Записи реестра, связанные с Ransomware:
***

Степень распространённости: низкая.
Подробные сведения собираются.


© Amigo-A (Andrew Ivanov): All blog articles.

Atom RaaS

Atom Ransomware 

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0.01 биткоинов, чтобы вернуть файлы. На уплату выкупа даётся трое суток (72 часа). Название оригинальное. К зашифрованным файлам по умолчанию добавляется расширение .locked.

© Генеалогия: Shark > Atom.

История развития: От Shark RaaS до Atom RaaS

Этот крипто-вымогательский проект развился из Shark Ransomware, который был представлен месяц назад, и был не просто переименован, а претерпел ряд изменений. Потому представляет собой стартап новой партнёрской вымогательской программы Atom RaaS.

Как прежде Shark, Atom RaaS также открыто доступен в Интернет, хотя большинство его конкурентов предпочитают анонимность и безопасность, которую обеспечивает име сеть Tor.

Веб-страница Atom также работает на WordPress, но, в отличие от Shark, была переработана панель администратора на главной странице сайта. 

Самое большое изменение между Atom и Shark — это новый Atom Payload Builder, свободно загружаемый EXE-файл, который позволяет преступникам быстро собрать желаемую версию Atom Ransomware.

Теперь Atom Builder генерирует полностью рабочий исполняемый Payload, а не только конфигурационный код, который использовался в EXE-файле у Shark. Это значительно облегчает получение готового бильда вымогателя и лучше работает на дистрибьютора.

На момент написания этой статьи в Builder версии 1.02 было три опции: 
- Bitcoin-адрес для получения дистрибьютором своей доли прибыли; 
- требование выкупа в популярной у вымогателей криптовалюте Bitcoin;  

- список расширений файлов, которые должны быть зашифрованы.

По умолчанию ориентирован на англоязычных пользователей, что не мешает задавать записки о выкупе на любом языке и распространять его по всему миру.

Распространяться может любым стандартным способом: с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, по умолчанию подвергающихся шифрованию: 
.bmp .doc .docx .gif .gif .jpeg .jpg .m4v .mp4 .odt .pdf .png .ppt .pptx .psd .rtf .txt .xls .xlsx

Список целевых расширений также задаётся клиентом в Payload Builder.exe. 

Сервис дешифрования имеется 30 языковых локализаций.

Используя специальный ID-код отслеживания работы аффилятов, управляющий мастер-сервер Atom RaaS может отслеживать из управляющей веб-панели все инсталляции, число жертв, зараженных Atom Ransomware, их ID, число уплативших выкуп и сумму, заработанную партнёром по вымогательству.


Как и у Shark, команда Atom-а забирает 20% от каждого выплаченного жертвами выкупа. По правде говоря, нет никакой гарантии, что люди, вступившие в это неформальное бизнес-соглашение с командой Atom, когда-либо получат свои деньги. Все платежи выкупа Atom фактически направляются в Bitcoin-кошелек, контролируемый командой Atom, которая затем "обещает" переадресовать долю прибыли своим аффилят-партнёрам.

Напоминаю: Вымогательство — это преступление, а не игра! Не играйте в эти игры. Моё дело — предупредить. 

Файлы, связанные с Atom Ransomware: 
Payload Builder.exe

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC
 *
 *

 Thanks: 
 Catalin Cimpanu
 Мне самому за перевод (как SNS-amigo)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LockLock

LockLock Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует написать на почту вымогателей locklockrs@aol.com или ник в Skype "locklockrs", чтобы дешифровать файлы. К зашифрованным файлам добавляется расширение .locklock

  Название LockLock получил от добавляемого расширения. Первое обнаружение этого криптовымогателя было в середине июля 2016 г., но декриптер у вымогателей, судя по видеоролику, был готов уже в мае 2016. Ориентирован на англоязычных пользователей, но большинство сегодняшних жертв имеют китайские IP-адреса.

© Генеалогия: EDA2 >> LockLock 

Записка с требованием выкупа называется READ_ME.TXT. Ей вторит скринлок, встающий обоями рабочего стола. Есть также альтернативный. 

Содержание записки о выкупе:
IMPORTANT INFORMATION!
Your computer id: 000c29f11b92 <---- Remember it and send to my email.
Your computer has been hacked!
- How to open my file?
- You need key and Decrypter Program
- Where can i get?
- Email to me: locklockrs@aol.com
(Open file READ_ME.TXT on your Desktop and send your SID)
How to use Decrypter Program?
http://b1t.do/locklockrs
GOOD LUCK! 

Перевод записки на русский язык:
ВАЖНАЯ ИНФОРМАЦИЯ!
Ваш ПК ID: 000c29f11b92 <---- Запомни его и отправь на мою почту.
Ваш компьютер был взломан!
- Как открыть мой файл?
- Вам нужно ключ и декриптер
- Где я могу получить?
- Email мне: locklockrs@aol.com
(Открой READ_ME.TXT файл на рабочем столе и отправь SID)
Как использовать декриптер?
http://b1t.do/locklockrs
УДАЧИ!

Email вымогателей: locklockrs@aol.com
Skype вымогателей: locklockrs

Распространяется с помощью email-спама и вредоносных вложений.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с этим Ransomware:
READ_ME.TXT

Записи реестра, связанные с этим Ransomware:
***

Сетевые соединения: 
www.locklock.net  (200.63.45.76)
C2: locklock.net/tmp/savekey.php

Степень распространённости: низкая.
Подробные сведения собираются.

http://www.bleepingcomputer.com/forums/t/626750/locklock-ransomware-locklock-help-support/
https://id-ransomware.malwarehunterteam.com/index.php

Thanks: 
Michael Gillespie (Demonslay335)
Marc Rivero López (Seifreed)

© Amigo-A (Andrew Ivanov): All blog articles.

Crypt0

Crypt0 Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться с вымогателями по почте, чтобы вернуть файлы обратно. 

К зашифрованным файлам добавляется расширение _crypt0. Таким образом файл picture.jpg примет вид picture_crypt0.jpg. Название происходит от добавляемого расширения. Оригинальное название проекта: crypt0-Encrypt.pdb. Оригинальное название файла: crypt0-Encrypt.exe

© Генеалогия: DetoxCrypto > Crypt0 

Записки с требованием выкупа называются HELP_DECRYPT.TXT и размещаются в каждой папке с зашифрованными файлами. Из-за ошибки в крипто-вымогателе записки с требованием выкупа могут получить многократно повторенное название, см. скриншот ниже. Это характерная особенность этого вымогателя. 

Записка о выкупе

Содержание записки о выкупе:
What happened to your files ?
They are being held for ransom - All of your files were protected by a strong encryption with rsa-2048 using cryptowall 3.0.
More information about the encryption keys using rsa-2048 can be found here: http://en.wikipedia.org/wiki/rsa_Ccryptosystem)
What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen ?
Especially for you, on our server was generated the secret key pair rsa-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the internet.
Decrypting of your files is only possible with the help of the private key and decryption program, which is on our secret server.
What do I do ?
(DO NOT DELETE THIS FILE FROM THIS FOLDER - It is needed to decrypt your files)
Alas, if you do not take the necessary measures within a week then tne conditions for obtaininq the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for otner solutions because they do not exist.
YOU HAVE TO CONTACT: fndimaf@gmai1.com for furtner instructions on how to get the decryption program to recover your files.

Перевод записки на русский язык:
Что случилось с вашими файлами?
Их держат за выкуп - все ваши файлы были защищены сильным шифрованием с rsa-2048 с использованием cryptowall 3.0.
Более подробную информацию о ключах шифрования с помощью rsa-2048 можно найти здесь: http://en.wikipedia.org/wiki/rsa_Ccryptosystem)
Что это значит ?
Это означает, что структура и данные в ваших файлах были бесповоротно изменены, вы не сможете работать с ними, читать их или видеть их, это как потерять их навсегда, но с нашей помощью вы можете их восстановить.
Как это произошло ?
Специально для вас на нашем сервере была создана секретная пара ключей rsa-2048 - открытый и закрытый.
Все ваши файлы были зашифрованы с открытым ключом, который был перенесен на ваш компьютер через Интернет.
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы дешифрования, которая находится на нашем секретном сервере.
Что мне делать ?
(НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ ИЗ ЭТОЙ ПАПКИ - надо расшифровать ваши файлы)
Увы, если вы не предпримете нужные меры в течение недели, тогда условия для получения закрытого ключа будут изменены.
Если вы действительно цените свои данные, мы предлагаем вам не тратить драгоценное время на поиск иных решений, потому что их нет.
У ВАС ЕСТЬ КОНТАКТ: fndimaf@gmai1.com для получения инструкций о том, как получить программу дешифрования для восстановления ваших файлов.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с Ransomware:
crypt0-Encrypt.exe
HELP_DECRYPT.TXT
HELP_DECRYPT.TXTHELP_DECRYPT.TXT
HELP_DECRYPT.TXTHELP_DECRYPT.TXTHELP_DECRYPT.TXT

7za_crypt0.exe

autoclick_crypt0.log

autoexec_crypt0.bat

clipboard_crypt0.log

config_crypt0.sys

f964450a9c1d8767c2dfc11c0d5b84ca99da9ec9c4f818b6f9ce4edeb06cb151_crypt0.exe

GDIPFONTCACHEV1.DAT

mousewheel_crypt0.log

Office64WW_crypt0.msi

ose_crypt0.exe

osetup_crypt0.dll

setup_crypt0.exe

Setup_crypt0.xml

StandardWW_crypt0.xml

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fndimaf@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Внимание! 
Для зашифрованных файлов есть декриптер!
Скачать Crypt0 Decrypter >>
Инструкция: 
Выберите папку с зашифрованными файлами и нажмите кнопку "Decrypt".

Read to links: 
Tweet on Twitter
ID Ransomware
Write-up, Topic of Support

 Thanks:
 MalwareHunterTeam 
 Michael Gillespie (Demonslay335)
 *

© Amigo-A (Andrew Ivanov): All blog articles.

CryPy

CryPy Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует написать на почту вымогателям, чтобы получить декриптер. Написан на Python. Разработчик: MAFIA MALWARE INDONESIA.

Исполняемый файл CryPy имеет следующую иконку:

© Генеалогия: HiddenTear modified >> MafiaWare > CryPy

К зашифрованным файлам добавляется расширение .cry по шаблону CRY<random characters>.cry

  Когда файлы уже зашифрованы, их оригинальные имена передаются на C&C-сервер, отвечающий с новыми именами и ключом для шифрования. Каждый файл имеет случайный пароль из 32 символов, сгенерированный сервером, который также обеспечивает случайное имя файла для его переименования. Этот трюк может замедлить работу вымогателя, т.к. приходится ждать сетевого вызова для каждого отдельного файла, но он также скрывает генерацию ключей от исследователей из-за обработки на сервере. Из-за всего этого названия файлов меняется на несуразно длинные, например, такие, как на скриншоте ниже. 

Примеры зашифрованных файлов

Записки с требованием выкупа называются: README_FOR_DECRYPT.txt

Записка о выкупе

Содержание записки о выкупе:
IMPORTAN INFORMATION  [в слове IMPORTAN ошибка!]
All your files are encrypted with strong chiphers.
Decrypting of your files is only possible with the decryption program, which is on our secret server.
Note that every 6 hours, a random file is permanently deleted. The faster you are, the less files you will lose.
Also, in 96 hours, the key will be permanently deleted and there will be no way of recovering your files.
To receive your decryption program contact one of the emails:
1. m4n14k@sigaint.org
2. blackone@sigaint.org
Just inform your identification ID and we will give you next instruction.
Your personal identification ID: CRY*******

Перевод записки на русский язык:
ВАЖНАЯ ИНФОРМАЦИЯ
Все твои файлы зашифрованы с сильными шифрами.
Дешифровка файлов возможна только с декриптером, который на нашем секретном сервере.
Заметь, что каждые 6 часов случайный файл удаляется. Поторопись и меньше файлов потеряешь.
Также, после 96 часов ключ будет уничтожен и никаким способом файлы уже не восстановишь.
Для получения декриптера пиши на одно из писем:
1. m4n14k@sigaint.org
2. blackone@sigaint.org
Сообщи свой опознавательный ID и мы дадим тебе инструкцию.
Твой личный опознавательный ID: CRY *******

Распространяется с помощью email-спама и вредоносных вложений, в том числе в архивах.

Перед показом записки о выкупе скрипт вызывает функцию delete_shadow (), которая выполняет следующую команду, чтобы удалить все теневые копий файлов и предотвратить их восстановление из резервных копий:

os.system("vssadmin Delete shadows /all /Quiet")

Список файловых расширений, подвергающихся шифрованию:

 .aes, .ARC, .asc, .asf, .asm, .asp, .avi, .bak, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .max, .mdb, .mdf,.mid, .mkv, .mml, .mov, .mpeg, .mpg, .ms11 (Security copy), .MYD, .MYI, .NEF, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .PAQ, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .RTF, .sch, .sldm, .sldx, .slk, .sql, .SQLITE3, .SQLITEDB, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (136 расширений) и файл wallet.dat (криптовалютные кошельки).

Директории, в которых шифруются файлы: 

D:\\

E:\\

[User]\\contacts

[User]\\Documents\\

[User]\\Downloads\\

[User]\\Favorites\\

[User]\\Links\\

[User]\\My Documents\\

[User]\\My Music\\

[User]\\My Pictures\\

[User]\\My Videos\\

F:\\

до Z:\\

Файлы, связанные с Ransomware:
CRY.exe
mw.exe
<random>.exe
README_FOR_DECRYPT.txt

Записи реестра, связанные с Ransomware:
***

Сетевые подключения и связи:
xxxx://www.baraherbs.Co.il/js/owebia/victim.php

xxxx://www.baraherbs.Co.il/js/owebia/savekey.php

m4n14k@sigaint.org
blackone@sigaint.org
Детект на VirusTotal 9 сентября >>
Детект на VirusTotal 11 сентября >>

Степень распространённости: низкая.
Подробные сведения собираются.


Обновление от 17 мая 2017:
Записка: README_FOR_DECRYPT.txt
Файл: e-Statement BRI Mei 2017.pdf.exe

Результаты анализов: VT

Tweet on Twitter
Topic on BC
ID Ransomware (ID as CryPy)
Write-up (add. October 14, 2016)

 Thanks:
 Jakub Kroustek
 Michael Gillespie (Demonslay335)
 

© Amigo-A (Andrew Ivanov): All blog articles.