Atom RaaS

Atom Ransomware 

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0.01 биткоинов, чтобы вернуть файлы. На уплату выкупа даётся трое суток (72 часа). Название оригинальное. К зашифрованным файлам по умолчанию добавляется расширение .locked.

© Генеалогия: Shark > Atom.

История развития: От Shark RaaS до Atom RaaS

Этот крипто-вымогательский проект развился из Shark Ransomware, который был представлен месяц назад, и был не просто переименован, а претерпел ряд изменений. Потому представляет собой стартап новой партнёрской вымогательской программы Atom RaaS.

Как прежде Shark, Atom RaaS также открыто доступен в Интернет, хотя большинство его конкурентов предпочитают анонимность и безопасность, которую обеспечивает име сеть Tor.

Веб-страница Atom также работает на WordPress, но, в отличие от Shark, была переработана панель администратора на главной странице сайта. 

Самое большое изменение между Atom и Shark — это новый Atom Payload Builder, свободно загружаемый EXE-файл, который позволяет преступникам быстро собрать желаемую версию Atom Ransomware.

Теперь Atom Builder генерирует полностью рабочий исполняемый Payload, а не только конфигурационный код, который использовался в EXE-файле у Shark. Это значительно облегчает получение готового бильда вымогателя и лучше работает на дистрибьютора.

На момент написания этой статьи в Builder версии 1.02 было три опции: 
- Bitcoin-адрес для получения дистрибьютором своей доли прибыли; 
- требование выкупа в популярной у вымогателей криптовалюте Bitcoin;  

- список расширений файлов, которые должны быть зашифрованы.

По умолчанию ориентирован на англоязычных пользователей, что не мешает задавать записки о выкупе на любом языке и распространять его по всему миру.

Распространяться может любым стандартным способом: с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, по умолчанию подвергающихся шифрованию: 
.bmp .doc .docx .gif .gif .jpeg .jpg .m4v .mp4 .odt .pdf .png .ppt .pptx .psd .rtf .txt .xls .xlsx

Список целевых расширений также задаётся клиентом в Payload Builder.exe. 

Сервис дешифрования имеется 30 языковых локализаций.

Используя специальный ID-код отслеживания работы аффилятов, управляющий мастер-сервер Atom RaaS может отслеживать из управляющей веб-панели все инсталляции, число жертв, зараженных Atom Ransomware, их ID, число уплативших выкуп и сумму, заработанную партнёром по вымогательству.


Как и у Shark, команда Atom-а забирает 20% от каждого выплаченного жертвами выкупа. По правде говоря, нет никакой гарантии, что люди, вступившие в это неформальное бизнес-соглашение с командой Atom, когда-либо получат свои деньги. Все платежи выкупа Atom фактически направляются в Bitcoin-кошелек, контролируемый командой Atom, которая затем "обещает" переадресовать долю прибыли своим аффилят-партнёрам.

Напоминаю: Вымогательство — это преступление, а не игра! Не играйте в эти игры. Моё дело — предупредить. 

Файлы, связанные с Atom Ransomware: 
Payload Builder.exe

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC
 *
 *

 Thanks: 
 Catalin Cimpanu
 Мне самому за перевод (как SNS-amigo)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LockLock

LockLock Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует написать на почту вымогателей locklockrs@aol.com или ник в Skype "locklockrs", чтобы дешифровать файлы. К зашифрованным файлам добавляется расширение .locklock

  Название LockLock получил от добавляемого расширения. Первое обнаружение этого криптовымогателя было в середине июля 2016 г., но декриптер у вымогателей, судя по видеоролику, был готов уже в мае 2016. Ориентирован на англоязычных пользователей, но большинство сегодняшних жертв имеют китайские IP-адреса.

© Генеалогия: EDA2 >> LockLock 

Записка с требованием выкупа называется READ_ME.TXT. Ей вторит скринлок, встающий обоями рабочего стола. Есть также альтернативный. 

Содержание записки о выкупе:
IMPORTANT INFORMATION!
Your computer id: 000c29f11b92 <---- Remember it and send to my email.
Your computer has been hacked!
- How to open my file?
- You need key and Decrypter Program
- Where can i get?
- Email to me: locklockrs@aol.com
(Open file READ_ME.TXT on your Desktop and send your SID)
How to use Decrypter Program?
http://b1t.do/locklockrs
GOOD LUCK! 

Перевод записки на русский язык:
ВАЖНАЯ ИНФОРМАЦИЯ!
Ваш ПК ID: 000c29f11b92 <---- Запомни его и отправь на мою почту.
Ваш компьютер был взломан!
- Как открыть мой файл?
- Вам нужно ключ и декриптер
- Где я могу получить?
- Email мне: locklockrs@aol.com
(Открой READ_ME.TXT файл на рабочем столе и отправь SID)
Как использовать декриптер?
http://b1t.do/locklockrs
УДАЧИ!

Email вымогателей: locklockrs@aol.com
Skype вымогателей: locklockrs

Распространяется с помощью email-спама и вредоносных вложений.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с этим Ransomware:
READ_ME.TXT

Записи реестра, связанные с этим Ransomware:
***

Сетевые соединения: 
www.locklock.net  (200.63.45.76)
C2: locklock.net/tmp/savekey.php

Степень распространённости: низкая.
Подробные сведения собираются.

http://www.bleepingcomputer.com/forums/t/626750/locklock-ransomware-locklock-help-support/
https://id-ransomware.malwarehunterteam.com/index.php

Thanks: 
Michael Gillespie (Demonslay335)
Marc Rivero López (Seifreed)

© Amigo-A (Andrew Ivanov): All blog articles.

Crypt0

Crypt0 Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться с вымогателями по почте, чтобы вернуть файлы обратно. 

К зашифрованным файлам добавляется расширение _crypt0. Таким образом файл picture.jpg примет вид picture_crypt0.jpg. Название происходит от добавляемого расширения. Оригинальное название проекта: crypt0-Encrypt.pdb. Оригинальное название файла: crypt0-Encrypt.exe

© Генеалогия: DetoxCrypto > Crypt0 

Записки с требованием выкупа называются HELP_DECRYPT.TXT и размещаются в каждой папке с зашифрованными файлами. Из-за ошибки в крипто-вымогателе записки с требованием выкупа могут получить многократно повторенное название, см. скриншот ниже. Это характерная особенность этого вымогателя. 

Записка о выкупе

Содержание записки о выкупе:
What happened to your files ?
They are being held for ransom - All of your files were protected by a strong encryption with rsa-2048 using cryptowall 3.0.
More information about the encryption keys using rsa-2048 can be found here: http://en.wikipedia.org/wiki/rsa_Ccryptosystem)
What does this mean ?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you can restore them.
How did this happen ?
Especially for you, on our server was generated the secret key pair rsa-2048 - public and private.
All your files were encrypted with the public key, which has been transferred to your computer via the internet.
Decrypting of your files is only possible with the help of the private key and decryption program, which is on our secret server.
What do I do ?
(DO NOT DELETE THIS FILE FROM THIS FOLDER - It is needed to decrypt your files)
Alas, if you do not take the necessary measures within a week then tne conditions for obtaininq the private key will be changed.
If you really value your data, then we suggest you do not waste valuable time searching for otner solutions because they do not exist.
YOU HAVE TO CONTACT: fndimaf@gmai1.com for furtner instructions on how to get the decryption program to recover your files.

Перевод записки на русский язык:
Что случилось с вашими файлами?
Их держат за выкуп - все ваши файлы были защищены сильным шифрованием с rsa-2048 с использованием cryptowall 3.0.
Более подробную информацию о ключах шифрования с помощью rsa-2048 можно найти здесь: http://en.wikipedia.org/wiki/rsa_Ccryptosystem)
Что это значит ?
Это означает, что структура и данные в ваших файлах были бесповоротно изменены, вы не сможете работать с ними, читать их или видеть их, это как потерять их навсегда, но с нашей помощью вы можете их восстановить.
Как это произошло ?
Специально для вас на нашем сервере была создана секретная пара ключей rsa-2048 - открытый и закрытый.
Все ваши файлы были зашифрованы с открытым ключом, который был перенесен на ваш компьютер через Интернет.
Расшифровка ваших файлов возможна только с помощью секретного ключа и программы дешифрования, которая находится на нашем секретном сервере.
Что мне делать ?
(НЕ УДАЛЯЙТЕ ЭТОТ ФАЙЛ ИЗ ЭТОЙ ПАПКИ - надо расшифровать ваши файлы)
Увы, если вы не предпримете нужные меры в течение недели, тогда условия для получения закрытого ключа будут изменены.
Если вы действительно цените свои данные, мы предлагаем вам не тратить драгоценное время на поиск иных решений, потому что их нет.
У ВАС ЕСТЬ КОНТАКТ: fndimaf@gmai1.com для получения инструкций о том, как получить программу дешифрования для восстановления ваших файлов.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с Ransomware:
crypt0-Encrypt.exe
HELP_DECRYPT.TXT
HELP_DECRYPT.TXTHELP_DECRYPT.TXT
HELP_DECRYPT.TXTHELP_DECRYPT.TXTHELP_DECRYPT.TXT

7za_crypt0.exe

autoclick_crypt0.log

autoexec_crypt0.bat

clipboard_crypt0.log

config_crypt0.sys

f964450a9c1d8767c2dfc11c0d5b84ca99da9ec9c4f818b6f9ce4edeb06cb151_crypt0.exe

GDIPFONTCACHEV1.DAT

mousewheel_crypt0.log

Office64WW_crypt0.msi

ose_crypt0.exe

osetup_crypt0.dll

setup_crypt0.exe

Setup_crypt0.xml

StandardWW_crypt0.xml

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fndimaf@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Внимание! 
Для зашифрованных файлов есть декриптер!
Скачать Crypt0 Decrypter >>
Инструкция: 
Выберите папку с зашифрованными файлами и нажмите кнопку "Decrypt".

Read to links: 
Tweet on Twitter
ID Ransomware
Write-up, Topic of Support

 Thanks:
 MalwareHunterTeam 
 Michael Gillespie (Demonslay335)
 *

© Amigo-A (Andrew Ivanov): All blog articles.

CryPy

CryPy Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует написать на почту вымогателям, чтобы получить декриптер. Написан на Python. Разработчик: MAFIA MALWARE INDONESIA.

Исполняемый файл CryPy имеет следующую иконку:

© Генеалогия: HiddenTear modified >> MafiaWare > CryPy

К зашифрованным файлам добавляется расширение .cry по шаблону CRY<random characters>.cry

  Когда файлы уже зашифрованы, их оригинальные имена передаются на C&C-сервер, отвечающий с новыми именами и ключом для шифрования. Каждый файл имеет случайный пароль из 32 символов, сгенерированный сервером, который также обеспечивает случайное имя файла для его переименования. Этот трюк может замедлить работу вымогателя, т.к. приходится ждать сетевого вызова для каждого отдельного файла, но он также скрывает генерацию ключей от исследователей из-за обработки на сервере. Из-за всего этого названия файлов меняется на несуразно длинные, например, такие, как на скриншоте ниже. 

Примеры зашифрованных файлов

Записки с требованием выкупа называются: README_FOR_DECRYPT.txt

Записка о выкупе

Содержание записки о выкупе:
IMPORTAN INFORMATION  [в слове IMPORTAN ошибка!]
All your files are encrypted with strong chiphers.
Decrypting of your files is only possible with the decryption program, which is on our secret server.
Note that every 6 hours, a random file is permanently deleted. The faster you are, the less files you will lose.
Also, in 96 hours, the key will be permanently deleted and there will be no way of recovering your files.
To receive your decryption program contact one of the emails:
1. m4n14k@sigaint.org
2. blackone@sigaint.org
Just inform your identification ID and we will give you next instruction.
Your personal identification ID: CRY*******

Перевод записки на русский язык:
ВАЖНАЯ ИНФОРМАЦИЯ
Все твои файлы зашифрованы с сильными шифрами.
Дешифровка файлов возможна только с декриптером, который на нашем секретном сервере.
Заметь, что каждые 6 часов случайный файл удаляется. Поторопись и меньше файлов потеряешь.
Также, после 96 часов ключ будет уничтожен и никаким способом файлы уже не восстановишь.
Для получения декриптера пиши на одно из писем:
1. m4n14k@sigaint.org
2. blackone@sigaint.org
Сообщи свой опознавательный ID и мы дадим тебе инструкцию.
Твой личный опознавательный ID: CRY *******

Распространяется с помощью email-спама и вредоносных вложений, в том числе в архивах.

Перед показом записки о выкупе скрипт вызывает функцию delete_shadow (), которая выполняет следующую команду, чтобы удалить все теневые копий файлов и предотвратить их восстановление из резервных копий:

os.system("vssadmin Delete shadows /all /Quiet")

Список файловых расширений, подвергающихся шифрованию:

 .aes, .ARC, .asc, .asf, .asm, .asp, .avi, .bak, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .max, .mdb, .mdf,.mid, .mkv, .mml, .mov, .mpeg, .mpg, .ms11 (Security copy), .MYD, .MYI, .NEF, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .PAQ, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .RTF, .sch, .sldm, .sldx, .slk, .sql, .SQLITE3, .SQLITEDB, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (136 расширений) и файл wallet.dat (криптовалютные кошельки).

Директории, в которых шифруются файлы: 

D:\\

E:\\

[User]\\contacts

[User]\\Documents\\

[User]\\Downloads\\

[User]\\Favorites\\

[User]\\Links\\

[User]\\My Documents\\

[User]\\My Music\\

[User]\\My Pictures\\

[User]\\My Videos\\

F:\\

до Z:\\

Файлы, связанные с Ransomware:
CRY.exe
mw.exe
<random>.exe
README_FOR_DECRYPT.txt

Записи реестра, связанные с Ransomware:
***

Сетевые подключения и связи:
xxxx://www.baraherbs.Co.il/js/owebia/victim.php

xxxx://www.baraherbs.Co.il/js/owebia/savekey.php

m4n14k@sigaint.org
blackone@sigaint.org
Детект на VirusTotal 9 сентября >>
Детект на VirusTotal 11 сентября >>

Степень распространённости: низкая.
Подробные сведения собираются.


Обновление от 17 мая 2017:
Записка: README_FOR_DECRYPT.txt
Файл: e-Statement BRI Mei 2017.pdf.exe

Результаты анализов: VT

Tweet on Twitter
Topic on BC
ID Ransomware (ID as CryPy)
Write-up (add. October 14, 2016)

 Thanks:
 Jakub Kroustek
 Michael Gillespie (Demonslay335)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Philadelphia

Philadelphia Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.3 биткоинов или больше, чтобы вернуть файлы обратно. Название дано разработчиком. 

К зашифрованным файлам добавляется расширение .locked 

Зашифрованный файл будет выглядеть следующим образом:
7B205C09B88C57ED8AB7C913263CCFBE296C8EA9938A.locked

© Генеалогия: Stampado > Philadelphia 

Записками с требованием выкупа выступает экран блокировки.

Содержание текста с экрана блокировки:
All your files have been encrypted!
All your documents (databases, texts, images, videos, musics etc.) were encrypted. The encryption was done using a secret key that is now on our servers.
To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you.
What can I do?
Pay the ransom, in bitcoins, in the amount and wallet below. You can use LocalBitcoins.com to buy bitcoins.

Перевод текста на русский язык:
Все твои файлы зашифрованы!
Все твои документы (базы данных, тексты, изображения, видео, музыка и т.п.) были зашифрованы. Шифрование сделано с помощью секретного ключа, который теперь на наших серверах.
Для дешифровки файлов тебе нужно купить секретный ключ у нас. Мы одни в мире, кто может обеспечить это тебе.
Что я могу сделать?
Плати выкуп, в биткоинах, в размере и на кошелек ниже. Можешь на LocalBitcoins.com купить биткойны.

Технические детали

Распространяется в ходе вредоносных кампаний, с помощью email-спама и вредоносных вложений.

➤ Philadelphia продается неким Rainmaker за $400, что позволяет кибер-преступникам получить готовое решение и запустить свою вымогательскую кампанию быстро и с малыми затратами. Цель распространения — заразить 20 тысяч жертв в свой первый день распространения.

➤ При ближайшем рассмотрении Ransomware оказался не столь сложным, как рекламируется его распространителем. Крипто-вымогатель написан на языке сценариев AutoIT, что позволяет его декомпилировать и проанализировать на слабые стороны. Фабиан Восар из Emsisoft уверен, что Philadelphia Ransomware может быть дешифрован.

➤ Согласно заявлениям Rainmaker-а, его Philadelphia "модернизирует" рынок вымогателей с такими функциями, как автоопределение (когда после оплаты автоматически запускается дешифровка), заражение USB-дисков и внедрение в другие компьютеры по сети. Особо следует отметить, наличие кнопки "Cive Mercy", которая позволяет сострадательному преступнику автоматически и бесплатно дешифровать файлы какой-то конкретной жертвы. Для демонстрации возможностей вымогателя Rainmaker создал PDF-файл, который можно скачать по ссылке. Функционал нагляден и не нуждается в отдельном описании. 

Центр управления Philadelphia Headquarters (штаб-квартира)

Злоумышленник может использовать центр управления под названием Philadelphia Headquarters (штаб-квартира) на своей машине, который будет подключаться к каждому сконфигурированному мосту и загружать данные жертвы. Этот клиент позволяет злоумышленнику знать, кто инфицирован, какие страны имеют наибольшее количество инфекций, и пр.пр. С реализацией этих мостов может возникнуть проблема, благодаря которой кибер-преступников можно будет обнаружить. 

Список файловых расширений, подвергающихся шифрованию:
 .7z, .asp, .avi, .bmp, .cad, .cdr, .doc, .docm, .docx, .gif, .html, .jpeg, .jpg, .mdb, .mov, .mp3, .mp4, .pdf, .php, .ppt, .pptx, .rar, .rtf, .sql, .str, .tiff, .txt, .wallet, .wma, .wmv, .xls, .xlsx, .zip (33 расширения). 

Файлы, связанные с Philadelphia Ransomware:
%UserProfile%\[random]
%UserProfile%\[random]
%UserProfile%\Isass.exe

Записи реестра, связанные с Philadelphia Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows Update     %UserProfile%\Isass.exe

Сетевые соединения:
hxxx://sshtunnel.at

Степень распространённости: перспективно высокая.
Подробные сведения собираются.

Обновление от 12 октября 2016:
Сумма выкупа прежняя: 0.3 BTC
Расширение: .locked
Email: piotrporo77@mail.com (Петро Порошенко?)
<< Экран блокировки






Обновление от 9 декабря 2016:
Пост в Твиттере >>
Файлы: Isass.exe, <random>.exe
Расширение: .locked
Сетевые подключения:
sequestrandok1.asia/superk.php
sequestrandok2.asia/superk.php
sequestrandok3.asia/superk.php
sequestrandok4.asia/superk.php
193.109.68.173/superk.php
<< Экран блокировки
Результаты анализов: VT
Текст с экрана:
All your files have been encrypted! 
All your documents (databases, texts, images, videos, musics etc.) were encrypted. The encryption was done using a secret key that is now on our servers. To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you. What can I do? Pay the ransom, in bitcoins, in the amount and wallet below. You can use LocalBitcoins.com to buy bitcoins.
Список расширений: .7z, .avi, .bmp, .cdr, .doc, .docx, .gif, .html, .jpeg, .jpg, .mov, .mp3, .mp4, .pdf, .ppt, .pptx, .rar, .rtf, .tiff, .txt, .wallet, .wma, .wmv, .xls, .xlsx, .zip (26 расширений)

Обновление от 24 января 2017:

Пост в Твиттере >>
Записка: How to recover my files.txt
Результаты анализов: VT

Обновление от 15 февраля 2017:
Видеообзор от GrujaRS
Расширение: .locked

Результаты анализов: HA+VT

Обновление от 19-20 января 2019:
Пост в Твиттере >>
Расширение: .locked

Результаты анализов: VT + HA + IA

Образец от 24 мая 2020:
Пост в Твиттере >>

Результаты анализов: VT + AR

Обновление от 10 октября 2020: 

Пост в Твиттере >>

Email: leeutip@protonmail.com

Telegram: telegram.me/prhmip

Результаты анализов: VT + IA

Вариант от 16 августа 2021 или раньше:

Топик на форуме >>

Расширение: .locked

Результаты анализов: VT + IA + TG

Внимание!
Для зашированных файлов есть дешифровщик!



Скачать Philadelphia Decrypter >>

Read to links:
Write-up on BC
Emsisoft Decrypter
ID Ransomware
Tweet on Twitter (October 12, 2016)

 Thanks:
Lawrence Abrams, Michael Gillespie, 
Andrew Ivanov (article author)
Jack (malwareforme), GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

RarVault

RarVault Ransomware

(фейк-шифровальщик, rar-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 

По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 

См. также статьи УК РФ: 

ст. 272 "Неправомерный доступ к компьютерной информации" 

ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот вымогатель помещает данные пользователей в один или несколько архивов, а затем требует выкуп от 1 до 50 биткоинов, чтобы вернуть файлы. Название дано самими вымогателями. Ориентирован на русскоязычных пользователей, но вполне могут появиться и англоязычные версии. 

Если вы стали жертвой этого вредоноса или знаете таковых, то сообщите нам 

в эту тему на форуме BleepingComputer. Есть возможность вам помочь! 

Вымогателями утверждается, что файлы в архиве защищены при помощи криптостойкого алгоритма шифрования AES-256 с функцией деривации ключа, основанной на PBKDF2 с использованием HMAC-SHA256. Такой пароль состоит их 127 любых символов на 2 языках. Подбор подобного пароля самыми современными компьютерами при помощи специального программного обеспечения займет около 300-500 лет.

Пример упомянутого пароля:
4c5№Ф&63*99ыD07079975e84D4№8№00660#?(60C83A7068%+(06Ж9йр;66+9О&5D&C80О973:E00CрE00 г76**5Ж2)7ы+6р(г978_0ce9876992_?6F6003A№~08A)

Для восстановления файлов нужно выслать на почту RarVault@ruggedinbox.com письмо, приложить к нему файлы "Rar_Vault_User.txt" и "Rar_Vault_User.rar" (они находятся в корне диска С:\ или в папке C:\RarVault\), уникальный идентификационный номер. После этого пополнить свой личный кошелек (номер кошелька пришлют вымогатели) на сумму - 1 Биткоин (около 250 USD, сумма может возрасти в зависимости от важности информации и составить от 1 Биткоина до 50).

Краткой запиской с требованием выкупа выступает скринлок:

Содержание полной записки о выкупе:
http://rarvault.myfreesites.net/

Перевод страницы на английский язык (часть текста):
RarVault
Main questions    List exchangers
MAIN QUESTIONS
What happened to my files?
Accessing your files has been temporarily suspended. They pomesheny to archive (or more, depending on the number of drives on your computer) and are RarVault folder or the "root" drive (ie C: \ RarVault
\ D: \ RarVault \ E: \ RarVault \ or C: \ D: \ E: \, etc.).
How can I restore my files?
To restore files, you should be sent to: RarVault(5)ruggedinbox.com letter and attach the file
"Rar_Vault_User.txt" and "Rar_Vault_User.rar" (or be in the "root" of drive C: \ or C: \ RarVault \), which
contains your unique ID number, then fill up your personal account (account number, we will send you
e) the sum of - 1 Bitcoin (about 250 USD, the amount may vary, depending on the importance of the information, and be between 1 Bitcoins to 50).
Prior to the full recovery of your files, in any case you can not delete or move the file "Rar_Vault_User.txt", to prevent the change of your unique identification number.
After recharge your purse, where the cost is fully paid - you will automatically be sent a password to unzip.
Alas, you will not be able to unzip your files without your unique password. Neither system administrators or programmers or even anti-virus companies and software developers, archives will not be able to help you. Keep in mind that your files in the archive are protected by means of cryptographically strong AES-256 encryption algorithm with a key derivation function based on PBKDF2...

Распространяется с помощью email-спама и вредоносных вложений.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с RarVault Ransomware:
lsаss.exe
Rar_Vault_User.txt
Rar_Vault_User.rar

Записи реестра, связанные с RarVault Ransomware:
***

Т.к. файлы всё же не шифруются, то RarVault Ransomware я отношу к фейк-шифровальщикам. 

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Если вы стали жертвой этого вредоноса или знаете таковых, то сообщите нам в эту тему на форуме BleepingComputer. 

© Amigo-A (Andrew Ivanov): All blog articles.