Usr0

Usr0 Ransomware 

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Подробнее >>>

Информация о шифровальщике

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует отправить письмо вымогателям, чтобы получить дешифратор. Сумма выкупа  называется разная: 0,5... 1,24... 1,5 биткоинов. Название от добавляемого к файлам расширения.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .usr0

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Важная информация.txt

Содержание записки о выкупе:
Для того, чтобы узнать, как получить дешифратор, отправте номер 3769660 в письме на адрес usr0@riseup.net. 
Ни в коем случае не используйте сторонние дешифраторы, т.к. файлы будет невожно восстановить. 
Если Вы решили попробовать восстановить информацию своими силами, то сделайте сначала резервные копии.

Ошибки в тексте:
отправте 
невожно 

Перевод записки на английский язык:
To learn how to get the decoder, number 3769660, send in a letter to the address usr0@riseup.net.
In no case do not use third-party decoders, because files can not be restored.
If you decide to try to recover information on their own, you must first back up.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:

.3d, .3dm, .3ds, .3g2, .3gp, .7z, .accdb, .ai, .aif, .apk, .app, .asf, .asp, .aspx, .avi, .bat, .bin, .bmp, .cab, .cad, .cbr, .cer, .cfg, .cfm, .cgi, .com, .cpl, .crx, .csr, .css, .csv, .cue, .cur, .dat, .db, .dbf, .dds, .deb, .dem, .deskthemepack, .dll, .dmg, .dmp, .doc, .docx, .drv, .dwg, .dxf, .encoded, .eps, .exe, .flv, .fnt, .fon, .gadget, .gam, .ged, .gif, .gis, .gpx, .gz, .hqx, .htm, .html, .icns, .ico, .iff, .indd, .ini, .iso, .jar, .jpg, .js, .jsp, .key, .keychain, .kml, .kmz, .lnk, .log, .m3u, .m4a, .m4v, .max, .mdb, .mdf, .mid, .mim, .mov, .mp3, .mp4, .mpa, .mpg, .msg, .nes, .obj, .odt, .otf, .pages, .pct, .pdb, .pdf, .php, .pif, .pkg, .plugin, .png, .pps, .ppt, .pptx, .prf, .ps, .psd, .pspimage, .rar, .rm, .rom, .rpm, .rss, .rtf, .sav, .sdf, .sitx, .sql, .srt, .svg, .swf, .sys, .tar, .tax2014, .tax2015, .tex, .tga, .thm, .tif, .tiff, .toast, .ttf, .txt, .uue, .vcd, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .wsf, .xhtml., .xlr, .xls, .xlsx, .xml, .yuv, .zip, .zipx (158 расширений). 

Файлы, связанные с Usr0 Ransomware:
Важная информация.txt
1cv8s.exe
<random>.exe

Записи реестра, связанные с Usr0 Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MarsJoke, Runner, Polyglot

MarsJoke Ransomware

Aliases: JokeFromMars, Runner, Polyglot 

  Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (в режиме ECB), а потом требует выкуп в 0,7 или 1,1 биткоина, чтобы вернуть файлы. Оригинальное название: Runner. Примечательно, что ни одна (!) антивирусная компания не упомянула его в своих отчетах. 

---

Обнаружения: 

DrWeb -> Trojan.Encoder.5704

ALYac -> Trojan.Ransom.Filecoder

BitDefender -> Trojan.Mikey.DD2C1

ESET-NOD32 -> A Variant Of Win32/Filecoder.NHO

Kaspersky -> Trojan-Ransom.Win32.Polyglot.a

Kingsoft -> Win32.Troj.Generic_a.a.(kcloud)

Malwarebytes -> Generic.Malware/Suspicious

Microsoft -> Ransom:Win32/Polyglot.A

Qihoo-360 -> Win32/Ransom.Generic.HwkA1BgB

Rising -> Ransom.Polyglot!8.DD61 (CLOUD)

Symantec -> Ransom.MarsJoke

Tencent -> Win32.Trojan.Polyglot.Gbs

TrendMicro -> Ransom_JOKEMARS.A

---

© Генеалогия: более ранние варианты >> MarsJoke (Runner, Polyglot)

История названия 
1) Название JokeFromMars получил от мьютекса (строки в исходном коде) "HelloWorldItsJokeFromMars", найденного в образцах вредоноса. Фразу из мьютекса можно перевести так: "Привет, народ, это шутка от Марса". Марс или Марсель - это имя, популярное в разных странах, в их числе Италия, Франция и Россия (среди татарского населения). Позже в ID Ransomware закрепилось международное название: MarsJoke. 

2) Другие название: фальшивый CTB-Locker, Zip-Locker или Polyglot. 

3) Антивирусные компании любят давать исследованным вредоносам свои псевдо-словарные названия, отчего возникает неразбериха. Так аналитики ЛК дали этому шифровальщику название Polyglot (Trojan-Ransom.Win32.Polyglot.a), хотя есть как минимум ещё три крипто-вымогателя с похожим многоязычным интерфейсом, среди которых данный "полиглот" в меньшей степени. К тому же в ЛК написали статью гораздо позже первых исследователей, когда в мире уже устоялись и JokeFromMars, и MarsJoke, и моя статья была опубликована (см. дату). Потому я лишь добавил в конце своей статьи небольшой абзац из статьи ЛК о шифровании и ссылку на их декриптор. 

   Данный крипто-вымогатель впервые был обнаружен в конце августа 2016 г., но лишь в третьей декаде сентября дал о себе знать активным распространением в спам-кампаниях. Целями, главным образом, являются государственные учреждения, государственные органы местного самоуправдения и образовательные учреждения в США. Гораздо меньше были затронуты учреждения здравоохранения, телекоммуникации, страхование, производство и пр. 

После запуска жертвой заражённого файла как бы ничего не происходит, но в это время вредонос копируется под случайными именами в несколько мест в системе, прописывается в Автозапуск, а также в TaskScheduler. После установки начинается шифрование файлов. 

Внешне зашифрованные пользовательские файлы не меняются, но открыть их не получится. Содержимое шифруемых файлов сначала упаковывается в ZIP-архив, а затем шифруется AES-256. 

К шифруемым файлам добавляется расширение .a19 или .ap19 на момент шифрования файлов, а по окончании шифрования специальное расширение убирается, чтобы запутать пострадавших. 

Буквально так:
file_name.jpg > file_name.a19 или picture.ap19 > file_name.jpg

Пример смены расширения в процессе шифрования

По неизвестным причинам иногда расширения .a19, .ap19 у зашифрованных файлов всё же остаются. 

Записки с требованием выкупа называются: 
ReadMeFilesDecrypt!!!.txt
!!! For Decrypt !!!.bat
!!! Readme For Decrypt !!!.txt

Они размещаются в самых разных местах, например, в этих:

Кроме них с целью информирования жертвы и подведения её к уплате выкупа вымогателями используются скринлок, встающий обоями рабочего стола и блокировщик экрана с кнопками управления.

Содержание записки о выкупе:
Your personal files are encrypted !!!
Your documents, photos, databases and other important files have been encrypted with strongest encryption algorithm AES-256 and unique key, generated for this computer. 
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the decryption key. 
If you see the main locker window follow the instructions on the locker. Otherwise, it's seems that you or you antivirus deleted the locker program. Now you have the last chance to decrypt your files. 
Open site http://rd7v7mhidgrulwqg.onion.link or http://rd7v7mhidgrulwqg.torlink.co or http://rd7v7mhidgrulwqg.onion.to in your browser. They are public gates to the secret server. 
If you have problems with gates, use direct connection: 
1.Download Tor Browser from http://torproject.org/ 
2.In the Tor Browser open the rd7v7mhidgrulwqg.onion
Note that this server is available via Tor Browser only. Retry in 1 hour if site is not reachable. 
3.Copy and paste the following public key in the input form on server. Avoid misprints. 
7B4E8A-A0C141-43B58C-674143-269A32-E0WPXP
BYKCAY-BZBYNW-BYKCAY-CZCLEN-NPMPMW-PNXSEM
0F065F-78F599-78E59C-4FBC7E-3423D5-1A9390
4.Follow the instructions on the server. 
These instructions are also saved to the file named ReadMeFilesDecrypt!!!.txt in Documents folder. You can open it and use copy-paste for address and key.

Перевод записки на русский язык:
Ваши личные файлы зашифрованы !!!
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с сильным алгоритмом шифрования AES-256 и уникальным ключом, сохданным для этого компьютера.
Секретный ключ дешифрования хранится на секретном интернет-сервере и никто не дешифрует файлы, пока не платите и получите ключ дешифрования.
Если вы видите главное окно локера, следуйте инструкциям на локере. Иначе, может вы или антивирус удалили программу локера. Теперь у вас есть последний шанс, чтобы дешифровать файлы.
Откройте хттп://rd7v7mhidgrulwqg.onion.link или хттп: //rd7v7mhidgrulwqg.torlink.co или хттп: //rd7v7mhidgrulwqg.onion.to в вашем браузере. Они открывают путь на секретный сервер.
Если есть проблемы с открытием, используйте прямое подключение:
1. Загрузите Tor-браузер из хттп: //torproject.org/
2. В Tor-браузере откройте rd7v7mhidgrulwqg.onion
Заметьте, этот сервер доступен только в Tor-браузер. Пробуйте через 1 час, если сайт недоступен.
3. Копируйте и вставьте следующий открытый ключ в форме ввода на сервере. Избегайте опечаток.
7B4E8A-A0C141-43B58C-674143-269A32-E0WPXP
BYKCAY-BZBYNW-BYKCAY-CZCLEN-NPMPMW-PNXSEM
0F065F-78F599-78E59C-4FBC7E-3423D5-1A9390
4. Следуйте инструкциям на сервере.
Эти инструкции также сохраняются в файл с именем ReadMeFilesDecrypt !!!. TXT в папке Документы. Вы можете открыть его и оттуда копировать-вставить адрес и ключ.

Кроме того, что рисунок рабочего стола изменяется, появляется еще экран бокировки с требованием выкупа. Он доступен на нескольких языках (английском, русском, итальянском, испанском и украинском). Пострадавшим даётся 96 часов на уплату выкупа, после чего файлы будут удалены.

Блокировщик экрана поверх скринлока, вставшего обоями

Пострадавший, перешедший на Tor-сайт, должен вставить ключ в форме ввода на сайте, чтобы открыть нужную информацию по уплате выкупа. 

Лишь потом откроется следующее окно, в котором есть кнопки-флажки для переключения с английского языка на русский и итальянский. 

Распространяется с помощью email-спама и вредоносных exe-вложений, ссылок на зараженные архивы и сайты, с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов. Поставщиками шифровальщика могут выступать ботнеты, например, Kelihos (Waledac).

Что касается графического исполнения, этот крипто-вымогатель во всем подражает другому известному шифровальщику CTB-Locker, но общего кода у них не найдено. Но разработчики сделали всё так, чтобы внешне работа их детища выглядела как результат атаки CTB-Locker, а пользователи реально испугались и погуглив потеряли всякую надежду на бесплатное восстановление своих файлов.

Список файловых расширений, подвергающихся шифрованию:
.7z, .backup, .backupdb, .doc, .docx, .dotm, .jpeg, .jpg, .mpg, .pdf, .ppt, .psd, .rar, .txt, .xlm, .zip (16 расширений). 

Файлы, связанные с MarsJoke Ransomware:
sysmonitor.exe - исполняемый файл вымогателя
ReadMeFilesDecrypt!!!.txt
!!! For Decrypt !!!.bat
!!! Readme For Decrypt !!!.txt
[All_first_level_directories]\!!! For Decrypt !!!.bat
[All_first_level_directories]\!!! Readme For Decrypt !!!.txt
%UserProfile%\My Documents\[Random_characters].bmp
%UserProfile%\My Documents\[Random_characters].exe
%UserProfile%\My Documents\My Music\[Random_characters].exe
%UserProfile%\Start Menu\Programs\Startup\[Random_characters].exe
%UserProfile%\Start Menu\Programs\Startup\x.vbs
%Users%\Public\Music\<Random_8_characters>.exe
%AllUsersProfile%\Documents\!!!ForDecrypt!!!.exe
%AllUsersProfile%\Documents\!!!ForDecrypt!!!.exe
%AllUsersProfile%\Documents\[Random_characters].exe
%AllUsersProfile%\Documents\My Music\[Random_characters].exe
%AllUsersProfile%\Documents\My Pictures\[Random_characters].exe
%AllUsersProfile%\Documents\My Videos\[Random_characters].exe
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup\<random_name_64_chars>.exe
%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup\<random_name_8_chars>.exe

MarsJoke создает следующие записи в реестре, чтобы запускаться при каждом запуске Windows: 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[Random_chars]" = "%AllUsersProfile%\Documents\My Music\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[Random_chars]" = "%AllUsersProfile%\Documents\My Pictures\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[Random_chars]" = "%AllUsersProfile%\Documents\My Videos\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[Random_chars]" = "%AllUsersProfile%\Documents\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[Random_chars]" = "%UserProfile%\My Documents\My Music\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"[Random_chars]" = "%UserProfile%\My Documents\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[Random_chars]" = "%AllUsersProfile%\Documents\My Music\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[Random_chars]" = "%AllUsersProfile%\Documents\My Pictures\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[Random_chars]" = "%AllUsersProfile%\Documents\My Videos\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[Random_chars]" = "%AllUsersProfile%\Documents\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[Random_chars]" = "%UserProfile%\My Documents\My Music\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"[Random_chars]" = "%UserProfile%\My Documents\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\"Run" = "%UserProfile%\My Documents\[Random_chars].exe"

MarsJoke создает следующие записи реестра: 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\!!!ForDecrypt!!!.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\My Music"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\Start Menu\Programs\Startup\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\My Music\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\My Pictures"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\Start Menu\Programs\Startup\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\My Pictures\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\My Videos"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\Start Menu\Programs\Startup\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\My Videos\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\Start Menu\Programs\Startup\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%AllUsersProfile%\Documents\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\My Documents\My Music"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\Start Menu\Programs\Startup\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\My Documents\My Music\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\My Documents"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\Start Menu\Programs\Startup\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ThemeManager\Local\"[Random_chars]" = "%UserProfile%\My Documents\[Random_chars].exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "explorer.exe,%UserProfile%\My Documents\[Random_chars].exe"

Сетевые подключения и связи:
103.198.0.2:80 (Сингапур)
54.225.210.40 (США)
jjuwnj2ejjmafg74.onion.link/n.php
jjuwnj2ejjmafg74.onion.nu/decrypter.exe
lj7qcktsne4nftzn.onion.link/index1.html
24fkxhnr3cdtvwmy.onion.link/
xiwayy2kn32bo3ko.onion.link/test/read.cgi/tor/1428194957/l50 
deepdot35wvmeyd5.onion.link/2015/02/
drec5tbop7q6uwvz.onion.link
kr36yggvf2kpps2k.onion.link
kauy4vb5tep6mhfc.onion.link
buxnfuoim27a3yvh.onion.link
rf2rnm5nbkxnkhua.onion.link

Обновление из статьи ЛК от 30 сентября:
Вредонос Polyglot зашифровывает файлы в три этапа, с созданием промежуточных файлов:
- сначала оригинальный файл помещается в запароленный zip-архив, созданный архив имеет имя оригинального файла, но расширение «a19»;
- созданный запароленный архив Polyglot зашифровывает алгоритмом AES-256-ECB, получившийся файл опять же имеет имя оригинального файла, но расширение на этот раз – «ap19»;
- далее зловред удаляет оригинальный файл и файл с расширением «a19», а расширение зашифрованного архива меняет с «ap19» на расширение оригинального файла.

Внимание! 

Для зашифрованных файлов есть декриптор

Скачать RannohDecryptor для Polyglot / JokeFromMars >>

VirusTotal анализ >>
Malwr анализ >>
Гибридный анализ >>
Symantec: Ransom.MarsJoke >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links:
 ID Ransomware
 Tweet on Twitter
 PCrisk blog
*

Added later: 
Proofpoint overview
Symantec Security Response

 Thanks:
 Darien Huss (Proofpoint)
 Michael Gillespie (aka Demonslay335)
 Tomas Meskauskas (PCrisk)
 Andrew Ivanov (article author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

FenixLocker, FenixLocker 2.0

FenixLocker Ransomware 

FenixLocker 2.0 Ransomware 

FenixLocker NextGen

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей с помощью SHA256/AES, а затем требует написать на email вымогателя, чтобы вернуть файлы. Название дано от использования фразы "FenixIloveyou" в коде вымогателя. Оригинальное название: Cryptolocker (фальш-имя). Некоторые антивирусные компании называют его Centrum. 

В новой версии, которую мы назвали FenixLocker 2.0, изменен алгоритм шифрования. Подробнее читайте после основной статьи. 


К зашифрованным файлам добавляется составное расширение .centrumfr@india.com!!
Например, файл "picture.jpg" станет "picture.jpg.centrumfr@india.com!!".

Записки с требованием выкупа называются: Help to decrypt.txt или CryptoLocker.txt

Содержание записки о выкупе:
All of your files are encrypted, to decrypt them write me to email: centrumfr@india.com
Your key: 5ff56ffbddfeb3ddfeb3c32b0fd0c560e1ebbdda0a185e06dbef2558588a56c32b0fd0c560e1ebbdda0a185e06***

Перевод записки на русский язык:
Все твои файлы зашифрованы, для дешифровки пиши мне на email: centrumfr@india.com
Твой ключ: 5ff56ffbddfeb3ddfeb3c32b0fd0c560e1ebbdda0a185e06dbef2558588a56c32b0fd0c560e1ebbdda0a185e06***
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Может использоваться взлом по RDP. 

Следующее зашифрованное сообщение "FenixIloveyou" используется в качестве маркера конца файла. 

Спасибо Фабиану Восару за эту подробность. 

Список файловых расширений, подвергающихся шифрованию:
Нет данных. Это могут документы, изображения в первую очередь. 

Файлы, связанные с FenixLocker Ransomware:
Cryptolocker.exe
CryptoLocker.txt
Help to decrypt.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
centrumfr@india.com
thedon78@mail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

FenixLocker Ransomware 
FenixLocker 2.0 Ransomware 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 декабря 2016
Пост в Твиттере >>
Расширение: .thedon78@mail.com!!
Файл: svchost.exe или <random>.exe
Фальш-имя: Cryptolocker
Записка: Help to decrypt.txt
Шифрование: TEA+RSA
Полный путь записки: %USERPROFILE%\Desktop\Help to decrypt.txt
Email: thedon78@mail.com
Результаты анализов: VT, HA

=== 2019 ===

FenixLocker 2.0
FenixLocker NextGen

Изменен алгоритм шифрования. Теперь используется модифицированный TEA + RSA
Теперь файлы нет возможности дешифровать. Только у вымогателей есть закрытый ключ RSA. 
По сообщению Майкла Джиллеспи >>

Обновление от 15 декабря 2019:
Пост в Твиттере >>
Расширение: .jundmd@cock.li!!
Email: jundmd@cock.li
Записка: Help to decrypt.txt

➤ Содержание записки: 
All of your files are encrypted, to decrypt them write me to email : jundmd@cock.li
Your key: ***
Файлы EXE: acrobac.exe, hert.exe, yedepagu.exe
Результаты анализов: VT + HA + IA + VT + HA + IA

Обновление от 5 февраля 2019:
Расширение: .tuki17@qq.com!!
Email: tuki17@qq.com, tuki17@cock.li
Записка: Help to decrypt.txt

Извлекает множество файлов (2000). 
Результаты анализов: VT + HA
Результаты анализа зашифрованных файлов >>

Обновление от 14 февраля 2019:
Топик на форуме >>
Расширение: .help24decrypt@qq.com!!
Email: help24decrypt@qq.com
Записка: Help to decrypt.txt 

➤ Содержание записки: 
All of _our files are encr_pted* to decr_pt them write me to email : help24decrypt@qq.com 
Your key:
d1a3b4c7fd53a159982d2340e75bc2bb0089dbba1e6383d34633facdce0ec4***

Обновления февраля 2019 (без точной даты):
Расширение: .help4decrypt@india.com!!
Email: help4decrypt@india.com 
Записка: Help to decrypt.txt 
Содержание: видимо как в предыдущих вариантах. 

Обновление от 4 марта 2019:
Пост в Твиттере >>
Расширение: .help24decrypt@cock.li!!
Email: help24decrypt@cock.li 
Записка: Help to decrypt.txt 
➤ Содержание записки: 
All of _our files are encr_pted* to decr_pt them write me to email : help24decrypt@cock.li
Your key:
c2bb082d2340a1e6383d346089dbb33facdce0ec4***

Обновление от 8 мая 2019:
Расширение: .de-crypt@foxmail.com.mz
Email: de-crypt@foxmail.com
Записка: key to decrypt7.txt

➤ Содержание записки на одном из ПК корпоративной сети: 
All of _our files are encr_pted* to decr_pt them write me to email::de-crypt@foxmail.com  
Key:     
089a46168a0b3fd65e1d34f0d9380fac9e61c713e16564b7f1ad6bb438ff2c
***

Скриншот, полученный с серверного ПК корпоративной сети. 

Email: decr_pt24@qq.com, requ_recov@foxmail.com, help_recov@qq.com
Telegram ID: @decrypt24

Обновление от 31 мая 2019:
Топик на форуме >>
Расширение: .cryfixfoo@qq.com !!
Email: cryfixfoo@qq.com 
➤ Содержание записки: 
All of _our files are encr_pted* to decr_pt them write me to email : cryfixfoo@qq.com 
Your key: ***

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик!
Скачать FenixLocker Decrypter >>
Инструкции и рекомендации прилагаются. 
*
Для FenixLocker 2.0 нужен другой дешифровщик. 

Decrypter for Fenixlocker
ID Ransomware (ID as FenixLocker, FenixLocker 2.0)
Topic on BC

 Thanks:
 Fabian Wosar, Michael Gillespie, Karsten Hahn
 Andrew Ivanov, GrujaRS, Emmanuel_ADC-Soft
 quietman7, BleepingComputer
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Black Feather

Black Feather Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует 0.3 биткоина, чтобы вернуть файлы. Название дано вымогателями: англ. "Black Feather" - "Чёрное перо". К зашифрованным файлам добавляется расширение .blackfeather. 

© Генеалогия: HiddenTear >> Black Feather

Записка с требованием выкупа называется: BLACK_FEATHER.txt

Содержание записки о выкупе:
This is a backup of the deposit address.
Send 0.3 BTC to decrypt your files
Validate payment in the program.

Перевод записки на русский язык:
Это резерв адреса для взнова.
Отправь 0,3 BTC за дешифровку файлов
Подтверди платеж в программе.

Во время шифрования файлов при попытке открыть зашифрованный документ выводится отвлекающее внимание уведомление:
There was an error opening this document. The file is damaged and could not be repaired.

Перевод этого уведомления:
Ошибка при открытии документа. Файл поврежден и не может быть восстановлен.

По кончании шифрования файлов выводится финальное уведомление: 
Welcome to Black Feather.
Thank you for downloading our software.
All of your files have been encrypted with a secure 256-bit HASH.
This means you can no longer access your files without the decryption key.
You can decrypt your files by paying us 0.3 BTC, this will remove the encryption and give you full access to your files again.

Перевод финального уведомления:
Вэлкам в Black Feather.
Благодарим за загрузку нашего софта.
Все файлы зашифрованы с безопасным 256-битным кэшем.
Это не значит, что вы больше не получите доступ к файлам без ключа дешифрования.

Вы сможете дешифровать файлы уплатив нам 0,3 BTC, это удалит шифрование и вернет вам полный доступ к файлам.

Распространяется с помощью email-спама и вредоносных вложений, в том числе поддельных PDF. 

Пароль дешифрования нигде не сохраняется, потому вымогатели никак не смогут дешифровать файлы. 

НЕ ПЛАТИТЕ ВЫКУП!!!

Обратитесь за помощью в дешифровке файлов в тему форума BleepingComputer!!!

Список файловых расширений, подвергающихся шифрованию:
как минимум стандартный набор расширений для HiddenTear

Файлы, связанные с Black Feather Ransomware:
BLACK_FEATHER.txt


Степень распространённости: низкая.
Подробные сведения собираются.

Read to links:
ID Ransomware
Topic on BC

 Thanks:
 Michael Gillespie (Demonslay335)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Nightmare

Nightmare Ransomware

  Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать вымоагтелям на почту, чтобы вернуть файлы. Название является укороченным вариантом данного самими вымогателями: Dev-Nightmare 2XX9 Ransomware. 

К зашифрованным файлам добавляется расширение .2xx9. 

© Генеалогия: HiddenTear >> Nightmare 

Записки с требованием выкупа называются: READ_ME.txt

Содержание записки о выкупе:
Congratulations!!!...
Your System is inficated with Dev-Nightmare 2xx9 Ransomware
Your All Files and database are encrypted.
If you want you files back contact me at devnightmare2xx9@gmail.com
Send me some money or bitcoins
And I hate fake peoples.

File Generated on + DateTime.Now.ToString()

Перевод записки на русский язык:
Поздравляем!!!...
Ваша система инфицирована Dev-Nightmare 2XX9 Ransomware
Все файлы и базы данных зашифрованы.
Если хотите файлы обратно пишите мне на devnightmare2xx9@gmail.com
Пришлите мне деньги или биткоины
И я ненавижу лживых людей.

Файл создан на + DateTime.Now.ToString ()

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
как минимум стандартный набор расширений для HiddenTear

Файлы, связанные с Ransomware:
READ_ME.txt
<random>.exe

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 27 июня 2018:
Пост в Твиттере >>
Заново найденный образец. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.