FenixLocker, FenixLocker 2.0

FenixLocker Ransomware 

FenixLocker 2.0 Ransomware 

FenixLocker NextGen

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей с помощью SHA256/AES, а затем требует написать на email вымогателя, чтобы вернуть файлы. Название дано от использования фразы "FenixIloveyou" в коде вымогателя. Оригинальное название: Cryptolocker (фальш-имя). Некоторые антивирусные компании называют его Centrum. 

В новой версии, которую мы назвали FenixLocker 2.0, изменен алгоритм шифрования. Подробнее читайте после основной статьи. 


К зашифрованным файлам добавляется составное расширение .centrumfr@india.com!!
Например, файл "picture.jpg" станет "picture.jpg.centrumfr@india.com!!".

Записки с требованием выкупа называются: Help to decrypt.txt или CryptoLocker.txt

Содержание записки о выкупе:
All of your files are encrypted, to decrypt them write me to email: centrumfr@india.com
Your key: 5ff56ffbddfeb3ddfeb3c32b0fd0c560e1ebbdda0a185e06dbef2558588a56c32b0fd0c560e1ebbdda0a185e06***

Перевод записки на русский язык:
Все твои файлы зашифрованы, для дешифровки пиши мне на email: centrumfr@india.com
Твой ключ: 5ff56ffbddfeb3ddfeb3c32b0fd0c560e1ebbdda0a185e06dbef2558588a56c32b0fd0c560e1ebbdda0a185e06***
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Может использоваться взлом по RDP. 

Следующее зашифрованное сообщение "FenixIloveyou" используется в качестве маркера конца файла. 

Спасибо Фабиану Восару за эту подробность. 

Список файловых расширений, подвергающихся шифрованию:
Нет данных. Это могут документы, изображения в первую очередь. 

Файлы, связанные с FenixLocker Ransomware:
Cryptolocker.exe
CryptoLocker.txt
Help to decrypt.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
centrumfr@india.com
thedon78@mail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

FenixLocker Ransomware 
FenixLocker 2.0 Ransomware 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 декабря 2016
Пост в Твиттере >>
Расширение: .thedon78@mail.com!!
Файл: svchost.exe или <random>.exe
Фальш-имя: Cryptolocker
Записка: Help to decrypt.txt
Шифрование: TEA+RSA
Полный путь записки: %USERPROFILE%\Desktop\Help to decrypt.txt
Email: thedon78@mail.com
Результаты анализов: VT, HA

=== 2019 ===

FenixLocker 2.0
FenixLocker NextGen

Изменен алгоритм шифрования. Теперь используется модифицированный TEA + RSA
Теперь файлы нет возможности дешифровать. Только у вымогателей есть закрытый ключ RSA. 
По сообщению Майкла Джиллеспи >>

Обновление от 15 декабря 2019:
Пост в Твиттере >>
Расширение: .jundmd@cock.li!!
Email: jundmd@cock.li
Записка: Help to decrypt.txt

➤ Содержание записки: 
All of your files are encrypted, to decrypt them write me to email : jundmd@cock.li
Your key: ***
Файлы EXE: acrobac.exe, hert.exe, yedepagu.exe
Результаты анализов: VT + HA + IA + VT + HA + IA

Обновление от 5 февраля 2019:
Расширение: .tuki17@qq.com!!
Email: tuki17@qq.com, tuki17@cock.li
Записка: Help to decrypt.txt

Извлекает множество файлов (2000). 
Результаты анализов: VT + HA
Результаты анализа зашифрованных файлов >>

Обновление от 14 февраля 2019:
Топик на форуме >>
Расширение: .help24decrypt@qq.com!!
Email: help24decrypt@qq.com
Записка: Help to decrypt.txt 

➤ Содержание записки: 
All of _our files are encr_pted* to decr_pt them write me to email : help24decrypt@qq.com 
Your key:
d1a3b4c7fd53a159982d2340e75bc2bb0089dbba1e6383d34633facdce0ec4***

Обновления февраля 2019 (без точной даты):
Расширение: .help4decrypt@india.com!!
Email: help4decrypt@india.com 
Записка: Help to decrypt.txt 
Содержание: видимо как в предыдущих вариантах. 

Обновление от 4 марта 2019:
Пост в Твиттере >>
Расширение: .help24decrypt@cock.li!!
Email: help24decrypt@cock.li 
Записка: Help to decrypt.txt 
➤ Содержание записки: 
All of _our files are encr_pted* to decr_pt them write me to email : help24decrypt@cock.li
Your key:
c2bb082d2340a1e6383d346089dbb33facdce0ec4***

Обновление от 8 мая 2019:
Расширение: .de-crypt@foxmail.com.mz
Email: de-crypt@foxmail.com
Записка: key to decrypt7.txt

➤ Содержание записки на одном из ПК корпоративной сети: 
All of _our files are encr_pted* to decr_pt them write me to email::de-crypt@foxmail.com  
Key:     
089a46168a0b3fd65e1d34f0d9380fac9e61c713e16564b7f1ad6bb438ff2c
***

Скриншот, полученный с серверного ПК корпоративной сети. 

Email: decr_pt24@qq.com, requ_recov@foxmail.com, help_recov@qq.com
Telegram ID: @decrypt24

Обновление от 31 мая 2019:
Топик на форуме >>
Расширение: .cryfixfoo@qq.com !!
Email: cryfixfoo@qq.com 
➤ Содержание записки: 
All of _our files are encr_pted* to decr_pt them write me to email : cryfixfoo@qq.com 
Your key: ***

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик!
Скачать FenixLocker Decrypter >>
Инструкции и рекомендации прилагаются. 
*
Для FenixLocker 2.0 нужен другой дешифровщик. 

Decrypter for Fenixlocker
ID Ransomware (ID as FenixLocker, FenixLocker 2.0)
Topic on BC

 Thanks:
 Fabian Wosar, Michael Gillespie, Karsten Hahn
 Andrew Ivanov, GrujaRS, Emmanuel_ADC-Soft
 quietman7, BleepingComputer
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Black Feather

Black Feather Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует 0.3 биткоина, чтобы вернуть файлы. Название дано вымогателями: англ. "Black Feather" - "Чёрное перо". К зашифрованным файлам добавляется расширение .blackfeather. 

© Генеалогия: HiddenTear >> Black Feather

Записка с требованием выкупа называется: BLACK_FEATHER.txt

Содержание записки о выкупе:
This is a backup of the deposit address.
Send 0.3 BTC to decrypt your files
Validate payment in the program.

Перевод записки на русский язык:
Это резерв адреса для взнова.
Отправь 0,3 BTC за дешифровку файлов
Подтверди платеж в программе.

Во время шифрования файлов при попытке открыть зашифрованный документ выводится отвлекающее внимание уведомление:
There was an error opening this document. The file is damaged and could not be repaired.

Перевод этого уведомления:
Ошибка при открытии документа. Файл поврежден и не может быть восстановлен.

По кончании шифрования файлов выводится финальное уведомление: 
Welcome to Black Feather.
Thank you for downloading our software.
All of your files have been encrypted with a secure 256-bit HASH.
This means you can no longer access your files without the decryption key.
You can decrypt your files by paying us 0.3 BTC, this will remove the encryption and give you full access to your files again.

Перевод финального уведомления:
Вэлкам в Black Feather.
Благодарим за загрузку нашего софта.
Все файлы зашифрованы с безопасным 256-битным кэшем.
Это не значит, что вы больше не получите доступ к файлам без ключа дешифрования.

Вы сможете дешифровать файлы уплатив нам 0,3 BTC, это удалит шифрование и вернет вам полный доступ к файлам.

Распространяется с помощью email-спама и вредоносных вложений, в том числе поддельных PDF. 

Пароль дешифрования нигде не сохраняется, потому вымогатели никак не смогут дешифровать файлы. 

НЕ ПЛАТИТЕ ВЫКУП!!!

Обратитесь за помощью в дешифровке файлов в тему форума BleepingComputer!!!

Список файловых расширений, подвергающихся шифрованию:
как минимум стандартный набор расширений для HiddenTear

Файлы, связанные с Black Feather Ransomware:
BLACK_FEATHER.txt


Степень распространённости: низкая.
Подробные сведения собираются.

Read to links:
ID Ransomware
Topic on BC

 Thanks:
 Michael Gillespie (Demonslay335)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Nightmare

Nightmare Ransomware

  Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать вымоагтелям на почту, чтобы вернуть файлы. Название является укороченным вариантом данного самими вымогателями: Dev-Nightmare 2XX9 Ransomware. 

К зашифрованным файлам добавляется расширение .2xx9. 

© Генеалогия: HiddenTear >> Nightmare 

Записки с требованием выкупа называются: READ_ME.txt

Содержание записки о выкупе:
Congratulations!!!...
Your System is inficated with Dev-Nightmare 2xx9 Ransomware
Your All Files and database are encrypted.
If you want you files back contact me at devnightmare2xx9@gmail.com
Send me some money or bitcoins
And I hate fake peoples.

File Generated on + DateTime.Now.ToString()

Перевод записки на русский язык:
Поздравляем!!!...
Ваша система инфицирована Dev-Nightmare 2XX9 Ransomware
Все файлы и базы данных зашифрованы.
Если хотите файлы обратно пишите мне на devnightmare2xx9@gmail.com
Пришлите мне деньги или биткоины
И я ненавижу лживых людей.

Файл создан на + DateTime.Now.ToString ()

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
как минимум стандартный набор расширений для HiddenTear

Файлы, связанные с Ransomware:
READ_ME.txt
<random>.exe

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 27 июня 2018:
Пост в Твиттере >>
Заново найденный образец. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

HDDCryptor

HDDCryptor Ransomware

(шифровальщик-вымогатель, MBR-модификатор) 

Translation into English

   Этот вымогатель перезаписывает MBR (Master Boot Record), блокируя загрузку компьютера. Кроме того, диски шифруются с помощью AES-2048 в режиме XTS. Также шифруются некоторые данных на локальных и подключенных сетевых дисках. 

Обнаружения: 

DrWeb -> Trojan.Inject2.29272

ALYac -> Trojan.Ransom.Mamba

Avira (no cloud) -> HEUR/AGEN.1109814

BitDefender -> Trojan.GenericKD.3516147

ESET-NOD32 -> A Variant Of Win32/Injector.TLD, Win32/Filecoder.DCryptor.C

Kaspersky -> Trojan-Ransom.Win32.Dcryptor.c, Trojan-Ransom.Win32.Agent.iun

McAfee -> Ransom-O

Microsoft -> Ransom:Win32/Mambretor.A, Ransom:Win32/Mambretor.D

Rising -> Trojan.Generic@ML.94 (RDML:Mz+edi***

Symantec -> Ransom.HDDCryptor

TrendMicro -> Ransom_HDDCRYPTOR.A, Ransom_HDDCRYPTOR.SM2

VBA32 -> Hoax.Dcryptor

  Первые обращения пострадавших от этого вымогателя начались ещё в январе 2016 г., но модифицированные версии активны до сих пор. Ориентирован на англоязычных пользователей, что не исключает его вредоносной деятельности для иноязычных пользователей. HDDCryptor использует коммерческие инструменты для шифрования сетевых ресурсов и блокировки жестких дисков. Уже пострадали компьютеры разных компаний в Бразилии, Индии и дочерних компаниях США.

Хотя большинство вымогателей обычно нацелены на определённые типы файлов или папок, хранящихся на локальных дисках, сменных носителях и общих сетевых ресурсах, но мы смогли выявить новую вымогательскую семью HDDCryptor. Детектируется TrendMicro как Ransom_HDDCRYPTOR.A
Подробное исследование описано в блоге TrendMicro. 

У других исследователей этот шифровальщик-вымогатель получил название Mamba Ransomware. 

HDDCryptor нацелен не только на общие сетевые ресурсы, такие как диски, папки, файлы, принтеры и последовательные порты, Server Message Block (SMB), но и блокирует привод. Такое поведение делает этот тип вымогателей очень серьезной и реальной угрозой не только для домашних пользователей, но и для предприятий.

По окончании шифрования вымогатель переписывает все MBR у всех разделов жесткого диска с помощью пользовательского загрузчика. Затем он перезагружает компьютер без взаимодействия с пользователем и показывает одну из представленных ниже текстов о выкупе.

Короткие записки с требованием выкупа выводятся на экран монитора сразу после включения ПК. В январской и майской версиях использовался четырёхзначный идентификатор жертвы, а в августе-сентябре стал использоваться шестизначный идентификатор. 

После уплаты выкупа пользователь получает пароль, который он должен ввести на экране с клавиатуры. Если пароль неправильный, появляется короткая запись: password incorrect (пароль неверен). 

Содержание записки о выкупе (вариант августа):
You are Hacked!!!! Your H.D.D. Encrypted, Contact Us For Decryption Key *email* YOUR ID: ***

Перевод на русский язык:
Ты взломан!!!! Твой H.D.D. зашифрован, контакт для ключа дешифровки *** YOUR ID: ***

Содержание записки о выкупе (вариант сентября):
You are Hacked ! H.D.D. Encrypted, Contact Us For Decryption Key (w889901665@yandex.com) YOUR ID: 123152**********
password incorrect

Перевод на русский язык:
Ты взломан! H.D.D. зашифрован, контакт для ключа дешифровки (w889901665@yandex.com) YOUR ID: 123152 **********
пароль неверен

Содержание записки о выкупе (вариант января):
Your hard drive is securely encrypted. To buy password send an email to gem337@sigaint.org with code 9011.

Перевод на русский язык:
Твой хард диск зашифрован. Для покупки пароля пришли письмо на gem337@sigaint.org с кодом 9011.

Содержание записки о выкупе (вариант мая):
Your hard drive is securely encrypted. To buy password send an email to drake117@sigaint.org with code 1978.

Перевод на русский язык:
Твой хард диск зашифрован. Для покупки пароля пришли письмо на drake177@sigaint.org с кодом 1978.

На случай, если жертва каким-то образом преодолеет начальный экран блокировки и восстановит оригинальный MBR, имеется еще полноценная записка о выкупе с суммой выкупа и инструкциями покупки / уплаты биткоинов. С января сумма выкупа была $700 или 1.0520 в биткоинах. 

Содержание записки о выкупе (вариант января и позже):
Here are our standard payment instructions.
Our bitcoin wallet address is (***) $700 is approx. 1.0520 BTC according to current exchange rate.
In case you have no prior experience with Bitcoin (and can't find someone who has - which is the best option) here's a summary on different ways to buy bitcoin: https://en.bitcoin.it/wiki/Buying_Bitcoins_%28the_newbie_version%29
For example, you can buy bitcoins on coinbase.com (using your bank account), localbitcoins.com (multiple payment methods, depending on vendor), bitquick.co (cash deposit in local bank, seems to work pretty fast but we have no personal experience with them) or virwox.com (they accept cards and paypal, and on virwox.info you can find a tutorial on buying bitcoins there).
Please note that for security reasons some websites will delay payment for up to 48 hours (that's true for purchasing on virwox with paypal) so please pay attention to terms of service. We won't be able to confirm your transaction and send you the password during that delay period.
In our experience your best chance to make the transfer quickly is to find an online seller with good reviews on localbitcoins.com. If you use cash deposit to pay that seller your transaction should only take a few hours. Also vendors can be really helpful on that website.
Alternatively you can look up bitcoin ATMs in your area - their fee is usually a bit higher but that's one of the fastest ways to buy bitcoins.
For amounts up to $300 you can use circle.com - it allows to send money from credit and debit cards almost instantly. You can also break up bigger amounts and make several payments from different accounts if you find it convenient.
After you purchase $700 worth of bitcoins you can just send them to our bitcoin wallet directly from the website you've chosen - this way you won't have to install bitcoin software, manage your own wallet etc. If you find it difficult to transfer the indicated amount in a single transaction you can break up the sum and make several transactions to the same bitcoin address (possibly using different methods of purchasing bitcoins).
After that we'll send you the password that'll let you boot Windows and further instruction on permanently decrypting hard drives. We'll also tell how we got in so you can fix it and prevent future incidents.

В сентябре вымогатели использовали другой текст и требовали 1 Bitcoin (~ $600). 

Содержание записки о выкупе (вариант сентября):

Your HDD Encrypted By AES 2048Bit

Send 1BTC Per HOST to My Bitcoin Wallet, then we give you Decryption key For Your Server HDD!!

My Bitcoin Wallet Address: 1NLnMNMPbxWeMJVtGu***

We Only Accept Bitcoin, it’s so easy!

You can use Brokers to exchange your money to BTC ASAP it's Fast way!

Here: хттпs://localbitcoins.com/

If You Don't Have a Account in Bitcoin, Read it First:

хттпs://bitcoin.org/en/getting-started

bitcoin Market:

хттпs://blockchain.info/

хттпs://www.okcoin.com/

хттпs://www.coinbase.com/

хттпs://bitcoinwallet.com/

Технические детали

Распространение, инфицирование и установка вредоноса
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

HDDCryptor может инфицировать систему через исполняемый файл, который пользователь может загрузить с вредоносного веб-сайта, или может быть установлен другими вредоносными программами. 

Вымогатель устанавливается путем дроппирования нескольких компонентов, легитимных и вредоносных, в корневой папке системы:
dcapi.dll - детектируется TrendMicro как Ransom_HDDCRYPTOR.A;
dccon.exe - используется для шифрования диска;
dcrypt.exe - легитимная утилита DiskCryptor;
dcrypt.sys - файл утилиты DiskCryptor;
log_file.txt - лог работы вредоносного ПО;
Mount.exe - сканирует подключенные сетевые диски и шифрует на них файлы;
netpass.exe - нужен для поиска ранее настроенных и доступных сетевых папок;
netuse.txt - нужен для хранения информации о подключенных сетевых дисках;
netpass.txt - нужен для хранения учетных данных для ранее подключенных сетевых дисков.

К тому же, HDDCryptor добавляет службу с именем DefragmentService и выполняет её с помощью командной строки.

Чтобы закрепиться в системе HDDCryptor создает нового пользователя с именем "Mythbusters" с паролем "123456", а также добавляет новую службу под названием "DefragmentService", которая работает при каждой загрузке. Эта служба вызывает оригинальный бинарный файл вымогателя (исполняемый файл с трёхзначным числом в названии).

Два из описанных выше файла являются свободно распространяемыми инструментами. Netpass.exe - бесплатный сетевой инструмент для восстановления пароля, а dcrypt.exe - исполняемый файл DiskCryptor, утилиты с открытым исходным кодом для шифрования диска. Netpass.exe сначала ищет ранее настроенные и доступные сетевые папки и извлекает учётные данные. Информация об этих сетевых дисках хранится в двух локальных текстовых файлах, один содержит сведения о подключенных дисках и любые учетные данные, если таковые имеются.

Функциональные возможности Mount.exe:
- Перечислить все имеющиеся подключенные диски и зашифровать все файлы
- Благодаря netpass.exe найти ранее подключенные диски или кэшированные отключенные сетевые пути и подключиться к ним, используя все полученные учетные данные. 
Запустить mount.exe без параметров всех перечисленных подключенных дисков, с помощью функции управления томами в ОС Windows GetLogicalDrives и зашифровать все файлы, хранящиеся на них.

Для того, чтобы добраться к ранее доступным сетевым папкам (на неподключенных дисках), HDDCryptor использует бесплатное ПО для восстановления сетевых паролей (netpass.exe). Утилита извлекает учётные данные текущей сессии и результат сохраняется в файл с именем netpass.txt. Кэш подключаемых к ним дисков сбрасывается в файл с именем netuse.txt. Исполняемый файл затем использует два файла дампа для доступа к кэшированным сетевым ресурсам (даже отключенным) или любому другому сетевому ресурсу, который ранее был доступен. Кроме того, DiskCryptor содержит сертификат с истекшим сроком, а само ПО не обновлялось с 7 сентября 2014 г.

Файлы, связанные с этим Ransomware:
%SystemDrive%/DC22/dcapi.dll
%SystemDrive%/DC22/dccon.exe
%SystemDrive%/DC22/dcinst.exe
%SystemDrive%/DC22/dcrypt.exe
%SystemDrive%/DC22/dcrypt.sys
%SystemDrive%/DC22/mount.exe
%SystemDrive%/DC22/netpass.exe
%SystemDrive%/DC22/netpass.txt
%SystemDrive%/DC22/log_file.txt
%SystemDrive%/DC22/netuse.txt

Ключи реестра, связанные с этим Ransomware:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DefragmentService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\config
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Instances
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Instances\dcrypt
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dcrypt\Enum

Гибридный анализ на PS >>
Детект на VirusTotal >>
Symantec: Ransom.HDDCryptor >>

Степень распространённости: средняя.
Подробные сведения собираются.


Обновление от 29 ноября:
Результаты анализов VT, HA

В конце ноября 2016 компьютерные системы метрополитена Сан-Франциско (MUNI-RAILWAY) стали жертвой атаки этого крипто-вымогателя. Но атака не была целенаправленной. Кто-то из работников MUNI-RAILWAY скачал и запустил зараженный файл самостоятельно. После связи с вымогателями по email cryptom27@yandex.com был получен ответ:
If You are Responsible in MUNI-RAILWAY !
All Your Computer’s/Server’s in MUNI-RAILWAY Domain Encrypted By AES 2048Bit!
We have 2000 Decryption Key !
Send 100BTC to My Bitcoin Wallet , then We Send you Decryption key For Your All Server’s HDD!!
We Only Accept Bitcoin , it’s So easy!
You can use Brokers to exchange your money to BTC ASAP
It’s Fast way!
Вымогатели запросили 100 биткоинов, но работникам MUNI-RAILWAY удалось восстановить работу компьютерной сети самостоятельно, без уплаты выкупа. 
Читать об этом: здесь и здесь. 


Обновление от 9 августа 2017:
Обширная статья от ЛК >>




Обновление от 26 февраля 2018:
Топик на форуме >>
Email: PAPINDO@SCRYPTMAIL.COM
All your data encrypted. Contact: PAPINDO@SCRYPTMAIL.COM
ENTER PASSWORD: _


Обновление от 20 мая 2019:
Пост на форуме >>
Текст от вымогателей: 
Your HDDs are encrypted. Contact us to buy password via ********* Ref. code *****
Enter password: _

Read to links: 
TrendMicro blog + Renato Marinho blog
ID Ransomware (ID as HDDCryptor)
Write-up on BC

 Thanks:
 TrendMicro, Michael Gillespie
 Andrew Ivanov (author)
 Renato Marinho, Catalin Cimpanu

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoCat

CryptoCat Ransomware

   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью RSA-2048, а затем требует выкуп в 1,45 биткоинов (~ 611 USD), чтобы вернуть файлы обратно. К зашифрованным файлам добавляется расширение .cryptocat. Название происходит от добавляемого расширения, этимологически пересекаясь с названием мессенджера Cryptocat со встроенным шифрованием передаваемых данных. Ориентирован на англоязычных пользователей.

Записка с требованием выкупа называется: Your files are locked !.txt

Содержание записки о выкупе:
Support e-mail: mls82@hush.ai mls82@bk.ru
Your personal files encryption produced on this computer: photos, videos, documents, etc.
Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files, located on a secret server on the Internet; the server will destroy the key after 168 hours.
After that nobody and never will be able to restore files.
To obtain the private key for this computer, you need pay 1.45 Bitcoin (~611 USD)
----------------
Your Bitcoin address: 1DoW7ifYKAsGvBzCQR5nvdgt3qcc7M15Do
You must send 1.45 Bitcoin to the specified address and report it to e-mail customer support.
In the letter must specify your Bitcoin address to which the payment was made.
----------------
The most convenient tool for buying Bitcoins in our opinion is the site: https://localbitcoins.com/
There you can buy Bitcoins in your country in any way you like, including electronic payment systems, credit and debit cards, money orders, and others.
Instructions for purchasing Bitcoins on account localbitcoins.com read here: https://localbitcoins.com/guides/how-to-buy-bitcoins
Video tutorial detailing on buying Bitcoins using the site localbitcoins.com here: http://www.youtube.com/watch?v=hroPcR-0zSI
How to withdraw Bitcoins from account localbitcoins.com to our bitcoin wallet: https://localbitcoins.com/faq#howto_buy
Also you can use to buy Bitcoins these sites:
https://www.bitstamp.net/
https://www.coinbase.com/
https://www.247exchange.com/

Перевод записки на русский язык:
Поддержка по e-mail: mls82@hush.ai mls82@bk.ru
Ваши личные файлы зашифрованы на этом компьютере: фото, видео, документы и т.д.
Шифрование произведено с уникальным открытым ключом RSA-2048 только для этого компьютера.
Для дешифровки файлов вам надо получить закрытый ключ.
Единственный экземпляр закрытого ключа, который поможет дешифровать файлы, находится на секретном сервере в Интернете; сервер уничтожит ключ через 168 часов.
После этого никто и никогда не сможет восстановить файлы.
Для получения закрытого ключа для этого компьютера, вам нужно заплатить 1,45 Bitcoin (~ 611 USD)
----------------
Ваш Bitcoin-адрес: 1DoW7ifYKAsGvBzCQR5nvdgt3qcc7M15Do
Вы должны послать 1,45 биткоина по этому адресу и сообщить по email в службу поддержки клиентов.
В письме надо указать свой Bitcoin-адрес, к которого был сделан платеж.
----------------
Самый удобным инструментом для покупки биткоинов, на наш взгляд, это сайт: https://localbitcoins.com/
Там можете купить биткоины в вашей стране, как захотите, включая электронные платежные системы, кредитные и дебетовые карты, денежные переводы и другие.
Инструкция по покупке биткоинов на аккаунт localbitcoins.com здесь: https://localbitcoins.com/guides/how-to-buy-bitcoins
Видео учебник о покупке биткоинов с помощью сайта localbitcoins.com здесь: http://www.youtube.com/watch?v=hroPcR-0zSI
Как вывести биткоины со счета localbitcoins.com на наш Bitcoin-бумажник: https://localbitcoins.com/faq#howto_buy
Также вы можете использовать для покупки биткоинов эти сайты:
https://www.bitstamp.net/
https://www.coinbase.com/
https://www.247exchange.com/

Распространяется с помощью email-спама и вредоносных вложений.

Список файловых расширений, подвергающихся шифрованию:
***
Файлы, связанные с Ransomware:
***
Записи реестра, связанные с Ransomware:
***

Степень распространённости: низкая.
Подробные сведения собираются.


© Amigo-A (Andrew Ivanov): All blog articles.