Nuke

Nuke Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует написать письмо вымогателям, чтобы вернуть файлы. 

К зашифрованным файлам добавляется расширение .0x5bm.

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. Ориентирован на англоязычных пользователей.

Примечательно, что Nuke переименовывает файлы случайным образом и добавляет расширение ".0x5bm". Например, "picture.jpg" станет "efaf + aEa00acBEba.0x5bm". Исходное имя файла вписывается в конце кода зашифрованного файла. 

Записки с требованием выкупа называются:
!!_RECOVERY_instructions_!!.txt
!!_RECOVERY_instructions_!!.html

TXT-вариант записки о выкупе

HTML-вариант записки о выкупе

Скринлок, встающий обоями рабочего стола

Содержание записки о выкупе:
!! Your files and documents on this computer have been encrypted !!
** What has happened to my files? **
Your important files on your computer; photos, documents, and videos have been encrypted. Your files were encrypted using AES and RSA encryption.
** What does this mean? **
File encryption was produced using a unique 256-bit key generated specifically for this machine. Encryption is a way of securing data and requires a special key to decipher.
Unforunate for you, this special key was encrypted using an additional layer of encryption; RSA. Your files were encrypted using the public RSA key. To truly reverse the unfortunate state of your files, you need the private RSA key which is only known by us.
** What should I do next? **
For your information your private key is a paid product. If you really value your data we suggest you start acting fast because you only short amount of time to recover your files before they are gone forever.
There are no solutions to this problem, and no anti-virus software can reverse the process of file encryption because we have also erased recent versions of your files which means you cannot use file recovery software.
Modifying your files in any way can damage your files permenantly and we will no longer be able to help you. Follow our terms assigned to you below, and we will have your files recovered.
** Recovering your files **
- Send an email with the subject 'FILE RECOVERY' to opengates@india.com
- For a free test decrypt, send one small file which will decrypt free
- Wait for a response from us (up to 24-48 hours)
- We will send you further information regarding payment and full file decryption of your computer
- Receive file decryption software to decrypt every encrypted file on the hard drive

Красным выделены слова с ошибками. 

Перевод записки на русский язык:
!! Ваши файлы и документы на этом компьютере зашифрованы !!
** Что случилось с моими файлами? **
Ваши важные файлы на компьютере; фото, документы и видео были зашифрованы. Ваши файлы зашифрованы с помощью AES и RSA шифрования.
** Что это значит? **
Шифрование файлов произведено с использованием уникального 256-битного ключа, созданный специально для этой машины. Шифрование представляет собой способ защиты данных и требует специального ключа для расшифровки.
К сожалению для вас, этот специальный ключ был зашифрован с помощью дополнительного шифрования; RSA. Ваши файлы зашифрованы с использованием открытого ключа RSA. Чтобы изменить неудачное состояние ваших файлов, вам нужен закрытый ключ RSA, который известен только нам.
** Что я должен делать дальше? **
Для вашей информации ваш личный ключ является платным продуктом. Если вы правда цените ваши данные, мы предлагаем вам быстро начать действовать, потому что у вас мало времени, чтобы восстановить ваши файлы, прежде чем они пропадут.
Нет иного решения этой проблемы, а антивирус не может повернуть вспять процесс шифрования файлов, потому что мы также стерли последние версии файлов, потому вы не сможете использовать программы для восстановления файлов.
Изменение файлов в любом случае может привести к полному повреждению файлов, и мы больше не будем в состоянии помочь вам. Следуйте нашим условиям, написанным для Вас ниже, и мы обещаем, что ваши файлы будут восстановлены.
** Восстановление файлов **
- Отправить email-письмо с темой ''FILE RECOVERY" на opengates@india.com
- Для бесплатной тест-расшифровки отправьте один маленький файл, который будет расшифрован бесплатно
- Подождите ответа от нас (до 24-48 часов)
- Мы вышлем вам дополнительную информацию, по оплате и полной расшифровки файлов вашего компьютера
- Получение программы дешифрования для расшифровки каждого зашифрованного файла на жестком диске

Лингвистический анализ текста показал, что текст писал украинец. 

Email вымогателей opengates@india.com встречался и в других вымогательских кампаниях.
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Nuke Ransomware:
!!_RECOVERY_instructions_!!.txt
!!_RECOVERY_instructions_!!.html
Nuke.exe

Записи реестра, связанные с Nuke Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 13 октября 2016:
Новое расширение: .nuclear55
Новые результаты анализа >>>
Новые записка о выкупе и обои для рабочего стола

Read to links: 
ID Ransomware
Topic on BC + Write-up on BC

 Thanks: 
 Michael Gillespie
 S!Ri
 MalwareHunterTeam 
 Lawrence Abrams

© Amigo-A (Andrew Ivanov): All blog articles.

Dr. Fucker

Dr. Fucker Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 1,7 биткоина за 1 систему, 29 биткоинов за все ПК скомпрометированной сети, чтобы вернуть файлы. Оригинальное название: dr fucker. 

© Генеалогия: SamSam > Dr. Fucker

К зашифрованным файлам добавляется расширение .iloveworld.

Активность этого криптовымогателя пришлась на конец сентября 2016 г. 


Записки с требованием выкупа называются:
PLEASE_READ_FOR_DECRYPT_FILES_.html
PLEASE_READ_FOR_DECRYPT_FILES_<num>.html, где <num> - некий номер, данный вредоносом компьютеру жертвы, иными словами <victim_id>. 

Содержание записки о выкупе:
#What happened to your files?
All your files encrypted with RSA-2048 encryption, For more information search in Google “RSA Encryption.”
#How to recover files?
RSA is an asymmetric cryptographic algorithm; You need one key for encryption and one key for decryption.
So you need Private key to recover your files.
It’s not possible to recover your files without private key
#How to get private key?
You can get your private key in 3 easy step:
Step1: You must send us 1.7 BitCoin for each affected PC OR 29 BitCoins to receive ALL Private Keys for ALL affected PCs.
Step2: After you send us 1.7 BitCoin, Leave a comment on our Site with this detail: Just write Your “Host name” in your comment.
*Your Host name is: WIN-{Unique identification}
Step3: We will reply to your comment with a decryption software. You should run it on your affected PC, and all encrypted files will be recovered.
*Our Site Address: xxxx://5hvtr4qvmq76zyfq.onion/alpinism/
*Our BitCoin Address:1Ha4Y7QegJL2t577XK6inSUdCYAKKQC99sG
(If you send us 29 BitCoins For all PC’s, Leave a comment on our site with this detail: Just write “For All Affected PC’s” in your comment)
(Also if you want to pay for “all affected PC’s” You can pay 14 Bitcoins to receive half of keys(randomly) and after you verify it send 2nd half
How To Access To Our Site
For access to our site you must install Tor browser and enter our site URL in your tor browser.
You can download tor browser from https://www.torproject.org/download/download.html.en
For more information, please search in Google “How to access onion sites”
# Test Decryption #
Check our site, You can upload two encrypted files, and we will decrypt your files as demo.
#Where to buy Bitcoin
We advice you to buy Bitcoin with Cash Deposit or WesternUnion From xxxxs://localbitcoins.com/ or xxxxs://coincafe.com/buybitcoinwestern.php
Because they don’t need any verification and send your Bitcoin quickly.
#deadline
You just have 7 days to send us the BitCoin after 7 days we will remove your private keys and it’s impossible to recover your files

Перевод записки на русский язык:
# Что случилось с файлами?
Все ваши файлы зашифрованы с RSA-2048 шифрованием, Для дополнительной информации ищите в Google "RSA Encryption."
# Как восстановить файлы?
RSA является асимметричным криптографическим алгоритмом; Вам нужен один ключ для шифрования и один ключ для дешифровки.
Потому вам нужен секретный ключ для восстановления файлов.
Это невозможно восстановить файлы без секретного ключа.
# Как получить секретный ключ?
Вы можете получить свой секретный ключ в 3 простых шага:
Шаг 1: Вы должны прислать нам 1,7 BTC для каждого пострадавшего ПК или 29 BTC за все секретные ключи для всех затронутых ПК.
Шаг 2: После того, как вы отправите нам 1,7 Bitcoin, оставьте комментарий на нашем сайте c деталями: Просто напишите ваш "Host name" в ваш комментарий.
* Ваше имя хоста: WIN-{Уникальный-идентификатор}
Шаг 3: Мы ответим на ваш комментарий с программой для дешифрования. Вы должны запустить его на пострадавшем компьютере, и все зашифрованные файлы будут восстановлены.
* Наш сайт-адрес: xxxx://5hvtr4qvmq76zyfq.onion/alpinism/
* Наш Bitcoin-адрес: 1Ha4Y7QegJL2t577XK6inSUdCYAKKQC99sG
(Если вы пришлете нам 29 BTC для всех ПК, оставьте комментарий на нашем сайте с этой деталью: Просто напишите "For All Affected PC’s" в ваш комментарий)
(Кроме того, если вы хотите платить за "все пострадавшие ПК" вы можете заплатить 14 BTC и получить половину ключей (рэндомно), и после того, как вы проверите их, отправить 2-ю половину суммы
Как получить доступ к нашему сайту
Для получения доступа к нашему сайту вы должны установить Tor-браузер и ввести URL нашего сайта в вашем Tor-браузере.
Вы можете скачать Tor Browser из xxxxs://www.torproject.org/download/download.html.en
Для получения дополнительной информации, пожалуйста, ищите в Google "How to access onion sites"
# Тест дешифрование #
Проверив наш сайт, вы можете загрузить два зашифрованных файлов, и мы расшифруем ваши файлы для демонстрации.
# Как купить Bitcoin
Мы рекомендуем вам купить Bitcoin у Cash Deposit или WesternUnion из xxxxs://localbitcoins.com/ или xxxxs://coincafe.com/buybitcoinwestern.php
Потому что они не нуждаются в проверке и отправят Bitcoin быстро.
# Крайний срок
У вас только 7 дней, чтобы отправить нам Bitcoin, через 7 дней мы удалим ваши личные ключи, и восстановить файлы будет невозможно.

Сайт вымогателей в сети Tor: 5hvtr4qvmq76zyfq.onion/alpinism/

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Вероятно, аналогичен списку SamSam Ransomware. 

Файлы, связанные с Dr. Fucker Ransomware:
gotohelldr.exe
barbinor2.exe
PLEASE_READ_FOR_DECRYPT_FILES_.html
PLEASE_READ_FOR_DECRYPT_FILES_<victim_id>.html

Сетевые подключения и связи:
Tor-URL: xxxx//5hvtr4qvmq76zyfq.onion/alpinism/
BTC: 1Ha4Y7QegJL2t577XK6inSUdCYAKKQC99sG

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter
ID Ransomware (to ID SamSam)

 Thanks: 
 Karsten Hahn
 Demonslay335 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoLockerEU

CryptoLockerEU 2016 Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,3 биткоина, чтобы вернуть файлы. Название оригинальное, указано в записке о выкупе.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .send 0.3 BTC crypt

Активность этого криптовымогателя пришлась на начало октября 2016 г. 

Записки с требованием выкупа называются: РАСШИФРОВАТЬ ФАЙЛЫ.txt (тоже, что Decrypt files.txt). 

Довольно странный криптовымогатель. Название записки написано на русском, а содержание на английском и с немыслимыми ошибками. Я откорректировал перевод и выделил слова с ошибками вот такой полосой. 

Содержание записки о выкупе:
CryptoLockerEU 2016 rusia
Your important liles encryption produced on this computer: photos, videos, document, etc.
Encryption was produced using a RSA-2045bit !!
To Obtime the private key for this computer, which will automatically decrypt files, you have to send 0.3 BTC to bitcoin adres 14bPTE6DVpx8Vrzk1wt3M8XsJ5YU3ebzKo
You will receive your private key + software within 2 hours.
You have just 7 days before the private key (password) is deleted
xxxxs://www.coinbase.com/buy-bitcoin
xxxxs://cex.io/buy-bitcoins
- transfer 0.3 BTC  14bPTE6DVpx8Vrzk1wt3M8XsJ5YU3ebzKo
VIRUS ID: 92418LQEU
- on add email
- we send password + software decrypt (now)
- Messengers verification emal - Payments email (bitcoin)
Send : virus id+Bitcoin payment (verification)
decryptme.files@mail.ru
europol.eurofuck@yandex.com
super.decryptme2016@yandex.com
efwerez2015@yandex.com

Перевод записки на русский язык:
CryptoLockerEU 2016 rusia (Russia - Россия)
Ваши важные Liles (files - файлы) шифрование проведено на этом компьютере: фото, видео, документы и т.д.
Шифрование было произведено с помощью RSA-2045bit!! (RSA-2048)
Для Obtime (obtain - получения) закрытого ключа для этого компьютера, который автоматически дешифрует файлы, вы должны отправить 0,3 BTC на Bitcoin adres (address - адрес) 14bPTE6DVpx8Vrzk1wt3M8XsJ5YU3ebzKo
Вы получите ваш личный ключ + программу в течение 2-х часов.
У вас только 7 дней потом секретный ключ (пароль) удаляется
xxxxs://www.coinbase.com/buy-bitcoin
xxxxs://cex.io/buy-bitcoins
- трансфер 0,3 BTC 14bPTE6DVpx8Vrzk1wt3M8XsJ5YU3ebzKo
ВИРУС ID: 92418LQEU
- добавить email
- мы отправим пароль + программу дешифровки (сразу)
- мессенджеры проверят emal (email) - платежи по email (Bitcoin)
Отправить: вирус ID + оплата Bitcoin (проверка)
decryptme.files@mail.ru
europol.eurofuck@yandex.com
super.decryptme2016@yandex.com
efwerez2015@yandex.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
РАСШИФРОВАТЬ ФАЙЛЫ.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
decryptme.files@mail.ru
europol.eurofuck@yandex.com
super.decryptme2016@yandex.com
efwerez2015@yandex.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoLockerEU)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KillerLocker

KillerLocker Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное. 

К зашифрованным файлам добавляется расширение .rip. 
Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. Ориентирован на португалоязычных пользователей.

Запиской с требованием выкупа выступает блокировщик экрана с киллером в обличье клоуна. На уплату выкупа даётся 48 часов. 

Содержание записки о выкупе:
Todos os seus arquivos foram criptografados com uma criptografía AES 256 BIT Muito forte. Realize opagamento em: 000-00100 até 48 horas 

Перевод записки на русский язык:
Все ваши файлы зашифрованы с очень сильным AES 256-бит шифрованием. Выполните условия оплаты в: 000-00100 за 48 часов

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, архивы и пр.

Файлы, связанные с KillerLocker Ransomware:
KillerLocker.exe

Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 29 марта 2017:
Пост в Твиттере >>
KillerLocker.exe
Расширение: .rip
Результаты анализов: VT
<< Скриншот окна экрана блокировки

Read to links: 
Video review
ID Ransomware (ID as KillerLocker)

 Thanks: 
 GrujaRS
 Michael Gillespie
 Karsten Hahn‏

© Amigo-A (Andrew Ivanov): All blog articles.

Krypte

Krypte Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 20 евро с карты PaySafeCard, чтобы вернуть файлы. Название дано самими разработчиками-вымогателями. К зашифрованным файлам добавляется расширение .fear. Активность этого криптовымогателя пришлась на сентябрь 2016 г. Ориентирован на немецкоязычных пользователей.

© Генеалогия: Razy Ransomware >  Krypte Ransomware

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста с экрана блокировки:
Hallo! Ich bin Krypte! Eine Ransomware! Ich habe deine Dokumente,Musik,Bilder und andere Wichtige dateien mit einer AES Verschlüsselung Verschlüsselt. Wenn du deine Daten wiederhaben willst, dann Befolge Bitte diese Anweisungen :) 
Kaufe eine 15-20 Euro Paysafe-Karte und gebe diesen Code in die Textbox Unten ein. Trage deine Email-Adresse in die Andere Textbox ein und drücke auf Weiter. 
Wenn der Paysafekarten-code richtig sein sollte, Bekommst du an deine Email einen Key + Entfern und Entschlüsselungsprogramm. An deiner stelle würde ich kein Antivierenprogramm laufen lassen und nicht versuchen, diesen Virus zu entfernen. Dieses Programm ist deine einzige möglichkeit, deine Daten zurückzubekommen. Dein Private-Key wird nach 72h von unserem Server gelöscht. Viel Erfolg :) 

Перевод на русский язык:
Привет! Я Krypte! Вымогатель! Я твои документы, музыку, фото и другие важные файлы с AES шифрованием зашифровал. Если ты свои данные хочешь вернуть, то прошу следовать инструкциям :)
Купи карту PaySafeCard на 15-20 евро и введи её код в текст-бокс ниже. Впиши свой email-адрес в другой текст-бокс и нажми кнопку "Weiter".
Если код PaySafeCard правильный, ты получишь на свой email-адрес ключ + удалитель и дешифратор.
На твоем месте я бы не стал запускать антивирусных программ и не пытался удалить этот вирус. Эта программа является твоим единственным шансом получить обратно свои данные.
Твой секретный ключ через 72 часа будет удален с нашего сервера. Успехов :)

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Выполняя шифрования Krypte создаёт копию оригинального файла, меняет его имя файлов на рэндомное (случайное), добавляет к нему расширение .fear и удаляет оригинальный файл. Затем генерирует графический файл с требованиями выкупа и отображает блокировщик экрана с текстом вымогателя. 

Список файловых расширений, подвергающихся шифрованию:
 .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .exe, .fla, .flv, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (159 расширений). 

Файлы, связанные с Krypte Ransomware:
WinOSHelp.exe - исполняемый файл вымогателя;
oldfilename.txt - текстовый файл со старыми именами файлов.

Записи реестра, связанные с Krypte Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
http://www.nyxbone.com/malware/Razy(German).html
http://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-30-2016-princess-locker-locky-switching-to-odin-decryptors-and-more/

 Thanks: 
 MalwareHunterTeam 
 GrujaRS of CyberSecurity GrujaRS
 Lawrence Abrams of BleepingCompute
 Mosh of Nyxbone
 

© Amigo-A (Andrew Ivanov): All blog articles.

Al-Namrood, Al-Namrood 2.0

Al-Namrood Ransomware 

Al-Namrood 2.0 Ransomware 

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей и серверов, а затем требует связаться по email с вымогателями и сообщить ID, чтобы узнать сумму выкупа за возвращение файлов. Вымогатели из Украины. Сумма выкупа: 1-10 BTC. 

Этимология имени. Название получил от имени вавилонского царя Нимрода (Al-Namrood) или от современных спекуляций на их именах. Древний город на территории Ирака, которому археологи дали имя царя Нимрода, был разрушен боевиками ИГИЛ в 2015 году с помощью тяжёлой техники.

© Генеалогия: Apocalypse  > Al-Namrood

К зашифрованным файлам добавляются расширения .unavailable или .disappeared. 
Активность этого криптовымогателя пришлась на сентябрь 2016 г. Обновление до версии 2.0 — примерно ноябрь-декабрь 2016. 

Записка о выкупе создаётся для каждого файла с его именем и окончанием на конце *.Read_Me.Txt

Содержание записки о выкупе:
Hello!
All your files was encrypted.
If you wanna recover your files contact me as soon as possible:
decryptioncompany@inbox.ru
Your ID: B5584071
You have few days for contact me, then all your files will be lost.
If you dont get answer more than 24 hours - try any public mail service for contact me(like gmail or yahoo).
Regards.  

Перевод записки на русский язык:
Привет!
Все ваши файлы зашифрованы.
Если вы хотите восстановить файлы, свяжитесь со мной как можно скорее:
decryptioncompany@inbox.ru
Ваш ID: B5584071
У вас несколько дней, чтобы связаться со мной, иначе все ваши файлы пропадут.
Если вы не получите ответа через 24 часа, пробуйте любую публичную mail-службу для контакта со мной (Gmail или Yahoo).
С уважением.

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, посредством атаки и взлома RDP-подключений. Стоящая за распространением Al-Namrood группа в первую очередь атакует серверы, имеющие поддержку RDP и уязвимости в защите. 

Список файловых расширений, подвергающихся шифрованию:
Все файловые расширения, за исключением тех, которые используются самим шифровальщиком. 

Файлы, связанные с Ransomware:
*.Read_Me.Txt
<random>.exe

Сетевые подключения и связи:
decryptioncompany@inbox.ru
fabianwosar@inbox.ru

Степень распространённости: средняя.
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление. Al-Namrood 2.0
Файлы имеют случайное расширение по шаблону 
.<id-number>.<email>.<9/10_lower_alphabetic_characters> 
Пример: ID-17AD78ECSA[cryptservice@inbox.ru].mqbgadqaq
Контакты вымогателей: 
Email: cryptservice@inbox.ru и cryptsvc@mail.ru
Jabber: cryptservice@jabber.ua
Геолокация: Украина

Обновление. Al-Namrood 2.0
Eamil: crypt64@mail.ru
Jabber: crypt32@jabber.ua
Файлы имеют случайное расширение по шаблону
<original_file_name.extension>.ID-<victim_ID>[crypt32@mail.ru].<random[a-e]>
например, <original_file_name.extension>.ID-DA15AE27GR[crypt32@mail.ru].ngayadgaoaa
Скриншот записки о выкупе:

Обновление от 2 ноября 2016. Al-Namrood 2.0: 
Расширение: .not_available
Тема на форуме >>

Обновление от 20 ноября 2016. Al-Namrood 2.0: 

Топик на форуме >>

Расширение: .NOT_AVAILABLE

Обновление от 24 ноября 2016. Al-Namrood 2.0: 

Топик на фоуме >>

Расширение: .ciphered

Email: kevinrobinson@inbox.ru

➤ Содержание записки о выкупе: 

Hello. Bad news!

All your files was encrypted with strong algorithm AES256 and unique key.

To recover all files you need to get special decryption software and personal key.

You can contact me via email: kevinrobinson@inbox.ru

You can contact me via email: kevinrobinson@inbox.ru

Your ID:  958A6CA2GB

Please use public mail service like gmail or yahoo to contact me, because your messages can be not delivered.

You have a 72 hours to contact me, otherwise recovering may be harder for you.

Regards,

Kevin Robinson.

Обновление от 27 ноября 2016. Al-Namrood 2.0: 
Топик на форуме >>
Расширение: .access_denied
Составное расширение: .ID-1A234567AU[decryptgroup@inbox.ru].access_denied
Email: decryptgroup@inbox.ru, decryptgroup@india.com
Jabber: decryptgroup@xmpp.jp
➤ Содержание записки о выкупе: 
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and personal key.
You can contact us:
Primary Email: decryptgroup@inbox.ru
Reserve Email: decryptgroup@india.com
Your Personal ID: 1A234567AU
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write to us in Jabber: decryptgroup@xmpp.jp
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.

Обновление от 28 декабря 2016:
Пост на форуме >>  
Пост на форуме >>
Расширение: .<random> - случайное (цифры и маленькие буквы)
Составное расширение: .ID-XXXXXXXXXX[cryptsvc@mail.ru].abcdefghijk
Записка: Infection.TXT
Jabber (It is not Email !!!): cryptsvc@securejabber.me
Email: cryptsvc@mail.ru
➤ Содержание записки о выкупе: 
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and your personal key.
You can contact us via Email:
cryptsvc@mail.ru
Your Personal ID: ***
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write us to Jabber (It is not Email !!!): cryptsvc@securejabber.me
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.

Обновление от 28 марта 2017:
Топик на форуме >>
Расширение: .<random> - случайное (цифры и маленькие буквы)
Пример составного расширения: .ID-DA15AE27GR[crypt32@mail.ru].ngayadgaoaa
Email: crypt32@mail.ru
Jabber: crypt32@jabber.ua
➤ Содержание записки о выкупе: 
All your files were encrypted with strong algorithm AES256 and unique key.
Do not worry, all your files in the safety, but are unavailable at the moment.
To recover the files you need to get special decryption software and your personal key.
You can contact us via Email:
crypt32@mail.ru
Your Personal ID: ADC2B179SA
Please use public mail service like gmail or yahoo to contact us, because your messages can be not delivered.
For fast communication, you can write us to Jabber (It is not Email !!!): crypt32@jabber.ua
How to register a jabber account: http://www.wikihow.com/Create-a-Jabber-Account
You have 3 working days to contact us, otherwise recovering may be harder for you.
Regards.

Последнее обновление: 
Пост на форуме >>
Вымогательский проект Al-Namrood был закрыт 09.05.2017
Для связи предлагались контакты:
Email: crypt64@mail.ru
Jabber: crypt32@jabber.ua

ВНИМАНИЕ! 
Для зашифрованных файлов есть декриптер. 
Скачать декриптер для v.1 и дешифровать >>

Для более новых вариантов может не подойти. 

Read to links: 
Decrypter by Emsisoft.com
ID Ransomware (ID as Al-Namrood)
*

 Thanks: 
 Fabian Wosar 
 Michael Gillespie 
 quietman7

© Amigo-A (Andrew Ivanov): All blog articles.