Globe-2

Globe-2 Ransomware

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Это обновленная версия Globe Ransomware. Использует Blowfish для шифрования файлов, требует 0,8 или 1.0, или больше биткоинов за дешифровку, удаляет режим отладки и опционально шифрует имена файлов с помощью алгоритма RC4. Впервые обнаружен в начале октября 2016 г. Атакует пользовательские ПК и серверы. 

© Генеалогия: Globe (Purge) > Globe-2 > Globe-3 >> Amnesia > Scarab > Scarab Family

Изображение является логотипом статьи

Наиболее часто добавляемые к зашифрованным файлам расширения: 
.raid10  -  как .[random].raid10
.blt - как .[random].blt
.globe - как .[random].globe
.encrypted - как .[random].encrypted
.mia.kokers@aol.com - как .[mia.kokers@aol.com]
и многие другие, см. обновления внизу страницы. 

Записки с требованием выкупа называются: How to restore files.hta, а в окне заголовок "YOU CAN LOOSE YOUR DATA". 

Содержание записки о выкупе:
All server data encrypted!
All server data is encrypted.
To recover your data you need to pay for decryptor. 
Contacts
Telegram @comodosecurity
Email viewclear@yandex.com

Перевод записки на русский язык:
Все данные сервера зашифрованы!
Все данные сервера шифрованы.
Для возврата данных вы должны заплатить за декриптор.
Контакты
Telegram: @comodosecurity
Email: viewclear@yandex.com

Другая записка о выкупе для ПК.

Содержание:
Your files are encrypted!
Your personal ID
17794362225613194882830574***
Your documents, photos, databases, save games and other important data has been encrypted.
Data recovery is required interpreter.
To get the interpreter should send an email to deyscriptors24@india.com . In a letter to indicate your personal identifier (cm. at the beginning of this document).
If the contact is not obtained through the mail
• Sign up online http://bitmsQ.me (online service for sending Bitmessage)
• Send an email to BM-2cWueiDqKeajosJ4edtA7pdNY2n2ccK2uq indicating your address and
personal identity
Next, you need to pay for the interpreter. In a response letter you receive an address Bitcoin-Wallets, which must perform the transfer of funds in the amount of 1 Bitcoin (1 BTC ~ 700 $).
If you have no Bitcoin
• Create a wallet Bitcoin: https://blockchain.info/ru/wallet/new
• Get cryptocurrency Bitcoin:
https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet and etc.)
https://ru.bitcoin.it/wiki/Acquisition_of_Bitcoin (instruction for beginners)
• Send 1 BTC at the address specified in the letter
When the transfer is confirmed, you will get the decryption files for your computer.
After start-interpreter program, all your files will be restored.
Attention!
• Do not attempt to remove the program or run the anti-virus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders are not compatible with other users of your data, because each user's unique encryption key

Перевод на русский:
Ваши файлы зашифрованы!
Ваш персональный ID
17794362225613194882830574***
Ваши документы, фото, базы данных, за сохранения игр и другие важные данные были зашифрованы.
Для восстановления данных требуется интерпретатор.
Чтобы получить интерпретатор надо отправить по email deyscriptors24@india.com. В письме указать свой персональный ID (см. в начале этого документа).
Если контакт не получен по почте
• Зарегистрироваться на сайте http://bitmsQ.me (онлайн-услуга для отправки Bitmessage)
• Отправить по email BM-2cWueiDqKeajosJ4edtA7pdNY2n2ccK2uq указав свой адрес и персональный ID
Далее, вам нужно заплатить за интерпретатор. В ответном письме вы получите адрес Bitcoin-кошелька, на который надо сделать перевод денежные средства в размере 1 Bitcoin (BTC 1 ~700 $).
Если у вас нет биткоинов
• Создать Bitcoin-кошелек: https://blockchain.info/ru/wallet/new
• Получить криптовалюту Bitcoin:
https://localbitcoins.com/ru/buy_bitcoins (Visa / MasterCard, Visa QIWI Кошелек и т.д.)
https://ru.bitcoin.it/wiki/Acquisition_of_Bitcoin (инструкция для начинающих)
• Отправить 1 BTC по адресу, указанному в письме
Когда перевод будет подтвержден, вы получите дешифровщик для вашего компьютера.
После запуска программы-интерпретатора, будут восстановлены все ваши файлы.
Внимание!
• Не пытайтесь удалить программу или запустить антивирусные инструменты
• Попытки самостоятельного дешифрования файлов приведут к потере ваших данных
• Декодеры не совместимы с данными других, т.к. у каждого пользователя уникальный ключ шифрования 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

После шифрования удаляются теневые копии файлов.

Декриптер, который вымогатели присылают после уплаты выкупа, не может корректно дешифровать файлы. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся шифрованию:
.avi, .csv, .dat, .database, .db, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .gif, .h, .ico, .jpe, .jpeg, .jpg, .log, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .pdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .py, .pyc, .rar, .txt, .url, .wav, .wave, .wb2, .wma, .wmv, .wpd, .xls, .xlsb, .xlsm, .xlsx, zip... и многие другие, см. Globe.

Файлы, связанные с Globe2 Ransomware:
How to restore files.hta
ZendrSx1.exe
locker.exe

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Внимание!

Для зашифрованных файлов есть декриптер

Скачать декриптер для Globe2 >>

Для использования декриптера потребуется зашифрованный файл и его незашифрованный оригинальную версию. Выберите зашифрованный и незашифрованный файл и просто перетащите их обоих на файл декриптера. Если имена файлов зашифрованы, то просмотрите размер файла, чтобы определить правильный файл. Зашифрованный и исходный файл будут иметь одинаковый размер. 

✋ Если данный декриптер не может дешифровать файлы, то нужно использовать декриптор для предыдущей версии или для Globe3. 

См. также Russian Globe >>

*

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 ноября 2016: 
Новое имя файла: ZendrSx1.exe
Новое расширение: .zendr2
Новая записка о выкупе: Read Me Please.hta
Новый email: suppozer@india.com
Результаты анализов: VT
Дешифровка: Globe2 Decrypter

Обновление от 11 ноября 2016
Новое имя файла: aexplorer.exe
Новое расширение: .ACRYPT
Записка о выкупе: Read Me Please.hta
Сумма выкупа: 0.50 BTC
Email: decrypter@india.com
Результаты анализов: VT

Обновление от 11 ноября 2016

Записка: How to restore files.hta
Файл: x3m.exe
Новое расширение: .blt
Email: cryalex@india.com
Результаты анализов: VT, HA


Обновление от 17 ноября 2016
Новое расширение: .duhust
Записка: How to restore files.hta
Email: duhust@india.com
Результаты анализов: VT

Обновление от 18 ноября:
Новое расширение: .exploit
Email: support-ransomware@india.com

Обновление от 21 ноября 2016:
Новое расширение: .MK
Email: mkscorpion@india.com

Обновление от 22 ноября 2016:
Новый файл: deyscriptors24@india.com.exe
Новое расширение: .x3m
Email: deyscriptors24@india.com
Результаты анализов: Malwr

Обновление от 25 ноября 2016:
Новый файл: autoSmart.exe
Новое расширение: .SGood
Записка: How to restore files.hta
Email: goodsupport@india.com
Результаты анализов: VT

Обновление от 28 ноября 2016:
Расширение: .gurdian-decrypt@india.com.ps4
Записка: How to restore files.hta
Email: gurdian-decrypt@india.com
Результаты анализов: VT

Обновление от 28 ноября 2016:
Расширение: .dcrptme
Записка: How to restore files.hta
Результаты анализов: VT


Обновление от 4 ноября 2016:
Расширение: .lovewindows
Email: bahij2@india.com

Обновление от 7 ноября 2016:
Расширение: .trust
Записка: How to restore files.hta
Email: decryptor@protonmail.com
BTC: 1Gn2XUUPpNA2UosDo2erhPHPNnx9r3oD9f
Результаты анализов: VT

Обновление от 4 декабря 2016:
Расширение: .lovewindows
Email: bahij2@india.com

Обновление от 5 декабря 2016:
Email: decrypter@india.com

Обновление от 8 декабря 2016:
Email: vnature@india.com

Обновление от 13 декабря 2016:
Файл: GlobeChanged.exe
Расширение: .GSupport3
Записка: How to restore files.hta
Email: goodsupport@india.com
Результаты анализов: VT

Обновление от 14 декабря 2016:


Расширение: .unlockvt@india.com
Записка: How to restore files.hta
Email: unlockvt@india.com
Результаты анализов: VT



Обновление от 14 декабря 2016:
Расширения: .decryptallfiles@india.com, .decryptallfiles3@india.com
Email: decryptallfiles@india.com, decryptallfiles3@india.com

Обновление от 16 декабря 2016:
Пост в Твиттере >>
Email: mendizol@india.com
Расширения: .ink и .ziptox1

Обновление от 17 декабря 2016:
Пост в Твиттере >>
Расширение: .sorry
Записка: How to restore files.hta
Email: helpdecode@india.com
Результаты анализов: VT

Обновление от 17 декабря 2016:
 
Пост в Твиттере >>
Расширение: .rescuers@india.com.3392cYAn548QZeUf.lock
Записка: How to restore files.hta
Email: rescuers@india.com




Обновление от 18 декабря 2016:
Расширение: .helptoyou1@india.com.8464DBdhFhbd4.lock
Записка: How to restore files.hta
Email: helptoyou1@india.com

Результаты анализов: VT

Обновление от 23 декабря 2016:
Расширение: .dcrptme
Записка: How to restore files.hta
Email: dsupport@india.com
Результаты анализов: VT

Обновление от 27 декабря 2016:
Расширение: .crypto-helper@india.com
Email: crypto-helper@india.com
Результаты анализов: VT

Обновление от 28 декабря 2016:
Расширение: .vnature@india.com
Записка: How to restore files.hta
Email: vnature@india.com
Результаты анализов: VT

Обновление от 3 января 2017:
Ссылка на пост на форуме BC >> 
Расширение: .lock
Email: frogobigens@india.com
Сумма выкупа: 1.5 BTC
Записка: HOW TO DECRYPT FILES.txt
Содержание записки: 
Your documents, photos, databases, important data were encrypted.
Data recovery is required decipherer.
To get the interpreter should send an email to frogobigens@india.com. 
Next, you need to pay for the interpreter. In a response letter you will receive the address of Bitcoin-wallet to which you want perform the transfer of funds in the amount of 1.5 Bitcoin.
If you have no Bitcoin
Create a wallet Bitcoin: https://blockchain.info/ru/wallet/new 
Get cryptocurrency Bitcoin: 
https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.) 
https://en.bitcoin.it/wiki/Trading_bitcoins (instruction for beginners) 
When the transfer is confirmed, you will get the decryption files for your computer.
After start-interpreter program, all your files will be restored.
Attention!
Do not attempt to remove the program or run the anti-virus tools 
Attempts to self-decrypting files will result in the loss of your data 
Decoders are not compatible with other users of your data, because each user's unique encryption key 

Обновление от 6 января 2017:
Расширение: .decrypr_helper@india.com
Email: decrypr_helper@india.com
Результаты анализов: VT

Обновление от 8 января 2017:
Файл: decryptional.exe
Расширение: .decryptional
Записка: How to restore files.hta
Email: decryptional@india.com
Результаты анализов: VT

Обновление от 12 февраля 2017:
Файлы: vapefile.exe, svhost.exe
Расширение: .vapefile
Записка: How to restore files.hta
Email: vape@india.com
Результаты анализов: VT

Обновление от 4 апреля 2017:
Расширение: .a95436@ya.ru
Email: a95436@yandex.ru
BTC: 1KCGP2CLEhBxxfHtNE4dE4SZduxmjRuUR7
Результаты анализов: VT


Обновление от 4 января 2018:
Название: Globe2 Ransomware. Турецкий вариант
Пост в Твиттере >>
Расширение: .vrmrkz
Файлы переименовываются.
Email: verimerkezi@mail.ru
Записка: How to restore files.hta
Результаты анализов: VT
Статус: Дешифруем!



Обновление от 23 февраля 2018:
Название: Globe2 Ransomware. Турецкий вариант
Пост в Твиттере >>
Расширение: .frmvrlr2017
Файлы переименовываются.
Email: firmaverileri2017@yandex.com
Записка: How to restore files.hta
Результаты анализов: VT
Статус: Дешифруем!


*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать и использовать Globe Decrypter по инструкции >>
Скачать и использовать Globe-2 Decrypter по инструкции >>
Скачать и использовать Globe-3 Decrypter по инструкции >>
***

Read to links: 
Decrypter for Globe2
ID Ransomware

 Thanks: 
 Fabian Wosar
 Michael Gillespie
 Andrew Ivanov, Alex Svirid, Mihay Ice
 ...and others, who sent the samples for analysis

© Amigo-A (Andrew Ivanov): All blog articles.

Enigma2

Enigma 2 Ransomware

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот криптовымогатель шифрует данные с помощью алгоритма AES-128, а затем требует выкуп $200 USD в биткоинах по курсу валюты, чтобы вернуть файлы обратно. 

© Генеалогия: Enigma > Enigma 2

Зашифрованные файлы получают расширение .1txt. 
Ранняя версия Enigma добавляла расширение .enigma, отчего и получила название. 

Активность этого криптовымогателя пришлась на начало октября 2016 г.  Ориентирован на русскоязычных пользователей, т.к. записка о выкупе написана на русском языке и вебсайт для выкупа имеет русскоязычный интерфейс. 

Записки с требованием выкупа называются: enigma_info.txt

Содержание записки о выкупе:
Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем, который знаем только мы.
Зашифрованные файлы имеют расширение .1txt. Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.
Если хотите получить файлы обратно:
1) Установите Tor Browser http://www.torproject.org/
2) Найдите на рабочем столе ключ для доступа на сайт E_N_I_G_M_A.RSA(В ключе зашифрован пароль от ваших файлов)
3) Перейдите на сайт http://kf2uimw5omtgveu6.onion/ в тор-браузере и авторизуйтесь с помощью E_N_I_G_M_A.RSA
4) Следуйте инструкциям на сайте и скачайте дешифратор
C:\Documents and Settings\Администратор\Рабочий стол\E_N_I_G_M_A.RSA  - Путь к файлу-ключу на рабочем столе
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA  - Путь к файлу-ключу в TMP папке

Перевод записки на английский язык:
We encrypt important files on your computer: documents, databases, photos, videos and keys.
Files encryption algorithm AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) with a private key that only we know.
Encrypted files have .1txt extension. It decrypts files without the private key IMPOSSIBLE.
If you want to get the files back:
1) Install the Tor Browser http://www.torproject.org/
2) Locate the desktop key to access E_N_I_G_M_A.RSA site (password is encrypted in the key of your files)
3) Go to the website http://kf2uimw5omtgveu6.onion/ into a torus-browser and log in using E_N_I_G_M_A.RSA
4) Follow the instructions on the website and download the decoder
C:\Documents and Settings\Администратор\Рабочий стол\E_N_I_G_M_A.RSA  - The path to the key file on the desktop
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA - The path to the key file in TMP directory

Новый файл называется E_N_I_G_M_A.RSA, а на Tor-сайте оплаты название этого файла старое ENIGMA.RSA, налицо толи забывчивость вымогателей, толи лень. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. При открытии вредоносного файла выполняется встроенный JavaScript, который создаёт или загружает автономный файл c названием "Свидетельство....js", "Уведомление....js", "Решение суда...js" и пр. 

Список файловых расширений, подвергающихся шифрованию:
.001, .002, .1cd, .7z, .bz, .bz2, .bza, .bzip, .bzip2, .cd, .cdr, .crt, .csr, .csv, .czip, .dat, .dbf, .dif, .doc, .docb, .docm, .docx, .dwg, .gz, .gz, .gz2, .gza, .gzi, .gzip, .hdoc, .hwp, .key, .kwm, .lzma, .max, .mdb, .mdb, .mml, .odg, .odp, .ods, .odt, .odt, .otg, .otp, .ots, .ott, .pdf, .pem, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .pptx, .rar, .rtf, .rtf, .slk, .sln, .sqlite, .sqx, .sqz, .srep, .stc, .std, .sti, .stw, .sxc, .sxi, .sxm, .sxw, .tar, .taz, .tbz, .tbz2, .tg, .tgz, .tlz, .tlzma, .tsk, .tx_, .txt, .txz, .tz, .uc2, .uot, .wks, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlsx, .xlt, .xltm, .xltx, .xlw, .xz, .zi, .zip, .zip, .zipx, .zix (111 расширений).

Файлы, связанные с Enigma 2 Ransomware:
Файлы, связанные с Enigma 2 Ransomware:
%USERPROFILE%\Desktop\78fb.exe
%USERPROFILE%\Desktop\enigma_info.txt
%USERPROFILE%\Desktop\E_N_I_G_M_A.RSA - файл с ключом
%TEMP%\E_N_I_G_M_A.RSA - файл с ключом
%TEMP%\enigma_info.txt - записка о выкупе
%TEMP%\pbkey.pbkey - содержит public key
%TEMP%\prkey.prkey - содержит private key
%TEMP%\falcon9.falcon
%TEMP%\backup.copy
%TEMP%\workstatistic.dat

Записи реестра, связанные с Enigma 2 Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
bfceedddae = "{Malware Path}\{Malware Filename}.exe"

Сетевые подключения:
xxxx://93.115.201.113/get.php

Степень распространённости: средняя.
Подробные сведения собираются.

Гибридный анализ >>
VirusTotal анализ >>

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 октября 2016:
Результаты анализов: VT + VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.6500
ALYac -> Trojan.Ransom.Enigma
Avira (no cloud) -> HEUR/AGEN.1024556
BitDefender -> Gen:Heur.Ransom.Imps.1
McAfee -> GenericRXDI-RO!452CDF665077
Microsoft -> Trojan:Win32/Skeeyah.A!rfn
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Palw


Обновление от 3 февраля 2020:
Файлы записок: hello.txt, enigma_encr.txt, enigma.hta
Специальный файл: ENIGMA_296.RSA
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.MulDrop6.41566
ALYac -> Trojan.Ransom.Enigma
Avira (no cloud) -> HEUR/AGEN.1028824
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> Win32/Filecoder.Enigma.B
McAfee -> GenericRXDJ-MU!912756788A1
Microsoft -> Ransom:Win32/EniqmaC
Rising -> Ransom.FileCryptor!8.1A7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Hprj
TrendMicro -> Ransom.Win32.ENIGMA.SMTHBAU

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Read to links: 
Topic on BC + Write-up

 Thanks: 
 mike 1, BllepingComputer, TrendMicro
 Andrew Ivanov (author) 
***

© Amigo-A (Andrew Ivanov): All blog articles.

Kostya

Kostya Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 300 чешких крон с карты PaySafe Card, чтобы вернуть файлы. Название криптовымогателя написано в экране блокировки. 

К зашифрованным файлам добавляется расширение .k0stya. Данные шифруются только на диске C:, а диск D: очищается. 

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на чешскоязычных пользователей.

Запиской с требованием выкупа выступает блокировщик экрана.

Содержание основного текста о выкупе:
Váš počítač a vaše soubory byly uzamknuty!
Co se stalo?
Veškeré vaše soubory byly zašifrovány šifrovacía algoritmem AES-256 společně s vaším osobnim počítačem.
VAROVÁNÍ!! Pokud nesplníte všechny dané požadavky uvedené níže do 12 HODIN , váš nynéjší dešifrovací klič se SMAŽE a CENA STOUPNE NA 2000KČ!.
PO 24 HODINÁCH SE VAŠE SOUBORY SMAŽOU A VY JE UŽ NIKDY NEUVIDÍTE!!!
Jak mám postupovat dál? Je prakticky nemožné získat zpět přistup k vasím souborům a vašemu počítači bez šifrovacího klíče. Ten můžete také velice jednoduše získat. Stačí, když si podrobně přečtete celou tuto zprávu.
Co se stane až zaplatím? Po zaplacení dané částky bude váš počítač společné s vašimi soubory do 24 hodin odemknut. Celá tato zpráva zmizí a vše se vrátí do původního stavu.
Jde toto uzamknutí obejít jiným způsobem? Absolutně ne. Je však na vás jestli půjdete za IT technikem a zaplatíte mu 500Kč (ne li více) za "opravu", která vám vaše data a učty stejně nevrátí, nebo splníte stanovené požadavky. Navíc tak i ušetříte! POKUD NEZAPLATÍTE DO 12 HODIN, CENA STOUPNE NA 2000Kč!!! PRO PLATBU JE VYŽADOVÁNO PŘIPOJENÍ K INTERNETU !!!

Перевод текста на русский язык:
Ваш компьютер и ваши файлы заблокированы!
Что случилось?
Все ваши файлы зашифрованы с помощью алгоритма шифрования AES-256 вместе с вашим личным компьютером.
ВНИМАНИЕ !! Если вы не выполняете все требования, перечисленные ниже в течение 12 часов, ваш ключ дешифрования будет удален, а цена вырастет до 2000 крон!
Через 24 часа ваши файлы стирутся, и вы никогда не увидите снова !!!
Как я должен поступить? Практически невозможно получить доступ к вашим файлам и вашу компьютеру без ключа шифрования. Вы также можете очень легко его получить. Просто внимательно прочитайте весь отчет.
Что будет после оплаты? После оплаты выкупа ваш компьютер вместе с файлами в течение 24 часов разблокируется. Это сообщение исчезнет и всё вернётся в исходное состояние.
Как обойти эту блокировку? Абсолютно никак. Однако, это зависит от вас, или вы идете к ИТ-специалисту и платите ему 500 крон (или больше) за "исправление", которое ваши данные и учетные записи не вернёт, или вы выполняете требования. Кроме того и сохраните! Если вы не платите в течение 12 часов, цена поднимается до 2000 крон !!! Для оплаты ТРЕБУЕТСЯ ИНТЕРНЕТ !!!

Email вымогателей: slothcbx@protonmail.com

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:

 .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .bak, .bay, .bmp, .cache, .cad, .cdr, .cer, .cert, .class, .class, .config, .cpp, .cr2, .crt, .crw, .cs, .cs, .csv, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .doc, .docb, .docm, .docx, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .ess, .fla, .html, .ico, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .json, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mp3, .mpa, .mpg, .mpp, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .proj, .proj, .prproj, .ps, .psd, .pst, .pst, .ptx, .pub, .r3d, .ra, .raf, .raw, .rb, .resources, .resx, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sln, .sql, .sr2, .srf, .srw, .suo, .svg, .swf, .tar, .tif, .torrent, .txt, .vb, .vbproj, .vcf, .veg, .vob, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xaml, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx (183 расширения). 

Файлы, связанные с Kostya Ransomware:
Rainmeter.exe - исполняемый файл вымогателя;
[random_name].exe - вариант исполняемого файла вымогателя.

Записи реестра, связанные с Kostya Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
ID Ransomware
Tweet on Twitter
Video review

 Thanks: 
 Michael Gillespie (Demonslay335)
 Jack (malwareforme)
 CyberSecurity GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.

Hades Locker

Hades Locker Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Через неделю неуплаты выкупа сумма удваивается до 2 биткоинов. 

Название получил от Hades (англ. "адский") и Locker (англ. "локер, блокировщик"). 

© Генеалогия: GNL Locker > Zyklon Locker > WildFire Locker > Hades Locker 

К зашифрованным файлам добавляется расширение по шаблону .~HL[first_5_chars_of_password] 
Расширение состоит из ~HL (Hades Locker) и пяти знаков от пароля шифрования. 

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на пользователей, чьи государственные флаги есть под названием на следующем скриншоте (английский, голландский, немецкий, французский, испанский, итальянский) с сайта оплаты.

Записками с требованием выкупа выступают txt-файл, html-страница, скринлок, встающий обоями рабочего стола, и сайты оплаты:
README_RECOVER_FILES_[victim_id].txt
README_RECOVER_FILES_[victim_id].html
README_RECOVER_FILES_[victim_id].png

TXT-вариант записки о выкупе

HTML-вариант записки о выкупе

Содержание записки о выкупе:
!! IMPORTANT INFORMATION !!
All your documents, photos, databases and other important files have been encrypted!
In order to decrypt your files you will have to buy the decryption password belonging to your files
There are 2 options to solve this problem
1. Format your hard disk and loose all your files for ever!
2. Pay to buy your decryption key. With this decryption key you can decrypt your files and use them again like before.
To buy the decryption password you will have to visit our website. Pick a website below
http://pfmydcsjib.ru/***
http://jdybchotfn.ru/***
If these websites dont work you can visit our website on the tor network follow the steps below to visit our tor website.
1. Download and install the tor browser: https://www.torproject.org/projects/torbrowser.html.en
2. After installation run the tor browser and wait for initialization
3. Inside the tor browser (just like a normal browser) navigate to
n7457xrhg5kibr2c.onion
HWID (personal identification id): DAB2B998E89D4034
!! You have until to buy the decryption key or the price will double !!

Перевод записки на русский язык:
!! ВАЖНАЯ ИНФОРМАЦИЯ !!
Все ваши документы, фото, базы данных и другие важные файлы зашифрованы!
Для того, чтобы расшифровать файлы, вам придется купить пароль дешифрования к вашим файлам
Есть 2 варианта решения этой проблемы
1. Отформатировать жесткий диск и потерять все ваши файлы навсегда!
2. Купить ключ дешифрования. С этим ключом дешифрования вы сможете расшифровать файлы и пользоваться ими снова, как прежде.
Чтобы купить пароль дешифрования вам придется посетить наш веб-сайт. Выберите веб-сайт ниже
http://pfmydcsjib.ru/***
http://jdybchotfn.ru/***
Если эти сайты не работают, вы можете посетить наш веб-сайт в сети tor выполните следующие шаги для визита на наш сайт tor.
1. Загрузите и установите tor-браузер: https://www.torproject.org/projects/torbrowser.html.en
2. После установки запустите tor-браузер и ждите инициализации
3. В браузере (в tor и обычном браузере) перейдите на 
n7457xrhg5kibr2c.onion
HWID (ваш персональный ID): DAB2B998E89D4034
!! Вам нужно раньше купить ключ дешифрования или цена удвоится !!

При переходе на сайтоплаты (любой из представленных в записке), нужно ввести ID жертвы вымогателей. Для нашего случая это DAB2B998E89D4034, который и нужно ввести как ID, чтобы увидеть инструкции. 

Потом откроется страница с содержанием на английском или одним из пяти других языков (согласно IP жертвы). 

Начальная страница Hades Locker

Примечательно, что вымогатели подписались как Hades Enterprises. 

Окно "Test decrypt"

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Цели: компьютеры в Западной Европе и США. 

Как и во вредоносной кампании с WildFire Locker, поставщиками шифровальщика могут выступать ботнеты, например, Kelihos (Waledac). Нередки случаи установки вместе с шифровальщиком (или после его собственной деинсталляции) другого вредоносного ПО: Pony, Teamspy RAT, банковских троянов и других. 

Список файловых расширений, подвергающихся шифрованию:
 .3dm, .3ds, .3fr, .3pr, .3q2, .3qp, .7z, .7zip, .aac, .ab4, .accar, .accdb, .accde, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .asm, .arw, .asf, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxq, .edb, .emi, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .fxg, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .ldf, .led, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsm, .ppsx, .ppt, .pptm, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .qif, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tig, .txt, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (380 расширений). 

В процессе шифрования пропускаются любые файлы, чей путь содержит следующие строки:
Windows
Program files
Program files (x86)
System volume information
$Recycle.bin

Тома теневых копий файлов удаляются с помощью команды:
WMIC.exe shadowcopy delete /nointeractive

Файлы, связанные с Hades Locker Ransomware:
README_RECOVER_FILES_[victim_id].txt
README_RECOVER_FILES_[victim_id].png
README_RECOVER_FILES_[victim_id].html
%UserProfile%\AppData\Local\Temp\RarSFX0\
%UserProfile%\AppData\Local\Temp\RarSFX0\Ronms.exe
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Ronms.lnk
%UserProfile%\AppData\Roaming\wow6232node\
%UserProfile%\AppData\Roaming\wow6232node\Bamvenagxe.xml
%UserProfile%\AppData\Roaming\wow6232node\Ronms.exe
%UserProfile%\...\update.exe

Записи реестра, связанные с Hades Locker Ransomware:
HKCU\Software\Wow6232Node\hwid [victim_id]
HKCU\Software\Wow6232Node\status 1

Сетевые подключения:
xxxx://pfmydcsjib.ru
xxxx://jdybchotfn.ru
n7457xrhg5kibr2c.onion

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: высокая.
Подробные сведения собираются.

Read to links: 
ID Ransomware
Post on Twitter
Write-up on BC (added on October 6, 2016)

 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie 
 Lawrence Abrams 

© Amigo-A (Andrew Ivanov): All blog articles.

HCrypto

HCrypto Ransomware 

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название получил от добавляемого расширения. 

К зашифрованным файлам добавляется расширение .hcrypto.

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. 

© Генеалогия: HiddenTear >> HCrypto 

Записка с требованием выкупа называется ex3t.pdf

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, в том числе для Adobe-программ, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Ransomware:
Adobe.exe

Записи реестра, связанные с Ransomware:
***
Сетевые подключения:
***

Детект на VirusTotal >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 

 Thanks: 
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.