Windows_Security, WS Go

Windows_Security Ransonware 

WS Go Ransonware, Trojan.Encoder.6491

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,052300 биткоинов, чтобы вернуть файлы. Сумма выкупа нефиксированная и для каждого ПК может отличаться, чтобы процесс дешифрования начинался автоматически после оплаты выкупа и онлайн-подтверждения платежа. 

Название получил от основного исполняемого файла Windows_Security.exe. 

По классификации Dr.Web получил название: Trojan.Encoder.6491. Написан на разработанном компанией Google языке программирования Go, ранее такие шифровальщики ещё не встречались. 

К зашифрованным файлам добавляется расширение .enc 
Активность этого крипто-вымогателя пришлась на октябрь 2016 г. 

Записки с требованием выкупа называются: Instructions.html

Содержание записки о выкупе:
ALL YOUR FILES HAS BEEN ENCRYPTED
All your files have been encrypted using AES 256, there is no way to detrypt them by yourself.
If you want to decrypt them you have to pay aproxmiatly 25$ in Bitcoins to the following address:
Amount: 0.052300 BTCs
To the address lBwwT5AUrPrbYph9SxP lBwwT5AUrPrbYph9SxP
Do not worry if you don't know what bitcoins are, they are an online currency that is not regulated by any goverment, the price changes daily but now is near the 600$ usd dollars.
To get some bitcoins you can go to some of this web pages:
- Coinbase
In this page you can store your bitcoins and also buy them using your credit card.
It is a safe page, you can chech it online if you aren't sure
- localbitcoins com
Tins a web where people contact each others to exchange Bitcoins for money in paypal, in cash if you find someone nearby and many other ways
I strongly recommend coinbase.com as you can be done un 15 minutes and your files will start decrypting.
I recommend you look for info online if you don't want to use coinbase.com
IT IS EXTREMELY IMPORTANT THAT YOU SEND THE EXACT AMMOUNT AND THAT THIS PROGRAM IS RUNNING
WHILE YOU MAKE THE PAYMENT TO BE ABLE TO CONFIRM THE TRANSACTION
If you can't figure out something send me an email to helpmedecrypt@protonmail.com
You have 72 hours form now on to send the payment or you will lose all the data so don't wait to send an email if you don't know something.
I hope to hear from you soon. 

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Все ваши файлы были зашифрованы с помощью AES 256, нет никакого способа дешифровать их самостоятельно.
Если вы хотите расшифровать их, вам придется заплатить примерно 25$ в биткоинах по следующему адресу:
Сумма: 0.052300 BTC
На адрес lBwwT5AUrPrbYph9SxP lBwwT5AUrPrbYph9SxP
Не волнуйтесь, если не знаете, что такое биткоины, это онлайн-валюта, которая не регулируется никаким правительством, цена меняется каждый день, но сейчас около 600$ USD долларов.
Чтобы получить биткоины вы можете посетить эти веб-страницы:
- Coinbase
На этой странице вы можете хранить биткоины, а также купить их с помощью кредитки.
Это безопасный сайт, вы можете найти его в Интернете, если не уверены,
- localbitcoins.com
Место в веб, где люди общаются, меняют биткоины на деньги в PayPal, наличные, можно найти кого-то поблизости и много других способов.
Я настоятельно рекомендую coinbase.com, т.к. вы можете сделать всё за 15 минут и ваши файлы начнут дешифровываться.
Я рекомендую вам поискать информацию в Интернете, если вы не хотите использовать couibase.com
КРАЙНЕ ВАЖНО, ЧТО ВЫ ПЕРЕСЛАЛИ ТОЧНУЮ СУММУ, ЧТОБЫ ДАННАЯ ПРОГРАММА ЗАПУСТИЛАСЬ СРАЗУ ПОСЛЕ ТОГО, КАК ВЫ СДЕЛАЕТЕ ПЛАТЁЖ И ПРОИЗОШЛО ПОДТВЕРЖДЕНИЯ ОПЕРАЦИИ. 
Если вы не можете понять, как отправить, пишите мне на email helpmedecrypt@protonmail.com
У вас есть 72 часа, чтобы отправить платеж или вы потеряете все данные, поэтому не ждите, пишите на email, если вы не знаете что-нибудь.
Надеюсь услышать вас позже.

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

➤ Шифровальщик устанавливает себя в систему под именем Windows_Security.exe. При запуске проверяет имя своего исполняемого файла на соответствие этому названию. Им шифруются 140 различных типов файлов. 

➤ Оригинальные имена файлов кодируются методом Base64, а затем к зашифрованным файлам добавляется расширение .enc. Затем удаляются тома теневых копий файлов командой: 
vssadmin.exe Delete Shadows /All /Quiet 

Шифровальщик пропускает и не шифрует файлы: 
1) находящиеся в следующих директориях или имеющие название: 
   tmp, temp, winnt
   Application Data, AppData
   Program Files, Program Files (x86)
   Recycle.Bin
   System Volume Information
   Boot
   Windows
   thumbs.db
2) уже имеющие расширение .enc;
3) относящиеся к вымогателю: 
   Instructions.html
   Windows_Security.exe

➤ Примечательно, что этот шифровальщик-вымогатель с определённым интервалом проверяет баланс Bitcoin-кошелька, на который нужно жертве перевести биткоины. После того, как будет зафиксирован денежный перевод, автоматически начинается процесс дешифровки всех зашифрованных файлов.

Список файловых расширений, подвергающихся шифрованию:
140 типов файлов. 

Файлы, связанные с Windows_Security Ransomware:
%USERPROFILE%\\Desktop\\Instructions.html 
%APPDATA%\Windows_Update\
%APPDATA%\Windows_Update\Windows_Security.exe
%TEMP%\Windows_Security.exe

Записи реестра, связанные с Windows_Security Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V Windows-Defender /t REG_SZ /F /D %APPDATA%\Windows_Update\Windows_Security.exe
Из описания от Dr.Web

Сетевые подключения:
xxxx://btc.blockr.io/api/v1/address/info/1Bww***Yph9SxP

Результаты анализов:
***

Описание от Dr.Web на русском >>
Description by Dr.Web in English >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Описание от Dr.Web
ID Ransomware (ID as Trojan.Encoder.6491)

 Thanks: 
  Dr.Web
  Michael Gillespie
 

© Amigo-A (Andrew Ivanov): All blog articles.

NCrypt

NCrypt Ransomware 

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,2 биткоина, чтобы вернуть файлы. Название получил от добавляемого расширения. 

© Генеалогия: ***

К зашифрованным файлам добавляется расширение .NCRYPT или .ncrypt.

Активность этого криптовымогателя пришлась на первую половину октября 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются:
_FILE_RETRIEVAL_INSTRUCTIONS.html

Содержание записки о выкупе:
Your Data Has Been Encrypted!
Your important files (photos, videos, documents,etc) have been encrypted with a secure key and are no longer usable.
The only way to restore your files is to purchase the unique encryption key.
To purchase the key, send 0.2 Bitcoin (Approx $120.00 USD ) to this Bitcoin address: 1BpLvMvHmGdWN6zJzDxLdNyCwX6Pgeq7VY
For information on how to send Bitcoin, see one of these links: QuickBT - easy way to send bitcoin , CoinJar , Getting Started With BitCoin
Once you have sent payment, send and EMAIL to rw1contact@onionmail.info with the [redacted] as the SUBJECT and the BitCoin transaction id as the BODY. Do not include other information, this email will not be read but will be processed by an automated system.
Once payment is confirmed, the Decryption Application, Decryption Key, and Decryption Instructions will be sent in an email (to the address that was used to send the Bitcoin Transaction ID). - the decryption application/key will restore your files.
There is no other way to recover your files, the encryption key is unique to your files and uncrackable.
WARNING! FAILURE TO PAY BY 10/14/2016 3:30:37 PM WILL RESULT IN THE DELETION OF THE ENCRYTPTION KEY, MAKING YOUR FILES COMPLETELY UNRECOVERABLE.

Перевод записки на русский язык:
Ваши данные были зашифрованы!
Ваши важные файлы (фото, видео, документы и т.д.) были зашифрованы с помощью секретного ключа и больше не могут использоваться.
Единственный способ восстановить файлы, это приобрести уникальный ключ шифрования.
Чтобы приобрести ключ, отправьте 0,2 Bitcoin (около $ 120,00 USD) на Bitcoin-адрес: 1BpLvMvHmGdWN6zJzDxLdNyCwX6Pgeq7VY
Для получения информации о том, как отправить Bitcoin, откройте одну из этих ссылок: QuickBT - простой способ отправить Bitcoin, CoinJar, Getting Started With BitCoin
После того как вы сделали платеж, отправьте на email rw1contact@onionmail.info 31e1c23a-f17e-445b-acad-23c58adfcd6f в качестве темы и ID Bitcoin-транзакции в теле письма. Не включайте другую информацию, т.к. мы не будем читать письмо, оно будет обработано с помощью автоматизированной системы.
После подтверждения оплаты, программа дешифровки, ключ дешифрования и инструкции по дешифровке будут отправлены на ваш email  (адрес, который был использован вами для отправки ID Bitcoin-транзакции). - программа дешифровки / ключ восстановления файлов.
Нет никакого другого способа восстановить файлы, ключ шифрования является уникальным для ваших файлов и невзламываемым.
ПРЕДУПРЕЖДЕНИЕ! Неуплата до 10/14/2016 3:30:37 PM приведёт к удаления ключа шифрования, делая ваши файлы полностью невозвратными.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с NCrypt Ransomware:
_FILE_RETRIEVAL_INSTRUCTIONS.html

Записи реестра, связанные с NCrypt Ransomware:
***

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *

 Thanks: 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Venis, AsIoIns

Venis Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-2048, а затем требует связаться по почте с вымогателями для получения инструкций по оплате, чтобы вернуть файлы. Название, выводящееся на экране перед жертвой: Venis и VenisRansomware. Скрытое оригинальное название: AsIoIns.

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: ***

Содержание записки о выкупе:
All your files has been encrypted with AES 2048. (Military Grade Encryption)
The key has been sent to our private server which we have access to.
There are no tools online that will allow you to decode your files for free.
The following info has been gathered about this PC.
Usernames
Chrome Passwords/Firefox Passwords
Facebook Messages
Skype History (Deleted and non deleted)
Browser History
Tor History
You have 72 Hours To Comply. (Each delay will cause a price increase)
Drives are completly wiped after this time period is finished while the info is released for the public. (Nothing is spared)
TO DECODE
Send us a message at: (Email)
VenisRansom@protonmail.com

Перевод записки на русский язык:
Все ваши файлы были зашифрованы с AES 2048. (Военного класса шифрование)
Ключ был отправлен на наш частный сервер, на него мы имеем доступ.
Нет инструментов онлайн, что помогут вам дешифровать ваши файлы бесплатно.
Следующая информация была собрана об этом компьютере.
Имена пользователей
Пароли Chrome / Пароли Firefox
Сообщения в Facebook 
История Skype (удаленная и неудаленнная)
История браузера
История Tor
У вас есть 72 часа, чтобы выполнить. (Задержка приведет к росту цен)
Диски будут стерты по окончании этого времени, а информация будет выложена на публику. (Без сожаления)
ДЛЯ ДЕШИФРОВКИ
Пошли нам сообщение на email
VenisRansom@protonmail.com

Распространяется с помощью email-спама и вредоносных вложений (в том числе DOC, DOCX и PDF-файлов), фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Примечательно, что Venis загружает различные модули для других целей, которые появляются по событию использования пользователем тех или иных приложений и онлайн-сервисов, таких как включение удаленного рабочего стола, хищение паролей и, возможно, распространение вымогателей через Facebook. 

Список файловых расширений, подвергающихся шифрованию:
.avi, .bak, .bmp, .csv, .dbf, .djvu, .doc, .docx, .exe, .flv, .gif, .jpeg, .jpg, .max, .mdb, .mdf, .mkv, .mov, .mpeg, .mpg, .odt, .pdf, .png, .pps, .ppt, .pptm, .pptx, .psd, .rar, .raw, .tar, .tif, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsb, .xlsx, .zip (41 расширение). 

Email вымогателей: 
VenisRansom@protonmail.com

Файлы, связанные с Venis Ransomware:
AsIoIns.EXE
onvwfy.exe
JavaUpdate.exe
RDPWInst.exe
Sqlite3.BIN
rdpclip.exe
rdpwrap.dll
rdpwrap.ini
RUN.bat
samr
см. также в гибридном анализе и на http://pastebin.com/HuK99Xmj

Записи реестра, связанные с Venis Ransomware:
см. в гибридном анализе

Сетевые подключения:
www.venis.pw
cdn.che.moe
185.116.213.86:80 (контакт с сервером в Великобритании)

Связанные адреса:
facebook.com
www.google.com
m.facebook.com/friends/center/friends/?ppk=%d
m.facebook.com/messages/thread/%s
m.facebook.com/profile.php?v=friends

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter + Pastebin
Writeup on BC + ID Ransomware

 Thanks: 
 Antelox
 Lawrence Abrams
 Michael Gillespie

© Amigo-A (Andrew Ivanov): All blog articles.

Deadly for a Good Purpose

Deadly Ransomware 

Deadly for a Good Purpose Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $500 в биткоинах, чтобы вернуть файлы. Название получил от заголовка в окне вымогателя. 

Активность этого криптовымогателя пришлась на первую половину октября 2016 г. Ориентирован на англоязычных пользователей. 

Примечательно, что в коде криптовымогателя исследователи обнаружили информацию, что шифрование файлов начнется 1 января 2017 года, как злодейский новогодний сюрприз. Там же вписан email вымогателей: gravityz3r@sigant.org

Записки с требованием выкупа называются: 
  ransom.html - располагается на рабочем столе;
  logo.png - встаёт обоями рабочего стола. 

Содержание записки о выкупе:
Deadly for a Good Purpose Ransomware
Key Will Be Destroyed On: &Date&
Your Files Are Encrypted: &FileCount&
USER ID: &UserID& - Encryption Used: AES-256
Your files have been safely encrypted on this PC: photos, videos, documents, etc. Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this. Encryption was produced using a unique public key AES-256 generated for this computer. To decrypt files you need to obtain the private key. The only copy of the private key which will allow you to decrypt your files, is located on a secret server on the Internet; the server will eliminate the key after a time period specified in this window. Once this has been done: nobody will ever be able to restore files... In order to decrypt the files you will need to send S500 USD in form of BTC to the following bitcoin address:
&bitwallet& (How to buv Biteoins?)
After payment contact &email& with your transaction details and "USER ID". Once the payment is confirmed you will recieve decryption key along with decryption software. Any attempt to remove or corrupt this software will result in immediate elimination of the private key by the server. Beware.
View Encrypted Files

Перевод записки на русский язык:
Фатальный для Хорошего Дела Вымогатель
Ключ будет уничтожен On: &Дата&
Ваши файлы зашифрованы: &Число Файлов&
USER ID: &UserID& - Шифрование: AES-256
Ваши файлы безопасно зашифрованы на этом ПК: фото, видео, документы и т.д. Нажмите кнопку "Show encrypted files" для просмотра списка зашифрованных файлов, чтобы лично убедиться в этом. Шифрование сделано с использованием уникального открытого ключа AES-256, созданного для этого компьютера. Для дешифровки файлов вам надо получить закрытый ключ. Единственная копия секретного ключа позволит вам дешифровать файлы, есть на секретном сервере в Интернет; сервер уничтожит ключ по истечении периода времени, что указан в этом окне. После этого: никто и никогда не сможет вернуть файлы ... Для дешифровки файлов нужно отправить $500 USD в виде BTC на Bitcoin-адрес:
&bitwallet& (Как купить биткоины?)
После оплаты пишите на email и с деталями транзакции и "USER ID". После подтверждения оплаты вы получите ключ дешифрования вместе с декриптером. Любая попытка удалить или повреждить эту программу приведет к немедленному уничтожению закрытого ключа сервером. Осторожно.
Просмотр зашифрованных файлов

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
 .aep, .asp, .aspx, .csv, .csx, .doc, .docx, .htm, .html, .jpg, .mdb, .mp3, .pdf, .php, .png, .psd, .sln, .sql, .torrent, .txt (20 расширений)

Файлы, связанные с Deadly Ransomware:
A858SEPJANBLEED.exe
%USERPROFILE%\Desktop\ransom.html
%USERPROFILE%\Desktop\logo.png

Записи реестра, связанные с Deadly Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
хттп://lmgtfy.com/?q=how+to+buy+bitcoins

Результаты анализов:
Гибридный анализ >>
Гибридный анализ от 14 ноября >>
VirusTotal анализ >>
VirusTotal анализ от 18 ноября 2016 >>
VirusTotal анализ от 14 ноября >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter

 Thanks: 
 MalwareHunterTeam
 Thyrex
 

© Amigo-A (Andrew Ivanov): All blog articles.

Comrade Circle

Comrade Circle Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп примерно в 2 биткоина, чтобы вернуть файлы. Например, это может быть 2.04970001 BTC, но сумма различна для каждого ПК, это обозначено в записке о выкупе. 

Примечательно, что в записке о выкупе вымогатели называют себя членами товарищества, хорошими людьми и обещают отдать деньги бедным, помогать животным и вообще потратить их на другие добрые дела. 

К зашифрованным файлам добавляется расширение .comrade. Названия файлов переименовываются на рэндомные с 6-16 символами по схеме base64. 

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. 

Название дано вымогателями, Comrade Circle можно перевести, как "Товарищеский круг" или "Круг товарищей". Изображение для скринлока сколлажировано из плакатов СССР советских времен. Тему можно понять, рассмотрев внимательно изображение, встающее обоями рабочего стола.

Записки с требованием выкупа называются: RESTORE-FILES!<num>.txt, где под <num> находится номер жертвы, например, RESTORE - Fl LES!636115629S42259326.txt 
Записка о выкупе помещается в каждой папке с зашифрованными файлами. 

Содержание записки о выкупе:
YOU FILES ARE ENCRYPTED by Comrade Circle!
You personal ID ***
YOU HAVE 3 OPTIONS!
Option 1 -  purchase decrytpion software. (if you need files your files back and have money)
1. Send donation of 2.04970001 btc to wallet ***
2. Send an email to recoverfiles@mail2tor.com with you personal id, and you will recieve the decryption software
3. Decrypt you files.
If you dont get answer in 4 hours, or email is blocked by evil anti virus companies:
Register here: http://bitmsg.me, Once you have done that, Write to adress BM-*** contact with you email and personal ID
note1:
If you so evil and dont trust us, you may first give us 1 small file and we will decyrpt it for free as proof that we can decrypt the rest
note2:
Donation volume is unique generated for you (2.04970001) donate exacly same size (not more or less) for fast identification of your donation.
note3:
we are good people that help other people with getting a job and making the world better, 50% of recived payments will go to help poor people, sick chilren, animals and other good things. We only take payment from rich people because poor will join us and become rich.
note4:
After decryption we will give you icon of Stalin that will protect you in future from others proud members of Comrade Circle.
Option 2 (if dont need files and have money) 
If you dont need your files or already restore them, please send us much money as you can ***
Comrade Circle good people that help poor people getting jobs and do great things, Thanks.
 Option 3 join Comrade Circle---(if you dont have money and want help people)
If you dont have money this is going to be the best day of yourlife.
We here to give you easy job for 5000$-5000000$ (5 million dollars) in mo.We are here to give you a high paying job with unlimited earning potential  All you need to do is to join COmrade Circle and help us spread our software.
We will give you 50% of all profits that come from you clients, If you work hard we can rise you % up to 90%.
you invitation code is [redacted], generated special for you.
    Our cutting edge software is unique and effective:
    simple setup and use.
    undetectable by evil av companies.
    encrypt big files (more that 2gb)
    encrypt all network shares not connected to machine.
    work and encrypt fast.
    imposible to decrypt without payment.
    mimics software update for better protection of data.
    no need for administrative rights or UAC.
    no need for c&c serevers or online connection.
    will always work, because there no c&c servers and there always good people continue support.
    Easy to use, created special for people with iq < 70.
    can be customized on the fly editing only file name.
    software from good people to good people we not scammers or criminals like others.
    dont encrypt files in very poor contries(only helping them getting jobs)
    using it you know that you help people get jobs and help sick chilren and animals,you are making the world a better place.
    Always developing more great features.
To join or club send to bitmessage adress BM-NBt4g1wA13H9sbyHMxcRvBWkd78d8gre
your invitation code, BTC wallet for recive payments, and email. and other contact info like jabber if you want.
use this template for example:
Invitation code: ***
Bitcoinwallet: ***
Bitmessage: BM-***
Email: recoverfiles@mail2tor.com
Othercontact: jabber xxxxxx@xxxx.xx
notes: something about you if you want.
You will get link for our software, and instruction how to use, basic tutorial how to spread and get $100,000 worth of profits.
After you recive first payment we give you jabber for 24/7 support and advanced tutorials how to spread software.
Join Comrade Circle and help get world better, get rich and become part of team.

!!!Английский текст записки содержит довольно много ошибок. Я исправил их без выделения слов, чтобы смысл условий выкупа был понятен читающим на русском языке. 

Перевод записки на русский язык:
Ваши файлы зашифрованы Comrade Circle!
Ваш персональный ID ***
У вас есть 3 варианта!
Вариант 1 - покупка декриптора. (Если вам нужны файлы обратно и есть деньги)
1. Отправить пожертвование 2.04970001 BTC на кошелек ***
2. Отправить по email recoverfiles@mail2tor.com ваш личный идентификатор и получить программу для расшифровки
3. Расшифровать ваши файлы.
Если вы не получили ответ за 4 часа или по email, то он заблокирован злыми анти-вирусными компаниями:
Регистрация здесь: http://bitmsg.me, После этого послать сообщение на BM - *** контакт с вами по email и персональный код
Примечание 1:
Если вы со злости не доверяете нам, то можете сначала дать нам 1 маленький файл, и мы расшифруем его бесплатно как доказательство того, что мы можем расшифровать остальные.
Примечание 2:
Сумма пожертвования уникальна и только для вас (2.04970001) жертвуйте точно эту сумму (не больше или меньше) для быстрой идентификации вашего пожертвования.
Примечание 3:
Мы хорошие люди, которые помогают другим людям получить работу и сделать мир лучше, 50% ПОЛУЧЕННЫХ платежей пойдут на помощь бедным людям, больным детям, животным и на другие хорошие вещи. Мы принимаем оплату от богатых людей только потому, что бедные смогут присоединиться к нам и стать богатыми.
Примечание 4:
После расшифровки мы дадим вам икону Сталина, что будет защищать вас в будущем от других гордых партнеров Comrade Circle.
Вариант 2 (если не нужны файлы и есть деньги)
Если вам не нужны ваши файлы или уже восстановили их, пожалуйста, пришлите нам столько денег, сколько сможете на ***
Comrade Circle хорошие люди, которые помогают бедным людям получить работу и делать великие дела, спасибо.
Вариант 3 - присоединиться к Comrade Circle (если вы не имеете деньги и хотите помочь людям)
Если вы не имеете деньги это будет лучший день в вашей жизни.
Мы здесь, чтобы дать вам легкую работу за 5000 $ -5000000 $ (5 миллионов долларов) в месяц. Мы здесь, чтобы дать вам высокооплачиваемую работу с неограниченным потенциальным доходом. Все, что вам нужно сделать, это присоединиться к Comrade Circle и помочь нам распространять наши программы.
Мы дадим вам 50% от всех доходов, которые приходят от ваших клиенты, если вы будете усердно работать, мы можем поднять вам проценты до 90%.
КОД ПРИГЛАШЕНИЯ  [***], генерируется специально для вас.
    Наш передовой софт является уникальным и эффективным:
    простая установка и использование.
    незаметен для злых AV-компаний.
    шифрует большие файлы (более 2 Гб)
    шифрует все сетевые ресурсы, не подключенные к машине.
    работает и шифрует быстро.
    расшифровать невозможно без оплаты.
    Обновление программы имитирует для эффективной защиты данных.
    нет необходимости в админправах или контроле учетных записей.
    нет необходимости в C&C-сервере или интернет-соединении.
    всегда будет работать, т.к. нет C&C-сервера и хорошие люди всегда поддержат.
    Легкий в использовании, создан специально для людей с IQ <70.
    может быть настроен для редактирования налету только имени файла.
    софт от хороших людей для хороших людей, потому мы не мошенники или преступники, как другие.
    не шифрует файлы в очень бедных странах (только помогает им получить работу)
    используя его вы знаете, что помогаете людям получить работу и помочь больным детям и животных, вы делаете мир лучше.
    Всегда разрабатывать наибольшие возможности.
Для того, чтобы присоединиться или клуб отправьте на адрес BM-*** ваш код приглашения, BTC кошелек для получения платежей, а также email и другие контакты, twitter, если вы хотите.
Используйте этот шаблон, например:
Код приглашения: ***
Bitcoinwallet: ***
Bitmessage: BM-***
E-mail: recoverfiles@mail2tor.com
Othercontact: twitter xxxxxx@xxxx.xx
Примечания: кое-что о вас, если вы хотите.
Вы получите ссылку на наш софт, а также инструкции, как использовать, базовый учебник, как распространять и получить $100000 прибыли.
После того, как вы получите первую плату мы даем вам 24/7 twitter-поддержки и передовые обучающие программы, как распространить программу.


!!! Икона Сталина, упомянутая в тексте прилагается. Как она защищает, можно только догадываться. Возможно, перед шифрованием проверяется её наличие в системе уже уплатившего выкуп пользователя или присоединившегося к Comrade Circle "товарища". 

Распространяется Comrade Circle с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Маскируется по критическое обновление Microsoft Windows и во время демонстрации синего экрана Configuring critical Windows Updates выполняет шифрование файлов. 

 

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Comrade Circle Ransomware:
RESTORE-FILES!<num>.txt
version2kb0001.exe

Записи реестра, связанные с Comrade Circle Ransomware:
***
Сетевые подключения:
***
Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 5 января 2017:
Изменились BM-адрес и почта.
Файл: App.exe
Записка: RESTORE-FILES!<num>.hta
Файлы тоже переименовываются по схеме: <base64string>.encrypted4
Email: fixfiles@protonmail.ch
Результаты анализов: VT

 

Read to links: 
Tweet on Twitter
ID Ransomware

 Thanks: 
 Michael Gillespie (Demonslay335)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Globe-2

Globe-2 Ransomware

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Это обновленная версия Globe Ransomware. Использует Blowfish для шифрования файлов, требует 0,8 или 1.0, или больше биткоинов за дешифровку, удаляет режим отладки и опционально шифрует имена файлов с помощью алгоритма RC4. Впервые обнаружен в начале октября 2016 г. Атакует пользовательские ПК и серверы. 

© Генеалогия: Globe (Purge) > Globe-2 > Globe-3 >> Amnesia > Scarab > Scarab Family

Изображение является логотипом статьи

Наиболее часто добавляемые к зашифрованным файлам расширения: 
.raid10  -  как .[random].raid10
.blt - как .[random].blt
.globe - как .[random].globe
.encrypted - как .[random].encrypted
.mia.kokers@aol.com - как .[mia.kokers@aol.com]
и многие другие, см. обновления внизу страницы. 

Записки с требованием выкупа называются: How to restore files.hta, а в окне заголовок "YOU CAN LOOSE YOUR DATA". 

Содержание записки о выкупе:
All server data encrypted!
All server data is encrypted.
To recover your data you need to pay for decryptor. 
Contacts
Telegram @comodosecurity
Email viewclear@yandex.com

Перевод записки на русский язык:
Все данные сервера зашифрованы!
Все данные сервера шифрованы.
Для возврата данных вы должны заплатить за декриптор.
Контакты
Telegram: @comodosecurity
Email: viewclear@yandex.com

Другая записка о выкупе для ПК.

Содержание:
Your files are encrypted!
Your personal ID
17794362225613194882830574***
Your documents, photos, databases, save games and other important data has been encrypted.
Data recovery is required interpreter.
To get the interpreter should send an email to deyscriptors24@india.com . In a letter to indicate your personal identifier (cm. at the beginning of this document).
If the contact is not obtained through the mail
• Sign up online http://bitmsQ.me (online service for sending Bitmessage)
• Send an email to BM-2cWueiDqKeajosJ4edtA7pdNY2n2ccK2uq indicating your address and
personal identity
Next, you need to pay for the interpreter. In a response letter you receive an address Bitcoin-Wallets, which must perform the transfer of funds in the amount of 1 Bitcoin (1 BTC ~ 700 $).
If you have no Bitcoin
• Create a wallet Bitcoin: https://blockchain.info/ru/wallet/new
• Get cryptocurrency Bitcoin:
https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet and etc.)
https://ru.bitcoin.it/wiki/Acquisition_of_Bitcoin (instruction for beginners)
• Send 1 BTC at the address specified in the letter
When the transfer is confirmed, you will get the decryption files for your computer.
After start-interpreter program, all your files will be restored.
Attention!
• Do not attempt to remove the program or run the anti-virus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders are not compatible with other users of your data, because each user's unique encryption key

Перевод на русский:
Ваши файлы зашифрованы!
Ваш персональный ID
17794362225613194882830574***
Ваши документы, фото, базы данных, за сохранения игр и другие важные данные были зашифрованы.
Для восстановления данных требуется интерпретатор.
Чтобы получить интерпретатор надо отправить по email deyscriptors24@india.com. В письме указать свой персональный ID (см. в начале этого документа).
Если контакт не получен по почте
• Зарегистрироваться на сайте http://bitmsQ.me (онлайн-услуга для отправки Bitmessage)
• Отправить по email BM-2cWueiDqKeajosJ4edtA7pdNY2n2ccK2uq указав свой адрес и персональный ID
Далее, вам нужно заплатить за интерпретатор. В ответном письме вы получите адрес Bitcoin-кошелька, на который надо сделать перевод денежные средства в размере 1 Bitcoin (BTC 1 ~700 $).
Если у вас нет биткоинов
• Создать Bitcoin-кошелек: https://blockchain.info/ru/wallet/new
• Получить криптовалюту Bitcoin:
https://localbitcoins.com/ru/buy_bitcoins (Visa / MasterCard, Visa QIWI Кошелек и т.д.)
https://ru.bitcoin.it/wiki/Acquisition_of_Bitcoin (инструкция для начинающих)
• Отправить 1 BTC по адресу, указанному в письме
Когда перевод будет подтвержден, вы получите дешифровщик для вашего компьютера.
После запуска программы-интерпретатора, будут восстановлены все ваши файлы.
Внимание!
• Не пытайтесь удалить программу или запустить антивирусные инструменты
• Попытки самостоятельного дешифрования файлов приведут к потере ваших данных
• Декодеры не совместимы с данными других, т.к. у каждого пользователя уникальный ключ шифрования 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

После шифрования удаляются теневые копии файлов.

Декриптер, который вымогатели присылают после уплаты выкупа, не может корректно дешифровать файлы. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся шифрованию:
.avi, .csv, .dat, .database, .db, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .gif, .h, .ico, .jpe, .jpeg, .jpg, .log, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .pdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .py, .pyc, .rar, .txt, .url, .wav, .wave, .wb2, .wma, .wmv, .wpd, .xls, .xlsb, .xlsm, .xlsx, zip... и многие другие, см. Globe.

Файлы, связанные с Globe2 Ransomware:
How to restore files.hta
ZendrSx1.exe
locker.exe

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Внимание!

Для зашифрованных файлов есть декриптер

Скачать декриптер для Globe2 >>

Для использования декриптера потребуется зашифрованный файл и его незашифрованный оригинальную версию. Выберите зашифрованный и незашифрованный файл и просто перетащите их обоих на файл декриптера. Если имена файлов зашифрованы, то просмотрите размер файла, чтобы определить правильный файл. Зашифрованный и исходный файл будут иметь одинаковый размер. 

✋ Если данный декриптер не может дешифровать файлы, то нужно использовать декриптор для предыдущей версии или для Globe3. 

См. также Russian Globe >>

*

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 ноября 2016: 
Новое имя файла: ZendrSx1.exe
Новое расширение: .zendr2
Новая записка о выкупе: Read Me Please.hta
Новый email: suppozer@india.com
Результаты анализов: VT
Дешифровка: Globe2 Decrypter

Обновление от 11 ноября 2016
Новое имя файла: aexplorer.exe
Новое расширение: .ACRYPT
Записка о выкупе: Read Me Please.hta
Сумма выкупа: 0.50 BTC
Email: decrypter@india.com
Результаты анализов: VT

Обновление от 11 ноября 2016

Записка: How to restore files.hta
Файл: x3m.exe
Новое расширение: .blt
Email: cryalex@india.com
Результаты анализов: VT, HA


Обновление от 17 ноября 2016
Новое расширение: .duhust
Записка: How to restore files.hta
Email: duhust@india.com
Результаты анализов: VT

Обновление от 18 ноября:
Новое расширение: .exploit
Email: support-ransomware@india.com

Обновление от 21 ноября 2016:
Новое расширение: .MK
Email: mkscorpion@india.com

Обновление от 22 ноября 2016:
Новый файл: deyscriptors24@india.com.exe
Новое расширение: .x3m
Email: deyscriptors24@india.com
Результаты анализов: Malwr

Обновление от 25 ноября 2016:
Новый файл: autoSmart.exe
Новое расширение: .SGood
Записка: How to restore files.hta
Email: goodsupport@india.com
Результаты анализов: VT

Обновление от 28 ноября 2016:
Расширение: .gurdian-decrypt@india.com.ps4
Записка: How to restore files.hta
Email: gurdian-decrypt@india.com
Результаты анализов: VT

Обновление от 28 ноября 2016:
Расширение: .dcrptme
Записка: How to restore files.hta
Результаты анализов: VT


Обновление от 4 ноября 2016:
Расширение: .lovewindows
Email: bahij2@india.com

Обновление от 7 ноября 2016:
Расширение: .trust
Записка: How to restore files.hta
Email: decryptor@protonmail.com
BTC: 1Gn2XUUPpNA2UosDo2erhPHPNnx9r3oD9f
Результаты анализов: VT

Обновление от 4 декабря 2016:
Расширение: .lovewindows
Email: bahij2@india.com

Обновление от 5 декабря 2016:
Email: decrypter@india.com

Обновление от 8 декабря 2016:
Email: vnature@india.com

Обновление от 13 декабря 2016:
Файл: GlobeChanged.exe
Расширение: .GSupport3
Записка: How to restore files.hta
Email: goodsupport@india.com
Результаты анализов: VT

Обновление от 14 декабря 2016:


Расширение: .unlockvt@india.com
Записка: How to restore files.hta
Email: unlockvt@india.com
Результаты анализов: VT



Обновление от 14 декабря 2016:
Расширения: .decryptallfiles@india.com, .decryptallfiles3@india.com
Email: decryptallfiles@india.com, decryptallfiles3@india.com

Обновление от 16 декабря 2016:
Пост в Твиттере >>
Email: mendizol@india.com
Расширения: .ink и .ziptox1

Обновление от 17 декабря 2016:
Пост в Твиттере >>
Расширение: .sorry
Записка: How to restore files.hta
Email: helpdecode@india.com
Результаты анализов: VT

Обновление от 17 декабря 2016:
 
Пост в Твиттере >>
Расширение: .rescuers@india.com.3392cYAn548QZeUf.lock
Записка: How to restore files.hta
Email: rescuers@india.com




Обновление от 18 декабря 2016:
Расширение: .helptoyou1@india.com.8464DBdhFhbd4.lock
Записка: How to restore files.hta
Email: helptoyou1@india.com

Результаты анализов: VT

Обновление от 23 декабря 2016:
Расширение: .dcrptme
Записка: How to restore files.hta
Email: dsupport@india.com
Результаты анализов: VT

Обновление от 27 декабря 2016:
Расширение: .crypto-helper@india.com
Email: crypto-helper@india.com
Результаты анализов: VT

Обновление от 28 декабря 2016:
Расширение: .vnature@india.com
Записка: How to restore files.hta
Email: vnature@india.com
Результаты анализов: VT

Обновление от 3 января 2017:
Ссылка на пост на форуме BC >> 
Расширение: .lock
Email: frogobigens@india.com
Сумма выкупа: 1.5 BTC
Записка: HOW TO DECRYPT FILES.txt
Содержание записки: 
Your documents, photos, databases, important data were encrypted.
Data recovery is required decipherer.
To get the interpreter should send an email to frogobigens@india.com. 
Next, you need to pay for the interpreter. In a response letter you will receive the address of Bitcoin-wallet to which you want perform the transfer of funds in the amount of 1.5 Bitcoin.
If you have no Bitcoin
Create a wallet Bitcoin: https://blockchain.info/ru/wallet/new 
Get cryptocurrency Bitcoin: 
https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.) 
https://en.bitcoin.it/wiki/Trading_bitcoins (instruction for beginners) 
When the transfer is confirmed, you will get the decryption files for your computer.
After start-interpreter program, all your files will be restored.
Attention!
Do not attempt to remove the program or run the anti-virus tools 
Attempts to self-decrypting files will result in the loss of your data 
Decoders are not compatible with other users of your data, because each user's unique encryption key 

Обновление от 6 января 2017:
Расширение: .decrypr_helper@india.com
Email: decrypr_helper@india.com
Результаты анализов: VT

Обновление от 8 января 2017:
Файл: decryptional.exe
Расширение: .decryptional
Записка: How to restore files.hta
Email: decryptional@india.com
Результаты анализов: VT

Обновление от 12 февраля 2017:
Файлы: vapefile.exe, svhost.exe
Расширение: .vapefile
Записка: How to restore files.hta
Email: vape@india.com
Результаты анализов: VT

Обновление от 4 апреля 2017:
Расширение: .a95436@ya.ru
Email: a95436@yandex.ru
BTC: 1KCGP2CLEhBxxfHtNE4dE4SZduxmjRuUR7
Результаты анализов: VT


Обновление от 4 января 2018:
Название: Globe2 Ransomware. Турецкий вариант
Пост в Твиттере >>
Расширение: .vrmrkz
Файлы переименовываются.
Email: verimerkezi@mail.ru
Записка: How to restore files.hta
Результаты анализов: VT
Статус: Дешифруем!



Обновление от 23 февраля 2018:
Название: Globe2 Ransomware. Турецкий вариант
Пост в Твиттере >>
Расширение: .frmvrlr2017
Файлы переименовываются.
Email: firmaverileri2017@yandex.com
Записка: How to restore files.hta
Результаты анализов: VT
Статус: Дешифруем!


*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать и использовать Globe Decrypter по инструкции >>
Скачать и использовать Globe-2 Decrypter по инструкции >>
Скачать и использовать Globe-3 Decrypter по инструкции >>
***

Read to links: 
Decrypter for Globe2
ID Ransomware

 Thanks: 
 Fabian Wosar
 Michael Gillespie
 Andrew Ivanov, Alex Svirid, Mihay Ice
 ...and others, who sent the samples for analysis

© Amigo-A (Andrew Ivanov): All blog articles.