Comrade Circle

Comrade Circle Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп примерно в 2 биткоина, чтобы вернуть файлы. Например, это может быть 2.04970001 BTC, но сумма различна для каждого ПК, это обозначено в записке о выкупе. 

Примечательно, что в записке о выкупе вымогатели называют себя членами товарищества, хорошими людьми и обещают отдать деньги бедным, помогать животным и вообще потратить их на другие добрые дела. 

К зашифрованным файлам добавляется расширение .comrade. Названия файлов переименовываются на рэндомные с 6-16 символами по схеме base64. 

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. 

Название дано вымогателями, Comrade Circle можно перевести, как "Товарищеский круг" или "Круг товарищей". Изображение для скринлока сколлажировано из плакатов СССР советских времен. Тему можно понять, рассмотрев внимательно изображение, встающее обоями рабочего стола.

Записки с требованием выкупа называются: RESTORE-FILES!<num>.txt, где под <num> находится номер жертвы, например, RESTORE - Fl LES!636115629S42259326.txt 
Записка о выкупе помещается в каждой папке с зашифрованными файлами. 

Содержание записки о выкупе:
YOU FILES ARE ENCRYPTED by Comrade Circle!
You personal ID ***
YOU HAVE 3 OPTIONS!
Option 1 -  purchase decrytpion software. (if you need files your files back and have money)
1. Send donation of 2.04970001 btc to wallet ***
2. Send an email to recoverfiles@mail2tor.com with you personal id, and you will recieve the decryption software
3. Decrypt you files.
If you dont get answer in 4 hours, or email is blocked by evil anti virus companies:
Register here: http://bitmsg.me, Once you have done that, Write to adress BM-*** contact with you email and personal ID
note1:
If you so evil and dont trust us, you may first give us 1 small file and we will decyrpt it for free as proof that we can decrypt the rest
note2:
Donation volume is unique generated for you (2.04970001) donate exacly same size (not more or less) for fast identification of your donation.
note3:
we are good people that help other people with getting a job and making the world better, 50% of recived payments will go to help poor people, sick chilren, animals and other good things. We only take payment from rich people because poor will join us and become rich.
note4:
After decryption we will give you icon of Stalin that will protect you in future from others proud members of Comrade Circle.
Option 2 (if dont need files and have money) 
If you dont need your files or already restore them, please send us much money as you can ***
Comrade Circle good people that help poor people getting jobs and do great things, Thanks.
 Option 3 join Comrade Circle---(if you dont have money and want help people)
If you dont have money this is going to be the best day of yourlife.
We here to give you easy job for 5000$-5000000$ (5 million dollars) in mo.We are here to give you a high paying job with unlimited earning potential  All you need to do is to join COmrade Circle and help us spread our software.
We will give you 50% of all profits that come from you clients, If you work hard we can rise you % up to 90%.
you invitation code is [redacted], generated special for you.
    Our cutting edge software is unique and effective:
    simple setup and use.
    undetectable by evil av companies.
    encrypt big files (more that 2gb)
    encrypt all network shares not connected to machine.
    work and encrypt fast.
    imposible to decrypt without payment.
    mimics software update for better protection of data.
    no need for administrative rights or UAC.
    no need for c&c serevers or online connection.
    will always work, because there no c&c servers and there always good people continue support.
    Easy to use, created special for people with iq < 70.
    can be customized on the fly editing only file name.
    software from good people to good people we not scammers or criminals like others.
    dont encrypt files in very poor contries(only helping them getting jobs)
    using it you know that you help people get jobs and help sick chilren and animals,you are making the world a better place.
    Always developing more great features.
To join or club send to bitmessage adress BM-NBt4g1wA13H9sbyHMxcRvBWkd78d8gre
your invitation code, BTC wallet for recive payments, and email. and other contact info like jabber if you want.
use this template for example:
Invitation code: ***
Bitcoinwallet: ***
Bitmessage: BM-***
Email: recoverfiles@mail2tor.com
Othercontact: jabber xxxxxx@xxxx.xx
notes: something about you if you want.
You will get link for our software, and instruction how to use, basic tutorial how to spread and get $100,000 worth of profits.
After you recive first payment we give you jabber for 24/7 support and advanced tutorials how to spread software.
Join Comrade Circle and help get world better, get rich and become part of team.

!!!Английский текст записки содержит довольно много ошибок. Я исправил их без выделения слов, чтобы смысл условий выкупа был понятен читающим на русском языке. 

Перевод записки на русский язык:
Ваши файлы зашифрованы Comrade Circle!
Ваш персональный ID ***
У вас есть 3 варианта!
Вариант 1 - покупка декриптора. (Если вам нужны файлы обратно и есть деньги)
1. Отправить пожертвование 2.04970001 BTC на кошелек ***
2. Отправить по email recoverfiles@mail2tor.com ваш личный идентификатор и получить программу для расшифровки
3. Расшифровать ваши файлы.
Если вы не получили ответ за 4 часа или по email, то он заблокирован злыми анти-вирусными компаниями:
Регистрация здесь: http://bitmsg.me, После этого послать сообщение на BM - *** контакт с вами по email и персональный код
Примечание 1:
Если вы со злости не доверяете нам, то можете сначала дать нам 1 маленький файл, и мы расшифруем его бесплатно как доказательство того, что мы можем расшифровать остальные.
Примечание 2:
Сумма пожертвования уникальна и только для вас (2.04970001) жертвуйте точно эту сумму (не больше или меньше) для быстрой идентификации вашего пожертвования.
Примечание 3:
Мы хорошие люди, которые помогают другим людям получить работу и сделать мир лучше, 50% ПОЛУЧЕННЫХ платежей пойдут на помощь бедным людям, больным детям, животным и на другие хорошие вещи. Мы принимаем оплату от богатых людей только потому, что бедные смогут присоединиться к нам и стать богатыми.
Примечание 4:
После расшифровки мы дадим вам икону Сталина, что будет защищать вас в будущем от других гордых партнеров Comrade Circle.
Вариант 2 (если не нужны файлы и есть деньги)
Если вам не нужны ваши файлы или уже восстановили их, пожалуйста, пришлите нам столько денег, сколько сможете на ***
Comrade Circle хорошие люди, которые помогают бедным людям получить работу и делать великие дела, спасибо.
Вариант 3 - присоединиться к Comrade Circle (если вы не имеете деньги и хотите помочь людям)
Если вы не имеете деньги это будет лучший день в вашей жизни.
Мы здесь, чтобы дать вам легкую работу за 5000 $ -5000000 $ (5 миллионов долларов) в месяц. Мы здесь, чтобы дать вам высокооплачиваемую работу с неограниченным потенциальным доходом. Все, что вам нужно сделать, это присоединиться к Comrade Circle и помочь нам распространять наши программы.
Мы дадим вам 50% от всех доходов, которые приходят от ваших клиенты, если вы будете усердно работать, мы можем поднять вам проценты до 90%.
КОД ПРИГЛАШЕНИЯ  [***], генерируется специально для вас.
    Наш передовой софт является уникальным и эффективным:
    простая установка и использование.
    незаметен для злых AV-компаний.
    шифрует большие файлы (более 2 Гб)
    шифрует все сетевые ресурсы, не подключенные к машине.
    работает и шифрует быстро.
    расшифровать невозможно без оплаты.
    Обновление программы имитирует для эффективной защиты данных.
    нет необходимости в админправах или контроле учетных записей.
    нет необходимости в C&C-сервере или интернет-соединении.
    всегда будет работать, т.к. нет C&C-сервера и хорошие люди всегда поддержат.
    Легкий в использовании, создан специально для людей с IQ <70.
    может быть настроен для редактирования налету только имени файла.
    софт от хороших людей для хороших людей, потому мы не мошенники или преступники, как другие.
    не шифрует файлы в очень бедных странах (только помогает им получить работу)
    используя его вы знаете, что помогаете людям получить работу и помочь больным детям и животных, вы делаете мир лучше.
    Всегда разрабатывать наибольшие возможности.
Для того, чтобы присоединиться или клуб отправьте на адрес BM-*** ваш код приглашения, BTC кошелек для получения платежей, а также email и другие контакты, twitter, если вы хотите.
Используйте этот шаблон, например:
Код приглашения: ***
Bitcoinwallet: ***
Bitmessage: BM-***
E-mail: recoverfiles@mail2tor.com
Othercontact: twitter xxxxxx@xxxx.xx
Примечания: кое-что о вас, если вы хотите.
Вы получите ссылку на наш софт, а также инструкции, как использовать, базовый учебник, как распространять и получить $100000 прибыли.
После того, как вы получите первую плату мы даем вам 24/7 twitter-поддержки и передовые обучающие программы, как распространить программу.


!!! Икона Сталина, упомянутая в тексте прилагается. Как она защищает, можно только догадываться. Возможно, перед шифрованием проверяется её наличие в системе уже уплатившего выкуп пользователя или присоединившегося к Comrade Circle "товарища". 

Распространяется Comrade Circle с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Маскируется по критическое обновление Microsoft Windows и во время демонстрации синего экрана Configuring critical Windows Updates выполняет шифрование файлов. 

 

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Comrade Circle Ransomware:
RESTORE-FILES!<num>.txt
version2kb0001.exe

Записи реестра, связанные с Comrade Circle Ransomware:
***
Сетевые подключения:
***
Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 5 января 2017:
Изменились BM-адрес и почта.
Файл: App.exe
Записка: RESTORE-FILES!<num>.hta
Файлы тоже переименовываются по схеме: <base64string>.encrypted4
Email: fixfiles@protonmail.ch
Результаты анализов: VT

 

Read to links: 
Tweet on Twitter
ID Ransomware

 Thanks: 
 Michael Gillespie (Demonslay335)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Globe-2

Globe-2 Ransomware

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Это обновленная версия Globe Ransomware. Использует Blowfish для шифрования файлов, требует 0,8 или 1.0, или больше биткоинов за дешифровку, удаляет режим отладки и опционально шифрует имена файлов с помощью алгоритма RC4. Впервые обнаружен в начале октября 2016 г. Атакует пользовательские ПК и серверы. 

© Генеалогия: Globe (Purge) > Globe-2 > Globe-3 >> Amnesia > Scarab > Scarab Family

Изображение является логотипом статьи

Наиболее часто добавляемые к зашифрованным файлам расширения: 
.raid10  -  как .[random].raid10
.blt - как .[random].blt
.globe - как .[random].globe
.encrypted - как .[random].encrypted
.mia.kokers@aol.com - как .[mia.kokers@aol.com]
и многие другие, см. обновления внизу страницы. 

Записки с требованием выкупа называются: How to restore files.hta, а в окне заголовок "YOU CAN LOOSE YOUR DATA". 

Содержание записки о выкупе:
All server data encrypted!
All server data is encrypted.
To recover your data you need to pay for decryptor. 
Contacts
Telegram @comodosecurity
Email viewclear@yandex.com

Перевод записки на русский язык:
Все данные сервера зашифрованы!
Все данные сервера шифрованы.
Для возврата данных вы должны заплатить за декриптор.
Контакты
Telegram: @comodosecurity
Email: viewclear@yandex.com

Другая записка о выкупе для ПК.

Содержание:
Your files are encrypted!
Your personal ID
17794362225613194882830574***
Your documents, photos, databases, save games and other important data has been encrypted.
Data recovery is required interpreter.
To get the interpreter should send an email to deyscriptors24@india.com . In a letter to indicate your personal identifier (cm. at the beginning of this document).
If the contact is not obtained through the mail
• Sign up online http://bitmsQ.me (online service for sending Bitmessage)
• Send an email to BM-2cWueiDqKeajosJ4edtA7pdNY2n2ccK2uq indicating your address and
personal identity
Next, you need to pay for the interpreter. In a response letter you receive an address Bitcoin-Wallets, which must perform the transfer of funds in the amount of 1 Bitcoin (1 BTC ~ 700 $).
If you have no Bitcoin
• Create a wallet Bitcoin: https://blockchain.info/ru/wallet/new
• Get cryptocurrency Bitcoin:
https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet and etc.)
https://ru.bitcoin.it/wiki/Acquisition_of_Bitcoin (instruction for beginners)
• Send 1 BTC at the address specified in the letter
When the transfer is confirmed, you will get the decryption files for your computer.
After start-interpreter program, all your files will be restored.
Attention!
• Do not attempt to remove the program or run the anti-virus tools
• Attempts to self-decrypting files will result in the loss of your data
• Decoders are not compatible with other users of your data, because each user's unique encryption key

Перевод на русский:
Ваши файлы зашифрованы!
Ваш персональный ID
17794362225613194882830574***
Ваши документы, фото, базы данных, за сохранения игр и другие важные данные были зашифрованы.
Для восстановления данных требуется интерпретатор.
Чтобы получить интерпретатор надо отправить по email deyscriptors24@india.com. В письме указать свой персональный ID (см. в начале этого документа).
Если контакт не получен по почте
• Зарегистрироваться на сайте http://bitmsQ.me (онлайн-услуга для отправки Bitmessage)
• Отправить по email BM-2cWueiDqKeajosJ4edtA7pdNY2n2ccK2uq указав свой адрес и персональный ID
Далее, вам нужно заплатить за интерпретатор. В ответном письме вы получите адрес Bitcoin-кошелька, на который надо сделать перевод денежные средства в размере 1 Bitcoin (BTC 1 ~700 $).
Если у вас нет биткоинов
• Создать Bitcoin-кошелек: https://blockchain.info/ru/wallet/new
• Получить криптовалюту Bitcoin:
https://localbitcoins.com/ru/buy_bitcoins (Visa / MasterCard, Visa QIWI Кошелек и т.д.)
https://ru.bitcoin.it/wiki/Acquisition_of_Bitcoin (инструкция для начинающих)
• Отправить 1 BTC по адресу, указанному в письме
Когда перевод будет подтвержден, вы получите дешифровщик для вашего компьютера.
После запуска программы-интерпретатора, будут восстановлены все ваши файлы.
Внимание!
• Не пытайтесь удалить программу или запустить антивирусные инструменты
• Попытки самостоятельного дешифрования файлов приведут к потере ваших данных
• Декодеры не совместимы с данными других, т.к. у каждого пользователя уникальный ключ шифрования 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

После шифрования удаляются теневые копии файлов.

Декриптер, который вымогатели присылают после уплаты выкупа, не может корректно дешифровать файлы. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся шифрованию:
.avi, .csv, .dat, .database, .db, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .gif, .h, .ico, .jpe, .jpeg, .jpg, .log, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .pdf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .py, .pyc, .rar, .txt, .url, .wav, .wave, .wb2, .wma, .wmv, .wpd, .xls, .xlsb, .xlsm, .xlsx, zip... и многие другие, см. Globe.

Файлы, связанные с Globe2 Ransomware:
How to restore files.hta
ZendrSx1.exe
locker.exe

Результаты анализов:
VirusTotal анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

Внимание!

Для зашифрованных файлов есть декриптер

Скачать декриптер для Globe2 >>

Для использования декриптера потребуется зашифрованный файл и его незашифрованный оригинальную версию. Выберите зашифрованный и незашифрованный файл и просто перетащите их обоих на файл декриптера. Если имена файлов зашифрованы, то просмотрите размер файла, чтобы определить правильный файл. Зашифрованный и исходный файл будут иметь одинаковый размер. 

✋ Если данный декриптер не может дешифровать файлы, то нужно использовать декриптор для предыдущей версии или для Globe3. 

См. также Russian Globe >>

*

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 ноября 2016: 
Новое имя файла: ZendrSx1.exe
Новое расширение: .zendr2
Новая записка о выкупе: Read Me Please.hta
Новый email: suppozer@india.com
Результаты анализов: VT
Дешифровка: Globe2 Decrypter

Обновление от 11 ноября 2016
Новое имя файла: aexplorer.exe
Новое расширение: .ACRYPT
Записка о выкупе: Read Me Please.hta
Сумма выкупа: 0.50 BTC
Email: decrypter@india.com
Результаты анализов: VT

Обновление от 11 ноября 2016

Записка: How to restore files.hta
Файл: x3m.exe
Новое расширение: .blt
Email: cryalex@india.com
Результаты анализов: VT, HA


Обновление от 17 ноября 2016
Новое расширение: .duhust
Записка: How to restore files.hta
Email: duhust@india.com
Результаты анализов: VT

Обновление от 18 ноября:
Новое расширение: .exploit
Email: support-ransomware@india.com

Обновление от 21 ноября 2016:
Новое расширение: .MK
Email: mkscorpion@india.com

Обновление от 22 ноября 2016:
Новый файл: deyscriptors24@india.com.exe
Новое расширение: .x3m
Email: deyscriptors24@india.com
Результаты анализов: Malwr

Обновление от 25 ноября 2016:
Новый файл: autoSmart.exe
Новое расширение: .SGood
Записка: How to restore files.hta
Email: goodsupport@india.com
Результаты анализов: VT

Обновление от 28 ноября 2016:
Расширение: .gurdian-decrypt@india.com.ps4
Записка: How to restore files.hta
Email: gurdian-decrypt@india.com
Результаты анализов: VT

Обновление от 28 ноября 2016:
Расширение: .dcrptme
Записка: How to restore files.hta
Результаты анализов: VT


Обновление от 4 ноября 2016:
Расширение: .lovewindows
Email: bahij2@india.com

Обновление от 7 ноября 2016:
Расширение: .trust
Записка: How to restore files.hta
Email: decryptor@protonmail.com
BTC: 1Gn2XUUPpNA2UosDo2erhPHPNnx9r3oD9f
Результаты анализов: VT

Обновление от 4 декабря 2016:
Расширение: .lovewindows
Email: bahij2@india.com

Обновление от 5 декабря 2016:
Email: decrypter@india.com

Обновление от 8 декабря 2016:
Email: vnature@india.com

Обновление от 13 декабря 2016:
Файл: GlobeChanged.exe
Расширение: .GSupport3
Записка: How to restore files.hta
Email: goodsupport@india.com
Результаты анализов: VT

Обновление от 14 декабря 2016:


Расширение: .unlockvt@india.com
Записка: How to restore files.hta
Email: unlockvt@india.com
Результаты анализов: VT



Обновление от 14 декабря 2016:
Расширения: .decryptallfiles@india.com, .decryptallfiles3@india.com
Email: decryptallfiles@india.com, decryptallfiles3@india.com

Обновление от 16 декабря 2016:
Пост в Твиттере >>
Email: mendizol@india.com
Расширения: .ink и .ziptox1

Обновление от 17 декабря 2016:
Пост в Твиттере >>
Расширение: .sorry
Записка: How to restore files.hta
Email: helpdecode@india.com
Результаты анализов: VT

Обновление от 17 декабря 2016:
 
Пост в Твиттере >>
Расширение: .rescuers@india.com.3392cYAn548QZeUf.lock
Записка: How to restore files.hta
Email: rescuers@india.com




Обновление от 18 декабря 2016:
Расширение: .helptoyou1@india.com.8464DBdhFhbd4.lock
Записка: How to restore files.hta
Email: helptoyou1@india.com

Результаты анализов: VT

Обновление от 23 декабря 2016:
Расширение: .dcrptme
Записка: How to restore files.hta
Email: dsupport@india.com
Результаты анализов: VT

Обновление от 27 декабря 2016:
Расширение: .crypto-helper@india.com
Email: crypto-helper@india.com
Результаты анализов: VT

Обновление от 28 декабря 2016:
Расширение: .vnature@india.com
Записка: How to restore files.hta
Email: vnature@india.com
Результаты анализов: VT

Обновление от 3 января 2017:
Ссылка на пост на форуме BC >> 
Расширение: .lock
Email: frogobigens@india.com
Сумма выкупа: 1.5 BTC
Записка: HOW TO DECRYPT FILES.txt
Содержание записки: 
Your documents, photos, databases, important data were encrypted.
Data recovery is required decipherer.
To get the interpreter should send an email to frogobigens@india.com. 
Next, you need to pay for the interpreter. In a response letter you will receive the address of Bitcoin-wallet to which you want perform the transfer of funds in the amount of 1.5 Bitcoin.
If you have no Bitcoin
Create a wallet Bitcoin: https://blockchain.info/ru/wallet/new 
Get cryptocurrency Bitcoin: 
https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.) 
https://en.bitcoin.it/wiki/Trading_bitcoins (instruction for beginners) 
When the transfer is confirmed, you will get the decryption files for your computer.
After start-interpreter program, all your files will be restored.
Attention!
Do not attempt to remove the program or run the anti-virus tools 
Attempts to self-decrypting files will result in the loss of your data 
Decoders are not compatible with other users of your data, because each user's unique encryption key 

Обновление от 6 января 2017:
Расширение: .decrypr_helper@india.com
Email: decrypr_helper@india.com
Результаты анализов: VT

Обновление от 8 января 2017:
Файл: decryptional.exe
Расширение: .decryptional
Записка: How to restore files.hta
Email: decryptional@india.com
Результаты анализов: VT

Обновление от 12 февраля 2017:
Файлы: vapefile.exe, svhost.exe
Расширение: .vapefile
Записка: How to restore files.hta
Email: vape@india.com
Результаты анализов: VT

Обновление от 4 апреля 2017:
Расширение: .a95436@ya.ru
Email: a95436@yandex.ru
BTC: 1KCGP2CLEhBxxfHtNE4dE4SZduxmjRuUR7
Результаты анализов: VT


Обновление от 4 января 2018:
Название: Globe2 Ransomware. Турецкий вариант
Пост в Твиттере >>
Расширение: .vrmrkz
Файлы переименовываются.
Email: verimerkezi@mail.ru
Записка: How to restore files.hta
Результаты анализов: VT
Статус: Дешифруем!



Обновление от 23 февраля 2018:
Название: Globe2 Ransomware. Турецкий вариант
Пост в Твиттере >>
Расширение: .frmvrlr2017
Файлы переименовываются.
Email: firmaverileri2017@yandex.com
Записка: How to restore files.hta
Результаты анализов: VT
Статус: Дешифруем!


*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать и использовать Globe Decrypter по инструкции >>
Скачать и использовать Globe-2 Decrypter по инструкции >>
Скачать и использовать Globe-3 Decrypter по инструкции >>
***

Read to links: 
Decrypter for Globe2
ID Ransomware

 Thanks: 
 Fabian Wosar
 Michael Gillespie
 Andrew Ivanov, Alex Svirid, Mihay Ice
 ...and others, who sent the samples for analysis

© Amigo-A (Andrew Ivanov): All blog articles.

Enigma2

Enigma 2 Ransomware

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот криптовымогатель шифрует данные с помощью алгоритма AES-128, а затем требует выкуп $200 USD в биткоинах по курсу валюты, чтобы вернуть файлы обратно. 

© Генеалогия: Enigma > Enigma 2

Зашифрованные файлы получают расширение .1txt. 
Ранняя версия Enigma добавляла расширение .enigma, отчего и получила название. 

Активность этого криптовымогателя пришлась на начало октября 2016 г.  Ориентирован на русскоязычных пользователей, т.к. записка о выкупе написана на русском языке и вебсайт для выкупа имеет русскоязычный интерфейс. 

Записки с требованием выкупа называются: enigma_info.txt

Содержание записки о выкупе:
Мы зашифровали важные файлы на вашем компьютере: документы, базы данных, фото, видео, ключи.
Файлы зашифрованны алгоритмом AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) с приватным ключем, который знаем только мы.
Зашифрованные файлы имеют расширение .1txt. Расшифровать файлы без приватного ключа НЕВОЗМОЖНО.
Если хотите получить файлы обратно:
1) Установите Tor Browser http://www.torproject.org/
2) Найдите на рабочем столе ключ для доступа на сайт E_N_I_G_M_A.RSA(В ключе зашифрован пароль от ваших файлов)
3) Перейдите на сайт http://kf2uimw5omtgveu6.onion/ в тор-браузере и авторизуйтесь с помощью E_N_I_G_M_A.RSA
4) Следуйте инструкциям на сайте и скачайте дешифратор
C:\Documents and Settings\Администратор\Рабочий стол\E_N_I_G_M_A.RSA  - Путь к файлу-ключу на рабочем столе
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA  - Путь к файлу-ключу в TMP папке

Перевод записки на английский язык:
We encrypt important files on your computer: documents, databases, photos, videos and keys.
Files encryption algorithm AES 128 (https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard) with a private key that only we know.
Encrypted files have .1txt extension. It decrypts files without the private key IMPOSSIBLE.
If you want to get the files back:
1) Install the Tor Browser http://www.torproject.org/
2) Locate the desktop key to access E_N_I_G_M_A.RSA site (password is encrypted in the key of your files)
3) Go to the website http://kf2uimw5omtgveu6.onion/ into a torus-browser and log in using E_N_I_G_M_A.RSA
4) Follow the instructions on the website and download the decoder
C:\Documents and Settings\Администратор\Рабочий стол\E_N_I_G_M_A.RSA  - The path to the key file on the desktop
C:\DOCUME~1\9335~1\LOCALS~1\Temp\E_N_I_G_M_A.RSA - The path to the key file in TMP directory

Новый файл называется E_N_I_G_M_A.RSA, а на Tor-сайте оплаты название этого файла старое ENIGMA.RSA, налицо толи забывчивость вымогателей, толи лень. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. При открытии вредоносного файла выполняется встроенный JavaScript, который создаёт или загружает автономный файл c названием "Свидетельство....js", "Уведомление....js", "Решение суда...js" и пр. 

Список файловых расширений, подвергающихся шифрованию:
.001, .002, .1cd, .7z, .bz, .bz2, .bza, .bzip, .bzip2, .cd, .cdr, .crt, .csr, .csv, .czip, .dat, .dbf, .dif, .doc, .docb, .docm, .docx, .dwg, .gz, .gz, .gz2, .gza, .gzi, .gzip, .hdoc, .hwp, .key, .kwm, .lzma, .max, .mdb, .mdb, .mml, .odg, .odp, .ods, .odt, .odt, .otg, .otp, .ots, .ott, .pdf, .pem, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .pptx, .rar, .rtf, .rtf, .slk, .sln, .sqlite, .sqx, .sqz, .srep, .stc, .std, .sti, .stw, .sxc, .sxi, .sxm, .sxw, .tar, .taz, .tbz, .tbz2, .tg, .tgz, .tlz, .tlzma, .tsk, .tx_, .txt, .txz, .tz, .uc2, .uot, .wks, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlsx, .xlt, .xltm, .xltx, .xlw, .xz, .zi, .zip, .zip, .zipx, .zix (111 расширений).

Файлы, связанные с Enigma 2 Ransomware:
Файлы, связанные с Enigma 2 Ransomware:
%USERPROFILE%\Desktop\78fb.exe
%USERPROFILE%\Desktop\enigma_info.txt
%USERPROFILE%\Desktop\E_N_I_G_M_A.RSA - файл с ключом
%TEMP%\E_N_I_G_M_A.RSA - файл с ключом
%TEMP%\enigma_info.txt - записка о выкупе
%TEMP%\pbkey.pbkey - содержит public key
%TEMP%\prkey.prkey - содержит private key
%TEMP%\falcon9.falcon
%TEMP%\backup.copy
%TEMP%\workstatistic.dat

Записи реестра, связанные с Enigma 2 Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
bfceedddae = "{Malware Path}\{Malware Filename}.exe"

Сетевые подключения:
xxxx://93.115.201.113/get.php

Степень распространённости: средняя.
Подробные сведения собираются.

Гибридный анализ >>
VirusTotal анализ >>

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 9 октября 2016:
Результаты анализов: VT + VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.6500
ALYac -> Trojan.Ransom.Enigma
Avira (no cloud) -> HEUR/AGEN.1024556
BitDefender -> Gen:Heur.Ransom.Imps.1
McAfee -> GenericRXDI-RO!452CDF665077
Microsoft -> Trojan:Win32/Skeeyah.A!rfn
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Palw


Обновление от 3 февраля 2020:
Файлы записок: hello.txt, enigma_encr.txt, enigma.hta
Специальный файл: ENIGMA_296.RSA
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.MulDrop6.41566
ALYac -> Trojan.Ransom.Enigma
Avira (no cloud) -> HEUR/AGEN.1028824
BitDefender -> Gen:Heur.Ransom.Imps.1
ESET-NOD32 -> Win32/Filecoder.Enigma.B
McAfee -> GenericRXDJ-MU!912756788A1
Microsoft -> Ransom:Win32/EniqmaC
Rising -> Ransom.FileCryptor!8.1A7 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Filecoder.Hprj
TrendMicro -> Ransom.Win32.ENIGMA.SMTHBAU

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Read to links: 
Topic on BC + Write-up

 Thanks: 
 mike 1, BllepingComputer, TrendMicro
 Andrew Ivanov (author) 
***

© Amigo-A (Andrew Ivanov): All blog articles.

Kostya

Kostya Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 300 чешких крон с карты PaySafe Card, чтобы вернуть файлы. Название криптовымогателя написано в экране блокировки. 

К зашифрованным файлам добавляется расширение .k0stya. Данные шифруются только на диске C:, а диск D: очищается. 

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на чешскоязычных пользователей.

Запиской с требованием выкупа выступает блокировщик экрана.

Содержание основного текста о выкупе:
Váš počítač a vaše soubory byly uzamknuty!
Co se stalo?
Veškeré vaše soubory byly zašifrovány šifrovacía algoritmem AES-256 společně s vaším osobnim počítačem.
VAROVÁNÍ!! Pokud nesplníte všechny dané požadavky uvedené níže do 12 HODIN , váš nynéjší dešifrovací klič se SMAŽE a CENA STOUPNE NA 2000KČ!.
PO 24 HODINÁCH SE VAŠE SOUBORY SMAŽOU A VY JE UŽ NIKDY NEUVIDÍTE!!!
Jak mám postupovat dál? Je prakticky nemožné získat zpět přistup k vasím souborům a vašemu počítači bez šifrovacího klíče. Ten můžete také velice jednoduše získat. Stačí, když si podrobně přečtete celou tuto zprávu.
Co se stane až zaplatím? Po zaplacení dané částky bude váš počítač společné s vašimi soubory do 24 hodin odemknut. Celá tato zpráva zmizí a vše se vrátí do původního stavu.
Jde toto uzamknutí obejít jiným způsobem? Absolutně ne. Je však na vás jestli půjdete za IT technikem a zaplatíte mu 500Kč (ne li více) za "opravu", která vám vaše data a učty stejně nevrátí, nebo splníte stanovené požadavky. Navíc tak i ušetříte! POKUD NEZAPLATÍTE DO 12 HODIN, CENA STOUPNE NA 2000Kč!!! PRO PLATBU JE VYŽADOVÁNO PŘIPOJENÍ K INTERNETU !!!

Перевод текста на русский язык:
Ваш компьютер и ваши файлы заблокированы!
Что случилось?
Все ваши файлы зашифрованы с помощью алгоритма шифрования AES-256 вместе с вашим личным компьютером.
ВНИМАНИЕ !! Если вы не выполняете все требования, перечисленные ниже в течение 12 часов, ваш ключ дешифрования будет удален, а цена вырастет до 2000 крон!
Через 24 часа ваши файлы стирутся, и вы никогда не увидите снова !!!
Как я должен поступить? Практически невозможно получить доступ к вашим файлам и вашу компьютеру без ключа шифрования. Вы также можете очень легко его получить. Просто внимательно прочитайте весь отчет.
Что будет после оплаты? После оплаты выкупа ваш компьютер вместе с файлами в течение 24 часов разблокируется. Это сообщение исчезнет и всё вернётся в исходное состояние.
Как обойти эту блокировку? Абсолютно никак. Однако, это зависит от вас, или вы идете к ИТ-специалисту и платите ему 500 крон (или больше) за "исправление", которое ваши данные и учетные записи не вернёт, или вы выполняете требования. Кроме того и сохраните! Если вы не платите в течение 12 часов, цена поднимается до 2000 крон !!! Для оплаты ТРЕБУЕТСЯ ИНТЕРНЕТ !!!

Email вымогателей: slothcbx@protonmail.com

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:

 .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .bak, .bay, .bmp, .cache, .cad, .cdr, .cer, .cert, .class, .class, .config, .cpp, .cr2, .crt, .crw, .cs, .cs, .csv, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .doc, .docb, .docm, .docx, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .ess, .fla, .html, .ico, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .json, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mp3, .mpa, .mpg, .mpp, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .proj, .proj, .prproj, .ps, .psd, .pst, .pst, .ptx, .pub, .r3d, .ra, .raf, .raw, .rb, .resources, .resx, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sln, .sql, .sr2, .srf, .srw, .suo, .svg, .swf, .tar, .tif, .torrent, .txt, .vb, .vbproj, .vcf, .veg, .vob, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xaml, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx (183 расширения). 

Файлы, связанные с Kostya Ransomware:
Rainmeter.exe - исполняемый файл вымогателя;
[random_name].exe - вариант исполняемого файла вымогателя.

Записи реестра, связанные с Kostya Ransomware:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
ID Ransomware
Tweet on Twitter
Video review

 Thanks: 
 Michael Gillespie (Demonslay335)
 Jack (malwareforme)
 CyberSecurity GrujaRS

© Amigo-A (Andrew Ivanov): All blog articles.