Если вы не видите здесь изображений, то используйте VPN.

четверг, 13 октября 2016 г.

APT Ransomware

APT Ransomware v.2


   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью RSA-4096, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название собственное, упомянутое в записке о выкупе. 

К зашифрованным файлам добавляется расширение .dll. Активность этого криптовымогателя пришлась на октябрь 2016 г. 

© Генеалогия: HiddenTear >> APT Ransomware > FuckSociety ...

Записки с требованием выкупа называются: 
   DECRYPT_YOUR_FILES.HTML

Содержание записки о выкупе:
WARNING!
All your files have been encrypted with APT Ransomware v2.0
All your files has been stealed to our server. If you don't pay, i sell it in Black Market.
YOU HAVE 5 DAY TO MAKE PAYMENT OR ALL YOUR FILES HAVE BEEN DELETED!
For each file unique, strong key. Algorithm RSA4096 look at https://en.wikipedia.org/wiki/RSA_(ciyptosystem)
- All your attempts to restore files on their own, lead to the loss of the possibility of recovery and we are not going to help you.
Your unique ID for decrypt:    < $userNameG
Send 1 bitcoin on adress: 377CYlm8W2qbQQX5HHjzinndli2faGjDeLv
Make your Bitcoin Wallet on:
Coinbase
Blockchain
How to buy Bitcoin?
https://support.combase.com/customer/en/portal/topics/796531-payment-method-verification/articles
https://7support.combase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
https://support.coinbase.com/customer/en/portal/topics/601112-sending-receiving-bitcoinarticles

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!
Все ваши файлы зашифрованы с помощью APT Ransomware v.2.0
Все ваши файлы были сворованы на наш сервер. Если вы не платите, я продам их на чёрном рынке.
У вас есть 5 дней, чтобы оплатить или все ваши файлы будут удалены!
Для каждого файла уникальный сильный ключ. Алгоритм RSA4096 смотри на https://en.wikipedia.org/wiki/RSA_(ciyptosystem)
- Все ваши попытки восстановить файлы самостоятельно приведут к потере возможности восстановления, и мы не станем помогать вам.
Ваш уникальный идентификатор для дешифрования <$ userNameG
Отправь 1 Bitcoin по адресу: 377CYlm8W2qbQQX5HHjzinndli2faGjDeLv
Создай свой Bitcoin-кошелек:
Coinbase
Blockchain
Как купить Bitcoin?
хттпs://support.combase.com/customer/en/portal/topics/796531-payment-method-verification/articles
хттпs://7support.combase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
хттпs://support.coinbase.com/customer/en/portal/topics/601112-sending-receiving-bitcoinarticles

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Примечательно, что вымогатели сами не могут дешифровать зашифрованные файлы. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с APT Ransomware v2.0:
DECRYPT_YOUR_FILES.HTML

Записи реестра, связанные с APT Ransomware v2.0:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter
 Thanks: 
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 12 октября 2016 г.

Windows_Security, WS Go

Windows_Security Ransonware 

WS Go Ransonware, Trojan.Encoder.6491


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,052300 биткоинов, чтобы вернуть файлы. Сумма выкупа нефиксированная и для каждого ПК может отличаться, чтобы процесс дешифрования начинался автоматически после оплаты выкупа и онлайн-подтверждения платежа. 

Название получил от основного исполняемого файла Windows_Security.exe

По классификации Dr.Web получил название: Trojan.Encoder.6491. Написан на разработанном компанией Google языке программирования Go, ранее такие шифровальщики ещё не встречались. 

К зашифрованным файлам добавляется расширение .enc 
Активность этого крипто-вымогателя пришлась на октябрь 2016 г. 

Записки с требованием выкупа называются: Instructions.html

Содержание записки о выкупе:
ALL YOUR FILES HAS BEEN ENCRYPTED
All your files have been encrypted using AES 256, there is no way to detrypt them by yourself.
If you want to decrypt them you have to pay aproxmiatly 25$ in Bitcoins to the following address:
Amount: 0.052300 BTCs
To the address lBwwT5AUrPrbYph9SxP lBwwT5AUrPrbYph9SxP
Do not worry if you don't know what bitcoins are, they are an online currency that is not regulated by any goverment, the price changes daily but now is near the 600$ usd dollars.
To get some bitcoins you can go to some of this web pages:
- Coinbase
In this page you can store your bitcoins and also buy them using your credit card.
It is a safe page, you can chech it online if you aren't sure
- localbitcoins com
Tins a web where people contact each others to exchange Bitcoins for money in paypal, in cash if you find someone nearby and many other ways
I strongly recommend coinbase.com as you can be done un 15 minutes and your files will start decrypting.
I recommend you look for info online if you don't want to use coinbase.com
IT IS EXTREMELY IMPORTANT THAT YOU SEND THE EXACT AMMOUNT AND THAT THIS PROGRAM IS RUNNING
WHILE YOU MAKE THE PAYMENT TO BE ABLE TO CONFIRM THE TRANSACTION
If you can't figure out something send me an email to helpmedecrypt@protonmail.com
You have 72 hours form now on to send the payment or you will lose all the data so don't wait to send an email if you don't know something.
I hope to hear from you soon. 

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Все ваши файлы были зашифрованы с помощью AES 256, нет никакого способа дешифровать их самостоятельно.
Если вы хотите расшифровать их, вам придется заплатить примерно 25$ в биткоинах по следующему адресу:
Сумма: 0.052300 BTC
На адрес lBwwT5AUrPrbYph9SxP lBwwT5AUrPrbYph9SxP
Не волнуйтесь, если не знаете, что такое биткоины, это онлайн-валюта, которая не регулируется никаким правительством, цена меняется каждый день, но сейчас около 600$ USD долларов.
Чтобы получить биткоины вы можете посетить эти веб-страницы:
- Coinbase
На этой странице вы можете хранить биткоины, а также купить их с помощью кредитки.
Это безопасный сайт, вы можете найти его в Интернете, если не уверены,
- localbitcoins.com
Место в веб, где люди общаются, меняют биткоины на деньги в PayPal, наличные, можно найти кого-то поблизости и много других способов.
Я настоятельно рекомендую coinbase.com, т.к. вы можете сделать всё за 15 минут и ваши файлы начнут дешифровываться.
Я рекомендую вам поискать информацию в Интернете, если вы не хотите использовать couibase.com
КРАЙНЕ ВАЖНО, ЧТО ВЫ ПЕРЕСЛАЛИ ТОЧНУЮ СУММУ, ЧТОБЫ ДАННАЯ ПРОГРАММА ЗАПУСТИЛАСЬ СРАЗУ ПОСЛЕ ТОГО, КАК ВЫ СДЕЛАЕТЕ ПЛАТЁЖ И ПРОИЗОШЛО ПОДТВЕРЖДЕНИЯ ОПЕРАЦИИ. 
Если вы не можете понять, как отправить, пишите мне на email helpmedecrypt@protonmail.com
У вас есть 72 часа, чтобы отправить платеж или вы потеряете все данные, поэтому не ждите, пишите на email, если вы не знаете что-нибудь.
Надеюсь услышать вас позже.


Технические детали

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

➤ Шифровальщик устанавливает себя в систему под именем Windows_Security.exe. При запуске проверяет имя своего исполняемого файла на соответствие этому названию. Им шифруются 140 различных типов файлов

➤ Оригинальные имена файлов кодируются методом Base64, а затем к зашифрованным файлам добавляется расширение .enc. Затем удаляются тома теневых копий файлов командой: 
vssadmin.exe Delete Shadows /All /Quiet 

Шифровальщик пропускает и не шифрует файлы: 
1) находящиеся в следующих директориях или имеющие название: 
   tmp, temp, winnt
   Application Data, AppData
   Program Files, Program Files (x86)
   Recycle.Bin
   System Volume Information
   Boot
   Windows
   thumbs.db
2) уже имеющие расширение .enc;
3) относящиеся к вымогателю: 
   Instructions.html
   Windows_Security.exe

➤ Примечательно, что этот шифровальщик-вымогатель с определённым интервалом проверяет баланс Bitcoin-кошелька, на который нужно жертве перевести биткоины. После того, как будет зафиксирован денежный перевод, автоматически начинается процесс дешифровки всех зашифрованных файлов.

Список файловых расширений, подвергающихся шифрованию:
140 типов файлов. 

Файлы, связанные с Windows_Security Ransomware:
%USERPROFILE%\\Desktop\\Instructions.html 
%APPDATA%\Windows_Update\
%APPDATA%\Windows_Update\Windows_Security.exe
%TEMP%\Windows_Security.exe

Записи реестра, связанные с Windows_Security Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /V Windows-Defender /t REG_SZ /F /D %APPDATA%\Windows_Update\Windows_Security.exe
Из описания от Dr.Web

Сетевые подключения:
xxxx://btc.blockr.io/api/v1/address/info/1Bww***Yph9SxP

Результаты анализов:
***

Описание от Dr.Web на русском >>
Description by Dr.Web in English >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Описание от Dr.Web
ID Ransomware (ID as Trojan.Encoder.6491)
 Thanks: 
  Dr.Web
  Michael Gillespie
 

© Amigo-A (Andrew Ivanov): All blog articles.

NCrypt

NCrypt Ransomware 


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,2 биткоина, чтобы вернуть файлы. Название получил от добавляемого расширения. 

© Генеалогия: ***

К зашифрованным файлам добавляется расширение .NCRYPT или .ncrypt.

Активность этого криптовымогателя пришлась на первую половину октября 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются:
_FILE_RETRIEVAL_INSTRUCTIONS.html

Содержание записки о выкупе:
Your Data Has Been Encrypted!
Your important files (photos, videos, documents,etc) have been encrypted with a secure key and are no longer usable.
The only way to restore your files is to purchase the unique encryption key.
To purchase the key, send 0.2 Bitcoin (Approx $120.00 USD ) to this Bitcoin address: 1BpLvMvHmGdWN6zJzDxLdNyCwX6Pgeq7VY
For information on how to send Bitcoin, see one of these links: QuickBT - easy way to send bitcoin , CoinJar , Getting Started With BitCoin
Once you have sent payment, send and EMAIL to rw1contact@onionmail.info with the [redacted] as the SUBJECT and the BitCoin transaction id as the BODY. Do not include other information, this email will not be read but will be processed by an automated system.
Once payment is confirmed, the Decryption Application, Decryption Key, and Decryption Instructions will be sent in an email (to the address that was used to send the Bitcoin Transaction ID). - the decryption application/key will restore your files.
There is no other way to recover your files, the encryption key is unique to your files and uncrackable.
WARNING! FAILURE TO PAY BY 10/14/2016 3:30:37 PM WILL RESULT IN THE DELETION OF THE ENCRYTPTION KEY, MAKING YOUR FILES COMPLETELY UNRECOVERABLE.

Перевод записки на русский язык:
Ваши данные были зашифрованы!
Ваши важные файлы (фото, видео, документы и т.д.) были зашифрованы с помощью секретного ключа и больше не могут использоваться.
Единственный способ восстановить файлы, это приобрести уникальный ключ шифрования.
Чтобы приобрести ключ, отправьте 0,2 Bitcoin (около $ 120,00 USD) на Bitcoin-адрес: 1BpLvMvHmGdWN6zJzDxLdNyCwX6Pgeq7VY
Для получения информации о том, как отправить Bitcoin, откройте одну из этих ссылок: QuickBT - простой способ отправить Bitcoin, CoinJar, Getting Started With BitCoin
После того как вы сделали платеж, отправьте на email rw1contact@onionmail.info 31e1c23a-f17e-445b-acad-23c58adfcd6f в качестве темы и ID Bitcoin-транзакции в теле письма. Не включайте другую информацию, т.к. мы не будем читать письмо, оно будет обработано с помощью автоматизированной системы.
После подтверждения оплаты, программа дешифровки, ключ дешифрования и инструкции по дешифровке будут отправлены на ваш email  (адрес, который был использован вами для отправки ID Bitcoin-транзакции). - программа дешифровки / ключ восстановления файлов.
Нет никакого другого способа восстановить файлы, ключ шифрования является уникальным для ваших файлов и невзламываемым.
ПРЕДУПРЕЖДЕНИЕ! Неуплата до 10/14/2016 3:30:37 PM приведёт к удаления ключа шифрования, делая ваши файлы полностью невозвратными.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с NCrypt Ransomware:
_FILE_RETRIEVAL_INSTRUCTIONS.html

Записи реестра, связанные с NCrypt Ransomware:
***

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *
 Thanks: 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Venis, AsIoIns

Venis Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-2048, а затем требует связаться по почте с вымогателями для получения инструкций по оплате, чтобы вернуть файлы. Название, выводящееся на экране перед жертвой: Venis и VenisRansomware. Скрытое оригинальное название: AsIoIns.

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: ***

Содержание записки о выкупе:
All your files has been encrypted with AES 2048. (Military Grade Encryption)
The key has been sent to our private server which we have access to.
There are no tools online that will allow you to decode your files for free.
The following info has been gathered about this PC.
Usernames
Chrome Passwords/Firefox Passwords
Facebook Messages
Skype History (Deleted and non deleted)
Browser History
Tor History
You have 72 Hours To Comply. (Each delay will cause a price increase)
Drives are completly wiped after this time period is finished while the info is released for the public. (Nothing is spared)
TO DECODE
Send us a message at: (Email)
VenisRansom@protonmail.com

Перевод записки на русский язык:
Все ваши файлы были зашифрованы с AES 2048. (Военного класса шифрование)
Ключ был отправлен на наш частный сервер, на него мы имеем доступ.
Нет инструментов онлайн, что помогут вам дешифровать ваши файлы бесплатно.
Следующая информация была собрана об этом компьютере.
Имена пользователей
Пароли Chrome / Пароли Firefox
Сообщения в Facebook 
История Skype (удаленная и неудаленнная)
История браузера
История Tor
У вас есть 72 часа, чтобы выполнить. (Задержка приведет к росту цен)
Диски будут стерты по окончании этого времени, а информация будет выложена на публику. (Без сожаления)
ДЛЯ ДЕШИФРОВКИ
Пошли нам сообщение на email
VenisRansom@protonmail.com

Распространяется с помощью email-спама и вредоносных вложений (в том числе DOC, DOCX и PDF-файлов), фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Примечательно, что Venis загружает различные модули для других целей, которые появляются по событию использования пользователем тех или иных приложений и онлайн-сервисов, таких как включение удаленного рабочего стола, хищение паролей и, возможно, распространение вымогателей через Facebook. 

Список файловых расширений, подвергающихся шифрованию:
.avi, .bak, .bmp, .csv, .dbf, .djvu, .doc, .docx, .exe, .flv, .gif, .jpeg, .jpg, .max, .mdb, .mdf, .mkv, .mov, .mpeg, .mpg, .odt, .pdf, .png, .pps, .ppt, .pptm, .pptx, .psd, .rar, .raw, .tar, .tif, .txt, .vob, .wav, .wma, .wmv, .xls, .xlsb, .xlsx, .zip (41 расширение). 

Email вымогателей: 
VenisRansom@protonmail.com

Файлы, связанные с Venis Ransomware:
AsIoIns.EXE
onvwfy.exe
JavaUpdate.exe
RDPWInst.exe
Sqlite3.BIN
rdpclip.exe
rdpwrap.dll
rdpwrap.ini
RUN.bat
samr
см. также в гибридном анализе и на http://pastebin.com/HuK99Xmj

Записи реестра, связанные с Venis Ransomware:
см. в гибридном анализе

Сетевые подключения:
www.venis.pw
cdn.che.moe
185.116.213.86:80 (контакт с сервером в Великобритании)

Связанные адреса:
facebook.com
www.google.com
m.facebook.com/friends/center/friends/?ppk=%d
m.facebook.com/messages/thread/%s
m.facebook.com/profile.php?v=friends

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter + Pastebin
Writeup on BC + ID Ransomware
 Thanks: 
 Antelox
 Lawrence Abrams
 Michael Gillespie

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 10 октября 2016 г.

Deadly for a Good Purpose

Deadly Ransomware 

Deadly for a Good Purpose Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $500 в биткоинах, чтобы вернуть файлы. Название получил от заголовка в окне вымогателя. 

Активность этого криптовымогателя пришлась на первую половину октября 2016 г. Ориентирован на англоязычных пользователей. 

Примечательно, что в коде криптовымогателя исследователи обнаружили информацию, что шифрование файлов начнется 1 января 2017 года, как злодейский новогодний сюрприз. Там же вписан email вымогателей: gravityz3r@sigant.org

Записки с требованием выкупа называются: 
  ransom.html - располагается на рабочем столе;
  logo.png - встаёт обоями рабочего стола. 


Содержание записки о выкупе:
Deadly for a Good Purpose Ransomware
Key Will Be Destroyed On: &Date&
Your Files Are Encrypted: &FileCount&
USER ID: &UserID& - Encryption Used: AES-256
Your files have been safely encrypted on this PC: photos, videos, documents, etc. Click "Show encrypted files" Button to view a complete list of encrypted files, and you can personally verify this. Encryption was produced using a unique public key AES-256 generated for this computer. To decrypt files you need to obtain the private key. The only copy of the private key which will allow you to decrypt your files, is located on a secret server on the Internet; the server will eliminate the key after a time period specified in this window. Once this has been done: nobody will ever be able to restore files... In order to decrypt the files you will need to send S500 USD in form of BTC to the following bitcoin address:
&bitwallet& (How to buv Biteoins?)
After payment contact &email& with your transaction details and "USER ID". Once the payment is confirmed you will recieve decryption key along with decryption software. Any attempt to remove or corrupt this software will result in immediate elimination of the private key by the server. Beware.
View Encrypted Files

Перевод записки на русский язык:
Фатальный для Хорошего Дела Вымогатель
Ключ будет уничтожен On: &Дата&
Ваши файлы зашифрованы: &Число Файлов&
USER ID: &UserID& - Шифрование: AES-256
Ваши файлы безопасно зашифрованы на этом ПК: фото, видео, документы и т.д. Нажмите кнопку "Show encrypted files" для просмотра списка зашифрованных файлов, чтобы лично убедиться в этом. Шифрование сделано с использованием уникального открытого ключа AES-256, созданного для этого компьютера. Для дешифровки файлов вам надо получить закрытый ключ. Единственная копия секретного ключа позволит вам дешифровать файлы, есть на секретном сервере в Интернет; сервер уничтожит ключ по истечении периода времени, что указан в этом окне. После этого: никто и никогда не сможет вернуть файлы ... Для дешифровки файлов нужно отправить $500 USD в виде BTC на Bitcoin-адрес:
&bitwallet& (Как купить биткоины?)
После оплаты пишите на email и с деталями транзакции и "USER ID". После подтверждения оплаты вы получите ключ дешифрования вместе с декриптером. Любая попытка удалить или повреждить эту программу приведет к немедленному уничтожению закрытого ключа сервером. Осторожно.
Просмотр зашифрованных файлов

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
 .aep, .asp, .aspx, .csv, .csx, .doc, .docx, .htm, .html, .jpg, .mdb, .mp3, .pdf, .php, .png, .psd, .sln, .sql, .torrent, .txt (20 расширений)

Файлы, связанные с Deadly Ransomware:
A858SEPJANBLEED.exe
%USERPROFILE%\Desktop\ransom.html
%USERPROFILE%\Desktop\logo.png

Записи реестра, связанные с Deadly Ransomware:

См. ниже гибридный анализ.

Сетевые подключения:
хттп://lmgtfy.com/?q=how+to+buy+bitcoins

Результаты анализов:
Гибридный анализ >>
Гибридный анализ от 14 ноября >>
VirusTotal анализ >>
VirusTotal анализ от 18 ноября 2016 >>
VirusTotal анализ от 14 ноября >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter
 Thanks: 
 MalwareHunterTeam
 Thyrex
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 9 октября 2016 г.

Comrade Circle

Comrade Circle Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп примерно в 2 биткоина, чтобы вернуть файлы. Например, это может быть 2.04970001 BTC, но сумма различна для каждого ПК, это обозначено в записке о выкупе. 

Примечательно, что в записке о выкупе вымогатели называют себя членами товарищества, хорошими людьми и обещают отдать деньги бедным, помогать животным и вообще потратить их на другие добрые дела. 

К зашифрованным файлам добавляется расширение .comrade. Названия файлов переименовываются на рэндомные с 6-16 символами по схеме base64. 

Активность этого криптовымогателя пришлась на сентябрь-октябрь 2016 г. 

Название дано вымогателями, Comrade Circle можно перевести, как "Товарищеский круг" или "Круг товарищей". Изображение для скринлока сколлажировано из плакатов СССР советских времен. Тему можно понять, рассмотрев внимательно изображение, встающее обоями рабочего стола.
Comrade Circle Ransomware

Записки с требованием выкупа называются: RESTORE-FILES!<num>.txt, где под <num> находится номер жертвы, например, RESTORE - Fl LES!636115629S42259326.txt 
Записка о выкупе помещается в каждой папке с зашифрованными файлами. 
note Comrade Circle Ransomware
note Comrade Circle Ransomware

Содержание записки о выкупе:
YOU FILES ARE ENCRYPTED by Comrade Circle!
You personal ID ***
YOU HAVE 3 OPTIONS!
Option 1 -  purchase decrytpion software. (if you need files your files back and have money)
1. Send donation of 2.04970001 btc to wallet ***
2. Send an email to recoverfiles@mail2tor.com with you personal id, and you will recieve the decryption software
3. Decrypt you files.
If you dont get answer in 4 hours, or email is blocked by evil anti virus companies:
Register here: http://bitmsg.me, Once you have done that, Write to adress BM-*** contact with you email and personal ID
note1:
If you so evil and dont trust us, you may first give us 1 small file and we will decyrpt it for free as proof that we can decrypt the rest
note2:
Donation volume is unique generated for you (2.04970001) donate exacly same size (not more or less) for fast identification of your donation.
note3:
we are good people that help other people with getting a job and making the world better, 50% of recived payments will go to help poor people, sick chilren, animals and other good things. We only take payment from rich people because poor will join us and become rich.
note4:
After decryption we will give you icon of Stalin that will protect you in future from others proud members of Comrade Circle.
Option 2 (if dont need files and have money) 
If you dont need your files or already restore them, please send us much money as you can ***
Comrade Circle good people that help poor people getting jobs and do great things, Thanks.
 Option 3 join Comrade Circle---(if you dont have money and want help people)
If you dont have money this is going to be the best day of yourlife.
We here to give you easy job for 5000$-5000000$ (5 million dollars) in mo.We are here to give you a high paying job with unlimited earning potential  All you need to do is to join COmrade Circle and help us spread our software.
We will give you 50% of all profits that come from you clients, If you work hard we can rise you % up to 90%.
you invitation code is [redacted], generated special for you.
    Our cutting edge software is unique and effective:
    simple setup and use.
    undetectable by evil av companies.
    encrypt big files (more that 2gb)
    encrypt all network shares not connected to machine.
    work and encrypt fast.
    imposible to decrypt without payment.
    mimics software update for better protection of data.
    no need for administrative rights or UAC.
    no need for c&c serevers or online connection.
    will always work, because there no c&c servers and there always good people continue support.
    Easy to use, created special for people with iq < 70.
    can be customized on the fly editing only file name.
    software from good people to good people we not scammers or criminals like others.
    dont encrypt files in very poor contries(only helping them getting jobs)
    using it you know that you help people get jobs and help sick chilren and animals,you are making the world a better place.
    Always developing more great features.
To join or club send to bitmessage adress BM-NBt4g1wA13H9sbyHMxcRvBWkd78d8gre
your invitation code, BTC wallet for recive payments, and email. and other contact info like jabber if you want.
use this template for example:
Invitation code: ***
Bitcoinwallet: ***
Bitmessage: BM-***
Email: recoverfiles@mail2tor.com
Othercontact: jabber xxxxxx@xxxx.xx
notes: something about you if you want.
You will get link for our software, and instruction how to use, basic tutorial how to spread and get $100,000 worth of profits.
After you recive first payment we give you jabber for 24/7 support and advanced tutorials how to spread software.
Join Comrade Circle and help get world better, get rich and become part of team.

!!!Английский текст записки содержит довольно много ошибок. Я исправил их без выделения слов, чтобы смысл условий выкупа был понятен читающим на русском языке. 

Перевод записки на русский язык:
Ваши файлы зашифрованы Comrade Circle!
Ваш персональный ID ***
У вас есть 3 варианта!
Вариант 1 - покупка декриптора. (Если вам нужны файлы обратно и есть деньги)
1. Отправить пожертвование 2.04970001 BTC на кошелек ***
2. Отправить по email recoverfiles@mail2tor.com ваш личный идентификатор и получить программу для расшифровки
3. Расшифровать ваши файлы.
Если вы не получили ответ за 4 часа или по email, то он заблокирован злыми анти-вирусными компаниями:
Регистрация здесь: http://bitmsg.me, После этого послать сообщение на BM - *** контакт с вами по email и персональный код
Примечание 1:
Если вы со злости не доверяете нам, то можете сначала дать нам 1 маленький файл, и мы расшифруем его бесплатно как доказательство того, что мы можем расшифровать остальные.
Примечание 2:
Сумма пожертвования уникальна и только для вас (2.04970001) жертвуйте точно эту сумму (не больше или меньше) для быстрой идентификации вашего пожертвования.
Примечание 3:
Мы хорошие люди, которые помогают другим людям получить работу и сделать мир лучше, 50% ПОЛУЧЕННЫХ платежей пойдут на помощь бедным людям, больным детям, животным и на другие хорошие вещи. Мы принимаем оплату от богатых людей только потому, что бедные смогут присоединиться к нам и стать богатыми.
Примечание 4:
После расшифровки мы дадим вам икону Сталина, что будет защищать вас в будущем от других гордых партнеров Comrade Circle.
Вариант 2 (если не нужны файлы и есть деньги)
Если вам не нужны ваши файлы или уже восстановили их, пожалуйста, пришлите нам столько денег, сколько сможете на ***
Comrade Circle хорошие люди, которые помогают бедным людям получить работу и делать великие дела, спасибо.
Вариант 3 - присоединиться к Comrade Circle (если вы не имеете деньги и хотите помочь людям)
Если вы не имеете деньги это будет лучший день в вашей жизни.
Мы здесь, чтобы дать вам легкую работу за 5000 $ -5000000 $ (5 миллионов долларов) в месяц. Мы здесь, чтобы дать вам высокооплачиваемую работу с неограниченным потенциальным доходом. Все, что вам нужно сделать, это присоединиться к Comrade Circle и помочь нам распространять наши программы.
Мы дадим вам 50% от всех доходов, которые приходят от ваших клиенты, если вы будете усердно работать, мы можем поднять вам проценты до 90%.
КОД ПРИГЛАШЕНИЯ  [***], генерируется специально для вас.
    Наш передовой софт является уникальным и эффективным:
    простая установка и использование.
    незаметен для злых AV-компаний.
    шифрует большие файлы (более 2 Гб)
    шифрует все сетевые ресурсы, не подключенные к машине.
    работает и шифрует быстро.
    расшифровать невозможно без оплаты.
    Обновление программы имитирует для эффективной защиты данных.
    нет необходимости в админправах или контроле учетных записей.
    нет необходимости в C&C-сервере или интернет-соединении.
    всегда будет работать, т.к. нет C&C-сервера и хорошие люди всегда поддержат.
    Легкий в использовании, создан специально для людей с IQ <70.
    может быть настроен для редактирования налету только имени файла.
    софт от хороших людей для хороших людей, потому мы не мошенники или преступники, как другие.
    не шифрует файлы в очень бедных странах (только помогает им получить работу)
    используя его вы знаете, что помогаете людям получить работу и помочь больным детям и животных, вы делаете мир лучше.
    Всегда разрабатывать наибольшие возможности.
Для того, чтобы присоединиться или клуб отправьте на адрес BM-*** ваш код приглашения, BTC кошелек для получения платежей, а также email и другие контакты, twitter, если вы хотите.
Используйте этот шаблон, например:
Код приглашения: ***
Bitcoinwallet: ***
Bitmessage: BM-***
E-mail: recoverfiles@mail2tor.com
Othercontact: twitter xxxxxx@xxxx.xx
Примечания: кое-что о вас, если вы хотите.
Вы получите ссылку на наш софт, а также инструкции, как использовать, базовый учебник, как распространять и получить $100000 прибыли.
После того, как вы получите первую плату мы даем вам 24/7 twitter-поддержки и передовые обучающие программы, как распространить программу.


!!! Икона Сталина, упомянутая в тексте прилагается. Как она защищает, можно только догадываться. Возможно, перед шифрованием проверяется её наличие в системе уже уплатившего выкуп пользователя или присоединившегося к Comrade Circle "товарища". 


Распространяется Comrade Circle с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Маскируется по критическое обновление Microsoft Windows и во время демонстрации синего экрана Configuring critical Windows Updates выполняет шифрование файлов. 
 

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Comrade Circle Ransomware:
RESTORE-FILES!<num>.txt
version2kb0001.exe

Записи реестра, связанные с Comrade Circle Ransomware:
***
Сетевые подключения:
***
Степень распространённости: низкая.
Подробные сведения собираются.

Обновление от 5 января 2017:
Изменились BM-адрес и почта.
Файл: App.exe
Записка: RESTORE-FILES!<num>.hta
Файлы тоже переименовываются по схеме: <base64string>.encrypted4
Email: fixfiles@protonmail.ch
Результаты анализов: VT

 Comrade Circle Ransomware



Read to links: 
Tweet on Twitter
ID Ransomware
 Thanks: 
 Michael Gillespie (Demonslay335)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *