ClickMe

Click Me Ransomware

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует неопределённый выкуп, чтобы вернуть файлы. Название получил от заколовка окна "Click Me Game FREE". 

К зашифрованным файлам добавляется расширение .hacked. Образцы этого криптовымогателя впервые были обнаружены в октябре 2016 г.  

Представляется бесплатной игрой, в которой надо кликнуть на картинку, что начать играть. На сам деле нет никакой игры, просто демонстрируются 20 картинок, отвлекая пользователя, а в это время вредонос должен шифровать файлы.

Жертве демонстрируются одна за другим 20 картинок, при этом надо попасть по прыгающей кнопке "Click Me", чтобы остановить шифрование и, возможно, получить файлы назад. 

Текстовой записки с требованием выкупа нет, только экран блокировки с 20-й картинкой, имеющей записку о выкупе на языке фарси. Вот она. 

Содержание записки о выкупе (перевод с фарси на английский):
All right my dear brother!!!
Enough free playing. Your files have been encrypted. Pay so much this much money so I can send you the password for your files. 
I can be paid this much too cause I am very kind. 
So move on I didn't raise the price.

Перевод записки на русский язык:
Хорошо, мой дорогой брат!!!
Хватит бесплатно играть. Твои файлы зашифрованы. Ты платишь мне деньги, а я отправляю тебе пароль для твоих файлов.
Я не прошу большой платы, т.к. я очень добрый.
Также в дальнейшем я не подниму цену.

Как видите, нет никакой информации о платежах и биткоин-кошельках, просто утверждается, что файлы зашифрованы и жертва должна заплатить. 

Пока этот шифровальщик не замечен в дикой природе, т.е. он пока не распространяется и находится в разработке. Потому шифруется только один файл ranson-flag.png, заброшенный на диск D. 

Незашифрованный и зашифрованный файл

Файлы, связанные с Click Me Ransomware:
ransom.exe
ranson-flag.png

Результаты анализов:
***

Степень распространённости: единичные случаи.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter
Writeup on BC + Video review

 Thanks: 
 Karsten Hahn 
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

JapanLocker, SHCLocker

JapanLocker Ransomware 

SHC Ransomware, SHCLocker

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные на сайтах, а затем требует связаться с вымогателями по email, чтобы вернуть сайт в прежнее состояние. Никакое расширение к зашифрованным файлам не добавляется.

К зашифрованным сайтам добавляется строка #LOCK#

Название дано самими вымогателями. Второе название было дано исследователями из Fortinet. Активность этого криптовымогателя пришлась на октябрь 2016 г. 

Записка о выкупе написана на веб-странице, встающей индексом заблокированного сайта. 

Содержание записки о выкупе:
This Site Has Been Locked!
Please Contact To Email japanlocker@hotmail.com To Unlock This Site Back.

Перевод записки на русский язык:
Этот сайт блокирован!
Свяжитесь по email japanlocker@hotmail.com для разблокировки сайта.

Мною обнаружена функция, скрытая в коде страницы. Если открыть исходный код страницы и прокрутить бегунок вниз до кода, скрывающего ссылку, а потом кликнуть по ней, то по веб-ссылке откроется изображение ключа.

Взламывается по протоколу удаленного рабочего стола, с помощью вредоносных плагинов для систем управления сайтов, имеющих скрытый функционал бэкдора. 

 Зашифрованные файлы будут иметь следующую структуру: 
[Path_to_encrypted_file]\#LOCK#\[Encrypted_file]

Структура зашифрованного файла по данным Fortinet

Исследователи из Fortinet досконально изучили этот вредонос, установили индонезийскую хакерскую группу Indonesia Defacer Tersakiti, осуществившую эту и подобные атаки на сайты и даже выпустили декриптор.

Группировка также специализируется на создании открытх вымогательских проектов (Ransomware open source) и выкладывает их от имени группы Bug7sec Team. 

Степень распространённости: низкая.
Подробные сведения собираются.

Внимание! 

Для зашифрованных сайтов есть декриптор

Скачать декриптор для Sch Ransomware v.1 (JapanLocker) >>

Read to links: 
Tweet on Twitter
ID Ransomware

Symantec: Ransom.SHCLocker  (add. on October 25, 2016)
Write-up on Fortinet (add. on October 20, 2016)

 Thanks: 
 Michael Gillespie
 Fortinet blog
 Symantec SR

© Amigo-A (Andrew Ivanov): All blog articles.

Anubis

Anubis Ransomware 

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин (иногда 2,5-3 биткоина), чтобы вернуть файлы. На уплату выкуда даётся 48 часов. Название получил от изображения древнеегипетского божества Анубиса. Изображение загружается на компьютер с сайта вымогателей. 

К зашифрованным файлам добавляется расширение .coded. Активность этого криптовымогателя пришлась на октябрь 2016 г. 

© Генеалогия: EDA2 >> Anubis 

Записки с требованием выкупа называются: Decryption Instructions.txt.

Содержание записки о выкупе:
IMPORTANT INFORMATION!
Your Computer ID: ***** <- Remember it and send to my email.
All your files are encrypted strongly.!
- How to open my file?
- You need Original KEY and Decrypt Program
- Where can i get?
- Email to me: support.code@aol.com or support.code@india.com
(Open file Decryption Instructions on your Desktop and send your SID)

Перевод записки на русский язык:
ВАЖНАЯ ИНФОРМАЦИЯ!
Твой компьютер ID: ***** <- Запомни его и пришли на мой email.
Все твои файлы зашифрованы.!
- Как открыть мой файл?
- Тебе нужен оригинальный ключ и программа дешифрования
- Где я могу получить?
- Email мне: support.code@aol.com или support.code@india.com
(Открой файл "Decryption Instructions" на твоем рабочем столе и отправь твой SID)

Email вымогателей: 
support.code@aol.com
support.code@india.com

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
.3dm,  .3ds,  .3g2,  .3gp,  .602,  .7z,  .aes,  .arc,  .asc,  .asf,  .asm,  .asp,  .avi,  .bak,  .bat,  .bmp,  .brd,  .cgm,  .cmd,  .cpp,  .crt,  .csr,  .csv,  .dbf,  .dch,  .dif,  .dip,  .djv,  .djvu,  .doc,  .docb,  .docm,  .docx,  .dot,  .dotm,  .dotx,  .dwg,  .exe,  .fla,  .flv,  .frm,  .gif,  .gpg,  .hwp,  .ibd,  .iso,  .jar,  .java,  .jpeg,  .jpg,  .key,  .lay,  .lay6,  .ldf,  .lnk,  .log,  .m3u,  .m4u,  .max,  .mdb,  .mdf,  .mid,  .mkv,  .mov,  .mp3,  .mp4,  .mpeg,  .mpg,  .ms11,  .myd,  .myi,  .nef,  .odb,  .odg,  .odp,  .ods,  .odt,  .otg,  .otp,  .ots,  .ott,  .p12,  .paq,  .pas,  .pdf,  .pem,  .php,  .png,  .pot,  .potm,  .potx,  .ppam,  .pps,  .ppsm,  .ppsx,  .ppt,  .pptm,  .pptx,  .psd,  .rar,  .raw,  .rtf,  .sch,  .sldm,  .sldx,  .slk,  .sql,  .sqlitedb,  .stc,  .std,  .sti,  .stw,  .svg,  .swf,  .sxc,  .sxd,  .sxi,  .sxm,  .sxw,  .tar,  .tbk,  .tgz,  .tif,  .tiff,  .txt,  .uop,  .uot,  .vbs,  .vdi,  .vmdk,  .vmx,  .vob,  .wav,  .wb2,  .wk1,  .wks,  .wma,  .wmv,  .xlc,  .xlm,  .xls,  .xlsb,  .xlsm,  .xlsx,  .xlt,  .xltm,  .xltx,  .xlw,  .zip (149 расширений). 

При сравнении содержания сообщениий, полученных по email, можно заметить общие черты с сообщениями, присланными "gold man" (создатель CrySiS Ransomware), таким образом за Anubis Ransomware может стоять та же группа.

Файлы, связанные с Anubis Ransomware:
C:\Users\User_name\ransom.jpg
%UserProfile%\Desktop\Decryption Instructions.txt
Anubis.exe

Записи реестра, связанные с Anubis Ransomware:
***

Сетевые подключения:
190.14.37.177/rs/createkeys.php
190.14.37.177/rs/supp2.jpg

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
ID Ransomware
Tweet on Twitter
Malware Analysis (add. on October 22, 2016)

 Thanks: 
 Michael Gillespie
 Mosh on Nyxbone
 

© Amigo-A (Andrew Ivanov): All blog articles.

AiraCrop

AiraCrop Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 и RSA-2048, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название получил от части добавляемого расширения. Создан: TeamXRat. Португалоязычная версия более известна под названием NMoreira (Fake Maktub) Ransomware. 

© Генеалогия: XRat  > NMoreira ⇔ AiraCrop
© Генеалогия: NMoreira > NMoreira 2.0 > R > NM4

К зашифрованным файлам добавляются расширения: 
.airacropencrypted! (середина октября 2016)
.__AiraCropEncrypted! (октябрь 2016)
._AiraCropEncrypted (ноябрь 2016)

Оригинальное имя файла и расширения не изменяются. 
Пример зашифрованного файла Документы.rar.__AiraCropEncrypted! 

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: How to decrypt your files.txt

Содержание записки о выкупе:
Encrypted Files!
All your files are encrypted. Using encryption AES256-bit and RSA-2048-bit.
Making it impossible to recover the files without the correct private key.
If you are interested in getting is key, and retrieve your files visit one of the link and enter your key;
xxxxs://6kaqkavhpu5dln6x.onion.to/
xxxxs://6kaqkavhpu5dln6x.onion.link/
xxxxs://mvy3kbqc4adhosdy.onion.to/
xxxxs://mvy3kbqc4adhosdy.onion.link/
Alternative link:
xxxx://6kaqkavhpu5dln6x.onion
xxxx://mvy3kbqc4adhosdy.onion
To access the alternate link is mandatory to use the TOR browser available on the link
xxxxs://www.torproject.org/download/download
Key:
D0809D7FF155EDB51834550***

Перевод записки на русский язык:
Файлы зашифрованы!
Все ваши файлы зашифрованы. С помощью шифрования AES256-бит и RSA-2048-бит.
Потому невозможно восстановить файлы без правильного секретного ключа.
Если вы заинтересованы в получении ключа, то посетите одну из ссылок и введите ключ.
xxxxs://6kaqkavhpu5dln6x.onion.to/
xxxxs://6kaqkavhpu5dln6x.onion.link/
xxxxs://mvy3kbqc4adhosdy.onion.to/
xxxxs://mvy3kbqc4adhosdy.onion.link/
Альтернативная ссылка:
xxxx://6kaqkavhpu5dln6x.onion
xxxx://mvy3kbqc4adhosdy.onion
Для доступа к альтернативной ссылке используйте Tor-браузер, доступный по ссылке
xxxxs://www.torproject.org/download/download
Ключ:
D0809D7FF155EDB51834550 ***

В некоторых вариантах записок упоминается email вымогателей: airacrop@vpn.tg, который также есть на Tor-сайте вымогателей. 

Вот другой вариант записки с email и его перевод на русский язык.

Содержание записки о выкупе:
Encrypted Files!
All your files are encrypted, using encryption AES256-bit and RSA-2048-bit.
Making it impossible to recover the files without the correct private key.
If you are interested in getting is key, and retrieve your files
For information on how to reverse the file encryption
send email to:
airacrop@vpn.tg
enter your KEY in the subject or email body.
=====
Remember your email is not answered within 24 hours,
visit one of the link below to get a new mail contact
https://6kaqkavhpu5dln6x.onion.to/
https://6kaqkavhpu5dln6x.onion.link/
https://qsx72kun2efdcli2.onion.to/
https://qsx72kun2efdeli2.onion.link/
Alternative link:
http://6kaqkavhpu5dln6x.onion
http://qsx72kun2efdeli2.onion
To access the alternate link is mandatory to use the TOR browser available on the link
https://www.torproject.org/down!oad/down1oad
Key:
=====
9EA06D1BSFE71S6B639A0CB526BA325C6002E041A71F490EE9699A10772EC75B
=====

Перевод записки на русский язык:
Файлы зашифрованы!
Все ваши файлы зашифрованы, используя шифрование AES256-bit и RSA-2048-бит.
Невозможно восстановить файлы без правильного закрытого ключа.
Если вы интересуетесь получением этого ключа и возврате файлов
Для информации о том, как отменить шифрование файлов
отправьте письмо по адресу:
airacrop@vpn.tg
введите свой КЛЮЧ в тему или адрес электронной почты.
=====
Помните, что на ваш email нет ответа в течение 24 часов,
посетите одну из приведенных ниже ссылок, чтобы получить новый почтовый контакт
https://6kaqkavhpu5dln6x.onion.to/
https://6kaqkavhpu5dln6x.onion.link/
https://qsx72kun2efdcli2.onion.to/
https://qsx72kun2efdeli2.onion.link/
Альтернативная ссылка:
http://6kaqkavhpu5dln6x.onion
http://qsx72kun2efdeli2.onion
Для доступа к альтернативной ссылке нужно использовать TOR-браузер, доступный по ссылке
https://www.torproject.org/down!oad/down1oad
Ключ:
=====
9EA06D1BSFE71S6B639A0CB526BA325C6002E041A71F490EE9699A10772EC75B

=====

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После шифрования удаляются тома теневых копий файлов. 

Список файловых расширений, подвергающихся шифрованию:

.bin, .bmp, .cat, .chm, .csv, .dat, .db, .DeskLink, .doc, .gif, .gitignore, .h, .ico, .inf, .jpg, .lic, .log, .MAPIMail, .ppt, .py, .pyc, .pyd, .pyo, .sam, .shw, .sst, .sys, .tmp, .txt, .url, .wav, .wb2, .wk4, .wma, .wmdb, .wpd, .wpl, .xls, .xml, .ZFSendToTarget ...

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с AiraCrop Ransomware:
How to decrypt your files.txt - в разных директориях
<random>.exe - случайное название файла
<random> - случайное название файла без расширения

Записи реестра, связанные с AiraCrop Ransomware:
***

Сетевые подключения:
Email: airacrop@vpn.tgTor-URLs: xxxxs://6kaqkavhpu5dln6x.onion.to/
xxxxs://6kaqkavhpu5dln6x.onion.link/
xxxx://6kaqkavhpu5dln6x.onion
xxxxs://mvy3kbqc4adhosdy.onion.to/
xxxxs://mvy3kbqc4adhosdy.onion.link/
xxxx://mvy3kbqc4adhosdy.onion
xxxxs://qsx72kun2efdcli2.onion.to/
xxxxs://qsx72kun2efdeli2.onion.link/
xxxx://qsx72kun2efdeli2.onion


Результаты анализов:
VirusTotal анализ >> + VT >>


Степень распространённости: средняя.
Подробные сведения собираются.

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decrypter для AiraCrop (NMoreira v.1) >>
Внимательно прочтите инструкцию перед запуском. 
*

Read to links: 
ID Ransomware (ID as NMoreira)
Topic on BC

 Thanks: 
 Michael Gillespie 
 al1963
 xXToffeeXx
 Fabian Wosar

© Amigo-A (Andrew Ivanov): All blog articles.

XTPLocker 5.0

XTPLocker 5.0 Ransomware

DMALocker NextGen: XTPLocker 5.0, Locker#2.0, X Locker 5.0

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2 биткоина (сумма может меняться), чтобы вернуть файлы. Название получил от маркера файла: !XTPLOCK5.0

В некоторых случаях файлы могут быть расшифрованы. 

© Генеалогия: DMALocker 4.0 > XTPLocker (XTP Locker 5.0)

К зашифрованным файлам никакое расширение не добавляется.

Вместо это используется файловый маркер !XTPLOCK5.0

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: cryptinfo.txt

Содержание записки о выкупе:
Attention! ! !
All of your copies of your system have been permanently deleted and the data on all partitions and workstations have been encrypted!
Stay calm.
You can recover all your data by making a payment of 2 BTC (1200 USD) in Bitcoin currency to receive a decryption key.
To purchase Bitcions you can use www.coinbase.com
After buying BTC send the equivalent of 2 BTC (1200 USD) to our BTC adress:
16jX5RbF2pEcLYHPukazWhDCkxXTs7ZCxB
After payment contact us to receive your decryption key. In mail title write your unique ID: {custom id visually resembling a MAC address}
Our e-mail: crypt302@gmx.com

Перевод записки на русский язык:
Внимание! ! !
Все ваши копии вашей системы были полностью удалены и данные по всем разделам и рабочие станции были зашифрованы!
Успокойтесь.
Вы можете восстановить все ваши данные, заплатив 2 BTC (1200$) в Bitcoin-валюте и получить ключ дешифрования.
Чтобы приобрести биткоины можете использовать www.coinbase.com
После покупки BTC отправьте эквивалент 2 BTC (1200$) на наш BTC адрес:
16jX5RbF2pEcLYHPukazWhDCkxXTs7ZCxB
После оплаты, свяжитесь с нами, чтобы получить ключ дешифрования. В заголовке почты напишите свой уникальный  ID: {пользовательский  ID визуально напоминающее МАС-адрес}
Наш email: crypt302@gmx.com

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Файлы, связанные с XTPLocker Ransomware:
cryptinfo.txt


Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>
VirusTotal анализ ещё >>

Обновление от 20 февраля 2017:
Файл: svchosd.exe
Записка: cryptinfo.txt
Email: team1002@india.com
Результаты анализов: VT

Степень распространённости: низкая.
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 31 октября 2016:

Пост на форуме >>
Новый маркер файлов: !Locker#2.0

Обновление от 27 января 2017:

Топик на форуме >>

Пост на форуме >> - файлы можно расшифровать 

В начале зашифрованных файлов есть !LOCKED!###

Файл: svchosd.exe

Email: lockev97@india.com

BTC: 1L2utMwJjCCYr8FHzVpvvvatLP2SHEGjry

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 ID Ramsomware
 Topic on BC (If you need help / Если нужна помощь)
 Tweet + Tweet

 Thanks: 
 Michael Gillespie, hasherezade
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Exotic

Exotic Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 50 долларов США в биткоинах, чтобы вернуть файлы. На уплату выкупа даётся 72 часа по таймеру. Когда таймер достигнет 0, ПК будет выключен, а жёсткий диск согласно тексту о выкупе будет отформатирован. Название дано самим вымогателем-разработчиком, скрывающимся под никами EvilTwin и Exotic Squad. 

К зашифрованным файлам добавляется расширение .exotic. 

Активность этого криптовымогателя пришлась на середину октября 2016 г. 

Записками с требованием выкупа выступают два диалоговых окна. В первой и второй версиях в чёрном окне были разные фотографии Гитлера, в третьей обошлось без него. 

Первое окно Exotic Ransomware

Второе окно Exotic Ransomware

Окно 2-й версий Exotic Ransomware

Окно 3-й версий Exotic Ransomware

Содержание первого окна 1-й версии:
Windows is infected, by the EXOTIC Virus!
Try to kill or delete me i will kill your PC!
Have a nice day =) 

Перевод на русский язык:
Windows заражена экзотическим вирусом!
Захотите убить или удалить меня, я убью твой ПК!
Хорошего дня =)


После закрытия первого окна "Crypto" появляется следующее окно с заголовком "You got fucked by EXOTIC SQUAD!"

Содержание следующего окна 1-й версии:
ALL YOUR FILES HAVE BEEN ENCRYPTED
Hello, all your Computer files have been encrypted. But, don’t worry! I haven’t deleted them all. So you have 72 hours to pay 50 USD in BitCoins to my BitCoin Address to get your files back! We will format your hard-drive when you restart the Computer! The Timer starts now! Don’t fuck with EXOTIC Squad! 

Перевод на русский язык:
Все ваши файлы были зашифрованы
Привет, все ваши компьютерные файлы были зашифрованы. Но, не волнуйтесь! Я не удалил их все. Так у вас есть 72 часа, чтобы заплатить 50 долларов США в биткоинах на мой Bitcoin-адрес, чтобы получить файлы обратно! Мы отформатируем жесткий диск при перезагрузке компьютера! Таймер начал отсчёт! Не злите команду EXOTIC!

Exotic Ransomware также скачает изображение для экрана блокировки из ***mitteoderso.de/image.png и сохраняет его в папке %Temp%. 

Большинство вымогательских инфекций нацелены только на файлы данных и не затрагивают исполняемые файлы. Exotic шифрует файлы в директории %UserProfile%, в том числе исполняемые файлы, что делает программы непригодными для дальнейшего использования. Названия файлов переименовываются случайным образом. 

Список файловых расширений, подвергающихся шифрованию:
 .001, .002, .003, .004, .005, .006, .007, .008, .009, .3dm, .3g2, .3gp, .7z, .8be, .8bf, .8bi, .aaf, .abr, .accdb, .act, .adf, .aep, .aepx, .aex, .ai, .ai, .aif, .ani, .apk, .arw, .as, .as3, .asd, .asf, .asp, .asx, .au, .avi, .bat, .bay, .bin, .bmp, .camproj, .cdr, .cer, .class, .cmd, .com, .CompositeFo, .config, .contact, .cpp, .cr2, .crdownload, .crt, .crw, .cs, .css, .csv, .cur, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eot, .eps, .erf, .exe, .fla, .flv, .fon, .gif, .hta, .html, .ico, .idml, .iff, .indb, .indd, .indl, .indt, .ini, .ink, .inx, .iso, .jar, .java, .jnt, .jpeg, .jpg, .json, .kdc, .key, .lib, .load, .m3u, .m3u8, .m4r, .m4u, .max, .mdb, .mdf, .mef, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .msi, .nef, .nrw, .nt, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .pl, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .raw, .rb, .resx, .rtf, .rw2, .rwl, .scss, .sdf, .settings, .sik, .sldm, .sldx, .sln, .sql, .sr2, .src, .srf, .srw, .svg, .swf, .text, .tgz, .tif, .ttc, .ttf, .txt, .url, .vb, .vbproj, .vbs, .vbt, .vcf, .veg, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (228 расширений, без дублей). 

Пока этот шифровальщик находится в разработке, т.к. по всему видно, что у разработчика пока мало опыта в создании и распространении шифровальщиков. Но за несколько дней он успел выпустить три версии, отличающиеся в мелких деталях. 

Если выйдет доработанная версии, то в принципе будет распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Exotic Ransomware завершает в системе работу следующих процессов: taskmgr, cmd, procexp, procexp64, regedit, CCleaner64, msconfig

Также шифровальщик делает копию себя и сохраняет в директорию: %UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.exe

Примечательно, что раз все файлы в директории %UserProfile% шифруются, то и этот файл будет зашифрован, а после перезагрузки ПК он уже не будет активным. 

Файлы, связанные с Exotic Ransomware:
Crypto.exe
Module.exe
EXOTIS Virus 2.0.exe
EXOTIS Virus 3.0.exe
и др.


Сетевые подключения:
mitteoderso.de/image.png
exotic-squad.de
162.210.102.210:443

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Tweet on Twittter
Video review
ID Ransomware + Writeup on BC

 Thanks: 
 MalwareHunterTeam, CyberSecurity GrujaRS
 Michael Gillespie, Lawrence Abrams

© Amigo-A (Andrew Ivanov): All blog articles.

APT Ransomware

APT Ransomware v.2

   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью RSA-4096, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название собственное, упомянутое в записке о выкупе. 

К зашифрованным файлам добавляется расширение .dll. Активность этого криптовымогателя пришлась на октябрь 2016 г. 

© Генеалогия: HiddenTear >> APT Ransomware > FuckSociety ...

Записки с требованием выкупа называются: 
   DECRYPT_YOUR_FILES.HTML

Содержание записки о выкупе:
WARNING!
All your files have been encrypted with APT Ransomware v2.0
All your files has been stealed to our server. If you don't pay, i sell it in Black Market.
YOU HAVE 5 DAY TO MAKE PAYMENT OR ALL YOUR FILES HAVE BEEN DELETED!
For each file unique, strong key. Algorithm RSA4096 look at https://en.wikipedia.org/wiki/RSA_(ciyptosystem)
- All your attempts to restore files on their own, lead to the loss of the possibility of recovery and we are not going to help you.
Your unique ID for decrypt:    < $userNameG
Send 1 bitcoin on adress: 377CYlm8W2qbQQX5HHjzinndli2faGjDeLv
Make your Bitcoin Wallet on:
Coinbase
Blockchain
How to buy Bitcoin?
https://support.combase.com/customer/en/portal/topics/796531-payment-method-verification/articles
https://7support.combase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
https://support.coinbase.com/customer/en/portal/topics/601112-sending-receiving-bitcoinarticles

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!
Все ваши файлы зашифрованы с помощью APT Ransomware v.2.0
Все ваши файлы были сворованы на наш сервер. Если вы не платите, я продам их на чёрном рынке.
У вас есть 5 дней, чтобы оплатить или все ваши файлы будут удалены!
Для каждого файла уникальный сильный ключ. Алгоритм RSA4096 смотри на https://en.wikipedia.org/wiki/RSA_(ciyptosystem)
- Все ваши попытки восстановить файлы самостоятельно приведут к потере возможности восстановления, и мы не станем помогать вам.
Ваш уникальный идентификатор для дешифрования <$ userNameG
Отправь 1 Bitcoin по адресу: 377CYlm8W2qbQQX5HHjzinndli2faGjDeLv
Создай свой Bitcoin-кошелек:
Coinbase
Blockchain
Как купить Bitcoin?
хттпs://support.combase.com/customer/en/portal/topics/796531-payment-method-verification/articles
хттпs://7support.combase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
хттпs://support.coinbase.com/customer/en/portal/topics/601112-sending-receiving-bitcoinarticles

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Примечательно, что вымогатели сами не могут дешифровать зашифрованные файлы. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с APT Ransomware v2.0:
DECRYPT_YOUR_FILES.HTML

Записи реестра, связанные с APT Ransomware v2.0:
***
Сетевые подключения:
***

Степень распространённости: низкая.
Подробные сведения собираются.

Read to links: 
Tweet on Twitter

 Thanks: 
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.