PayDOS, Serpent

PayDOS Ransomware 

Serpent Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,33 биткоинов, чтобы вернуть файлы. Название оригинальное, судя по exe-файлу и заголовку в DOS-окне.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .dng

Кроме того файлы переименовываются в нумерованном порядке: от 1 до имеющегося количества файлов. Пример см. на скриншоте выше. 

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются README.txt. 

Вымогатель считывает имя пользователя и в записке обращается к нему по этому имени. 

Все требования также продублированы в DOS-окнах: PayDOS и SERPENT. 

Содержание текста из окна PayDOS:
I am so sorry you can see me. If you can I have bad news.
It seems all your files have been encrypted and there is nothing that you can do about this. However with my help I can help you restore them. You need a passcode to decrypt them. Send exactly 0.33 BTC to this address: 
You will be send the PASSCODE.

Перевод текста на русский язык:
Я сожалею, что вы видите меня. Если это так, то у меня для вас плохие новости. Увы, все ваши файлы зашифрованы и ничего вы не можете сделать в этом случае. Но с моей помощью я могу помочь вам вернуть их. Вам нужен passcode, чтобы дешифровать их.
Отправьте ровно 0,33 BTC по этому адресу:
Вы должны прислать PASSCODE.


Содержание текста из окна SERPENT:
Hello User,
Your files have all been encrypted using a heavy encryption called "RSA-2048". You will not be able to access the files unless you have been provided the PASSCODE. This unfortunate event does have a solution By paying a small fee you can get all of your files back as you will be sent the passcode.
You can find the contact information bellow...
WEBSITE:
EMAIL: SERPENT.RANSOM@NOTREALMAIL.COM

Перевод текста на русский язык:
Привет Пользователь,
Ваши файлы все зашифрованы с помощью тяжелого шифрования называемым "RSA-2048". Вы не сможете получить доступ к файлам, если вы не получили PASSCODE. Этот несчастный случай имеет решение, заплатив небольшую плату, вы можете получить все ваши файлы обратно, когда вам будет выслан passcode.
Вы можете найти контактную информацию ниже...
WEBSITE:
EMAIL: SERPENT.RANSOM@NOTREALMAIL.COM

Для сведения, PASSCODE: AES1014DW256

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, в том числе под видом легитимного ПО Skype. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Директории, подвергающиеся шифрованию:
C:\Users\%Username%\AppData\Local
C:\Users\%Username%\Desktop
C:\Users\%Username%\Documents
C:\Users\%Usernanie%\Music
C:\Users\%Usernane%\Uideos
C:\Users\%Usernane%\Downloads
C:\Users\%Username%\Pictures

Список файловых расширений, подвергающихся шифрованию:

.avi, .dav, .dgg, .dif, .dng, .dnk, .dov, .dp3, .dp4, .dpg, .drl, .dsi, .dvi, .dxe, .dxt, .exe, .gif, .Ink, .jpg, .mov, .mp3, .mp4, .msi, .ogg, .png, .txt, .url, .wav (28 расширений). 

Файлы, связанные с PayDOS Ransomware:
SpikeSkype_SETUP.exe
PayDOS_Ransomware_unlockcode_AES1014DW256.exe"
C:\WINDOWS\system32\cmd" /c ""C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.bat
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.bat
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\3E2A.tmp\3E2B.bat
%TEMP%\3E2A.tmp\3E2B.bat C:\PayDOS_Ransomware_unlockcode_AES1014DW256.exe
И другие. 

Записи реестра, связанные с PayDOS Ransomware:
см. ниже гибридный анализ.

Сетевые подключения:
см. ниже гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware (n/a)

 Thanks: 
 Jakub Kroustek 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

zScreenLocker

zScreenLocker Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, буква z в начале указывает на автора - by zenn. В проекте ник пользователя ПК вымогателя: bunk3r_tor. Вероятно, из Бразилии. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение * нет данных *

Образец этого крипто-вымогателя был найден в начале ноября 2016 г. Видимо находится в разработке, т.к. нет никаких контактов для выплаты выкупа и других данных, характерных для крипто-вымогателей. 

Обоями рабочего стола встаёт изображение зелёного флага с надписью "Ban Islam" в жёлтом ромбе. Что этим хотел выразить разработчик, неизвестно. 

Содержание текста:
Ban Islam

Технические детали

Может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, а также под видом загружаемого видеофайла. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
* нет данных *

Файлы, связанные с zScreenLocker Ransomware:
zScreenLocker.exe
<image>

Записи реестра, связанные с zScreenLocker Ransomware:
См. ниже гибридный анализ. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 *

 Thanks: 
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Gremit

Gremit Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,03 биткоинов, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .rnsmwr.

Образец этого криптовымогателя был обнаружен в начале ноября 2016 г. Ориентирован на англоязычных пользователей.

Запиской с требованием выкупа выступает блокировщик экрана с заголовком "What happened?".

Содержание записки о выкупе:
What happened?
Most of your files have been encrypted. You'll need to pay to get them back.
Do not try to do stupid things, or i'll erase your whole Harddrive forever. It's just one click for me
and I don't care about your files.
How to Pay?
https://bitcoin.org/en/getting-started
Amount:
0.03 BTC [~19€ /~21$]
Send Bitcoin to the following Adress:
1345GFjbj5b2NJNb4mg8hVKrRmJpcDwUkn
You paid but you are still not able to decrypt your files?
Just turn off your computer and try again in some hours.

Перевод записки на русский язык:
Что случилось?
Большинство ваших файлов зашифрованы. Вам нужно заплатить, чтобы получить их обратно.
Не пытайтесь делать глупостей или я стиру весь ваш жёсткий диск. Это лишь один клик для меня и я не пожалею ваши файлы.
Как заплатить?
https://bitcoin.org/en/getting-started
Количество:
0.03 BTC [~ 19 € / ~ 21 $]
Отправить Bitcoin на следующий адрес:
1345GFjbj5b2NJNb4mg8hVKrRmJpcDwUkn
Вы заплатили, но вы еще не можете расшифровать свои файлы?
Просто выключите компьютер и повторите через несколько часов.

Находится в разработке. Шифруются все файлы в папке C:\Users\Tim\Desktop\encrypt\ 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
Нет списка. 

Файлы, связанные с Gremit Ransomware:
Ransomware.exe
<Random_name>.exe
Gremit_ransomware.exe

Записи реестра, связанные с Gremit Ransomware:
См. ниже гибридный анализ.

Сетевые подключения и связи:
хттпs://bitcoin.org/en/getting-started
хттп://pastebin.com/raw/hH9hnfxY

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 *
 *

 Thanks: 
 Karsten Hahn
 PayloadSecurity
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Hollycrypt

Hollycrypt Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп немного биткоинов, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: HiddenTear >> Hollycrypt

К зашифрованным файлам добавляется расширение .Hollycrypt.

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Read_this_shit.txt

Содержание записки о выкупе:
Your Files has been encrypted with Hollycrypt
Send me some bitcoins or Vodka , Then I will email with an antidote
 (>,<) , Email:Hollyman137@gmail.com.

Перевод записки на русский язык:
Ваши файлы зашифрованы с Hollycrypt
Пошлите мне немного Bitcoins или Водку, и я по email дам антидот
 (>, <) , Email:Hollyman137@gmail.com.

Распространяется с помощью email-спама и вредоносных вложений (в данном случае PDF.EXE-файла), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Hollycrypt Ransomware:
Hollycrypt.exe
<random>.PDF.EXE
Read_this_shit.txt

Записи реестра, связанные с Hollycrypt Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BTCLocker

BTCLocker Ransomware 

BTC Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует связаться по email с вымоагтелями, чтобы выкупить декриптер и дешифровать файлы. Название получил от добавляемого расширения.

© Генеалогия: Radamant > BTCLocker

К зашифрованным файлам добавляется расширение .BTC.

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
BTC_DECRYPT_FILES.txt
BTC_DECRYPT_FILES.html

Содержание записки о выкупе:
Hello!
For getting back Your PC data You need to contact with us through email as soon as possible:
zikr@protonmail.com
zikra@protonmail.com
zikr@usa.com

Перевод записки на русский язык:
Привет!
Для возвращения вашего ПК данных вам нужно связаться с нами по email как можно скорее:
zikr@protonmail.com
zikr@protonmail.com
zikr@usa.com

Диалог декриптера:
Now begins the decryption of your files! 
Do not turn off the power and turn on the carriers that have been encrypted! 
When you're ready, click "OK".

Перевод на русский:
Сейчас начнётся дешифрование файлов!
Не выключайте питание и подключите носители, которые были зашифрованы!
Когда будете готовы, жмите "OK".

Распространяется с помощью email-спама и вредоносных вложений, в том числе PDF-документов с иконкой Adobe, а также фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

После шифрования удаляются тома теневых копий файлов. 

Список файловых расширений, подвергающихся шифрованию:

.2015, .3fr, .500, .7z, .accdb, .ai, .apk, .arch00, .arw, .asc, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cab, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .ebc, .ebq, .epb, .epk, .eps, .erf, .esm, .ets, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gpc, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .IIF, .indd, .itdb, .itf, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .lgb, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .mye, .myox, .mysql, .ncf, .nd, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .ofx, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptb, .ptx, .py, .qba, .qbatlg, .qbb, .qbm, .qbo, .qbw, .qbx, .qby, .qdf, .qdf, .qfx, .qic, .qif, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sai, .saj, .sav, .sb, .sdb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx,.sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t11, .t12, .t13, .t14, .t15, .tax, .tax2013, .tax2014, .tax2015, .tax2016, .tlg, .tor, .tt14, .tt15, .tt16, .txf, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp, (230+ расширений). 

Файлы, связанные с BTCLocker Ransomware:
BTC_DECRYPT_FILES.txt
BTC_DECRYPT_FILES.html
%USERPROFILE%\AppData\<random_name>.exe
%ALLUSERSPROFILE%\<random_name>.exe
%PROGRAMFILES%\<random_name>.exe
%WINDIR%\<random_name>.exe
%Temp%\<random_name>.tmp
%AppData%\wallpaper.wall
%WINDIR%\System32\key.public
%WINDIR%\System32\key.private

Записи реестра, связанные с BTCLocker Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
172.81.176.146
190.10.8.128
81.2.237.32
См. ниже гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление от 22 февраля 2017:
Пост в Твиттере >>
Email: gelar@protonmail.com и gelarx@protonmail.com
Записка: BTC_DECRYPT_FILES.txt
Расширение: .BTC
Фальш-имя: Animated

Результаты анализов: VT

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *

 Thanks: 
 Michael Gillespie 
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

EncryptoJJS

EncryptoJJS Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Образцы этого криптовымогателя были обнаружены в начале ноября 2016 г. Ориентирован на англоязычных пользователей, что не помешает вымогателям распространять его по всему миру.

Записки с требованием выкупа называются: 
How to recover.enc.txt

Содержание записки о выкупе:
All of your pictures have been encrypted and are impossible to decrypt
If you ever want to see your pictures again please visit:
www.mymalicioussite. ru
You will need 1 bitcoin to complete the transaction

Перевод записки на русский язык:
Все ваши фотографии были зашифрованы и их невозможно расшифровать.
Если вы хотите увидеть свои фотографии снова, пожалуйста, посетите:
www.mymalicioussite.ru
Вам понадобится 1 Bitcoin для завершения сделки.

По всей видимости пока находится в разработке. После релиза вполне может начать распространяться по стандартной вымогательской схеме: с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с EncryptoJJS Ransomware:
How to recover.enc.txt
EncryptoJJS_Ransomware.exe

Имена файлов:
EncryptoJJS_Ransomware
encryptoJJS 1.0.exe

Записи реестра, связанные с EncryptoJJS Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
хттп://www.mymalicioussite.ru/
хттп://ioussite.ru/

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *

 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kangaroo

Kangaroo Ransomware 

Apocalypse-Kangaroo Ransomware 

(шифровальщик-вымогатель) 

Translation into English

Как удалить? Как расшифровать? Как вернуть данные? 

По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 

См. также статьи УК РФ: 

ст. 272 "Неправомерный доступ к компьютерной информации" 

ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1-2-3 BTC или больше, чтобы вернуть файлы. Известны случаи, когда требовали выкуп ещё несколько раз после уплаты первого. Оригинальное название: Kangaroo. 

© Генеалогия: Apocalypse >> Esmeralda > Kangaroo > Missing

К зашифрованным файлам добавляется расширение .crypted_file.

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: 
*.Instructions_Data_Recovery (добавляется к имени каждого зашифрованного файлу, таким образом будет столько записок, сколько зашифровано файлов). 

Содержание записки о выкупе:
Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.
You have to contact the email below along with your Personal Identification ID to restore the data of your system.
Your Personal Identification ID: 2F5BD40FDE
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email.

Перевод записки на русский язык:
Windows столкнулась с критической проблемой и требует немедленного действия для восстановления ваших данных. Доступ к системе блокирован, а все данные зашифрованы, чтобы избежать обнародования информации или злоупотребления. Вы не сможете получить доступ к файлам, а игнорирование этого сообщения может привести к полной потере данных. 
Мы приносим свои извинения за неудобства.
Вам следует обратиться на email ниже, чтобы восстановить данные вашей системы.
Ваша персональная идентификация ID: 2F5BD40FDE
E-mail: esmeraldaencryption@mail.ru
Вы должны заказать Unlock-пароль и Kangaroo Decryption Software. Все инструкции будут отправлены вам по электронной почте.

Текст из записки дублируется в экране блокировки. Там же можно разблокировать файлы, чтобы закрыть окно блокировщика. Затем в работу вступит декриптор. 

Вымогатель настраивает реестр таким образом. чтобы жертва могла прочитать официальное уведомление от вымогателей перед загрузкой Windows. 

Но и после этого войти в систему не удастся, т.к. блокируется Диспетчер задач и подменяется файл Проводника Windows (explorer.exe) и жертва должны уплатить выкуп. Хотя часть фукнционала вымогателя можно отключить в безопасном режиме, полностью восстановить систему и вернуть файлы без уплаты выкупа пока не представляется возможным. 

Технические детали

Вымогатель, как оказалось, НЕ распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Хакеры взламывают компьютер по протоколу удаленного рабочего стола и устаналивают шифровальщик вручную. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

➤ Во время первого запуска шифровальщик отображает уникaльный ID жертвы и ключ шифрования, которые операторы вредоноса должны сами скопиpовать. Затем уже файлы пользователя шифруются, добавляя к файлам расширение .crypted_file. 

После шифрования делаются попытки удалить тома теневых копий файлов, но по разным причинам это действие не всегда эффективно.  

Список файловых расширений, подвергающихся шифрованию:
Многие популярные расширения. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с Kangaroo Ransomware:
Instructions_Data_Recovery.txt
Apocalypse_ransomware.exe
explorer.exe
explorer.exe.mui
C:\Program Files (x86)\Windows NT\explorer.exe

Записи реестра, связанные с Kangaroo Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeCaption"="Attention!"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeText"="Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.
You have to contact the email below along with your Personal Identification ID to restore the data of your system.
Your Personal Identification ID: E557162BUS
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email."

Сетевые подключения:
Email: kangarooencryption@mail.ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: средняя.
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

***

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 Tweet on twitter
 ID Ransomware (ID as Apocalypse)

Added later
Write-up on BC
*
*

 Thanks: 
 Michael Gillespie, JAMESWT, Lawrence Abrams
 Andrew Ivanov
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

DummyEncrypter

DummyEncrypter Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует уплатить выкуп "поставщику программы", чтобы вернуть файлы. Название оригинальное. 

© Генеалогия: выясняется

К зашифрованным файлам добавляется расширение .dCrypt

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Запиской с требованием выкупа выступает блокировщик экрана.

Содержание записки о выкупе:
Warning: Your data has been encrypted!
Your personal data has been encrypted by a safe technology called AES-256 with US federal government trusted. 
When you see this message, we has ENCRYPTED your data by a KEY generated randomly by your machine, and we uploaded this key to our server. 
The only way to decrypt your file is use the KEY corresponding the YOUR FILE. 
Once encrypt complete we destroyed keys on this machine and only keeps a feature of this machine. 
The other parts of your computer is just safe now. Do not worry. We do not harm your computer. 
But some applications may lost data or texture and unable to start. Once you unencrypt you can use it normally again.
We has been encrypted your {0} files so far.
To decrypt your data, follow these steps:
1) Copy these machine code on a piece of paper or file forever broken. 
  Loading your machine code... 
51D3B0D73CA4B61D07891133628221F44D4BEB30
2) Access the software provider and follow the introductions. 
  1. Ask for your decrypt key.
  2. Use DummyUnlocker to restore. 

Перевод записки на русский язык:
Внимание: Ваши данные зашифрованы!
Ваши персональные данные были зашифрованы с помощью безопасной технологии под названием AES-256, имеющей доверие Федерального правительства США.
Если вы видите это сообщение, мы зашифровали ваши данные с помощью ключа, сгенерированного рэндомно для вашей машины, и мы загрузили этот ключ на наш сервер.
Есть только один способ дешифровать файлы, использовать ключ, соответствующий вашему файлу.
После шифрования мы уничтожили ключи на этой машине и сохранили только детали машины.
Остальные части вашего компьютера совсем безопасны. Не волнуйтесь. Мы не нанесём вред вашему компьютеру.
Но некоторые приложения могут утерять данные или текстуру и не смогут работать. После дешифрования вы сможете использовать его в нормальном режиме.
Мы зашифровали всего {0} файлов.
Для расшифровки данных, выполните следующие действия:
1) Скопируйте этот машинный код на лист бумаги или в неповрежденный файл.
   Загрузка вашего машинного кода ...
51D3B0D73CA4B61D07891133628221F44D4BEB30
2) Обратитесь к поставщику программы и следуйте указаниям.
   1. Запросите ваш ключ дешифрования.
   2. Используйте DummyUnlocker для восстановления.

Кнопки "I know, close this dialog" (Я понял, закрыть окно) и "I can't understand what you are saying" (Я не понял, что вы говорите) призваны открыть перед жертвой сайт оплаты или соответствующее разъяснение. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. В данном случае распространяется под видом известного легитимного ПО CCleaner, присвоив у него иконку. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
***
Файлы, связанные с DummyEncrypter Ransomware:
DummyEncrypter.exe
DummyUnlocker.exe
31122e4b777ecbd73bc66d3a76200bf7d807195d40efc5945d74ffc9ae2f7cd6.exe

Имена файлов:
CCleaner
yXbVk8aVTk

Записи реестра, связанные с DummyEncrypter Ransomware:
См. ниже гибридный анализ

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 *
 *

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.