CerberTear

CerberTear Ransomware 

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,4 биткоинов, чтобы вернуть файлы. Название получил из-за подражания Cerber. Записка о выкупе также довольно длинновата и в ней упоминается Cerber Decryptor. 

Обнаружения: 
DrWeb -> Trojan.Encoder.6761, Trojan.Encoder.10598
BitDefender -> Trojan.GenericKD.3587705, Gen:Heur.Ransom.HiddenTears.1, Dropped:Trojan.GenericKD.4348722, Dropped:Trojan.Generic.20777773
Kaspersky -> Trojan-Ransom.NSIS.MyxaH.fuf, Trojan.Win32.Hesv.amo
TrendMicro -> Ransom_HiddenTearCerber.A, Ransom_CERBER.VSAFQ
Symantec -> Ransom.HiddenTear

© Генеалогия: HiddenTear >> CerberTear

К зашифрованным файлам добавляется расширение .cerber

Активность этого криптовымогателя пришлась на ноябрь 2016 г., но могла начаться раньше. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются:
HOW_TO_RESTORE_YOUR_DATA.html

Содержание записки о выкупе:
CERBER RANSOMWARE DECRYPTOR
Your document, photos, databases and other important files have been encrypted!
To decrypt your files you need to buy the special software - Cerber Decryptor
All transactions should be performed via Bitcoin network only.

What is encryption?
Encryption is a reversible modification of information for security reasons but providing full access to it for authorized users.
To become an authorized user and keep the modification absolutely reversible (in other words to have a possibility to decrypt your files) you should have an individual private key.
But not only it.
It is required also to have the special decryption software (in your case 'Cerber Decryptor' software) for safe and complete decryption of all your files and data.

Everything is clear for me but what should I do?
The first step is reading these instructions to the end.
Your files have been encrypted with the 'Cerber Ransomware' software; the instructions ('HOW TO DECRYPT FILES.html') in the folders with your encrypted files are not viruses, they will help you.
After reading this text the most part of people start searching in the Internet the words the 'Cerber Ransomware' where they find a lot of ideas, recommendations and instructions.
It is necessary to realize that we are the ones who closed the lock on your files and we are the only ones who have this secret key to open them.

Any attempts to get back your files with the third-party tools can be fatal for your encrypted files.
The most part of the third-party software change data within the encrypted file to restore it but this causes damage to the files.
Finally it will be impossible to decrypt your files.
When you make a puzzle but some items are lost, broken or not put in its place - the puzzle items will never match, the same way the third-party software will ruin your files completely and irreversibly.
You should realize that any intervention of the third-party software to restore files encrypted with the 'Cerber Ransomware' software may be fatal for your files.

There are several plain steps to restore your files but if you do not follow them we will not be able to help you, and we will not try since you have read this warning already.
For your information the software to decrypt your files (as well as the private key provided together) are paid products.
After purchase of the software package you will be able to:
decrypt all your files;
work with your documents;
view your photos and other media;
continue your usual and comfortable work at the computer.

How to get 'Cerber Decryptor'?
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins (0.4 Bitcoins)
     Here are our recommendations:
      LocalBitcoins.com - the fastest and easiest way to buy and sell Bitcoins;
      CoinCafe.com - the simplest and fastest way to buy, sell and use Bitcoins;
      BTCDirect.eu - the best for Europe;
      CEX.IO - Visa / MasterCard;
      CoinMama.com - Visa / MasterCard;
      HowToBuyBitcoins.info - discover quickly how to buy and sell bitcoins in your local currency.
3. Send 0.4 BTC (Bitcoins) to the following address: 
1GU18zL2P7Y5bq8EPFBSo2tnvCd9ZEBi3E
4. Get the link and download the software, your files will be decrypted automatically!

Additional information:
You will find the instructions for restoring your files in those folders where you have your encrypted files only.
Unfortunately antivirus companies cannot protect or restore your files but they can make the situation worse removing the instructions how to restore your encrypted files.

Перевод записки на русский язык:
CERBER RANSOMWARE DECRYPTOR
Ваши документы, фото, базы данных и другие важные файлы зашифрованы!
Чтобы расшифровать файлы нужно купить специальную программу - CERBER Decryptor
Все выплаты должны выполняться только через сеть Bitcoin.

Что такое шифрование?
Шифрование — это обратимое в целях безопасности изменение информации, с предоставлением к ней доступа авторизованным пользователям.
Чтобы стать авторизованным пользователем и сохранить изменения абсолютно обратимыми (иначе говоря, иметь возможность дешифровать файлы), вы должны иметь индивидуальный секретный ключ.
Но не только это.
Необходимо также иметь специальную программу дешифрования (в вашем случае ПО CERBER Decryptor) для безопасной и полной дешифровки всех ваших файлов и данных.

Мне всё ясно, но что я должен делать?
Первый шаг — дочитать эти инструкции до конца.
Ваши файлы зашифрованы с помощью ПО 'Cerber Ransomware'; инструкции ('HOW TO DECRYPT FILES.html') в папках с вашими зашифрованными файлами не являются вирусами, они помогут вам.
После прочтения этого текста большинство людей начнёт поиск в Интернете по словам 'Cerber Ransomware', где надётся много идей, рекомендаций и инструкций.
Надо понимать, что мы те, кто закрыл на замок ваши файлы и мы единственные, у кого есть тот секретный ключ, что откроет их.

Любые попытки вернуть ваши файлы с помощью сторонних инструментов могут стать фатальными для ваших зашифрованных файлов.
Большая часть стороннего ПО вносит изменения внутри зашифрованного файла, чтобы восстановить его, но это приводит к повреждению файлов.
В конце концов, станет невозможно расшифровать файлы.
Когда вы собираете головоломку, но некоторые детали потеряны, сломаны или не ставятся на место - элементы головоломки не подойдут, точно также ПО сторонних производителей разрушит ваши файлы полностью и необратимо.
Вы должны понимать, что любое вмешательство стороннего ПО для восстановления файлов, зашифрованных с помощью ПО 'Cerber Ransomware' может стать фатальным для ваших файлов.

Есть несколько шагов, чтобы просто восстановить ваши файлы, но если вы последуете им, мы не сможем помочь вам, и не будем пытаться, т.к. вы уже прочитали это предупреждение.
Для вашей информации ПО для расшифровки файлов (а также секретный ключ, поставляющийся вместе) это платные продукты.
После покупки пакета ПО вы сможете:
расшифровать все ваши файлы;
работать с документами;
просматривать фото и другие медиа-данные;
продолжить свою обычную и комфортную работу на компьютере.

Как получить 'CERBER Decryptor'?
1. Создайте Bitcoin-кошелёк (мы рекомендуем Blockchain.info)
2. Купите требуемое количество Bitcoins (0,4 Bitcoins)
     Вот наши рекомендации:
      LocalBitcoins.com - самый быстрый и простой способ купить и продать Bitcoins;
      CoinCafe.com - самый простой и быстрый способ купить, продать и использовать Bitcoins;
      BTCDirect.eu - лучший для Европы;
      CEX.IO - Visa / MasterCard;
      CoinMama.com - Visa / MasterCard;
      HowToBuyBitcoins.info - быстро найти, купить и продать Bitcoins в местной валюте.
3. Отправить 0,4 BTC (Bitcoins) по следующему адресу:
1GU18zL2P7Y5bq8EPFBSo2tnvCd9ZEBi3E
4. Получить ссылку и загрузить ПО, ваши файлы будут расшифрованы автоматически!

Дополнительная информация:
Вы найдете инструкции для восстановления файлов в папках, где у вас есть только ваши зашифрованные файлы.
К сожалению, антивирусные компании не могут защитить или восстановить ваши файлы, но они могут сделать ситуацию еще хуже, удалив инструкции, как восстановить зашифрованные файлы.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:

.3dm, .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .game, .gif, .grle, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mlx, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .ra, .raw, .rb, .rtf, .sav, .sdf, .ses, .sldm, .sldx, .slot, .spv, .sql, .sv5, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx (127 расширений), без повторов в верхнем регистре. 

Файлы, связанные с CerberTear Ransomware:
HOW_TO_RESTORE_YOUR_DATA.html
ro51f.exe
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nsw1.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nso2.tmp
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\nso2.tmp\System.dll 
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\SetCursor.dll 
И другие. 

Записи реестра, связанные с CerberTear Ransomware:
См. ниже гибридный анализ.

Сетевые подключения и связи:
URL: paket.pw
URL: coincafe.com
104.27.154.158:80 (США)
BTC: 1GU18zL2P7Y5bq8EPFBSo2tnvCd9ZEBi3E
Email: -

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 декабря 2016:
Пост в Твиттере >>
Расширение: .cerber
Файлы: eda2.exe, PK.dat
Выкуп: 10,5 BTC. 
Фальш-имя: Налоговая накладная.PDF
Результаты анализов: VT
Записка и скринлок:

 

Обновление от 10 февраля 2017:
Пост в Твиттере >>
Расширение: .cerber
Фальш-имя: Cerber Ransomware
Записка: HOW_TO_RESTORE_YOUR_DATA.html
Сетевые подключения и связи: 
Результаты анализов: HA, VT

<< Скриншот окна сайта оплаты декриптера

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CerberTear)
 *

 Thanks: 
 Karsten Hahn + for list of extensions
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FuckSociety

FuckSociety Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей якобы с помощью RSA-4096, а затем требует выкуп в биткоинах, чтобы вернуть файлы. Название оригинальное.

Предыдущие вымогатели со схожим названием: FSociety, Fs0ciety Locker

© Генеалогия: Hidden Tear >> APT Ransomware + RemindMe > FuckSociety 

К зашифрованным файлам добавляется расширение .dll.
Имена файлов не изменяются. 

Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
DECRYPT_YOUR_FILES.HTML

Если вам нужны оригинал-скриншоты без водяных знаков и в высоком разрешении, напишите автору блога. 
If you need the original screenshots without watermarks and in high resolution, please contact to author of blog.

Содержание записки о выкупе:
Society
All your files have been encrypted with Fuck Society Ransomware
YOU HAVE 5 DAY TO MAKE PAYMENT OR ALL YOUR FILES HAVE BEEN DELETED!
For each file unique ,strong key. Algorithm RSA4096 look at https://en.wikipedia.org/wiki/RSA_(cryptosystem)
- All your attempts to restore files on their own, lead to the loss of the possibility of recovery and we are not going to help you.
Your unique ID for decrypt: 57002ca9-084a-47c3-9390-0e625389c2ae
FOR DECRYPT YOUR FILES , BUY YOUR UNIQUE DECRYPTION CONFIG:
https://satoshibox.com/eicwgigj8evd65qn4it8q3m4/buy
 In file you find link to decryptor , and link to decryption config file
Make your Bitcoin Wallet on:
blocl.io
coinbase.com
blockchain.info
YOU CAN BUY BITCOINS ON:
btc-e.nz
localbitcoins.com
AND OTHER EXCHANGE SITES.

Перевод записки на русский язык:
Общество
Все ваши файлы были зашифрованы с Fuck Society Ransomware
У вас есть 5 дней, чтобы заплатить или все ваши файлы будут удалены!
Для каждого файла уникальный, сильный ключ. Алгоритм RSA4096 смотри на https://en.wikipedia.org/wiki/RSA_(cryptosystem)
- Все ваши попытки восстановить файлы самому, приведут к потере возможности восстановления, и мы не будем помогать вам.
Ваш уникальный ID для дешифрования 57002ca9-084a-47c3-9390-0e625389c2ae
Для дешифрования файлов купите ваш уникальный config-файл дешифрования:
https://satoshibox.com/eicwgigj8evd65qn4it8q3m4/buy
В файле вы найдете ссылку на декриптор, а также ссылку на config-файл дешифрования
Создайте свой Bitcoin-кошелёк:
blocl.io
coinbase.com
blockchain.info
Вы можете купить Bitcoins на:
btc-e.nz
localbitcoins.com
И другие сайты обмена.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
.accdb, .adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .bat, .cdr, .css, .csv, .dbf, .doc, .docx, .dwf, .dwg, .ecw, .eps, .frm, .html, .jpeg, .jpg, .js, .mdb, .msg, .odt, .pdf, .php, .pix, .png, .ppt, .pptx, .psd, .qbb, .qbo, .qbw, .qbw, .rpt, .sldprt, .sln, .sql, .sqlite, .tif, .tlg, .txt, .xls, .xlsx, .xml (49 расширений). 

Примечательно, что этот список заимствован создателями вредоноса у другого крипто-вымогателя RemindMe, но был дополнен. 

Файлы, связанные с FuckSociety Ransomware:
DECRYPT_YOUR_FILES.HTML
FSociety.exe
report.exe

Записи реестра, связанные с FuckSociety Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ ещё >>

Степень распространённости: низкая.
Подробные сведения собираются.

Итого: Этот вымогатель представляет собой Mix (смесь, мешанину) из разных составляющих, включенных в него из других крипто-вымогателей. Разумеется, это сделано с целью запутать исследователей и еще сильнее деморализовать пострадавших. 
FuckSociety Mix: 
FSociety - имя exe-файла от других с похожим названием FSociety;
Extension set - от RemindMe + 19 новых расширений;
FuckSociety расширение .dll + записка DECRYPT_YOUR_FILES.HTML

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as FuckSociety)
 Video review
 *

 Thanks: 
 Michael Gillespie
 CyberSecurity GrujaRS
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PayDOS, Serpent

PayDOS Ransomware 

Serpent Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,33 биткоинов, чтобы вернуть файлы. Название оригинальное, судя по exe-файлу и заголовку в DOS-окне.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .dng

Кроме того файлы переименовываются в нумерованном порядке: от 1 до имеющегося количества файлов. Пример см. на скриншоте выше. 

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются README.txt. 

Вымогатель считывает имя пользователя и в записке обращается к нему по этому имени. 

Все требования также продублированы в DOS-окнах: PayDOS и SERPENT. 

Содержание текста из окна PayDOS:
I am so sorry you can see me. If you can I have bad news.
It seems all your files have been encrypted and there is nothing that you can do about this. However with my help I can help you restore them. You need a passcode to decrypt them. Send exactly 0.33 BTC to this address: 
You will be send the PASSCODE.

Перевод текста на русский язык:
Я сожалею, что вы видите меня. Если это так, то у меня для вас плохие новости. Увы, все ваши файлы зашифрованы и ничего вы не можете сделать в этом случае. Но с моей помощью я могу помочь вам вернуть их. Вам нужен passcode, чтобы дешифровать их.
Отправьте ровно 0,33 BTC по этому адресу:
Вы должны прислать PASSCODE.


Содержание текста из окна SERPENT:
Hello User,
Your files have all been encrypted using a heavy encryption called "RSA-2048". You will not be able to access the files unless you have been provided the PASSCODE. This unfortunate event does have a solution By paying a small fee you can get all of your files back as you will be sent the passcode.
You can find the contact information bellow...
WEBSITE:
EMAIL: SERPENT.RANSOM@NOTREALMAIL.COM

Перевод текста на русский язык:
Привет Пользователь,
Ваши файлы все зашифрованы с помощью тяжелого шифрования называемым "RSA-2048". Вы не сможете получить доступ к файлам, если вы не получили PASSCODE. Этот несчастный случай имеет решение, заплатив небольшую плату, вы можете получить все ваши файлы обратно, когда вам будет выслан passcode.
Вы можете найти контактную информацию ниже...
WEBSITE:
EMAIL: SERPENT.RANSOM@NOTREALMAIL.COM

Для сведения, PASSCODE: AES1014DW256

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, в том числе под видом легитимного ПО Skype. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Директории, подвергающиеся шифрованию:
C:\Users\%Username%\AppData\Local
C:\Users\%Username%\Desktop
C:\Users\%Username%\Documents
C:\Users\%Usernanie%\Music
C:\Users\%Usernane%\Uideos
C:\Users\%Usernane%\Downloads
C:\Users\%Username%\Pictures

Список файловых расширений, подвергающихся шифрованию:

.avi, .dav, .dgg, .dif, .dng, .dnk, .dov, .dp3, .dp4, .dpg, .drl, .dsi, .dvi, .dxe, .dxt, .exe, .gif, .Ink, .jpg, .mov, .mp3, .mp4, .msi, .ogg, .png, .txt, .url, .wav (28 расширений). 

Файлы, связанные с PayDOS Ransomware:
SpikeSkype_SETUP.exe
PayDOS_Ransomware_unlockcode_AES1014DW256.exe"
C:\WINDOWS\system32\cmd" /c ""C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.bat
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\1.tmp\2.bat
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\3E2A.tmp\3E2B.bat
%TEMP%\3E2A.tmp\3E2B.bat C:\PayDOS_Ransomware_unlockcode_AES1014DW256.exe
И другие. 

Записи реестра, связанные с PayDOS Ransomware:
см. ниже гибридный анализ.

Сетевые подключения:
см. ниже гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Write-up on BC
 ID Ransomware (n/a)

 Thanks: 
 Jakub Kroustek 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

zScreenLocker

zScreenLocker Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, буква z в начале указывает на автора - by zenn. В проекте ник пользователя ПК вымогателя: bunk3r_tor. Вероятно, из Бразилии. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение * нет данных *

Образец этого крипто-вымогателя был найден в начале ноября 2016 г. Видимо находится в разработке, т.к. нет никаких контактов для выплаты выкупа и других данных, характерных для крипто-вымогателей. 

Обоями рабочего стола встаёт изображение зелёного флага с надписью "Ban Islam" в жёлтом ромбе. Что этим хотел выразить разработчик, неизвестно. 

Содержание текста:
Ban Islam

Технические детали

Может распространяться с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, а также под видом загружаемого видеофайла. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
* нет данных *

Файлы, связанные с zScreenLocker Ransomware:
zScreenLocker.exe
<image>

Записи реестра, связанные с zScreenLocker Ransomware:
См. ниже гибридный анализ. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 *

 Thanks: 
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Gremit

Gremit Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,03 биткоинов, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .rnsmwr.

Образец этого криптовымогателя был обнаружен в начале ноября 2016 г. Ориентирован на англоязычных пользователей.

Запиской с требованием выкупа выступает блокировщик экрана с заголовком "What happened?".

Содержание записки о выкупе:
What happened?
Most of your files have been encrypted. You'll need to pay to get them back.
Do not try to do stupid things, or i'll erase your whole Harddrive forever. It's just one click for me
and I don't care about your files.
How to Pay?
https://bitcoin.org/en/getting-started
Amount:
0.03 BTC [~19€ /~21$]
Send Bitcoin to the following Adress:
1345GFjbj5b2NJNb4mg8hVKrRmJpcDwUkn
You paid but you are still not able to decrypt your files?
Just turn off your computer and try again in some hours.

Перевод записки на русский язык:
Что случилось?
Большинство ваших файлов зашифрованы. Вам нужно заплатить, чтобы получить их обратно.
Не пытайтесь делать глупостей или я стиру весь ваш жёсткий диск. Это лишь один клик для меня и я не пожалею ваши файлы.
Как заплатить?
https://bitcoin.org/en/getting-started
Количество:
0.03 BTC [~ 19 € / ~ 21 $]
Отправить Bitcoin на следующий адрес:
1345GFjbj5b2NJNb4mg8hVKrRmJpcDwUkn
Вы заплатили, но вы еще не можете расшифровать свои файлы?
Просто выключите компьютер и повторите через несколько часов.

Находится в разработке. Шифруются все файлы в папке C:\Users\Tim\Desktop\encrypt\ 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
Нет списка. 

Файлы, связанные с Gremit Ransomware:
Ransomware.exe
<Random_name>.exe
Gremit_ransomware.exe

Записи реестра, связанные с Gremit Ransomware:
См. ниже гибридный анализ.

Сетевые подключения и связи:
хттпs://bitcoin.org/en/getting-started
хттп://pastebin.com/raw/hH9hnfxY

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 *
 *

 Thanks: 
 Karsten Hahn
 PayloadSecurity
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Hollycrypt

Hollycrypt Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп немного биткоинов, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: HiddenTear >> Hollycrypt

К зашифрованным файлам добавляется расширение .Hollycrypt.

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Read_this_shit.txt

Содержание записки о выкупе:
Your Files has been encrypted with Hollycrypt
Send me some bitcoins or Vodka , Then I will email with an antidote
 (>,<) , Email:Hollyman137@gmail.com.

Перевод записки на русский язык:
Ваши файлы зашифрованы с Hollycrypt
Пошлите мне немного Bitcoins или Водку, и я по email дам антидот
 (>, <) , Email:Hollyman137@gmail.com.

Распространяется с помощью email-спама и вредоносных вложений (в данном случае PDF.EXE-файла), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Hollycrypt Ransomware:
Hollycrypt.exe
<random>.PDF.EXE
Read_this_shit.txt

Записи реестра, связанные с Hollycrypt Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BTCLocker

BTCLocker Ransomware 

BTC Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует связаться по email с вымоагтелями, чтобы выкупить декриптер и дешифровать файлы. Название получил от добавляемого расширения.

© Генеалогия: Radamant > BTCLocker

К зашифрованным файлам добавляется расширение .BTC.

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
BTC_DECRYPT_FILES.txt
BTC_DECRYPT_FILES.html

Содержание записки о выкупе:
Hello!
For getting back Your PC data You need to contact with us through email as soon as possible:
zikr@protonmail.com
zikra@protonmail.com
zikr@usa.com

Перевод записки на русский язык:
Привет!
Для возвращения вашего ПК данных вам нужно связаться с нами по email как можно скорее:
zikr@protonmail.com
zikr@protonmail.com
zikr@usa.com

Диалог декриптера:
Now begins the decryption of your files! 
Do not turn off the power and turn on the carriers that have been encrypted! 
When you're ready, click "OK".

Перевод на русский:
Сейчас начнётся дешифрование файлов!
Не выключайте питание и подключите носители, которые были зашифрованы!
Когда будете готовы, жмите "OK".

Распространяется с помощью email-спама и вредоносных вложений, в том числе PDF-документов с иконкой Adobe, а также фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

После шифрования удаляются тома теневых копий файлов. 

Список файловых расширений, подвергающихся шифрованию:

.2015, .3fr, .500, .7z, .accdb, .ai, .apk, .arch00, .arw, .asc, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cab, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .ebc, .ebq, .epb, .epk, .eps, .erf, .esm, .ets, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gpc, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .IIF, .indd, .itdb, .itf, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .lgb, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .mye, .myox, .mysql, .ncf, .nd, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .ofx, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptb, .ptx, .py, .qba, .qbatlg, .qbb, .qbm, .qbo, .qbw, .qbx, .qby, .qdf, .qdf, .qfx, .qic, .qif, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sai, .saj, .sav, .sb, .sdb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx,.sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t11, .t12, .t13, .t14, .t15, .tax, .tax2013, .tax2014, .tax2015, .tax2016, .tlg, .tor, .tt14, .tt15, .tt16, .txf, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp, (230+ расширений). 

Файлы, связанные с BTCLocker Ransomware:
BTC_DECRYPT_FILES.txt
BTC_DECRYPT_FILES.html
%USERPROFILE%\AppData\<random_name>.exe
%ALLUSERSPROFILE%\<random_name>.exe
%PROGRAMFILES%\<random_name>.exe
%WINDIR%\<random_name>.exe
%Temp%\<random_name>.tmp
%AppData%\wallpaper.wall
%WINDIR%\System32\key.public
%WINDIR%\System32\key.private

Записи реестра, связанные с BTCLocker Ransomware:
См. ниже гибридный анализ.

Сетевые подключения:
172.81.176.146
190.10.8.128
81.2.237.32
См. ниже гибридный анализ.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление от 22 февраля 2017:
Пост в Твиттере >>
Email: gelar@protonmail.com и gelarx@protonmail.com
Записка: BTC_DECRYPT_FILES.txt
Расширение: .BTC
Фальш-имя: Animated

Результаты анализов: VT

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 *

 Thanks: 
 Michael Gillespie 
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.