AES_KEY_GEN_ASSIST

AES_KEY_GEN_ASSIST Ransomware 

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 

По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 

См. также статьи УК РФ: 

ст. 272 "Неправомерный доступ к компьютерной информации" 

ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (ECB-режим) + RSA-2048, а затем требует связаться с вымогателями, чтобы уплатить выкуп за секретный ключ и дешифратор, чтобы вернуть файлы. Название оригинальное. Есть сведения о том, что это разработка украинских вымогателей. 

© Генеалогия: DXXD > AES_KEY_GEN_ASSIST.

К зашифрованным файлам добавляется расширение .pre_alpha

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: !Read__Me.tXt

Содержание записки о выкупе:
Dear customer, bad news!!!
Your server was hacked, and your files were encrypted.
[AES-ECB-256 bit + RSA 2048 bit keys]
Encryption was made using unique public RSA-2048 key generated for this computer. To decrypt files you need to obtain the private key.
If you need your files back and recommendations
  about how to protect data and server,
  write to e-mail:
AES_KEY_GEN_ASSIST@protonmail.com
cmp@keemail.me
If you did not receive answer by e-mail,
  write to BitMsg (https://bitmsg.me) address:
BM-2cUvFEjH2g1VDRFu8jzG9Lsff9ymXCMA8z
IMPORTANT: When writing us on e-mail or BitMsg, you must specify the following ID:
*****
WARNING!
PLEASE DO NOT USE ANY THIRD-PARTY DECRYPTION TOOLS OR YOUR FILES WILL BE LOST FOREVER!
WE ARE NOT RESPONSIBLE FOR FILES DAMAGED WITH WRONG TOOLS
Sorry.

Перевод записки на русский язык:
Уважаемый клиент, плохая новость!!!
Ваш сервер был взломан, а ваши файлы были зашифрованы.
[AES-ECB-256 бит + RSA 2048-битные ключи]
Шифрование было сделано используя уникальный открытый ключ RSA-2048, созданного для этого компьютера. Для расшифровки файлов вам необходимо получить закрытый ключ.
Если вам нужны ваши файлы обратно и рекомендации о том, как защитить данные и сервер, пишите на email:
AES_KEY_GEN_ASSIST@protonmail.com
cmp@keemail.me
Если вы не получили ответа по email, напишите d BitMsg (https://bitmsg.me) Адрес:
БМ-2cUvFEjH2g1VDRFu8jzG9Lsff9ymXCMA8z
ВАЖНО: При написании нам по email или BitMsg, надо указать следующий ID:
*****
ПРЕДУПРЕЖДЕНИЕ!
ПОЖАЛУЙСТА, НЕ ИСПОЛЬЗУЙТЕ СРЕДСТВА ДЕШИФРОВАНИЯ ОТ ТРЕТЬИХ ЛИЦ ИЛИ ВАШИ ФАЙЛЫ БУДУТ ПОТЕРЯНЫ НАВСЕГДА!
МЫ НЕ НЕСЕМ ОТВЕТСТВЕННОСТЬ ЗА ФАЙЛЫ, ПОВРЕЖДЕННЫЕ НЕПРАВИЛЬНЫМИ ИНСТРУМЕНТАМИ.
Сожалею.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
 !Read__Me.tXt

Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
AES_KEY_GEN_ASSIST@protonmail.com
cmp@keemail.me

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Topic on BC
 ID Ransomware (as AES_KEY_GEN_ASSIST)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Code Virus

Code Virus Ransomware 

(шифровальщик-вымогатель) 

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в 0,5-1,0 биткоина, чтобы вернуть файлы. Название оригинальное. Представляет собой доработанный крипто-конструктор HiddenTear/EDA2 для продажи (Modified HT/EDA2 For Sale). Разработчик: Xcoder.

© Генеалогия: HiddenTear/EDA2 >> Code Virus Ransomware

К зашифрованным файлам добавляется расширение .locky (по умолчанию).

Продажи этого криптовымогателя замечены в декабре 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ_IT.txt 
Вторым информатором жерты выступает скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе: 
You habe been Hacked!

Перевод записки на русский язык:
Вас взломали!

Этот Ransomware пока только продается кодером, доработавшим код. 

Страницы с сайта CodeVirus

Распространяться покупателем может с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Стандартный набор: документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр. Настраивается. 

Файлы, связанные с этим Ransomware:
ransom_demo.exe
READ_IT.txt 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***codevirus.net***
E-mail: xbotcode@gmail.com
Skype: xbotcode

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *
 *

 Thanks: 
 Jiri Kropac
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FLKR

FLKR Ransomware 

Aliases: Morf56, JabberLover, Jackpot 

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует файлы блоками по 512 байт с помощью Blowfish, а затем требует связаться по email или jabber, для получения инструкций по расшифровке. Название оригинальное.

Обнаружения:

DrWeb -> Trojan.Encoder.7223, Trojan.Encoder.13483, Trojan.KillFiles.63223

ALYac -> Trojan.Ransom.FLKR

Avira (no cloud) -> TR/Agent.bgmuf

BitDefender -> Generic.Ransom.Flirk.C70F65D7, Trojan.GenericKD.31051378

ESET-NOD32 -> A Variant Of Win32/Filecoder.NIT

Kaspersky -> Trojan-Ransom.Win32.Agent.iux

Microsoft -> Trojan:Win32/Occamy.AA, Trojan:Win32/Tiggre!rfn

Qihoo-360 -> Win32/Trojan.Ransom.26b

Rising -> Malware.Undefined!8.C (TFE:5*, Trojan.Filecoder!8.68 (CLOUD)

Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.2

Tencent -> Win32.Trojan.Agent.Eehd, Win32.Trojan.Filecoder.Tafe

TrendMicro -> Ransom_MORF.A, Ransom_FLKR.THGAAAH

© Генеалогия: FLKR. Начало. 

Изображение — логотип статьи с картинкой от XMPP (Jabber)

К зашифрованным файлам добавляется расширение _morf56@meta.ua_
Оригинальные имена и расширения не изменяются. 

Этимология названия
Оригинальное название неизвестно. Название для статьи и идентификации получил от файла flkr.exe

Активность этого крипто-вымогателя пришлась на начало декабря 2016 г. Ориентирован на англоязычных или русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
INSTRUCT.txt

Содержание записки о выкупе:
Information is encrypted with a strong password. 
To decrypt it e-mail: morf56@meta.ua for instructions. 
Reserve communication channel - this jabber: fhmjfjf@default.rs 
Use jabber only when conversation via email is not possible

Перевод записки на русский язык:
Информация зашифрована с сильным паролем.
Для расшифровки e-mail: morf56@meta.ua для инструкций.
Резервный канал связи - это jabber: fhmjfjf@default.rs
Используй jabber только если связь по email невозможна

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.: .dat, .dll, .doc, .docx, .exe, .pdf, .xls, .xlsx и многие другие.

При шифровании пропускаются файлы в папках: 
Windows, Program files, Program files (x86)
System volume information
Documents and settings, Users
Install, Music, Intel, adfs, cpqsystem

Пропускаются файлы следующих типов: 
.txt, .mp3, .avi

Удаляются файлы без шифрования файлы типов:
.bak, .tib 

Файлы, связанные с этим Ransomware:
flkr.exe - основной исполняемый файл

flkr.pdb - оригинальное название проекта
C:\cpqsystem\rel1711\flkr.exe
C:\cpqsystem\rel1711\delmeflk.bat
C:\cpqsystem\rel1711\delmelaun.bat
C:\cpqsystem\rel1711\launcher.exe
INSTRUCT.txt
<random>.bat
<random>.exe
<random>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения и связи:
Email: morf56@meta.ua
jabber: fhmjfjf@default.rs

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>   Ещё >>
Intezer анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 10 декабря 2017:
Дополнение к расширению: +asdasd333@default.rs
Контакт в Jabber: asdasd333@default.rs
Записка: INSTR.txt
Тема на форуме >>

➤ Содержание записки: 
Для расшифровки пишите в джаббер: asdasd333@default.rs , Ваш ПИН: 69 --- 
In order to decrypte files please contact me via Jabber asdasd333@default.rs your pin 69

Обновление от 21 мая 2018:
Дополнение к расширению: __murzik@jabber.mipt.ru
Email: murzik@jabber.mipt.ru
Файл с ключом: dakeys.txt
Записка: INSTRUCTION.txt

➤ Содержание записки:
Хотите расшифровать Ваши файлы? Пишите на джаббер (xmpp): murzik@jabber.mipt.ru (можете писать в оффлайн если нас нет в онлайне) Ваш PIN: **
Топик на форуме >>

Обновление от 5 июля 2018: 
Пост в Твиттере >>
Расширение: +superuser111@0nl1ne.at
Email: superuser111@0nl1ne.at
Записка: INSTRUCTIONX.txt
➤ Содержание записки: 
To decrypt files - Jabber (xmpp) address: superuser111@0nl1ne.at (if we are offline - you can write offline, its ok) PIN: 44
Результаты анализов: VT + IA


Обновление от 25 декабря 2018:
Расширение: +jabber-hellobuddy@sj.ms
Jabber: hellobuddy@sj.ms
Записка: INSTRUCTIONS.txt

➤ Содержание записки: 
Для расшифровки файлов пишите на джаббер: hellobuddy@sj.ms (можете писать в оффлайн) Ваш PIN: **


Обновление от 11-18 марта 2019:
Пост в Твиттере >>
Расширение: +jabber-winnipyh123@sj.ms
Записка: INSTRUCTIONS.txt
Jabber: winnipyh123@sj.ms


Обновление от 10 мая 2019:
Пост в Твиттере >>
Расширение: +jabber-theone@safetyjabber.com
Записка: INSTRUCTIONS.txt
Jabber: theone@safetyjabber.com
➤ Содержание записки: 
Для расшифровки файлов пишите на джаббер: theone@safetyjabber.com (можете писать в оффлайн) Ваш PIN: **.

Обновление от 3 декабря 2019:
Пост в Твиттере >>
Расширение: +jackpot@jabber.cd
Записка: INSTRUCTION.txt
Файл: winsysmon.exe
Результаты анализов: VT
➤ Обнаружения:
DrWeb -> Trojan.KillFiles.63223
BitDefender -> Gen:Variant.Graftor.478783
Symantec -> ML.Attribute.HighConfidence

Обновление от 20 января 2020:
Топик на форуме >>
Расширение: +jackpot@jabber.cd
Записка: INSTRUCTIONS.txt
Jabber: jackpot@jabber.cd
➤ Содержание записки: 
Для расшифровки файлов пишите на джаббер: jackpot@jabber.cd (можно в оффлайн) Ваш PIN: **

Обновление от 24 ноября 2020: 

Сообщение >>

Расширение: _bigdick333@jabber.cd 

Jabber: bigdick333@jabber.cd 

Результаты анализов: VT + IA

Вариант от 22 ноября 2021: 

Сообщение >>

Расширение: +cccrraab@jabber.cd

Записка: INSTRUCTION.txt

Jabber: cccrraab@jabber.cd

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
За дешифровкой обращайтесь к thyrex по ссылке >>

Увы... Для зашифрованных файлов новых версий FLKR нет дешифровщика. 
Файлы могут быть расшифрованы только с использованием (закрытого) секретного ключа, находящегося у злоумышленника.

 Read to links: 
 Topic on VI
 Tweet on Twitter
 ID Ransomware (ID as FLKR)
 *

 Thanks: 
 Thyrex, Andrew Ivanov
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PopCornTime

PopCornTime Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,5-1,0 биткоинов, чтобы вернуть файлы. Название оригинальное, указано в проекте. Разработчики называют себя группой сирийских студентов. 

© Генеалогия: HiddenTear >> Popcorn Time Ransomware

Popcorn Time — кроссплатформенный свободный BitTorrent-клиент, включающий медиапроигрыватель, позволяющий транслировать фильмы и телепередачи через торренты. На фоне его известности решили сыграть вымогатели, которые распространяют под видом нового инсталлятора установочный файл с вирусом-шифровальщиком. 

Оригинальный логотип реального Popcorn Time

К зашифрованным файлам добавляется расширение .kok или .filock

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
restore_your_files.txt
restore_your_files.html

Содержание текстовой записки о выкупе:
Warning Message!!
We are sorry to say that your computer and your files have been encrypted,
but wait, don’t worry. There is a way that you can restore your computer and all of your files
***
Your personal unique ID: [UID]
You must send at least [BAMOUNT] Bitcoin to address [WADDRESS] to get your files back
Warning!!! If you will not pay for the next 7 days, the decryption key will be deleted and your files will be lost forever.
***
Restoring your files - The fast and easy way
To get your files fast, please transfer [BAMOUNT] bitcoin to our wallet address [WADDRESS]. When we will get the money, we will immediately give you your private decryption key. Payment should be confirmed in about 2 hours after payment made.
Restoring your files - The nasty way
Send the link [RLINK] below to other people, if two or more people will install this file and pay, we will decrypt your files for free.
What we did?
We had encrypted all of your important images, documents, videos and all other files on your computer,
We used a very strong encryption algorithm that used by all governments all over the world.
We store your personal decryption code to your files on our servers and we are the only ones that can decrypt your files.
Please don't try to be smart, anything other than payment will cause damage to your files and the files will be lost forever!!!
If you will not pay for the next 7 days, the decryption key will be deleted and your files will be lost forever.
Why we do that?
We are a group of computer science students from Syria, as you probably know Syria is having bad time for the last five years.
Since 2011 we have more the half million people died and over 5 million refugees. Each member of our team has lost a dear from his family. 
I personally have lost both my parents and my little sister in 2015.
The sad part is that the world remained silent and no one helping us so we decided to take an action.
How to buy Bitcoins?
If you aren't familiar with Bitcoin and don't know what is it,
please visit the official Bitcoin website (https://bitcoin.org/en/getting-started),
follow the steps and you'll get your Bitcoins.
To understand more you can check also on the FAQ page (https://bitcoin.org/en/faq).
Please check this website (https://coinatmradar.com/) where you can find Bitcoin ATM all over the world.
List of encrypted files on your computer
[FILES_LIST]

Перевод записки на русский язык:
Предупреждающее сообщение!!
К сожалению, должен сказать, что ваш компьютер и ваши файлы были зашифрованы,
но подождите, не волнуйтесь. Есть способ, что вы можете восстановить ваш компьютер и все ваши файлы
***
Ваш личный уникальный ID: [UID]
Вы должны отправить минимум [BAMOUNT] Bitcoin на адрес [WADDRESS], чтобы получить файлы обратно
Предупреждение!!! Если вы не заплатите в течение следующих 7 дней, ключ дешифрования будет удален, и ваши файлы будут потеряны навсегда.
***
Восстановление файлов - быстрый и простой способ
Для того, чтобы получить ваши файлы быстро, пожалуйста, переведите [BAMOUNT] Bitcoin на адрес нашего кошелька [WADDRESS]. Когда мы получим деньги, мы сразу же дадим вам ваш личный ключ дешифрования. Оплата должна быть подтверждена в течение примерно 2 часов после сделанной оплаты.
Восстановление файлов - другой путь
Отправить ссылку [RLINK] ниже для других людей, если два или больше людей установят этот файл и заплатят, мы расшифруем ваши файлы бесплатно.
Что мне делать?
Мы зашифрованы все важные изображения, документы, видео и все другие файлы на вашем компьютере,
Мы использовали очень сильный алгоритм шифрования, который используют все правительства в мире.
Мы сохранили ваш персональный код дешифрования файлов на наших серверах, и мы единственные, кто может расшифровать ваши файлы.
Пожалуйста, не пытайтесь умничать, всё что-либо, кроме оплаты, может привести к повреждению ваших файлов и файлы будут потеряны навсегда!!!
Если вы не будете платить в течение следующих 7 дней, ключ дешифрования будет удален, и ваши файлы будут потеряны навсегда.
Почему мы делаем это?
Мы являемся группой студентов информатики из Сирии, как вы, вероятно, знаете, Сирия переживает плохое время в течение последних пяти лет.
С 2011 года у нас уже больше полутора миллионов человек погибли и более 5 миллионов беженцев. Каждый член нашей команды потерял дорогого из своей семьи.
Я лично потерял обоих моих родителей и мою младшую сестру в 2015 году.
Печально то, что мир молчал, и никто не помогать нам, поэтому мы решили принять меры.
Как купить биткоины?
Если вы не знакомы с Bitcoin и не знаете, что это, пожалуйста, посетите официальный сайт Bitcoin (https://bitcoin.org/en/getting-started), следуйте инструкциям, и вы получите ваши биткоины.
Чтобы понять больше, вы можете проверить также на странице FAQ (https://bitcoin.org/en/faq).
Пожалуйста, проверьте этот сайт (https://coinatmradar.com/~~HEAD=dobj), где вы можете найти Bitcoin ATM во всем мире.
Список зашифрованных файлов на вашем компьютере
[FILES_LIST]

Информатором жертвы также выступает экран блокировки "Warning Message!!", который дублирует содержание записки о выкупе. 

[UID] - уникальный идентификатор жертвы
[WADDRESS] - адрес Bitcoin-кошелька вымогателя

Кроме того, что проект пока находится в разработке, имеется функционал удаления файлов после четырех неудачных попыток ввода кода дешифрования (самое нижнее поле на скриншоте выше). 

После запуска шифровальщик проверяет систему на наличие файлов been_here и server_step_one. Если файл been_here существует, то это означает, что компьютер уже зашифрован и шифровальщик завершит работу. Иначе он будет загружать заготовленные изображения, чтобы использовать их в качестве фона или начнёт процесс шифрования файлов.

На данный момент шифровальщик нацелен только на тестовую папку Efiles на рабочем столе. Он будет искать эту папку с файлов, которые имеют заданные расширения, а затем зашифрует их с помощью AES-256. 

Во время шифрования жертве показывается следующий фальшивый экран установки и обновления.

Примечательно, но после оплаты вымогатели позаботились о том, чтобы успокоить уплативших выкуп следующей фразой о благотворительности.

Фраза, выделенная красной рамкой:
"We know that we forced you to pay, but be sure that the payment was for a good cause, The money you gave will be used for food, medicine and shelter to those in need."

Перевод фразы на русский язык:
"Мы знаем, что заставили вас заплатить, но будьте уверены, что платеж был на хорошее дело, деньги, что вы дали, будут использованы для продуктов, медикаментов и жилья для нуждающихся."

После реализации проекта может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов, торрент-загрузок, ботнетов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .aaf, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aep, .aepx, .aes, .aet, .agdl, .ai, .aif, .aiff, .ait, .al, .amr, .aoi, .apj, .apk, .arch00, .arw, .as, .as3, .asf, .asm, .asp, .aspx, .asset, .asx, .atr, .avi, .awg, .back, .backup, .backupdb, .bak, .bar, .bay, .bc6, .bc7, .bdb, .bgt, .big, .bik, .bin, .bkf, .bkp, .blend, .blob, .bmd, .bmp, .bpw, .bsa, .c, .cas, .cdc, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfr, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .d3dbsp, .dac, .dar, .das, .dat, .dazip, .db, .db0, .db3, .dba, .dbf, .dbx, .db_journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .desc, .design, .dgc, .dir, .dit, .djvu, .dmp, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .easm, .edb, .efx, .eml, .epk, .eps, .erbsql, .erf, .esm, .exf, .fdb, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fos, .fpk, .fpx, .fsh, .fxg, .gdb, .gdoc, .gho, .gif, .gmap, .gray, .grey, .groups, .gry, .gsheet, .h, .hbk, .hdd, .hkdb, .hkx, .hplg, .hpp, .htm, .html, .hvpl, .ibank, .ibd, .ibz, .icxs, .idml, .idx, .iff, .iif, .iiq, .incpas, .indb, .indd, .indl, .indt, .inx, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdb, .kdbx, .kdc, .key, .kf, .kpdx, .kwm, .laccdb, .layout, .lbf, .lck, .ldf, .lit, .litemod, .log, .lrf, .ltx, .lua, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .map, .max, .mbx, .mcmeta, .md, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdi, .mef, .menu, .mfw, .mid, .mkv, .mlb, .mlx, .mmw, .mny, .mos, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mpp, .mpqge, .mrw, .mrwref, .msg, .myd, .nc, .ncf, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pak, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pkpass, .pl, .plb, .plc, .plt, .plus_muhd, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppj, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prf, .prproj, .ps, .psafe3, .psd, .psk, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qic, .r3d, .ra, .raf, .rar, .rat, .raw, .rb, .rdb, .re4, .rgss3a, .rim, .rm, .rofl, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sb, .sd0, .sda, .sdf, .ses, .shx, .sid, .sidd, .sidn, .sie, .sis, .sldasm, .sldblk, .sldm, .sldprt, .sldx, .slm, .snx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .sum, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t12, .t13, .tap, .tax, .tex, .tga, .thm, .tif, .tlg, .tor, .txt, .upk, .v3d, .vbox, .vcf, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x11, .x3f, .xf, .xis, .xla, .xlam, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsb3dm, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xxx, .ycbcra, .yuv, .zip, .ztmp (525 расширений).
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
popcorn_time.exe
<random>.torrent.exe
restore_your_files.txt
restore_your_files.html
%AppData%\been_here
%AppData%\server_step_one

Записи реестра, связанные с этим Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Popcorn_Time" [path_to]\popcorn_time.exe

Сетевые подключения:
***popcorn-time-free***
***3hnuhydu4pd247qb.onion***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на kok >> Ещё >> Ещё >>
VirusTotal анализ на filock >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 13 декабря 2016:
Пост в Твиттере >>
Жёлтый цвет надписи таймера дней и часов изменился на сиреневый.
С чего бы такие мелочи? :) 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PopCornTime)
 Write-up on BC
 *
 *

 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

HackedLocker

HackedLocker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,33 биткоинов при уплате в течении 24 часов, или 0,5 биткоинов после 24 часов, чтобы вернуть файлы. 

Название дано по большой надписи Hacked в центре экрана блокировки. Оригинальное: Locker. Фальш-имя: Hewlett-Packard. По данным исследователей, шифровальщик не доделан или содержит ошибки в коде. Разработчик: Monument. 

© Генеалогия: Jigsaw > Hacked

К зашифрованным файлам добавляется расширение .hacked или случайное. 

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Текстовой записки с требованием выкупа нет. Её заменяет экран блокировки с надписью "Your Computer Has Been Hacked". 

Содержание записки о выкупе:
HACKED
Your computer has been encrypted
You must pay .33 bitcoins within 24 hours
Or .5 bitcoins after 24 hours
To get your files back
After 48 hour your computer will be destroyed if you have not paid
Your bitcoin payment address is:
18zvwscqrb***
If you do not have bitcoins buy them at www.localbitcoins.com

Перевод записки на русский язык:
ВЗЛОМАНО
Ваш компьютер был зашифрован
Вы должны заплатить 0.33 биткоина в течение 24 часов
Или 0.5 биткоина через 24 часа
Чтобы получить файлы обратно
Через 48 часа ваш компьютер будет уничтожен, если вы не заплатили
Ваш платежный Bitcoin-адрес:
18zvwscqrb ***
Если у вас нет биткоинов купите их в www.localbitcoins.com

Не указано никаких контактов для связи с вымогателем после уплаты выкупа. Уплата выкупа бесполезна!

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Locker.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.localbitcoins.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!

Для зашифрованных файлов есть декриптер.

Скачать Jigsaw Decrypter для Hacked Ransomware >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Jigsaw Updated)
 Write-up
 *
 *

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.