Kraken

Kraken Ransomware 

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2 биткоина, чтобы вернуть файлы. Сумма выкупа удваивается по истечении времени. Название оригинальное. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .kraken
Зашифрованные файлы переименовываются с использованием base64 и принимают следующий вид:
"0SP53hCO8L+aPXb+1zOPwuZr4VrMgRC1hTkBquYbrsynqmXSvGQMnt0RfP9Y-Sqx6Y6LqquhHhvIHpFKXtuIXvr9tFn91Bqvop+O7XyUC+c=.kraken

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

В прошлом, в 2013 году, уже был шифровальщик, которые добавлял расширение .kraken к зашифрованным файлам, но сами файлы не переименовывались. Связь с ним не установлена. 

Записки с требованием выкупа называются: _HELP_YOUR_FILES.html

Содержание текста о выкупе:
KRAKEN
Your documents, photos, databases and other important files have been encrypted!
Decryption of your files is only possible with the special decryption program.
To buy your decryption program follow the steps below.
Number of Files Encrypted 324 
Decryption program price doubles in 1 Days 5 Hours 9 Minutes 32 Seconds 
The current price is 2 BTC  ~1553.52 USD
How to buy Kraken Decryptor?
1. Payment method is Bitcoin Only, follow the steps below.
What is Bitcoin ?
Bitcoin is a consensus network that enables a new payment system and a completely digital money. It is the first decentralized peer-to-peer payment network that is powered by its users with no central authority or middlemen.
More Info:
wikipedia  
bitcoin.org 
coindesk.com  
2. Purchasing Bitcoins
Here are our recommendations:
localbitcoins.com (WU) Buy Bitcoins with Western Union. 
coincafe.com Recommended for fast, simple service.
Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, in person.  
localbitcoins.com  Service allows you to search for people in your community willing to sell bitcoins to you directly.  
cex.io Buy Bitcoins with VISA/MASTERCARD or wire transfer. 
btcdirect.eu The best for Europe. 
bitquick.co Buy Bitcoins instantly for cash. 
howtobuybitcoins.info  An international directory of bitcoin exchanges. 
cashintocoins.com  Bitcoin for cash. 
coinjar.com CoinJar allows direct bitcoin purchases on their site. 
anxpro.com 
bittylicious.com  
3. Send 2 BTC  ~1558.64 USD to Bitcoin address:
1Bi3A*****
4. Send an email to below addresses with your Personal ID as the subject
Email Addresses
krakenk811@gmail.com
kraken0@india.com
kraken@innocent.com
Your Personal ID 
27077D3A73FE521D25D895CB*****
5. Run the downloaded Decryptor you received via email on your computer.
Click on "Decrypt" button and wait for the "Decrypt Succeed" message
---
knowledge is not power. the implementation of knowledge is power. 

Перевод текста на русский язык:
KRAKEN
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы!
Расшифровка файлов возможна только со специальной программой дешифрования.
Для того, чтобы купить программу дешифрования выполните следующие действия.
Количество файлов, зашифрованных 324
Цена программы дешифрования удвоится через 1 дней 5 часов 9 минут 32 секунд
Текущая цена 2 BTC  ~1553.52 USD
Как купить Kraken Decryptor?
1. Метод оплаты только Bitcoin, следуйте инструкциям, приведенным ниже.
Что такое Bitcoin?
Bitcoin консенсус сеть, которая представляет новую платежную систему и полностью цифровые деньги. Это первая децентрализованная сеть оплаты соединенных равноправных узлов ЛВС, которая питается от своих пользователей без центральной власти или посредников. 
Больше информации:
wikipedia
bitcoin.org
coindesk.com
2. Покупка биткоинов
Вот наши рекомендации:
localbitcoins.com (WU) - Купить Bitcoins с Western Union.
coincafe.com - Рекомендуется для быстрого, простого обслуживания. 
Способы оплаты: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. В NYC: Bitcoin ATM, лично.
localbitcoins.com - Сервис позволяет искать людей в вашем сообществе готов продать Bitcoins вам непосредственно.
cex.io - Купить биткоины с VISA / MASTERCARD или банковским переводом.
btcdirect.eu - Лучше всего подходит для Европы.
bitquick.co - Купить Bitcoins сразу за наличные деньги.
howtobuybitcoins.info - Международный каталог Bitcoin обменов.
cashintocoins.com - Bitcoin за наличные деньги.
coinjar.com - CoinJar позволяет прямые покупки Bitcoin на своем сайте.
anxpro.com
bittylicious.com
3. Отправить 2 BTC  ~1553.52 USD на Bitcoin адрес:
1Bi3A*****
4. Отправить по email адресам ниже с вашим личным кодом в качестве темы
Адреса email
krakenk811@gmail.com
kraken0@india.com
kraken@innocent.com
Ваш персональный ID
27077D3A73FE521D25D895CB*****
5. Запустите загруженный декриптор вы получили по электронной почте на вашем компьютере.
Нажмите на кнопку "Decrypt" и дождитесь появления сообщения "Decrypt Succeed"
---
знание - не сила. реализация знаний - сила.

Внизу веб-страницы вставлена немного измененная фраза Гаррисона Уинна (Garrison Wynn), оратора-мотиватора. Мотивация сработала на совершение преступления.  

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ По некоторым данным кто-то украл у разработчика исходники и занимается распространением шифровальщика с целью собственной выгоды. Разработчик передал дешифровщик (декриптер) исследователям. См. ниже "Блок ссылок и спасибок". 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
_HELP_YOUR_FILES.html
Kraken.exe
Kraken Decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
krakenk811@gmail.com
kraken0@india.com
kraken@innocent.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 апреля 2018:
Пост в Твиттере >>
Версия: Kraken 2.0
Файлы: Kraken 2.0.exe, Catchem.exe
Стал использоваться сервер и веб-сайт Discord в качестве сервера C2 для ПК пострадавших.
URL: xxxx://psn.eztag.xyz/ip.php***
xxxxs://discordapp.com/api/webhooks/***
Результаты анализов: VT + VB + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Вы можете скачать Kraken decrypter для дешифровки >>
Место хранения - мой Яндекс.Диск

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Kraken)
 Write-up
 *

 Thanks: 
 Michael Gillespie
 Leo
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Antix

Antix Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель предположительно шифрует данные пользователей, а затем требует выкуп в 0,25 биткоинов, чтобы вернуть файлы. Название оригинальное: Antix или AntiX. Разработка: FRC 2016

© Генеалогия: выясняется.

Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение ***нет данных***

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки "You Have Been Hacked!!!".

Содержание текста о выкупе:
You Have Been Hacked!!!
All your personal files have been encrypted, and your passwords and info have been copied to an offline server. To get your files and passwords back, send "0.25" bitcoin to the bitcoin address below. Failure to pay by March 1st 2017 will result in loss of ALL data and your passwords and info will be leaked to the public.
Google "How to buy bitcoin" or follow the steps below.
1. Click here to open "https://www.coinbase.com/signup"
2. Signup and buy the amount requested below.
3. Send bitcoin to the address below.
4. Wait until Payment is verified.
Once the payment is verified all your data will be decrypted and this program and the offline server will self destruct.
Warning! Any Attempt to get rid of this program or rebooting your machine will result in the loss of all your data and your passwords and info will be posted online!

Перевод текста  на русский язык:
Вас взломали!!!
Все ваши личные файлы были зашифрованы, а ваши пароли и информация были скопированы в автономный сервер. Для того, чтобы получить ваши файлы и пароли обратно, отправьте "0,25" биткоинов по Bitcoin-адресу ниже. Неуплата до 1 марта 2017 года приведет к потере всех данных и паролей. а информация будет обнародована.
Гуглите "Как купить Bitcoin" или следуйте инструкциям, приведенным ниже.
1. Нажмите здесь, чтобы открыть "https://www.coinbase.com/signup"
2. Регистрация и покупка суммы, указанной ниже.
3. Отправьте биткоины по указанному ниже адресу.
4. Подождите, пока платеж проверяется.
После подтверждения оплаты все ваши данные будут расшифрованы, а эта программа и автономный сервер самоуничтожатся.
Внимание! Любая попытка избавиться от этой программы или перезагрузить машину приведет к потере всех ваших данных, а ваши пароли и информация будут размещены на сайте!

Внимание: Ворует пароли!

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Project1.exe 
Antix_ransomware.exe
<ransom>.exe
Cleanup.vbs
Фальш-имя: File Update Utility

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://www.coinbase.com/signup
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>   Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *

 Thanks: 
 MalwareHunterTeam
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PayDay

PayDay HT Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп R$950 в биткоинах, чтобы вернуть файлы. На уплату выкупа даётся 120 часов (5 суток). Название оригинальное, указано в заголовке html-страницы.
R$ - это бразильский реал (денежная единица Бразилии).  

© Генеалогия: HiddenTear >> PayDay HT

К зашифрованным файлам добавляется расширение .sexy

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на португалоязычных (бразильских) пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: !!!!!ATENÇÃO!!!!!.html

Записка о выкупе в html-формате

Содержание записки о выкупе:
Seus arquivos foram Sequestrados!
TODOS os seus documentos, banco de dados, downloads, fotos e outros arquivos importantes foram criptografados utilizando o algoritmo AES (mesma criptografia utilizada pelo governo do EUA) com uma senha alfa-numérica de 150 caracteres gerada a partir deste computador e enviada para um servidor secreto na Internet onde somente eu tenho acesso.
O que fazer?
Para obter essa senha e descriptografar seus arquivos, você terá que pagar uma quantia de R$950,00 em BTC (BITCOIN). Para efetuar o pagamento e obter a senha, siga este pequeno manual:
1. Crie uma carteira BTC aqui: ***blockchain.info/***
2. Compre R$950,00 BTC com dinheiro em: ***
3. Envie os BTCs comprados para o endereço: *****
4. Acompanhe a transferência em: ***blockchain.info/address/***
5. Após o pagamento ser confirmado, envie-me um email requisitando a Senha: CATSEXY@PROTONMAIL.COM
6. Logo após, enviarei um arquivo compactado contento dois arquivos: um Decrypter em .exe e a Senha em um .txt
O que é Bitcoin:
Importante:
1. Ninguém pode te ajudar, a não ser eu!
2. Vocé tem apenas 120 Horas (5 dias) para efetuar o pagamento, caso o contrario eu deletarei a senha.
3. É inútil instalar/atualizar o software Anti Vírus, formatar o computador, fazer BO na delegacia, etc.
4. Seus arquivos só poderão ser descriptografados depois do pagamento.
5. Após vocé descriptografar seus arquivos, formate seu computador, instale um bom Anti Vírus e tome mais cuidado onde clica ;)

Перевод записки на русский язык:
Ваши файлы были похищены!
Все документы, базы данных, загрузки, фото и другие важные файлы были зашифрованы с алгоритмом AES (это шифрование, используемуе правительством США) с буквенно-цифровым паролем из 150 символов, генерируемых для данного компьютера и отправлены на секретный сервер в Интернете, где только у меня есть доступ.
Что делать?
Для получения этого пароля и декриптора файлов, вам придется заплатить сумму R$950,00 в BTC (Bitcoin). Для оплаты и получения пароля следуйте этому небольшому руководству:
1. Создайте BTC портфель здесь: *** blockchain.info/***
2. Купите R$950,00 BTC наличными деньгами: ***
3. Отправьте купленные BTCs на адрес: *****
4. Проследите передачу: *** blockchain.info/address/***
5. После подтверждения оплаты, пришлите мне по email запрашиваемый пароль: CATSEXY@PROTONMAIL.COM
6. После этого отправьте архив, содержащий два файла: один Decrypter в .exe и пароль в .txt
Что такое Bitcoin:
Важно:
1. Никто не может помочь вам, только я!
2. У вас есть только 120 часов (5 дней), чтобы сделать платеж, иначе я удалю пароль.
3. Бесполезно ставить / обновлять Антивирус, форматировать компьютер, делать заявление в полицейский участок и т.д.
4. Ваши файлы могут быть расшифрованы только после оплаты.
5. После того, как вы расшифруете ваши файлы, переформатируйте компьютер, установите хороший Антивирус и будьте более осторожны, когда кликаете ;)

Эпатажный фон записки о выкупе

Распространяется с помощью email-спама и вредоносных вложений (random.pdf.exe), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифрованию подвергаются файлы на Рабочем столе и в Загрузках. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
!!!!!ATENÇÃO!!!!!.html
hidden-tear.exe
(random.pdf.exe)
Фальш-имя: Adobe Reader

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***acclivitous-operabi.000webhostapp.com/write.php&info=***
CatSexy@protonmail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PayDay)
 Write-up
 *

 Thanks: 
 BleepingComputer
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Slimhem

Slimhem Ransomware 

(шифровальщик-НЕ-вымогатель)

   Этот шифровальщик шифрует данные на USB-накопителях с помощью AES-256 (CBC-режим), а затем сохраняет на компьютер файл-декриптер. Название оригинальное, прописано в коде. Slimhem разработан с чистого листа, разработчик: TwoTen.

© Генеалогия: Slimhem: Начало.

Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение .ENCRYPTED

Образец этого шифровальщика был обнаружен в декабре 2016 г. Ориентирован на англоязычных пользователей.

Записок с требованием выкупа НЕТ. 
Выкуп НЕ запрашивается. 

Не распространяется по классической схеме: с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Инструмент проникновения на ПК: RAT Mayhem

Шифрует файлы с ключом 5MqtmzLp4SlMAoRe. Имеет функционал проверки установленного в системе антивирусного ПО. Может взаимодействовать с предустановленными на компьютере серверами MySQL. Создан исключительно для изучения. 

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, текстовые файлы, фотографии и пр.

Файлы, связанные с этим Ransomware:
Slimhem.exe
%APPDATA%\SysHelper\Slimhem.exe -  путь до исполняемого файла 
SlimhemDecrypt.exe - декриптер
<random>.exe
<random>.tmp
csc.exe
cvtrex.exe
download.exe
%TEMP%\e0jtf2y0.tmp
%TEMP%\e0jtf2y0.0.cs
%TEMP%\e0jtf2y0.cmdline
%TEMP%\e0jtf2y0.out
%TEMP%\e0jtf2y0.err
logs.dat
updates.dat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов. 

Сетевые подключения:
***beastcoast.co.uk/molnet/index.php/s/dza0yzhXKfMoKPU/download***
155.4.107.23 (Швеция)
freegeoip.net/json/
stackoverflow.com/q/2152978/23354
james.newtonking.com/projects/json
stackoverflow.com/q/11564914
stackoverflow.com/q/14436606/
es.newtonking.com/projects/json

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Deepviz анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up
 *
 *

 Thanks: 
 MalwareHunterTeam
 TwoTen
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

M4N1F3STO

M4N1F3STO Ransomware 

(фейк-шифровальщик)

   Этот вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,3 биткоинов, чтобы вернуть файлы. Название оригинальное, указано на экране. На данный момент ничего не шифрует и не удаляет, только запугивает и выманивает деньги. 

© Генеалогия: M4N1F3STO ⟺ CIA Special Agent 767

Активность этого вымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана.

Содержание текста о выкупе:
I want to play a game with you. Let me explain the rules.
Your personal files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access therm.
Every hour I select some of them to delete permanently,
therefore I won't be able to access them, either.
Are you familiar with the concept of exponential growth? Let me help you out.
It starts out slowly then increases rapidly.
During the first 24 hour you will only lose a few files, 
the second day a few hundred, the third day a few thousand, and so on. 
If you turn off your computer or try to close me, when i start the next time
you will het 1000 files deleted as punishment.
Yes you will want me to start next time, since I am the only one that
is capable to decrypt your personal data for you.
Now, let's start and enjoy our little game together!
Send 0.3 bitcoins to this adress to unlock your Pc with your email adress
Your can purchase bitcoins from localbitcoins

Перевод записки на русский язык:
Я хочу сыграть в игру с вами. Позвольте мне объяснить правила.
Ваши личные файлы удаляются. Ваши фотографии, видео, документы и т.д...
Но, не волнуйтесь! Это произойдет, только если вы не согласитесь.
Тем не менее, я уже зашифровал ваши личные файлы, и вы не получите доступ к ним.
Каждый час я выбираю некоторые из них, чтобы удалить навсегда,
чтобы вы не имели возможность получить доступ к ним.
Вы знакомы с понятием экспоненциального роста? Позвольте мне помочь вам.
Он начинается медленно, но быстро увеличивается.
В течение первых 24 часа вы потеряете только несколько файлов,
второй день несколько сотен, на третий день несколько тысяч, и так далее.
Если выключить компьютер или попытаться закрыть меня, когда я начинаю в следующий раз
Вы лишитесь 1000 файлов, удаленных в качестве наказания.
Да, вы хотите, чтобы я начал в следующий раз, так как я единственный,
способен расшифровать ваши персональные данные для вас.
Теперь, давайте начнем наслаждаться нашей маленькой игрой вместе!
Отправь 0.3 биткоинов на этом адрес, чтобы разблокировать ПК, с адресом email
Вы можете приобрести биткоины в localbitcoins

Если жертва поторопится и переведет указанную сумму на биткоин-кошелек вымогателя, то получит следующее сообщение:

Содержание сообщения:
JUST DELETE IT TO REMOVE IT
HAHA YOU HAVE BEEN FOOLED

Перевод на русский язык:
Просто удалите его для удаления
Ха-ха вы были обмануты

Код разблокировки: нецензурен, чтобы его писать здесь. См. изображение. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Типы файлов, подвергающихся удалению:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
WindowsApplication1.exe
Receipt.exe

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Т.к. файлы всё же не шифруются, но шифрование упоминается в записке, то этот Ransomware я отношу к фейк-шифровальщикам. 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 20 декабря 2016:
Обнаружена дорабатываемая версия этого вымогателя. Ссылка на твит. 
Добавлен функционал шифрования и требования выкупа с оплатой за ключ дешифрования. 
Этот опыт пока неудачный. Подписывается как Jhon Woddy, Microsoft. 
Windows Update
Please do not restart or shutdown your pc during this operation.
Your system32 will be damaged, and this will brick you pc.
Thank You!
Jhon Woddy, Microsoft
Скриншоты прилагаются. 

 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up (n/a)
 *

 Thanks: 
 Jiri Kropac
 BleepingComputer
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

DALE, DaleLocker

DALE Ransomware
DaleLocker Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA-512, а затем требует связаться по email с вымогателями, чтобы вернуть файлы. Название от добавляемого расширения. Другие названия: DaleLocker, DaleCrypter.

© Генеалогия: CHIP > DALE.

Чип и Дейл: персонажи одноименного мультсериала

К зашифрованным файлам добавляется расширение .DALE

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: DALE_FILES.TXT
Разбрасываются по папкам с зашифрованными файлами.

Содержание записки о выкупе:
YOUR ID:629ed***
Hello! 
All Your files are encrypted! 
For more specific instructions, please contact us as soon as possible: 
grion@protonmail.com, grions@protonmail.com, grion@techie.com, grion@dr.com  
Attention: DO NOT USE ANY PUBLIC DECRYPTERS! YOU CAN DAMAGE YOUR FILES! 
Kind regards, 
Support Team.
YOUR ID:629ed***
YOUR ID:629ed***
YOUR ID:629ed***
YOUR ID:629ed***

YOUR ID:629ed***

Перевод записки на русский язык:
ВАШ ID:629ed ***
Привет!
Все Ваши файлы зашифрованы!
Для подробных инструкций, пожалуйста, свяжитесь с нами как можно скорее:
grion@protonmail.com, grions@protonmail.com, grion@techie.com, grion@dr.com
Внимание: НЕ ИСПОЛЬЗУЙТЕ ПУБЛИЧНЫЕ ДЕКРИПТЕРЫ! Вы можете повредить ваши файлы!
С уважением,
Группа поддержки.
ВАШ ID:629ed ***
ВАШ ID:629ed ***
ВАШ ID:629ed ***
ВАШ ID:629ed ***
ВАШ ID:629ed ***

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. Возможно, что и тем же путём, как и Chip Ransomware.

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.
.db, .doc, .docx, .jpg, .jpeg, .ppt, .pptx, .txt, .wb2, .wpd, .xls, .xlsx, .xml и пр.

Файлы, связанные с этим Ransomware:
DALE_FILES.TXT
<random>tmp.exe

Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CHIP)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

UltraLocker

UltraLocker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп $1000 в биткоинах, чтобы вернуть файлы. Название оригинальное. Написан на AutoIt.

© Генеалогия: CryptoWire > UltraLocker

К зашифрованным файлам добавляется расширение .locked, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.locked.original_file_extension. 
Таким образом файл Important.docx станет Important.locked.docx

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа могут называться: README.txt или иначе.

Информатором жертвы выступает экран блокировки "UltraLocker". 

Содержание текста о выкупе с экрана блокировки:
All your files have been encrypted contact wambeng.watson@gmail.com for decryption key after payment to the provided address has been done.
***
The only way you can recover your files is to buy decryption key by paying to this address: 1JP78***** the sum of money requested. 
The payment method is: Bitcoins. The price is $1000 = Bitcoins
Click on the ‘Buy decryption key’ button.

Перевод текста на русский язык:
Все файлы были зашифрованы, контакт wambeng.watson@gmail.com для ключа дешифрования по указанному адресу только после сделанной оплаты.
***
Одним способом вы можете восстановить файлы, это купить ключ дешифрования, заплатив по этому адресу: 1JP78 ***** запрошенную сумму.
Способ оплаты: Bitcoins. Цена $1000 = Bitcoins
Нажмите на кнопку "Buy decryption key'.

Распространяется с помощью email-спама и вредоносных вложений (в данном случае с документом Quotation200809.doc), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. 

Использованное вложение Quotation200809.doc

См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Quotation200809.doc
Quotation1.exe
Art work sample.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
wambeng.watson@gmail.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoWire - 27 октября 2016
Lomix - 24 ноября 2016
UltraLocker - 10 декабря 2016
Обновление CryptoWire - 3 марта 2017
Обновление CryptoWire - 5 апреля 2017
Обновление CryptoWire - 12 апреля 2017
Обновления CryptoWire позже не добавлялись
KingOuroboros - июнь 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoWire)
 Write-up
 *

 Thanks: 
 Karsten Hahn
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.