Roga

Roga Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в подарочных картах Play Store, чтобы разблокировать файлы. Название оригинальное, другое: AES test. Разработчик: adam. 

© Генеалогия: Free-Freedom > Roga

К зашифрованным файлам добавляется расширение .madebyadam

Пароль дешифрования: adamdude9

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Your files have been encrypted!
All of your documents, music, pictures, text files etc have all been encrypted!
Want your files back? Just follow the onscreen instructions below:
Yes. This Ransomware is called Roga!
To decrypt and retrieve your files, just go to this website:
http://www.i-m.mx/epicbet/freefreedom/
Enter the key you got in an email
Decrypt My Files!

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Все ваши документы, музыка, фото, текстовые файлы и т.д. все были зашифрованы!
Хотите файлы обратно? Просто следуйте инструкциям на экране ниже:
Да. Этот Ransomware называется Roga!
Чтобы расшифровать и восстановить файлы, просто зайдите на этот сайт:
xxxx://www.i-m.mx/epicbet/freefreedom/
поле ввода "Введите ключ, который вы получили по email"
кнопка "Decrypt My Files!"

Предыдущая версия имела следующий экран блокировки. Привожу его только для сравнения. 

Таким образом, как и в предыдущей версии, пострадавшей от шифрования стороне предлагается посетить сайт проекта Free-Freedom Ransomware, далее согласно инструкции купить подарочных карт на сумму 25 британских фунтов или 30 американских долларов и ввести её данные в форму на сайте для списания с неё указанной суммы. 

Содержание текста со страницы:
Unlock My Files
To unlock your files, please follow the onscreen instructions below:
1. Go to a local store (walmart, asda, tesco, etc...) and purchase a Play Store Gift Card worth 25 British Pounds Or 30 (whatever it is) in American Dollars.
2. Make sure that the card is valid before making the transaction!
3. Enter the following details below:
(playstore gift card redeem code is the code on the back of the gift card.)

Перевод текста на русский язык:
Разблок моих файлов
Для разблока файлов следуй инструкциям ниже на экране:
1. Перейди в частный магазин ((Walmart, Asda, Tesco, и пр.) и купи Play Store Gift Card на 25 британских фунтов или 30 (неважно чего) в американских долларах.
2. Убедись, что карта действует до совершения транзакции!
3. Введи следующие данные ниже:
(Play Store Gift Card имеют нужный код на обратной стороне)

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Free-freedom.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***www.i-m.mx/epicbet/freefreedom/

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Roga)
 Write-up
 *
 *

 Thanks: 
 BleepingComputer
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoLocker3

CryptoLocker3 Ransomware
Fake CryptoLocker

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128+RSA, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное. Разработчик: staffttt.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .cryptolocker

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана с двумя окнами. 

Содержание текста о выкупе:
1 окно
Your Personal files are encrypted!
Your personal files encryption produced on this computer photos, videos, documents, etc. Encryption was produced using a unique public key RSA-2048 generated for this computer.
To decrypt files you need to obtain the private key.
The single copy of the private key, which will allow to decrypt the files located on a secret server on the Internet, the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files...
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 0,5 bitcoin.
You can easily delete this software, but know that without it, you-will never be able to get your original files back.
Disable your antivirus to prevent the removal of this software. 
For more information on how to buy and send bitcoins, click 'Pay with Bitcoin'
To open a list of encoded files, click 'Show files'
Private key will be destroyed on 31/12/2016
button 'Show files'
button 'Pay with Bitcoin'

Перевод текста на русский язык:
Ваши персональные файлы зашифрованы!
Ваши личные файлы зашифрованные на этом компьютере: фото, видео, документы и т.д. Шифрование произведено с использованием уникального открытого ключа RSA-2048, созданного для этого компьютера.
Для расшифровки файлов вам необходимо получить секретный ключ.
Единственный экземпляр секретного ключа, который позволит расшифровать файлы, находится на секретном сервере в Интернет, сервер уничтожить ключ по истечении времени, указанного в этом окне. После этого никто и никогда не сможет восстановить файлы ...
Для получения секретного ключа для этого компьютера, который автоматически расшифрует файлы, вам нужно оплатить 0,5 биткоина.
Вы можете легко удалить эту программу, но знайте, что без него, вы никогда не сможете вернуть исходные файлы.
Отключите антивирус, чтобы предотвратить удаление этой программы.
Для информации о том, как купить и отправить биткоины, нажмите кнопку 'Pay with Bitcoin'
Чтобы открыть список закодированных, нажмите кнопку 'Show files'
Секретный ключ будет уничтожен 31/12/2016
Кнопка 'Show files'
Кнопка 'Pay with Bitcoin'

2 окно
Your Personal files are encrypted!
Bitcoin is a cryptocurrency where creation and transfer of bitcoins is based on an open-source cryptographic protocol that is independent of any central autority. 
Bitcoms can be transferred through a computer or smartphone without an intermediate financial institution.
If you do not have Bitcoins, you must exchange them, we recommended:
xxxxs://www.bitstamp.net
xxxxs://www.coinbase.com
Also see information about buying here.
xxxx://howtobuybitcoins.info
Send 0.5 BTC to Bitcoin address: 15PCcoNeo***
Also, you can directly exchange Bitcoins to this address. This is a private address associated with this order. 
After 4-6 confirmations of your bitcoin transaction (takes up to 30 min), this software will automatically decrypt your files. Make sure that your internet connection active, and do not close this windows.
Private key will be destroyed on 31/12/2016
button 'Show files'
button 'Pay with Bitcoin'

Перевод текста на русский язык:
Ваши персональные файлы зашифрованы!
Bitcoin — это криптовалюта, в которой создание и передача биткоинов основано на криптографическом протоколе с открытым исходным кодом, не зависящем от централизованного управления.
Биткоины могут быть переданы через компьютер или смартфон без промежуточного финансового учреждения.
Если у вас нет биткоинов, вы должны обменять их, мы рекомендуем:
xxxxs://www.bitstamp.net
xxxxs://www.coinbase.com
Также смотрите информацию о покупке здесь.
xxxx://howtobuybitcoins.info
Отправьте 0,5 BTC на Bitcoin-адрес: 15PCcoNeo ***
Кроме того, вы можете напрямую обмениваться биткоинами по этому адресу. Это частный адрес, связанный с этим заказом.
После 4-6 подтверждения вашей Bitcoin-транзакции (занимает до 30 минут), эта программае автоматически дешифрует файлы. Убедитесь, что ваше интернет-соединение активно, и не закрывайте это окно.
Секретный ключ будет уничтожен 31/12/2016
Кнопка 'Show files'
Кнопка 'Pay with Bitcoin'

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.3gp, .abs, .aspx, .avi, .bac, .bak, .bmp, .db, .doc, .docm, .docx, .dotm, .dotx, .eml, .gif, .jpeg, .jpg, .jpge, .htm, .html, .ldf, .loc, .log, .mdf, .mkv, .pdf, .png, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .pub, .qbb, .qbk, .qbmb, .qbmd, .qbx, .qic, .quikcbooks, .r3d, .raf, .rar, .raw, .rtf, .rw2, .rwl, .sln, .sql, .srf, .srw, .txt, .wb2, .win, .wmv, .wpd, .wps, .xlam, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xltm, .xltx, .xml, .zip (73 расширения). 

Это документы MS Office, PDF, базы данных, фотографии, музыка, видео и пр.

Файлы, связанные с этим Ransomware:
cry.exe
<random>.exe
ReadMe.txt
/AppData/cryptolocker.exe
/AppData/cryptolocker2.exe
/AppData/encrypted.txt - список зашифрованных файлов
и другие. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Video review
 ID Ransomware
 Write-up
 *
 *

 Thanks: 
 GrujaRS
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ProposalCrypt

ProposalCrypt Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

Изображение не связано с шифровальщиком

К зашифрованным файлам добавляется расширение .crypted

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
!!!Warning Message!!!
We are sorry to say that your computer and your files have been encrypted but wait, don't worry. There is a way that you can restore your computer and all of your files
To get your files fast, please transfer 1 Bitcoin to our wallet address
1Q6bd*****
and click "Check Wallet and Decrypt files" button.
Payment should be confirmed in about 2 hours after payment made.
---
Check Wallet and Decrypt files
---
How to buy Bitcoins?
Please check this website xxxxs://coinatmradar.com where you can find Bitcoin ATM all over the world.

Перевод записки на русский язык:
!!!Предупреждающее сообщение!!!
К сожалению, надо сказать, что ваш компьютер и ваши файлы были зашифрованы, но подождите, не волнуйтесь. Есть способ вы можете восстановить ваш компьютер и все ваши файлы.
Для того, чтобы получить ваши файлы быстро, пожалуйста, переведите 1 Bitcoin на наш кошелек адрес
1Q6bd *****
и нажмите кнопку "Check Wallet and Decrypt files".
Оплата должна быть подтверждена в течение 2 часов после сделанного платежа.
---
кнопка "Check Wallet and Decrypt files" (Проверить кошелек и дешифровать файлы)
---
Как купить биткоины?
Пожалуйста, проверьте этот сайт xxxxs://coinatmradar.com где можно найти Bitcoin ATM со всего мира.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bin, .bkf, .bkp, .blob, .bsa, .c, .cab, .cas, .cdr, .cer, .cfr, .class, .con, .cpp, .cpp, .cr2, .crt, .crw, .cs, .cs, .css, .csv, .d3dbsp, .das, .DayZProfile, .dbf, .db0, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxq, .epk, .eps, .erf, .esm, .exe, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .h, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .im, .indd,  .iso, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jpe, .jpeg, .jpg, .js, .kdc, .kf, .layout, .lbf, .litemod, .lnq, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mp3, .mp4, .mpq, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sb, .sc2save, .sid, .sidd, .sidn, .sie, .sin, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .torrent, .ttarch2, .txt, .unity3d, .upk, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wma,.wmk, .wmo, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .zip, .ztmp (212 расширений).
Это документы MS Office, OpenOffice, PDF, фотографии, музыка, видео, бэкапы, конфиги и ресурсы игр, торренты и пр.

Файлы, связанные с этим Ransomware:
proposal15.doc_.exe
proposal.doc________.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up
 *

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Manifestus

Manifestus Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,2 биткоина или 160 доларов, чтобы вернуть файлы. Название оригинальное. Этот шифровальщик представляет собой доработанную версию M4N1F3STO Ransomware. 

© Генеалогия: M4N1F3STO > Manifestus

К зашифрованным файлам добавляется расширение ***

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Your personal files are encrypted by Manifestus
Your documents, photos, databases and other important files ha ye been encrypted with strongest
encryption and unique key, generated for this computer.
The single copy of the private key, with will allow you to decrypt the files, located on a secret server on the internet, the server will destroy the key after a time specified in this window. After that, nobody and never will be able to restore files...
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 0,2 bitcoins or 160 USD Dollars to the bitcoin adress specified below with your email address to send you the decryption key.
If you do not have bitcoins you can buy them from www.localbitcoins.com.
Thank you!
Bitcoin Address: ***
If you already purchased the key enter it here: ...

Перевод записки на русский язык:
Ваши личные файлы зашифрованы с помощью Manifestus
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с сильным шифрованием и уникальный ключ, созданным для данного компьютера.
Только один экземпляр секретного ключа позволит вам расшифровать файлы, находится на секретном сервере в Интернете, сервер уничтожит ключ по окончании времени, указанного в этом окне. После этого никто и никогда не сможет восстановить файлы ...
Для получения секретного ключа для этого компьютера, который автоматически расшифрует файлы, вам нужно заплатить 0,2 биткоина или 160 долларов США на Bitcoin-адрес, указанного ниже, ваш адрес mail, чтобы отправить вам ключ дешифрования.
Если у вас нет биткоинов, вы можете купить их на www.localbitcoins.com.
Спасибо!
Bitcoin-адрес: ***
Если вы уже приобрели ключ, введите его здесь: ...

Надпись на вторичном окне:
Windows Update
Please do not restart or shutdown your pc during this operation.
Your system32 will be damaged, and this will brick you pc.
Thank You!
Jhon Woddy, Microsoft

Точно такая же была во второй версии M4N1F3STO Ransomware. 

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
RANSOMWARE.exe
<random>.exe
DO NOT OPEN THE FUCKIN RANSOMWARE.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление от 9 января 2016:
Расширение: .fucked
Результаты анализов: HA+VT
Текст записки:

Your documents, photos, databases and other important files have been encrypted with strongestencryption and unique key, generated for this computer. The single copy of the private key, with will allow you to decrypt the files, locatedon a secret server on the internet, the server will destroy the key after a timespecified in this window. After that, nobody and never will be able to restore files...To obtain the private key for this computer, which will automatically decrypt files,you need to pay 0,2 bitcoins or 160 USD Dollars to the bitcoin adress specified belowwith your email address to send you the decryption key. If you do not have bitcoins you can buy them from www.localbitcoins.com. Thank you!




Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 *

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

EnkripsiPC

EnkripsiPC Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное, кроме того в коде упоминаются: Indonesian Ransomware v3, IDRANSOMv3. Разработчик: humanpuff69. 

© Генеалогия: DetoxCrypto(?) >> EnkripsiPC

К зашифрованным файлам добавляется расширение .fucked

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на индонезийских пользователей, в коде даже прямо указано, что "Ransomware that encrypt all your files with indonesian language"  (Вымогатель, шифрующий все ваши файлы на индонезийском языке). Этот факт, конечно же, не мешает распространять его по всему миру и заражать другие компьютеры. 

Запиской с требованием выкупа выступает экран блокировки и диалоговое окно. Я сделал анимацию, показывающую, как по нажатию кнопки "Kembalikan File Saya!" открывается нижняя часть экрана, и перевёл текст с индонезийского на русский.

Содержание записки о выкупе:
EnkripsiPC
SEMUA FILE ANDA TELAH TER ENKRIPSI
Assalamualaikum Wr Wb
Kami telah Mengenkripsi semua file anda
alhasil file anda TIDAK BISA DIBUKA
dan semua file anda berekstensi .fucked
untuk mengembalikan semua file anda
silahkan bayar kepada kami agar kami
memberikan kode untuk mengembalikan
semua file anda
jika anda diam saja tidak melakukan apa apa
data anda tidak akan pemah bisa dibuka
sampai anda membayar kepada kami
itu saja sekiian dari kami
wassalamualaikum wr wb
---
button "Kembalikan File Saya!"
---
Cara Mengembalikan File Anda
1. Silahkan Minta Kode Pembuka Kepada Kontak Berikut
LINE: manusiapartGS
Facebook: muhammad.f.nazeeh
Youtube: humanpuff69
email: fulldoang@gmail.com
mgfakhri@gmail.com
muhlubaid69@gmail .com
ID KOMPUTER = WMMT/RM
2. Bayar Denda Sesuai yang disuruh
Biaya Pengembalian file:
Rp 50.000 - Rp 100.000
3. Setelah melakukan pembayaran anda akan diberi kode untuk dimasukan dibawah sini untuk mengembalikan file anda... 
button "BUKA"

Перевод записки на русский язык:
EnkripsiPC (Шифрование ПК)
Все ваши файлы зашифрованы 
Ассалямалейкум Wr Wb (User)
Мы зашифровали все файлы
следовательно, твои файлы не удастся открыть
и все твои файлы с расширениями .fucked
чтобы восстановить все файлы
пожалуйста, пришли нам, чтобы мы
предоставили код для восстановления
всех твоих файлов
если ты молчишь ничего не делаешь
никогда не будут раскрыты твои данные
пока ты не заплатишь нам
это просто, так многие из нас делают
Вассаламалейкум Wr Wb (User)
---
кнопка "Восстановить Мои Файлы!"
---
Как восстановить файлы
1. Спроси код разблокировки здесь, чтобы связаться
LINE: manusiapartGS
Facebook: muhammad.f.nazeeh
Youtube: humanpuff69
email: fulldoang@gmail.com
mgfakhri@gmail.com
muhlubaid69@gmail .com
ID KOMPUTER = WMMT/RM
2. Заплатить выкуп на эту сумму:
Rp 50.000 - Rp 100.000
3. После выполнения оплаты тебе будет предоставлен код, который нужно ввести здесь, чтобы восстановить файлы 
[нажать кнопку "BUKA"]

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для выполнения шифровальщика требуются права администратора, под ограниченной учетной записью оно не может выполниться. 

Перевод диалога на русский:
ВНИМАНИЕ !!!
Это приложение было запущено с ограниченными правами.
Для его правильной работы требуется
Запустить его от имени администратора.

Список файловых расширений, подвергающихся шифрованию:
.bin, .dat, .doc, .exe, .ini, .log, .manifest, .pif, .prx, .xml, 
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
AutoUBLhack0.97.exe
CheatPBG161218.exe

Фальш-имя: Intaller Install Program

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Обновление от 20 января 2017:
Пост в Твиттере >>
Название: DNRansomware
Расширение: .fucked
Код для дешифровки:
83KYG9NW-3K39V-2T3HJ-93F3Q-GT


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as EnkripsiPC)
 Write-up

 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BrainCrypt

BrainCrypt Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы вернуть файлы. Срок на уплату выкупа — 2 дня. Название дано от используемого расширения. Написан на языке Go.

© Генеалогия: выясняется.

Изображение не имело отношения к шифровальщику

К зашифрованным файлам добавляется расширение .braincrypt по шаблону 
.[braincrypt@india.com].braincrypt

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

На данный момент замечены пострадавшие из следующих стран: Германия и Беларусь. 

Записки с требованием выкупа называются: !!! HOW TO DECRYPT FILES !!!.txt

Содержание записки о выкупе:
YOUR FILES WERE ENCRYPTED.
TO DECRYPT FILES, PLEASE, CONTACT US WRITING ON THIS EMAIL: headlessbuild@india.com 
YOUR PERSONAL ID: b341f***

Перевод записки на русский язык:
Ваши файлы были зашифрованы.
Для расшифровки файлов, пожалуйста, напишите нам на этот email: 
headlessbuild@india.com
Ваш персональный ID: b341f***

Другой вариант записки о выкупе:
Good morning, your files have been scrambled by trojan.
To decrypt, you must turn on the email: headlessbuild@india.com
with request about decrypting files.
You need to send in the email-message with your personal ID: dbl73a898f7ac78b83775ff7493ecl77

Faster write to us and we will save your data in another case, they may be lost forever. Time 2 days.

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bak, .bin, .bmp, .dat, .db, .DeskLink, .doc, .docx, .DTD, .exe, .htt , .ini, .jpg, .lnk, .log, .MAPIMail, .mydocs, .ppt, .pptx, .sam, .scf, .shw, .sst, .theme, .tmp, .txt, .url, .wav, .wb2, .wk4, .wma, .wmdb, .wpd, .wpg, .wpl, .xls, .xlsx, .xml, .ZFSendToTarget (39 расширений) и другие.  
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие файлы и пр. 

Файлы, связанные с этим Ransomware:
!!! HOW TO DECRYPT FILES !!!.txt
rlsys.exe
<random>.exe
<random>.tmp
.key.brain
.pblkey.brain

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***alex-luthor.myjino.ru (81.177.140.121:80 Россия)
***shussain962.myjino.ru
***docusign.myjino.ru/
***online-navy-nfcu.myjino.ru
***bridedress.com.ua/ru/ (Украина)
***golang.org
braincrypt@india.com
headlessbuild@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as BrainCrypt)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 xXToffeeXx
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MNS CryptoLocker

MNS CryptoLocker Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,2 биткоина, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение ***

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: RESTORE_YOUR_FILES.txt

Содержание записки о выкупе:
YOUR UNIQ ID: ***
ALL YOUR FILE LOCKED WITH MNS CRYPTOLOCKER!
SEND 0.2 BTC TO ADRESS 19o4mEEgQhMDSWfsKcDgm8RjT16cCa33Xq
FOR DECRYPT YOUR FILES 
SEND YOUR UNIQ ID AND BTC WALLET FROM WICH PAID
TO EMAIL alex.vas@dr.com
AFTER WE RECEIVE BITCOINS AND YOR EMAIL, WE CONTACT WITH YOU

Перевод записки на русский язык:
Твой UNIQ ID: ***
Все твой файл блокирован с MNS Cryptolocker!
Отправь 0.2 BTC на адрес 19o4meegqhmdswfskcdgm8rjt16cca33xq 
для расшифровки твоих файлов 
Отправь UNIQ ID и кошелек BTC, с которого платил
на email alex.vas@dr.com
После мы получим Bitcoins и твой email, мы свяжемся с тобой.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
RESTORE_YOUR_FILES.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
alex.vas@dr.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MNS CryptoLocker)
 Write-up
 *
 *

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.