KillDisk

KillDisk Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 222 биткоина (более $200000) в обмен на ключ дешифрования. Каждый файл шифруется со своим собственным AES-ключом, а затем AES-ключ шифруется с помощью открытого ключа RSA-1028. Название оригинальное. Разработка: TeleBots (Sandworm). Фальш-имя: Update center, Microsoft Update center.

Для связи с операторами используется протокол Telegram. Пострадавший должен связаться с TeleBots по email, заплатить выкуп и получить закрытый RSA-ключ для расшифровки файлов. Компонент KillDisk Malware используется для операций с файлами, чтобы повредить загрузку системы. 

© Генеалогия: KillDisk Malware + encryption > KillDisk Ransomware

К зашифрованным файлам никакое расширение не добавляется.

Активность этого криптовымогателя пришлась на ноябрь-декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает скринлок с надписью, встающий обоями рабочего стола. 

Содержание записки о выкупе:
We are so sorry, but the encryption of your data has been successfully completed, so you can lose your data or pay 222 btc to 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF with blockchain.info
contact e-mail:vuyrk568gou@lelantos.org

Перевод записки на русский язык:
Нам очень жаль, но шифрование ваших данных было успешно завершено, так что вы можете потерять свои данные или заплатить 222 BTC на 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF с blockchain.info
Контактный email-адрес: vuyrk568gou@lelantos.org

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (под видом документов MS Office), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
pay.jpg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
vuyrk568gou@lelantos.org

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>


Этот шифровальщик-вымогатель главным образом ориентирован на промышленные предприятия. До этого модифицированный KillDisk Malware, еще без функционала шифрования, был замечен в атаках на украинские банки. Модифицированный вредонос использовал Windows GDI (Graphics Device Interface) и рисовал как визитную карточку картинку из Mr. Robot TV, используемую хакерской группой FSociety, а также известную нашим читателям-старожилам по ряду других Ransomware, описанных в этом блоге. 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up
 Write-up
 *
 *

 Thanks: 
 Phil Neray (CyberX)
 Catalin Cimpanu
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PHP Ransomware

PHP Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем даже НЕ требует выкуп, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Nemucod > PHP Ransomware.

К зашифрованным файлам добавляется расширение .crypted

Активность этого крипто-вымогателя пришлась на декабрь 2016 г. 

Записки с требованием выкупа не создаются. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3ds, .3gp, .7z, .accdb, .ai, .als, .arc, .arj, .asf, .asm, .aup, .avi, .backup, .bak, .bas, .blend, .bz, .bz2, .bza, .bzip, .bzip2, .cad, .cdr, .class, .cpp, .cpr, .cpt, .cs, .csv, .djvu, .doc, .docx, .dsk, .dwg, .eps, .fb2, .flv, .gpg, .gz, .gzip, .h, .ice, .img, .indd, .iso, .java, .jpeg, .jpg, .kdb, .kdbx, .lwo, .lws, .m3u, .m4v, .max, .mb, .mdb, .mdf, .mid, .midi, .mkv, .mov, .mp3, .mp4, .mpe, .mpeg, .mpg, .mpp, .npr, .odb, .odm, .odt, .ogg, .pas, .pdf, .pgp, .php, .pl, .pps, .ppt, .pptx, .psd, .pub, .py, .r00, .r01, .r02, .r03, .rar, .raw, .rm, .rtf, .scad, .skp, .sldasm, .slddrw, .sldprt, .sql, .ssh, .svg, .sxi, .tar, .tif, .tiff, .tsv, .u3d, .vb, .vbproj, .vcproj, .vdi, .veg, .vhd, .vmdk, .vob, .wav, .wdb, .wma, .wmf, .wmv, .xls, .xlsx, .zip (122 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Если размер файла меньше 2048 байт, то он будет зашифрован полностью. Если больше, то у файла будут зашифрованы только 2048 байт. 

Файлы, связанные с этим Ransomware:
<random>.exe
PHP script & PHP code

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://med-lex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать декриптер для PHP Ransomware >>

 Read to links: 
 Tweet on Twitter + Tw + Tw
 ID Ransomware (n/a)
 Write-up (add. December 30, 2016)
 *

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Fabian Wosar
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DeriaLock

DeriaLock Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 20-30 долларов, чтобы вернуть файлы. Название оригинальное, есть другое: Generator. Разработчик: arizonacode. 

© Генеалогия: DeriaLock: Начало.

К зашифрованным файлам добавляется расширение .deria (в версии, найденной 26 декабря 2016). 

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ранняя версия была простым блокировщиком экрана и не трогала сами файлы. У новой версии есть функционал шифрования. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Сначала опишу версию с функционалом блокировщика, а потом с функционалом шифровальщика, т.к. это одна разработка. 

Записками с требованием выкупа выступает экран блокировки. 

При нажатии на кнопку соответствующего языка появляется текстовое сообщения на этом языке (на немецком и испанском языках). Я сделал анимированное изображения для демонстрации этого процесса. Записки полны орфографических ошибок.

Содержание записки о выкупе:
Your System has Locked!
If you try to restart you PC ALL data will delete.
If you want your data back, pay 30 USD.
Instuctions:
Is give no other way to get you computer/data back exdcept to pay a special Key.
You can buy the Key at the following Skype account: "arizonacode".
If you contact the bellow named Skype account send him you HWID the bottom left is to be seen.
If you Spamming the skype account,  you can't get you data back
After you buy the key, paste him into the textbox.

Перевод записки на русский язык:
Ваша система заблокирована!
При попытке перезагрузить свой ПК ВСЕ данные будут удалены.
Если хотите вернуть данные, заплатите 30 долларов.
Инструкции:
Есть не дают никакого другого способа, чтобы заставить вас компьютер / данные обратно exdcept заплатить специальный ключ.
Вы можете купить ключ на следующий Skype-аккаунт: "arizonacode".
Если вы обратитесь к этому Skype-аккаунту, то отправьте ваш HWID, увидите его в левом нижнем углу.
Если вы будете спамить Skype-аккаунт, то вы не получите данные обратно.
После того, как вы купите ключ, вставьте его в текстовое поле.

Для того, чтобы пользователи не могли закрыть окно блокировщика экрана, DeriaLock будет искать и завершать следующие процессы:
taskmgr, procexp, procexp64, procexp32, skype, chrome, steam, MicrosoftEdge, regedit, msconfig, utilman, cmd, explorer, certmgr, control, cscript.

Комбинация клавиш ALT + F4 также не сможет закрыть окно блокировщика.

Если жертва захочет заплатить выкуп, то нужно скопировать HWID, связаться с автором DeriaLock через Skype, и отправить мошеннику $ 30 через неизвестный способ оплаты.

Оператор DeriaLock принимает этот HWID и размещает его на своем сервере в виде текстового файла с именем: xxxx://server-address/[full_MD5_hash].txt

Этот файл содержит код разблокировки DeriaLock. Когда компьютер жертвы  отправит новый запрос на C&C-сервер, он обнаружит этот файл, определит, что потерпевший заплатил выкуп, возьмёт код и разблокирует компьютер, как показано на фрагменте кода ниже.

DeriaLock также проверяет сервер на наличие следующего специального текстового файла.

Для работы DeriaLock на компьютере требуется наличие установленного .NET Framework 4.5, это означает, что DeriaLock не будет работать на компьютерах с ОС Windows XP.

На момент написания обзора серверы DeriaLock ещё и работали, это означает, что угроза ещё распространяется среди ничего не подозревающих жертв.

Версия с функцией шифрования имеет следующий экран блокировки (в заголовке окна нецензурная фраза "YOU ARE F*CKED").

Содержание текста с экрана:
YOU ARE INFECTED WITH DERIALOCK
1. ALL YOUR FILES HAVE BEEN ENCRYPTED!
2. DONT TRY TO DELETE DERIALOGK!
3. PAY 20 USD/EUR TO THE SKYPE ACCOUNT BELOW!
5. IF YOU MADE THE PAYMENT YOU GET YOUR COMPUTER BACK!
6. IF THE PROGRESS IS 100% ~1 DAY~ THEN I WILL DELETE ALL PRIVATE...
7. FOR EACH TRY TO DO ANYTHING I WILL DELETE FILES!
8. IF YOU TRY TO DELETE ARIZONA THEN I DELETE ALL YOUR PRIVATE...
EXPECT ~ARIOZNACODE AND COMPL3X =]
ID:
KEY:

Перевод на русский язык:
Вы заражены DeriaLock
1. Все файлы были зашифрованы!
2. Не пробуйте удалить DeriaLock!
3. Оплатите 20 долларов / евро на Skype-аккаунт ниже!
5. Если вы сделали оплату, вы получите ваш компьютер обратно!
6. Если прогресс 100% ~1 день~ тогда я буду удалять все частные...
7. При каждой попытке что-то сделать я буду удалять файлы!
8. Если вы попытаетесь удалить Аризону, то я удалю все частные...
Ждите ~arioznacode и compl3x =]
ID:
KEY:

27 декабря 2016 DeriaLock обновился

Экран с текстом о выкупе

Использованное изображение

Содержание обновленного экрана блокировки:
YOU ARE INFECTED WITH DERIALOCK!
1. ALL YOUR FILES HAVE BEEN ENCRYPTED!
2. DONT TRY TO DELETE DERIALOGK!
3. PAY 20 USD/EUR TO THE SKYPE ACCOUNT "ARIZONACODE"!
5. IF YOU MADE THE PAYMENT YOU GET YOUR COMPUTER BACK!
6. IF THE TIMER OVER ~1 DAY~ THEN I WILL DELETE ALL PRIVATE FILES!
7. FOR EACH TRY TO DO ANYTHING I WILL DELETE FILES!
8. IF YOU RESTART YOUR COMPUTER I WILL DELETE ALL FILES!
EXPECT ~ARIOZNACODE AND COMPL3X =]
button 'VIEW ALL MY ENCRYPTED FILES!'   ID: ***
button 'I MADE A PAYMENT!, SUBMIT KEY!'   KEY: ***

В принципе, отличий совсем немного. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
C:\Users\AppData\Roaming\Microsoft\Windows\Start menu\Programs\Startup\SystemLock.exe
LOGON.exe  
Ransom.exe
downloader.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: arizonacode.bplaced.net
C2 IP: 144.76.167.69 (Германия)
bplaced.net (5.9.107.19 Германия)
***GommeHD.net
***wallup.net

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >> Ещё >>
Malwr анализ >>

Внимание!

Есть возможность дешифровки файлов

Контакт для дешифровки >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as DeriaLock)
 Write-up
 *
 *

 Thanks: 
 Karsten Hahn
 Daniel Gallagher
 Catalin Cimpanu
 JaromirHorejsi
 

© Amigo-A (Andrew Ivanov): All blog articles.

BadEncript

BadEncript Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует заплатить на Bitcoin-адрес, чтобы вернуть файлы. Название оригинальное, другое: HappyBadEncript. Сумма выкупа неизвестна. 

© Генеалогия: BadEncript.

К зашифрованным файлам добавляется расширение .bript

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: More.html

Содержание записки о выкупе:
Your files were encrypted by the BadEncript ransomware! 
To unlock your files you need to pay to the bitcoin address 
 1M2Wwtiuo9yC2fXygKoytTVye5Y7a58pvx. 
 After the payment was done, press "Check Wallet". 
 It will check if you have payed or not. 
If you did pay, your password will be automatically entered into the input box.
After that, just press "Decrypt" and all your files will be decrypted.

Перевод записки на русский язык:
Ваши файлы были зашифрованы BadEncript ransomware!
Для разблокировки файлов вы должны заплатить на Bitcoin-адрес
  1M2Wwtiuo9yC2fXygKoytTVye5Y7a58pvx.
  После сделанной оплаты нажмите кнопку "Check Wallet".
  Будет проверено, заплатили вы или нет.
Если вы заплатили, ваш пароль будет автоматически введён в поле ввода.
Потом просто нажмите кнопку "Decrypt" и все ваши файлы будут расшифрованы.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Ключ дешифрования нигде не сохраняется, окно программы закрывать нельзя. Сумма выкупа неизвестна. Уплата выкупа бесполезна. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
BadEncript.exe
HappyBadEncript.exe
More.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BadEncript)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AdamLocker

AdamLocker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует перейти по ссылке, чтобы получить ключ дешифровки и вернуть файлы. Название оригинальное, другое: RW.adm_64. Разработчик: puff69.

© Генеалогия: AdamLocker.

К зашифрованным файлам добавляется расширение .adam

Активность этого криптовымогателя пришлась на декабрь 2016 г. Сначала puff69 делал блокировщики экрана без использования шифрования. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
ADAM LOCKER
Your computer has been infected by Adam! Random documents and files have been encrypted and a key generated to prevent further actions. To prevent this, please follow this link to get your unlock key.
Exiting This windows WILL cause the key to be destroyed!!!
button "Open"

Перевод записки на русский язык:
ADAM LOCKER
Ваш компьютер был заражен Adam! Случайные документы и файлы были зашифрованы, а ключ создан для предотвращения дальнейших действий. Чтобы предотвратить это, пожалуйста, перейдите по этой ссылке, чтобы получить ключ разблокировки.
Выход из этого окна приведет к тому, что ключ будет уничтожен!!!
Кнопка "Открыть"

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
a.exe
adam_64.exe
ProgramData\run.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> 
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!

Файлы можно дешифровать!

Контакт для дешифровки >>>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AdamLocker)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Alphabet

Alphabet Ransomware

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1.0 биткоин, чтобы вернуть файлы. Оригинальное название: Alphabet. Среда разработки: Visual Studio 2015. Разработчик: NikiTos. Фальш-имя: Windows 10 Critical Update Service. Фальш-копирайт: Microsoft Corporation © 2016.

Обнаружения: 
DrWeb -> Trojan.Encoder.7468
BitDefender -> Generic.Ransom.Hiddentear.A.327B9D5E

© Генеалогия: Alphabet.

К зашифрованным файлам добавляется расширение .sv

Образец этого шифровальщика был найден в декабре 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Для успешной атаки на компьютере должен быть установлен .NET Framework 4.5.2. 

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста о выкупе:
Your computer has been struck by the Alphabet Ransomware. All your documents are encrypted with the strongest encryption algorithms.
There is no way to decrypt your files without purchasing a special decryption key and typing it here. To get the decryption key you should pay 1.0 BTC to the bitcoin address . 
If you won't pay after 5 hours, all the encrypted files will be permanently erased!
If you will kill this application, the decryption key will be destroyed aswell and NO ONE will be able to decrypt your files.
Decryption code: ***
button 'Decrypt'
Your files were encrypted on: 13:55:39

Перевод текста на русский язык:
Ваш компьютер был поражен Alphabet Ransomware. Все ваши документы зашифрованы с сильнейшим алгоритмом шифрования.
Нет никакого способа расшифровать файлы без покупки специального ключа дешифрования и ввода его здесь. Чтобы получить ключ дешифрования вы должны оплатить 1.0 BTC на биткоин-адрес ***
Если вы не заплатите через 5 часов, все зашифрованные файлы будут безвозвратно удалены!
Если вы будете убивать это приложение, ключ дешифрования будет также уничтожен и никто не сможет расшифровать ваши файлы.
Код дешифрования: ***
Кнопка 'Decrypt'
Ваши файлы были зашифрованы на: 13:55:39

Как оказалось, шифровальщик прикидывается файлом обновления Windows, потому демонстрирует пострадавшей стороне фальшивый экран установки критических обновлений Windows 10, а потом уже показывает экран с требованиями выкупа. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Alphabet.exe
<ransom>.exe
Alphabet.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 17T3wKnZByNR2uofqq5mdHY4bSUB2S4E3t
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 Write-up

 Thanks: 
 MalwareHunterTeam
 JaromirHorejsi
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KoKoKrypt

KoKoKrypt Ransomware
KokoLocker Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,1 биткоинов, чтобы вернуть файлы. На уплату выкупа даётся 72 часа. Название оригинальное, дано разработчиком в честь своего попугая Коко. Название файла: Encrypter. Фальш-имя: Windows Update. Разработчик: Talnaci Alexandru.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .kokolocker

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
--- KoKoKrypt ---
All of your personal data got encrypted by KokoKrypt!
To unlock all your data of this computer, you have to do the following steps:
1. Get a Bitcoin Wallet
2. Get 0.1 BTC on it
3. Put your BTC Address below
4. Wait for decryption process
Payment may be delayed for 24/48 hours, so don't worry! You have 78h to pay!
After 78h, KoKoKrypt will uninstall itself and leave your files encrypted!
button "Pay using Bitcoin"

Перевод текста на русский язык:
--- KoKoKrypt ---
Все ваши личные данные были зашифрованы KokoKrypt!
Для разблокировки всех данных этого компьютера, вы должны сделать следующие шаги:
1. Получить Bitcoin-кошелек
2. Получить 0,1 BTC на него
3. Поместить свой BTC-адрес в поле ниже
4. Подождать, пока идёт процесс дешифрования
Оплата может задержаться на 24/48 часов, потому не волнуйтесь! У вас есть 78 часов на оплату! После 78 часов, KoKoKrypt удалит себя и оставит ваши файлы зашифрованными!
кнопка "Оплатить с Bitcoin"

Распространяется разработчиком по форумам. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Работает только на 64-разрядных системах с установленным .NET Framework 4.5, но может быть переписан для 32-разрядных систем. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
KoKoKryptControlPanel.exe
Ransoml.0.exe
Windows Update.exe
<random>.exe
<random>.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик.
Скачать дешифровщик можно по ссылке >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up (n/a)
 *

 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

L33TAF Locker

L33TAF Locker Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Название оригинальное, указано в записке о выкупе. Разработчик: staffttt (см. также его Fake CryptoLocker). 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .l33tAF

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
YOU_HAVE_BEEN_HACKED.txt

Содержание записки о выкупе:
Your files have been encrypted with L33TAF Locker!!!
Seeking technical help won't work because your files are encrypted with AES256/RSA4096 which is known as military grade encryption, it is impossible to retrieve your files without the decryption key!!!!!!!!!
If you want your files back you must pay a ransom of 5 btc to the address below
BTC address: 18vkm*****
After paying the ransom, contact supahotfiya@tuta.io and send 1 encrypted file from your machine.
When your payment is confirmed we will send you a decryption software specifically made for your machine.
If you fail to pay the ransom in 48 hours your decryption key will be destroyed and your files will remain encrypted forever!!!!!

Перевод записки на русский язык:
Ваши файлы были зашифрованы L33TAF Locker!!!
Поиск технической помощи не поможет, потому что ваши файлы зашифрованы с AES256/RSA4096, известным как шифрование военного класса, невозможно восстановить файлы без ключа дешифрования!!!!!!!!!
Если вы хотите вернуть ваши файлы, то должны заплатить выкуп в размере 5 BTC по указанному ниже адресу
BTC-адрес: 18vkm8*****
После уплаты выкупа свяжитесь с supahotfiya@tuta.io и отправьте 1 зашифрованный файл с вашего компьютера.
После подтверждения оплаты мы вышлем вам программу дешифрования, специально сделанную для вашей машины.
Если вы не можете заплатить выкуп в течение 48 часов, ваш ключ дешифрования будет уничтожен, а ваши файлы останутся
зашифрованными навсегда!!!!!

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as L33TAF Locker)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.