Globe3

Globe3 Ransomware

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 

См. также статьи УК РФ: 

ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)

ст. 272 "Неправомерный доступ к компьютерной информации" 

ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в 3 биткоина, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: Globe (Purge) > Globe-2 > Globe-3 >> Amnesia > Scarab > Scarab Family

Изображение является логотипом статьи

К зашифрованным файлам на момент публикации этой статьи чаще всего добавляются расширения:
.decrypt2017
.hnumkhotep
.badnews
.globe
и другие

Позже добавляемых расширений может стать больше, как это было с предыдущими версиями Globe-вымогателей. Любой новый вымогатель-злоумышленник может настроить это в используемом им крипто-строителе Globe. Будем по возможности новые расширения и записки включать в обновления. 

Различие от двух предыдущих версиях Globe находится на уровне операций шифрования. Первый вариант Globe использовал алгоритм Blowfish для шифрования файлов. В Globe2 использовались RC4 и RC4 + XOR. Теперь же Globe3 использует AES-256, мощный алгоритм симметричного шифрования.

Globe3 переименовывает файлы по схеме <base64>.happydayzz`и шифрует у них только 64 Кб, как и все другие варианты Globe. 

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, но в записке о выкупе есть русские слова, впрочем и это не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
How To Recover Encrypted Files.hta

Содержание записки о выкупе:
Your files are encrypted!
Your personal ID
*****
Your documents, photos, databases, save games and other important data has been encrypted.
Data recovery is required interpreter.
To get the interpreter should pay its costs: 3 Bitcoin (3 BTC).
Cash must be translated into Bitcoin-purse: 18XXV***
If you have no Bitcoin
Create a wallet Bitcoin: xxxxs://blockchain.info/ru/wallet/new
Get cryptocurrency Bitcoin: 
xxxxs://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и другие.) 
xxxxs://ru.bitcoin.it/wiki/Приобретение_биткоинов (instruction for beginners)
Send 3 BTC bitcoin address 18XXV***
After the payment, send an e-mail address decrypt2017@india.com. In a letter to indicate your personal identifier.
In a response letter you will receive a program to decrypt.
After start-interpreter program, all your files will be restored.
Attention!
Do not attempt to remove the program or run the anti-virus tools
Attempts to self-decrypting files will result in the loss of your data
Decoders are not compatible with other users of your data, because each user's unique encryption key

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш персональный ID
*****
Ваши документы, фото, базы данных, сейвы игр и другие важные данные зашифрованы.
Для восстановления данных требуется интерпретатор.
Чтобы получить интерпретатор нужно оплатить эту сумму: 3 Bitcoin (BTC) 3.
Денежные средства должны быть переведены на Bitcoin-кошелек: 18XXV ***
Если у вас нет Bitcoin
Создание Bitcoin-кошелька: xxxxs://blockchain.info/ru/wallet/new
Получить криптовалюту Bitcoin:
xxxxs://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и другие.) 
xxxxs://ru.bitcoin.it/wiki/Приобретение_биткоинов (инструкция для начинающих)
Отправить 3 BTC на Bitcoin-адрес 18XXV ***
После оплаты, отправить email на адрес decrypt2017@india.com. В письме указать свой персональный идентификатор.
В ответном письме вы получите программу для расшифровки.
После запуска программы интерпретатора, все ваши файлы будут восстановлены.
Внимание!
Не пытайтесь удалить программу или запустить антивирусные инструменты
Попытки самодешифрования файлов приведут к потере ваших данных
Декодеры от других пользователей не вернут ваши данные, т.к. у каждого пользователя уникальный ключ шифрования 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Создаёт много процессов. Проверяет наличие в системе инструментов тестирования и мониторинга, используемых для отслеживания вредоносных действий. Прописывает исполняемый файл в Автозагрузку Windows. 

После шифрования удаляет теневые копии файлов, точки восстановления и отключает исправление загрузки Windows командами:
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled No

Список файловых расширений, подвергающихся шифрованию:
.001, .1cd, .3d, .3d4, .3df8, .3dm, .3ds, .3fr, .3g2, .3ga, .3gp, .3gp2, .3mm, .3pr, .7z, .7zip, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .a2c, .aa, .aa3, .aac, .aaf, .ab4, .abk, .abw, .ac2, .ac3, .accdb, .accde, .accdr, .accdt, .ace, .ach, .acr, .act, .adb, .ade, .adi, .adp, .adpb, .adr, .ads, .adt, .aep, .aepx, .aes, .aet, .afp, .agd1, .agdl, .ai, .aif, .aiff, .aim, .aip, .ais, .ait, .ak, .al, .allet, .amf, .amr, .amu, .amx, .amxx, .ans, .aoi, .ap, .ape, .api, .apj, .apk, .apnx, .arc, .arch00, .ari, .arj, .aro, .arr, .arw, .as, .as3, .asa, .asc, .ascx, .ase, .asf, .ashx, .asm, .asmx, .asp, .aspx, .asr, .asset, .asx, .automaticdestinations-ms, .avi, .avs, .awg, .azf, .azs, .azw, .azw1, .azw3, .azw4, .b2a, .back, .backup, .backupdb, .bad, .bak, .bank, .bar, .bay, .bc6, .bc7, .bck, .bcp, .bdb, .bdp, .bdr, .bfa, .bgt, .bi8, .bib, .bic, .big, .bik, .bin, .bkf, .bkp, .bkup, .blend, .blob, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpk, .bpl, .bpw, .brd, .bsa, .bsk, .bsp, .btoa, .bvd, .c, .cag, .cam, .camproj, .cap, .car, .cas, .cat, .cbf, .cbr, .cbz, .cc, .ccd, .ccf, .cch, .cd, .cdf, .cdi, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cef, .cer, .cert, .cfg, .cfp, .cfr, .cgf, .cgi, .cgm, .cgp, .chk, .chml, .cib, .class, .clr, .cls, .clx, .cmf, .cms, .cmt, .cnf, .cng, .cod, .col, .con, .conf, .config, .contact, .cp, .cpi, .cpio, .cpp, .cr2, .craw, .crd, .crt, .crw, .crwl, .crypt, .crypted, .cryptra, .cs, .csh, .csi, .csl, .cso, .csr, .css, .csv, .ctt, .cty, .cue, .cwf, .d3dbsp, .dac, .dal, .dap, .das, .dash, .dat, .database, .dayzprofile, .dazip, .db, .db_journal, .db0, .db3, .dba, .dbb, .dbf, .dbfv, .db-journal, .dbx, .dc2, .dc4, .dch, .dco, .dcp, .dcr, .dcs, .dcu, .ddc, .ddcx, .ddd, .ddoc, .ddrw, .dds, .default, .dem, .der, .des, .desc, .design, .desklink, .dev, .dex, .dfm, .dgc, .dic, .dif, .dii, .dim, .dime, .dip, .dir, .directory, .disc, .disk, .dit, .divx, .diz, .djv, .djvu, .dlc, .dmg, .dmp, .dng, .dob, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .drf, .drw, .dsk, .dsp, .dtd, .dvd, .dvi, .dvx, .dwg, .dxb, .dxe, .dxf, .dxg, .e4a, .edb, .efl, .efr, .efu, .efx, .eip, .elf, .emc, .emf, .eml, .enc, .enx, .epk, .eps, .epub, .eql, .erbsql, .erf, .err, .esf, .esm, .euc, .evo, .ex, .exe, .exf, .exif, .f90, .faq, .fcd, .fdb, .fdr, .fds, .ff, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flp, .flv, .flvv, .for, .forge, .fos, .fpenc, .fpk, .fpp, .fpx, .frm, .fsh, .fss, .fxg, .gam, .gdb, .gfe, .gfx, .gho, .gif, .gpg, .gray, .grey, .grf, .groups, .gry, .gthr, .gxk, .gz, .gzig, .gzip, .h, .h3m, .h4r, .hbk, .hbx, .hdd, .hex, .hkdb, .hkx, .hplg, .hpp, .hqx, .htm, .html, .htpasswd, .hvpl, .hwp, .ibank, .ibd, .ibz, .ico, .icxs, .idl, .idml, .idx, .ie5, .ie6, .ie7, .ie8, .ie9, .iff, .iif, .iiq, .img, .incpas, .indb, .indd, .indl, .indt, .ink, .inx, .ipa, .iso, .isu, .isz, .itdb, .itl, .itm, .iwd, .iwi, .jac, .jar, .jav, .java, .jbc, .jc, .jfif, .jge, .jgz, .jif, .jiff, .jnt, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpw, .js, .json, .jsp, .just, .k25, .kc2, .kdb, .kdbx, .kdc, .kde, .key, .kf, .klq, .kmz, .kpdx, .kwd, .kwm, .laccdb, .lastlogin, .lay, .lay6, .layout, .lbf, .lbi, .lcd, .lcf, .lcn, .ldb, .ldf, .lgp, .lib, .lit, .litemod, .lngttarch2, .localstorage, .log, .lp2, .lpa, .lrf, .ltm, .ltr, .ltx, .lua, .lvivt, .lvl, .m, .m2, .m2ts, .m3u, .m3u8, .m4a, .m4p, .m4u, .m4v, .mag, .man, .map, .mapimail, .max, .mbox, .mbx, .mcd, .mcgame, .mcmeta, .mcrp, .md, .md0, .md1, .md2, .md3, .md5, .mdb, .mdbackup, .mdc, .mddata, .mdf, .mdl, .mdn, .mds, .mef, .menu, .meo, .mfw, .mic, .mid, .mim, .mime, .mip, .mjd, .mkv, .mlb, .mlx, .mm6, .mm7, .mm8, .mme, .mml, .mmw, .mny, .mobi, .mod, .moneywell, .mos, .mov, .movie, .moz, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg, .mpq, .mpqge, .mpv2, .mrw, .mrwref, .mse, .msg, .msi, .msp, .mts, .mui, .mxp, .myd, .myi, .nav, .ncd, .ncf, .nd, .ndd, .ndf, .nds, .nef, .nfo, .nk2, .nop, .now, .nrg, .nri, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .ntl, .number, .nvram, .nwb, .nx1, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .oil, .opd, .opf, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pack, .pages, .pak, .paq, .pas, .pat, .pbf, .pbk, .pbp, .pbs, .pcd, .pct, .pcv, .pdb, .pdc, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkey, .pkh, .pkpass, .pl, .plb, .plc, .pli, .plus_muhd, .pm, .pmd, .png, .po, .pot, .potm, .potx, .ppam, .ppd, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prel, .prf, .props, .prproj, .prt, .ps, .psa, .psafe3, .psd, .psk, .pspimage, .pst, .psw6, .ptx, .pub, .puz, .pwf, .pwi, .pwm, .pxp, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qel, .qic, .qif, .qpx, .qt, .qtq, .qtr, .r00, .r01, .r02, .r03, .r3d, .ra, .ra2, .raf, .ram, .rar, .rat, .raw, .rb, .rdb, .rdi, .re4, .res, .result, .rev, .rgn, .rgss3a, .rim, .rll, .rm, .rng, .rofl, .rpf, .rrt, .rsdf, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rvt, .rw2, .rwl, .rwz, .rzk, .rzx, .s3db, .sad, .saf, .safe, .sas7bdat, .sav, .save, .say, .sb, .sc2save, .sch, .scm, .scn, .scx, .sd0, .sd1, .sda, .sdb, .sdc, .sdf, .sdn, .sdo, .sds, .sdt, .search-ms, .sef, .sen, .ses, .sfs, .sfx, .sgz, .sh, .shar, .shr, .shw, .shy, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .slt, .sme, .snk, .snp, .snx, .so, .spd, .spr, .sql, .sqlite, .sqlite3, .sqlitedb, .sqllite, .sqx, .sr2, .srf, .srt, .srw, .ssa, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stt, .stw, .stx, .sud, .suf, .sum, .svg, .svi, .svr, .swd, .swf, .switch, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .syncdb, .t01, .t03, .t05, .t12, .t13, .tar, .tax, .tax2013, .tax2014, .tbk, .tbz2, .tch, .tcx, .tex, .text, .tg, .tga, .tgz, .thm, .thmx, .tif, .tiff, .tlg, .tlz, .toast, .tor, .torrent, .tpu, .tpx, .trp, .ts, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .uea, .umx, .unity3d, .unr, .unx, .uop, .uot, .upk, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uu, .uud, .uue, .uvx, .uxx, .val, .vault, .vbox, .vbs, .vc, .vcd, .vcf, .vdf, .vdi, .vdo, .ver, .vfs0, .vhd, .vhdx, .vlc, .vlt, .vmdk, .vmf, .vmsd, .vmt, .vmx, .vmxf, .vob, .vp, .vpk, .vpp_pc, .vsi, .vtf, .w3g, .w3x, .wab, .wad, .wallet, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmo, .wmv, .wmx, .wotreplay, .wow, .wpd, .wpe, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x11, .x3f, .xf, .xis, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlv, .xlw, .xlwx, .xml, .xpi, .xps, .xpt, .xqx, .xsl, .xtbl, .xvid, .xwd, .xxe, .xxx, .yab, .ycbcra, .yenc, .yml, .ync, .yps, .yuv, .z02, .z04, .zap, .zip, .zipx, .zoo, .zps, .ztmp (1049 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, веб-файлы, архивы, базы данных, файлы бухгалтерской и налоговой отчётности, фотографии и графика, аудио-файлы, видео-файлы, файлы образов и виртуальных дисков, бэкапы, сохранения, кошельки, торрент-файлы, Unix-файлы, файлы скриптов, файлы прикладных программ и многое другое.

Файлы, связанные с этим Ransomware:
How To Recover Encrypted Files.hta
<random>.exe

Расположение:
%USERPROFILE%\Downloads\How To Recover Encrypted Files.hta

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
decrypt2017@india.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на .badnews >>
VirusTotal анализ на .globe >>

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление 9 января 2017:
Записка: How To Recover Encrypted Files.hta
Расширение: .Daniel.Abram@india.com.3392cYAn548QZeUf.lock
Почта: Daniel.Abram@india.com
Результаты анализов: VT, DA, HA + VT
Особенности: 
Отключает Windows Startup Repair с помощью bcdedit.






Обновление от 10 января 2017:
Расширение: .globe
Email: server10@mailfence.com
Результаты анализов: VT

Обновление от 10 января 2017:

Расширение: .[Bitcash@india.com]
Email: Bitcash@india.com
Записка: How To Recover Encrypted Files.hta
Результаты анализов: VT

Обновление от 17 января 2017:
Расширение: .[mia.kokers@aol.com]
Email: mia.kokers@aol.com

Обновление от 18 января 2017:
Расширение: locked

Обновление от 28 января 2017:
Расширение: .globe
Записка: How To Recover Encrypted Files.hta
Email: server6@mailfence.com
Результаты анализов: HA, VT

Обновление от 1 февраля 2017:
Расширение: .[Michel_Robinson@india.com]
Email: Michel_Robinson@india.com

Обновление от 17 февраля: 
Файл: locker.exe
Записка: How To Recover Encrypted Files.hta
Email: happydayz@india.com
Расширение: .happydayzz
Результаты анализов: HA+VT
Типы шифруемых файлов: 
.BAT, .csv, .dat, .DAT, .DeskLink, .dll, .doc, .docx, .exe, .gif, .h, .ini, .jpeg, .jpg, .LOG, .log, .MAPIMail, .msi, .ppt, .py, .sam, .shw, .SYS, .tmp, .txt, .url, .wav, .wb2, .wk4, .wpd, .xls, .xlsx... 
Примеры зашифрованных файлов: 
rg7NM6UunexeWIsYtbJBRM.happydayzz
mKCX9v4Cv1qT0Q3JoeQlLw.happydayzz
FiHsMKD11BWhz02w5QQ25g.happydayzz
1bO01x-m-a8mU2-nea9sc5nspuRsTN5UoU6JKptCEUU.happydayzz
qKOU0HzYmu33+EAQBfjpqD+C+TeMAXU7jHdE30a-Ix0.happydayzz

 

Обновление от 20 февраля 2017:
Файл: trust1.exe
Записка: How To Recover Encrypted Files.hta
Расширение: .1
Результаты анализов: VT

Обновление от 23 февраля 2017:
Файл: update.exe и др.
Email: odin_odin@india.com
Результаты анализов: VT, VT

Обновление от 27 февраля 2017: 
Записка: How To Recover Encrypted Files.hta
Email: jeepdayz@india.com
Расширение: .jeepdayz@india.com
Результаты анализов: HA+VT

Обновление от 28 февраля 2017: 
Файлы: <random>.exe, exploror.exe
Записка: How To Recover Encrypted Files.hta
Расположение: %USERPROFILE%\How To Recover Encrypted Files.hta
Расширение: .[File-Help@India.Com].mails
Email: File-Help@India.Com
Результаты анализов: HA+VT
<< Скриншот

Обновление от 3 марта 2017:
Файл: true7.exe
Сумма выкупа: $300 в BTC
Расширение: .7
Записка: How To Recover Encrypted Files.hta
Email: server7@mailfence.com

Результаты анализов: HA+VT
<< Скриншот записки


Обновление от 4 марта 2017: 
Расширение: .[rafail@india.com]
Email: rafail@india.com
Результаты анализов: VT, VT

Обновление от 12 марта 2017: 
Расширение: .WormKiller@india.com.xtbl
Email: WormKiller@india.com
Результаты анализов: VT

Обновление от 12 марта 2017: 
Расширение: .[pingy@india.com]
Email: pingy@india.com
Результаты анализов: VT

Обновление от 16 марта 2017: 
Email: Daniel_Robinson@India.Com
Расширение: .[Daniel_Robinson@India.Com]
Результаты анализов: VT

Обновление от 17 марта 2017: 
Email: jeepdayz@aol.com
Расширение: .[jeepdayz@aol.com]
Результаты анализов: VT

Обновление от 4 апреля 2017: 
Расширение: .7
URL: xxxx://serv1.xyz/counter.php?nu=107&fb=new
xxxxs://n224ezvhg4sgyamb.onion.to/efwdaq.php
Результаты анализов: HA+VT

Обновление от 5 апреля:
Пост в Твиттере >>
Расширение: .admin@badadmin.xyz
Email: admin@badadmin.xyz, badadmin@bigmir.net
Результаты анализов: VT
Дешифруется с помощью Globe3 Decryptor






Обновление от 21 апреля 2017: 
Email: d7516@ya.ru, denis_help@inbox.ru
Расширение: .{d7516@ya.ru}lock
Результаты анализов: VT + VT

Обновление от 21 апреля 2017: 
Email: File-Help@India.Com
Расширение: .[File-Help@India.Com
Результаты анализов: VT

Обновление от 22 апреля 2017:
Расширение: .1
Email: serverfence1@mailfence.com
Результаты анализов: VT

Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются регулярно.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать и использовать Globe Decrypter по инструкции >>
Скачать и использовать Globe-2 Decrypter по инструкции >>
Скачать и использовать Globe-3 Decrypter по инструкции >>
***

   Read to links: 
   Emsisoft Decrypter
   Write-up 
  ID Ransomware (ID as Globe3)

 Thanks: 
 Fabian Wosar
 Catalin Cimpanu
 Michael Gillespie
 Alex Svirid (Thyrex)
 xXToffeeXx

© Amigo-A (Andrew Ivanov): All blog articles.

FireCrypt

BleedGreen Ransomware

FireCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $500 в биткоинах, чтобы вернуть файлы. Название оригинальное. Другое: FireCrypt. Фальш-имена: Microsoft Windows Operating System, Bluetooth Control Panel, CfgBkEnd и другие. 

Обнаружения: 

DrWeb -> Trojan.Encoder.10088, Trojan.Encoder.10090

ALYac -> Trojan.Ransom.FireCrypt

Avira (no cloud) -> HEUR/AGEN.1100481

BitDefender -> DeepScan:Generic.Ransom.FFF2008A

ESET-NOD32 -> A Variant Of MSIL/Filecoder.DZ

Kaspersky -> Trojan-Ransom.Win32.Crypmodadv.xee

Microsoft -> Ransom:Win32/Firecrypt.A, Ransom:MSIL/FireCrypt.MK!MTB

Rising -> Ransom.Crypmodadv!8.291 (CLOUD)

Symantec -> Ransom.FireCrypt

Tencent -> Win32.Trojan.Raas.Auto, Trojan.Win32.FireCrypt.a

TrendMicro -> Ransom_BleedGreen.A, Ransom_BleedGreen.B

© Генеалогия: Deadly > FireCrypt (BleedGreen)

К зашифрованным файлам добавляется расширение .firecrypt

Образец этого крипто-вымогателя был обнаружен в ресурсах, как простой  криптостроитель, в начале января 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру и  настраивать под себя.  

Запиской с требованием выкупа выступает html-файл <random>-READ_ME.html, например, RuhsyvBQEIPgjAS-READ_ME.html

В ней упомянут список зашифрованных файлов, это может быть файл <random>-filesencrypted.html 
Например: epjCyVqQIEPgvRE-filesencrypted.html

Содержание записки о выкупе:
WARNING! Your Files Have Been Encrypted!
Key Will Be Destroyed On:
&Date&
Your Files Are Encrypted:
&FileCount&
USER ID: &UserID& - Encryption Used: AES-256
Your files have been safely encrypted on this PC: photos, videos, documents, etc. Click "Encrypted Files" link to view a complete list of encrypted files, and you can personally verify this. Encryption was produced using a unique public key AES-256 generated for this computer. To decrypt files you need to obtain the private key. The only copy of the private key, which will allow you to decrypt your files, is located on a secret server on the Internet; the server will eliminate the key after a time period specified in this window. Once this has been done, nobody will ever be able to restore files... In order to decrypt the files you will need to send S500 USD in form of BTC to the following bitcoin address:
&bitwallet& (How to buy Bitcoins?)
After payment contact &email& with your transaction details and "USER ID”. Once the payment is confirmed you will recieve decryption key along with decryption software. Any attempt to remove or corrupt this software will result in immediate elimination of the private key by the server. Beware.
link Encrypted Files

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ! Ваши файлы зашифрованы!
Ключ будет уничтожен через:
&Дата, время&
Ваших файлов зашифровано:
&Число файлов&
USER ID: &UserID& - Шифрование: AES-256
Ваши файлы, безопасно зашифрованные на этом компьютере: фото, видео, документы и т.д. Нажмите на ссылку "Encrypted Files", чтобы увидеть весь список зашифрованных файлов, и вы можете лично убедиться, что шифрование произведено с использованием уникального открытого ключа AES-256, созданного для этого компьютера. Для расшифровки файлов надо получить секретный ключ. Единственная копия секретного ключа, который позволит вам расшифровать файлы, находится на секретном сервере в Интернет; сервер удалит ключ по истечении времени, указанного в этом окне. После этого никто и никогда не сможет восстановить файлы... Для заказа расшифровки файлов вам нужно отправить $500 USD в BTC на следующий Bitcoin-адрес:
&bitwallet& (Как купить биткоины?)
После оплаты напишите на email детали вашей транзакции и "USER ID". После подтверждения оплаты вы получите ключ дешифрования вместе с программой дешифрования. Любая попытка удалить или повредить эту программу приведет к немедленной ликвидации секретного ключа сервером. Осторожнее.
ссылка Encrypted Files

Распространяется через ресурсы, но после реализации или продажи проекта может начать распространяться с помощью email-спама и вредоносных вложений (EXE под видом DOC и PDF), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Распространители описывают возможности криптовымогателя: добавляется в Автозагрузку системы, вырубает диспетчер задач, AES256 Ransomeware, DDoSer (ддосит сайт и шифрует файлы), есть место на диске, имеет horror-иконку (кровавая тематика). Требует наличия в системе .NET Framework 4.0.

 

Список файловых расширений, подвергающихся шифрованию:

.aep, .asp, .aspx, .csv, .csx, .doc, .docx, .htm, .html, .jpg, .mdb, .mp3, .pdf, .php, .png, .psd, .sln, .sql, .torrent, .txt (20 расширений).

Это документы MS Office, PDF, текстовые файлы, торрент-файлы, базы данных, изображения, музыка, файлы веб-страниц и пр.

Файлы, связанные с этим Ransomware:
BleedGreen.exe -  исполняемый файл вымогателя с демонстрацией возможностей
%Desktop%\<random>-READ_ME.html - записка о выкупе
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\<random>.exe, - файл, загружаемый с Window, например: aGPQOTEwEivuLOR.exe
%AppData%\SysWin32\files.txt - список зашифрованных файлов
%Desktop%\<random>-filesencrypted.html - список зашифрованных файлов
readme.txt
Readme.txt
ReadMe.txt
FireCrypt.rar - архив в ресурсах, содержащий файлы проекта. 
somefilename.exe - исполняемый файл в образце
fafas.exe - исполняемый файл в образце
shue.exe - исполняемый файл в образце
\temp\<random>.exe  - исполняемый файл в образце
\temp\<random>-<connect_number>.html - файлы, загруженные во время атаки DDoS
\temp\ - куча мусорных файлов, забивающих место на диске.

Примечательно, что подключившись к сайту www.pta.gov.pk, крипто-вымогатель загружает его содержимое во временные папки, чтобы заполнить весь диск.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
hxxx://lmgtfy.com/?q=how+to+buy+bitcoins
hxxx://www.pta.gov.pk/index.php (Пакистан)
Email: gravityz3r0@sigaint.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ на somefilename.exe >>
VirusTotal анализ на FireCrypt.rar >>
VirusTotal на somefilename.exe >>
VirusTotal на shue.exe >>
Symantec Ransom.FireCrypt >>

Обновление от 16 февраля 2017:
Результаты анализов: VT, VT

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Варианты от 10 сентября 2021: 

Сообщение >>

Расширение: .firecrypt

Записка: CNHZWtPnfcnFToc-READ_ME.html

Результаты анализов: VT + AR + IA / VT + AR + IA

Содержание записки о выкупе: 

Key Will Be Destroyed On:

&Date&

Your Files Are Encrypted:

&FileCount&

USER ID: &UserID& - Encryption Used: AES-256

Your files have been safely encrypted on this PC: photos, videos, documents, etc. Click "Encrypted Files" link to view a complete list of encrypted files, and you can personally verify this. Encryption was produced using a unique public key AES-256 generated for this computer. To decrypt files you need to obtain the private key. The only copy of the private key, which will allow you to decrypt your files, is located on a secret server on the Internet; the server will eliminate the key after a time period specified in this window. Once this has been done, nobody will ever be able to restore files... In order to decrypt the files you will need to send $500 USD in form of BTC to the following bitcoin address:

&bitwallet& (How to buy Bitcoins?)

After payment contact &email& with your transaction details and "USER ID". Once the payment is confirmed you will recieve decryption key along with decryption software. Any attempt to remove or corrupt this software will result in immediate elimination of the private key by the server. Beware.

Encrypted Files

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as FireCrypt)
 Write-up (n/a)
 

Write-up (Added January 5, 2017)

 Thanks: 
 MalwareHunterTeam, JaromirHorejsi
 Michael Gillespie, Catalin Cimpanu
 Karsten Hahn

© Amigo-A (Andrew Ivanov): All blog articles.

BTCamant

BTCamant Ransomware

(шифровальщик-вымогатель)

  Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться по email с вымогателями, чтобы вернуть файлы. Оригинальное название: Mission 1996. Оно же фальш-имя от одноименного фильма "Mission: Impossible" (1996).  

© Генеалогия: Radamant >> BTCamant

К зашифрованным файлам добавляется расширение .BTC

Активность этого крипто-вымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
BTC_DECRYPT_FILES.txt
BTC_DECRYPT_FILES.html

Содержание записки о выкупе:
Hello!
For getting back Your PC data You need to contact with us through email as soon as possible: sepas@protonmai1.com , sepast@protonmai1.com

Перевод записки на русский язык:
Привет!
Для возврата Ваших данных ПК Вам нужно связаться с нами по email как можно скорее: sepas@protonmai1.com, sepast@protonmai1.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
BTC_DECRYPT_FILES.txt
BTC_DECRYPT_FILES.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
sepas@protonmai1.com
sepast@protonmai1.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>
Deepviz анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCamant)
 Write-up
 *
 *

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

X3M

X3M Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с шифруются с помощью AES-256 в режиме CBC, получая ключ с помощью SHA-256, а затем требует выкуп в $700, чтобы вернуть файлы. Название условное, по первому добавленному расширению.

© Генеалогия: X3M ⟺ Nemesis 
X3M > GarryWeber > SteaveiWalker > CryptON > Cry9 > Cry128 > Cry36 ...

Схема говорит о том, что X3M и Nemesis делаются, видимо, одной командой разработчиков-вымогателей (возможно, X3M Team и/или Nemesis Team), но используются для разных целей. Для атаки на серверы компаний используется Nemesis, а семейство X3M и СryptON с другими промежуточными разработками для разных стран используется для атак на пользователей и на то, что ещё удастся взломать с помощью RDP, в том числе и серверы. 

Возможно, что разнообразие похожих-непохожих признаков служит для того, чтобы запутать исследователей и тех, кто должен отслеживать вредоносную активность по долгу службы или по работе. 

К зашифрованным файлам добавляется одно из следующих окончаний-расширений с нижним подчеркиванием вместо точки: 
_x3m  (фактически: .id-<id>_x3m)
_r9oj  (фактически: .id-<id>_r9oj)
_locked  (фактически: .id-<id>_locked)

Пример зашифрованных файлов:
picture.png.id-2800447857_x3m
picture.png.id-2890117789_r9oj
picture.png.id-2109892288_locked

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:

Содержание записок о выкупе:
ALL YOUR IMPORTANT FILES ARE ENCRYPTED
Your documents, photos, databases and other important files have been encrypted! To decrypt your files you need to buy the special software – «Cerber decryptor»
Data recovery requires decoder.
To obtain decryptor, please, contact me by email: server-support@india.com
The cost of the decoder: ~700 USD
Payment only Bitcoin.
Your personal identification ID: id-2650322560
---
ALL YOUR IMPORTANT FILES ARE ENCRYPTED
Your documents, photos, databases and other important files have been encrypted! To decrypt your files you need to buy the special software – «x3m decryptor»
To obtain decryptor, please, contact me by email: deyscriptors1@india.com
Your personal identification ID: id-2800447857

Перевод записок на русский язык:
Все ваши важные файлы зашифрованы
Ваши документы, фото, базы данных и другие важные файлы зашифрованы! Для расшифровки файлов вам нужно купить специальную программу - «Cerber decryptor»
Для восстановления данных требуется декодер.
Для получения расшифровщик свяжитесь со мной по email: server-support@india.com
Стоимость декодера: ~700 USD
Оплата только биткоинами.
Ваш личный идентификационный ID: ID-2650322560
---
Все ваши важные файлы зашифрованы
Ваши документы, фото, базы данных и другие важные файлы зашифрованы! Для расшифровки файлов вам нужно купить специальную программу - «x3m decryptor»
Для получения расшифровщика свяжитесь со мной по email: deyscriptors1@india.com
Ваш личный идентификационный ID: ID-2800447857

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Также возможен взлом RDP Windows с помощью Pass-the-Hash техники, утилит PuTTY, mRemoteNG, TightVNC, Chrome Remote Desktop, модифицированных версий TeamViewer, AnyDesk, Ammyy Admin, LiteManager, Radmin, PsExec и пр. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
<random>.tmp.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
server-support@india.com - уже вероятно отключен
deyscriptors1@india.com - уже вероятно отключен
x3m-pro@protonmail.com - новый email для связи!
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.

Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24 марта 2017:
Пост в Твиттере >>
Записка: ### HOW TO DECRYPT FILES ###.html
Email: x3m-pro@protonmail.com  x3m@usa.com
BM: BM-2cWueiDqKeajosJ4edtA7pdNY2n2ccK2uq
Расширение: .id-<ID>_[x3m-pro@protonmail.com]_[x3m@usa.com].x3m
Результаты анализов: VT
Скриншоты записки о выкупе и скринлок на обоях см. ниже. 

Обновление от 27 апреля 2017:
Название пока не представлено. 
Записка: DECRYPT MY FILE.txt
Тема на форуме BC >> + Ещё >>
Сумма выкупа: ~0.15 BTC
Расширения для файлов: 
.id_<ID_0-9{10}>_gebdp3k7bolalnd4.onion._
.id_<ID_0-9{10}>_kgjzsyyfgdm4zavx.onion._
URL: xxxxs://gebdp3k7bolalnd4.onion.to
xxxxs://gebdp3k7bolalnd4.onion.cab
xxxxs://gebdp3k7bolalnd4.onion.nu
xxxx://gebdp3k7bolalnd4.onion
xxxxs://kgjzsyyfgdm4zavx.onion.to
xxxxs://kgjzsyyfgdm4zavx.onion.cab
xxxxs://kgjzsyyfgdm4zavx.onion.nu
http://kgjzsyyfgdm4zavx.onion
Скриншоты двух текстовых записок и Tor-сайта: 

 

Примечательно, что при вводе ID на разных Tor-сайтах представляются одни и те же требования о выкупе. Вывод: это одна команда вымогателей. 

Обновление от 12 февраля 2020:
Пост в Твиттере >>
Расширение: .firex3m
Составное расширение: .id-1795654321_[contact-support@elude.in].firex3m
Записка: !!! DECRYPT MY FILES !!!.txt

Email: contact-support@elude.in, contactsupport@cock.li
Специальный файл temp000000.txt - содержит отчет о системе
Файл TEEWLJH3QNDSEELUT дублирует запсику о выкупе. 
Результаты анализов: VT + AR + VMR
➤ Обнаружения:
DrWeb -> Trojan.MulDrop9.9633
BitDefender -> Gen:Heur.Ransom.Imps.3
ALYac -> Trojan.Ransom.Nemesis
Avira (no cloud) -> HEUR/AGEN.1023574
ESET-NOD32 -> A Variant Of Win32/Filecoder.FP
Rising -> Ransom.Nemesis!1.B867 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.NEMISIS.SM

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! 
Для зашифрованных файлов есть декриптер!
Скачать декриптер для X3M и CryptON >>
Более новые варианты не могут быть расшифрованы. 

 Read to links: 
 Topic on BC
 ID Ransomware (old ID as X3M, new ID as CryptON)
 Write-up
 *

 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

GOG

GOG Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,3 биткоинов, чтобы вернуть файлы. Название оригинальное, другое: GOG1. Разработчик: GOG. 

© Генеалогия: EDA2 >> GOG

К зашифрованным файлам добавляется расширение .L0CKED 

Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на конец декабря 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа являются: текстовый файл DecryptFile.txt и изображение random.jpg, встающее обоями рабочего стола. 

Содержание записки о выкупе:
WARNING!!!
@ NOT YOUR LANGUAGE? USE https://translate.google.com
@ What happened to your files?
@ All of your files were protected by a strong encryption with RZA4096
@ More information about the encryption keys using RZA4096 can be found here: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
@ How did this happen?
@ Specially for your PC was generated personal RZA4096 Key, both publik and private.
@ ALL YOUR FILES were en-Crypted with the publik key, which has been transferred to your computer via the Internet.
@ Decrypting of your files is only possible with the help of the privatt key and de-crypt program, which is on our Secret Server
@ What do I do?
@ So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BITCOIN NOW!, and restore
your data easy way
@ If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment
@ Your personal ID: Open DecryptFile.txt
@ For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
xxxx://y6wb5h3ksb6hppeh.onion/service.html
xxxx://y6wb5h3ksb6hppeh.onion.to/service.html
@ If for some reasons the addresses are not available, follow these steps:
1 - Download and install tor-browser: http://www.torproject.org/projects/torbrowser.html.en
2 - After a successful installation, run the browser
3 - Type in the address bar - xxxx://y6wb5h3ksb6hppeh.onion/service.html
4 - Follow the instructions on the site
Be sure to copy your personal ID and the instruction link to your notepad not to lose them.

Ошибки в тексте:
Я исправил лишь ошибки пунктуации, но не тронул ряд слов, которые есть в оригинале записки. Они могут послужить характерным признаком для опознания стиля вымогателей.  

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ!!!
@ НЕ ВАШ ЯЗЫК? ИСПОЛЬЗУЙТЕ https://translate.google.com
@ Что случилось с файлами?
@ Все ваши файлы были защищены сильным шифрованием с RZA4096
@ Более подробную информацию о ключах en-Xryption с использованием RZA4096 можно найти здесь: http://en.wikipedia.org/wiki/RSA_(cryptosystem)
@ Как это произошло?
@ Специально для вашего ПК был создан персональный RZA4096 ключ, как publik и частный.
@ Все файлы были en-Crypted с помощью ключа publik, который был передан на компьютер через Интернет.
@ Дешифрование файлов возможно только с помощью ключа privatt и de-crypt программы, которая находится на нашем секретном сервере 
@ Что мне делать?
@ Есть два способа, которые вы можете выбрать: ждать чуда и получить удвоенную цену, или начать приобретать биткоины!, и восстановить ваши данные простым способом
@ Если у вас есть действительно ценные данные, то лучше не тратить свое время, потому что нет никакого другого пути, чтобы получить ваши файлы, кроме сделать оплату
@ Ваш персональный ID: откройте DecryptFile.txt
@ Для подробных инструкций, пожалуйста, посетите вашу личную домашнюю страницу, ниже есть несколько различных адресов, указывающих на вашу страницу:
хххх://y6wb5h3ksb6hppeh.onion/service.html
хххх://y6wb5h3ksb6hppeh.onion.to/service.html
@ Если по каким-то причинам адреса недоступны, выполните следующие действия:
1 - Загрузка и установка Tor-браузер: xxxx://www.torproject.org/projects/torbrowser.html.en
2 - После успешной установки запустите браузер
3 - Введите в адресной строке - хххх://y6wb5h3ksb6hppeh.onion/service.html
4 - Следуйте инструкциям на сайте
Обязательно скопируйте свой личный ID и ссылку на инструкции в ваш блокнот, чтобы не потерять их.

Страница с сайта оплаты выкупа

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
GOG.exe - исполняемый файл вымогателя
\Desktop\DecryptFile.txt - записка о выкупе
random.jpg - изображение на рабочий стол

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://81.4.122.134/p4y5k3y5/h4hn5b67lf3dxc1ff0g44/createkeys.php
xxxx://81.4.122.134/p4y5k3y5/h4hn5b67lf3dxc1ff0g44/savekey.php
xxxx://81.4.122.134/imagini/xok.jpg - загрузка изображения на обои
xxxx://y6wb5h3ksb6hppeh.onion/service.html
xxxx://y6wb5h3ksb6hppeh.onion.to/service.html

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GOG)
 Write-up
 *

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.