ZekwaCrypt

ZekwaCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Название дано аналитиками MS Malware Protection Center от одного из вариантов добавляемого расширения. На уплату выкупа даётся 7 дней. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .<7_random_letters>
Например, файл file.png после шифрования станет файлом file.png.zekwakc

Примеры расширений:
.kudshgk
.lpkehsq
.nllonrf
.redghsx
.zekwakc

Активность этого крипто-вымогателя была замечена в мае-июне 2016 года. Новая волна пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
encrypted_readme.txt
_<encrypt extensions>_encrypted_readme.txt 

В каждой папке с зашифрованными файлами присутствуют два файла: encrypted_readme.txt (записка) и encrypted_list.txt (список). 

Содержание записки о выкупе:
WARNING! Your personal files are encrypted!
Your most important files on this computer have been encrypted: photos, 
documents, videos, music, etc. You can verify this by trying to open such files. 
Encryption was produced using an UNIQUE public RSA-4096 key, specially 
generated for this computer only, thus making it impossible to decrypt such 
files without knowing private key and comprehensive decipher software. We have left on our server a copy of the private key, along with all required software for the decryption. To make sure that software is working as intended you have a possibility to decrypt one file for free, see contacts below. 
The private key will be destroyed after 7 days, afterwards making it impossible 
to decrypt your files.
Encryption date: ***
Private key destruction date: ***
For obtaining decryption software, please, contact: myserverdoctor@gmail.com or XMPP jabber: doctordisk@jabbim.com

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ! Ваши личные файлы зашифрованы!
Ваши самые важные файлы на этом компьютере были зашифрованы: фото, документы, видео, музыку и т.д. Вы можете проверить это, пытаясь открыть такие файлы.
Шифрование произведено с уникальным открытым ключом RSA-4096, специально созданным только для этого компьютера, что делает невозможным дешифровать такие файлы, не зная секретного ключа и комплексного софта для дешифровки. Мы имеем на нашем сервере копию секретного ключа, вместе со всем необходимым софтом для дешифровки. Чтобы убедиться в том, что софт работает, как задумано, у вас есть возможность дешифровать 1 файл бесплатно, смотрите контакты ниже.
Секретный ключ будет уничтожен через 7 дней, это сделает невозможным дешифровку файлов.
Дата шифрования: ***
Дата уничтожения секретного ключа: ***
Для получения софта для дешифровки, обращайтесь на: myserverdoctor@gmail.com или
XMPP jabber: doctordisk@jabbim.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Ищет и удаляет файл с названиями: backup и backups. 
Шифрование производится в оффлайн-режиме, т.е. чтобы шифровать файлы подключение к Интернету не требуется. 

Список файловых расширений, подвергающихся шифрованию:

.1CD, .3dm, .3dmf, .3dmlw, .3ds, .3DV, .3dxml, .3fr, .3g2, .3ga, .3gp, .3gp2, .3gpp, .3mf, .4DB, .4DD, .4DIndx, .4DIndy, .4DR, .7z, .aac, .ABC, .ac, .ac3, .ACCDB, .ACCDE, .ACCDR, .ACCDT, .ace, .ACP, .ADA, .ADB, .ADF, .adp, .ADS, .ADT, .ADZ, .AEC, .AI, .aif, .aifc, .aiff, .ain, .alac, .AMF, .amr, .amv, .an8, .aob, .aoi, .ape, .apl, .APR, .AR, .arc, .ari, .arj, .ART, .arw, .ASC, .asf, .ASM, .asp, .aspx, .au, .avi, .AWG, .b3d, .B6T, .BAS, .bay, .bdmv, .bik, .BIM, .BIN, .bkf, .blend, .block, .bml, .bmp, .BOX, .bpw, .BRD, .BREP, .BSDL, .bzip, .C, .C2D, .c4d, .CAD, .cal3d, .cap, .CATDrawing, .CATPart, .CATProcess, .CATProduct, .CBL, .CBP, .CC, .CCC, .CCD, .CCM, .CCP4, .CCS, .cda, .CDI, .CDL, .CDR, .cer, .cfg, .cfl, .cfm, .cgi, .CGM, .cgr, .CHML, .CIF, .CIR, .CLJ, .CLS, .CMX, .CO, .COB, .core3d, .CPF, .CPP, .cr2, .crt, .crw, .CS, .CSPROJ, .csv, .ctm, .CUE, .CXX, .D, .D64, .DAA, .dae, .DAF, .DB, .DBA, .DBF, .DBPro123, .dcr, .dcs, .DEF, .der, .DFF, .dfm, .DFT, .DGK, .DGN, .divx, .DMG, .DMS, .DMT, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dotXSI, .dpm, .DPR, .dproj, .drf, .DRW, .dsa, .dsk, .dsm, .DSPF, .dss, .dsv, .dtd, .dts, .DWB, .DWF, .DWG, .DXF, .E, .E2D, .EAP, .EASM, .EDIF, .EDRW, .EFS, .EGG, .EGT, .eip, .EL, .EMB, .EMF, .eml, .EPRT, .eps, .epub, .erf, .ESS, .ESW, .evo, .EXCELLON, .EXP, .F, .f4v, .F77, .F90, .fac, .fb2, .fbx, .FDB, .fff, .flac, .flc, .fli, .flic, .flv, .FM, .FMZ, .FOR, .FP, .FP3, .FP5, .FP7, .FRM, .FRX, .FS, .FSDB, .FTH, .FTN, .g, .GBR, .GDB, .gdoc, .GDSII, .GED, .gif, .glm, .GM6, .GMD, .GMK, .GML, .GO, .GRB, .GTABLE, .GTC, .GXK, .gz, .gzip, .H, .ha, .hdd, .hdmov, .HPP, .HS, .htm, .html, .HXX, .IAM, .ICD, .IDW, .IFC, .ifo, .IGES, .ihtml, .iiq, .IMG, .imp, .INC, .indd, .info, .IPN, .IPT, .ISO, .ivf, .j2c, .j2k, .jar, .jas, .JAVA, .jp2, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpx, .jsp, .JT, .k25, .kdb, .kdbx, .kdc, .KEXI, .KEXIC, .KEXIS, .L, .las, .lasso, .lassoapp, .LDB, .LEF, .LISP, .log, .lwo, .lws, .lxo, .lzh, .M, .m1a, .m1v, .m2a, .m2p, .m2t, .m2ts, .m2v, .M4, .m4a, .m4b, .m4r, .m4v, .ma, .maff, .max, .mb, .MCD, .md2, .md3, .MDA, .MDB, .mdc, .MDE, .MDF, .MDS, .mdx, .mef, .mesh, .mht, .mhtml, .mid, .midi, .mka, .mkv, .ML, .mlp, .mm3d, .model, .mos, .mov, .mp2, .mp2v, .mp3, .mp4, .mp4v, .mpa, .mpc, .mpe, .mpeg, .mpg, .mpls, .MPO, .mpv2, .mpv4, .MRC, .mrw, .MS12, .mts, .MYD, .MYI, .NCF, .NDF, .nef, .nif, .NRG, .nrw, .NSF, .NTF, .NV2, .nvram, .OASIS, .obj, .OCD, .ODB, .ODG, .odm, .odp, .odt, .off, .ofr, .ofs, .oga, .ogex, .ogg, .ogm, .ogv, .OpenAccess, .opus, .ORA, .orf, .ott, .P, .p12, .p7b, .p7c, .pages, .PAR, .PAS, .PDB, .pdd, .pdf, .PDI, .PDX, .pef, .pem, .pfx, .php, .php2, .php3, .php4, .php5, .php6, .php7, .phps, .phtml, .PIPE, .pl, .PLN, .ply, .PM, .png, .pot, .potm, .potx, .pov, .PP, .ppam, .ppk, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .PRC, .PRG, .PRO, .PRT, .ps, .psb, .psd, .PSM, .PSMODEL, .pst, .ptx, .pub, .pva, .pvs, .PWI, .pxn, .PY, .PYT, .R, .R3D, .ra, .raf, .ram, .rar, .raw, .RB, .RC, .RC2, .rec, .RED, .REDS, .REL, .RESX, .RFA, .RIN, .rk, .RKT, .RKTL, .RLF, .rm, .rmi, .rmm, .rmvb, .rp, .rss, .rt, .rtf, .RVM, .RVT, .rw2, .rwl, .rwx, .rwz, .S, .S12, .S19, .sav, .SCAD, .SCALA, .SCDOC, .SCE, .SCI, .SCM, .SD7, .SDB, .SDC, .SDF, .SDI, .shtml, .sia, .sib, .skp, .sldasm, .SLDDRW, .sldm, .sldprt, .sldx, .SLN, .smd, .smk, .snd, .SPEF, .SPI, .SQL, .SQLITE, .sr2, .SREC, .srf, .srw, .ssh, .std, .STEP, .STIL, .STK, .STL, .stm, .SUB, .SV, .SVG, .swf, .SWG, .SXD, .tak, .tar, .TCL, .TCT, .TCW, .tex, .TIB, .tif, .tiff, .tp, .trp, .ts, .tta, .txt, .u3d, .uc2, .UDL, .UNV, .UPF, .V, .V2D, .VAP, .VB, .VBG, .VBP, .VC6, .VCD, .VCPROJ, .vdi, .VDPROJ, .vfd, .vhd, .VHDL, .vimproj, .VIP, .VLM, .vmc, .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmtm, .vmx, .vmxf, .VND, .vob, .VS, .vsv, .vud, .vue, .vwx, .w3d, .waData, .waIndx, .waJournal, .waModel, .wav, .wb2, .WDB, .webm, .WGL, .wings, .wm, .wma, .WMDB, .WMF, .wmp, .wmv, .wpd, .wps, .wrl, .wv, .x, .X_B, .X_T, .X3D, .x3f, .XAR, .XE, .xhtml, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .XPL, .XQ, .XSI, .XSL, .Y, .z3d, .zip (649 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Не шифруются фалы, находящиеся в директориях:
Microsoft
Windows
Borland
Content.IE5
Mozilla
Framework
Temp
I386
Torrents
Torrent

Файлы, связанные с этим Ransomware:
<random>.exe
C:\Clog.txt - содержит всю информацию, которая шифруется;
encrypted_readme.txt - записка о выкупе;
_<encrypt extensions>_encrypted_readme.txt - записка о выкупе;
psawfcsnbd_encrypted_readme.txt.bmp - содержание, как в encrypted_readme.txt;
encrypted_list.txt - список зашифрованных файлов.

Записи реестра, связанные с этим Ransomware:
HKU\Administrator\Software\Microsoft\Windows\CurrentVersion\
Ext = <encrypt extension>
HKU\Administrator\Software\Classes\<encrypt extensions>\
default = <encrypt extension>.run
HKU\Administrator\Software\Classes\<encrypt extensions>\shell\open\command
default = notepad “%documents%\_zkswrae_encrypted_readme.txt”
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: myserverdoctor@gmail.com
XMPP jabber: doctordisk@jabbim.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Zekwacrypt)
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 MS Malware Protection Center
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Sage 2.0

Sage 2.0 Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью редко используемого алгоритма ChaCha20, а затем требует перейти на Tor-сайт, чтобы уплатить выкуп в биткоинах и получить инструкции, как вернуть файлы. Сумма выкупа: $2000 (~2.15550 биткоина). По истечении 7 дней сумма выкупа удвоится. 

© Генеалогия: CryLocker > Sage > Sage 2.0

К зашифрованным файлам добавляется расширение .sage
Файлы не переименовываются. 

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: !Recovery_<3_chars>.html
Привожу записки из двух разных компьютеров. 

Содержание записки о выкупе:
mF9SDtko***
Need help with translation?? Use https://translate.google.com
ATTENTION! ALL YOUR FILES WERE ENCRYPTED!
PLEASE READ THIS MESSAGE CAREFULLY
All your important and critical files as well as databases, images and videos and so on were encrypted by software known as SAGE!
SAGE 2.0 uses military grade elliptic curve cryptography and you have no chances restoring your files without our help!
But if you follow our instructions we guarantee that you can restore all your files quickly and safely!
---
To get the instructions open any of this temporary links m your browser:
***7gie6ffnkrjykggd.er29sl.in/login/AUpcq***
***7gie6ffnkrjykggd.rzunt3u2.com/login/AUpcq***
This links are temporary and will stop working after some time, so if you can't open these links, you can use TOR Browser
The TOR Browser is available on the official website https://www.torproiect.org/
Just open this site, click on the "Download Tor" button and follow the installation instructions, then use it to open the following link:
***7gie6ffnkrjykggd.onion/login/AUpcq***
Please be sure to copy this instruction text and links to your notepad to avoid losing it.
dO5P5u6J77SV-3m-DNiR0fS28bSmYXvoMstN_hfU_vPaLVKNg2xr

Перевод записки на русский язык:
mF9SDtko***
Нужна помощь с переводом?? Используйте https://translate.google.com
ВНИМАНИЕ! Все ваши файлы были зашифрованы!
ПРОЧТИТЕ ЭТО СООБЩЕНИЕ ВНИМАТЕЛЬНО
Все ваши важные и критические файлы, а также базы данных, изображения и видео и т.д. были зашифрованы с помощью программы, известной как SAGE!
SAGE 2.0 использует военного класса эллиптической кривой криптографию и у вас нет никаких шансов восстановить файлы без нашей помощи!
Но если вы будете следовать нашим инструкциям, мы гарантируем, что вы можете восстановить все ваши файлы быстро и безопасно!
---
Чтобы получить инструкции откройте любую из этих временных ссылок и ваш браузер:
***7gie6ffnkrjykggd.er29sl.in/login/AUpcq***
***7gie6ffnkrjykggd.rzunt3u2.com/login/AUpcq***
Это ссылки временные и перестанут работать через некоторое время, так что, если вы не можете открыть эти ссылки, вы можете использовать Tor Browser
TOR Браузер доступен на официальном сайте https://www.torproiect.org/
Просто откройте этот сайт, нажмите на кнопку "Скачать Tor" и следуйте инструкциям по установке, а затем используйте его, чтобы открыть эту ссылку:
***7gie6ffnkrjykggd.onion/login/AUpcq***
Пожалуйста, не забудьте скопировать этот текст инструкции и ссылки в ваш блокнот, чтобы не потерять их.
dO5P5u6J77SV-3m-DNiR0fS28bSmYXvoMstN_hfU_vPaLVKNg2xr

Содержание записки о выкупе дублируется в скринлоке, т.е. изображении, встающем обоями рабочего стола. 

Информация с сайта оплаты

Я сделал одно анимированное изображение из четырёх страниц сайта. Содержание первых двух страниц больше и в одном экране не уместилось. Желающие ознакомиться с ним полностью, могут написать мне и получить их скриншоты для ознакомления. 

Распространяется, по данным Symantec, с помощью набора эксплойтов Rig, спам-рассылок с вредоносными вложениями, с помощью ботнета Trik, который использует троян Wortrik, но вполне может начать распространяться с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Во вложенном документе MS Office Word содержится вредоносный макрос, который жертве предлагается включить, чтобы отобразить содержимое документа. Неосторожный пользователь разрешает включить поддержку макросов в документе, после чего вредонос запускается на выполнение. Если UAC в системе не отключена, то пользователь видит её уведомление, в последний раз предостерегающее его от опасности. Если и здесь пользователь игнорирует предостережение, то шифровальщик запускается на выполнение. Если UAC в системе была ранее отключена, то никакого предостережения не будет, работа шифровальщика начнётся без промедления. Использует возможности Windows PowerShell. В планировщик будет заложена задача шифрования в определенный день и время. 

После шифрования теневые копии файлов удаляются командой:
vssadmin.exe delete shadows /all /quiet

Отключаются инструменты восстановления загрузки системы и точки восстановления системы командами: 
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:

 .#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .aet, .afm, .ai, .aif, .amj, .arc, .as, .as3, .asc, .asf, .asm, .asp, .asx, .ati, .avi, .back, .bak, .bat, .bay, .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .cat, .cb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .cfp, .cgm, .cgn, .ch, .chg, .cht, .clas, .clk, .cmd, .cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .csr, .css, .csv, .cur, .cus, .d07, .dac, .dat, .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsb, .dsf, .dtau, .dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs, .efsl, .efx, .emd, .eml, .emp, .ens, .ent, .epa, .epb, .eps, .eqb, .ert, .esk, .ess, .esv, .etq, .ets, .exp, .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem, .gfi, .gif, .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12, .hbk, .hif, .hpp, .hsr, .html, .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int?, .intu, .inv, .inx, .ipe, .ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .key, .kmo, .kmy, .lay, .lay6, .lcd, .ldc, .ldf, .ldr, .let, .lgb, .lhr, .lid, .lin, .lld, .lmr, .log, .lua, .lz, .m, .m10, .m11, .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max, .mbsb, .md, .mda, .mdb, .mdf, .mef, .mem, .met, .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc, .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd, .nef, .nl2, .nni, .npc, .nv, .nv2, .oab, .obi, .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc, .ofx, .old, .omf, .op, .orf, .ost, .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct, .pcx, .pd6, .pdb, .pdd, .pdf, .pem, .per, .pfb, .pfd, .pfx, .pg, .php, .pic, .pl, .plb, .pls, .plt, .pma, .pmd, .png, .pns, .por, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptdb, .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rss, .rtf, .rtp, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .say, .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .seam, .ses, .set, .shw, .sic, .skg, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .tax, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .text, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv, .zdb, .zip, .zipx, .zix, .zka (667 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Так выглядят зашифрованные файлы и записка о выкупе

Файлы, связанные с этим Ransomware:
!Recovery_<3_chars>.html - например, !Recovery_pqo.html или !Recovery_AVu.html
<random>.js
<random>.exe
<random>.tmp
<random>.bmp - скринлок на обои рабочего стола;
__config<random>.bat - например, __config471513749.bat
qucuh.exe
Tempequcuh.exe
Sage2Decrypter.exe
EMAIL_[random_numbers]_recipient.zip - пример email-вложения.

Расположения:
%TEMP%\<random>.vbs
%TEMP%\<random>.tmp
%USERPROFILE%\Desktop\!Recovery_<3_chars>.html
%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\<random>.lnk
%UserProfile%\AppData\Roaming\<random>.tmp

Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{41D55966-1192-454F-9C86-D0EB950D9984}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Fd3KZfCq
См. ниже результаты анализов.

Сетевые подключения и связи:
***mbfce24rgn65bx3g.rzunt3u2.com (66.23.246.239:80 - США)
***fortycooola.top (54.165.109.229:80 - США)
***smoeroota.top
***newfoodas.top
***84.200.34.99 (Германия)

***7gie6ffnkrjykggd.rzunt3u2.com

***7gie6ffnkrjykggd.er29sl.in

***7gie6ffnkrjykggd.onion

См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё>> Ещё >>
VirusTotal анализ >>  Ещё>>  Ещё>>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 февраля 2017:
Файл: Transactions_Report__by_users_from_2017-01-13_to_2017-01-20.exe
Фальш-имя: GuaranteesHindsight. Фальш-копирайт: The Audacity Team
Результаты анализов: HA, VT, DV

Обновление от 13 февраля: 
Пост в Твиттере >>
Версия: Sage v2.0
Расширение: .sage
Записка: !HELP_SOS.hta
Файлы:
   <random>.exe
   Dartmouth Hence.exe
   DOCUMENT_<random_digits>.pdf.exe
   doc_<random_digits>.exe
   %TEMP%\f1.vbs
   %USERPROFILE%\Desktop\!HELP_SOS.hta
Фальш-имя: Dartmouth Hence
Фальш-копирайт: BiniSoft.org
Сетевые подключения и связи: 
xxxx://mbfce24rgn65bx3g.op7su2.com - (52.90.78.180:80)
xxxx://7gie6ffnkrjykggd.onion/
xxxx://meyaau.com/doc_1928419212.exe***
Результаты анализов: HA + VT
Скриншоты страницы на сайте оплаты и рабочего стола с текстом записки о выкупе и адресами сайтов оплаты выкупа: 

 

Обновление от 22 февраля 2017:
Версия: Sage v2.2
Расширение: .sage
Фальш-имя: Adobe Service Manager
Адрес: ***mbfce24rgn65bx3g.io23zc.com и др.
Результаты анализов: HA+VT

Обновление от 8 марта 2017:
Версия: Sage v2.2
Файл: AssumeAffects.exe
Фальш-имя: AssumeAffects
Фальш-копирайт: WiseStarter.COM
Записка: !HELP_SOS.hta
Расширение: .sage
Адрес: ***mbfce24rgn65bx3g.io23zc.com (34.207.223.86) - США
Результаты анализов: HA+VT
Видеообзор от GrujaRS >>

Обзор от 14 октября 2017:
Ссылка на обзор на английском >>
Название: SAGE 2.2 Ransomware
Записка: !HELP_SOS.hta
Расширение: .sage
Сумма выкупа: 0.177720 BTC
TOR: xxxx://z5dq36kjy5swjtmr.hp8ewo.net/
xxxx://z5dq36kjy5swjtmr.0ny42p.com/
Скриншоты прилагаются. 

Записки о выкупе: hta-файл и обои

 Скрипт с текстом для воспроизведения

Поддерживаемые языки сайта оплаты

 Главная страница сайта оплаты

 Страницы оплаты и дешифровки

*
Обновление по версии 2.2 от 29 октября 2017:
Ссылка на статью от Fortinet >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Video review
 Tweet on Twitter
 ID Ransomware (ID as CryLocker)

Added later
Topic on BC (add. January 23, 2017) - help & support topic
Write-up on BC (add. January 23, 2017) - list of extensions
The ChaCha family of stream ciphers
Symantec Official Blog (add. February 14, 2017)
Write-up by Fortinet (add. October 30, 2017)

Additional article (from February 14, 2017)
Additional article (from January 30, upd. February 15, 2017)

 Thanks: 
 GrujaRS, Lawrence Abrams
 Michael Gillespie, Bart
 Andrew Ivanov (author)

© Amigo-A (Andrew Ivanov): All blog articles.

CloudSword

CloudSword Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в биткоинах, чтобы вернуть файлы. Название оригинальное. Фальш-имя: Windows Update. Вероятно, пока еще в разработке. 

© Генеалогия: Hidden Tear >> CloudSword 

К зашифрованным файлам добавляется расширение: данные не предоставлены

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных и китайских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Warning警告.html

Содержание записки о выкупе на английском:
Warning
Because you violated Digital Millennium Copyright Act, all your important files have been locked
You must pay "+Network.amount+" bitcoin to the address below within five days, otherwise your unlock key will be lost forever
Network.getAddress()
To unlocked your files and find instructions, go to
***dw2dzfkwejxaskxr.onion.to/chk/""
If you are using Tor, go to
If you don't know how to get bitcoins, go to
***renrenbit.com ***coinbase.com
Or email "+Network.email+"
Do not try decrypt yourself or use other tools
Here lists all encrypted files:
REMINDER: You have only FIVE days to make full payment

Перевод записки на русский язык:
Предупреждение
Так как вы нарушили "Закон об авторском праве", все ваши важные файлы заблокированы
Вы должны заплатить "+ Network.amount +" bitcoin по адресу ниже за пять дней, или ваш ключ разблокировки пропадёт
Network.getAddress ()
Чтобы разблокировать ваши файлы и найти инструкции, идите
***dw2dzfkwejxaskxr.onion.to/chk/""
Если используете Tor, идите
Если не знаете, как получить Bitcoins, идите
***renrenbit.com ***coinbase.com
Или по email "+ Network.email +"
Не пытайтесь сами дешифровать или другими тулзами
Здесь перечислены все зашифрованные файлы:
НАПОМИНАНИЕ: У вас лишь 5 дней для полной оплаты

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


➤ Для нормальной отработке в системе вымогателя требуется наличие в системе .NET Framework 4.0 - 4.5. 
Используя эту легитимную программу инициирует запуск с помощью команды: 
C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe" /logfile= /LogToConsole=false /U "C:\Users\admin\AppData\Local\Temp\CloudSword.exe

➤ Не проявляет активности и пытается спать в течение длительного времени (от 2 до 5 минут). Имитирует фальшивый процесс Windows Update.exe. 
Проверяет наличие в системе антивирусных программ, например, 360 Internet Security, Kaspersky. Пытается завершить работу файервола или вызвать сбой в его работе. 

➤ Отключает работу Windows Startup Repair и изменяет BootStatusPolicy с помощью команд:
 bcdedit.exe /set {default} recoveryenabled No
 bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures


Список файловых расширений, подвергающихся шифрованию:

.accdb, .arch00, .bson, .d3dbsp, .DayZProfile, .dbfv, .divx, .docx, .epub, .forge, .hkdb, .hplg, .html, .ibank, .java, .jpeg, .layout, .mcgame, .mdbackup, .menu, .mpeg, .mpqge, .mrwref, .pptm, .rofl, .sc2save, .sqlite, .syncdb, .text, .unity3d, .vfs0, .wotreplay, .xlsb, .xlsx, .ztmp (35 расширений). 

Это документы MS Office, текстовые и веб-файлы, базы данных, фотографии, видео, файлы сохранений и пр.

Файлы, связанные с этим Ransomware:
cloudsword.exe
<random>.exe

<random>.pdf.exe
Windows Update.exe

Расположения: 
%USERPROFILE%\6b0bea438cedbac32bc81b53c445a344\Windows Update.exe

Оригинальное название проекта:
cloudsword.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***dw2dzfkwejxaskxr.onion.to
***renerenbit.com
***www.coinbase.com
103.208.86.18:80 - Новая Зеландия
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>
ANY.RUN сервис >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CloudSword Ransomware - январь 2017
ABCLocker Ransomware - июль 2017

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше историю семейства. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up (only this article)

 Thanks: 
 BleepingComputer, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DN, DoNotOpen

DN Ransomware

DoNotOpen Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название: DNRansomware. Фальш-имя: Chrome Update.  

© Генеалогия: M4N1F3STO > Manifestus > DN Ransomware

К зашифрованным файлам добавляется расширение .killedXXX

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа прилагаются. 

Код для экрана блокировки: M3VZ>5BwGGVH.
Декриптер от вымогателя неисправен. Уплата выкупа бесполезна.

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Chrome Update.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
Инструкция прилагается.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up

 Thanks: 
 BleepingComputer
 Michael Gillespie
 *

© Amigo-A (Andrew Ivanov): All blog articles.

GarryWeber

GarryWeber Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с шифруются с использованием сочетания RSA, AES-256 и SHA-256, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название дано по логину email вымогателей. Оригинальное, указанное на исполняемом файле: FileSpy и FileSpy Application.

© Генеалогия: X3M > GarryWeber > SteaveiWalker > CryptON

К зашифрованным файлам добавляется расширение .id-<ID>_garryweber@protonmail.ch

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: HOW_OPEN_FILES.html

Содержание записки о выкупе:
Your files are encrypted!
To get the decryptor you should:
***
pay for decrypt
bitcoin adress for pay
1KPEpaYZkrD6eXNxBP8N1WA2fGU4ayaK7A
***

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Для получения расшифровки вы должны:
***
заплатить за расшифровку
биткоин-адрес для оплаты
1KPEpaYZkrD6eXNxBP8N1WA2fGU4ayaK7A

Краткой запиской также выступает изображение, встающее обоями рабочего стола. Фразы написаны на португальском и английском с ошибками, указывают на файл HOW_OPEN_FILES.html. 

Todos os seus arquivos estão criptografados!
All your files are encrypted!
Abra o arquivo "HOW_OPEN_FILES" no seu desktop para mais informações.
Open icon from desctop: "HOW_OPEN_FILES" for more information.

Перевод на русский: 
Все ваши файлы зашифрованы!
Откройте файл на рабочем столе "HOW_OPEN_FILES" для дополнительной информации.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (invoice-<ID>.js), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bmp, .docx, .jpg, .mp3, .pdf, .png и другие.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
HOW_OPEN_FILES.html
<random>.exe
FileSpy.EXE
invoice-0071350.js
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
91.240.87.250/panel/index.php
greenparcel.club (70.35.207.55 - США)
vitali2001by@yahoo.co.uk - см. тот же email в обновлениях Spora
BTC: 1KPEpaYZkrD6eXNxBP8N1WA2fGU4ayaK7A
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (joint ID as CryptON)
 Write-up
 *

 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 BleepingComputer
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.