CloudSword

CloudSword Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в биткоинах, чтобы вернуть файлы. Название оригинальное. Фальш-имя: Windows Update. Вероятно, пока еще в разработке. 

© Генеалогия: Hidden Tear >> CloudSword 

К зашифрованным файлам добавляется расширение: данные не предоставлены

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных и китайских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Warning警告.html

Содержание записки о выкупе на английском:
Warning
Because you violated Digital Millennium Copyright Act, all your important files have been locked
You must pay "+Network.amount+" bitcoin to the address below within five days, otherwise your unlock key will be lost forever
Network.getAddress()
To unlocked your files and find instructions, go to
***dw2dzfkwejxaskxr.onion.to/chk/""
If you are using Tor, go to
If you don't know how to get bitcoins, go to
***renrenbit.com ***coinbase.com
Or email "+Network.email+"
Do not try decrypt yourself or use other tools
Here lists all encrypted files:
REMINDER: You have only FIVE days to make full payment

Перевод записки на русский язык:
Предупреждение
Так как вы нарушили "Закон об авторском праве", все ваши важные файлы заблокированы
Вы должны заплатить "+ Network.amount +" bitcoin по адресу ниже за пять дней, или ваш ключ разблокировки пропадёт
Network.getAddress ()
Чтобы разблокировать ваши файлы и найти инструкции, идите
***dw2dzfkwejxaskxr.onion.to/chk/""
Если используете Tor, идите
Если не знаете, как получить Bitcoins, идите
***renrenbit.com ***coinbase.com
Или по email "+ Network.email +"
Не пытайтесь сами дешифровать или другими тулзами
Здесь перечислены все зашифрованные файлы:
НАПОМИНАНИЕ: У вас лишь 5 дней для полной оплаты

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


➤ Для нормальной отработке в системе вымогателя требуется наличие в системе .NET Framework 4.0 - 4.5. 
Используя эту легитимную программу инициирует запуск с помощью команды: 
C:\Windows\Microsoft.NET\Framework\v4.0.30319\InstallUtil.exe" /logfile= /LogToConsole=false /U "C:\Users\admin\AppData\Local\Temp\CloudSword.exe

➤ Не проявляет активности и пытается спать в течение длительного времени (от 2 до 5 минут). Имитирует фальшивый процесс Windows Update.exe. 
Проверяет наличие в системе антивирусных программ, например, 360 Internet Security, Kaspersky. Пытается завершить работу файервола или вызвать сбой в его работе. 

➤ Отключает работу Windows Startup Repair и изменяет BootStatusPolicy с помощью команд:
 bcdedit.exe /set {default} recoveryenabled No
 bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures


Список файловых расширений, подвергающихся шифрованию:

.accdb, .arch00, .bson, .d3dbsp, .DayZProfile, .dbfv, .divx, .docx, .epub, .forge, .hkdb, .hplg, .html, .ibank, .java, .jpeg, .layout, .mcgame, .mdbackup, .menu, .mpeg, .mpqge, .mrwref, .pptm, .rofl, .sc2save, .sqlite, .syncdb, .text, .unity3d, .vfs0, .wotreplay, .xlsb, .xlsx, .ztmp (35 расширений). 

Это документы MS Office, текстовые и веб-файлы, базы данных, фотографии, видео, файлы сохранений и пр.

Файлы, связанные с этим Ransomware:
cloudsword.exe
<random>.exe

<random>.pdf.exe
Windows Update.exe

Расположения: 
%USERPROFILE%\6b0bea438cedbac32bc81b53c445a344\Windows Update.exe

Оригинальное название проекта:
cloudsword.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***dw2dzfkwejxaskxr.onion.to
***renerenbit.com
***www.coinbase.com
103.208.86.18:80 - Новая Зеландия
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>
ANY.RUN сервис >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CloudSword Ransomware - январь 2017
ABCLocker Ransomware - июль 2017

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше историю семейства. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up (only this article)

 Thanks: 
 BleepingComputer, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DN, DoNotOpen

DN Ransomware

DoNotOpen Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название: DNRansomware. Фальш-имя: Chrome Update.  

© Генеалогия: M4N1F3STO > Manifestus > DN Ransomware

К зашифрованным файлам добавляется расширение .killedXXX

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа прилагаются. 

Код для экрана блокировки: M3VZ>5BwGGVH.
Декриптер от вымогателя неисправен. Уплата выкупа бесполезна.

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Chrome Update.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
Инструкция прилагается.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up

 Thanks: 
 BleepingComputer
 Michael Gillespie
 *

© Amigo-A (Andrew Ivanov): All blog articles.

GarryWeber

GarryWeber Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с шифруются с использованием сочетания RSA, AES-256 и SHA-256, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название дано по логину email вымогателей. Оригинальное, указанное на исполняемом файле: FileSpy и FileSpy Application.

© Генеалогия: X3M > GarryWeber > SteaveiWalker > CryptON

К зашифрованным файлам добавляется расширение .id-<ID>_garryweber@protonmail.ch

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: HOW_OPEN_FILES.html

Содержание записки о выкупе:
Your files are encrypted!
To get the decryptor you should:
***
pay for decrypt
bitcoin adress for pay
1KPEpaYZkrD6eXNxBP8N1WA2fGU4ayaK7A
***

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Для получения расшифровки вы должны:
***
заплатить за расшифровку
биткоин-адрес для оплаты
1KPEpaYZkrD6eXNxBP8N1WA2fGU4ayaK7A

Краткой запиской также выступает изображение, встающее обоями рабочего стола. Фразы написаны на португальском и английском с ошибками, указывают на файл HOW_OPEN_FILES.html. 

Todos os seus arquivos estão criptografados!
All your files are encrypted!
Abra o arquivo "HOW_OPEN_FILES" no seu desktop para mais informações.
Open icon from desctop: "HOW_OPEN_FILES" for more information.

Перевод на русский: 
Все ваши файлы зашифрованы!
Откройте файл на рабочем столе "HOW_OPEN_FILES" для дополнительной информации.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений (invoice-<ID>.js), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bmp, .docx, .jpg, .mp3, .pdf, .png и другие.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
HOW_OPEN_FILES.html
<random>.exe
FileSpy.EXE
invoice-0071350.js
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
91.240.87.250/panel/index.php
greenparcel.club (70.35.207.55 - США)
vitali2001by@yahoo.co.uk - см. тот же email в обновлениях Spora
BTC: 1KPEpaYZkrD6eXNxBP8N1WA2fGU4ayaK7A
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (joint ID as CryptON)
 Write-up
 *

 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 BleepingComputer
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Satan RaaS

Satan Ransomware

(шифровальщик-вымогатель, RaaS)

Этот крипто-вымогательский проект RaaS поставляет настраиваемые крипто-вымогатели, которые шифруют данные пользователей с помощью AES-256 + RSA-2048, а затем требуют настроенную сумму выкупа в биткоинах, чтобы купить декриптер и вернуть файлы. Название оригинальное. На файле также указано: RAAS RANSOMWARE.

© Генеалогия: возможно, оригинальный проект.

Имена зашифрованных файлов переименовываются до неузнаваемости. 
К зашифрованным файлам добавляется настраиваемое расширение. В изученном образце было .stn


Компиляция с отметкой времени исполняемого файла этого крипто-вымогателя пришлась на 17 января 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Название и содержание записок с требованием выкупа настраивается. В изученном образце записка HELP_DECRYPT_FILES.html была в каждой папке, где были зашифрованы файлы. В другом варианте это была записка: 0_HELP_DECRYPT_FILES.html

Записка о выкупе

Содержание записки о выкупе:
English | Portugues
What happened to my files ?
All of your personal files were encrypted using AES-256 and RSA-2048
What does this mean ?
This means that the content of your files have been changed, you will not be able to use them, it is basically the same as losing them forever. However, you can still get them back with our help.
How can I get my files back ?
As said before, your files have been encrypted, in order to decrypt them, you'll need the private key of the key pair that was generated when your files were encrypted.
Decrypting your files is only possible with the private key and the decrypter.
If you really value your data, then you should not waste time and follow the instructions in the link below:
xxxxs://satan6dll23napb5.onion.to/***?lang=en
xxxxs://satan6dll23napb5.onion.cab***?lang=en
xxxx://satan6dll23napb5.onion.tor2web.org***?lang=en
If the links above are not available, you should follow these steps instead:
1. Download and install the Tor Browser
2. After you’ve installed it, run the browser and wait for it to initialize
3. Type in the address bar: xxxx://satan6dll23napb5.onion***?lang=en
4. Follow the instructions on the page

Перевод на русский язык:
английский | португальский
Что случилось с моими файлами?
Все ваши личные файлы были зашифрованы с AES-256 и RSA-2048
Что это значит?
Это значит, что содержание ваших файлов было изменено, вы не сможете использовать их, это все равно что потерять их навсегда. Тем не менее, вы все равно можете получить их обратно с нашей помощью.
Как я могу получить мои файлы обратно?
Как было сказано ранее, ваши файлы были зашифрованы, для того, чтобы расшифровать их, вам потребуется секретный ключ пары ключей, которая была сгенерирована, когда были зашифрованы файлы.
Расшифровка файлов возможна только с закрытым ключом и декриптером.
Если вы действительно цените ваши данные, то не тратьте время и следуйте инструкциям по ссылке ниже:
xxxxs://satan6dll23napb5.onion.to/***
xxxxs://satan6dll23napb5.onion.cab***
хххх://satan6dll23napb5.onion.tor2web.org***
Если ссылки выше недоступны, вы должны следовать этим инструкциям:
1. Загрузите и установите браузер Tor
2. После того, как вы установили его, запустите браузер и ждите его инициализации
3. Введите в адресной строке: хххх://satan6dll23napb5.onion***
4. Следуйте инструкциям на странице

Содержание текста на onion-сайте вымогателей (без входа):
What is Satan?
Apart from the mythological creature, Satan is a ransomware, a malicious software that once opened in a Windows system, encrypts all the files, and demands a ransom for the decryption tools.
How to make money with Satan?
First of all, you'll need to sign up. Once you've sign up, you'll have to log in to your account, create a new virus and download it. Once you've downloaded your newly created virus, you're ready to start infecting people.
Now, the most important part: the bitcoin paid by the victim will be credited to your account. We will keep a 30% fee of the income, so, if you specified a 1 BTC ransom, you will get 0.7 BTC and we will get 0.3 BTC. The fee will become lower depending on the number of infections and payments you have.

Перевод текста на onion-сайте вымогателей на русский язык:
Что такое Satan?
Помимо мифологического существа, Satan это вымогатель, вредоносная программа, которая запустившись в системе Windows, шифрует все файлы, и требует выкуп за инструменты дешифрования.
Как заработать деньги с Satan?
Сначала вам надо зарегистрироваться. После регистрации вы должны войти в свой аккаунт, создать новый вирус и загрузить его. После того, как вы загрузили вновь созданный вирус, вы уже будете готовы заражать людей.
Теперь самая важная часть: Bitcoin выплаченные потерпевшим будут зачислены на ваш счет. Мы удержим 30% от суммы дохода, так если вы указали 1 BTC выкупа, вы получите 0,7 BTC и мы получим 0,3 BTC. Плата будет ниже, в зависимости от числа имеющихся у вас инфекций и платежей.

После регистрации и входа новый партнер вымогательского сервиса получает описание и инструкции для использования. 

Текст с экрана:
Satan is a free to use ransomware kit, you only need to register on the site to start making your viruses. Satan only requires a user name and password to create an account, althrough, if you wish, you can set a public key for two-factor authentication. Satan has a initial fee of 30% over the victim's payment, however, this fee will get lower as you get more infections and payments. All of the user transactions are covered bv the server, you’ll always get what the victim paid, minus the fee of course.
When creating your malware you can specify the ransom value (in bitcoins), a multiplier for the ransom after X days have passed, the number of days after the multiplier takes place, a private note so you can keep track of your victims.
• Satan is free. You just have to register on the site.
• Satan is very easy to deploy, you can create your ransomware in less than a minute.
• Satan uses TOR and Bitcoin for anonymity.
• Satan's executable is only 170kb.
If english is not your first language or you speak a second language you can translate the ransom notes to help your victims understand better what is happening.
In case you're looking for a way to spread the ransomware, there is a droppers page, where you can generate a crude code for a Microsoft Word macro and CHM file.
If you have any problem with the ransomware, you can report it using the leftmost button on the malwares table. The middle blue button is used to update the malware to a newer version, if available, and the green one is used to edit your malware configuration.

Перевод на русский:
Satan это свободный к использованию вымогательский набор, вам нужно только зарегистрироваться на сайте, чтобы начать делать вирусы. Satan требует только имя пользователя и пароль для создания учетной записи, хотя, если вы хотите, то можете установить открытый ключ для двухфакторной аутентификации. Satan имеет первоначальный взнос в 30% от оплате жертвы, но эта плата уменьшится, когда у вас будет больше инфекций и платежей. Все пользовательские транзакции скрываются сервером, вы всегда будете получать то, что заплатила жертва, за вычетом комиссионных, конечно.
При создании вредоноса вы можете указать сумму выкупа (в биткоинах), умножение для выкупа после Х прошедших дней, количество дней после того, как умножение имеет место, частную запсику, так вы можете следить за своими жертвами.
• Satan свободен. Вы просто должны зарегистрироваться на сайте.
• Satan очень легко развернуть, вы можете создать свой вымогатель меньше, чем за минуту.
• Satan использует TOR и Bitcoin для анонимности.
• Satan исполняемый файл только 170 Кб.
Если английский не ваш родной язык или вы говорите на втором языке, то можете перевести записки о выкупе для помощи вашим жертвам, чтобы понять, что случилось.
Если вы ищете способ распространять вымогатель, есть дроппер-страница, где вы можете создать сырой код для макросов Microsoft Word и CHM-файл.

Если у вас есть какие-то проблемы с вымогателем, вы можете сообщить, используя крайнюю левую кнопку на странице malwares. Средняя синяя кнопка служит для обновления вредоноса на более новую версию, если такая будет, а зелёная используется для редактирования конфигурации вредоноса.

Содержание текста на onion-сайте вымогателей (после входа): Крипто-конструктор имеет уже известные опции настройки по себя. На одной из страниц крипто-конструктора можно задать общие данные (сумму выкупа, лимит в днях, записку, прокси и пр.). На другой можно создать дроппер для распространения с email-вложениями. На следующей расширить языковую поддержку (добавить перевод на другой язык). И еще на одной узнать количество инфицированных ПК, выплаченную сумму и другую информацию. Я собрал все три страницы в одно gif-изображение. 

Страницы сайта Satan RaaS для создания вредоноса

Распространяется или может распространяться посредниками с помощью email-спама и вредоносных вложений (макросов Microsoft Word и CHM-файлов), эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .abk, .ac, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bb, .bdb, .bgt, .bik, .bk, .bkc, .bke, .bkf, .bkn, .bkp, .blend, .bpp, .bpw, .bup, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .cvt, .dac, .db, .db3, .dbf, .db-journal, .dbk, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtb, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fb, .fbw, .fdb, .ffd, .fff, .fh, .fhd, .fkc, .fla, .flac, .flv, .fmb, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .htm, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq,.incpas, .indd, .jar, .java, .jin, .jou, .jpe, .jpeg, .jpg, .jsp, .kbx, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mbk, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .msg, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .old, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbl, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .php5, .phtml, .pl, .plc, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .pst, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rpb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .say, .sbk, .sd0, .sda, .sdf, .sik, .sldm, .sldx, .spf, .spi, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .std, .sti, .stw, .stx, .svg, .swf, .swp, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tbk, .tex, .tga, .thm, .tib, .tif, .tjl, .tlg, .txt, .umb, .vbk, .vib, .vmdk, .vob, .vrb, .wallet, .war, .wav, .wb2, .wbk, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (361 расширение).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
ransom.exe
HELP_DECRYPT_FILES.html
0_HELP_DECRYPT_FILES.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***satan6dll23napb5.onion
***satan6dll23napb5.onion.to
***satan6dll23napb5.onion.cab
***satan6dll23napb5.onion.tor2web.org
***ejmv6pxsuwqrofa3.onion.to
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая на момент публикации.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 января 2017:
Файл: ransomware3.exe
Версия: 1.0.0.3
Результаты анализов: HA + VT
Сетевые адреса:
***satan6dll23napb5.onion.to
***satan6dll23napb5.onion.cab
***satan6dll23napb5.onion.tor2web.org
***satanu67tevrx72l.onion/g.php
***xhj4hypdsb3jozwn.onion.link/g.php
***satan6dll23napb5.onion
***satanu67tevrx72l.onion
***xhj4hypdsb3jozwn.onion

Обновление от 3 марта 2017:
Записка: 0_HELP_DECRYPT_FILES.html
Записки имеют текст на 20 языках. 
Сумма выкупа: 0.2 BTC с увеличением до 0.4 BTC
Расширение: .stn

Скриншоты записки о выкупе и страниц Tor-сайта: 

 

*******************

Обновление от 27 ноября 2017:

Распространение продолжается. 

Расширение: .stn

Записка: 0_HELP_DECRYPT_FILES.html

Обновление от 14 июня 2018:
Satan RaaS переименован и переделан в DBGer Ransomware
См. отдельную статью DBGer Ransomware >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Satan)
 Write-up (only this article)

Added later
Write-up on BC (add. January 20, 2017)
Video review by CyberSecurity (add. April 26, 2017)
*

 Thanks: 
 Xylitol, Michael Gillespie
 Lawrence Abrams
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Mobef-CryptoFag

Mobef-СryptoFag Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться по email, чтобы вернуть файлы. Были сообщения о выкупе в 0,3 - 0,5 биткоинов. Оригинальное название. В записке записано как C-R-Y-P-T-O-F-A-G .

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Mobef >> Mobef-CryptoFag

К зашифрованным файлам никакое расширение НЕ добавляется расширение. Названия файлов не меняются.

Активность этого крипто-вымогателя пришлась на середину января 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа располагаются на рабочем столе и называются HACKED.OPENME  и KEY2017.KEEPME 

Содержание записки о выкупе HACKED.OPENME:
ID:575372
PC:HOME
USER:User
=======
hello this is C-R-Y-P-T-O-F-A-G speaking.
you are HACKED. your files are LOCKED.
i have the KEY to unlock them.
EMAIL me to get the key:
cryptofag @@@ protonmail.ch
P.S. if you don't get a reply, check your SPAM/junk folder first.
if there's nothing there, then try emailing me FROM another email address.
if still NO answer, use this backup emails: cryptofag @@@: inbox.lv, india.com, pobox.sk, mail.md
also, do NOT delete and keep this encryption log: C:\Windows\575372.log

Перевод записки на русский язык HACKED.OPENME:
ID:575372
PC:HOME
USER:User
=======
Привет, это C-R-Y-P-T-O-F-A-G говорит.
Ты был ВЗЛОМАН. Твои файлы БЛОКИРОВАНЫ.
У меня есть КЛЮЧ, чтобы разблокировать их.
EMAIL мой для получения ключа:
cryptofag @@@ protonmail.ch
P.S. если ты не получил ответ, проверь папку SPAM/junk сначала.
Если там пусто, то пробуй написать мне с другого email-адрес.
Если до сих пор НЕТ ответа, то используй эти резервные email: cryptofag @@@: inbox.lv, india.com, pobox.sk, mail.md
Ещё, НЕ удаляй и сохрани этот лог шифрования: C:\Windows\575372.log

Содержание файла KEY2017.KEEPME 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HACKED.OPENME 
KEY2017.KEEPME 
<random>.tmp.exe
<random>.exe
575372.log

Расположение:
C:\Windows\575372.log

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
cryptofag@protonmail.ch
cryptofag@inbox.lv
cryptofag@india.com
cryptofag@pobox.sk
cryptofag@mail.md
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID under Mobef)
 Topic on BC
 *

 Thanks: 
 Mihay Ice
 Michael Gillespie
 agx
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Havoc

Havoc Ransomware

HavocCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп $150 в биткоинах, чтобы вернуть файлы. Оригинальное название: Havoc RW. Комментарий к файлу вымогателя: Will bring Havoc to your PC. разработчик: Royal Binarys.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение _lnk.HavocCrypt 
Кроме того, собственное расширение файла удаляется. 
Более того, окончание _lnk.HavocCrypt добавляется даже к названию даже папок. См. видеоролик в конце статьи. 

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Havoc Ransomware MK II
You have fallen victim to Havoc ransomware, written by yours truely, BinaryEmperor.
All of your important files have been encrypted using an advanced & uncrackable encryption.
To retrieve your files, it is simple of course. But for a moderate fee.
A one time payment of $150 in Bitcoin will do.
Once you have paid the previously specified amount to the address, contact us by our email below.
Upon contact and payment confirmation, you will recieve a decryption key, to recover your files.
If the payment is not made within 48 hours [2 Days] your key will be lost forever.
Time left: 47:59:57
Shutting down, or closing of this application in any way, Will result in loss of your decryption key!
Our Bitcoin Address: 12KBNwBHV5Sx6w8z9tXbt2t9BWrZzCejXo  "Copy Address"
Our email Address: HavocPayday@Sigaint.Org  "Copy Address"
Your Victim ID: 6vA594VZd88SDpOwSQn9+dOCIowzwv/V8/nEQAl  "Copy ID"
Paid the ransom? 
Great! Lets get to decrypting your files. Enter your decryption key emailed to you below!
"Decryption Key Here"   "Decrypt My files"   Tries left: 5

Перевод записки на русский язык:
Havoc Ransomware MK II
Вы пали жертвой Havoc Ransomware, написанного для ваших поистине, BinaryEmperor.
Все ваши важные файлы были зашифрованы с помощью усовершенствованного и невзламываемого шифрования.
Извлечь файлы, конечно, просто. Но за умеренную плату.
Единственный платеж в размере $150 в Bitcoin нужно сделать.
После того, как вы оплатили ранее указанную сумму по адресу, свяжитесь с нами по нашему email ниже.
После контакта и подтверждения оплаты, вы получите ключ дешифрования, чтобы восстановить ваши файлы.
Если оплата не будет сделана в течение 48 часов [2 дней] ваш ключ будет потерян навсегда.
Времени осталось: 47:59:57
Выключение или закрытие этого приложения в любом случае приведет к потере ключа дешифрования!
Наш Bitcoin-адрес: 12KBNwBHV5Sx6w8z9tXbt2t9BWrZzCejXo кн. "Копировать адрес"
Наш email: HavocPayday@Sigaint.Org кн. "Копировать адрес"
Ваша жертва ID: 6vA594VZd88SDpOwSQn9+dOCIowzwv/V8/nEQAl кн. "Копировать ID"
Уплатили выкуп? 
Отлично! Можно приступать к расшифровке файлов. Введите ниже ваш ключ дешифрования из email и приступайте!
"Decryption Key Here"   "Decrypt My files"   Tries left: 5

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для успешной работы шифровальщика в системе должен быть установлен .NET Framework 4.5. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Havoc.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
HavocPayday@Sigaint.Org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 Video review
 ID Ransomware
 *
 *

 Thanks: 
 Jiri Kropac
 GruyaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.