SerbRansom 2017

SerbRansom 2017 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500 в биткоинах, чтобы вернуть файлы. Название оригинальное. Разработчик: R4z0rx0r Serbian Hacker. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .velikasrbija

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа выступает html-файл или скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе:
YOUR FILES HAS BEEN ENCRYPTED WITH SERBRANSOM 2017
How to recover?
Your personal info:
Username: %USERNAME%
PC-name: %PCNAME%
Local IP: %IP%
To decrypt all your data you need to pay 500$ with BitCoin here > WALLET_ID_BTC
Send an email to us with payment (screenshot) EMAIL
Every random file will be removed permanently after 05:00 minutes!
Antivirus will not help you to decrypt your data :(

Перевод записки на русский язык:
Твои файлы были зашифрованы SERBRANSOM 2017
Как восстановить?
Твои личные данные:
Имя пользователя: %USERNAME%
Имя ПК: %PCNAME%
Локальный IP: %IP%
Для расшифровки всех твоих данных ты должен заплатить 500$ с Bitcoin здесь > WALLET_ID_BTC
Отправь по email нам чек оплаты (скриншот) EMAIL
Случайно выбранный файл будет удаляться каждые 5 минут!
Антивирус не поможет расшифровать твои данные :(

Как следует из текста, SerbRansom угрожает каждые 5 минут удалять по случайно выбранному файлу. В изученном образце этого не происходило. Возможно, это просто запугивание. 

Когда пострадавший откроет записку о выкупе, то она автоматически воспроизводит это видео с YouTube в фоновом режиме.


Крипто-строитель Используется крипто-строитель, который делает как сам Ransomware, так и декриптер к нему. 

Другие разработки и предложения выложены на хакерских форумах. Среди них предложение — веб-инжекты для сайтов из Хорватии. 

Технические детали

Распространяется на даркнет-форумах, может в дальнейшем распространяться с помощью  email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Сообщается, что "антивирусы AVG и Kaspersky — лучшие антивирусы, но и они недостаточно хороши, чтобы остановить мой продукт".

Файлы, связанные с этим Ransomware:
srbransom.exe
<random>.exe
wallpaper.jpg
<ransom_note>.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая, единичные случаи.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SerbRansom)
 Write-up
 *

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LoveLock

LoveLock Ransomware 

Love2Lock Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные в тестовой папке. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .hasp

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ReadME!.txt

Содержание записки о выкупе:
text1

Перевод записки на русский язык:
текст1

Находится в разработке, потому шифрует только файлы, находящиеся в папке test2 на рабочем столе. 

Может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов и пр.

Файлы, связанные с этим Ransomware:
ccvv.exe
fdfd.exe
ReadME!.txt
%Desktop%\test2\ReadME!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up

 Thanks: 
 Karsten Hahn
 TrendMicro
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Wcry

Wcry Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы. Название дано от используемого расширения. Фальш-имя: Message Application. Много шума наделала версия WannaCry-2, которая на самом деле называлась WanaCrypt0r 2.0. 

© Генеалогия: Wcry > WannaCry > WanaCrypt0r 2.0

К зашифрованным файлам добавляется расширение .wcry

Активность этого крипто-вымогателя пришлась на первую половину февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа выступает экран блокировки "Notification"

Содержание текста с экрана:
Your files have been safely encrypted!
Most of your files are encrypted with strong AES-128 ciphers.
To decrypt files you need to obtain the private keys, and it is the only possible way.
To obtain the keys you should pay with bitcoin.
The cost will double by the specified time.
What to do, How to do
1. Send 0.1 BTC to 1G7bggAjH8pJaUfUoC9kRAcSCoev6djwFZ
You will be able to download the private key within 12 hours.
2. How to DECRYPT your files
1) Click "Start Decrypt".
2) First, you should send a download request with your Bitcoin wallet address.
(Important: You must know your actual wallet address from where your payment be sent.)
3) Sleep.
4) After 5-6 hours you will have the key and can decrypt your files. Go!
5) That’s all.
3. About BITCOIN
1) For more information about bitcoin, please visit https://en.wikipedia.org/wiki/Bitcoin
2) Here are our recommendations to purchase bitcoin:
***
Any attempt to corrupt or remove this software will result in immediate elimination of the private keys by the servers. 
button 'Start Decrypt'

Перевод текста с экрана на русский язык:
Ваши файлы безопасно зашифрованы!
Большинство ваших файлов зашифрованы с мощным шифром AES-128.
Для расшифровки файлов вам нужно получить закрытые ключи, и это единственный путь.
Для получения ключей вы должны заплатить биткоины.
Стоимость удвоится через указанное время.
Что делать, как делать
1. Отправить 0,1 BTC на 1G7bggAjH8pJaUfUoC9kRAcSCoev6djwFZ
Вы сможете загрузить закрытый ключ в течение 12 часов.
2. Как дешифровать файлы
1) Нажмите кнопку "Запуск расшифровки".
2) Сначала вы должны отправить запрос на загрузку с адреса вашего Bitcoin-кошелька.
(Важно: Вы должны знать адрес своего бумажника, откуда ваш платеж будет отправлен.)
3) Сон.
4) Через 5-6 часов вы получите ключ и можете расшифровать файлы. Иди!
5) Вот и все.
3. О Bitcoin
1) Для получения дополнительной информации о Bitcoin, пожалуйста, посетите https://en.wikipedia.org/wiki/Bitcoin
2) Вот наши рекомендации по покупке биткоинов:
***
Любая попытка прервать работу или удалить этот софт приведет к немедленной ликвидации серверами закрытых ключей.
Кнопка "Запуск расшифровки"

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .aes, .ai, .ARC, .asc, .asf, .asp, .avi, .backup, .bak, .bmp, .brd, .c, .cgm, .class, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .dif, .dip, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .n, .nef, .odb, .odg, .odp, .ods, .odt, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sin, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .stw, .suo, .swf, .sxc, .sxd, .sxm, .sxw, .tar, .tarbz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (160 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы, файлы прикладных программ и пр.

Файлы, связанные с этим Ransomware:
Message.EXE
<random>.exe
wcry.exe
taskschs.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***rphjmypwmfvx6v2e.onion (C2)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Есть два дешифровщика, но их возможности ограничены: 
1) WannaKey - только для Windows XP (скачать)
2) wanakiwi - для Windows XP, x86 Windows 7, 2003, Vista, Server 2008, 2008 R2 (скачать)
wanakiwi поможет, если ПК не выключался и не перезагружался после атаки WannaCry
Описание >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as WannaCryptor)
 Write-up
 *

 Thanks: 
 S!Ri, MalwareHunterTeam
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Fadesoft

Fadesoft Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,33 биткоинов, чтобы вернуть файлы. Название оригинальное.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: ***нет данных***

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записку с требованием выкупа заменяет экран блокировки без имени. 

Ради дешёвых понтов использует картинку Umbrella Corporation из Resident Evil. Понты с зонтом, так сказать. 😄

Содержание записки о выкупе:
YOUR PERSONAL FILES ARE ENCRYPTED !
All your important files stored on this computer and attached drives have been encrypted using strong AES-256 + RSA-2048 cryptography algorithms.
Click on [SHOW LOCKED FILES] button to see which files have been encrypted.
The only way to recover your files is to obtain a unique private decryption key stored on our server. There is no other way to decrypt your data without the private key.
To receive the private key, you have to buy Bitcoins and send 0.33 BTC to our address.
You can buy bitcoins on or www.localbitcoins.com use GOOGLE to find out how to buy and send bitcoin in your region.
YOU HAVE 96 HOURS (4 DAYS) TO PAY BEFORE THE DECRYPTION KEY IS DESTROYED ON OUR SERVER. AFTER THIS TIME YOUR DATA WILL BE LOST FOREVER!
Dont try to delete me if you want your files back. YOU HAVE BEEN WARNED.
Click on [DECRYPT MY FILES] button if you have already paid.
Decryption process is fully automated.
send 0.33 BTC to this address: ***

Перевод записки на русский язык:
Ваша личный файлы зашифрованы!
Все ваши важные файлы, хранящиеся на этом компьютере и подключенные диски были зашифрованы с использованием надежных алгоритмов шифрования AES-256 + RSA-2048.
Нажмите на кнопку [SHOW LOCKED FILES], чтобы увидеть, какие файлы были зашифрованы.
Единственный способ восстановить файлы — это получить уникальный частный ключ дешифрования, который хранится на нашем сервере. Никакого иного способа расшифровать данные без секретного ключа.
Для получения секретного ключа вы должны купить биткоины и отправить 0,33 BTC на наш адрес.
Вы можете купить биткоины на www.localbitcoins.com или в GOOGLE узнать, как купить и отправить биткоины в вашем регионе.
У вас есть 96 часов (4 дня) на оплату ключа дешифрования до его уничтожения нашим сервером. По истечении этого времени ваши данные будут потеряны навсегда!
Не пытайтесь удалить меня, если хотите вернуть ваши файлы. Вы были предупреждены.
Нажмите на кнопку [DECRYPT MY FILES], если вы уже заплатили.
Процесс дешифрования полностью автоматизирован.
отправьте 0,33 BTC по этому адресу: ***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Обходит UAC. Использует TOR и Privoxy для контакта с C2-сервером. Также использует CreateDesktop для создания рабочего стола под названием "pdsk", чтобы там работал Privoxy (свободный веб-прокси). После этого начинает контакт с C2-сервером, выбирая один из жестко закодированных 4-х onion-сайтов. Затем, используя smethod_19 формирует оставшиеся адреса. Зачем такие сложности, неизвестно. 

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускает файлы, находящиеся в папках:
windows, appdata, programdata, program files, recycle.bin, system volume, cookies, temporary internet, games, nvidia, intel, pagefile

Файлы, связанные с этим Ransomware:
Neifaewiene.exe, evtmon.exe, client.exe - названия вредоносного файла. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Обновление от 6 марта 2017:

Пост в Твиттере >>
Файлы: client.exe, Neifaewiene.exe
Название: ouyiemioRoo
Email: cryptx.support@yandex.com
Сумма выкупа: 0,1 BTC
Результаты анализов: VT
<< Скриншот экрана блокировки


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
*

 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

HugeMe

HugeMe Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название оригинальное: HugeMe и HugeMe.exe

© Генеалогия: EDA2 >> Magic ⟺ Memekap > HugeMe

К зашифрованным файлам добавляется расширение .encrypted

Активность раннего варианта этого крипто-вымогателя, известного как Memekap или Magic, пришлась на декабрь 2015 - январь-февраль 2016 г. 
Появление теперь уже как HugeMe относится к началу февраля 2017 г. 
Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
DECRYPT.TXT
DECRYPT_ReadMe.TXT.ReadMe
DECRYPT_ReadMe1.TXT.ReadMe

Содержание записки о выкупе:
All your files encrypted with strong encryption.
To unlock your files you must pay 1 bitcoin to address :
1GvQ9GsMgwAUz91PKNpAJxrAwsztg1S7jy
Search google for how to buy and send bitcoin.
After you send the bitcoin email to : 
myqjs01@gmail.com
olv100@mail.ru
vegeta85@safe-mail.net
use all email to communicate with the information of username and pcname and the time you send bitcoins.
When we will confirme the transaction you will receive decryption key and decryption program.
You have 5 days to make transaction after that your decryption key will be deleted. And your files gone forever.

Перевод записки на русский язык:
Все твои файлы зашифрованы с сильным шифрованием.
Для разблока файлов ты должен заплатить 1 Bitcoin на адрес:
1GvQ9GsMgwAUz91PKNpAJxrAwsztg1S7jy
Поищи в Google как купить и отправить Bitcoin.
После отправки Bitcoin напиши на email:
myqjs01@gmail.com
olv100@mail.ru
vegeta85@safe-mail.net
используй все email для контакта c информацией о пользователе и ПК-имя и времени отправки биткоинов.
Когда мы подтвердим транзакцию ты получишь ключ дешифрования и дешифратор.
У тебя есть 5 дней, чтобы сделать оплату, после чего ключ дешифрования будет удалён. А твои файлы исчезнут навсегда.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После шифрования удаляет теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3d, .3d4, .3df8, .3fr, .3g2, .3gp, .3gp2, .3mm, .7z, .aac, .abk, .abw, .ac3, .accdb, .ace, .act, .ade, .adi, .adpb, .adr, .adt, .ai, .aim, .aip, .ais, .amf, .amr, .amu, .amx, .amxx, .ans, .ap, .ape, .api, .arc, .ari, .arj, .aro, .arr, .arw, .asa, .asc, .ascx, .ase, .asf, .ashx, .asmx, .asp, .asr, .avi, .avs, .bak, .bay, .bck, .bdp, .bdr, .bib, .bic, .big, .bik, .bkf, .blp, .bmc, .bmf, .bml, .bmp, .boc, .bp2, .bp3, .bpl, .bsp, .cag, .cam, .cap, .car, .cbr, .cbz, .cc, .ccd, .cch, .cd, .cdr, .cer, .cfg, .cgf, .chk, .clr, .cms, .cod, .col, .cp, .cpp, .cr2, .crd, .crt, .crw, .cs, .csi, .cso, .ctt, .cty, .cwf, .dal, .dap, .dbb, .dbf, .dbx, .dcp, .dcr, .dcu, .ddc, .ddcx, .dem, .der, .dev, .dex, .dic, .dif, .dii, .dir, .disk, .divx, .diz, .djvu, .dmg, .dng, .dob, .doc, .docm, .docx, .dot, .dotm, .dotx, .dox, .dpk, .dpl, .dpr, .dsk, .dsp, .dvd, .dvi, .dvx, .dwg, .dxe, .dxf, .dxg, .elf, .eps, .eql, .erf, .err, .euc, .evo, .ex, .exif, .f90, .faq, .fcd, .fdr, .fds, .ff, .fla, .flp, .flv, .for, .fpp, .gam, .gif, .grf, .gthr, .gz, .gzig, .h3m, .h4r, .htm, .html, .idx, .img, .indd, .ink, .ipa, .isu, .isz, .itdb, .itl, .iwd, .jar, .jav, .java, .jc, .jfif, .jgz, .jif, .jiff, .jpc, .jpeg, .jpf, .jpg, .jpw, .js, .kdc, .kmz, .kwd, .lbi, .lcd, .lcf, .ldb, .lgp, .log, .lp2, .ltm, .ltr, .lvl, .mag, .man, .map, .max, .mbox, .mbx, .mcd, .md3, .mdb, .mdf, .mdl, .mdn, .mds, .mef, .mic, .mip, .mlx, .mod, .moz, .mp3, .mp4,.mpeg, .mpg, .mrw, .msg, .msp, .mxp, .nav, .ncd, .nds, .nef, .nfo, .now, .nrg, .nri, .nrw, .odb, .odc, .odf, .odi, .odm, .odp, .ods, .odt, .oft, .oga, .ogg, .opf, .orf, .owl, .oxt, .p12, .p7b, .p7c, .pab, .pak, .pbf, .pbp, .pbs, .pcv, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkb, .pkh, .pl, .plc, .pli, .pm, .png, .pot, .potm, .potx, .ppd, .ppf, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prc, .prt, .psa, .psd, .pst, .ptx, .puz, .pwf, .pwi, .pxp, .qbb, .qdf, .qel, .qif, .qpx, .qtq, .qtr, .r3d, .ra, .raf, .rar, .raw, .res, .rev, .rgn, .rng, .rrt, .rsrc, .rsw, .rte, .rtf, .rts, .rtx, .rum, .run, .rv, .rw2, .rwl, .sad, .saf, .sav, .scm, .scn, .scx, .sdb, .sdc, .sdn, .sds, .sdt, .sen, .sfs, .sfx, .sh, .shar, .shr, .shw, .slt, .snp, .so, .spr, .sql, .sqx, .sr2, .srf, .srt, .srw, .ssa, .std, .stt, .stx, .sud, .svi, .svr, .swd, .swf, .tar, .tax2013, .tax2014, .tbz2, .tch, .tcx, .text, .tg, .thmx, .tif, .tlz, .tpu, .tpx, .trp, .tu, .tur, .txd, .txf, .txt, .uax, .udf, .umx, .unr, .unx, .uop, .upoi, .url, .usa, .usx, .ut2, .ut3, .utc, .utx, .uvx, .uxx, .val, .vc, .vcd, .vdo, .ver, .vhd, .vmf, .vmt, .vsi,.vtf, .w3g, .w3x, .wad, .war, .wav, .wave, .waw, .wb2, .wbk, .wdgt, .wks, .wm, .wma, .wmd, .wmdb, .wmmp, .wmv, .wmx, .wow, .wpd, .wpk, .wpl, .wps, .wsh, .wtd, .wtf, .wvx, .x3f, .xl, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xltx, .xlv, .xlwx, .xpi, .xpt, .xvid, .xwd, .yab, .yps, .z02, .z04, .zap, .zip, .zipx, .zoo (473 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Во время шифрования пропускаются директории:
C:\Windows
C:\Program

Файлы, связанные с этим Ransomware:
hugeme.exe
hugeme2.exe
DECRYPT.TXT - записка с требованием выкупа
DECRYPT_ReadMe.TXT.ReadMe - записка с требованием выкупа
DECRYPT_ReadMe1.TXT.ReadMe - добавляется лог
deleteMyProgram.bat  - используется для удаления теневых копий

Расположение: 
%Desktop%\DECRYPT.TXT
%Desktop%\DECRYPT_ReadMe.TXT.ReadMe
%Desktop%\DECRYPT_ReadMe1.TXT.ReadMe
%Desktop%\deleteMyProgram.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://amaclin.freevar.com/ - (5.9.82.18:80 - Германия)
xxxx://amaclin.freevar.com/panel/createkeys.php
xxxx://amaclin.freevar.com/panel/savekey.php
xxxx://err.freewebhostingarea.com - (64.31.54.150:80 - США) 
myqjs01@gmail.com
olv100@mail.ru
vegeta85@safe-mail.net
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up by TrendMicro (January 26, 2016)
 ID Ransomware (n/a)
 Topic on BC
 *

 Thanks: 
 Alex Svirid
 Karsten Hahn
 TrendMicro
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DynA-Crypt

DynA-Crypt Ransomware

DynA CryptoLocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью отдельной программы AES, а затем требует выкуп в $50 в биткоинах, чтобы вернуть файлы. Название оригинальное. Разработчик: DynAmite. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .crypt

Зафиксированная активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
➤ Для ПК с Windows x64
➤ На начало 2018 года DynA-Crypt ещё используется. 

Записки с требованием выкупа выступает экран блокировки. 
Сообщение о выкупе имеет графический интерфейс, требует $50 в биткоинах на BTC-адрес. 

Содержание записки о выкупе:
DynA-Crypt
All your important files are encrypted
Your computer has been locked
If you want unlock send 50 $ BTC
To this wallet if not files will be
Randomly deleting every 5 minutes
1JzypNfNnJRWRFJFxNo5qAt13vYmxqeEz5

Перевод записки на русский язык:
DynA-Crypt
Все ваши важные файлы зашифрованы
Ваш компьютер был блокирован
Если хотите разблок, пришлите 50 $ BTC
На этот кошелёк, если нет, то файлы будут
Выборочно удаляться каждые 5 минут
1JzypNfNnJRWRFJFxNo5qAt13vYmxqeEz5

Распространяется по форумам, может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 

- Настраивается под себя, может блокировать браузеры, отключать защиту. 
- Разработчик нашпиговал своё детище различным дополнительным функционалом, множеством автономных исполняемых файлов и скриптов PowerShell. Нужно или не нужно, оно там есть. 
- Имеет также функционал трояна-шпиона и бэкдора: записывает нажатия клавиш, создает скриншоты, ворует информацию из приложений пользователей (Chrome, Firefox, Minecraft, Skype, Steam, TeamSpeak, Thunderbird и др.), пытается установить удалённое соединение. 

Список файловых расширений, подвергающихся шифрованию:
.001, .avi, .csv, .doc, .docx, .jpeg,.jpg, .m4a, .mdb, .mkv, .mov, .mp3, .mp4, .msg, .odt, .pdf, .png, .ppt, .pptx, .pst, .rar, .xls, .xlsx, .zip (24 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы и папки, связанные с этим Ransomware:
<random>.exe
picturespack.exe
%AppData%\Local\dyna\loot\ - место для сбора данных с ПК и помещения потом в архив loot.zip

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1JzypNfNnJRWRFJFxNo5qAt13vYmxqeEz5
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4 января 2018:

Пост в Твиттере >>

Файл: Evil_File.exe

Результаты анализов: VT + VB

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Attention! It can be decrypted!
For decoding, please contact Michael Gillespie

Внимание! Это дешифруется!
Для дешифровки пишите Майклу Джиллеспи

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DynA-Crypt)
 Write-up

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Serpent Danish

Serpent 2017 Ransomware
Serpent Danish Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в 0,75 биткоинов, чтобы вернуть файлы. Через 7 дней сумма увеличивается до 2,25 биткоинов. Название оригинальное. Не путайте с PayDOS (Serpent) Ransomware. 

© Генеалогия: Hades Locker (2016) > Serpent Danish (2017)

К зашифрованным файлам добавляется расширение .serpent

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
HOW_TO_DECRYPT_YOUR_FILES_[A-Za-z0-9]{3}.txt
HOW_TO_DECRYPT_YOUR_FILES_[A-Za-z0-9]{3}.html

 

Содержание записок о выкупе:

==== NEED HELP WITH TRANSLATE? USE https://translate.google.com ====

================ PLEASE READ THIS MESSAGE CAREFULLY ================

Your documents, photos, videos, databases and other important files have been encrypted!
The files have been encrypted using AES256 and RSA2048 encryption (unbreakable)
To decrypt your files you need to buy the special software 'Serpent Decrypter'.
You can buy this software on one of the websites below.
xxxx://vdpbkmwbnp.pw/00000000-00000000-00000000-00000000
xxxx://hnxrvobhgm.pw/00000000-00000000-00000000-00000000
If the websites above do not work you can use a special website on the TOR network. Follow the steps below
1. Download the TOR browser https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Inside the TOR browser brower navigate to : 3o4kqe6khkfgx25g.onion/00000000-00000000-00000000-00000000
3. Follow the instructions to buy 'Serpent Decrypter'

================ PLEASE READ THIS MESSAGE CAREFULLY ================

Перевод записок на русский язык:
==== НУЖНА ПОМОЩЬ С ПЕРЕВОДОМ? ИСПОЛЬЗУЙ https://translate.google.com ====
================ ПРОЧТИТЕ ЭТО СООБЩЕНИЕ ВНИМАТЕЛЬНО ================
Ваши документы, фото, видео, базы данных и другие важные файлы были зашифрованы!
Файлы были зашифрованы с помощью AES256 и RSA2048 шифрования (невзламываемые)
Для расшифровки файлов вам нужно приобрести специальный софт 'Serpent Decrypter'.
Вы можете купить этот софт на одном из указанных ниже веб-сайтов.
хххх://vdpbkmwbnp.pw/00000000-00000000-00000000-00000000
хххх://hnxrvobhgm.pw/00000000-00000000-00000000-00000000
Если веб-сайты, что выше, не работают, вы можете посетить специальный сайт в сети TOR. Сделайте следующие шаги
1. Загрузите TOR-браузер https://www.torproject.org/projects/torbrowser.html.en#downloads
2. Из TOR-браузера перейдите на сайт: 3o4kqe6khkfgx25g.onion / 00000000-00000000-00000000-00000000
3. Следуйте инструкциям, чтобы купить 'Serpent Decrypter'
================ ПРОЧТИТЕ ЭТО СООБЩЕНИЕ ВНИМАТЕЛЬНО ================

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Пример письма со ссылкой на вредоносный документ с макросами

Загруженный документ, требующий включить содержимое

Список файловых расширений, подвергающихся шифрованию:

.2011, .2012, .2013, .2014, .2015, .2016, .2017, . 3dm, .7zip, .accd, .accdb, .accde, .accdr, .accdt, .aepx, .agdl, .aiff, .aspx, .back, .backup, .backupdb, .bank, .blend, .btif, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cfdi, .clas, .class, .cntk, .config, .craw, .db-journal, .db_journal, .ddoc, .ddrw, .defx, .design, .djvu, .docb, .docm, .docx, .dotm, .dotx, .dtau, .efsl, .erbsql, .fcpa, .fcpr, .flac, .flvv, .gray, .grey, .groups, .html, .iban, .ibank, .idml, .incpas, .indb, .indd, .indl, .indt, .int?, .intu, .java, .jpeg, .jsda, .kdbx, .kpdx, .laccdb, .lay6, .m2ts, .m3u8, .mbsb, .meta, .mhtm, .mone, .moneywell, .mpeg, .ms11, .myox, .nvram, .pages, .pcif, .php5, .phtml, .plus_muhd, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .pptx, .prel, .prpr, .psafe3, .pspimage, .ptdb, .qb20, .qbmb, .qbmd, .qcow, .qcow2, .qdfx, .qmtf, .quic, .qwmo, .resx, .s3db, .safe, .sas7bdat, .save, .seam, .sldm, .sldx, .sqli, .sqlite, .sqlitedb, .tax0, .tax1, .tax2, .text, .tiff, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .vbox, .vbpf, .vhdx, .vmdk, .vmsd, .vmxf, .wallet, .xhtm, .xlam, .xlsb, .xlsm, .xlsx, .xltm, .xltx, .ycbcra, .zipx (151 расширение). 

Это документы MS Office, текстовые файлы, базы данных, фотографии, бэкапы, видео, файлы специализированных и прикладных программ и пр.

Файлы, связанные с этим Ransomware:
software.exe
<random>.exe
%AppData%\Local\Temp\puttyx86.exe
%AppData%\Roaming\raesdfgiuytr\iutyfghjkoiuytf.exe
C:\Users\User_name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\raesdfgiuytr.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***185.163.46.150/software.exe***
***tomrerarbejdeolsen.com/1603750.doc***
***3o4kqe6khkfgx25g.onion
***vdpbkmwbnp.pw
***hnxrvobhgm.pw
***n7457xrhg5kibr2c.onion
xxxx://pfmydcsjib.ru
xxxx://jdybchotfn.ru
См. ниже результаты анализов.

Страницы сайта оплаты выкупа

Начальная страница

Другие страницы

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Обновление от 11 марта 2017:
Пост в Твиттере >>
C2: xxxx://146.71.84.120 порт 8080/register.php
<< Скриншот записки




Обновление от 9 апреля:
Пост в Твиттере >>
Записка: README_TO_RESTORE_FILES.txt
Расширение: .serp

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up
 ID Ransomware (ID as Serpent)
 Tweet on Twitter
 *
 *

 Thanks: 
 Proofpoint
 Michael Gillespie
 Jack, MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.