YouAreFucked, FortuneCrypt

YouAreF*cked Ransomware

FortuneCrypt Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название неизвестно. 

Обнаружения: 
BitDefender -> Trojan.Generic.21093707, Trojan.GenericKD.4590020
Kaspersky -> Trojan-Ransom.Win32.Crypren.afjh, ***Crypren.afjg, ***Crypren.afji
Microsoft -> Trojan:Win32/Casdet!rfn, Ransom:Win32/FileCryptor

Emsisoft -> Trojan.Generic.21093707 (B), Trojan-Ransom.FortuneCookie (A)

© Генеалогия: выясняется.

К зашифрованным файлам добавляется не расширение, а маркер файлов YouAreFucked.

Активность этого крипто-вымогателя пришлась на январь-февраль 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком "Oops!". 

Содержание записки о выкупе:
Important Message!
You are getting this message because you have downloaded illegal software!!!
Because of this all your personal files are locked until you have paid a fine!
To make payment this program needs an internet connection.
As long as you follow the instructions your files will remain safe.
* YOU HAVE ONLY 24 HOURS TO MAKE PAYMENT OR YOUR FILES WILL BE LOST FOREVER!!! *
Click here to test internet connection

Перевод записки на русский язык:
Важное сообщение!
Вы получили это сообщение, т.к. загрузили нелегальный софт!!!
Все ваши личные файлы будут блокированы, пока не заплатите штраф!
Для оплаты этой программы нужно подключение к Интернету.
Пока вы следуете инструкциям, ваши файлы будут в безопасности.
*У вас есть всего 24 часа для оплаты или ваши файлы исчезнут навсегда!!!*
Кликните тут для проверки интернет-связи

Должно быть еще одно окно, где указаны контакты и данные для оплаты. 
К сожалению, оно пока не найдено. 

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Скомпилирован с использованием компилятора BlitzMax. 

Список файловых расширений, подвергающихся шифрованию:
.doc, .docx, .gif, .jpg, .pdf, .psd, .txt, .xls, .xlsx и другие.

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
act1.exe - экран блокировки, сообщающий о шифровании
act2.exe - экран блокировки с заголовком "Oops!", сообщающий о причине блокировки файлов

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT>> VT>>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

25 сентября 2019 года. Файлы можно расшифровать. 
Поддержка расшифровки добавлена в RakhniDecryptor
Ссылки для загрузки:
https://support.kaspersky.com/10556
https://support.kaspersky.ru/10556

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as YouAreFucked)
 Topic on BC
 *

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 * 

© Amigo-A (Andrew Ivanov): All blog articles.

XYZware

XYZware Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 0,1-0,2 биткоина, чтобы вернуть файлы. На уплату выкупа даётся 48 часов. Оригинальное название. Создано на основе почти готового решения MafiaWare Ransomware. Среда разработки: Visual Studio 2012. Страна: Индонезия. 

© Hidden Tear >> MafiaWare > XYZware

К зашифрованным файлам добавляется расширение - *неизвестно*

Активность этого крипто-вымогателя пришлась на февраль 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
README.txt или Readme.txt 

Содержание 1-го варианта записки о выкупе:
All your files has been encrypted with RSA-2048 and AES-128.
There is no way to decrypt without private key and decrypt program. You can buy the private key and the decrypt program just for 0.1 BTC (Bitcoin) and send to : 19mPfoL1xcrWWJKNSw25cQ4mSSgkBdV4x

Перевод 1-го варианта записки на русский язык:
Все ваши файлы были зашифрованы с помощью RSA-2048 и AES-128.
Нет никакого способа дешифровки без закрытого ключа и декриптора. Вы можете купить закрытый ключ и декриптор за 0.1 BTC (Bitcoin) и отправить на : 19mPfoL1xcrWWJKNSw25cQ4mSSgkBdV4x

Содержание 2-го варианта записки о выкупе:
All your files has been encrypted with RSA-2048 and AES-128.
There is no way to decrypt without private key and decrypt program. You can buy the private key and the decrypt program just for 0.2 BTC (Bitcoin)
You have 48 hours to buy it. After that, your private key will gone and we can't guarantee to decrypt. 
Email me for more information about how to buy it at cyberking@indonesianbacktrack.or.id

Перевод 2-го варианта записки на русский язык:
Все ваши файлы были зашифрованы с помощью RSA-2048 и AES-128.
Нет никакого способа дешифровки без закрытого ключа и декриптора. Вы можете купить закрытый ключ и декриптор за 0.2 BTC (Bitcoin)
У вас есть 48 часов на покупку. После этого ваш секретный ключ уничтожится, и мы не гарантируем расшифровку.
Email мне для информации о том, как купить это на cyberking@indonesianbacktrack.or.id

Распространяется по хакерским форумам, но может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .avi, .csv, .doc, .docx, .exe, .html, .gif, .jpg, .lnk, .mdb, .mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .rar, .sln, .sql, .txt, .xls, .xlsx, .xml, .zip (28 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
XYZware.exe
<random>.exe
Readme.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://yourweb.com/xyz/xyzware.php?g0tpath=
cyberking@indonesianbacktrack.or.id
lastocra@gmail.comСм. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> Ещё >>
VirusTotal анализ >> Ещё >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as XYZWare)
 Write-up
 *

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kasiski

Kasiski Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $500, чтобы вернуть файлы. Название получил от добавляемого к файлам маркера. Шифровальщик разработан для 64-разрядных систем, т.е. в 32-разрядных он, видимо, не сработает.  

© Генеалогия: выясняется.

К зашифрованным файлам в начало добавляется маркер [KASISKI]

Пример зашифрованных файлов

Активность этого крипто-вымогателя пришлась на февраль 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: INSTRUCCIONES.txt 
Вымогательский текст также есть на скринлоке wpm.jpg, который встаёт обоями рабочего стола. 

Содержание записок о выкупе:
TODOS SUS ARCHIVOS FUERON ENCRYPTADOS
PARA RECUPERARLOS ABRA EL DOCUMENTO
'INSTRUCCiONES.txt' QUE SE ENCUENTRA EN SU
ESCRITORIO Y SIGA LAS INSTRUCCIONES QUE ALI...

Información importante
Este es su numero personal (NO LO BORRE) = *****
Todos sus archivos fueron ecnryptados (bloqueados).
Para restaurar sus archivos usted necesita un (DECRYPT TOOL) 
Nosotros le ofrecemos el (DECRYPT TOOL) para restaurar sus archivos, su costo es de ($500) quinie

Перевод записок на русский язык:
Все твои файлы зашифрованы
Для восстановления открой документ 'INSTRUCCiONES.txt' на твоем рабочем столе и следуй инструкциям...

Важная информация
Это твой персональный номер (НЕ УДАЛЯЙ) = *****
Все файлы были зашифрованы (заблокированы).
Для восстановления файлов тебе нужен (DECRYPT TOOL)
Мы предлагаем (DECRYPT TOOL) для восстановления файлов, твоя стоимость ($ 500)...

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INSTRUCCIONES.txt
wpm.jpg
kasiski.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Kasiski)
 Write-up

 Thanks: 
 Marcelo Rivero, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoLocker by NTK

CryptoLocker by NTK Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует связаться по email, чтобы купить код (ключ) и вернуть файлы. Оригинальное название. Разработчик: NTK. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .powned

Активность этого крипто-вымогателя пришлась на февраль 2017 г. Ориентирован на французскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает диалоговое окно с заголовком Get P0wn3d

Содержание записки о выкупе:
Tous les fichiers de votre ordinateur on été cryptés par ce virus avec une encryption extrêmement efficace.
Vous ne pouvez dans aucun cas décrypter vos fichiers sauf par un code spécifique.
Pour avoir le code servant à décrypter vos fichiers, contactez moi à ces coordonnées : ***
Insérez votre code ici : ***
Décrypter

Перевод записки на русский язык:
Все ваши компьютерные файлы были зашифрованы вирусом с очень эффективным шифрованием.
Вы не можете никак расшифровать ваши файлы без определенного кода.
Для получения кода для расшифровки файлов, свяжитесь со мной по этим координатам: ***
Вставьте код здесь: ***
Расшифровать

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoLocker by NTK.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Файлы можно вернуть без уплаты выкупа
Скачать и использовать декриптер >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 Write-up
 *

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Fake Locky

Fake Locky Ransomware

Locky Impersonator Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1.0 биткоин, чтобы получить ключ дешифрования и вернуть файлы. Название дано от позиционирования вымогателем себя как Locky Ransomware. Фактически фейк. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .LOCKED

Активность этого крипто-вымогателя пришлась на январь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Rans0m_N0te_Read_ME.txt

Содержание записки о выкупе:
Files has been encrypted with Locky Ransomware, Do not alter your files or you will not be able to recover anything nobody will be able to recover your data since its set to AES-256 and requires our Key
Send me 1.0 bitcoins
Send payment to this Address: 13DYdAKb8nfo1AYeGpJXwKZYupyeqYu2QZ
For Instructions on how to Purchase & send bitcoin refer to this link : ***
for support Email: lockyransomware666@sigaint.net
After 48 Hours your ransom doubles to 2.0 BTC 
After 72 Hours we will delete your recovery keys

Перевод записки на русский язык:
Файлы были зашифрованы с Locky Ransomware, Не изменяй файлы или ты не сможешь не вернуть что-либо, никто не сможет вернуть данные, т.к. они настроены с AES-256 и нужен наш Ключ
Пошли мне 1.0 биткоин
Отправь платеж на этот адрес: 13DYdAKb8nfo1AYeGpJXwKZYupyeqYu2QZ
Для инструкций по покупке и отправке биткоин иди по ссылке: ***
Для поддержки Email: lockyransomware666@sigaint.net
Через 48 часов цена выкупа удвоится до 2.0 BTC 
Через 72 часа мы удалим твои ключи восстановления

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Rans0m_N0te_Read_ME.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
lockyransomware666@sigaint.net
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up
 *
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Xorist-FakeRSA

Xorist-FakeRSA Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью TEA, а затем требует выкуп в 2 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: DecryptFiles2.exe и 6RgG4sD94Q3n4Q1.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Xorist >> Xorist-FakeRSA

К зашифрованным файлам добавляется расширение: .RSA-4096

Активность этого крипто-вымогателя пришлась на начало июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Запиской с требованием выкупа также выступает экран блокировки с заголовком Error.

Содержание текста о выкупе:
All your important files were encrypted on this computer.
You can verify this by click on see files an try open them. 
Encrtyption was produced using unique public key RSA-4096 generated for this computer. 
To decrypted files, you need to otbtain private key. 
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet;
The server will destroy the key within 48 hours after encryption completed.
To retrieve the private key, you need to pay 2 bitcoins IMPORTANT YOU HAVE ONLY 48 HOURS IF U DON'T PAY ALL YOUR FILES WILL BE DELETED!
Bitcoins have to be sent to this address: 
15sJ3pT7J6zefRs95SEsfBZMz8jAw1zAbh
After you've sent the payment send us an email to : 
DecryptFiles@tutanota.com with subject : DECRYPT-ID-63170158
If you are not familiar with bitcoin you can buy it from here :
SITE 1 : www.coinbase.com
SITE 2 : www.localbitcoins.com
After we confirm the payment , we send the private key so you can decrypt your system.

Перевод текста на русский язык:
Все ваши важные файлы были зашифрованы на этом компьютере.
Вы можете проверить это, щелкнув по файлам и попробовав открыть их.
Шифрование было создан с уникальным открытым ключом RSA-4096, сгенерированным для этого компьютера.
Для дешифрования файлов вам нужно получить закрытый ключ.
Единственная копия закрытого ключа, позволяющая расшифровать файлы, находится на секретном сервере в Интернете;
Сервер уничтожит ключ через 48 часов после завершения шифрования.
Чтобы получить секретный ключ, вам нужно заплатить 2 биткоина. ВАЖНО У ВАС ЕСТЬ ТОЛЬКО 48 ЧАСОВ, ЕСЛИ НЕ ЗАПЛАТИТЕ, ВСЕ ВАШИ ФАЙЛЫ БУДЕТ УДАЛЕНЫ!
Биткоины должны быть отправлены по этому адресу:
15sJ3pT7J6zefRs95SEsfBZMz8jAw1zAbh
После отправки платежа отправьте нам письмо по адресу:
DecryptFiles@tutanota.com с темой: DECRYPT-ID-63170158
Если вы не знакомы с биткоином, вы можете купить их здесь:
САЙТ 1: www.coinbase.com
САЙТ 2: www.localbitcoins.com
После подтверждения платежа мы отправим закрытый ключ, чтобы вы могли расшифровать свою систему.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Если ввести неверный пароль более 5 раз, все файлы будут уничтожены. Вероятно, что эта функция предотвращает перебор пароля. К сожалению автора шифровальщика, счётчик ввода неверного пароля сбрасывается каждый раз, когда мы закрываем окно программы. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3gp, .ac3, .ace, .ape, .avi, .BAC, .BAK, .bak, .bat, .bkf, .bmp, .cap, .cdr, .cer, .csv, .dat, .dbf, .dbk, .dit, .divx, .djvu, .doc, .docx, .drt, .dwg, .edb, .erf, .exe, .EXE, .flac, .flv, .FPT, .frm, .gif, .gzip, .htm, .html, .ifo, .isr, .jar, .JAVA, .jpeg, .jpg, .kwm, .ldb, .LDF, .lnk, .LOG, .log, .m2v, .max, .mdb, .mdf, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .mst, .nnn, .NX1, .nx1, .ods, .odt, .odt7, .p12, .PCC, .pdb, .pdf, .pfx, .png, .ppt, .pptx, .psd, .psi, .pwm, .QBW, .rar, .RAR, .rpt, .rtf, .sql, .SQL, .tar, .tib, .torrent, .txt, .vhd, .vob, .wallet, .wav, .wma, .wmv, .xls, .xlsx, .xlt, .xml, .zip (100 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
DecryptFiles2.exe
usbview.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\6RgG4sD94Q3n4Q1.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: DecryptFiles@tutanota.com
BTC: 15sJ3pT7J6zefRs95SEsfBZMz8jAw1zAbh
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist Ransomware - март 2016

Xorist-EnCiPhErEd Ransomware - май 2016

Xorist-FakeRSA - февраль 2017

Xorist-Zixer2 Ransomware - апрель 2017

Xorist-RuSVon Ransomware - июль 2017

Xorist-Hello Ransomware - август 2017

Xorist-CerBerSysLock Ransomware - декабрь 2017
Xorist-XWZ Ransomware - март 2018

Xorist-Frozen Ransomware - февраль - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. Историю семейства выше. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoShield 2.0

CryptoShield 2.0 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Название оригинальное, версия записана как CryptoShield 2.0. Фальш-имя: Protected SoftWare. Фальш-копирайт: Copyright (C) 1998

© Генеалогия: CryptoMix > CryptoShield 1.0 > CryptoShield 2.0 

К зашифрованным файлам добавляется составное расширение по шаблону 
.[RES_SUP@INDIA.COM].ID[2D64A0776C78A9C3].CRYPTOSHIELD

Так у файла 1028.TXT с помощью rot13.com шифруется оригинальное расширение TXT в GKG, к которому затем присоединяется к примеру это: 
.[RES_SUP@INDIA.COM].ID[2D64A0776C78A9C3].CRYPTOSHIELD

Активность этого крипто-вымогателя пришлась на первую половину февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
# RESTORING FILES #.txt
# RESTORING FILES #.html 

 

Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE http://translate.google.com 
What happens to you files? 
All of your files were encrypted by a strong encryption with RSA-2048 using CryptoShield 2.0. DANGEROUS. 
More information about the encryption keys using RSA-2048 can be found here: https://en.wikipedia.org/wiki/RSA_(cryptosystem) 
How did this happen ? 
Specially for your PC was generated personal RSA - 2048 KEY, both public and private. ALL your FILES were encrypted with the public key, which has been transferred to your computer via the Internet. Decrypting of your files is only possible with the help of the private key and decrypt program , which is on our secret server. 
What do I do ? 
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start send email now for more specific instructions, and restore your data easy way. If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make payment. 
To receive your private software: 
Contact us by email , send us an email your (personal identification) ID number and wait for further instructions. Our specialist will contact you within 24 hours. 
ALL YOUR FILES ARE ENCRYPTED AND LOCKED, YOU CAN NOT DELETE THEM, MOVE OR DO SOMETHING WITH THEM. HURRY TO GET BACK ACCESS FILES. Please do not waste your time! You have 72 hours only! After that The Main Server will double your price! 
So right now You have a chance to buy your individual private SoftWare with a low price! 
CONTACTS E-MAILS: 
res_sup@india.com - SUPPORT; 
res_sup@computer4u.com - SUPPORT RESERVE FIRST; 
res_reserve@india.com - SUPPORT RESERVE SECOND; 
ID (PERSONAL IDENTIFICATION): 9694E***

Перевод записки на русский язык:
НЕ ВАШ ЯЗЫК? ПОЛЬЗУЙ http://translate.google.com
Что стало с вами файлы?
Все файлы были зашифрованы с надежным шифрованием RSA-2048, используя CryptoShield 2.0. ОПАСНЫЙ.
Подробную информацию о ключах шифрования с RSA-2048 можно найти здесь: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Как это произошло?
Специально для вашего ПК был создан личный RSA-2048 ключ, открытый и закрытый. Все ваши файлы были зашифрованы с помощью открытого ключа, переданного на компьютер через Интернет. Дешифрование файлов возможно только с помощью секретного ключа и декриптера, который находится на нашем секретном сервере.
Что мне делать?
Есть два способа, которые вы можете выбрать: ждать чуда и удвоить цену в два раза, или отправить нам email для конкретных инструкций, и легко восстановить данные. Если у вас правда есть ценные данные, то лучше не терять время, т.к. нет иного пути, чтобы получить ваши файлы, кроме как произвести оплату.
Чтобы получить приватную программу:
Свяжитесь с нами по email, отправьте нам свой (персональный идентификационный) ID и ждите дальнейших указаний. Наш специалист свяжется с вами в течение 24 часов.
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ И ЗАПЕРТЫ, ВЫ НЕ СМОЖЕТЕ УДАЛИТЬ, ПЕРЕМЕСТИТЬ ИЛИ ЧТО-ТО ДЕЛАТЬ С НИМИ. СПЕШИТЕ ВЕРНУТЬ  ДОСТУП К ФАЙЛАМ. Пожалуйста, не теряйте свое время! У вас есть только 72 часа! После этого главный сервер удвоит цену!
Прямо сейчас у вас есть возможность приобрести свою личную программу по низкой цене!
КОНТАКТЫ E-Mail:
res_sup@india.com - ПОДДЕРЖКА;
res_sup@computer4u.com - ПЕРВАЯ РЕЗЕРВНАЯ ПОДДЕРЖКА;
res_reserve@india.com - ВТОРАЯ РЕЗЕРВНАЯ ПОДДЕРЖКА;
ID (Personal Identification): 9694E ***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, JavaScript и эксплойтов (в данном случае с помощью RIG и EITest) на взломанных сайтах, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Также используется известная цепочка заражений EITest, когда злоумышленниками сначала компрометируется большое количество сайтов (под управлением WordPress и Joomla), эксплуатируя известные уязвимости, затем небольшая часть трафика с зараженных ресурсов перенаправляется на вредоносные страницы, подвергая посетителей атакам наборами эксплойтов и заражая их различными вредоносами. 

После шифрования отключаются опции восстановления системы на этапе загрузки и точки восстановления системы, и удаляются теневые копии файлов, командами:
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet
"C:\Windows\System32\cmd.exe" /C net stop vss


Добавляет себя в Автозагрузку системы. Нерестит много процессов.

Список файловых расширений, подвергающихся шифрованию:
См. список расширений в первой версии >>
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
# RESTORING FILES #.txt
# RESTORING FILES #.html
rad93DD5.tmp.exe
CryptoShield.tmp.exe
net1.exe
net.exe
<random>.exe
<random>.tmp.exe
<random>.temp
recovery.js.tmp
recovery.js
%ALLUSERSPROFILE%\MicroSoftTMP\system32\conhost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Примеры пострадавших сайтов: 

***stephanemalka.com
***new.theagingbusiness.com
res_sup@india.com
res_sup@computer4u.com
res_reserve@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> Ещё>>
VirusTotal анализ >> Ещё>> Ещё>>
Deepviz анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Обновление от 24 февраля 2017:
Расширение: .CRYPTOSHIEL или .CRYPTOSHIELD
Email: R_SUP@INDIA.COM
С помощью rot13.com шифруется оригинальное имя файла и его расширение. 
Образец зашифрованного файла: 
[processed_in_ROT13_name+extension].[RES_SUP@INDIA.COM].ID[2D64A0776C78A9C3].CRYPTOSHIELD

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoShield)
 Write-up

Внимание, файлы в некоторых случаях можно расшифровать!  
Скачать дешифроващик от Avast по ссылке >>
---
Скачать дешифровщик от CERT-PL по ссылке >>

Added later
Write-up by Malware Breakdown (add. February 18. 2017)

 Thanks: 
 Brad
 Michael Gillespie
 Malware Breakdown
 *

Это 400 статья на этом сайте!!!

© Amigo-A (Andrew Ivanov): All blog articles.