Vortex

Vortex Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $199, чтобы вернуть файлы. Оригинальное название, указано в записке. Другое, указанное в проекте и на файле: AESxWin. В последующих версиях на файлах были другие надписи, см. внизу "Блок обновлений". Разработчик скрылся под ником: KOT-GIGANT, он же Tomasz "Armaged0n" T., польский гражданин, живущий в Бельгии (арестован по прибытии в Польшу в марте 2018 года). На исполняем файле указан копирайт: Copyright © Eslam Hamouda 2015

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: AESxWin >> Vortex

К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на польскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ODZSZYFRUJ-DANE.txt

Содержание записки о выкупе:

Vortex Ransomware

Nie możesz znaleźć potrzebnych plików na dysku twardym? Zawartość Twoich plików jest nie do otwarcia?

Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu aes-256, używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.

Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego, wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!

Gdy już postanowisz odzyskać swoje dane skontaktuj się z nami pod adrem e-mail: rsapl@openmailbox.org lub poiskiransom@airmail.cc

2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać, Za resztę niestety musisz zapłacić!

Cena za odszyfrowanie wszystkich plików: 199$

Uwaga! Nie marnuj czasu, czas to pieniądz za 4 dni cena wzrośnie o 100%!

IP= ID=

Перевод записки на русский язык:
Vortex Ransomware
Не можешь найти нужные файлы на жестком диске? Содержимое файлов не открывается?
Это результат работы программы, которая зашифрована много твоих данных при помощи сильного алгоритма AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.
Единственный способ восстановить твои файлы — купить у нас программу дешифрования, с помощью одноразового ключа, созданного для тебя!
Когда решишь восстановить свои данные, пожалуйста, свяжись с нами по email-адресам: rsapl@openmailbox.org или poiskiransom@airmail.cc 
2 файла расшифруем даром, чтобы доказать, что мы это можем, за остальные, к сожалению, придется заплатить!
Цена за расшифровку всех файлов: $199
Внимание! Не трать свое время, время — деньги, через 4 дня цена возрастет на 100%!
IP= ID=

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов с помощью команды:
vssadmin.exe delete shadows /all /Quiet

Список файловых расширений, подвергающихся шифрованию:

.3g2, .3gp, .7z, .acc, .amr,  .asf, .avi, .cpp, .cs, .css, .doc, .docx, .flv, .gzip, .html, .java, .js, .mkv, .mov, .mp3, .mp4, .mpg, .ogg, .ogv, .pdf, .ppt, .pptx, .py, .rar, .rb, .rm, .rmvb, .rtf,  .swf, .tar, .txt, .vb, .vob, .wav, .wma, .wmv, .xls, .xlsx, .zip (44 расширения). 

Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
ODZSZYFRUJ-DANE.txt
AESxWin.exe
polish.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://eslamx.com
xxxx://ethcardoza.com
xxxx://www.sethcardoza.com/
xxxx://api.ipify.org
xxxx://wielkijopl.temp.swtest.ru/
rsapl@openmailbox.org
poiskiransom@airmail.cc
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
IntezerAnalyze анализ >>
ANY.RUN анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Примечание от 1 декабря 2017:
Ссылка на статью >>
Код Vortex Ransomware основан на AESxWin — бесплатной программе для шифрования и дешифрования (разработчик Eslam Hamouda, Египет).  

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 13 марта 2017:
Пост в Твиттере >>
Новое название: Flotera, написано как Ŧl๏tєгค гคภร๏๓ฬคгє
<< Название в виде картинки
Файл: MenadzerDzwiekuHD2.exe
Записка: !!!-ODZYSKAJ-DANE-!!!.TXT
Раcширение: .aes
Адрес: xxxx://cypis.[cba].pl/1330/MenadzerDzwiekuHD2.exe
Разработчик прежний: KOT-GIGANT
См. также статью Flotera Ransomware >>
* 
Обновление от 16 октября 2017:
Пост в Твиттере >>
Вредоносное вложение в email: Powiadomienie o przejeciu wierzytelnosci DOC.js
Записка: #$# JAK-ODZYSKAC-PLIIKI.txt
Результаты анализов: VT
* 
Обновление от 20 октября 2017:
Пост в Твиттере >>
🎥 Видео-обзор от CyberSecurity GrujaRS >>
Расширение: .aes
URL: dantall.bdl.pl/ , v4.ident.me/ , e-xbau.pl/***
Записка: !!$ O D Z Y S K A  J P L I K I.txt
<< Скриншот записки
Email: Hc9@2.pl и Hc9@goat.si
Файлы: wind.exe и 20102017_150240.log
Фальш-имя: AsusTek. На файле написано: AsusTPCenter.exe
Сумма выкупа: $100-$200
Email-атачмент: Black Red White - Potwierdzenie Zamowienia.doc Используется атака DDE. 
Результаты анализов: HA+VT


Обновление от 23 ноября 2017:
Email: Hc9@2.pl и Hc9@goat.si 
Сумма выкупа: $100
Записка: ##@@ INFO O PLIKACH.txt
Содержание записки: 
V_o_r_t_e_x R_a_n_s_o_m_w_a_r_e
!!!! U W A G A !!!! Masz Problem Ze Znalezieniem Potrzebnych Danych ? Nie Moesz Otworzy Swoich Dokumentw? Po Otworzeniu Wanych Plikw Widzisz Tylko Nic Nie Mwicy, Dziwny Cig Znakw? Twoje Istotne Pliki Zostay Zaszyfrowane ! Twoje Zdjcia, Dokumenty, Bazy Danych, Zostay Zaszyfrowane Niemozliwym Do Zlamania Algorytmem Aes-256 Metody Tej Do Szyfrowania Zawartosci Dokumentw Uzywaja Sluzby Wywiadowcze I Wojsko.
Gdy To Czytasz Proces Jest Zakoczony, Wytypowane Pliki Zostay Zaszyfrowane A Sam Program Usunity Z Twojego Komputera. Odzyskac Twoje Dane Mozna Tylko Przy Pomocy Dedykowanego Programu Deszyfrujcego, Wraz Z Jednorazowym Kluczem Wygenerowanym Unikalnie Dla Ciebie! Dwa Pliki Odszyfrujemy Bez Opaty Aby Nie By Goosownymi, Za Pozostae Bdziecie Pastwo Musieli Zapaci 100$ Aby Odzyska Pliki Skontaktuj Si Z Nami Pod Adresem: Hc9@2.pl Lub Hc9@goat.si Radzimy Decydowa Si Szybko, 4 Dni Od Zaszyfrowania Opata Zostanie Podniesiona Do 200$.
Kontaktujac Sie Z Nami Pamietaj Aby Podac Id-komputera I Date DANE: IP=X ID=X Data=21-11-2017 00:33:09
Новый список расширений:

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Есть возможность дешифровать файлы!
За помощью обращайтесь к Michael Gillespie‏ >> *
***
После ареста в Польше разработчика шифровальщика
можно по ссылке от Cert.pl получить ключ 
Перейти по ссылке >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Vortex)
 Write-up, Topic
🎥 Video review >>

 Thanks: 
 Karsten Hahn‏
 Michael Gillespie
 GrujaRS
 Zscaler
 

© Amigo-A (Andrew Ivanov): All blog articles.

Dangerous

Dangerous Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует связаться по email. Оригинальное название: DANGEROUS_RANSOM.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: troll.txt

Содержание записки о выкупе:
DANGEROUS_RANSOM
Hacked. Please contact hakermail@someting.com

Перевод записки на русский язык:
DANGEROUS_RANSOM
Взломано. Для связи hakermail@someting.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DANGEROUS_RANSOMW.exe
troll.txt
myscrypt.vbs

Расположение:
%User%\myscrypt.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn‏ 
 S!Ri
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Enjey Crypter

EnjeyCrypter Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует связаться по email с вымогателями, чтобы вернуть файлы. Оригинальное название. Другое, указанное в проекте обновлённой версии: Crypto-Locker ENJEY. Фальш-имя: Host Process for Windows Services.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составные расширения по шаблону .encrypted.contact_here_me@india.com.enjey

.encrypted.frogobigens@india.com.enjey

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: README_DECRYPT.txt

Содержание записки о выкупе:
[ ENJEY CRYPTER ]
Hello, your personal identity : *****
All of your documents, photos, databases and other important data has been encrypted.
To get a decoder, please contact me by e-mail: contact_here_me@india.com
In the message write the following: " Hey, I need a decoder + your personal identifier "
You will receive Bitcoin wallet, which will need to pay.
If you have no Bitcoin wallet
- Create a Bitcoin wallet xxxxs://blockchain.info/wallet/#/signup
- Buy cryptocurrency.
- xxxxs://en.bitcoin.it/wiki/Help:FAQ (for beginners),
Attention!
- Do not try to do something on their own, you can lose all your data!
- Do not rename all files are encrypted!
[ ENJEY CRYPTER ]

Перевод записки на русский язык:
[ ENJEY CRYPTER ]
Привет, ваш личные идентификатор: *****
Все ваши документы, фото, базы данных и другие важные данные зашифрованы.
Чтобы получить декодер, пишите мне на email: contact_here_me@india.com
В сообщении напишите следующее: «Эй, мне нужен декодер + ваш личный идентификатор»
Вы получите биткойн-кошелек, на который нужно заплатить.
Если у вас нет биткойн-кошелька
- Создайте биткойн-кошелек xxxxs://blockchain.info/wallet/#/signup
Купите криптовалюту.
- xxxxs://en.bitcoin.it/wiki/Help:FAQ (для начинающих),
Внимание!
- Не пытайтесь сами  что-то делать, вы можете потерять все свои данные!
- Не переименовывайте все зашифрованные файлы!
[ ENJEY CRYPTER ]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После шифрования удаляет теневые копии файлов командой:
vssadmin delete shadows /all /Quiet

Список файловых расширений, подвергающихся шифрованию:
Все файлы, независимо от расширения, в их числе документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаются только файлы в директориях:
Program Files (x86)
$Recycle.Bin
Windows
Boot
System Volum Information

Файлы, связанные с этим Ransomware:
README_DECRYPT.txt
enjey.exe
<ransom>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://blockchain.info/wallet/#/signup
xxxx://black-wallet.ru/css/add_text.php?data="[victim data]"
xxxxs://en.bitcoin.it/wiki/Help:FAQ
contact_here_me@india.com
frogobigens@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ для файла 1-й версии >>
VirusTotal анализ для файла 2-й версии >>
Другой анализ >>

Обновление от 15 марта 2017:
Версия: 2-я
Файл: doc.exe
Фальш-имя: Host Process for Windows Services
Новый Email: frogobigens@india.com (ране был замечен в Globe и AES-NI)
Результаты анализов: VT

Обновление от 5 мая 2017:
Пост в Твиттере >> 
Расширение: .encrypted.decrypter_here@freemail.hu.enjey

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Файлы можно дешифровать!
Обращайтесь к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Enjey Crypter)
 Write-up (add. March 14, 2017)
 *

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Karsten Hahn
 Mihay Ice

© Amigo-A (Andrew Ivanov): All blog articles.

Kaenlupuf

Kaenlupuf Ransomware

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Оригинальное название получено путём сложения: Kaenlupuf = KAsi ENkrip LU PUnya File. В записке: K.A.E.N.L.U.P.U.F M.E.M.P.E.R.S.E.M.B.A.H.K.A.N и Kaenlupuf Ransomware v1.0b.
Фальш-имя: Microsoft Network Realtime Inspection Service. Фальш-копирайт: Microsoft Windows Operating System. Разработан в Малайзии. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Изображение дракона в ресурсе вымогателя

Этот образец крипто-вымогателя обнаружен в марте 2017 г. Известен с января 2017. Ориентирован на малайских пользователей, что не мешает распространять его по всему миру. Пока в разработке. 

Записки с требованием выкупа называются: kaenlupuf-note.

Содержание записки о выкупе:
NOTE UNTUK ANDA - WAJIB BACA
Pertama sekali kami mengucapkan tahniah kepada anda kerana terpilih menjadi antara sebahagian yang berjaya melindungi fail-fail daripada ancaman luaran.
Kami amat mamahami anda memerlukan fail fail tersebut dengan segera. Dengan itu kami memperkenalkan pakej istimewa dengan harga mampu milik iaitu serendah 1 Bitcoin sahaja.
Terkejut dengan tawaran kami? Jadi apa tunggu lagi, daftar bitcoin anda sekarang untuk mendapat lebih nilai disamping fail-fail penting anda.
Lebih lama anda tunggu nilai akan semakin meningkat. Fail-fail anda telah dilindungi dengan algoritma RSA-2048 bit. Sangat selamat dan menarik bukan?

DAPATKAN SEMULA FAIL SAYA!
Untuk mendapatkan semula fail-fail anda, ikuti langkah berikut dengan cermat:
1. Daftar akaun Bitcoin wallet anda di URL berikut:
https://blockchain.info/wallet/
2. Guna alamat bitcoin kami untuk memindahkan kredit anda:
173MLPGRWdc6z91gQXBCHYVTkqTR9tMABb
3. Jumlah bayaran ialah seperti berikut:
1 BTC
4. Pastikan anda memaklumkan ID anda ketika membuat transaksi.
TOKEN ID ANDA 

Перевод записки на русский язык (перевод автора блога):
ВАЖНО ДЛЯ ВАС -  ПРОЧТИТЕ
Прежде всего, мы поздравляем вас с тем, что вы выбрали одну из наилучших защит файлов от внешних угроз.
Мы понимаем, что вам файлы нужны немедленно. Мы предоставим специальный пакет по доступной цене всего лишь за 1 биткойн.
Удивлены нашим предложением? Так чего же вы ждете, регистрируйте свой биткойн сейчас, чтобы получить ценное дополнение к вашим важным файлам.
Чем дольше вы будете ждать, тем больше будет сумма. Ваши файлы защищены алгоритмом RSA-2048. Очень хорошо и интересно, не правда ли?

ВЕРНУТЬ МОИ ФАЙЛЫ!
Чтобы вернуть ваши файлы, выполните следующие действия:
1. Зарегистрируйте свою учетную запись в биткойн-кошельке по следующему URL-адресу:
Https://blockchain.info/wallet/
2. Используйте наш биткойн-адрес для перевода оплаты:
173MLPGRWdc6z91gQXBCHYVTkqTR9tMABb
3. Сумма платежа следующая:
1 BTC
4. Обязательно сообщите свой ID при совершении транзакции.
ВАШ ТОКЕН ID

Также имеется другой текст, где приглашаются новые участники вступить в закрытую группу KAENLUPUF. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
netsvc.exe
ajaw-rsa.exe
kaenlupuf-note

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://asuk.xmaya.my/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Kaenlupuf)
 Write-up, Topic
 *

 Thanks: 
 Jiri Kropac‏
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoJacky

CryptoJacky Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 250 Евро в биткоинах, чтобы вернуть файлы. Оригинальное название: CryptoJacky v2.0. Позже добавлена версия 3.0. Разработчик: paulej. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Шифрует только файлы с расширением .xxx, добавляя затем к ним расширение .aes. 

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются:
ransom-instructions.lnk - записка о выкупе (1);
ransom-information.lnk - записка о выкупе (2);
ransom-payment.url - ссылка на сайт оплаты. 

Скриншоты 2-й и 3-й версий (скриншот 3-й версии справа)

Содержание записок о выкупе:
(1) rescate de archivos-instrucciones
Para comprar la contraseña haga click en el ícono "ransom-payment". Una vez abierto el link seleccione arriba del cuadro "list" y luego en la columna de la izquierda la opción con la que va a pagar, en la derecha seleccione bitcoins. Cliquee "Find the best rate". Vaya a alguno de los sitios que aparecerán a la derecha y compre EUR 250 de bitcoins a la siguiente dirección (con click dere- cho y luego pegar será ingresada donde quiera): lH7YGm35zVJWU4GrqZ2nq4kDvXNfkwfhxd
Una vez hecho el pago hágamelo saber enviandome un correo a la siguiente dirección: ransom_ph@mail2noble.com
Siendo así, le será enviada la contraseña.
Haga click en "ransom of files" e ingrésela.-

(2) rescate de archivos-informacíon
Ransom_ph! ha detectado actividad inmoral en sus hábitos online y/o en su equi- po, siendo así me he visto en la obligación de retener sus archivos personales. Si usted desea comprar la contraseña para recuperar el control de los mismos, sirva- se seguir las intrucciones cliqueando en el archivo "ransom-instructions" que se- rá creado en el escritorio para tal fin. Nota: son tres íconos los que se crearán, si alguno no apareciera, por favor haga click con el botón derecho del mousey seguidamente en actualizar.

Перевод записки на русский язык:
(1) спасение файлов - инструкции

Чтобы купить пароль, нажмите на значок "ransom-payment". После открытия окна выше выберите ссылку "list", а затем в левой колонке вариант, которым будете платить, справа выберите Bitcoins. Нажмите кнопку "Find the best rate". Перейдите на любой из сайтов, которые появятся справа и купить EUR 250 Bitcoins по следующему адресу (скопируйте правой кнопкой мыши, а затем вставьте туда): lH7YGm35zVJWU4GrqZ2nq4kDvXNfkwfhxd
После оплаты, дайте мне знать, отправив мне письмо на следующему email-адрес: ransom_ph@mail2noble.com
В таком случае, вам будет выслан пароль.
Нажмите на "ransom of files" и введите его. -

(2) спасение файлов - информация
Ransom_ph! была обнаружена аморальным активность в ваших онлайн-привычках и / или на вашем компьютере, потому я был вынужден заблокировать ваши личные файлы. Если вы хотите купить пароль, чтобы восстановить контроль над ними, пожалуйста, следуйте инструкциям, нажав на значок "ransom-instructions", который будет создан для этой цели на рабочем столе. Примечание: Будут созданы три значка, если они не появились, пожалуйста, нажмите правую кнопку мышки, затем выберите "Обновить".

Пока находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для шифрования использует утилиту aescrypt.exe. 

Список файловых расширений, подвергающихся шифрованию:
в версии 2.0 только файлы .xxx
в версии 3.0  файлы: .7z, .accdb, .avi, .bak, .bmp,.doc, .docx, .flv, .gif, .jpg, .mdb, .mid, .mov, .mp3, .mp4, .mpg, .pdf, .png, .pps, .ppt, .pptx, .rar, .rm, .rtf, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .zip, .zipx (33 расширения). 

Файлы, связанные с этим Ransomware:
cryptoJacky-setup.exe
cryptojacky.exe
aescrypt.exe
run.exe
ransom-information.lnk
ransom-instructions.lnk
ransom-payment.url
ransomware-c.exe
ransomware-d.cmd
<random>.exe
<random>.vbs
<random>.tmp
<random>.bat
<random>.scr
и другие. см. ниже. 

Расположения: 
\Desktop\ransom-payment.url
%APPDATA%\r_tool\
%APPDATA%\r_tool\aescrypt.exe
%APPDATA%\r_tool\cts-input.vbs
%APPDATA%\r_tool\cts-input_error.vbs
%APPDATA%\r_tool\file_extensions.txt
%APPDATA%\r_tool\ransom-information.vbs
%APPDATA%\r_tool\ransom-instructions.vbs 
%APPDATA%\r_tool\ransom-thanks.vbs
%APPDATA%\r_tool\ransomware-c.exe
%APPDATA%\r_tool\ransomware-d.cmd
%APPDATA%\r_tool\Uninstall.exe
%APPDATA%\r_tool\fake-message.vbs
%APPDATA%\r_tool\rescue-of-files.exe
%APPDATA%\r_tool\rescue-thanks.vbs
%APPDATA%\r_tool\run.exe
%APPDATA%\r_tool\ms-windows_update.exe
%APPDATA%\r_tool\file_extensions.txt
и другие (см. гибридный анализ). 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.bestchange.com
ransom_ph@mail2noble.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ версия 2.0 >>
VirusTotal анализ версия 3.0 >>
Malwr анализ >>

Обновление от 29 марта 2017:
Версия: 3.0. Распространяется под видом фальшивых инсталляторов. 
Файлы: Windows_10_Firewall_Control.exe, HHD_Software_Hex_Editor_Neo_Ultimate_Edition_6.22.00.exe и пр. 
Скриншот: (см. выше, рядом со скриншотами предыдущей версии). 
Фальш-копирайт: Microsoft Corporation
Список файловых расширений: .7z, .accdb, .avi, .bak, .bmp,.doc, .docx, .flv, .gif, .jpg, .mdb, .mid, .mov, .mp3, .mp4, .mpg, .pdf, .png, .pps, .ppt, .pptx, .rar, .rm, .rtf, .sql, .txt, .wav, .wma, .wmv, .xls, .xlsx, .zip, .zipx (33 расширения). 

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoJacky)
 Write-up, Topic
 *

 Thanks: 
 Jiri Kropac
 Michael Gillespie
 0x4574N4
 Karsten Hahn

© Amigo-A (Andrew Ivanov): All blog articles.

Lock2017

Lock2017 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение по шаблону:
[file_name.file_ext].id-[UserID]__contact_me_lock2017@protonmail.com_or_lock2017@unseen.is
или
[file_name.file_ext].id-[UserID]__contact_me_[ransom_email]

Зашифрованный файл будет иметь вид:
Scan001.jpg.id-3487664600__contact_me_lock2017@protonmail.com_or_lock2017@unseen.is

Активность этого крипто-вымогателя пришлась на конец февраля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: README.TXT

Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files? 
All of your files protected by a strong encryption with RSA-2048. More information about the encryption keys using RSA-2048 can be found here: https://en.wikipedia.org/wiki/RSA_(cryptosystem)  
How did this happen? 
!!! Specially for your PC was generated personal RSA-2048 KEY, both public and private. 
!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet. 
!!! Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our Secret Server.
What do I do ? 
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start send email now for more specific instructions! , and restore your data easy way. If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.  For more specific instructions: 
Contact us by email only, send us an email along with your ID number and wait for further instructions. Our specialist will contact you within 24 hours.
For you to be sure, that we can decrypt your files - you can send us a single encrypted file and we will send you back it in a decrypted form. This will be your guarantee.
Please do not waste your time! You have 72 hours only! After that The Main Server will double your price! So right now You have a chance to buy your individual private SoftWare with a low price!
Please contact me by e-mail: 
lock2017@unseen.is or lock2017@protonmail.com 
UserID: id-3487664600

Перевод записки на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com
Что случилось с файлами? 
Все ваши файлы защищены сильным шифрованием с RSA-2048. Подробную информацию о ключах шифрования с использованием RSA-2048 можно найти здесь: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Как это произошло?
!!! Специально для вашего ПК был создан личный ключ RSA-2048, открытый и закрытый.
!!! Все ваши файлы были зашифрованы с открытым ключом, который передан на компьютер через Интернет.
!!! Дешифровать файлы можно только с закрытым ключом и программой дешифровки, которые на нашем секретном сервере.
Что мне делать?
Есть два способа, которые можете выбрать: ждать чуда и удвоить цену или отправить email для получения конкретных инструкций! и восстановить данные легким путём. Если у вас есть ценные данные, то лучше не тратить время, т.к. нет иного способа вернуть ваши файлы, кроме заплатить. 
Подробные инструкции:
Свяжитесь с нами только по email, пришлите в письме ваш ID и ждите дальнейших указаний. Наш специалист свяжется с вами в течение 24 часов.
Для вашей уверенности мы можем расшифровать ваши файлы - отправьте нам один зашифрованный файл, и мы вышлем вам его расшифрованным. Это будет ваша гарантия.
Пожалуйста, не тратьте свое время! У вас только 72 часа! После этого главный сервер удвоит цену! Потому сейчас вы можете купить ваш личный частный софт по низкой цене!
Свяжитесь со мной по email:
lock2017@unseen.is или lock2017@protonmail.com
UserID: ID-3487664600

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.TXT
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Topic on BC (Тема помощи)
 ID Ransomware (ID as Lock2017)
 Write-up
 *

 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.