Karmen

Karmen Ransomware

(шифровальщик-вымогатель, RaaS)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. Другое указано на файле joise.exe: Helper. Разработчик: DevBitox. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear > Karmen

К зашифрованным файлам добавляется расширение .grt

Активность этого крипто-вымогателя пришлась на середину марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает небольшой экран "Karmen Decrypter" с переключаемой информацией на английском и немецком языках. 

Содержание текста с экрана:
Files encrypted
All files are encrypted! Please follow the mind. In order to get the key to decrypt send this amount to our wallet Bitcoin.
Decrypt files automatically.
Interference with the program - can leave you without files.
DEU |  ENG

Перевод текста на русский язык:
Файлы зашифрованы
Все файлы зашифрованы! Будьте разумны. Для получения ключа дешифрования, отправьте эту сумму на наш биткойн-кошелёк.
Файлы дешифруются автоматически.
Вмешательство в программу - оставит вас без файлов.
НЕМ |  АНГ

Имеется сайт для распространения шифровальщика как RaaS.

Распространяется как RaaS, но может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
joise.exe
karmen.exe
n_karmen.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Karmen)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PetrWrap

PetrWrap Ransomware

(шифровальщик-вымогатель, MBR-модификатор)

Этот крипто-вымогатель генерирует 16-байтный ключ и с помощью поточного шифра Salsa20 шифрует MFT разделов на локальных дисках. Оригинальное название  неизвестно. Название PetrWrap дали исследователи из ЛК. Среда разработки: MS Visual Studio. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Petya > Petya+Misha > GoldenEye > ☠ > PetrWrap

Этот крипто-вымогатель обнаружен в начале марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Для создания работоспособной версии крипто-вымогателя преступная группа, стоящая за PetrWrap, создала специальный модуль, который изменяет зловреда Petya "на лету". Такая особенность делает это вредоносное ПО уникальным.

Экран пострадавшего ПК

После запуска PetrWrap "дремлет" 5400 секунд (1,5 часа), затем расшифровывает основную DLL-библиотеку Petya и готовится вызвать её экспортируемую функцию ZuWQdweafdsg345312. Она обычно подготавливает Petya к дальнейшим операциям и запускает процесс перезаписи MBR. Но PetrWrap перехватывает пару функций Petya и заменяет инструкции для вызова функции DllEntryPoint на инструкции NOP (шестнадцатеричные байты 0x90). Это не позволяет собственно Petya работать самому и даёт возможность PetrWrap выполнить все необходимые вычисления и приготовления, прежде чем разрешить Petya продолжить работу.

Использование собственных криптографических алгоритмом и изменённого кода Petya позволяет преступникам, стоящим за PetrWrap, скрыть факт использования Petya в процессе компрометации системы. 

Разработчикам PetrWrap учли ошибки ранних версий Petya Ransomware и использовали новую 3-ю версию Petya, которая не имеет недостатков тех версий и правильно реализует работу Salsa20, и им не пришлось возиться низкоуровневым кодом загрузчика.

В результате атаки PetrWrap: 
1) ПК жертвы заблокирован и MFT надёжно зашифрована;
2) экране нет мигающего черепа и нет упоминаний о Petya.

PetrWrap используется в целевых атаках на организации. После проникновения в корпоративную сеть используется утилиту PsExec для установки вымогателя на все рабочие станции и серверы предприятия. 

Может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Файлы, связанные с этим Ransomware:
out.exe
out2.exe

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Write-up in Russian
 Write-up in English
 ID Ransomware (n/a)
 * 

 Thanks: 
 Антон Иванов, Федор Синицын
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Project34

Project34 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателей с указанием своего IP-адреса, чтобы узнать сумму выкупа за возврат файлов. Название получил от логина почты вымогателей.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К имени зашифрованных файлов добавляется почта вымогателей project34@india.com.

Активность этого крипто-вымогателя пришлась на начало февраля 2017 г, но и в марте ещё продолжается. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ПАРОЛЬ.txt

Содержание записки о выкупе:
ВАШИ ФАЙЛЫ НАХОДЯТЬСЯ ПОД ПАРОЛЕМ
ЧТОБЫ ПОЛУЧИТЬ ПАРОЛЬ
НАПИШИТЕ НАМ НА project34@india.com
МЫ ОТВЕТИМ ВАМ В ТЕЧЕНИИ 20 ЧАСОВ
В СООБЩЕНИИ УКАЖИТЕ СВОЙ IP АДРЕСС
ЕГО МОЖНО УЗНАТЬ НА 2IP.RU

👾 Опять в тексте записки есть ошибки, которые ни один русский не сделает. Называть их не буду. Желающие их заметят, а неучи нерусские пусть повторяют как мантру. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Файл WindowsUpdate.exe запускает консоль, через неё запускает WinRar и архивирует все файлы в архив с паролем. Кажется, пропускает системные директории. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. файлы, которые принадлежат пользователю. 

Файлы, связанные с этим Ransomware:
ПАРОЛЬ.txt
WindowsUpdate.exe
<random>.exe

Расположение:
%UserProfile%\WindowsUpdate.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
project34@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Projct34)
 Write-up, Topic
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

GG

GG Ransomware

(шифровальщик-вымогатель, eduware)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название, указано в проекте.  Фальш-копирайт: Hewlett-Packard 2016. Среда разработки: Visual Studio 2015. Разработчик: David C (SadFud). Оригинальное название: GG Ransomware. Написан в образовательных целях. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .GG

Образец этого крипто-вымогателя выложен на GitHub 19 августа 2016 года. Пока находится в разработке. Ориентирован на англоязычных пользователей. 

Записки с требованием выкупа называются: ***нет данных***

Содержание текста от разработчика:
Ransomware written in vb.net for eduational purpouses

Перевод текста на русский язык:
Ransomware написан на vb.net для образовательных целей

Технические детали

Находится на GitHub. Сделан для неких надуманных "образовательных целей". Ещё одна "обезьяна с гранатой" (eduware) 🙊💣

После доработки, в том числе злоумышленниками, может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GG ransomware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://github.com/SadFud/GG-Ransomware
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Flotera

Flotera Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в $199, чтобы вернуть файлы. Оригинальное название: Flotera Ransomware. Написано тайскими буквами. Разработчик: KOT-GIGANT, он же Tomasz "Armaged0n" T., польский гражданин, живущий в Бельгии (арестован по прибытии в Польшу в марте 2018). 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Vortex > Flotera

К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на март-апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
!!!-ODZYSKAJ-DANE-!!!.TXT
!!!-ODZYSKAJ-PLIKI-!!!.TXT 

Содержание записки о выкупе:
@@@@@@@@@@
############
Nie możesz znaleźć potrzebnych plików na dysku twardym? Zawartość Twoich plików jest nie do otwarcia?
Jest to skutek działania programu który zaszyfrował większość Twoich danych przy pomocy silnego alogrytmu AES-256 używanego min. przez służby mundurowe do zatajania danych przesyłanych drogą elektroniczną.
Jedyna metoda aby odzyskać Twoje pliki to wykupienie od nas programu deszyfrującego, wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
############
W momencie gdy to czytasz całość jest już ukończona, wytypowane pliki zostały zaszyfrowane a sam wirus usunięty z Twojego komputera.
Klucz składający się z kilkudziesięciu znaków potrzebny do odszyfrowania danych z dysku znajduje się w miejscu dostępnym tylko dla nas!
Możesz w nieskończoność próbować instalacji kolejnych programów antywirusowych, Formatować system operacyjny to jednak nic nie zmieni !
Jeśli nie zastosujesz się do naszych instukcji nie odzyskasz plików które były na dysku HDD.
############
Gdy już postanowisz odzyskać swoje dane wyślij wiadomość pod obydwa adresy e-mail: flotera@2.pl oraz flotera@protonmail.ch
Możesz też napisać na Gadu-Gadu: 62206321
2 Pliki odszyfrujemy za darmo aby udowodnić że jesteśmy w stanie tego dokonać, Za resztę niestety musisz zapłacić !
Cena za odszyfrowanie wszystkich plików: 199$
Uwaga ! Nie marnuj czasu, czas to pieniądz za 4 dni cena wzrośnie o 100 % !
IP=188.138.33.220 
ID=fa463cae-5733-4174-a152-2199ad6XXXXX
Data=30-03-2017 09:14:00

Перевод записки на русский язык:
Не можешь найти нужные файлы на жестком диске? Содержимое файлов не открывается?
Это результат работы программы, которая зашифрована много твоих данных при помощи сильного алгоритма AES-256, используемого силовыми структурами для маскировки передаваемых в электронном виде данных.
Единственный способ восстановить твои файлы — купить у нас программу дешифрования, с помощью одноразового ключа, созданного для тебя!
Во то время, пока читаешь всё уже сделано, выбранные файлы были зашифрованы и вирус удалён с твоего компьютера.
Ключ состоит из нескольких десятков символов, необходимых для расшифровки данных с диска, находится в месте доступном только нам. 
Можешь бесконечно пытаться установить антивирусные программы, форматировать операционную систему, но ничего не изменится! 
Если не будешь следовать нашей инструкции, то не восстановишь файлы, которые были на HDD.
Когда решишь восстановить свои данные свяжись с нами по обоим email-адресам:
flotera@2.pl и flotera@protonmail.ch
Можешь написать на Gadu-Gadu: 622063212
Пару файлов расшифруем даром, чтобы доказать, что мы это можем, за остальные, к сожалению, придется заплатить!
Цена за дешифрование всех файлов: $199 
Внимание!
Не тратьте время, время деньги, через 4 дня цена возрастет на 100%!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3g2, .3gp, .7z, .acc, .amr, .asf, .avi, .bin, .cfg, .cpp, .cs, .css, .der, .doc, .docx, .flv, .gif, .gzip, .html, .java, .js, .mkv, .mov, .mp3, .mp4, .mpg, .ogg, .ogv, .pdf, .ppt, .pptx, .py, .rar, .rb, .rm, .rmvb, .rtf, .swf, .tar, .txt, .vb, .vob, .wav, .wma, .wmv, .xls, .xlsx, .zip (48 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, скрипт-файлы, флеш-файлы, архивы и пр.

Файлы, связанные с этим Ransomware:
MenadzerDzwiekuHD2.exe
pfH.bat
updt.exe
listener22.exe
msdl.exe
!!!-ODZYSKAJ-DANE-!!!.TXT
!!!-ODZYSKAJ-PLIKI-!!!.TXT 

Расположения:
%APPDATA%\Sterowniki\updt.exe
%APPDATA%\Sterowniki\pfH.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://cypis.[cba].pl/1330/MenadzerDzwiekuHD2.exe***
***www.sethcardoza.com (104.31.70.8, США)
***api.ipify.org (23.23.128.123, США)
***aktualizacje.win (104.31.73.223, США)
flotera@2.pl
flotera@protonmail.ch
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Внимание!
Есть возможность дешифровать файлы!
За помощью обращайтесь к Michael Gillespie‏ >> 
*
*

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Vortex)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoMeister

CryptoMeister Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (в режиме CBC), а затем требует выкуп в 0,1 биткоина, чтобы вернуть файлы. Оригинальное название из проекта: CryptoMeister, другое: Ransom Meister. Разработчик: Raphael. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на французскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком Vérrouillé. 

Содержание записки о выкупе:
Vérrouillé
Votre ordinateur à été verrouillé
Tous vos fichiers ont été cryptés. Pour récupérer l'accès à votre PC, vous devez envoyer 0.1 bitcoin à l'adresse ci-dessous
loading
Etape 1 : Allez sur xxxxs://wvw.coinbase.com/siqnup
Etape 2: Créez un compte et suivez les instructions
Etape 3 : Allez dans la section "Acheter des bitcoins" puis achetez bitcoin
Etape 4: Allez dans la partie "Envoyer", entrez l'adresse indiquée ci dessus et le montant (0.1 bitcoin)
Etape 5: Cliquez sur le bouton ci-dessous des que dest fait, vos fichiers seront décryptés et le virus disparaitra
'Vérifier'
Si vous tentez de contourner le verrouillage, tous les fichiers seront publiés sur internet ainsi que vos identifiants pour tous les sites.

Перевод записки на русский язык:
Заблокировано
Ваш компьютер был заблокирован
Все ваши файлы зашифрованы. Чтобы получить доступ к вашему ПК, вам надо отправить на 0,1 Bitcoin на адрес ниже
загрузка
Шаг 1: Перейти на xxxxs://wvw.coinbase.com/siqnup
Шаг 2: Создать учетную запись и следовать инструкциям
Шаг 3: Зайти в раздел "Купить Bitcoins", а затем купить Bitcoin
Шаг 4: Зайти в раздел "Отправить", ввести адрес, указанный выше и сумму (0,1 Bitcoin)
Шаг 5: Нажать на кнопку ниже, что проверить оплату, ваши файлы будут расшифрованы и вирус исчезнет
'Проверить'
При попытке обойти блокировку, все файлы будут опубликованы в Интернете, а также ваш логин для всех сайтов.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Технические детали

Завершает процессы: ProcessHacker, taskmgr, Wireshark, Chrome, firefox
Прописывается в AppData под именем rnsm.exe.
Новое расширение получает со своего C&C-сервера. 

Список файловых расширений, подвергающихся шифрованию:
Шифрует все файлы, без разбора. 
Это, конечно же, документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
rnsm.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 S! Ri 
 BleepingComputer
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

RozaLocker

RozaLocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 10000 рублей с переводом в биткоины, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ReadMe.txt

Содержание записки о выкупе:
ТВОИ ФАЙЛЫ ЗАШИФРОВАНЫ (ДАЖЕ НЕ СМОТРЯ НА ТО, ЧТО ОНИ ЧАСТИЧНО ОТКРЫВАЮТСЯ). У НАС ТВОЙ ЛОГИН И ПАРОЛЬ ОТ ВКОНТАКТЕ, ОДНОКЛАССНИКОВ, ОНЛАЙН-БАНКОВ И ДРУГИЕ.
У ТЕБЯ ЕСТЬ 6 ЧАСОВ ЧТОБЫ ЗАПЛАТИТЬ ВЫКУПИ ЗА НИХ, ИНАЧЕ МЫ ИХ ВЫЛОЖИМ В ОТКРЫТЫЙ ДОСТУП!
ИНСТРУКЦИЯ:
1) Найди 10 000 (10 тысяч) рублей, не меньше. Подойдет следующее -
(Qiwi, Сбербанк, Яндекс.Деньги, Тинькофф Банк, ВТБ, но лучше Qiwi (быстрее)
2) В браузере открой сайт https://x-pay.cc/ - через данный сайт будешь переводить деньги
3) В графе ОТДАЮ выбери откуда будешь переводить (согласно п.1) и выше введи сумму - 10000 руб.
4) В графе ПОЛУЧАЮ выбери Bitcoin и сверху сумма должна автоматически перевестись в btc
5) В графе ВВОД ДАННЫХ заполняешь свои реквизиты откуда будешь платить и куда переводить (кошелёк Bitcoin)
ВНИМАНИЕ-ВНИМАНИЕ, ПРАВИЛЬНО скопируй этот номер кошельку (да, он такой странный)
3FjtFZWjyj46UcfDY4AiUrEv7wLtyzZv5o
После вставки, внимательно, ещё раз проверь правильно ли скопировал.
6) Нажимаешь ПЕРЕЙТИ К ОПЛАТЕ и следуешь дальнейшим инструкция на сайте.
Через пару часов мы тебе напишем на рабочем столе и вернем всё тебе.
Если есть трудности, то тогда пиши на почтовый ящик - aoneder@mail.ru


Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Использует RDP для входа в систему жертвы. 
Проверяет наличие некоторых антивирусов (Baidu, Norton). 
Пытается получить доступ к редким буквам приводов. 
Использует методы анти-виртуализации и анти-отладки. 
Проверяет язык системы, IP-адрес компьютера и пр. 

В коде имеется множество веб-адресов со всего мира.

UAC не обходит, требуется разрешение, если пользователь даст разрешение, то запускается некая "Игровая программа от Саши Рендера", которая делает вид, что ищет содержимое, демонстрируя надпись "ПОИСК".

На самом деле в этот момент выполняется поиск целевых файлов и их шифрование. 

Список файловых расширений, подвергающихся шифрованию:

.a3d, .blend, .dds, .djv, .doc, .docm, .docx, .fb2, .fb3, .jpeg, .jpg, .lwp, .max, .obj, .ods, .odt, .otf, .pdf, .pdn, .pfa, .pfb, .png, .qpf2, .rft, .svg, .sxc, .sxw, .ttc, .ttf, .unity, .xls, .xlsm, .xlsx (33 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы растровых изображений и векторной графики, файлы разработки двух- и трёхмерных приложений и игр, и пр.

Файлы, связанные с этим Ransomware:
Setup.exe
ReadMe.txt
qt_temp.Hp3852
trainer.exe
black.bmp - чёрный фон рабочего стола.

Расположения:
%WINDIR%\qt_temp.Hp3852
%WINDIR%\trainer.exe
C:\ReadMe.txt
C:\Windows\black.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
aoneder@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> + без UPX >>
VirusTotal анализ >> + без UPX >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Roza)
 Video review
 * 

 Thanks: 
 Jiri Kropac‏ 
 GrujaRS
 Thyrex
 Karsten Hahn
 

© Amigo-A (Andrew Ivanov): All blog articles.

GC47

GC47 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в биткоинах (это около 0.0361312 BTC), чтобы вернуть файлы. Оригинальное название. Среда разработки: Visual Studio 2013. Фальш-имя: Microsoft Windows Operating System

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> GC47

К зашифрованным файлам добавляется расширение .Fuck_You

Изображение не принадлежит шифровальщику

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ_IT.txt

Содержание записки о выкупе:
Fuck_You was Encrypt your File,
Send 50 USD BTC Address 14vY5z8fWzCj93YTwbGiLd6ansZNM32kC3
Then meet me,
my email unixc47@gmail.com

Перевод записки на русский язык:
Fuck_You зашифровал ваш файл,
Отправь $50 на BTC-адрес 14vY5z8fWzCj93YTwbGiLd6ansZNM32kC3
Чтобы общаться со мной,
мой email unixc47@gmail.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GC47_Ransomeware.exe
READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
unixc47@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GC47)
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.