LK Encryption

LK Encryption Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название: LK Encryption. Другое указано на файле: EncryptTest. Фальш-копирайт: Microsoft 2017.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Hidden Tear >> LK Encryption

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
READ_IT.txt
HELLO_FROM_HACKER.txt

Содержание записки о выкупе:
Files has been encrypted with LK Encrypter
Send me something makes me happy to decrypt your files
Don't worry, this is just a test. Here is the password for decryptor:
xxxx://test.langkhach.org:7443/api/encrypt/

Перевод записки на русский язык:
Файлы были зашифрованы LK Encrypter
Отправь что меня порадует для расшифровки твоих файлов
Не волнуйся, это всего лишь тест. Вот пароль для декриптора:
xxxx://test.langkhach.org:7443/api/encrypt/

Пока тестовая версия, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
HELLO_FROM_HACKER.txt
password.txt
Encrypt.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam‏ 
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DarkLocker

DarkLocker Ransomware

Monument Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,15 - 0,20 биткоинов, чтобы вернуть файлы. Оригинальное название. Другое название Monument, а на файле указано RTInstaller. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных и испаноязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа выступает экран блокировки. 

В правой части экрана надпись "NSFW image here" закрывает изображение неприличного содержания. Дословно аббревиатура NSFW означает "Not Safe For Work" (Небезопасно для работы), проще говоря, там порнокартинка.  

Содержание текста  о выкупе:
STOP WATCHING PORN! YOUR FILES ARE ENCRYPTED! READ THE INSTRUCTIONS. 
PARE DE VER PORNOGRAFIA. SUS ARCHIVOS ESTAN ENCRIPTADOS. LEE LAS INSTRUCCIONES
En espanol mas abajo:
Your Files Have Been Encrypted and Your Computer Has Been Locked. You must pay .15 Bitcoins within 24 hours or .20 Bitcoins after 24 hours.
Your Bitcoin Payment address is: 1P67AghL2mNLbgxLM 19oJYXgsJxyLfcYiz
After 48 hours all the files and the operating system on your computer will be erased if you have not paid.
Once the payment is received your files will be unlocked and everything will return to normal. The virus will delete itself and not return.
The computer will recognize the payment within 10 minutes and unlock your files or you can click the unlock button to do it faster.
The virus will delete 1 to 5 files at random every hour until you pay or it will delete everything in 48 hours.
If you do not have Bitcoins visit www.LocalBitcoins.com or find a Bitcoin ATM at www.CoinAtmRadar.com
If you use local Bitcoins you can find local Bitcoin sellers that will meet you or offer bank deposit payments.
If there are no local sellers search for Western Union and MoneyGram sellers.
Place the offer to put your coins in Escrow and follow their payment instructions.
Once they receive payment they will release the coins to you.
Then send the coins to your payment address:
1P67AghL2mNLbgxLM 19oJYXgsJxyLfcYiz
so your computer and files can be unlocked. 
//////////
Se han cifrado los archivos y se ha bloqueado el equipo.
Debe pagar .15 Bitcoins en 24 horas o .20 Bitcoins despues de 24 horas.
Su dirección de pago de Bitcoin es 1P67AghL2mNLbgxLM19oJYXgsJxyLfcYiz
Despues de 48 horas todos los archivos y el sistema operativo en su computadora serán borrados si usted no ha pagado.
Una vez que el pago se recibe sus archivos se desbloquearan y todo volverá a la normalidad.
El virus se borrara y no volverá. La computadora reconocerá el pago dentro de 10 minutos y desbloqueara sus archivos.
O puede hacer dic en el boton de desbloqueo para hacerlo mas rápido.
El virus borrara de 1 a 5 archivos al azar cada hora hasta que pague o eliminara todo en 48 horas.
Si no tiene Bitcoins visite vyww.LocalBitcoins.com o encuentre un cajero automático de Bitcoin en www CoinAtmRadar.com
Si utiliza Bitcoins local, puede encontrar vendedores locales de Bitcoin que le atenderan o ofrecerán pagos de deposito bancarío...
-----
You have not paid. Your computer and files will remain locked. You send send payment to the address above No has pagado. El equipo y los archivos
permanecerán bloqueados Hasta que usted envíe el pago a la dirección arriba.

Перевод текста на русский язык:
ПЕРЕСТАНЬТЕ СМОТРЕТЬ ПОРНО! ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! ЧИТАЙТЕ ИНСТРУКЦИИ.
Ваши файлы были зашифрованы, а ваш компьютер заблокирован. Вы должны заплатить 0.15 биткоинов за 24 часа или 0.20 биткойнов через 24 часа.
Ваш биткойн-адрес для оплаты: 1P67AghL2mNLbgxLM 19oJYXgsJxyLfcYiz
Через 48 часов все файлы и операционная система на вашем компьютере будут удалены, если вы не заплатили.
Как только платеж будет получен, ваши файлы будут разблокированы, и все вернется к норме. Вирус удалит себя и не вернется.
Компьютер распознает платеж в течение 10 минут и разблокирует ваши файлы, или вы можете нажать кнопку разблокировки, чтобы сделать это быстрее.
Вирус удаляет от 1 до 5 файлов наугад каждый час, пока вы не заплатите, или он удалит все за 48 часов.
Если у вас нет биткоинов, посетите www.LocalBitcoins.com или найдите биткойн-банкомат на сайте www.CoinAtmRadar.com
Если вы используете локальные биткоины, вы можете найти местных продавцов биткоинов, которые будут вам предлагать банковские депозитные платежи.
Если местные продавцы не ищут продавцов Western Union и MoneyGram.
Разместите оферту, чтобы положить ваши монеты в Escrow и следовать их платежным инструкциям.
Как только они получат оплату, они выпустят вам монеты.
Затем отправьте монеты на свой платежный адрес:
1P67AghL2mNLbgxLM 19oJYXgsJxyLfcYiz
После этого ваш компьютер и файлы могут быть разблокированы.
-----
Вы не заплатили. Ваш компьютер и файлы останутся заблокированными. Отправьте платеж по указанному выше адресу. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
can.exe
winlk.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Руководство для пострадавшего

Первые шаги после атаки шифровальщика

Руководство для пострадавшего от вымогателей

   Атаки шифровальщиков являются уникальными во многих отношениях. При этом многие экстренные меры, которые обычно хороши при работе с заражением ПК другими вредоносными программами, могут ухудшить ситуацию при работе с крипто-вымогателями. Пожалуйста, изучите следующие шаги как руководство для пострадавшего при заражении ПК крипто-вымогательской инфекцией.

1. Самостоятельно не удаляйте файлы вымогательской инфекции!
Пострадавшие стремятся сразу удалить инфекцию. В данном случае это неправильно. В большинстве случаев требуется сначала найти исполняемый файл крипто-вымогателя, чтобы выяснить какой шифровальщик зашифровал файлы. Изучение вашего случая будет невозможно, если вы удалили инфекцию и не можете предоставить файлы для её изучения. Правильным решением считается отключение запуска инфекции с корректировкой её записи в Автозагрузке системы, создание дампа памяти процесса вредоноса и нейтрализация инфекции. В этих случаях важно не очищать карантин антивируса и не удалять вредоносные файлы без запаковки их резервных копий в архив с паролем. 

2. Немедленно отключите программы оптимизации и очистки!
Многие вымогатели хранят необходимые файлы в папке для временных файлов. Если вы обычно используете утилиты очистки и оптимизации, такие как CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk, Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic и пр., то сразу после атаки шифровальщика не используйте эти инструменты и убедитесь в отсутствии их автоматических задач, выполняемых по расписанию. Иначе эти приложения могут удалить из вашей системы файлы шифровальщика, которые нужны для изучения инфекции и восстановления данных. После решения проблемы с зашифрованными файлами можно возобновить работу этих программ.

3. Создайте резервную копию ваших зашифрованных файлов!
Некоторые крипто-вымогатели скрывают свои временные файлы и "полезные нагрузки", которые будут удалять и затирать зашифрованные файлы через определенные промежутки времени. Дешифровщики от вымогателей также не могут быть абсолютно точны, т.к. крипто-вымогатели часто обновляются своими создателями, имеют недостатки в работе и могут повредить файлы в процессе дешифровки. В таких случаях зашифрованная резервная копия может оказаться лучше, чем отсутствие резервного копирования всех файлов. Поэтому мы настоятельно рекомендуем вам создать резервную копию ваших зашифрованных файлов прежде, чем пробовать дешифровку или ещё что-то предпринять.

4. Выясните и закройте точку входа на пострадавший сервер!
Происходит довольно много компрометаций серверов. Обычно для этого используется брут-форсинг паролей пользователей через RDP (Удаленный рабочий стол). Рекомендуем вам проверить журналы событий на наличие большого числа попыток входа в систему. Если обнаружите в журнале событий такие или даже пустые записи, то ваш сервер точно был взломан с помощью RDP. Немедленно измените все пароли учётных записей пользователей. Отключите RDP или же смените порт. Проверьте все учётные записи на сервере, чтобы убедиться, что злоумышленники не создают какие-то теневые аккаунты, которые позволят им позже вновь провести атаку и получить доступ к системе.

5. Выясните, какой шифровальщик атаковал ваш ПК!
Очень важно определить каким шифровальщиком был атакован компьютер. Для этого будет полезен этот сайт "Шифровальщики-вымогатели", где ежедневно описываются на русском языке все актуальные и обнаруженные крипто-вымогатели, и мультиязычный онлайн-сервис ID Ransomware, который позволяет загрузить записку о выкупе и зашифрованный файл для идентификации отдельных шифровальщиков и целых семейств. По результатам идентификации сервис выдаёт ссылку на сайт поддержки пострадавших или на сайт с готовым дешифровщиком. Таким образом, получив необходимую информацию, вы сможете ускорить процесс возвращения своих файлов.

6. Поищите и сохраните исполняемые файлы вредоноса
Очень важно для ваших зашифрованных файлов найти исполняемые файлы вредоноса. Для этого будет полезна моя краткая статья "Где прячутся вредоносы". Предварительно включите показ скрытых файлов и папок. Затем просмотрите все эти директории и, найдя в них exe, js, vbs и прочие подозрительные файлы, заархивируйте их в разные архивы с паролями "virus". Но ни в коем случае НЕ ЗАПУСКАЙТЕ ЭТИ ФАЙЛЫ, чтобы посмотреть, что это такое!!! Собранные файлы желательно предоставить для изучения специалистам. Я рекомендую для этого специальную форму для отправки вредоносов на сайте BleepingComputer. Перевод этой формы на русский язык вам в помощь. 

7. Не удаляйте все записки о выкупе, чтобы вам не советовали!!! 
Оставьте хотя бы одну, если все они одинаковые и содержат один и тот же ID, ключ или что-то ещё. Если попадутся записки с разным текстом о выкупе или с разными ID (набор цифр и букв), то скопируйте все разные файлы записок, не поленитесь, это в ваших же интересах. Если записки различаются друг от друга хоть чем-то, не перемещайте их из тех папок, где они находятся. Довольно часто встречается двойное или многоразовое шифрование, либо для шифрования используются онлайн- или оффлайн-ключи. Также шифровальщики могут друг за другом зашифровать файлы. В результате чего на один дешифруемый файл накладывается подобное или совершенно другое шифрование, а файл становится потерянным навсегда. Будьте внимательны и благоразумны! 

⛳ Если какой-то из этих пунктов вызывает у вас трудности, пожалуйста, не стесняйтесь попросить о помощи. Наша помощь оказывается без каких-то условий и является бесплатной для читателей и подписчиков. Используйте форму обратной связи (см. ниже этой статьи). 

Вам могут быть полезны статьи: 
"Комплекс мероприятий для защиты от Ransomware"
"Бесплатные программы и майнинг криптовалюты".
"Актуальная защита персонального компьютера"

Что делать дальше? 

Рекомендую сначала свериться с моим списком дешифровщиков и при удачной находке, ознакомившись до начала дешифрования с "Общими рекомендациями" (на втором сайте), попробовать дешифровать несколько файлов, предварительно прочитав инструкции по использованию конкретного дешифровщика. Это важно, потому что могут быть различия на начальном этапе. 

Если вы идентифицировали крипто-вымогателя (шифровальщика) с помощью этого сайта или сервиса ID Ransomware, то вы можете ещё выбрать, где получить бесплатную или даже платную помощь, если бесплатная невозможна:

1) форум бесплатной помощи и дешифровки на сайте BleepingComputer (о нём рассказано выше).

2) форум бесплатной помощи и дешифровки на сайте Emsisoft;
Эти форумы на английском языке. Google-переводчик вам в помощь.

3) KasperskyClub - форум бесплатной помощи после атаки шифровальщиков. Форум на русском языке. Администрация строгая, но хелперы опытные.

4) форум Dr.Web и служба платной помощи после атаки шифровальщиков.
а) запрос на английском языке; б) запрос на русском языке;

5) обращение к Emmanuel_ADC-Soft, партнёру Dr.Web или ко мне, через форму обратной связи (см. ниже этой статьи).

!!! Обязательно сообщите хелперам название идентифицированного здесь крипто-вымогателя (шифровальщика). Сохраните и передайте им записку о выкупе. 
!!! ВНИМАНИЕ, если вы обратились за помощью на один из этих форумов, то терпеливо ждите ответа и результатов анализа, не покидайте форум и не переставляйте систему. Это в ваших интересах. Подробности в начале этой статьи. 

*| По моим данным, среди русскоязычных форумов по оказанию бесплатной помощи мало достойных этого списка. Никого не хочу обидеть, но пользователи сообщают мне, что на других форумах им грубят, удаляют их сообщения, блокируют аккаунты без объяснения причин, в том числе грубят некоторые представители администрации. Мы с помощниками провели проверки и факты произвола подтвердились. По факту такую "помощь" и помощью назвать нельзя. Можно было бы назвать эти форумы и этих людей, но оказалось, что многие небезгрешны... Всё же многое зависит от вас, дорогие пользователи, как говорится, "в чужой монастырь со своим уставом не ходят". 

У вас есть достойные кандидатуры российских сайтов по оказанию помощи и дешифровке? 
Присылайте нам свои предложения и ссылки, рассмотрим варианты. 
Добавляйте в комментарии или форму обратной связи. Мы проверим. 
Если вам не по нраву обращение на любые форумы, выбирайте выше 5 пункт. 

----

В благодарность за статью вы можете сделать перевод на любую сумму на карту Сбербанка России. 

-----

 Read to links: 
 First steps when dealing with Ransomware (копия)
 Ransomware Help & Tech Support (BleepingComputer)
 Help, my files are encrypted! (ex-forum Emsisoft)
 Identify Ransomware, List of Crypto-Ransomware

 Ссылки для чтения: 
 Первые шаги после атаки Ransomware (копия)
 Помощь и техподдержка пострадавших (BleepingComputer)
 ID Ransomware, Список шифровальщиков-вымогателей

 Thanks: 
 Fabian Wosar, David Biggar (Emsisoft)
 Lawrence Abrams (BleepingComputer)
 Michael Gillespie (ID Ransomware)

© Amigo-A (Andrew Ivanov): All blog articles.

Meteoritan

Meteoritan Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать сколько заплатить и как вернуть файлы. Оригинальное название. Разработчик: windo из Польши. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Meteoritan > Locker-Pay

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
where_are_your_files.txt
readme_your_files_have_been_encrypted.txt
Различаются по названию, но имеют идентичное содержание. 

 

Содержание записок о выкупе:
ATTENTION! ATTENTION! You have been victim of METEORITAN RAMSOMWARE!
Your documents, photos, databases and other important files have been encrypted by RSA-4096 alghorythm generated by your computer, if you want to restore your files, you must get a decryption key.
How can I get decrypt key?
1. Send E-Mail to meteoritan6570@yandex.ru with your ID. Your ID is in METEORITAN.POLAND file, open in Notepad.
2. Get Bitcoins. Bitcoin is a cryptovalute, which can pay. Use these sites: coinbase.com, btc.com, bitgo.com, strongcoin.com
3. In e-mail turning, we get a value of your key. Pay it.
4. In 24 hours you get an decrypt key. If you don't see e-mail, check spam catalogue.
5. Run aplication and enter your key.
METEORITAN RAMSOMWARE

Перевод записок на русский язык:
ВНИМАНИЕ! ВНИМАНИЕ! Вы стали жертвой METEORITAN RAMSOMWARE!
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с алгоритмом RSA-4096, созданным вашим компьютером, если хотите вернуть ваши файлы, вы должны получить ключ дешифрования.
Как получить ключ дешифрования?
1. Отправить E-Mail на meteoritan6570@yandex.ru с вашим ID. Ваш ID находится в файле METEORITAN.POLAND, откройте в Блокноте.
2. Получить биткоины. Bitcoin - это криптовалюта, которой можно платить. С помощью этих сайтов: coinbase.com, btc.com, bitgo.com, strongcoin.com
3. В email мы получаем значение ключа. Заплатите за это.
4. В 24 часа вы получите ключ дешифрования. Если вы не видите email, проверьте папку Спам.
5. Запустите и введите ваш ключ.
METEORITAN RAMSOMWARE

Записки с требованием выкупа дополняются двумя файлами METEORITAN.POLAND и METEORITAN.RAMSOM. Первый содержит ID, а второй - ключ дешифрования. 

Крипто-вымогатель еще запускает выступает экран, имитирующий административное извещение (красные буквы на чёрном фоне). 

 

Содержание главным образом повторяет текстовые записки, но содержит интересную фразу:

Send E-Mail to meteoritan6570@yandex.ru with your ID. Your ID is in METEORITAN.POLAND file. Open in Notepad.

Перевод на русский:
Отправьте email на meteoritan6570@yandex.ru с вашим ID. Ваш ID в файле METEORITAN.POLAND. Открыть в Блокноте. 

Текстовая записка и это извещение запускаются командой:

%WINDIR%\system32\cmd.exe /c start where_are_your_files.txt

%WINDIR%\system32\cmd.exe /c title METEORITAN RAMSOMWARE - YOUR FILES HAVE BEEN ENCRYPTED!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся фейк-шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ramsomware.exe
where_are_your_files.txt
readme_your_files_have_been_encrypted.txt
METEORITAN.POLAND -  файл содержит ID;
METEORITAN.RAMSOM - файл содержит ключ дешифрования. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:

GLOBAL__sub_I_locale_inst.cc

GLOBAL__sub_I_wlocale_inst.cc

yandex.ru

bad_alloc.cc

bad_array_length.cc

bad_array_new.cc

bad_cast.cc

bad_typeid.cc

basic_file.cc

c++locale.cc

class_type_info.cc

codecvt.cc

codecvt_members.cc

coinbase.com, btc.com, bitgo.com, strongcoin.com

collate_members.cc

compatibility.cc

и другие, см. ниже результаты анализов.

Email: meteoritan6570@yandex.ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Meteoritan)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AngleWare

AngleWare Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,2 биткоинов, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> MafiaWare > AngleWare

К зашифрованным файлам добавляется расширение .AngleWare

Активность этого крипто-вымогателя пришлась на начало марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ_ME.txt

Содержание записки о выкупе:
Your files has been encrypted by AngleWare
Pay 3BTC to my bitcoin address 1NEcE8ffNZqAucBtp42a5YXMMUSLY7YfEP
And send the proof to my email angledarknet@gmail.com

Перевод записки на русский язык:
Твои файлы были зашифрованы AngleWare
Плати 3BTC на мой bitcoin-адрес 1NEcE8ffNZqAucBtp42a5YXMMUSLY7YfEP
И пришли пруф на мой email angledarknet@gmail.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
AngleWare.exe
READ_ME.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: angledarknet@gmail.com
BTC: 1NEcE8ffNZqAucBtp42a5YXMMUSLY7YfEP
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Zorro

Zorro Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Оригинальное название. Фальш-имя: Microscoft. Среда разработки: Visual Studio 2015. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .zorro

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
Take_Seriously (Your saving grace).txt

Содержание записки о выкупе:
IMPORTANT NOTICE THAT IS URGENT AND TRUE
DEAR Sir/Ma,
Sorry to inform you but your files has just been encrypted with a strong key. This simply means that you will not be able to use your files until it is decrypted by the same key used in encryping it.
To get the Key, you have to make a payment to us so as to recover your files.
You have the grace of 3 days from now to pay the sum of 1 btc to the bitcoin address below:
BITCOIN ADDRESS:=>> 19DbpPPahyjvupryKZerpwz2LG57jqYcgC
Today has just begun the count-down of the payment before your files become unusable and entirely useless.
SO, my advice to you is to pay up the amount to the bitcoin address above. Pay 1 BTC.
NOTE:
Bitcoin doesn't need a bank account - your bitcoin wallet is your bank account, and you don't need any permission or paperwork to start using bitcoin.
GOTO https://localbitcoins.com/ to change cash to bitcoins and vice versa, you don’t need any kind of bank account at all. 
When payment is made, a decrypting software with the embedded strong key used in encrypting your files will be emailed to you to decrypt your files and start using it again.
ONCE PAYMENT IS MADE THE DECRYPTION PROGRAM WILL BE EMAILED TO YOU SO YOU CAN USE YOUR FILES ONCE AGAIN.

Перевод записки на русский язык:
ВАЖНОЕ ЗАМЕЧАНИЕ, СРОЧНОЕ И ПРАВДИВОЕ
ДОРОГОЙ Сэр / Мадам,
Извините, сообщаю вам, что ваши файлы были зашифрованы сильным ключом. Это значит, что вы не сможете использовать свои файлы, пока не будут расшифрованы ключом, который использовался при его шифровании.
Чтобы получить ключ, вы должны заплатить нам, чтобы восстановить ваши файлы.
У вас есть всего 3 дня, чтобы заплатить сумму в 1 BTC на биткойн-адрес ниже:
Биткоин-адрес: = >> 19DbpPPahyjvupryKZerpwz2LG57jqYcgC
Сегодня начался обратный отсчет платежа, как ваши файлы стали непригодными и совсем бесполезными.
Так что мой вам совет - заплатите сумму на биткойн-адрес выше. Платите 1 BTC.
ЗАМЕТКА:
Биткоин не нуждается в банковском счете - ваш биткойн-кошелек - это ваш банковский счет, и вам не нужно разрешение или документы, чтобы начать использовать биткойн.
Иди https://localbitcoins.com/, чтобы поменять деньги на биткоины и наоборот, вам вообще не нужен какой-либо банковский счет.
Когда оплата будет произведена, вам будет отправлено email с программой дешифрования со встроенным надежным ключом, использовавшимся для шифрования ваших файлов, чтобы расшифровать ваши файлы и начать использовать их снова.
ПОСЛЕ ПРИНЯТИЯ ОПЛАТЫ ПРОГРАММОЙ ДЕШИФРОВАНИЯ ВАМ ПРИДЕТ ПИСЬМО, ЧТО ВЫ МОЖЕТЕ СНОВА ИСПОЛЬЗОВАТЬ ВАШИ ФАЙЛЫ.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.1, .10, .11, .12, .13, .14, .15, .16, .17, .18, .19, .1cd, .2, .20, .3, .3dm, .3Ds, .3fr, .3g2, .3gp, .3pr, .4, .5, .6, .7, .7z, .7zip, .8, .9, .aac, .ab4, .abd, .abh, .acc, .accdb, .accde, .accdr, .accdt, .ach, .aco, .acr, .act, .adb, .adp, .ads, .aes, .aff, .aft, .agdl, .ai, .aiff, .ait, .al, .alv, .aoi, .apj, .apk, .arw, .ascx, .asd, .asf, .asl, .asm, .asp, .aspx, .asset, .asx, .atb, .atn, .aux, .avi, .awg, .ax, .axd, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .big, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .c, .c00, .c01, .c02, .c03, .c04, .c05, .c06, .c07, .c96, .c97, .c99, .cache, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfm, .cfn, .cg, .cgm, .chm, .cib, .Class, .cls, .cmt, .conf, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .csh, .csl, .csproj, .css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbrsb, .dbrush, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn, .dic, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .DTD, .dwg, .dxb, .dxf, .dxg, .eap, .edb, .eml, .eps, .erbsql, .erf, .ESD, .eve, .exf, .fdb, .feed-ms, .feedsdb-ms, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf, .flv, .flvv, .fon, .forge, .fp3, .fp5, .fp5, .fp7, .fp8, .fp9, .fpx, .full, .fxg, .gbk, .gbr, .gho, .gif, .gitattributes, .gitignore, .gray, .grd, .grey, .groups, .gry, .h, .h, .hbk, .hdd, .hdt, .hlp, .hpp, .htm, .html, .ibank, .ibd, .ibz, .ico, .idx, .iif, .iiq, .incpas, .indd, .inf, .inf_loc, .info, .info_, .iros, .irs, .iwi, .ja, .jar, .java, .jnt, .jpe, .jpeg, .JPG, .jpg, .js, .json, .jsonlz4, .jsx, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck, .ldf, .list, .lit, .litemod, .litesql, .little, .lock, .log, .ltx, .lua, .m, .m2ts, .m3u, .m4a, .m4b, .m4p, .m4p, .m4v, .ma, .mab, .manifest, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .meek-http-helper, .mef, .mfw, .mht, .mid, .middle, .mkv, .mlb, .mmw, .mnu, .mny, .money, .moneywell, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msf, .msg, .mshi, .mts, .mui, .myapp, .myd, .nd, .ndd, .ndf, .nef, .New, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .odt, .ogg, .oil, .old, .omg, .one, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p00, .p01, .p02, .p03, .p04, .p05, .p06, .p07, .p12, .p3e, .p3m, .p7b, .p7c, .p7x, .p96, .p97, .p98, .pab, .pages, .pas, .pat, .pat, .pbf, .pbk, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pfx, .php, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm, .pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .PNF, .PNG, .png, .pnx, .pot, .potm, .potx, .ppam, .ppkg, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .pri, .Private, .properties, .ps, .psafe3, .psd, .psd, .pset, .pspimage, .pst, .ptx, .pub, .pwm, .py, .pyc, .pyd, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qdf, .qed, .qtb, .r3d, .raf, .rar, .rat, .raw, .rdb, .re2, .re4, .resources, .resp, .resx, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sbstore, .sd0, .sda, .sdb, .sdf, .setting, .settings, .sh, .shc, .sldm, .sldx, .slm, .sln, .small, .sql, .sqlite - shm, .sqlite - wal, .sqlite, .sqlite3, .sqlitedb, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .suo, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .sys, .tax, .tbb, .tbk, .tbn, .tex, .tff, .tga, .thm, .tif, .tiff, .tlg, .tlx, .tme, .tmp, .tpl, .ttf, .TTF, .txt, .upk, .usr, .vb, .vbox, .vbproj, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .wab, .wad, .wallet, .war, .wav, .wb2, .webm, .wma, .wmdb, .wmf, .wmv, .wpd, .wpl, .wps, .x11, .x3f, .xaml, .xeml, .xis, .xla, .xlam, .xlk, .xlm, .xlmx, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xml, .xpi, .xpi, .xps, .xxx, .ycbcra, .yuv, .zap, .zip (613 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных и специализированных программ и пр.

Файлы, связанные с этим Ransomware:
Take_Seriously (Your saving grace).txt
Zorro.exe
Zorro.ini

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Deepviz анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer, Lawrence Abrams
 Andrew Ivanov, Alex Svirid
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.