PyCL, PolyglotCryptor

PolyglotCryptor Ransomware

PyCL Ransomware

Aliases: Dxh26wam, Fatboy

Fatboy RaaS

(шифровальщик-вымогатель, RaaS) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп от 0,2 до 0,3 биткоинов, чтобы вернуть файлы. Шифровальщик написан на Python, но графический интерфейс написан на Delphi. 

Этимология названия
1) Название Dxh26wam Ransomware в данной моей статье от 26 марта этот шифровальщик получил от его основного exe-файла. См. Hybrid-Analysis. 
2) Название PyCL Ransomware появилось позже в статье Лоуренса Абрамса от 28 марта, т.к. шифровальщик написан на Python и им используется скрипт cl.py. Всё это позволило исследователю назвать его PyCL. Хотя цвет и интерфейс, используемые в этом шифровальщике-вымогателе демонстрируют некоторое сходство с CTB-Locker, но написан он на другом языке, при этом какие-либо сходства в записках о выкупе или в исполняемых файлах отсутствуют. 
3) Появилось собственное название: Fatboy. 
Так как мой блог и сайт ID.Ransomware.RU - это дайджест, то я публикую все названия, которые мне известны, и дополняю сведения по мере из поступления из разных статей и источников. 

© Генеалогия: ✂️ MarsJoke (Polyglot) > PyCL (PolyglotCryptor) 

К зашифрованным файлам добавляется расширение .crypted

✔ Примечательно, что в описанной здесь ранней версии оригинальные файлы не удаляются. Пользователи имеют доступ к своим незашифрованным файлам. Вероятно, это будет исправлено в более новых версиях. 

Ранняя активность этого крипто-вымогателя (или только RaaS) пришлась на конец марта 2017 г. Ориентирован на пользователей разных стран, что помогает распространять его по всему миру. 

Флаги: Нидерланды, Италия, Франция, Германия, Португалия, Испания, Китай, США

Записки с требованием выкупа называются: How_Decrypt_My_Files
Это не сама записка, а ярлык How Decrypt My Files.lnk, который ведёт на файл index.html, скрытый в директории AppData\Roaming\How_Decrypt_My_Files\

Информатором жертвы также выступает экрана блокировки (файл UI.exe) на 8 языках и куче изображений. 

Содержание записки о выкупе:
YOUR PERSONAL FILES ARE ENCRYPTED
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
1. Pay amount BTC (about of USD) to address:
2. Transaction will take about 15-30 minutes to confirm.
Decryption will start automatically. Do not: power off computer, run antivirus program, disable internet connection. Failures during key recovery and file decryption may lead to accidental damage on files.
YOUR FILES WILL BE LOST WITHOUT PAYMENT THROUGH: 3 Days 23 Hours 58 Minutes 04 Seconds

Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Ваши документы, фото, базы данных и другие важные файлы были зашифрованы с самым мощным шифрованием и уникальным ключом, созданным для этого компьютера. Закрытый ключ дешифрования хранится на секретном интернет-сервере, и никто не сможет расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
1. Сумма платежа BTC (около USD) по адресу: ***
2. Для подтверждения транзакции требуется около 15-30 минут.
Расшифровка начнется автоматически. Не делайте следущего: не выключайте компьютер, не запускайте антивирусную программу, не отключайте интернет-соединение. Неудачи при восстановлении ключей и расшифровке файлов могут привести к случайному повреждению файлов.
ВАШИ ФАЙЛЫ БУДУТ ПОТЕРЯНЫ БЕЗ ПЛАТЕЖА ЧЕРЕЗ: 3 дня 23 часа 58 минут 04 секунд

Тексты на английском, итальянском, немецком и испанском языках

  

Скриншоты страниц:
1. TUTORIAL & GUIDES (Учебник и руководства)
2. BUY BITCOINS WITH CREDIT CARD (Оплата биткоинов с кредиток)
3. SEND BITCOINS (Отправка биткоинов)

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов EITest и RIG EK, веб-инжектов, фальшивых обновлений, перепакованных и заражённых NSIS-инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Этот Ransomware распространяется как NSIS-инсталлятор, содержащий пакет Python, используемый для шифрования компьютера и руководства по уплате выкупа. Шифровальщик передает на свой C&C-сервер 170.254.236.102 на каждом этапе работы информацию по отладке и статусу работы. 

Вот список сетевых запросов.
...Issues by NSIS Installer
...On Execution of CL.exe to retrieve key and other info
...Begin generating list of files to encrypt.
...End generating list
...Begin Encrypting Files
...End Encrypting Files
...Check if payment has been made
...Begin Decrypting 
...End Decrypting
...Online tutorial

Теневые копи файлов удаляются командой: 
vssadmin.exe delete shadows /all /quiet

В поисках файлов сканируются все диски и сетевые папки. Dxh26wam шифрует файлы с помощью AES-256 с индивидуальным ключом, все ключи шифруются с RSA-2048. Для каждой жертвы создаётся новый Bitcoin-кошелек для уплаты выкупа. 

Шифровальщик определяет IP-адрес ПК жертвы, страну в которой он относится, а затем использует Big Mac Index для расчёта суммы выкупа. С помощью Big Mac Index определяется паритет покупательной способности (ППС). 

★ Для справки:
Индекс Big Mac основан на теории паритета покупательной способности, по которой валютный курс должен уравнивать стоимость корзины товаров в разных странах (т.е. отношение обменных валютных курсов), но вместо корзины берётся один стандартный бутерброд, выпускаемый компанией McDonald’s.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Список пропускаемых директорий:
WINDIR, APPDATA, LOCALAPPDATA, ProgramData, ProgramFiles, PROGRAMW6432, $RECYCLE.BIN, ProgramFiles(x86)

Файлы, связанные с этим Ransomware:
How_Decrypt_My_Files
dxh26wam.exe и <random>.exe
cl.exe
ui.exe
mklnk.cmd
CreateShortcut.vbs
How Decrypt My Files.lnk
index.html
png- и jpg-файлы с инструкциями
pyd-файлы
html- и txt-файлы

Расположения: 
%AppData%\Roaming\cl\
%AppData%\Roaming\cl\API-MS-Win-Core-LocalRegistry-L1-1-0.dll
%AppData%\Roaming\cl\btc_address.txt
%AppData%\Roaming\cl\btc_price.txt
%AppData%\Roaming\cl\bz2.pyd
%AppData%\Roaming\cl\cl.exe
%AppData%\Roaming\cl\CreateShortcut.vbs
%AppData%\Roaming\cl\Crypto.Cipher._AES.pyd
%AppData%\Roaming\cl\Crypto.Cipher._DES.pyd
%AppData%\Roaming\cl\Crypto.Cipher._DES3.pyd
%AppData%\Roaming\cl\Crypto.Hash._SHA256.pyd
%AppData%\Roaming\cl\Crypto.Random.OSRNG.winrandom.pyd
%AppData%\Roaming\cl\Crypto.Util.strxor.pyd
%AppData%\Roaming\cl\Crypto.Util._counter.pyd
%AppData%\Roaming\cl\filelist.txt
%AppData%\Roaming\cl\library.zip
%AppData%\Roaming\cl\mklnk.cmd
%AppData%\Roaming\cl\public_key.txt
%AppData%\Roaming\cl\pyexpat.pyd
%AppData%\Roaming\cl\python27.dll
%AppData%\Roaming\cl\pywintypes27.dll
%AppData%\Roaming\cl\remove.cmd
%AppData%\Roaming\cl\select.pyd
%AppData%\Roaming\cl\server.txt
%AppData%\Roaming\cl\subid.txt
%AppData%\Roaming\cl\ui.exe
%AppData%\Roaming\cl\unicodedata.pyd
%AppData%\Roaming\cl\usd_price.txt
%AppData%\Roaming\cl\user.txt
%AppData%\Roaming\cl\win32api.pyd
%AppData%\Roaming\cl\win32pdh.pyd
%AppData%\Roaming\cl\win32pipe.pyd
%AppData%\Roaming\cl\win32wnet.pyd
%AppData%\Roaming\cl\_ctypes.pyd
%AppData%\Roaming\cl\_hashlib.pyd
%AppData%\Roaming\cl\_nenrgarxmr.list
%AppData%\Roaming\cl\_socket.pyd
%AppData%\Roaming\cl\_ssl.pyd\
%AppData%\Roaming\How_Decrypt_My_Files\
%AppData%\Roaming\How_Decrypt_My_Files\img\
%AppData%\Roaming\How_Decrypt_My_Files\img\1.png
%AppData%\Roaming\How_Decrypt_My_Files\img\2.png
%AppData%\Roaming\How_Decrypt_My_Files\img\4.png
%AppData%\Roaming\How_Decrypt_My_Files\img\5.png
%AppData%\Roaming\How_Decrypt_My_Files\img\6.png
%AppData%\Roaming\How_Decrypt_My_Files\img\arrow.png
%AppData%\Roaming\How_Decrypt_My_Files\img\bitpanda.png
%AppData%\Roaming\How_Decrypt_My_Files\img\blockchain-send1.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\blockchain-send2.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\blockchain-send3.png
%AppData%\Roaming\How_Decrypt_My_Files\img\cex.png
%AppData%\Roaming\How_Decrypt_My_Files\img\coinbase.png
%AppData%\Roaming\How_Decrypt_My_Files\img\coinhouse.png
%AppData%\Roaming\How_Decrypt_My_Files\img\coinmama.png
%AppData%\Roaming\How_Decrypt_My_Files\img\exchange.png
%AppData%\Roaming\How_Decrypt_My_Files\img\help.png
%AppData%\Roaming\How_Decrypt_My_Files\img\ui_main.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\ui_main_end.jpg
%AppData%\Roaming\How_Decrypt_My_Files\img\warning.png
%AppData%\Roaming\How_Decrypt_My_Files\index.html
%AppData%\Roaming\How_Decrypt_My_Files\pay_creditcard.html
%AppData%\Roaming\How_Decrypt_My_Files\read_me.txt
%AppData%\Roaming\How_Decrypt_My_Files\send_btc.html
%AppData%\Roaming\How_Decrypt_My_Files\style.css
%UserProfile%\Desktop\How Decrypt My Files.lnk
%TEMP%\nsp9667.tmp\INetC.dll

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cl %AppData%\Roaming\cl\cl.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
170.254.236.102:80 (Уругвай)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT на cl.exe >> + VT на ui.exe >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Активное распространение началось после начала продаж RaaS. Может распространяться по всему миру. 

Обновление от 5 мая 2017:
Dxh26wam (PyCL) > Fatboy RaaS
Подробный обзор >>
Статья о Fatboy >>
Статья о Big Max Index >>

Реальный вариант от 5 июня 2017: 

Расширение: .crypted
BTC: 141HBQKuATwde5ermbigvcSn12XCYJRqmM

Сумма выкупа: 0.07 BTC ($169.17). Сообщение пришло из Франции. 

Согласно графику курса биткоинов этот случай вымогательства пришелся на начало июня 2017 года. См. соотношение: 1BTC ~ $2417 без учета Big Mac Index, описанного выше. После того, как пострадавшие прислали файлы, оказалось, что дата шифрования файлов - 5 июня 2017 года. 

Запиской с требованием выкупа выступает экран блокировки. 

Ориентирован на пользователей, говорящих на следующих языках:  английском, китайском, испанском, немецком, португальском, итальянском, французском, голландском. 

Содержание записки о выкупе:

VOS FICHIERS PERSONNELS SONT CRYPTÉS

Vos documents, photos, bases de données et autres fichiers importants ont été cryptés avec le plus fort cryptage et la clé unique, générés pour cet ordinateur. La clé de déchiffrement privée est stockée sur un serveur Internet secret et personne ne peut décrypter vos fichiers jusqu'à ce que vous payez et obtenez la clé privée.

1. Payer le montant 0.07 BTC (environ 169.17 USD) à l'adresse: 

[141HBQKuATwde5ermbigvcSn12XCYJRqmM] [Proceed to Payment]

2. La transaction prendra environ 15-30 minutes pour confirmer. [Decrypt Demo File]

Le déchiffrement démarre automatiquement. Ne pas: éteindre l'ordinateur, exécuter un programme antivirus, désactiver la connexion Internet. Les défaillances pendant la récupération des clés et le déchiffrement des fichiers peuvent entraîner des dommages accidentels sur les fichiers.

VOS FICHIERS SERONT PERDUS SANS PAIEMENT PAR: 3 days 23 Hours 51 Minutes 59 Seconds

Перевод записки на русский язык:

ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ

Ваши документы, фотографии, базы данных и другие важные файлы зашифрованы с самым надежным шифрованием и уникальным ключом, созданным для этого компьютера. Закрытый ключ дешифрования хранится на секретном интернет-сервере, и никто не сможет расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.

1. Оплатите 0.07 BTC (около 169.17 долларов) на адрес:

[141HBQKuATwde5ermbigvcSn12XCYJRqmM] [Перейти к оплате]

2. Подтверждение транзакции займет около 15-30 минут. [Расшифровать демо файл]

Расшифровка начнется автоматически. Нельзя: выключать компьютер, запускать антивирус, отключать интернет-соединение. Сбои при восстановлении ключей и расшифровке файлов могут привести к  повреждению файлов.

ВАШИ ФАЙЛЫ БЕЗ ОПЛАТЫ БУДУТ УТРАЧЕНЫ: 3 дня 23 часа 51 минута 59 секунд

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PyCL)
 Write-up on BC (added March 29, 2017)
 Video review 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Alex Svirid, GrujaRS, Emmanuel_ADC-Soft, S!Ri
 Andrew Ivanov (article author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Locker-Pay

Locker-Pay Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать сколько заплатить и как вернуть файлы. Оригинальное название. Разработчик: windo из Польши, ранее сделавший Meteoritan. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Meteoritan > Locker-Pay

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: your_system_has_been_locked_INSTRUCTION.txt

Содержание записки о выкупе:
Your system has been locked!
All of your files will be deleted. If you want to unlock your computer, you must have unlocking key. It's very easy =)
You have 48 hours to buy unlocking key, after your key will be deleted, and your hard disk will be formatted!
Reboot isn't helpful, if you restart the computer, you have 2 hours less time to unlock your computer.
How can I get unlocking key? Follow this steps
---
1. Send e-mail to lockerpay64©yandex.ru. In e-mail write your ID.
In turning e-mail you get a value of your key in bitcoins.
2. Get Bitcoins. Bitcoin is a cryptovalute, which can pay. Use these sites: coinbase.com, btc.com, bitgo.com, strongcoin.com
3. Pay
4. In 24 hours you get the unlocking key. If you don't see e-mail, check SPAM catalogue.
5. Enter your key in Command Prompt. Use TAB+ALT combination to switch program.
---
Your ID: locker-pay-asdr32qwe2sa2-18468
LOCKER-PAY Ramsomware 0.1 build 10

Перевод записки на русский язык:
Ваша система заблокирована!
Все ваши файлы будут удалены. Если хотите разблокировать компьютер, то вам нужен ключ разблокировки. Это просто =)
У вас есть 48 часов, чтобы купить ключ разблокировки, после этого ваш ключ будет удален, а жесткий диск отформатирован!
Перезагрузка не поможет, если перезагрузите компьютер, то у вас будет на 2 часа меньше времени для разблокировки компьютера.
Как я мне получить ключ разблокировки? Следуйте этим инструкциям
---
1. Отправьте письмо на lockerpay64©yandex.ru. В email напишите свой ID.
При ответе по email вы получите значение вашего ключа в биткойнах.
2. Получите биткойны. Биткойн - это криптовалюта, которой можно платить. Используйте эти сайты: coinbase.com, btc.com, bitgo.com, strongcoin.com
3. Оплатите
4. Через 24 часа вы получите ключ разблокировки. Если не видите e-mail, проверьте каталог SPAM.
5. Введите свой ключ в командной строке. Используйте комбинацию TAB+ALT для переключения программы.
---
Ваш ID: locker-pay-asdr32qwe2sa2-18468
LOCKER-PAY Ramsomware 0.1 build 10

Другим информатором жертвы выступает экран, имитирующий административное извещение (красные буквы на чёрном фоне). 

Запускается командой:
C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\cmd.exe /c title Your system has been locked!

Содержание извещения то же, что и в записке. 

На самом деле Locker-Pay не шифрует, только пугает и завершает несколько процессов в системе. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
your_system_has_been_locked_INSTRUCTION.txt
locked.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
lockerpay64@yandex.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Jiri Kropac
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SADStory

SADStory Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем помещает их в специальный каталог и требует связаться по email с вымогателями, чтобы вернуть файлы. Оригинальное название. Написан на Python. Разработчик: MAFIA MALWARE INDONESIA. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: MafiaWare > CryPy > SADStory

См. также KimcilWare, MireWare по ссылкам. 

К зашифрованным SADStory файлам добавляется расширение .sad

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: SADStory_README_FOR_DECRYPT.txt

Содержание записки о выкупе:
! ! ! WARNING ! ! !
All your files are encrypted by SADStory with strong chiphers.
Decrypting of your files is only possible with the decryption program, which is on our secret server.
All encrypted files are moved to __SAD STORY FILES__ directory and renamed to unique random name.
Note that every 6 hours, a random file is permanently deleted. The faster you are, the less files you will lose.
Also, in 96 hours, the key will be permanently deleted and there will be no way of recovering your files.
To receive your decryption program contact one of the emails:
1. tuyuljahat@hotmail.com
2. lucifer.fool@yandex.com
Just inform your identification ID and we will give you next instruction.
Your personal identification id: SADSTORY***

Перевод записки на русский язык:
! ! ! ПРЕДУПРЕЖДЕНИЕ! ! !
Все ваши файлы зашифрованы SADStory с сильными шифром.
Расшифровка ваших файлов возможна только с декриптером, который есть на нашем секретном сервере.
Все зашифрованные файлы собираются в папку __SAD STORY FILES__ и получают уникальное случайное имя.
Заметьте, каждые 6 часов безвозвратно удаляется случайный файл. Поторопитесь, меньше файлов потеряете.
Так, через 96 часов ключ будет удален окончательно и ваши файлы будет не вернуть.
Чтобы получить декриптер, свяжитесь по одному из email:
1. tuyuljahat@hotmail.com
2. lucifer.fool@yandex.com
Просто сообщите свой ID и мы дадим вам следующую инструкцию.
Ваш идентификационный ID: SADSTORY ***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.001, .3fr, .3gp, .7z, .accdb, .aes, .ai,  .apk, .ARC, .arch00, .arw, .asc, .asf, .asm, .asp, .asset, .avi, .bak, .bar, .bat, .bay, .bc6, .bc7, .big, .bik, .biz, .bkf, .bkp, .blob, .bmp, .brd, .bsa, .cas, .cdr, .cer, .cfr, .cgm, .class, .cmd, .cpp, .cr2, .crt, .crw, .csr, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbf, .dbfv, .dch, .dcr, .der, .desc, .dif, .dip, .djv, .djvu, .dmp, .dng, .doc, .docb, .docm, .docm, .docx, .DOT, .dotm, .dotx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .fla, .flv, .forge, .fos, .fpk, .frm, .fsh, .gho, .gpg, .hkx, .htm, .html, .hwp, .ibank, .ibd, .indd, .itm, .iwd, .iwi, .jar, .java, .jpeg, .jpeg, .jpg, .js, .kdb, .kdc, .key, .kf, .lay, .lay6, .layout, .lbf, .ldf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .mdb, .mdf, .mef, .menu, .mid, .mkv, .mlx, .mml, .mov, .mp3, .mpeg, .mpg, .mpqge, .mrwref, .ms11 (Security copy), .MYD, .MYI, .ncf, .NEF, .nrw, .ntl, .ocx, .odb, .odc, .odm, .odp, .ods, .ods, .odt, .orf, .otg, .ots, .ott, .p12, .p7b, .p7c, .pak, .PAQ, .pas, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppam, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qcow2, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sch, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .snx, .sql, .SQLITE3, .SQLITEDB, .sr2, .srf, .srt, .srw, .stc, .stw, .sum, .svg, .swf, .sxc, .sxm, .sxw, .t12, .t13, .tar, .tar.bz2, .tar.gz, .tax, .tbk, .tgz, .tif, .tiff, .tor,.txt, .unity3d, .uot, .upk, .upx, .vbs, .vdf, .vdi, .vfs0, .vmdk, .vmx, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlc, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xlw, .xml, .xxx, .zip, .ztmp (275 расширений) и файлы wallet.dat.

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, веб-страницы, музыка, видео, файлы образов, архивы, бэкапы и пр.

Файлы, связанные с этим Ransomware:
ReadMe-how_to_get_free_office365-idGHDGFGf426142GE25.pdf.exe
<random>.pdf.exe
mw.exe
__SAD STORY FILES__
SADStory_README_FOR_DECRYPT.txt

Расположения:
%TEMP%\mw.exe
%Desktop%\SADStory_README_FOR_DECRYPT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxx://ow.ly/***
xxx://wayofwines.com/ReadMe.php***
xxx://www.lilywho.ie***
tuyuljahat@hotmail.com - ранее использовался в KimcilWare и Mireware
lucifer.fool@yandex.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as SADStory)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BTCWare

BTCWare Ransomware

(шифровальщик-вымогатель) (первоисточник) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RC4 (шифруются куски менее 1 Кб), а затем на странице Tor-сайта требует выкуп в 0.5 биткоинов, чтобы вернуть файлы. Оригинальное название.

Позже (в последующих версиях) стало использоваться шифрование AES-192 или AES-256. См. ниже ссылки на отдельные статьи, отражающие развитие этого вредоносного ПО, пошедшего по рукам. 

Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU

Стилизация под изображение биткоинов (англ. BTC) в чёрном цвете.

© Генеалогия: CrptXXX > BTCWare

К зашифрованным файлам первых версий добавлялось расширение .btcware

В новых версиях использовались следующие расширения:
.cryptobyte в шаблоне .[<email>].cryptobyte
.cryptowin в шаблоне .[<email>].cryptowin
.theva в шаблоне .[<email>].theva
.xfile в шаблоне .[<email>].xfile
.onyon в шаблоне .[<email>].onyon
.blocking в шаблоне .[<email>].blocking
.master в шаблоне .[<email>].master 
.aleta в шаблоне .[<email>].aleta
.gryphon в шаблоне .[<email>].gryphon
.nuclear в шаблоне .[<email>].nuclear и .[<email>]-id-<id>.nuclear
.wyvern в шаблоне .[email]-id-<id>.wyvern 
.payday в шаблоне .[<email>]-id-<id>.payday

---

BTCWare Family (семейство BTCWare):
BTCWare Original: .btcware, .cryptobyte, .cryptowin, .theva
BTCWare other progeny: .xfile, .blocking, .encrypted, .crypton
BTCWare-Onyon: .onyon
BTCWare-Master: .master
BTCWare-Aleta: .aleta
BTCWare-Gryphon: .gryphon и другие
BTCWare-Nuclear: .nuclear
BTCWare-Wyvern: .wyvern
BTCWare-PayDay: .payday, .shadow, .wallet

---

Активность первых версий этого крипто-вымогателя пришлась на конец марта 2017 г. 
Фактически действовал с ноября 2016 года, оставаясь прошедшее время неидентифицированным. 
Ориентирован на англоязычных и испаноязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
#_HOW_TO_FIX_!.hta и READ ME.txt

Содержание текстовой записки о выкупе:
Hi, I infiltrate your system in your system Small Diameter I found Open and TIM encrypted files in Figure I Kirilmiycak
Password we have created as a term of 12 Eger Clock Transformation yapilmass encrypt with the self-destruction of my files to edicem
You've done a nonsense question why not check mail asking why he did how did you throw your silly hair mails
alamiycaks answer your funny figures do not offer you just specify your e-mail us to dispose of sufficient olucam REFERENCE NUMBERS
We determined we price according to price your reference number that you go to the center belirtcez verikurtar olucaktir reason to spend anchor bose
geзmiyce is a sheer waste of time on your hands like I said, when we chose has nonetheless self-destruct after 12 hours to edicem
ediceks payment receiving, we have time to continue where the old scale leakage and a taller one thing you will certainly basia gelmiyce
aзiginizi security laws in something you do not taller than the one that you said belirticez after 30 minutes after receiving the payment system
olucaktir as you suspected it before we olmasin mail address
    Best regards

Hola He encontrado en su sistema, que infiltrarse en su sistema en el pequeño diámetro y tum archivos cifrados en la Figura I Kirilmiycak
Contraseña hemos creado como un término de 12 cifrar Eger Reloj Transformación yapilmass con la autodestrucción de mis archivos a edicem
Usted ha hecho una pregunta sin sentido por qué no comprobar el correo preguntando por qué no ¿cómo lanzar su correo electrónico para el cabello tontas
divertidas figuras no ofrecen respuestas a sus alamiycaks lo suficiente nos olucam proporcionar su dirección de correo electrónico que pone a cabo la cuerda
cuerda establecido de acuerdo con el precio que tenemos que ir a Dresde ese precio belirtcez verikurtar la razón olucaktir centro de anclaje para pasar Bose
geçmiyce es una pura pérdida de tiempo en sus manos, como he dicho, cuando elegimos tiene, no obstante, se autodestruyen después de 12 horas a edicem
ediceks de recibir el pago, tenemos tiempo para seguir donde el viejo fugas escala y uno más alto que se quiere gelmiyce duda Basia
las leyes de seguridad açiginizi en algo que se hace no más alto que el que usted ha dicho belirticez después de 30 minutos después de recibir el sistema de pago
olucaktir como usted sospechaba que antes de que olmasin correo electrónico
    saludos
yedekveri258@gmail.com
yedekveri258@gmail.com
REFERANS NUMARANIZ:02

Перевод записки на русский язык:
Привет, я проник вашу систему в вашу систему... Я нашел открытые файлы и зашифровал...
Пароль, который мы создали как срок действия 12 часов...
Вы сделали бессмысленный вопрос, почему бы не проверить почту, спрашивая, почему он сделал, как вы бросили свои глупые письма...
Ответьте на ваши смешные цифры, не предлагайте вам просто указать свой адрес электронной почты нам, чтобы избавиться от достаточного количества...
Мы определили, что мы оцениваем цену в соответствии с ценой вашего ссылочного номера, который вы отправляете в центр...
Это пустая трата времени на ваших руках, как я уже сказал, когда мы выбрали, тем не менее, самоуничтожение через 12 часов до получения платежей, у нас есть время, чтобы продолжить, когда старая утечка по шкале и более высокая вещь, которую вы, безусловно, будете использовать.
Законы безопасности в чем-то, что вы не выше, чем тот, который вы сказали через 30 минут после получения платежной системы
Как вы подозревали, прежде чем мы отправим почтовый адрес
    С наилучшими пожеланиями
yedekveri258@gmail.com
yedekveri258@gmail.com
REFERANS NUMARANIZ:02

Несмотря на то, что эти бредовые записки написаны на английском и испанском, в них присутствуют турецкие слова, которые правильно не будут переведены. 

Технические детали

Распространяется с помощью атак по RDP, также может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Уничтожает или скрывает файлы на несистемных дисках. 
На всех дисках оставляет записки READ ME.txt
ID жертвы BTCWare - это ключ AES, зашифрованный c RSA, а затем base64.

Удаляет теневые копии файлов. Отключает восстановление загрузки системы и точки восстановления.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#_HOW_TO_FIX_!.hta
READ ME.txt
mfskskfkls.exe
<ransom>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://vp6cnu4cw7fnc4z5.onion.to
xxxx://dokg5gcojuswihof.onion.to
yedeksecurty@gmail.com
yedekveri258@gmail.com
Telegram: @decryps
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 апреля 2017:
Email: lineasupport@protonmail.com

Обновление от 19 апреля 2017:
Пост на форуме >>
Расширения: .cryptobyte
.[no.xm@protonmail.ch].cryptobyte
Email: no.xm@protonmail.ch
Записка: #_HOW_TO_FIX.inf
➤ Содержание записки:
All your files have been encrypted
If you want to restore them, write us to the e-mail: no.xm@protonmail.ch
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information
and their total size must be less than 10Mb
Attention!
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
Your ID:
OJtKiIc9ssVEIfoNoxj***

Обновление от 26 апреля 2017:
Пост в Твиттере >>
Шифрование: RC4 (куски менее 1 Кб)
Расширения: .cryptobyte
.[no.btc@protonmail.ch].cryptobyte
.[decrypts@protonmail.com].cryptobyte
Записка: #_HOW_TO_FIX.inf
Файл: czsdxxs.exe
Email: no.btc@protonmail.ch
decrypts@protonmail.com
Результаты анализов: VT

Обновление от 3 мая 2017:
Пост на форуме >>
Майкл Джиллеспи сделал дешифровщик для некоторых версий. 

Обновление от 3 мая 2017:
Пост в Твиттере >>  Ещё >> Ещё >>
Шифрование: AES-192 (куски менее 1 Кб)
Расширения: .cryptowin
.[no.btc@protonmail.ch].cryptowin
.[decrypter@protonmail.ch].cryptowin
Записка: #_HOW_TO_FIX.inf
Email: no.btc@protonmail.ch
decrypter@protonmail.ch
Результаты анализов: HA+VT // HA+VT

Текст записки:

All your files have been encrypted

If you want to restore them, write us to the e-mail: decrypter@protonmail.ch

You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.

After payment we will send you the decryption tool that will decrypt all your files.

FREE DECRYPTION AS GUARANTEE

Before paying you can send to us up to 3 files for free decryption.

Please note that files must NOT contain valuable information and their total size must be less than 10Mb

Attention!

Do not rename encrypted files

Do not try to decrypt your data using third party software, it may cause permanent data loss

If you not write on e-mail in 3 days - your key has been deleted and you cant decrypt your files

Your ID: ieysrELVybpaeGIZQzZc9vG83S227rePFzoHpLcPxHL0CqxdcAMMh+tn/MXWAcMzRyL+M9Xz11+res3iQfiZVagDnFAnx7CJh8YKwVh6Jqa9s6yFfRl0IRDtu/oEHRW1uE+Fbr7owYjyGt/FLtRjdf+tQ2pTZ7PcX8qHpSoufZg=

Обновление от 9 мая 2017:
Пост в Твиттере >> 
Шифрование: AES-192 (куски менее 1 Кб)
Расширение: .theva
Составное расширение: .[sql772@aol.com].theva
Email: sql772@aol.com
Записка: #_README_#.inf
Результаты анализов: HA+VT

Обновление от 15 мая 2017:
Шифрование: RC4 (только первые 10 Мб)
Расширение: .onyon
Шаблон расширения: .[<email>].onyon
Записка: !#_DECRYPT_#!.inf
Email: decrypter@onyon.su
tk.btcw@protonmail.ch
См. статью Onyon Ransomware

Обновление от 25 мая 2017:
Пост в Твиттере >> 
Расширение: .xfile
Шифрование: RC4 (только первые 10 Мб)
Записка: !#_DECRYPT_#!.inf

Обновление от 6 июня 2017:
Шифрование: AES-256 (только первые 10 Мб)
Расширение: .blocking
Шаблоны расширений: .[avalona.toga@aol.com].blocking
.[3bitcoins@protonmail.com].blocking
Email: avalona.toga@aol.com
Записка: !#_RESTORE_FILES_#!.inf
Тема поддержки >>
Результаты анализов: HA+VT

Обновление от 26 июня 2017:
Шифрование: AES-256 (только первые 10 Мб)
Расширение: .master 
Составное расширение: .[westbleep@india.com].master 
Записка: !#_RESTORE_FILES_#!.inf
Email: westbleep@india.com
См. статью Master Ransomware

Обновление от 2 июля 2017:
Шифрование: AES-256 (только первые 10 Мб)
Расширение: .aleta
Составное расширение: .[black.mirror@qq.com].aleta
Записка: !#_READ_ME_#!.inf
Email: black.mirror@qq.com
См. статью Aleta Ransomware

Обновление от 4 июля 2017:
Пост в Твиттере >>
Шифрование: AES-256 (только первые 10 Мб)
Расширение: .master
Составное расширение: .[darkwaiderr@cock.li].master
Записка: !#_RESTORE_FILES_#!.inf
Email: darkwaiderr@cock.li
Файл:  zeifjozej.exe
Результаты анализов: VT
См. статью Master Ransomware

Обновление от 19 декабря 2017:
Расширение: .cryptowin
Шаблон расширения: .[no.btc@protonmail.ch].cryptowin
Файл: <random>.exe
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCWare)
 Write-up, Topic of Support + ранний инцидент
 * 

 Thanks: 
 MalwareHunterTeam‏, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov (author)
 Karsten Hahn, David0353
 
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private