DoNotChange

DoNotChange Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в $250 - $400, чтобы вернуть файлы. Оригинальное название. Написан на AutoIt. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение по шаблону 
[original_file_name].id-[ID_victim].cry

Например для жертвы с ID 7ES642406 файлы будут иметь вид: 
[original_file_name].id-7ES642406.cry
testtar.tar.id-7ES642406.cry
powerpnt.ppt.id-7ES642406.cry
news.png.id-7ES642406.cry
LICENSE.txt.id-7ES642406.cry
netmeet.htm.id-7ES642406.cry 

Примеры зашифрованных файлов и записка о выкупе

Второй вариант этого вымогателя использует расширение: .Do_not_change_the_file_name.cryp

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
HOW TO DECODE FILES!!!.txt - на английском
КАК РАСШИФРОВАТЬ ФАЙЛЫ!!!.txt - на русском

Содержание записки о выкупе:
**************************************************************
ATTENTION!!! Changing the file name makes the restore process impossible!
**************************************************************
Your data is encrypted.
To receive a program of decoding, You need to pay ~ $250 and
You need to send the personal code:
7ES642406
To the email address tom.anderson@india.com,DE_coDER@mail2tor.com,scryptx@meta.ua
Then you will receive all the necessary instructions.
Attempts to decipher independently wi11 not lead to anything, except irretrievable loss of information.
We respond to all emails, if there is no answer within 10 hours, duplicate your letter other email services.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
Download Tor Browser from here:
https://www.torproject.org/download/download-easy.html.en
install it and type the following address into tne address bar:
http://5akvz3kp6qbqmpoo.onion/
Thank you for your attention and have a good day.
**************************************************************
ATTENTION!!! Changing the file name makes the restore process impossible!
**************************************************************

Перевод записки на русский язык (оригинальный, все ошибки грамотеев-вымогателей сохранены!!!):
**************************************************************
ВНИМАНИЕ!!! Изменение имени файлов делает процесс восстановления невозможным!
**************************************************************
Ваши данные закодированны.
Для получения программы по раскодировки от вас требуется оплата ~250$ для этого
Вам необходимо отправить код:
7ES642406
На электронный адрес tom.anderson@india.com,DE_coDER@mail2tor.com,scryptx@meta.ua
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Расшифровка без уникального ключа не возможна, все доступные декодоры для вас без полезны.
Если сами не будете затягивать - то через 1-2 часа сможете продолжать работу как ни в чем ни бывало + избавитесь от лазеек в системе и никто вас более не потревожит.
Если вы не получили от нас ответа, попробуйте для связи использовать публичные почтовые сервисы: mail.ru, rambler.ru и т.д.
Мы отвечаем на все письма, если ответа нет в течении 10 часов, продублируйте свое письмо с других почтовых сервисов.
Если вы не получили ответа по вышеуkазанным адресам в течение 48 часов (и тольkо в этом случае!), Скачайте и установите Tor Browser по ссылkе:
https://www.torproject.org/download/download-easy.html.en
В адресной строке Tor Browser-а введите адрес:
http://5akvz3kp6qbqmpoo.onion/
Спасибо за внимание и хорошего Вам дня.
**************************************************************
ВНИМАНИЕ!!! Изменение имени файлов делает процесс восстановления невозможным!
**************************************************************

👉 Примечательно, что в русскоязычном варианте записки дюжина ошибок, не считая замены русских букв английскими. Этот способ был ранее использован в других вымогательских кампаниях. 

 Второй вариант записок на английском и русском языках, того же вымогателя, который добавляет расширение .Do_not_change_the_file_name.cryp
*************************************************************
ATTENTION!!! Changing the file name makes the restore process impossible!
*************************************************************
Your data is encrypted.
To receive a program of decoding, You need to pay ~ $400 and
You need to send the personal code:
|WOLIs|Pr|HvstJ)|soVOKt0jmmaAykAIL4
To the email address robert.swat@qip.ru
Then you will receive all the necessary instructions.
Attempts to decipher independently will not lead to anything, except irretrievable loss of information.
We respond to all emails, if there is no answer within 10 hours, duplicate your letter  other email services.
Thank you for your attention and have a good day.
*************************************************************
ATTENTION!!! Changing the file name makes the restore process impossible!
*************************************************************
************************************************************
ВНИМАНИЕ!!! Изменение имени файлов делает процесс восстановления невозможным!
************************************************************
Ваши данные закодированны.
Для получения программы по раскодировки от вас требуется оплата ~400$ для этого Вам необходимо отправить код:
|WOLIs|Pr|HvstJ)|soVOKt0jmmaAykAIL4
На электронный адрес tom.anderson@india.com,DE_CODER@mail2tor.com,scryptx@meta.ua
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Если сами не будете затягивать - то через 1-2 часа сможете продолжать работу как ни в чем ни бывало + избавитесь от лазеек в системе и никто вас более не потревожит.
Если вы не получили от нас ответа, попробуйте для связи использовать публичные почтовые сервисы: mail.ru, rambler.ru и т.д.
Мы отвечаем на все письма, если ответа нет в течении 10 часов, продублируйте свое письмо с других почтовых сервисов.
Спасибо за внимание и хорошего Вам дня.
************************************************************
ВНИМАНИЕ!!! Изменение имени файлов делает процесс восстановления невозможным!  
************************************************************

Tor-сайт вымогателей

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

UAC не обходит. Требуется разрешение пользователя на запуск вредоноса. 

Список файловых расширений, подвергающихся шифрованию:

.0, .1cd, .3dp, .3gp, .7z, .abk, .abs, .accdb, .as, .ate, .avi, .bac, .backu, .bak, .bin, .bkc, .bkf, .bkp, .bls, .bpn, .c, .cab, .cbk, .cbu, .cdd, .cdr, .cdw, .cdx, .cer, .cf, .cfu, .cgm, .ck9, .cmx, .cpp, .cpt, .cs, .csr, .csv, .dat, .db, .db2, .db3, .dba, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dcb, .dd, .ddl, .dds, .df1, .dgn, .dmo, .doc, .docm, .docx, .dp1, .dt, .dwg, .dxf, .dxl, .eap, .eco, .edb, .emd, .eml, .epf, .eps, .eql, .erf, .ert, .ext, .fbf, .fbu, .fcd, .fh, .flb, .flkb, .frf, .frm, .frm, .frx, .gdb, .gpx, .gzip, .hdr, .htm, .html, .igs, .java, .jpeg, .jpg, .jse, .json, .jsp, .key, .ldf, .mac, .md, .mdb, .mdf, .mdx, .mft, .mp4, .mpeg, .msf, .msg, .mxl, .myd, .myi, .nam, .nb7, .nbd, .nbk, .nbs, .ncb, .nch, .ndoc, .nofiles, .npf, .ns2, .ns3, .ns4, .nyf, .obkp, .ods, .odt, .old, .one, .ora, .pan, .pas, .pdb, .pdf, .pdm, .pdn, .phm, .pl, .png, .pps, .ppsm, .ppt, .pptm, .pptx, .ps, .psd, .pst, .py, .rar, .ref, .reg, .rsd, .rtf, .sai, .sbb, .sbf, .sdb, .sdf, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .svg, .tar, .tbb, .tbn, .tdt, .te, .tib, .txt, .uci, .udb, .usr, .vbe, .vbp, .vbs, .vbx, .vhd, .vmdk, .vrp, .xds, .xld, .xls, .xlsm, .xlsx, .xml, .zip (193 расширения).  

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECODE FILES!!!.txt
КАК РАСШИФРОВАТЬ ФАЙЛЫ!!!.txt
<random>.exe
+ извлекается множество файлов

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
tom.anderson@india.com
DE_CODER@mail2tor.com
scryptx@meta.ua
robert.swat@qip.ru - почта из второго варианта
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 26 июня 2017:
Записки: 
HOW TO DECODE FILES!!!.txt - на английском
КАК РАСШИФРОВАТЬ ФАЙЛЫ!!!.txt - на русском
Расширение: .id-4R4NZ0109.cry
Целевые типы файлов:
 1cd, .3gp, .7z, .abk, .abs, .accdb, .as, .ate, .bac, .backu, .bak, .bin, .bkc, .bkf, .bkp, .bls, .bpn, .c, .cab, .cbk, .cbu, .cdd, .cdr, .cdw, .cdx, .cer, .cf, .cfu, .cgm, .ck9, .cmx, .cpp, .cpt, .cs, .csr, .csv, .dat, .db, .db2, .db3, .dba, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dcb, .dd, .ddl, .dds, .df1, .dgn, .dmo, .doc, .docm, .docx, .dp1, .dt, .dwg, .dxf, .dxl, .eap, .eco, .edb, .emd, .eml, .epf, .eps, .eql, .erf, .ert, .ext, .fbf, .fbu, .fcd, .fh, .flb, .flkb, .frf, .frm, .frm, .frx, .gdb, .gpx, .gzip, .hdr, .igs, .java, .jse, .json, .jsp, .key, .ldf, .mac, .md, .mdb, .mdf, .mdx, .mft, .mpeg, .msf, .msg, .mxl, .myd, .myi, .myo, .nam, .nb7, .nbd, .nbk, .nbs, .ncb, .nch, .ndoc, .nofiles, .npf, .ns2, .ns3, .ns4, .nyf, .obkp, .ods, .odt, .old, .one, .ora, .pan, .pas, .pdb, .pdm, .pdn, .phm, .pl, .pps, .ppsm, .ppt, .pptm, .pptx, .ps, .psd, .pst, .py, .rar, .ref, .reg, .rsd, .rtf, .sai, .sbb, .sbf, .sdb, .sdf, .spf, .spi, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .svg, .tar, .tbb, .tbn, .tdt, .te, .tib, .uci, .udb, .usr, .vbe, .vbp, .vbs, .vbx, .vhd, .vmdk, .vrp, .xds, .xld, .xls, .xlsm, .xlsx, .xml, .zip (185 расширений). 
Результаты анализов: HA+VT

Внимание! 
Если у вас ID 7ES642406, то можно дешифровать файлы!
По дешифровке файлов пишите в тему на форуме BC >>

Attention!
For decryption, please contact in the BC-forum topic >>
The victims with ID 7ES642406 are in the first place!!!

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as DoNotChange)
 Write-up, Topic on BC
 Video review

 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 GrujaRS
 Thyrex, Karsten Hahn‏ 

© Amigo-A (Andrew Ivanov): All blog articles.

French HT

French HT Ransomware
Putty Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название: Putty. Фальш-имя: CamSnap. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> French HT

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CamSnap.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё  >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

NxRansomware

NxRansomware Ransomware

(шифровальщик-вымогатель, Open Source)

Это вымогательский Open Source проект, выложен на GitHub в конце марта 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Разработчик: Guilherme Bacellar Moralez. Ник в GitHub: guibacellar. 

Среда разработки: .Net Framework 4.5 + C&C System
Шифрование: AES / RSA
Исполняемый файл: GoogleUpdate.exe
Результаты анализов: HA + VT
Фальш-имя: Google Software Update. 
Фальш-копирайт: Google Inc. 
Этимология названия: Nx = Next / т.е Next Ransomware 

К зашифрованным файлам добавляется настраиваемое расширение, например, .lock

Запиской с требованием выкупа выступает экран блокировки, в котором можно написать свой текст. 

Технические детали + IOC

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.AVI, .C, .CLASS, .CONFIG, .CPP, .CS, .CSC, .DBX, .DOC, .DOCX, .EML, .GIF, .GZ, .H, .JAVA, .JPG, .JS, .JSON, .JSP, .MBX, .MP3, .MP4, .MPEG, .MSG, .NEF, .PDF, .PHP, .PNG, .PPT, .PPTX, .PST, .PY, .R, .RAR, .TAR, .TXT, .VB, .VBS, .WAB, .XAML, .XLS, .XLSX, .ZIP (43 расширения).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, файлы образов, архивы, скрипты и пр.

Файлы, связанные с этим Ransomware:
GoogleUpdate.exe
master_pri_key.info
master_public_key.info

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 декабря 2017:

Пост в Твиттере >>
Файл: GoogleUpdate1.exe
Фальш-имя: Google Update1
Результаты нализов: VB + VT + TG
➤ Содержание записки: 

I'll Make you Cry :D:D

---

What has happened To your Computer?

Your computer has been encrypted

Its better to pay ransom

Or we are going to make you feel sorry

Then nobody will help you out

Can I Recover my files back?

Yes you can. Just pay us the bit coins and we will send you decryption code

Then paste that code inside the decryption module and get everything back

How do I pay bitcoin?

Just follow the link below.

Buy and send us.

---

Send Us BitCoins of $300 worth and we will send you decryption key:

12t9dfsad5fsd6das5da64f98f4a5sasdsak

 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as NxRansomware)
 Write-up, Topic

 Thanks: 
 Michael Gillespie
 Karsten Hahn
 Alex Svirid

© Amigo-A (Andrew Ivanov): All blog articles.

Pr0tector

Pr0tector Ransomware

Sorebrect Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .pr0tect

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Сначала распространялся в ближневосточных странах (Кувейт, Ливан). Но к началу мая уже был в Канаде, Китае, Тайване, Японии, Хорватии, Италии, Мексике, России, США. 

Записки с требованием выкупа называются: READ ME ABOUT DECRYPTION.txt

Содержание записки о выкупе:
Your files were encrypted.
Your personal ID is: PCHOSTNAME#601E1*****470
To buy private key for unlocking files please contact us:
pr0tector@india.com
pr0tector@tutanota.com
Please include the ID above.

Перевод записки на русский язык:
Ваши файлы зашифрованы.
Ваш личный ID: PCHOSTNAME # 601E1*****470
Чтобы купить закрытый ключ для разблока файлов, напишите нам:
pr0tector@india.com
pr0tector@tutanota.com
Включите ID, что выше.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует возможности легитимной утилиты PsExec, которая позволяет системным администраторам выполнять команды или запускать исполняемые файлы на удаленных системах. Он активно развертывает PsExec и выполняет инъекцию кода. Потом инжектирует свой код в системный процесс svchost.exe, чтобы далее легитимно шифровать файлы. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ ME ABOUT DECRYPTION.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
pr0tector@india.com
pr0tector@tutanota.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Pr0tector)
 Write-up by TrendMicro, Topic
 * 

 Thanks: 
 Michael Gillespie
 Buddy Tancio (TrendMicro)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AnDROid

AnDROid Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться с вымогателем, чтобы вернуть файлы. Оригинальные названия: AnDROid и Encrypt Ransome. Разработчик: humanpuff69. Код разблокировки: 62698b8ff9e416d9a7ac0fb3bd548b96

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid / FTSCoder >> AnDROid

К зашифрованным файлам добавляется расширение .android

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

 

Скриншот экрана блокировки

Анимированное изображение "говорящего" черепа

Содержание текста о выкупе:
Hy, sorry your files has been encrypted.
But, not all your file encrypted
Klick "Contact Me" and i will give your key.
"Contact Me"
Contact Me:
Facebook: www.facebook.com/rn.sanjay.qm

Перевод текста на русский язык:
Извините, ваши файлы зашифрованы.
Но не все ваши файлы зашифрованы
Клик "Связь со мной" и я отдам свой ключ.
Связь со мной:
Facebook: www.facebook.com/rn.sanjay.qm

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
AnDROid.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.facebook.com/rn.sanjay.qm
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать декриптер для AnDROid Ransomware >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Stupid Ransomware, old ID as AnDROid)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

R, NMoreira3

R Ransomware

NMoreira3 Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 / RSA-2048, а затем требует выкуп в 1-2 биткоина, чтобы вернуть файлы. Оригинальное название: R. Новой итерацией этого крито-вымогателя является NM4 Ransomware. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: NMoreira > NMoreira 2.0 > R (NM3) > NM4

К зашифрованным файлам добавляется расширение .R или без расширения. 

Активность этого крипто-вымогателя пришлась на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: Ransomware.txt

Содержание записки о выкупе:
Encrypted files!
All your files are encrypted. Using AES256-bit encryption and RSA-2048-bit encryption.
Making it impossible to recover files without the correct private key.
If you are interested in getting is the key and recover your files You should proceed with tne following steps.
The only way to decrypt your files safely is to buy the Descrypt and Private Key software.
Any attempts to restore your files with the third-party software will be fatal for your files!
To proceed with the purchase you must access one of the link below
xxxxs://rvneiqch7moech7j.onion.to/
xxxxs://rvneiqch7moech7j.onion.link/
If neither of the links is online for a long period of time, there is another way to open it, you should install the Tor Browser
If your personal page is not available for a long period there is another way to open your personal page - installation and use of Tor Browser:
1. run your internet browser (if you do not know what it is run the internet Explorer);
2. enter or copy the address xxxxs://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3. wait for the site loading;
4. on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5. run Tor Browser;
6. connect with the button 'Connect' (if you use the English version);
7. a normal internet browser window will be opened after the initialization;
8. type or copy the address
xxxxs://rvneiqch7moech7j.onion in this browser address bar;
9. press ENTER;
10. the site should be loaded; if for some reason the site is not loading wait for a moment and try again.
If you have any problems during installation or use of Tor Browser, please, visit https://www.youtube.com and type request in the search bar 'Install Tor Browser Windows' and you will find a lot of training videos about Tor Browser installation and use.
Your Key: ***

Перевод записки на русский язык:
Зашифрованы файлы!
Все ваши файлы зашифрованы. Использовано AES256-бит шифрование и RSA-2048-бит шифрование.
Делает невозможным восстановление файлов без правильного закрытого ключа.
Если вы заинтересованы в получении ключа и восстановлении ваших файлов Вы должны выполнить следующие шаги.
Единственный способ безопасно расшифровать ваши файлы - это купить программу Descrypt и закрытый ключ.
Любые попытки восстановить ваши файлы с помощью сторонней программы будут фатальны для ваших файлов!
Чтобы продолжить покупку, вы должны получить доступ к одной из приведённых ниже ссылок
xxxxs://rvneiqch7moech7j.onion.to/
xxxxs://rvneiqch7moech7j.onion.link/
Если ни одна из ссылок не находится в сети долгое время, то есть один способ ее открыть, вам надо установить Tor Browser.
Если ваша личная страница недоступна долгое время, есть еще один способ открыть вашу личную страницу - установка и использование Tor Browser:
1. запустите свой интернет-браузер (если вы не знаете какой, запустите Internet Explorer);
2. Введите или скопируйте адрес xxxxs://www.torproject.org/download/download-easy.html.en в адресную строку вашего браузера и нажмите ENTER;
3. дождитесь загрузки сайта;
4. на сайте вам будет предложено скачать Tor Browser; Загрузите и запустите его, следуйте инструкциям по установке, дождитесь завершения установки.
5. запустите Tor Browser;
6. подключитесь кнопкой 'Connect' (если вы используете английскую версию);
7. после инициализации откроется обычное окно интернет-браузера;
8. Введите или скопируйте адрес
xxxxs://rvneiqch7moech7j.onion в адресную строку браузера;
9. нажмите ENTER;
10. сайт должен быть загружен; Если по какой-либо причине сайт не загружается, подождите минуту и ​​повторите попытку.
Если у вас возникли проблемы при установке или использовании Tor Browser, посетите https://www.youtube.com и введите запрос в строке поиска «Установить браузер Tor Browser», и вы найдете много обучающих видео о Tor-браузере по установке и использовании.
Ваш ключ: ***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Страницы с сайта оплаты

 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomware.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
rvneiqch7moech7j.onion
rvneiqch7moech7j.onion.to
rvneiqch7moech7j.onion.link
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Team XRat Ransomware - август 2016 
NMoreira Ransomware - ноябрь 2016
NMoreia 2.0 Ransomware - январь 2017
R Ransomware - март 2017
NM4 Ransomware - апрель 2017

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam‏ 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FileFrozr

FileFrozr Ransomware

FrozrLock Ransomware

(шифровальщик-вымогатель, RaaS)

Этот крипто-вымогатель распространяется как крипто-строитель (crypto-builder) и RaaS (вымогатель-как-услуга). По заявлениями разработчиков шифрует данные с помощью AES-256 + RSA-4096. Оригинальное название: FileFrozr. Разработчик и распространитель: frozr (frozt).

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: FileFrozr. Начало > FrozrLock

 

Появление этого крипто-вымогателя пришлось на конец марта 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Скриншоты и описание

Содержание текста из описаниях на форумах:
FILE FROZR is a great security tool that encrypts most of your files in several minutes.
Fast, stable, and affordable crypto-locker.
Auto-buy, low price, undetectable load while working, TOR support, 250+ extensions, unmatched support, multithreaded, online builder, server side obfuscation. Bypass BitDefender and Malwarebytes Anti-Ransomware.
Encrypts user data using safe implemented AES-256 and RSA-4096, each file encrypts with it own unique key.
50$ Discount on sales start!

Перевод текста на русский язык:
FILE FROZR - * инструмент *, который шифрует большую часть ваших файлов за несколько минут.
Быстрый, стабильный и доступный криптолокер.
Автопокупка, низкая цена, легкость во время работы, поддержка TOR, более 250 расширений 250, * поддержка, многопоточный, онлайн-разработка, обфускация на стороне сервера. Обход BitDefender и Malwarebytes Anti-Ransomware. 
Шифрует данные пользователя безопасными шифрами AES-256 и RSA-4096, каждый файл шифруется своим уникальным ключом.
50$ Скидка при старте продаж!

Звёздочка (*) в переводе скрывает хвалебные эпитеты. 

 

Скриншоты с форумов, содержащих описание FileFrozr

 Скриншоты начальной страницы tor-сайта

 Скриншоты страницы обновлений и покупки лицензии tor-сайта

Содержание текста из описаниях на tor-сайте:
FILE FROZR is a great security tool that encrypts most of your files in several minutes.
First month discount -50$! Until 31.03.2017 
Coded from scratch
FILE FROZR is coded from startch in C#, no public sources were used. This makes FILE FROZR fully undetectable. Tested with Bitdefender Anti-Ransomware and MalwareBytes Antiransomeware. All builds are obfuscated at our servers. This prevrents original sources from being detected.
Affordable and ready to use "Out of the box"
Unlimited rebuilds, low price, panel with built in payment processor, AES256, RSA4096, and unique keys randomly generated for each file guaranting super strong security of files. Builds are obfuscated and crypted at our servers, no aditional crypting etc. required.
No need of vps
Panel using trusted Bitcoin processor so there is no need to set vps with BitcoinID. TOR support and low value of transfering data makes panel totally anonymous.
Support
If you need support in the installation of the panel, configuration of FILE FROZR or any other help, feel free to communicate us by following contacts:
Tox Id: C216445DDE28F475A725941F75D3FBA52F83D8C7EA774F03161C90ABA3F16768D4B4ADE77817
E-mail support: filefrozr@protonmail.com
Updates 
Roadmap
Features to add:
End of March / early April
Wipe clean space
Speech
Twofish, CAST-6, RC4
Offline version
ASP.NET panel
User suggested features
UAC Bypass
Obfuscator updated 

Перевод текста на русский язык:
FILE FROZR - * инструмент *, который шифрует большую часть ваших файлов за несколько минут.
Скидка за первый месяц -50$! До 31.03.2017
Кодирование с нуля
FILE FROZR кодирован из startch в C #, без открытых источников. Это делает FILE FROZR полностью незаметным. Протестировано с помощью антивирусного ПО Bitdefender Anti-Ransomware и MalwareBytes. Все сборки обфусцированы на наших серверах. Это исключает возможность обнаружения исходных источников.
Готовый к использованию «из коробки»
Неограниченные пересборки, низкая цена, панель со встроенным процессором оплаты, AES256, RSA4096 и уникальные ключи, генерируемые случайным образом для каждого файла, гарантирующие сверхсильную безопасность файлов. Сборка запущена и зашифрована на наших серверах, не требуется дополнительная криптография и т. Д.
Не требуется VPS
Панель использует доверенный биткойн-процессор, потому не нужно устанавливать VPS с Bitcoin ID. Поддержка TOR и низкое значение передачи данных делают панель полностью анонимной.
Поддержка
Если вам нужна поддержка при установке панели, конфигурации FILE FROZR или любой другой помощи, вы можете связаться с нами по следующим контактам:
Tox Id: C216445DDE28F475A725941F75D3FBA52F83D8C7EA774F03161C90ABA3F16768D4B4ADE77817
E-mail support: filefrozr@protonmail.com
Обновления
Дорожная карта
Добавленные фичи:
Конец марта / начало апреля
Стирание свободного места
Речь
Twofish, CAST-6, RC4
Оффлайн-версия
Панель ASP.NET
Функции, предложенные пользователями
Обход UAC
Обфускатор обновлён

Скриншоты окон "инструмента"

Окна AutoDecrupt, Manual, Decoder в FileFrozr

 

Окна ForzrLock и Buy MasterKey

Технические детали

Обходит защиту: UAC, BitDefender, Malwarebytes Anti-Ransomware.

Распространяется на форумах, также может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Более 250 расширений. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
builder.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
frozrlockqqxz7a2.onion
frozrlockqqxz7a2.tor2web.cf
frozrlockqqxz7a2.onion2web.gq
frozrlockqqxz7a2.onion2web.tk
frozrlockqqxz7a2.onion.link
filefrozr@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Frozr
 Rommel Joven‏
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.