RensenWare

RensenWare Ransomware

Variants: Haruna, Kashima

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем, не требуя денежного выкупа, предлагает сыграть в игру TH12 (Touhou Seirensen) и достичь определённого LUNATIC-уровня, чтобы файлы дешифровались. Если жертва не достигнет этого уровня, то файлы будут утрачены. Оригинальные названия: Rensenware, rensenWare. Среда разработки: Visual Studio 2017. Разработчик: Tvple Eraser. 

© Генеалогия: RensenWare > Haruna, Kashima

К зашифрованным файлам добавляется расширение .RENSENWARE 

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с условием вымогателя выступает экран блокировки.

Содержание текста с экрана:
WARNING!
Your system have been encrypted by Rensenware!
What the HELL is it?
Minamitsu "The Captain" Murasa encrypted your precious data like documents, musics, pictures, and some kinda project files. it can't be recovered without this application because they are encrypted with highly strong encryption algorithm, using random key.
How can I recover my files?
That's easy. You just play TH12 ~ Undefined Fantastic Object and score over 0.2 billion in LUNATIC level. this application will detect TH12 process and score automatically. DO NOT TRY CHEATING OR TEMRMINATE THIS APPLICATION IF YOU DON'T WANT TO BLOW UP THE ENCRYPTION KEY!

Перевод текста на русский язык:
ПРЕДУПРЕЖДЕНИЕ!
Ваша система была зашифрована Rensenware!
Что за чертовщина?
Минамицу «Капитан» Мураса зашифровал ваши ценные данные, такие как документы, музыкальные файлы, фото и некоторые проектные файлы. Они не могут быть восстановлены без этого приложения, потому что он зашифрован с помощью сверхнадёжного алгоритма шифрования с использованием случайного ключа.
Как мне восстановить свои файлы?
Это легко. Вы просто играете TH12 ~ Undefined Fantastic object и выигрываете более 0,2 миллиарда в уровне LUNATIC. это приложение автоматически обнаружит процесс TH12 и подсчитает. НЕ ПЫТАЙТЕСЬ МОШЕННИЧАТЬ ИЛИ ВЫРУБАТЬ ЭТО ЗАЯВЛЕНИЕ, ЕСЛИ ВЫ НЕ ХОТИТЕ ПОТЕРЯТЬ КЛЮЧ!

После достижения уровня "лунатиков" запускается декриптер и расшифровывает файлы. 

После этого процесса выводится сообщение:
Decryption Complete!
lf there are encrypted files exists, use manual decrypter with key/IV files saved in desktop!

Перевод сообщения на русский язык:
Расшифровка завершена!
Если есть зашифрованные файлы, запустите вручную декриптер с key- и IV-файлами, сохраненными на рабочем столе!

К сожалению, это не пустая угроза от разработчика, так как ResenWare не сохраняет ключ дешифрования и не записывает в память меньшие результаты, и если жертва закроет программу и завершит процесс, то ключ дешифрования будет потерян навсегда. 

Для контроля счёта крипто-вымогатель ищет процесс Th12 и в случае обнаружения считывает из него информацию, чтобы определить текущий счет и уровень игры. Если жертвой достигнут LUNATIC-уровень и набрано более 0,2 млрд очков, то крипто-вымогатель сохраняет ключ на рабочий стол и начинает процесс дешифровки.

Технические детали

Распространяется в определённых кругах, но может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.7z, .alz, .avi, .bas, .c, .cpp, .cs, .doc, .docx, .egg, .flac, .frm, .gif, .hwp, .jpg, .js, .mkv, .mp3, .mp4, .pdf, .png, .ppt, .pptx, .psd, .rar, .raw, .txt, .vb, .wav, .xls, .xlsx, .zip (32 расширения).

Это могут быть документы MS Office, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
rensenware.exe
decrypter.exe
<random>.exe
<random>.ini
Key File
IV File
rensenWare_forcer.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://github.com/0x00000FF/rensenware_force
xxxxs://github.com/0x00000FF/rensenware_force/releases
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Обновление от 7 апреля 2017: 

Создатель RensenWare создал инструмент, который записывает в память результаты игры, необходимые для дешифрования, чтобы можно было расшифровать файлы.  Также он написал извинение. Его программа должна была быть шуткой для определённой группы людей, но что-то пошло не так. 





Текст извинений от разработчика Tvple Eraser:
Embarrassing, but I decided to do what I must.
First of all, I'd like to apologize everyone for making shocked, or annoyed. Ransomeware is defenitely kind of highly-fatal malware, but I made it. I made it for joke, and just laughing with people who like Touhou Project Series. so I distributed source code except compiled binary on the web. however, at the point of the distribution, the tragedy was beginning.
Maybe It's okay if I remove the encryption/decryption logic before I distribute the source code. then rensenWare can be treated kind of joke program. but I didn't.
A number of people blamed me. It's natural. because I made accident definitely wrong.
So I pulled down the source code of the rensenWare from the Github, and made this tool. I hope this tool can help the ones who are already affected by rensenWare.
Once again, I apology to everyone. I'm really sorry.
P.S. I'm not sure this apology is enough to you. If not, then I apologize again in this Post Script. It didn't meant to be evil. I hope you understand of it.

Перевод на русский:
Стыдно, но я решил сделать то, что должен.
Прежде всего, я хочу извиниться перед всеми, кого шокировал или рассердил. Ransomeware - это определённо вредоносная программа, но я ее сделал. Я делал её ради шутки и посмеяться над теми, кто любит серию проектов Touhou. Я распространял исходный код без скомпилированного бинарника в Интернете. Но в момент раздачи началась трагедия.
Наверное, правильнее было бы, если бы я удалил логику шифрования/дешифрования до раздачи исходников. Тогда rensenWare точно был бы программой-шуткой. Но я этого не сделал.
Многие люди обвиняли меня. Это понятно. Ведь я сделал плохой поступок, что определённо неправильно.
Итак, я вытащил исходный код rensenWare из Github и сделал этот инструмент. Я надеюсь, что этот инструмент может помочь тем, кто уже подвергся воздействию rensenWare.
Еще раз, я приношу свои извинения всем. Мне очень жаль.
P.S. Я не уверен, что этого извинения для вас достаточно. Если нет, то я снова приношу свои извинения в этом пост-скрипте. Это было не со зла. Я надеюсь, вы понимаете это.

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

RensenWare Ransomware - апрель 2017

неописанные варианты между 2017 - 2022 гг.

Haruna Ransomware - март 2022

Kashima Ransomware - март 2022

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 20 февраля 2022:

Самоназвание: Haruna, HarunaWare

Сообщение >>

Расширение: .Haruna

---

Самоназвание: KashimaWare

Сообщение >>

Расширение: .KASHIMA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS === 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RensenWare)
 Write-up (added on April 7, 2017)
The apology by dev Rensenware

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Lawrence Abrams
 Andrew Ivanov (article author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

LMAOxUS

LMAOxUS Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название. Другое, указанное на файле: exeBase. Разработчик: Empinel. 

© Генеалогия: EDA2 >> Stolich (St01ich) > LMAOxUS

К зашифрованным файлам добавляется расширение .lmao

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: LMAO_READ_ME.txt

Содержание записки о выкупе:
You've been rekt by LMAOxUS. 
Your Personal Identifier is 1111111111. Keep it handy if you want your data. 
Visit ... for more info.
Your expiration date is: 4/6/2017 10:08:41 AM

Перевод записки на русский язык:
Вы были рект LMAOxUS. 
Ваш идентификатор - 1111111111. Держите его, если хотите свои данные.
Посетите ... для инфы.
Ваше время истекает: 4/6/2017 10:08:41 дня

Изображение для обоев рабочего стола

Веб-страницы сайта вымогателей

Веб-страницы сайта вымогателя и изображение для обоев также выступают информатором жертвы, о том, что её ректанули, а данные захватили.  

Распространяется по форумам, находясь внутри exe-файла Minecraft. После доработки может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений). 

Это документы MS Office, OpenOffice, файлы веб-страниц, текстовые файлы, базы данных, фотографии и пр.

Файлы, связанные с этим Ransomware:
MinecraftLauncher.exe
minecraft_crack2.1.0-REALMS.zip
exeBase.exe
LMAO_READ_ME.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***lmaoxus.gq***
lmaoxus@safe-mail.net
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ для Stolich >>
VirusTotal анализ для LMAOxUS >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as LMAOxUS)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Jack, Catalin Cimpanu 
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kripto64

Kripto64 Ransomware
Turkish HTx64 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 500TL (500 турецких лир), чтобы вернуть файлы. Оригинальное название. указанное на файле: Kripto. Только для 64-разрядных систем. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Hidden Tear >> Kripto64 (Turkish HTx64)

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на турецкоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком !!! Dikkat !!! (Внимание).

Содержание записки о выкупе:
UYARI: BİLGİSAYARINIZDAKİ TÜM VERİLER VE DOSYALAR ŞİFRELENDİ!
SİZDE ŞİFRELENEN DOSYALARINıZ İÇİN 500TL BİR DEFAYA MAHSUS BİR ÜCRET TALEP EDİYORUZ. 
BELİRTİLEN ÜCRETİ ÖDEDİĞİNİZ TAKDİRDE SİSTEMİNİZE BAĞLANıYORUZ VE KİLİTLİ DOSYALARıNıZı AÇıYORUZ. 
YıLLARıN VERDİĞİ TECRÜBEYE DAYANARAK SÖYLEYEBİLİRİMKİ DOSYALARıNıZı BİZDEN BAŞKA KİMSE SİZE GERİ VEREMEZ.
İNDİRİLEN VİRÜSE KENDİNİZ ÖZGÜR İRADENİZLE TıKLADıĞıNıZ VE AYRıCA TÜM İŞLEMİ KENDİ BİLGİSAYARINIZ YAPTIĞI İÇİN SUÇ DUYURUSUNDA BULUNMANıZ BİR ŞEY İFADE ETMEZ. 
ÖDEMEYİ ALDıKTAN SONRA BİLGİSAYARıNıZDAKİ TÜM ŞİFRELERİ DOSYALARı AÇıYORUZ VE ALT KATMAN TEMİZLİĞİ YAPıYORUZ VE KALDıĞıNıZ YERDEN DEVAM EDİYORSUNUZ.
REFERANS NUMARANıZ: ÖRNEK REFERANS NUMARASı BİZİMLE İLETİŞİME GEÇERKEN REFERANS NUMARANıZı YAZıNKI SIZIN KİM OLDUĞUNUZU BİLELİM.
Parayı 5 gün içinde yani 06/04/2017 tarihine kadar ödemezseniz bilgisayarınız imha edilecek!

Перевод записки на русский язык:
ВНИМАНИЕ: Все имеющиеся на компьютере файлы были зашифрованы!
За дешифровку файлов от вас требуется единовременный платеж в 500 ТЛ. 
Как только вы заплатите, мы подключимся к вашей системе и разблокируем файлы.
*** пропускаем ***
Если вы не заплатите за 5 дней, до 06/04/2017, то ваш компьютер будет уничтожен!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Kripto.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Python, Client

Python Ransomware

Python-Client Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,3 BTC, чтобы вернуть файлы. Написан на Python, отсюда название. На файле написано: client.exe и enc. 

Обнаружения:

BitDefender -> Trojan.GenericKD.4781742

ESET-NOD32 -> Python/Filecoder.S

TrendMicro -> Ransom_TRESORAS.A

© Генеалогия: предыдущие Python Ransomware >> Python-Client

К зашифрованным файлам добавляется расширение: *нет данных*.

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: NOTE.html

Содержание записки о выкупе:
All of your important images, videos, and files have been encrypted. The only way to get them back is to pay the ransom within 3 hours.
Failure to pay within the time limit will result in the permanent loss of your files.
The only form of payment is bitcoin.
Create an account using one of the following links and pay 0.3 bitcoins to the address: %s.
Coinmama
Cexio
Paxful
Coinbase
CoinCorner

Перевод записки на русский язык:
Все ваши важные изображения, видео и файлы зашифрованы. Только один способ вернуть их - заплатить выкуп в течение 3 часов.
Невыплата в течение срока приведет к безвозвратной потере ваших файлов.
Только один способ оплаты - биткоин.
Создайте аккаунт по одной из следующих ссылок и платите 0.3 биткоина на адрес: %s.
Coinmama
Cexio
Paxful
Coinbase
CoinCorner

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no

bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
NOTE.html
client.exe
Python.exe
dab.exe

<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

FakeWU

FakeWU Ransomware

Fake WindowsUpdater Ransomware 

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим ECB), а затем требует выкуп в 0.02 BTC, чтобы вернуть файлы. Разработчик: FathurFreakz. Среда разработки: Visual Studio 2010. Фальш-имена: WindowsApplication1, WindowsApplication9, WindowsUpdater. Название получил от файла WindowsUpdater.exe с приставкой Fake (фейк, фальшивый). 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: © Генеалогия: GX40 > FakeWU 

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа имеют заголовок "FILE SECURITY PROTECTED"

Содержание записки о выкупе:
YOUR FILES HAS BEEN ENCRYPTED
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
Now you have the last chance to decrypt your files.
1. Buy Bitcoin (https://en.bitcoin.it/wiki/Buying_bitcoins)
2. Send amount of 0.02 BTC to address: 3BsyRz2scfvXcWRaycPoizEH5hAbDmWcpNE
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at ransomwareinc@yopmail.com
5. Write subject of your mail with :
'Restore my files ***'
6. Write content of your mail with :
'Bitcoin payment : (YOUR BITCOIN TRANSACTION ID)
Computer Identifier : *** '
7. We will contact you back with your private key.
button [RESTORE]

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с самым мощным шифрованием и уникальным ключом, созданным для этого компьютера.
Закрытый ключ дешифрования хранится на секретном интернет-сервере и никто не может расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
Сейчас у вас есть последний шанс расшифровать ваши файлы.
1. Купить биткойн (https://en.bitcoin.it/wiki/Buying_bitcoins)
2. Отправьте 0,02 BTC на адрес: 3BsyRz2scfvXcWRaycPoizEH5hAbDmWcpNE
3. Для подтверждения транзакции нужно около 15-30 минут.
4. Когда транзакция подтвердится, напишите нам email на адрес ransomwareinc@yopmail.com.
5. Напишите тему своей почты как:
'Restore my files ***'
6. Напишите содержимое своей почты с помощью:
'Bitcoin payment : (YOUR BITCOIN TRANSACTION ID)
Идентификатор компьютера: *** 
7. В ответ мы пришлем ваш закрытый ключ.
кнопка [RESTORE]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.#vc, .$ac, ._vc, .00c, .07g, .07i, .08i, .09i, .09t, .10t, .11t, .123, .13t, .1pa, .1pe, .2011, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .3me, .3pe, .500, .7z, .aac, .aaf, .ab4, .ac2, .acc, .accd, .ach, .aci, .acm, .acr, .aep, .aepx, .aes, .aet, .afm, .ai, .aif, .amj, .as, .as3, .asc, .asf, .asm, .asp, .asx, .ati, .avi, .back, .bak, .bat, .bay, .bc8, .bc9, .bd2, .bd3, .bgt, .bk2, .bkf, .bmp, .bpf, .bpw, .brd, .brw, .btif, .bz2, .c, .cal, .cat, .cb, .cd, .cdf, .cdr, .cdt, .cdx, .cf8, .cf9, .cfdi, .cfp, .cgm, .cgn, .ch, .chg, .cht, .clas, .clk, .cmd, .cmx, .cnt, .cntk, .coa, .cpp, .cpt, .cpw, .cpx, .crt, .cs, .csl, .csr, .css, .csv, .cur, .cus, .d07, .dac, .dat, .db, .dbf, .dch, .dcr, .ddd, .dds, .defx, .der, .des, .dgc, .dif, .dip, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsb, .dsf, .dtau, .dtd, .dtl, .dwg, .dxf, .dxi, .ebc, .ebd, .ebq, .ec8, .efs, .efsl, .efx, .emd, .eml, .emp, .ens, .ent, .epa, .epb, .eps, .eqb, .ert, .esk, .ess, .esv, .etq, .ets, .exp, .fa1, .fa2, .fca, .fcpa, .fcpr, .fcr, .fef, .ffd, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .fxw, .fyc, .gdb, .gem, .gfi, .gif, .gnc, .gpc, .gpg, .gsb, .gto, .gz, .h, .h10, .h11, .h12, .hbk, .hif, .hpp, .hsr, .html, .hts, .hwp, .i2b, .iban, .ibd, .ico, .idml, .iff, .iif, .img, .imp, .indb, .indd, .indl, .indt, .ini, .int, .intu, .inv, .inx, .ipe, .ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsd, .jsda, .jsp, .kb7, .kd3, .kdc, .key, .kmo, .kmy, .lay, .lay6, .lcd, .ldc, .ldf, .ldr, .let, .lgb, .lhr, .lid, .lin, .lld, .lmr, .log, .lua, .lz, .m, .m10, .m11, .m12, .m14, .m15, .m16, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max, .mbsb, .md, .mda, .mdb, .mdf, .mef, .mem, .met, .meta, .mhtm, .mid, .mkv, .ml2, .ml9, .mlb, .mlc, .mmb, .mml, .mmw, .mn1, .mn2, .mn3, .mn4, .mn5, .mn6, .mn7, .mn8, .mn9, .mne, .mnp, .mny, .mone, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .mql, .mrq, .ms11, .msg, .mwi, .mws, .mx0, .myd, .mye, .myi, .myox, .n43, .nap, .nd, .nef, .nl2, .nni, .npc, .nv, .nv2, .oab, .obi, .odb, .odc, .odg, .odm, .odp, .ods, .odt, .oet, .ofc, .ofx, .old, .omf, .op, .orf, .ost, .otg, .otp, .ots, .ott, .p08, .p12, .p7b, .p7c, .paq, .pas, .pat, .pcd, .pcif, .pct, .pcx, .pd6, .pdb, .pdd, .pdf, .pem, .per, .pfb, .pfd, .pfx, .pg, .php, .pic, .pl, .plb, .pls, .plt, .pma, .pmd, .png, .pns, .por, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptx, .pr0, .pr1, .pr2, .pr3, .pr4, .pr5, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptdb, .ptk, .ptx, .pvc, .pxa, .py, .q00, .q01, .q06, .q07, .q08, .q09, .q43, .q98, .qb1, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbmd, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qbz, .qch, .qcow, .qdf, .qdfx, .qdt, .qel, .qem, .qfi, .qfx, .qif, .qix, .qme, .qml, .qmt, .qmtf, .qnx, .qob, .qpb, .qpd, .qpg, .qph, .qpi, .qsd, .qsm, .qss, .qst, .qtx, .quic, .quo, .qw5, .qwc, .qwmo, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb, .rcs, .rda, .rdy, .reb, .rec, .resx, .rif, .rm, .rpf, .rsspptm, .rtf, .rtp, .rw2, .rwl, .rz, .s12, .s7z, .saf, .saj, .say, .sba, .sbc, .sbd, .sbf, .scd, .sch, .sct, .sdf, .sdy, .seam, .ses, .set, .shw, .sic, .skg, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .stm, .str, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t00, .t01, .t02, .t03, .t04, .t05, .t06, .t07, .t08, .t09, .t10, .t11, .t12, .t13, .t14, .t15, .t99, .ta1, .ta2, .ta4, .ta5, .ta6, .ta8, .ta9, .tar, .tax, .tax0, .tax1, .tax2, .tb2, .tbk, .tbp, .tdr, .text, .tfx, .tga, .tgz, .tif, .tiff, .tkr, .tlg, .tom, .tpl, .trm, .trn, .tt10, .tt11, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .u08, .u10, .u11, .u12, .uop, .uot, .v30, .vb, .vbpf, .vbs, .vcf, .vdf, .vdi, .vmb, .vmdk, .vmx, .vnd, .vob, .vsd, .vyp, .vyr, .wac, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xaa, .xcf, .xeq, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .yuv, .zdb, .ziparc, .zipx, .zix, .zka (666 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WindowsUpdater.exe
Transaction-Report.docx.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2-сервер: xxxx://ganedata.co.uk/ransomware/ransomware.php 
***xxxx://ganedata.co.uk/Transaction-Report.docx.exe***
Email: ransomwareinc@yopmail.com - одноразовый анонимный адрес
BTC: 3BsyRz2sdvXcWRaycPoizEH5hAbDmWcpNE
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Thyrex
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

One

One Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует написать на email вымогателей, чтобы вернуть файлы. Известна сумма выкупа в 0,3 BTC. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: NMoreira ⇔ One или NMoreira > One

К зашифрованным файлам добавляется расширение .one

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру. Известно, что шифровальщик атакует малые и средние предприятия Бразилии. 

Записки с требованием выкупа называются: Recupere seus arquivos aqui.txt

Содержание записки о выкупе:
Seus arquivos foram criptografados.
Essa sua chave: *****
Para recupera-los entre em contato pelo nosso email: one@proxy.tg enviando sua chave.
Responderemos seu email em at 24h.

Перевод записки на русский язык:
Ваши файлы зашифрованы.
Это ваш ключ: *****
Для их восстановления пишите на наш email: one@proxy.tg для получения ключа.
Ответим на ваш email через 24 часа.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Recupere seus arquivos aqui.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
one@proxy.tg
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер!
Скачать декриптер для NMoreira + One Ransomware >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as NMoreira)
 Write-up (added April 24, 2017)
 * 

 Thanks: 
 Michael Gillespie‏
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Xorist-Zixer2

Xorist-Zixer2 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью TEA, а затем требует написать на email вымогателей, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Xorist >> Xorist-Zixer2

К зашифрованным файлам добавляется расширение .zixer2
Имена файлов остаются прежними.

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: HOW TO DECRYPT FILES.TXT

Содержание записки о выкупе:
ATTENTION !
All Your Files Was Encrypted !
E-mail addresses: Datares@india.com

Перевод записки на русский язык:
ВНИМАНИЕ!
Все Ваши Файлы Зашифрованы!
Email-адрес: Datares@india.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.TXT

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Xorist)
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 Thyrex
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Faizal

Faizal Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100000 Rp (Индонезийская рупия, IDR), чтобы вернуть файлы. Оригинальное название.

Купюра в 100000 индонезийских рупий

© Генеалогия: HiddenTear >> Faizal 

К зашифрованным файлам добавляется расширение .gembok

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на индонезийских пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: PENTING !!!.htm (индонез. ВАЖНО!!!). 

Содержание записки о выкупе:
File-file Anda Pada Folder Document Telah TERKUNCI Dengan Sistem Pengamanan Khusus!!
Untuk Dapat Membukanya Segera Kirimkan Kode Voucher Pulsa Senilai Rp 100.000 Ke Alamat Email: leprogames777@gmail.com

Перевод записки на русский язык:
Ваши файлы, документы и папки заблокированы специальной системой безопасности!!
Для разблокировки надо выслать код ваучера на сумму 100000 рупий на email-адрес: leprogames777@gmail.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Street Racing Club - SETUP.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer, Lawrence Abrams
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.