AES-NI: April Edition

AES-NI Ransomware: April Edition

SPECIAL VERSION: NSA EXPLOIT EDITION

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (ECB-режим) + RSA-2048, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: AES-NI. Способы оплаты выкупа: индивидуальные для каждого клиента. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: AES-NI >> AES-NI: April Edition

К зашифрованным файлам добавляется расширение .aes_ni

Появление этой обновлённой версии пришлось на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Для России, Беларуси и некоторых других стран из бывшего Союза шифровальщик не работает. Но если такое случится, то для пострадавших из этих стран СНГ расшифровка бесплатная!!!
Геолокация определяется благодаря обращению к легитимному сайту ipinfo.io. 

Записки с требованием выкупа размещаются во всех папках с зашифрованными файлами и называются: !!! READ THIS - IMPORTANT !!!.txt

Смешение элементов букв названия произошло в моём блокноте. 
В оригинале надпись в ASII представлена в нормальном виде. 

Содержание записки о выкупе:

==========================# aes-ni ransomware #==========================

                   █████╗ ██████╗██████╗        ███╗    ██╗ ██╗

                  ██╔═██╗██╔═══╝██╔═══╝        ████╗  ██║ ██║

                  ██████║█████╗  ██████╗███╗██╔██╗██║ ██║

                  ██╔═██║██╔══╝  ╚═══██║╚══╝██║╚████║ ██║

                  ██║  ██║██████╗██████║        ██║  ╚███║ ██║

                  ╚═╝  ╚═╝╚═════╝╚═════╝        ╚═╝    ╚══╝ ╚═╝

SORRY! Your files are encrypted.

File contents are encrypted with random key (AES-256 bit; ECB mode).

Random key is encrypted with RSA public key (2048 bit).

We STRONGLY RECOMMEND you NOT to use any "decryption tools".

These tools can damage your data, making recover IMPOSSIBLE.

Also we recommend you not to contact data recovery companies.

They will just contact us, buy the key and sell it to you at a higher price.

If you want to decrypt your files, you have to get RSA private key.

In order to get private key, write here:

0xc030@protonmail.ch

Also there is one fast way to contact us.

If you are familiar with Jabber, write us to JID: zooolo@darknet.nz (it is Jabber, not e-mail address!)

You can get Jabber account for example at https://www.xmpp.jp/signup

IMPORTANT: In some cases malware researchers can block our e-mails.

If you did not receive any answer on e-mail in 48 hours,

 please do not panic and write to BitMsg (https://bitmsg.me) address:

 BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN

 or create topic on https://www.bleepingcomputer.com/ and we will find you there.

Also it will be better if you download Tor browser here: https://www.torproject.org/download/download-easy.html.en

Download, install and run it; then visit our site (from Tor browser): http://kzg2xa3nsydva3p2.onion/index.php

Please do not visit this site from standard browser: it just will not open. You need Tor Browser to open .onion sites.

There is a form, you can write us there if all e-mails are blocked and we will contact you very fastly.

If someone else offers you files restoring, ask him for test decryption.

 Only we can successfully decrypt your files; knowing this can protect you from fraud.

You will receive instructions of what to do next.

You MUST refer this ID in your message:

PC#EB53D6F20CF4C8BDCFD536DE4B29906C

Also you MUST send all ".key.aes_ni" files from C:\ProgramData if there are any.

==========================# aes-ni ransomware #==========================

Additional message:
After payment, clients receive full consultation and recommendations for improving safety.

Перевод записки на русский язык:
ПРОСТИТЕ! Ваши файлы зашифрованы.
Содержимое файла зашифровано со случайным ключом (AES-256, режим ECB).
Случайный ключ зашифрован с помощью открытого ключа RSA (2048 бит).
Мы НАСТОЯТЕЛЬНО РЕКОМЕНДУЕМ НЕ использовать какие-то "инструменты дешифрования".
Эти инструменты могут повредить ваши данные, сделав восстановление НЕВОЗМОЖНЫМ.
Также мы рекомендуем вам не связываться с компаниями, занимающимися восстановлением данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене.
Если вы хотите расшифровать свои файлы, вам нужно получить закрытый ключ RSA.
Чтобы получить закрытый ключ, напишите сюда:
0xc030@protonmail.ch
Также есть более быстрый способ связаться с нами.
Если вы знакомы с Jabber, пишите нам на JID: zooolo@darknet.nz (это Jabber, а не email-адрес!)
Вы можете получить учетную запись Jabber, например, по адресу https://www.xmpp.jp/signup
ВАЖНО: В некоторых случаях исследователи Malware могут блокировать наши email.
Если вы не получили ответа по email в течение 48 часов,
 Пожалуйста, не паникуйте и пишите на адрес BitMsg (https://bitmsg.me):
 BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
 Или создайте тему на https://www.bleepingcomputer.com/, и мы найдем вас там.
Также будет лучше, если вы загрузите браузер Tor здесь: https://www.torproject.org/download/download-easy.html.en
Загрузите, установите и запустите; затем посетите наш сайт (из браузера Tor): http://kzg2xa3nsydva3p2.onion/index.php
Пожалуйста, не заходите на этот сайт с обычного браузера: он просто не откроется. Вам нужен Tor Browser для открытия сайтов .onion.
Там есть форма, вы можете написать нам туда, если все email заблокированы, и мы свяжемся с вами очень быстро.
Если кто-то предлагает вам восстановить файлы, попросите его сделать тест-расшифровку.
 Только мы можем успешно расшифровать ваши файлы; знайте, это может защитить вас от мошенничества.
Вы получите инструкции о том, что делать дальше.
Вы ДОЛЖНЫ указать этот идентификатор в своем сообщении:
ПК # EB53D6F20CF4C8BDCFD536DE4B29906C
Также вы ДОЛЖНЫ отправить все файлы «.key.aes_ni» из C: \ ProgramData, если они есть.

Дополнительное сообщение:
После оплаты клиенты получают полную консультацию и рекомендации по улучшению безопасности.

Страница "AES-NI support form" в Tor-сети:

Используется для атак на корпоративный сектор, серверные версии Windows и веб-серверы. Может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов (специальная эксплойтная версия), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

AES-NI определяет локальный язык и страну пользователей, подключаясь в адресу ipinfo.io, поэтому шифровальщик не работает у пользователей из России и стран СНГ (защита от запуска). 
Использует антиреверсинг, определяет запуск в песочнице.
Очищает все журналы событий Windows с помощью команды wevtutil.exe.

Завершает работу следующих процессов: 
Acronis VSS Provider
AcronisAgent
AcronisFS
AcronisPXE
AcrSch2Svc
AdobeARMservice
Altaro.Agent.exe
Altaro.HyperV.WAN.RemoteService.exe
Altaro.SubAgent.exe
Altaro.UI.Service.exe
AMS
Apache2.2
Apache2.4
ARSM
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDeviceMediaService
BackupExecJobEngine
BackupExecManagementService
BackupExecRPCService
BCFMonitorService
bedbg
Browser
cbVSCService11
CertPropSvc
CertSvc
CobianBackup11
ComarchAutomatSynchronizacji
ComarchML
ComarchUpdateAgentService
CrashPlanService
dashboardMD Sync
DataCollectorSvc
dbupdate
dbupdatem
DbxSvc
DLOAdminSvcu
DLOMaintenanceSvc
DomainManagerProviderSvc
EDBSRVR
eXchange POP3 6.0
FBSServer
FBSWorker
FirebirdGuardianDefaultInstance
FirebirdServerDefaultInstance
GenetecSecurityCenterMobileServer
GenetecServer
GenetecWatchdog
KAORCMP999467066507407
LMIRfsDriver
LogisticsServicesHost800
MELCS
memcached Server
MEMTAS
MEPOCS
MEPOPS
MESMTPCS
MicroMD AutoDeploy
MicroMD Connection Service
MICROMD72ONCOEMR
MMS
MsDtsServer
MsDtsServer100
MSExchangeADTopology
MSExchangeAntispamUpdate
MSExchangeEdgeSync
MSExchangeFBA
MSExchangeFDS
MSExchangeImap4
MSExchangeIS
MSExchangeMailboxAssistants
MSExchangeMailSubmission
MSExchangeMonitoring
MSExchangePop3
MSExchangeRep
MSExchangeRepl
MSExchangeSA
MSExchangeSearch
MSExchangeServiceHost
MSExchangeTransport
MSExchangeTransportLogSearch
msftesql$SBSMONITORING
msftesql-Exchange
MSSQL$ACRONIS
MSSQL$BKUPEXEC
MSSQL$MICROSOFT##SSEE
MSSQL$MICROSOFT##WID
MSSQL$PROBA
MSSQL$SBSMONITORING
MSSQL$SHAREPOINT
MSSQL$SQL2005
MSSQL$SQLEXPRESS
MSSQL$VEEAMSQL2008R2
MSSQLFDLauncher
MSSQLFDLauncher$PROBA
MSSQLFDLauncher$SBSMONITORING
MSSQLFDLauncher$SHAREPOINT
MSSQLSERVER
MSSQLServerADHelper
MSSQLServerADHelper100
MSSQLServerOLAPService
MSSQLSERVR
MySQL
MySQL56
NAVSERVER
ONCOEMR2MICROMD7
PleskControlPanel
PleskSQLServer
plesksrv
PopPassD
postgresql-8.4
postgresql-9.5
PRIMAVERAWindowsService
PrimaveraWS800
PrimaveraWS900
QBFCService
QBVSS
QuickBooksDB23
QuickBooksDB25
RBMS_OptimaBI
RBSS_OptimaBI
RemoteSystemMonitorService
ReportServer
SBOClientAgent
ServerService
sesvc
ShadowProtectSvc
SPAdminV4
spiceworks
SPSearch4
SPTimerV3
SPTrace
SPTraceV4
SPWriter
SPWriterV4
SQLAgent$PROBA
SQLAgent$SBSMONITORING
SQLAgent$SHAREPOINT
SQLAgent$SQLEXPRESS
SQLAgent$VEEAMSQL2008R2
SQLBrowser
SQLSERVERAGENT
SQLWriter
stc_raw_agent
StorageNode
swprv
TeamViewer
TTESCheduleServer800
vds
Veeam Backup and Replication Service
Veeam Backup Catalog Data Service
VeeamCatalogSvc
VeeamCloudSvc
VeeamDeploymentService
VeeamMountSvc
VeeamNFSSvc
VeeamTransportSvc
vmicvss
vmms
VSNAPVSS
VSS
W32Time
W3SVC
WinVNC4
wsbexchange
WSearch
WseComputerBackupSvc
WseEmailSvc
WseHealthSvc
WseMediaSvc
WseMgmtSvc
WseNtfSvc
WseStorageSvc
WSS_ComputerBackupProviderSvc
WSS_ComputerBackupSvc
zBackupAssistService
ZWCService

Особенности версии:
Особенности версии:
- наличие в AES-NI региональных ограничений;
- вписывает ИД ключа и оригинальное имя файла в зашифрованный файл (добавлено 20-25 марта).

Шифруются все файлы, кроме тех, что имеют расширения:
.dll, .exe, .lnk, .mui, .sys

Пропускаются папки Windows, Desktop, Drivers и Temp на дисках. 

Таким образом документы MS Office, PDF, базы данных, фотографии, музыка, видео, архивы наверняка будут зашифрованы, а система будет работать. 

Файлы, связанные с этим Ransomware:
!!! READ THIS - IMPORTANT !!!.txt
файлы .key.aes_ni
<random>.tmp.exe
decoder.exe

Расположения:
C:\ProgramData\.key.aes_ni

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://kzg2xa3nsydva3p2.onion/index.php
***3nsydva3p2.onion/gate.php***
BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
0xc030@protonmail.ch и другие. 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ для SPECIAL VERSION: NSA EXPLOIT EDITION >>
VirusTotal анализ для SPECIAL VERSION: NSA EXPLOIT EDITION >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Почему это произошло? 

Нельзя использовать устаревшие версии Windows, в которых дыра на дыре сидит и дырой погоняет.
Настройки безопасности Windows по умолчанию никуда не годятся. RDP такой, какой нужен хакерам.
В вашей организации кабинет директора, офис с компьютерами запираются же на ключ, есть охрана.
Так почему же на сервере открытая настежь дверь с табличкой "Заходи, кто хочешь, бери, что хочешь"? 
Хакерам и их программам для взлома даже ничего ломать не нужно — просто зайти в открытую дверь... 

*****************************

Обновление от 16 апреля 2017:


Версия без бильда: SPECIAL VERSION: NSA EXPLOIT EDITION
Записка: !!! READ THIS - IMPORTANT !!!.txt
Расширение: .aes_ni_0day
Файлы файлы .key.aes_ni_0day
Email: 0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@scryptmail.com
Для пострадавших из России, Беларуси и других стран СНГ расшифровка бесплатная!!!


Содержание записки:
=====# aes-ni ransomware #=====
AES-NI
SPECIAL VERSION: NSA EXPLOIT EDITION
INTRO: If you are reading it, your server was attacked with NSA exploits.
Make World Safe Again.
SORRY! Your files are encrypted.
File contents are encrypted with random key (AES-256 bit; ECB mode).
Random key is encrypted with RSA public key (2048 bit).
We STRONGLY RECOMMEND you NOT to use any "decryption tools".
These tools can damage your data, making recover IMPOSSIBLE.
Also we recommend you not to contact data recovery companies.
They will just contact us, buy the key and sell it to you at a higher price.
If you want to decrypt your files, you have to get RSA private key.
In order to get private key, write here:
0xc030@protonmail.ch
0xc030@tuta.io
aes-ni@scryptmail.com
IMPORTANT: In some cases malware researchers can block our e-mails.
If you did not receive any answer on e-mail in 48 hours,
 please do not panic and write to BitMsg (https://bitmsg.me) address:
 BM-2cVgoJS8HPMkjzgDMVNAGg5TG3bb1TcfhN
 or create topic on https://www.bleepingcomputer.com/ and we will find you there.
If someone else offers you files restoring, ask him for test decryption.
 Only we can successfully decrypt your files; knowing this can protect you from fraud.
You will receive instructions of what to do next.
You MUST refer this ID in your message:
RECOVERI2#97B0C34050C1C00F7A2977CB25******
Also you MUST send all ".key.aes_ni_0day" files from C:\ProgramData if there are any.
=====# aes-ni ransomware #=====
*****************************

Обновление апреля/мая 2017:
Почта только для пострадавших из России и некоторых стран бывшего Союза: 
michell_nulled@protonmail.ch
aes-ni@scryptmail.com
Дублируйте запрос на оба адреса. 

Обновление 20 июня 2017:
КЛЮЧИ и ДЕКРИПТЕР от РАЗРАБОТЧИКА AES-NI для ДЕШИФРОВКИ
------------------------------------------------------
IN ENGLISH
-------------------------
keys: https://www.sendspace.com/file/8co1k2
pass: dT3FfWkaOKaWGLk
MD5: 269802A70BEC0D74DA42D74DB7EEDE6F
SHA-256: 72CD9E37779910B9CCDA99489455FAF0A44EDA823DE1AF2376F5589DE8194E15
---
Decrypter and private keys
https://www.sendspace.com/file/n3ha1w
password: 6bvlWD9yz3yBtQyOhtAqFheg
MD5 D0187361E5E893D1CF23EA1877F340C2
---
RSA 2048 private master key for offline AES-NI keys.
https://www.sendspace.com/file/fz133k 
pass: 85W0vhRkPbqcvaTafHknhMRP
---
We wish you a successful decrypting!
---------------------------------------------------
НА РУССКОМ ЯЗЫКЕ
-------------------------
ключи: https://www.sendspace.com/file/8co1k2
пароль: dT3FfWkaOKaWGLk
MD5: 269802A70BEC0D74DA42D74DB7EEDE6F
SHA-256: 72CD9E37779910B9CCDA99489455FAF0A44EDA823DE1AF2376F5589DE8194E15
---
Декриптер и закрытые ключи
https://www.sendspace.com/file/n3ha1w
пароль: 6bvlWD9yz3yBtQyOhtAqFheg 
MD5 D0187361E5E893D1CF23EA1877F340C2
---
RSA 2048 закрытый мастер-ключ оффлайн ключей AES-NI.
https://www.sendspace.com/file/fz133k 
пароль: 85W0vhRkPbqcvaTafHknhMRP
---
Желаем вам успешной дешифровки!

------------------------------------------------------

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as AES-NI)
 Write-up, Topic (n/a)
 * 

 Thanks: 
  AES-NI
  Thyrex
  *
  *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kindest

Kindest Ransomware

Kindest Eduware

(шифровальщик-вымогатель, шифровальщик-обучатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+SHA256, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название: Kindest. Другое, указанное на файле: PayUp. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Kindest Eduware

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Шифрует файлы, а затем предлагает просмотреть видео на Youtube. После просмотра всего видеоролика файлы автоматически дешифруются. Очередной шифровальщик-обучатель. 

Записками с требованием выкупа выступают экран блокировки и скринлок, встающий обоями рабочего стола. 

Содержание записки о выкупе:
Hello
Your computer has been infected by the Kindest Ransomware ever.
We will not take your money or anything else from you. We just want you to be more aware of ransomwares about how it works. Now watch this video while we are doing everything a ransomware does.
If you want to be more aware go to https://goo.gl/I79cH

Перевод записки на русский язык:
Привет
Ваш компьютер был заражен Kindest Ransomware.
Мы не будем брать ваши деньги или ещё что-то. Мы просто хотим, чтобы вы лучше знали о том, как это работает. Теперь посмотрите это видео, пока мы делаем все, что делает ransomware.
Если хотите узнать больше, идите на https://goo.gl/I79cH

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PayUp.exe
файл изображения для обоев

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 2 мая 2017:
Пост в Твиттере >>
Самоназвание: PayUp
Файл: PayUp.exe
Результаты анализов: VT

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Jiri Kropac‏ 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

WinSec

WinSec Ransomware
Portugese HT Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп за получение пароля для разблокировки файлов. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Hidden Tear >> WinSec

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ***

Содержание записки о выкупе:
OS DADOS DESTE DISPOSITIVO FORAM BLOQUEADOS
siga as instruções para desbloquear seus dados
• Etapa 1 • Etapa 2 • Etapa 3
Digite seu endereço de e-mail para obter a sua chave de desbloqueio:
Proxima etapa

Перевод записки на русский язык:
ДАННЫЕ НА ЭТОМ УСТРОЙСТВЕ ЗАБЛОКИРОВАНЫ
следуйте инструкциям для разблокировки данных
• Шаг 1 • Шаг 2 • Шаг 3
Введите свой адрес email для получения ключа разблокировки:
Следующий шаг

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
winsec.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AutoEncryptor

AutoEncryptor Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256+RSA, а затем требует выкуп в 10000 BTC, чтобы вернуть файлы. Оригинальное название, указанное на файле: AutoEncryptor. По сути является новой версией UserFilesLocker (CzechoSlovak).

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: UserFilesLocker (CzechoSlovak) > AutoEncryptor

К зашифрованным файлам добавляется расширение .ENCR 

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком FileLocker: 

Скриншот начального экрана и гифка всех четырёх

Содержание текста о выкупе:
Your personal data has been encrypted.
Info | Step 1 - payment | Step 2 - inform us | Step 3 - restore your data
Your personal data has been encrypted!
Encryption has been made using unique AES-256 key generated on this computer.
After data encryption was completed, key itself was encrypted using public RSA-2048 key and it’s currently stored on your Desktop and Documents folders.
Only decrypted AES key can be used to decrypt yor files and key decryption can be done only by us.
To decrypt your data you must pay amount of Bitcoins (BTC) shown bellow.
Follow 3 steps manual on how to buy Bitcoins and retrieve decrypted key to restore your files.
---
Visit http://www.simplecoin.cz and buy exact amount of BTC shown bellow.
Inside "Your wallet adress" field put our BTC wallet address:
moje adresa BTC
Amount to pay: 10000 BTC
---
Send an email with following content:
1. Encrypted key shown in pink field bellow.
2. Amount of BTC you payed.
babis@mfcr.cz
Encrypted key:
ISxyoaSsrljV9Bz4yLCaUlodlWpZozw84QxTEkb0fl3/5SskRZHLfNq/jJSb780LFG38gC)ZGXZGKie:
3. Wait until we send you decrypted password to mail you provided.
After that, please continue on page "Step 3"
---
Enter the decrypted key you received in the green box bellow and click "Decrypt".
Your files will be decrypted in several minutes.
Decrypted key:
***
[Decrypt]

Перевод записки на русский язык:
Ваши личные данные были зашифрованы.
Инфо | Шаг 1 - оплата | Шаг 2 - сообщить нам | Шаг 3. восстановить данные
Ваши личные данные зашифрованы!
Шифрование выполнено с помощью уникального ключа AES-256, созданного на этом компьютере.
После завершения шифрования сам ключ зашифрован с помощью открытого ключа RSA-2048, и он сейчас хранится в ваших папках «Рабочий стол» и «Документы».
Только дешифрованный ключ AES может использоваться для дешифровки ваших файлов и ключ дешифрования можем сделать только мы.
Для дешифровки ваших данных вы должны заплатить сумму в биткойнах (BTC), указанную ниже.
Следуйте 3 шагам инструкции чтобы купить биткойны и получить дешифрованный ключ для возврата ваших файлов.
---
Посетите сайт http://www.simplecoin.cz и купите точное количество показанного ниже BTC.
В поле «Your wallet adress» укажите адрес кошелька BTC:
Moje adresa BTC
Сумма к оплате: 10000 BTC
---
Отправьте сообщение со следующим содержанием:
1. Зашифрованный ключ показан в розовом поле ниже.
2. Количество BTC, которое вы заплатили.
Babis@mfcr.cz
Зашифрованный ключ:
ISxyoaSsrljV9Bz4yLCaUlodlWpZozw84QxTEkb0fl3 / 5SskRZHLfNq / jJSb780LFG38gC) ZGXZGKie:
3. Подождите, пока мы не отправим вам расшифрованный пароль для получения почты.
После этого перейдите на страницу «Шаг 3»,
---
Введите расшифрованный ключ, который вы получили в зеленом поле ниже, и нажмите "Decrypt".
Ваши файлы будут расшифрованы за несколько минут.
Расшифрованный ключ:
***
[Decrypt]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.doc, .ini, .jpg, .mp3, .pdf, .png, .txt и многие другие. 
Это документы MS Office, текстовые файлы, фотографии, музыка и пр.

Список пропускаемых файловых расширений: 

.asf, .div, .flv, .mng, .mov, .mpeg, .mpg, .ogg, .ogv, .qt, .rm, .rmvb, .webm, .wmw, .xvid, .yuv (видео-файлы). 

Файлы, связанные с этим Ransomware:
AutoEncryptor.exe
UserFilesLocker.exe
wisptis.exe
_encrypt.pinfo

Расположения:
%/user_folders/%

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
babis@mfcr.cz
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Jakub Kroustek
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

NotAHero, KyMERA

NotAHero Ransomware

KyMERA Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель помещает данные пользователей в zip-архив со статическим паролем, а затем требует заплатить биткоины за пароль к архиву. Название получил за "негероическое" (неоригинальное) поведение, требуя денег и не удосужившись написать "почему" и "за что".  

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Предыдущие zip-вымогатели > NotAHero (KyMERA)

К зашифрованным файлам добавляется окончание locked.zip, которое фактически и играет роль расширения. 

Активность этого крипто-вымогателя пришлась на апрель 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
Pay me bitcoins to get all your files unlocked.txt (Плати мне биткоины за разблок всех твоих файлов). 

Содержание записки о выкупе:
Send it to this adress
1NUsi15hENCZYu2Wy3q2RmRmBZF6LUU6pn

Перевод записки на русский язык:
Пришли их на адрес
1NUsi15hENCZYu2Wy3q2RmRmBZF6LUU6pn

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Использует статический пароль для zip-файлов (скрытая строка), потому может быть открыт, как любой обычный защищенный паролем zip-файл. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Pay me bitcoins to get all your files unlocked.txt

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 июня 2018:
Пост в Твиттере >>
Самоназвание: KyMERA Ransomware (KyMERA RansOm)
Статус: по-прежнему файлы можно вернуть. 
Расширение: locked.zip
Email: KyMERA-Gian@outlook.com
BTC: 3HVfgqZra4QJK1ryWJLYR7HALcwpG4kViG
Записка: How to recover my files.txt

➤ Содержание записки о выкупе:
All your files have been encrypted! All your documents(databases, texts, images, videos, musics etc. were encrypted.The encryption was done using a secret key, that is now on our servers. To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you. What can I do? Pay 0,01 BTC, in bitcoins, TO THIS ADDRESS:
3HVfgqZra4QJKlryW3LYR7HALcwpG4kViG 

You can use LocalBitcoins.com to buy bitcoins. EMAIL US WITH TRANSATION ID TO KyMERA-Gian@outlook.com and we will reply your email with password. Thank you!!!

Распространяемый вредоносный файл: Dragon+For+Hell+2+DOWNLOADER.zip
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать и вернуть!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted and recovered!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as NotAHero)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kampret

Kampret Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальные названия: Kampret, Kampretos.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear > Kampret

Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение .lockednikampret

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ_ME.txt

Содержание записки о выкупе:
Files has been encrypted with kampret.
Send Me 0.5 BTC for buy a coffe and bakpao :), then Email Me :) 
Emy email kampretos@protonmail.com

Перевод записки на русский язык:
Файлы были зашифрованы Kampret.
Кинь мне 0.5 BTC купить кофе и пирожок, потом мыль мне
Мой email kampretos@protonmail.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME.txt
FB_1.tmp.exe
<random>.exe
различные дропированные файлы

Расположения:
%USERPROFILE%\Desktop\READ_ME.txt
%USERPROFILE%\Downloads\Q0JOBjRCtjVsC.txt
%USERPROFILE%\Downloads\04bZ.txt
%USERPROFILE%\Downloads\0Og1.rar
%USERPROFILE%\Downloads\0gakl8ixtWMkw.doc

%USERPROFILE%\Downloads\3AVoUo9c20GI.pdf

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://whereyougoiaminhere.tk/aomh/kampret.php***
kampretos@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cerberos

Cerberos Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателя, чтобы вернуть файлы. Оригинальное название: cerberos. Разработчик: Cyber SpLiTTer Vbs Team. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Cyber SpLiTTer Vbs > Cerberos

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает диалоговое окно с заголовком cerberos.

Содержание записки о выкупе:
Your Files has been infected By cerberos Ransomware And Your Data has been crypted
Contact: cerberos-decrypter@lgmail.com

Перевод записки на русский язык:
Ваши файлы были заражены Cerberos Ransomware и ваши данные были зашифрованы
Контакт: cerberus-decrypter@lgmail.com

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
cerberos.exe
pdf.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.