vCrypt1

vCrypt Ransomware

vCrypt1 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью XOR (в записке RSA), а затем требует написать на email вымогателей, чтобы вернуть файлы. Оригинальное название vCrypt, версия 1 (точнее 1.0.0.17 и 1.0.0.20). В тексте записки указан как vCrypt1. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .vCrypt1

👉 Шифруется максимум 102400 байт. Для шифрования используется простой XOR с каждым байтом строки gnk98a^%IHKJOIY8348923ggROihIjoi

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется:
КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt

Содержание записки о выкупе:
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом-шифровальщиком vCrypt1!
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью криптоалгоритма RSA2048. Восстановить файлы можно только зная уникальный для вашего ПК пароль и имея соответствующий дешифратор.
Подобрать ключ невозможно. Смена операционной системы ничего не изменит. Ни один системный администратор не решит эту проблему, не зная ключа.
Ни в коем случае не изменяйте файлы, иначе расшифровать их будет невозможно даже нам!
Ваши действия должны быть следующими:
1. Сделайте резервную копию всех ваших файлов.
2. Напишите нам письмо на адрес fns-service@pochta.com, чтобы узнать как получить ключ и дешифратор.
К письму можете приложить любой файл с известным Вам содержимым, мы вышлем в ответ расшированную копию.
Это докажет, что мы действительно обладаем возможностью расшифровать Ваши файлы.
Среднее время ответа нашего специалиста 3-24 часов.
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ! Только МЫ можем расшифровать Ваши файлы!

Перевод записки на английский язык (Google translation):
If you are reading this message, then your computer was attacked by the most dangerous virus-encryptor vCrypt1!
All of your information (documents, databases, backups and other files) on this computer was encrypted using the RSA2048 cryptographic algorithm. You can recover files only knowing a unique password for your PC and having the appropriate decoder.
You can not find the key. Changing the operating system will not change anything. No system administrator will solve this problem without knowing the key.
Do not change the files at all, otherwise it will be impossible to decipher them even to us!
Your actions should be as follows:
1. Make a backup of all your files.
2. Write us a letter to fns-service@pochta.com to find out how to get the key and decoder.
To the letter you can attach any file with the content known to you, we will send an decrypted copy in response.
This will prove that we really have the ability to decrypt your files.
The average response time of our specialist is 3-24 hours.
Threatened letters will threaten only you and your files!
DO NOT FORGET! Only we can decrypt your files!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Примеры вредоносных вложений:
Интернет-обращение-лкип.zip
tblr4O83.zip

Список файловых расширений, подвергающихся шифрованию:

.ai, .cdr, .cdw, .doc, .docx, .dwg, .dxf, .jpg, .mdb, .mdf, .ods, .odt, .pdf, .ppt, .pptx, .psd, .rtf, .xls, .xlsx (19 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, файлы образов и пр.

Файлы, связанные с этим Ransomware:
КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt
vCrypt.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
fns-service@pochta.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ для 1.0.0.20 >>
VirusTotal анализ для 1.0.0.20 >>
VirusTotal анализ для 1.0.0.17 >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 10 мая 2017:
Пост в Твиттере >>
Версия: aCrypt v.1.1.0.31
Файлы: Счет-фактура.txt.exe и aCrypt.exe
Расширение: .aCrypt
Результаты анализов: VT

Обновление от 12 мая 2017:
Пост в Твиттере >>
Версия: bCrypt v.1.0.0.44
Файл: bCrypt.exe
Расширение: .bCrypt
Результаты анализов: VT

Обновление от 14 мая 2017:
Пост в Твиттере >>
Версия: xCrypt25 v.1.0.0.0
Файл: xCrypt.exe
Расширение: .xCrypt25
Целевые файлы: .doc, .jpg, .ppt, .xls
Результаты анализов: VT

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as vCrypt)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Alex Svirid
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Lockify

Lockify Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 0.0002-0.004 BTC, чтобы вернуть файлы. Оригинальное название: Lockify. Оно заимствовано вымогателями у известного приложения Lockify для обмена приватными сообщениями. Другое название, указанное на файле: ConsoleApplication1. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Lockify

К зашифрованным файлам добавляется расширение .Lockify

Активность этого крипто-вымогателя пришлась на первую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Readme.hta

Содержание записки о выкупе:
LOCKIFY RANSOMWARE
Instructions
Can't you find the necessary files?
Is the content of your files not readable?
It is normal because the files names and the data in your files have been encrypted by "Lockify Ransomware".
It means your files are NOT damaged! Your files are modified only. This modification is reversible.
From now it is not possible to use your files until they will be decrypted.
The only way to decrypt your files safely is to buy the special decryption software "Lockify Decryptor".
Any attempts to restore your files with the third-party software will be fatal for your files!
-
You can proceed with purchasing of the decryption software at your personal page:
xxxx://i6r2ug4pil44jdnr.1J1dgw.top/
If this page cannot be opened click here to get a new address of your personal page.
If the address of your personal page is the same as before after you tried to get a new one, you can try to get a new address in one hour.
At this page you will receive the complete instructions how to buy the decryption software for restoring all your files.
Also at this page you will be able to restore any one file for free to be sure "Lockify Decryptor" will help you.
———
If your personal page is not available for a long period there is another way to open your personal page – installation and use of Tor Browser:
- run your Internet browser (if you do not know what it is run the Internet Explorer);
- enter or copy the address https://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
- wait for the site loading;
- on the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
- run Tor Browser;
- connect with the button "Connect" (if you use the English version);
- a normal Internet browser window will be opened after the initialization;
- type or copy the address in this browser address bar;
- press ENTER;
- the site should be loaded; if for some reason the site is not loading wait for a moment and try again.
If you have any problems during installation or use of Tor Browser, please, visit https://www.youtube.com and type request in the search bar "Install Tor Browser Windows" and you will find a lot of training videos about Tor Browser installation and use.
———
Additional information:
You will find the instructions ("*HELP_DECRYPT*.hta") for restoring your files in any folder with your encrypted files.
The instructions "*HELP_DECRYPT*.hta" in the folders with your encrypted files are not viruses! The instructions "*HELP_DECRYPT*.hta" will help you to decrypt your files.
Remember! The worst situation already happened and now the future of your files depends on your determination and speed of your actions.

Перевод записки на русский язык:
LOCKIFY RANSOMWARE
Инструкции
Не можете найти нужные файлы?
Содержание ваших файлов нечитаемо?
Это нормально, потому что имена файлов и данные в ваших файлах были зашифрованы "Lockify Ransomware".
Это значит, что ваши файлы НЕ повреждены! Ваши файлы только изменены. Эта модификация обратима.
С этого момента вы не сможете использовать ваши файлы, пока они не будут расшифрованы.
Единственный способ безопасно расшифровать ваши файлы - это купить специальную программу для дешифрования "Lockify Decryptor".
Любые попытки восстановить ваши файлы с помощью сторонних программ будут фатальны для ваших файлов!
-
Вы можете приступить к приобретению программы для дешифрования на своей личной странице:
хххх: //i6r2ug4pil44jdnr.1J1dgw.top/
Если эта страница не открывается, нажмите здесь, чтобы получить новый адрес вашей личной страницы.
Если адрес вашей личной страницы такой же, как прежде, после того, как вы попытались получить новый, вы можете попытаться получить новый адрес через час.
На этой странице вы получите полную информацию о том, как купить программу дешифрования для восстановления всех ваших файлов.
Также на этой странице вы сможете восстановить любой файл бесплатно, чтобы убедиться, что "Lockify Decryptor" поможет вам.
---
Если ваша личная страница недоступна долгое время, существует еще один способ открыть вашу личную страницу - установка и использование Tor Browser:
- запустите свой интернет-браузер (если вы не знаете какой, то запустите Internet Explorer);
- введите или скопируйте адрес https://www.torproject.org/download/download-easy.html.en в адресную строку вашего браузера и нажмите ENTER;
- дождитесь загрузки сайта;
- на сайте вам будет предложено скачать Tor-браузер; загрузите и запустите его, следовать инструкциям по установке, дождитесь завершения установки;
- запустите Tor-браузер;
- подключитесь с помощью кнопки "Connect" (если вы используете английскую версию);
- после инициализации откроется обычное окно интернет-браузера;
- введите или скопируйте адрес в адресную строку браузера;
- нажмите ENTER;
- сайт должен загрузиться; если по какой-либо причине сайт не загружается, подождите минуту и ​​повторите попытку.
Если у вас возникли проблемы при установке или использовании Tor-браузера, то посетите https://www.youtube.com и введите запрос в строке поиска «Install Tor Browser Windows», и вы найдете много обучающих видео о Tor-браузере, установке и использованию.
---
Дополнительная информация:
Вы найдете инструкции ("*HELP_DECRYPT*.hta") для восстановления ваших файлов в любой папке с зашифрованными файлами.
Инструкции "*HELP_DECRYPT*.hta" в папках с зашифрованными файлами не являются вирусами! Инструкции "*HELP_DECRYPT *.hta" помогут вам расшифровать ваши файлы.
Запомните! Самая худшая ситуация уже случилась, и теперь будущее ваших файлов зависит от вашей решимости и скорости ваших действий.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

👐 Анализ текста и перевода показал, что эта инструкция сначала была составлена на русском языке, но есть некоторые несоответствия в орфографии, которые могут указывать на другой регион, где русский язык тоже используется, например в Украине. Также инструкция могла быть взята из другого вымогателя или написана по заказу другими лицами. 

Список файловых расширений, подвергающихся шифрованию:

.3GP, .aes, .ARC, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .m4v, .max, .mdb, .mdf,.mid, .mkv, .mml, .mov, .MP3, .MP4, .mpeg, .mpg, .ms11, .MYD, .MYI, .NEF, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .PAQ, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .RTF, .sch, .sldm, .sldx, .slk, .sql, .SQLITE3, .SQLITEDB, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wav, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (141 расширение). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускаются следующие директории:
$Recycle.Bin
\AppData\Local\
\AppData\Roaming\
\AppData\Locallow\
\Windows\
\Users\All Users\ 
\Program\
\Python27\

Файлы, связанные с этим Ransomware:
ConsoleApplication1.exe - исполняемый файл шифровальщика;
Readme.HTA - записка о выкупе;
*HELP_DECRYPT*.HTA - инструкция по дешифровке.

Расположения:
\Desktop\Readme.HTA
\User_folders\*HELP_DECRYPT*.HTA

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Вымогатели используют технологию DGA (Domain Generation Algorithm, алгоритм генерации доменных имен). Об этом методе методе можно прочитать по ссылке. 

Сетевые подключения и связи:
xxxx://i6r2ug4pil44jdnr.1J1dgw.top - один из сгенерированных доменов
xxxx://freegeoip.net/json/ - определяет IP, страну, регион, город, временную зону
***9svdsio0.cdn.o66o.pw/***
***ggzmc76dwcvykik4.1j1dgw.pw - Швейцария
***ggzmc76dwcvykik4.1j1dgw.top - Украина
***ggzmc76dwcvykik4.1j1dgw.net
***ggzmc76dwcvykik4.1j1dgw.xyz
***ggzmc76dwcvykik4.1j1dgw.com
***ggzmc76dwcvykik4.1j1dgw
***btc.blockr.io - США
***findingresult.com - Виргинские острова
***btc.blockr.io/address/info/1J1dgwQHvQpsrLssx5pR2PiFZVh3Hw61Fn
и другие связанные ресурсы
BTC: 1J1dgwQHvQpsrLssx5pR2PiFZVh3Hw61Fn
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Michael Gillespie
 Karsten Hahn
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FartPlz

FartPlz Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные компьютеров организаций с помощью AES/RSA, а затем требует выкуп в 2.5 BTC за каждый компьютер или 30 BTC за все компьютеры, чтобы вернуть файлы. Название дано по используемому расширению.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .fartplz (или .FartPlz)

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadME_Decrypt_Help_<number>.html

Содержание записки о выкупе:
What happened to your files?
All of your files locked and protected by a strong encryption with RSA-2048 and AES-256 ciphers.
 More information about the RSA and AES can be found here:
   https://en.wikipedia.org/wiki/RSA_(cryptosystem)
   https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
 In summery you can't read or work with your files, But with our help you can recover them.
 It's not possible to recover your files without private key and our unlocking software
How to get private key or unlocking software?
You must send us (2.5 Bitcoin per affected computers)   OR   (30 Bitcoin for all affected computers) to receive private key and unlocking software.
 Our Bitcoin wallet is available in our site
How To Access To Our Site?
Click on one of the blow links:
  xxxxs://tr6ufmisqyuz36qk.onion.cab/4pnp5tr/ 
  xxxxs://tr6ufmisqyuz36qk.onion.to/4pnp5tr/ 
  xxxx://tr6ufmisqyuz36qk.onion.link/4pnp5tr/ 
Alternative way you can access to our site
 For accessing to our website you must install Tor browser:
1 - Open your internet browser (If you don't know run internet explorer or firefox or chrome)
2 - Go to this address: https://www.torproject.org/download/download.html.en
3 - Select Microsoft Windows and Click on Download Tor Browser
4 - Follow the instruction and install it
5 - Run Tor-Browser with clicking on connect
6 - After initializing a normal internet browser will be opened (similar internet explorer window)
7 - Enter our web site address: xxxx://tr6ufmisqyuz36qk.onion/4pnp5tr/
8 - Now you are in our website!
 If you have any problem yet to accessing our web site, search in Google "How to access onion sites"

Перевод записки на русский язык:
Что случилось с вашими файлами?
Все ваши файлы блокированы и защищены сильным шифрованием с шифрами RSA-2048 и AES-256.
 Подробную информацию о RSA и AES можно найти здесь:
   https://en.wikipedia.org/wiki/RSA_(cryptosystem)
   https://en.wikipedia.org/wiki/Advanced_Encryption_Standard
 Всё лето вы не сможете читать или работать с вашими файлами, но с нашей помощью вы можете их восстановить.
 Восстановление файлов без личного ключа и нашего программного обеспечения для разблокировки невозможно
Как получить личный ключ или программу разблокировки?
Вы должны отправить нам (2.5 биткойн за зараженный компьютер) ИЛИ (30 биткойн за все зараженные компьютеры), чтобы получить закрытый ключ и программу разблокировки.
 Наш биткойн-кошелек доступен на нашем сайте
Как получить доступ к нашему сайту?
Нажмите на одну из ссылок удара:
  xxxxs://tr6ufmisqyuz36qk.onion.cab/4pnp5tr/
  xxxxs://tr6ufmisqyuz36qk.onion.to/4pnp5tr/
  хххх://tr6ufmisqyuz36qk.onion.link/4pnp5tr/
Альтернативный способ доступа к нашему сайту
 Для доступа к нашему сайту вы должны установить Tor-браузер:
1 - откройте свой интернет-браузер (если вы не знаете запустите internet explorer или firefox или chrome)
2 - Перейдите по этому адресу: https://www.torproject.org/download/download.html.en
3 - Выберите Microsoft Windows и нажмите «Скачать Tor-браузер»
4 - Следуйте инструкциям и установите его
5 - Запустить Tor-браузер, нажмите на Connect
6 - После инициализации откроется обычный интернет-браузер (аналог окна Internet Explorer)
7 - Введите адрес нашего веб-сайта: xxxx://tr6ufmisqyuz36qk.onion/4pnp5tr/
8 - Теперь вы на нашем сайте!
 Если у вас есть какие-то проблемы с доступом к нашему веб-сайту, выполните поиск в Google "Как получить доступ к onion-сайтам"

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadME_Decrypt_Help_<number>.html
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://tr6ufmisqyuz36qk.onion.cab/4pnp5tr/
xxxxs://tr6ufmisqyuz36qk.onion.to/4pnp5tr/
xxxx://tr6ufmisqyuz36qk.onion.link/4pnp5tr/
xxxx://tr6ufmisqyuz36qk.onion/4pnp5tr/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as FartPlz)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Xncrypt

Xncrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,25 BTC, чтобы вернуть файлы. Оригинальное название: xncrypt v.1. Пароль разблокировки и дешифровки: 20faf12b60854f462c8725b18614deac

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .xncrypt

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***нет данных***

Содержание записки о выкупе:
• Your computer has been infected.
This is Ransomware, Your all files Encrypted and can't to open again.
You Can not perform activities as usual on your computer because your screen will always be locked before this is fixed.
You must have a password to encrypt all your files back And Unlock your screen.
• To get a password, You must send me a ransom of 0.25 BTC to the following Bitcoin address: 
1GHvs3tTqpeMTcSWuvJcGCrjysZrBmW9B1
You can contact me by this email: xncrypt@protonmail.com
While attaching the transfer receipt from your Bitcoin address.
• For more details, see the steps below:
1. Create Your Bitcoin Wallet.
2. Increase your Bitcoin Balance
3. Send Bitcoin with the amount of bitcoin I have requested to the Bitcoin address above
4. Contact me by email above while attaching proof of transfer from your Bitcoin address.
5. And I give the password.

Перевод записки на русский язык:
• Ваш компьютер инфицирован.
Это Ransomware, все ваши файлы зашифрованы и не откроются снова.
Вы не можете выполнять обычные действия на своем компьютере, т.к. ваш экран будет заблокирован пока это не будет исправлено.
У вас должен быть пароль для шифрования всех ваших файлов назад и разблокировки вашего экрана.
• Чтобы получить пароль, вы должны прислать мне выкуп 0,25 BTC на следующий биткойн-адрес:
1GHvs3tTqpeMTcSWuvJcGCrjysZrBmW9B1
Вы можете связаться со мной по этому email: xncrypt@protonmail.com
Прикрепите подтверждение о переводе с вашего биткойн-адреса.
• Для получения информации см. шаги ниже:
1. Создайте свой биткойн-кошелек.
2. Пополните свой биткойн-баланс
3. Отправьте биткойны с суммой биткойнов, которую я запросил на биткойн-адрес выше
4. Свяжитесь со мной по email, приложив подтверждение перевода с вашего биткойн-адреса.
5. И я дам пароль.

Для разблокировки файлов используется специальный экран с полем для ввода пароля.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
xncrypt v.1.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: xncrypt@protonmail.com
BTC: 1GHvs3tTqpeMTcSWuvJcGCrjysZrBmW9B1
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic
 * 

 Thanks: 
 JaromirHorejsi‏ 
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FuckTheSystem

FuckTheSystem Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует ввести пароль, чтобы вернуть файлы. Оригинальное название. Относится к группе вымогателей Stupid Ransomware. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .anon

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком Decrypt:

Содержание записки о выкупе:
Your All File Are Encrypted
Enter Passwors For Decrypted Your Files
button [Decrypted]

Перевод записки на русский язык:
Твои Все Файл Зашифрован
Введи Пароль Для Дешифровки Твоих Файлов
кнопка [Decrypted]

Пароль разблокировки: 
hexobon

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crypto.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FrozrLock

FrozrLock Ransomware

AutoDecrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью Twofish256 или AES256, или RSA4096 (функция настраивается), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Locker. Ранее был известен как FileFrozr, распространялся как RaaS. 

© Генеалогия: FileFrozr RaaS > FrozrLock (AutoDecrypt)

 

К зашифрованным файлам добавляется расширение *нет данных* (функция настраивается).

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME.txt

Содержание записки о выкупе:
Hello, stay calm because all your files can be decrypted again we just need your contribution and you can have access to all your files today.
The process for you to have all your files that have been encrypted again is totally automatic and the payment of your contribution must be done in Bitcoins.
If you do not know Bitcoin you just type in google how to buy Bitcoins in your country or visit the address http://localbitcoins.com and you can buy Bitcoins to be able to pay the contribution and have access to all
your files again.
The only way to get your files back is to pay our contribution in case you try to erase our systems with some antivirus or somehow your files will be lost forever and no one else will be able to decrypt since they are encrypted with a cryptography of 512 Bits and only our automatic system when detecting payment can decrypt your files.
To get your files back you just need to get the value and payment address on this website
http://iwantmyfiles.asia/payment.php?iD=*****
Your ID: *****

Перевод записки на русский язык:
Привет, сохраняйте спокойствие, потому что все ваши файлы могут быть расшифрованы снова, нам просто нужен ваш вклад, и вы получите доступ ко всем вашим файлам сегодня.
Процесс обновления всех файлов, которые были зашифрованы, полностью автоматизирован, и оплата вашего вклада должна быть произведена в биткойнах.
Если вы не знаете про биткойны, просто наберите в Google, как купить биткойны в вашей стране, или посетите адрес http://localbitcoins.com, и вы сможете купить биткойны, чтобы заплатить за вклад и снова получить доступ ко всем вашим файлам.
Единственный способ вернуть ваши файлы - это внести свой вклад, в случае, если вы попробуете очистить систему с помощью какого-то антивируса, то ваши файлы будут потеряны навсегда, и никто другой не сможет расшифровывать, т.к. они зашифрованы с помощью 512-битного шифрования и только наша автоматическая система при обнаружении платежа могут расшифровать ваши файлы.
Чтобы вернуть ваши файлы, вам просто нужно получить стоимость и адрес оплаты на этом веб-сайте.
http://iwantmyfiles.asia/payment.php?iD=*****
Ваш ID: *****

 

Скриншоты экрана блокировки-разблокировки

Распространяется через JS-загрузчик с помощью email-спама и вредоносных вложений (пример, Contract_432732593256.js), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет все теневые копии файлов командой:
vssadmin.exe delete shadows / ALL / Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME.txt
Locker.exe
update.exe
contract.exe
Contract_Sign_393487329743.pdf.exe
Locker_ID.txt
file_list.txt

Расположения:
AppData\Roaming\update.exe
AppData\Roaming\Locker_ID.txt
AppData\Roaming\file_list.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://iwantmyfiles.asia
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as FrozrLock)
 Write-up, Topic
 * 

 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.