Kee

Kee Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем даже требует выкуп, чтобы вернуть файлы, а лишь сообщает, что после обнуления таймера все файлы будут удалены. Оригинальное название kee, @kee или Download Installer.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear (modified) >> Kee

К зашифрованным файлам добавляется недорасширение @kee

Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Hello There! Fellow @kee User!.txt

Содержание записки о выкупе:
What exactly happend?
All your Videos, Music, Documents and other files are no longer accessible. I’m sorry to tell you, that there’s no way to decrypt your files from this time, wasting your time is currently no good behaviour!
How to get your files back?
Now you're asking yourself how much Bitcoins you have to send to get your files back, well.. None. You simply can't get your files back!
I see that you’re surprised. But let's be honest, others are just fake. You send the money.. you get nothing.
I spare you time!
But I'm a good human being!
I don't care what you are. I have nothing against you! it’s not just you, it’s everyone!
Then what's the matter with the countdown?
Well.. actually there might be a little chance to decrypt your files. But even I don't know how to decrypt something without a key and when the timer runs out, all of your files will be corrupted forever!
And by the way, closing this program won't help you. All files will be corrupted immediately!
Find the kee!

Перевод записки на русский язык:
Что именно произошло?
Все твои видео, музыка, документы и другие файлы теперь недоступны. К сожалению, я могу сказать, что с этого момента невозможно расшифровать ваши файлы, так что тратить время - это не очень хороший поступок!
Как вернуть файлы?
Теперь ты спрашиваешь меня, сколько биткойнов тебе нужно отправить, чтобы вернуть твои файлы, ну ... Нет. Ты просто не сможешь вернуть свои файлы!
Я вижу, что ты удивлен. Но давайте будем честными, другие просто подделка. Ты посылаешь деньги. Ты ничего не получаешь.
Я оставляю вам время!
Но я хороший человек!
Мне все равно, кто ты. Я ничего не имею против тебя! Это не только ты, это все!
Тогда что случилось с обратным отсчетом?
Ну .. на самом деле есть мало шансов расшифровать твои файлы. Но даже я не знаю, как расшифровать это без ключа, и когда таймер отсчитает, все твои файлы будут повреждены навсегда!
И, кстати, закрытие этой программы тебе не поможет. Все файлы будут повреждены немедленно!
Найди kee!

Другими информаторами жертв являются экран блокировки с тем же текстом и скринлок, встающий обоями рабочего стола. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

При первом запуске создает файл с именем killsw32l.dll. Если при перезагрузке этот файл цел, то он удаляет все файлы.

Список файловых расширений, подвергающихся шифрованию:
.gif, .jpeg, .jpg, .mov, .mp3, .mp4, .png, .txt, .wav, .wmv и другие. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Hello There! Fellow @kee User!.txt
download-installer.exe
<random>.exe
killsw32l.dll
папка TestFolder

Расположения:
\Desktop\TestFolder\Hello There! Fellow @kee Userl.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Kee Ransomware)
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DarkoderCryptor

DarkoderCryptor Ransomware

DarkoderEncript0r Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальные названия: Darkoder Encript0r, Darkoder Encryptor, DarkoderCrypt0r, DaKryEncryptor. Они есть в записках, в коде, на экране блокировки. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> DarkoderCryptor

К зашифрованным файлам добавляется расширение .DARKCRY (или .darkcry)

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: 
@ READ-ME - DARKODER ENCRYPT0R @.txt
@ READ-ME - DARKODER ENCRYPT0R @.html

Изображение, отделенное от HTML-записки и скриптов

Внешний вид записки с очисткой от скриптов

Текстовая записка о выкупе (реконструкция)

Записка загружаются на зараженный компьютер с временного адреса сайта sendspace.com. HTML-записка содержит скрипты, загружаемые извне, выполнение которых небезопасно. 

Ещё одним информатором жертвы выступает экран блокировки с кнопками.

Экран блокировки с заголовком DarkoderCrypt0r

Содержание записок о выкупе:
Darkoder Encript0r
What Happened to My Computer?
Your important files are encrypted.
 Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted.
 Maybe you are busy looking for a way to recover your files, but do not waste your time.
 Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
 You can decrypt some of your files for free. Try now by clicking <Decrypt>.
 But if you want to decrypt all your files, you need to pay.
 You only have 3 days to submit the payment. After that the price will be doubled.
 Also, if you don't pay in 7 days, you won't be able to recover your files forever.
 We will have free events for users who are so poor that they couldn't pay in 6 months.
How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click <About Bitcoin>.
 Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy Bitcoins>.
 And send the correct amount to the address specified in this window.
 After your payment, click <Check Payment>. Best time to check: 9:00am - 11:00am GMT from Monday to Friday.
 Once the payment is checked, you can start decrypting your files immediately.
Contact
If you need our assistance, send a message by clicking <Contact Us>
===
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay! 

Перевод записок на русский язык:
Darkoder Encript0r
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, базы данных и другие файлы больше недоступны, т.к. они были зашифрованы.
Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время.
Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Можно ли восстановить файлы?
Конечно. Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у вас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 7 дней, вы никогда не сможете восстановить файлы.
У нас будут бесплатные способы для пользователей, которые так бедны, что не заплатят за 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткоинах. Для дополнительной информации нажмите <About Bitcoin>.
Проверьте текущую цену биткоинов и купите биткоины. Для дополнительной информации нажмите <How to buy Bitcoins>.
И отправьте правильную сумму на адрес, указанный в этом окне.
После вашего платежа нажмите <Check Payment>. Лучшее время для проверки: 9:00 - 11:00 утра GMT с понедельника по пятницу.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>.
===
Мы настоятельно рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите и не обработаете платеж. Если ваш антивирус обновится и автоматически удалит это программное обеспечение, он не сможет восстановить ваши файлы, даже если вы заплатите!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
@ READ-ME - DARKODER ENCRYPT0R @.html
@ READ-ME - DARKODER ENCRYPT0R @.txt
WindowsFormsApplication1.exe
@DaKryEncryptor@.exe
@ DARCODER ENCRYPTOR @.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 Michael Gillespie
 Marcelo Rivero
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BTCWare-Onyon

OnyonLock Ransomware

BTCWare-Onyon Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью RC4 (первые 10 Мб), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название.

This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare >  BTCWare-Onyon (OnyonLock)

К зашифрованным файлам добавляется составное расширение по шаблону .[<email>].onyon

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !#_DECRYPT_#!.inf

Содержание записки о выкупе:
All your files have been encrypted due to a security problem with your PC.
If you want to restore them, write us to the e-mail: decrypter@onyon.su
You have to pay for decryption in Bitcoins. The price depends on now fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 10Mb
How to obtain Bitcoins
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller by payment method and price https://localbitcoins.com/buy_bitcoins
Attention!
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 3 days - your key nas been deleted and you cant decrypt your files
Your ID: 3WPn3rQFa*****

Перевод записки на русский язык:
Все ваши файлы были зашифрованы из-за проблем безопасности на вашем ПК.
Если вы хотите восстановить их, напишите нам на email: decrypter@onyon.su
Вы должны заплатить за дешифровку в биткойнах. Цена зависит от того, как быстро вы нам напишете.
После оплаты мы вышлем вам инструмент дешифровки, который расшифрует все ваши файлы.
БЕСПЛАТНАЯ ДЕШИФРОВКА КАК ГАРАНТИЯ
Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной дешифровки.
Обратите внимание, что файлы НЕ должны содержать ценную информацию, и их общий размер должен быть меньше 10 МБ
Как получить биткойны
Самый простой способ купить биткойн - это сайт LocalBitcoins.
Вам нужно зарегистрироваться, нажать Buy bitcoins и выбрать продавца методом оплаты и цены https://localbitcoins.com/buy_bitcoins.
Внимание!
Не переименовывайте зашифрованные файлы
Не пытайтесь дешифровать свои данные с помощью сторонних программ, это может привести к потере данных
Если вы не напишете на email через 3 дня - ваши ключевые данные будут удалены, и вы не сможете дешифровать свои файлы
Ваш ID: 3WPn3rQFa *****

Во втором варианте записки указан другой email - tk.btcw@protonmail.ch
В остальном тот же текст. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов и отключает исправление загрузки Windows командами:
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /c bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} recoveryenabled No

OnyonLock использует base64 для идентификатора жертвы (это ключ, зашифрованный ключом RSA).

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!#_DECRYPT_#!.inf
locker.exe
delself.bat

Расположения:
%APPDATA%\!#_DECRYPT_#!.inf
%USERPROFILE%\Desktop\!#_DECRYPT_#!.inf
%TEMP%\delself.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
decrypter@onyon.su - первый вариант
tk.btcw@protonmail.ch - второй вариант
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



Обновление от 22 мая 2017:
Email: newcrann@qq.com
Записка: !#_DECRYPT_#!.inf
<< Скриншот записки

Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

SecretSystem

SecretSystem Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SecretSystem и Ransomeware_Final.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .slvpawned

Активность этого крипто-вымогателя пришлась на первую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ***нет данных***

Содержание записки о выкупе:
Attention
All Your Files are Encrypted by SecretSystem
Warning: Do not turn off your Computer EITHER you will LOST all your files
If you want to decrypt your files follow this simple steps:
1.) Create BitcoinWallet
2.) Buy Bitcoins worth of $500
3.) Send $500 in BitCoin to Given Address
4.) Go to xxxx.xxx.xxx and Enter your Personal Id
5.) You will get your Decryption Key
6.) Enter it in Given Box and Click on Decrypt
7.) Restart your Computer and Delete any encrypted file you find
Bitcoin Address ***
Enter Decryption Key Here
[...] 
кнопка [Decrypt]

Перевод записки на русский язык:
Внимание
Все ваши файлы зашифрованы SecretSystem
Предупреждение: не выключайте свой компьютер, ИНАЧЕ вы ПОТЕРЯЕТЕ все ваши файлы
Если вы хотите дешифровать свои файлы, сделайте простые шаги:
1.) Создайте BitcoinWallet
2.) Купите биткойны на сумму $500
3.) Отправьте $500 в BitCoin на указанный адрес
4.) Идите на страницу xxxx.xxx.xxx и введите свой ID
5.) Вы получите свой ключ дешифрования
6.) Введите его в Given Box и нажмите Decrypt
7.) Перезагрузите ПК и удаляйте любой зашифрованный файл
Биткоин-адрес ***
Введите здесь ключ дешифрования
[...] 
кнопка [Дешифровать]

Ещё фразы: 
If you Close me you will loose all Your Files.
Contact Me :putraid1900@gmail.com orfb.com/Anonymous.404.NF

Перевод: 
Если вы закроете меня, вы потеряете все свои файлы.
Связь со мной: putraid1900@gmail.com orfb.com/Anonymous.404.NF

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Демонстрирует фальшивый экран обновлений Windows, пока шифрует файлы. 

Список файловых расширений, подвергающихся шифрованию:

.3gp, .ahok, .apk, .asp, .aspx, .avi,.doc, .docx, .encrypt, .flac, .html, .jpeg, .jpg, .MOV, .mov, .mp3, .mp4, .php, .png, .ppt, .pptx, .psd, .rar, .raw, .txt, .wav, .wma, .wmv, .xls, .xlsx, .zip (31 расширение). 

А также файлы, чьи имя заканчивается на crypted. Это может быть окончание расширения типа .encrypted, .crypted и т.д.

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomeware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: putraid1900@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Stupid Ransomware)
 Write-up (add. May 20, 2017), Topic
 * 

 Thanks: 
 Michael Gillespie
 MalwareHunterTeam‏
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Zelta Free

Zelta Free Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. На уплату выкупа даётся 6 часов, после чего удаляется случайный файл. Через 96 часов ключ дешифрования удалится. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stampado > Zelta Free

К зашифрованным файлам добавляется расширение .locked 

Продвижение этого крипто-вымогателя пришлось на первую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, уже знакомый нам по ряду других вымогателей, в том числе Stampado Ransomware. 

Содержание текста о выкупе:
All your files have been encrypted.
All your files have been encrypted!
All your documents (databases, texts, images, videos, musics etc.) were encrypted The encryption was done using a secret key that is now on our servers.
To decrypt your files you will need to buy the secret key from us. We are the only on the world who can provide this for you.
Note that every 6 hours, a random file is permanently deleted. The faster you are, the less files you will lose.
Also, in 96 hours, the key will be permanently deleted and there will be no way of recovering your files.
What can I do?
Contact us by email telling your ID (below) and wait for us to send the instructions.
Contact us by: HiddenMan0135@protonmail.com
As a proof, you can send one encrypted file, so we will send it back decrypted. Use it as a guarantee that we can decrypt your files.
Next Russan Roulette file deletion: 5 hours, 59 minutes and 53 seconds
Time until total loss: 3 days, 23 hours, 59 minutes and 53 seconds
Last (0) file deleted: ***
Your ID: [1.86A6603F] [Copy to clipboard]
Got the code? [***]
See the files I'll get back if I'm a good boy
[Get back my files]

Перевод текста  на русский язык:
Все ваши файлы были зашифрованы.
Все ваши файлы были зашифрованы!
Все ваши документы (базы данных, тексты, изображения, видео, музыка и т. д.) Были зашифрованы. Шифрование сделано с помощью секретного ключа, который теперь находится на наших серверах.
Чтобы расшифровать ваши файлы, вам нужно будет купить секретный ключ у нас. Мы единственные в мире, кто может предоставить это вам.
Обратите внимание, что каждые 6 часов удаляется случайный файл без возможности восстановления. Чем раньше вы поторопитесь, тем меньше файлов потеряете.
Кроме того, через 96 часов ключ будет удален окончательно и не будет никакого способа вернуть ваши файлы.
Что я могу сделать?
Свяжитесь с нами по email, указав свой ID (ниже) и дождитесь отправки инструкций.
Свяжитесь с нами по: HiddenMan0135@protonmail.com
Для доказательства вы можете отправить нам один зашифрованный файл, потом мы отправим его обратно в дешифрованном виде. Используйте это в качестве гарантии, что мы можем расшифровать ваши файлы.
Следующее удаление файла русской рулеткой: 5 часов, 59 минут и 53 секунды
Время до полной потери: 3 дня, 23 часа, 59 минут и 53 секунды
Последний (0) файл удален: ***
Your ID: [1.86A6603F] [Копировать в буфер обмена]
Получил код? [***]
Посмотри файлы, которые я верну, если я хороший мальчик
[Получить мои файлы]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Zelta - Free Ransomware.exe
How to recover files.txt
Recover my files.exe
6C329C688***.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: HiddenMan0135@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 Malware Blocker
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

WanaCrypt0r 2.0

WanaCrypt0r 2.0 Ransomware

WannaCry: NSA Exploit Edition

WannaCry NSA EE

(шифровальщик-вымогатель)

(первоисточник)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 159.6 "Мошенничество в сфере компьютерной информации"
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Подробнее о заявлении и его содержании >>

✔ Теперь уже известно, что обе версии WannaCry управлялись одной группой. В распространении шифровальщика участвовала группировка Lazarus (активна с 2007 года) или одно из её подразделений. Специалисты Symantec представили целый ряд доказательств связей между WannaCry и Lazarus. Утечка эксплойта EternalBlue позволила злоумышленникам превратить WannaCry в гораздо более мощную угрозу, чем она была до этого. Как потом оказалось, 98% инфицированных WannaCry компьютеров работали под управлением Windows 7, из них 60% - в 64-рязрядной ОС.

✔ В России атакам подверглись компьютеры крупных компаний и госструктур, в том числе Сбербанка, мобильного оператора «Мегафон», МВД и МЧС. Зато те российские структуры, которые были подключены к государственной системе выявления и предупреждения хакерских атак, не пострадали. Всем надо сделать соответствующие выводы. 

✔ WannaCry использует два инструмента из арсенала АНБ США: эксплоит EternalBlue для уязвимости в Windows и бэкдор DoublePulsar, позволяющий вредоносу распространяться по сетям. Оба были опубликованы хакерами из The Shadow Brokers в начале 2017. Потому США уверены, что за этой атакой стоит Lazarus Group. 

⛳ Проанализировав тексты записок и сравнив их через Google-переводчик, я обнаружил, что почти все тексты переведены с английского, который был шаблонным источником перевода. И только китайский текст расходится с английским, видимо потому, что был написан с нуля. Причем в английском тексте присутствуют незначительные ляпы, которые могут говорить только о том, что для составителя шаблонного текста о выкупе английский не был родным.  
➤ Чтобы убедиться в правильности выводов об английском тексте, я предложил знакомым англоязычным специалистам посмотреть на него и получил подтверждение. Но данный факт не доказывает того, что за атакой стояли исключительно китайцы. Это верно только для текста о выкупе, который мог быть написан и на заказ. Интересно было бы в будущем получить анализ китайского текста, хотя бы в упрощенном китайском. 
➤ Русский текст о выкупе вы можете сравнить с мои переводом ниже. 

ВНИМАНИЕ! После нашумевшей атаки этого шифровальщика появились фальшивые WannaCry, в том числе фальшивки-пугалки в виде простых блокировщиков экрана. Также вымогатели из Amnesia2 Ransomware подхватили и используют расширение .wncry совместно со своей запиской о выкупе, где они пугают пострадавших тем, что они якобы стали жертвой WannaCry. Не верьте! Amnesia2 Ransomware дешифруется. Ссылка на мою статью с дешифратором от антивирусной компании Emsisoft. 

Информация о шифровальщике

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128 + RSA, а затем требует выкуп от 0.1 до 1.0 BTC, чтобы вернуть файлы. На экранах блокировки есть также указание на $300 и $600.  

Оригинальное название версии: WanaCrypt0r 2.0. Внутреннее: WanaCrypt0r. Фальш-имена: diskpart.exe, cliconfg.exe, lhdfrgui.exe и многие другие. Фальш-копирайт: Microsoft Corporation. Написан на языке C/C++. Среда разработки: MS Visual Studio. 

Обнаружения:
DrWeb -> Trojan.Encoder.11432
BitDefender -> Trojan.Ransom.WannaCryptor.G, Trojan.GenericKD.40267082
Malwarebytes -> Ransom.WannaCrypt

© Генеалогия: Wcry > WannaCry (WannaCryptor) > WanaCrypt0r 2.0
© Genealogy: Wcry > WannaCry (WannaCryptor) > WanaCrypt0r 2.0

К зашифрованным файлам добавляются расширения:
.WCRY 
.WNCRY
.WNCRYT
Расширение .WNCRY — основное. 
Расширение .WNCRYT — временное. 
Расширение .WRCY — атавизм от предыдущих версий. 

Когда Wannacry шифрует файлы, он считывает информацию из исходного файла, шифрует содержимое и сохраняет его в файл с расширением .WNCRYT. После шифрования Wannacry меняет расширение .WNCRYT на .WNCRY и удаляет исходный файл. 

Всплеск активности этого крипто-вымогателя пришёлся на первую половину мая 2017 г. В первые дни (12-15 мая 2017) было осуществлено массовое заражение персональных компьютеров и серверов по всему миру. В числе первых пострадавших медицинские учреждения (47 больниц лишь в Великобритании), университеты, производственные заводы (Hitachi, Renault, Nissan), железнодорожные системы (Россия, Германия), провайдеры мобильной связи, банки, полицейские департаменты, правительственные учреждения и многое другое. Карта инфекций в режиме реального времени. Страны: Россия, Тайвань, Испания, Украина, Япония, Франция, Германия...

Масштабы инфекции WanaCrypt0r на мировой карте

WanaCrypt0r на мировой карте (11-15 мая 2017)

График распределения по странам мира (12-24 мая 2017)

Топ распределения инфекции по странам (12-24 мая 2017)

Ориентирован на разноязычных пользователей, что позволяет быстро и с успехом распространять его по всему миру. Мультиязычен только экран блокировки. 

Список поддерживаемых языков, руководства на которые включены в список: 
Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, German, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Russian, Slovak, Spanish, Swedish, Turkish, Vietnamese.

💫

...В ответ на тиражирование зарубежными СМИ фактов о пострадавших банках России...
Конечно, компьютерные сети банков тоже пострадали. Но мировая банковская практика такова, что принято скрывать факты атак до последнего момента, когда этот факт будет невозможно скрыть.

...In response to the replication of foreign mass media of facts about the affected banks of Russia...
Of course, computer networks of banks also suffered. But the world banking practice is such that it is customary to hide the facts of attacks until the last moment, when this fact will be impossible to hide.

Скриншоты и описание

Записка с требованием выкупа называется: @Please_Read_Me@.txt

Содержание записки о выкупе:
Q:  What's wrong with my files?
A:  Ooops, your important files are encrypted. It means you will not be able to access them anymore until they are decrypted.
    If you follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
    Let's start decrypting!
Q:  What do I do?
A:  First, you need to pay service fees for the decryption.
    Please send $300 worth of bitcoin to this bitcoin address: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
    Next, please find an application file named "@WanaDecryptor@.exe". It is the decrypt software.
    Run and follow the instructions! (You may need to disable your antivirus for a while.)
Q:  How can I trust?
A:  Don't worry about decryption.
    We will decrypt your files surely because nobody will trust us if we cheat users.
*   If you need our assistance, send a message by clicking <Contact Us> on the decryptor window.

Перевод записки на русский язык:
В: Что не так с моими файлами?
О: Упс, ваши важные файлы зашифрованы. Это значит, что вы не сможете получить к ним доступ, пока они не будут расшифрованы.
     Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все свои файлы!
     Давайте начнем расшифровку!
В: Что мне делать?
О: Во-первых, вам нужно заплатить выкуп за услуги расшифровки.
     Отправьте биткоины на сумму $300 на этот биткоин-адрес: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
     Затем найдите файл приложения с именем «@WanaDecryptor@.exe». Это программа дешифровки.
     Запустите и следуйте инструкциям! (Возможно, вам нужно временно отключить антивирус.)
В: Могу ли я доверять?
О: Не беспокойтесь о расшифровке.
     Мы расшифруем ваши файлы, т.к. никто не будет нам доверять, если мы обманем пользователей.
* Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us> в окне расшифровки.

Другими информаторами жертв выступают экран блокировки с таймером и скринлок, встающий обоями рабочего стола. 

Скринлок, встающий обоями рабочего стола

Скриншоты экрана блокировки (раздельно, на фоне обоев, на русском, английском, испанском, китайском):

Экран блокировки и содержание папки

Собственно экран блокировки

Обои, экран и папка с файлами

Экран, файлы шифровальщика и зашифрованные файлы

 

Содержание требований на испанском и китайском языках

Содержание требований о выкупе из экрана блокировки:
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
You can decrypt some of your files for free. Try now by clicking <Decrypt>.
But if you want to decrypt all your files, you need to pay.
You only have 3 days to submit the payment. After that the price will be doubled.
Also, if you don’t pay in 7 days, you won’t be able to recover your files forever.
We will have free events for users who are so poor that they couldn’t pay in 6 months.
How Do I Pay?
Payment is accepted in Bitcoin only. For more information, click <About bitcoin>.
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.
And send the correct amount to the address specified in this window.
After your payment, click <Check Payments>. Best time to check: 9:00am - 11:00am GMT from Monday to Friday.
Once the payment is checked, you can start decrypting your files immediately.
Contact
If you need our assistance, send a message by clicking <Contact Us>.
We strongly recommend you to not remove this software, and disable your antivirus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!

Перевод этого текста на русский язык:
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, т.к. они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Можно ли восстановить файлы?
Конечно. Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у вас совсем немного времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы сделать платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 7 дней, вы не сможете восстановить файлы никогда.
У нас будут бесплатные мероприятия для пользователей, которые настолько бедны, что не могут заплатить за 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткоинах. Для получения дополнительной информации нажмите <About bitcoin>.
Пожалуйста, проверьте текущую стоимость биткоинов и купите биткоины. Для получения дополнительной информации нажмите <How to buy bitcoins>.
И отправьте правильную сумму на адрес, указанный в этом окне.
После оплаты нажмите <Check Payments>. Лучшее время для проверки: 9:00 am - 11:00 am GMT с понедельника по пятницу.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>.
Настоятельно рекомендуем вам не удалять эту программу и временно отключить антивирус, пока не заплатите и платёж не обработается. Если ваш антивирус обновится и автоматически удалит эту программу, мы не сможем восстановить ваши файлы, даже если вы заплатили!

Оригинальный текст из окна экрана блокировки (для сравнения):

Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, поскольку они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
Можно ли восстановить файлы?
Конечно. Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у вас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течение 7 дней, вы не сможете восстановить файлы навсегда.
У нас будут бесплатные мероприятия для пользователей, которые настолько бедны, что не могут заплатить за 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткойнах. Для получения дополнительной информации нажмите <About bitcoin>.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>.
Мы настоятельно рекомендуем вам не удалять это программное обеспечение и некоторое время отключать антивирус, пока вы не заплатите и не обработаете платеж. Если ваш антивирус обновится и автоматически удалит это программное обеспечение, он не сможет восстановить ваши файлы, даже если вы заплатите!


Как можно заметить, текст на русском языке сделан вымогателями с помощью Google-переводчика. (См. выводы в начале статьи под флажком). 

Сообщение подтверждения оплаты и запуска дешифровки

Сообщение завершения дешифровки

Рекомендации по предотвращению угрозы

1. Этот вредонос использует уязвимость, описанную в следующих статьях Microsoft: 
   Microsoft Security Bulletin MS17-010 - Critical
   MS17-010: Описание обновления безопасности для Windows SMB Server: 14 марта 2017 г.
Короче говоря, там рекомендуется скачать патч, закрывающий эту уязвимость, согласно версии вашей Windows.
Еще проще! Ниже в комментариях есть все прямые ссылки для всех версий Windows, включая XP и Vista. Скопируйте ссылку для своей ОС и вставьте в адресную строку браузера. 
Сделать это необходимо НЕМЕДЛЕННО!

После установки потребуется перезагрузить компьютер. Дождитесь завершения обновления. 

2. Если установка патча по каким-то причинам невозможна, то следует отключить SMB v1, v2, v3, протокола SMB (Server Message Block) в Windows и Windows Server, а также блокировать все версии SMB, путем блокировки TCP портов 445 и 139, а также UDP портов 137-138. 

Например, быстро заблокировать порты 139 и 445 можно с помощью следующих команд:
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=139 name="Block_TCP-139"

netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Другие порты — аналогично. С правами администратора. 

Хотя отключение SMB может создать администраторам немало проблем, но в данном случае плюсы перевешивают минусы, так как потенциальная угроза для пользователей страшнее.

См. статьи от Microsoft: 
Как включить и отключить SMBv1, протокола SMB версии 2 и SMBv3 в Windows и Windows Server
How to enable and disable SMBv1, SMBv2, and SMBv3 in Windows and Windows Server
Сделать это необходимо также НЕМЕДЛЕННО! 

Технические детали

Для распространения использует два инструмента из арсенала АНБ США: эксплоит EternalBlue для уязвимости в Windows и бэкдор DoublePulsar, позволяющий вредоносу распространяться по сетям самостоятельно, наподобие червя, сканируя Интернет на наличие открытых портов. 
В рамках другой вредоносной кампании вполне может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

С помощью этой уязвимости в старых ОС Windows червь для SMB распространяется по локальной сети организации или предприятия без каких-то действий со стороны пользователя компьютера.

Этот Ransomware создаёт мьютекс "Global\MsWinZonesCacheCounterMutexA" и запускает удаление теневых копий файлов, точек восстановления и отключает отладку ошибок загрузки Windows единой командой:
cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Контроль учетных записей (UAC) не обходит. Если UAC не отключен заранее, то выйдет предупреждение на выполнение этой команды.

Чтобы подготовить компьютер к шифрованию WanaCrypt0r выполняет специальную команду iCACLS, чтобы изменить права доступа к файлам и папкам, расположенным в папке и подпапках, откуда WanaCrypt0r был запущен. Затем он завершает процессы , связанные с серверными базами данных и почтовыми серверами, чтобы шифровать базы данных и почтовые ящики.

Если файл большой, то шифруется не весь файл, а только его часть. Например, если файл больше 10 Мб, тогда шифруется только 1/3 часть и ~20 байт в конце. Используются шифры RSA-512 и AES-128. 

В случае, если файлы расположены в важных папках ("Рабочий стол", "Мои документы"), WannaCry перезаписывает оригинальные файлы и восстановить их будет невозможно (кроме как заплатить выкуп). 

Если файлы не находятся в "важных" папках, то исходные файлы будут перемещены в %TEMP%\%d.WNCRYT (где %d обозначает числовое значение). Эти файлы содержат исходные данные и не перезаписываются, а лишь удаляются с диска, потому их можно восстановить с помощью специального ПО для восстановления данных.

Список файловых расширений, подвергающихся шифрованию:

1-й список (один образец)
.123, .3dm, .3ds, .3g2, .3gp, .602, .accdb, .aes, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .csr, .csv, .dbf, .dch,.der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rtf, .sch, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (166 расширений).

2-й список (второй образец) 
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (176 расширений).

3-й список (третий образец) 
.123, .3dm, .3ds, .3g2,  .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .bz2, .c, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .h, .hwp, .ibd, .iso, .jar, .java, .jpeg, .jpg, .js, .jsp, .key, .lay, .lay6, .ldf, .m3u, .m4u, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ots, .ott, .p12, .PAQ, .pas, .pdf, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .rar, .raw, .rb, .rtf, .sch, .sh, .sldm, .sldm, .sldx, .slk, .sln, .snt, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vb, .vbs, .vcd, .vdi, .vmdk, .vmx, .vob, .vsd, .vsdx, .wav, .wb2, .wk1, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (179 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
wcry.zip
@WanaDecryptor@.exe
@Please_Read_Me@.txt
@WanaDecryptor@.bmp
WanaDecryptor.exe
WanaDecryptor.exe.lnk
taskse.exe
taskdl.exe
tasksche.exe
mks.exe
hptasks.exe
<random>.exe
c:\windows\mssecsvc.exe
и другие. 

Расположения:
C:\Users\User\AppData\Local\@WanaDecryptor@.exe.lnk
Файлы вымогателя @WanaDecryptor@.exe и @Please_Read_Me@.txt находятся во всех папках с зашифрованными файлами. 

Файлы, установившиеся вместе с шифровальщиком, нужные для работы WanaCrypt0r/Wana Decrypt0r:
[Installed_Folder]\00000000.eky
[Installed_Folder]\00000000.pky
[Installed_Folder]\00000000.res
[Installed_Folder]\@WanaDecryptor@.exe
[Installed_Folder]\@WanaDecryptor@.exe.lnk
[Installed_Folder]\b.wnry
[Installed_Folder]\c.wnry
[Installed_Folder]\f.wnry
[Installed_Folder]\msg\
[Installed_Folder]\msg\m_bulgarian.wnry
[Installed_Folder]\msg\m_chinese (simplified).wnry
[Installed_Folder]\msg\m_chinese (traditional).wnry
[Installed_Folder]\msg\m_croatian.wnry
[Installed_Folder]\msg\m_czech.wnry
[Installed_Folder]\msg\m_danish.wnry
[Installed_Folder]\msg\m_dutch.wnry
[Installed_Folder]\msg\m_english.wnry
[Installed_Folder]\msg\m_filipino.wnry
[Installed_Folder]\msg\m_finnish.wnry
[Installed_Folder]\msg\m_french.wnry
[Installed_Folder]\msg\m_german.wnry
[Installed_Folder]\msg\m_greek.wnry
[Installed_Folder]\msg\m_indonesian.wnry
[Installed_Folder]\msg\m_italian.wnry
[Installed_Folder]\msg\m_japanese.wnry
[Installed_Folder]\msg\m_korean.wnry
[Installed_Folder]\msg\m_latvian.wnry
[Installed_Folder]\msg\m_norwegian.wnry
[Installed_Folder]\msg\m_polish.wnry
[Installed_Folder]\msg\m_portuguese.wnry
[Installed_Folder]\msg\m_romanian.wnry
[Installed_Folder]\msg\m_russian.wnry
[Installed_Folder]\msg\m_slovak.wnry
[Installed_Folder]\msg\m_spanish.wnry
[Installed_Folder]\msg\m_swedish.wnry
[Installed_Folder]\msg\m_turkish.wnry
[Installed_Folder]\msg\m_vietnamese.wnry
[Installed_Folder]\r.wnry
[Installed_Folder]\s.wnry
[Installed_Folder]\t.wnry
[Installed_Folder]\TaskData\
[Installed_Folder]\TaskData\Data\
[Installed_Folder]\TaskData\Data\Tor\
[Installed_Folder]\TaskData\Tor\
[Installed_Folder]\TaskData\Tor\libeay32.dll
[Installed_Folder]\TaskData\Tor\libevent-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_core-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libevent_extra-2-0-5.dll
[Installed_Folder]\TaskData\Tor\libgcc_s_sjlj-1.dll
[Installed_Folder]\TaskData\Tor\libssp-0.dll
[Installed_Folder]\TaskData\Tor\ssleay32.dll
[Installed_Folder]\TaskData\Tor\taskhsvc.exe
[Installed_Folder]\TaskData\Tor\tor.exe
[Installed_Folder]\TaskData\Tor\zlib1.dll
[Installed_Folder]\taskdl.exe
[Installed_Folder]\taskse.exe
[Installed_Folder]\u.wnry
[Installed_Folder]\wcry.exe

WanaCrypt0r сам скачивает клиент TOR из xxxxs://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip и извлекает его в папку TaskData. 
Этот клиент ТОР затем используется им для связи с C&C-серверами: gx7ekbenv2riucmf.onion, 57g7spgrzlojinas.onion, xxlvbrloxvriy2c5.onion, 76jdd2ir2embyv47.onion и cwwnhwhlz52maqm7.onion.

WanaCrypt0r завершает процессы баз данных:
taskkill.exe /f /im mysqld.exe
taskkill.exe /f /im sqlwriter.exe
taskkill.exe /f /im sqlserver.exe
taskkill.exe /f /im MSExchange
taskkill.exe /f /im Microsoft.Exchange

Записи реестра, связанные с WanaCrypt0r Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[random] "[Installed_Folder]\tasksche.exe"
HKCU\Software\WanaCrypt0r\
HKCU\Software\WanaCrypt0r\wd    [Installed_Folder]
HKCU\Control Panel\Desktop\Wallpaper    "[Installed_Folder]\Desktop\@WanaDecryptor@.bmp"
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com - сайт Killswitch
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com - сайт Killswitch
www.ayylmaotjhsstasdfasdfasdfasdfasdfasdfasdf.com - сайт Killswitch
57g7spgrzlojinas.onion
76jdd2ir2embyv47.onion
cwwnhwhlz52maqm7.onion
gx7ekbenv2riucmf.onion
sqjolphimrr7jqw6.onion
xxlvbrloxvriy2c5.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ с .WNCRY >>  Ещё >>  Ещё >>
VirusTotal анализ с .WNCRY >>  Ещё >>
Гибридный анализ с .WNCRYT >>
VirusTotal анализ с .WNCRYT >>
Malwr анализ с .WNCRYT >>  Ещё >>
Intezer анализ >>

WannaCry: javaupdate.exe, creates g.exe
https://www.virustotal.com/ru/file/92b0f4517fb22535d262a7f17d19f7c21820a011bfe1f72a2ec9fbffbdc7e3e0/analysis/

WannaCry: svchost.exe, creates lsasvs.exe
https://www.virustotal.com/ru/file/91146ee63782a2061701db3229320c161352ee2bc4059ccc3123a33114774d66/analysis/

WannaCry: lsasvs.exe, creates 50793105.exe
https://www.virustotal.com/ru/file/a7ea1852d7e73ef91efb5ec9e26b4c482ca642d7bc2bdb6f36ab72b2691ba05a/analysis/

WannaCry: 50793105.exe, creates taskhcst.exe
https://www.virustotal.com/ru/file/7f8166589023cd62ae55a59f5fca60705090d17562b7f526359a3753eb74ea2f/analysis/

WannaCry: taskhcst.exe
https://www.virustotal.com/ru/file/043e0d0d8b8cda56851f5b853f244f677bd1fd50f869075ef7ba1110771f70c2/analysis/

WannaCry: armsvc.exe, javaupdate.exe
https://www.virustotal.com/ru/file/92b0f4517fb22535d262a7f17d19f7c21820a011bfe1f72a2ec9fbffbdc7e3e0/analysis/

WannaCry: jusched.exe
https://www.virustotal.com/ru/file/524f8f0f8c31a89df46a77c7a30af5d2a1dc7525b08bfafbed98748c3d8a3f1c/analysis/

WannaCry: msinj32.exe
https://www.virustotal.com/ru/file/41e9d6c3374fd0e78853e945b567f9309446084e05fd013805c70a6a8205cd70/analysis/

WannaCry: goyqsvc.dll
https://www.virustotal.com/ru/file/436195bd6786baae8980bdfed1d7d7dbcccb7d5085e79ebdcc43e22d8bae08a8/analysis/

WannaCry: exldcmgmt.dll
https://www.virustotal.com/ru/file/9f177a6fb4ea5af876ef8a0bf954e37544917d9aaba04680a29303f24ca5c72c/analysis/

WannaCry: oledbg32.dll
https://www.virustotal.com/ru/file/ae8e9ff2dc0ec82b6bae7c4d978e3feac93353cb3cd903e15873d31e30749150/analysis/

WannaCry: bitssvcs.dll
https://www.virustotal.com/ru/file/fc079cefa19378a0f186e3e3bf90bdea19ab717b61a88bf20a70d357bf1db6b8/analysis/

Степень распространённости: высокая (глобальная атака).
Подробные сведения собираются регулярно.
Схему распространения этой угрозы см. онлайн.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

СМИ сообщают о новых атаках WannaCry и массовых инфекциях. На самом деле всё иначе. Несколько других вредоносов могли маскироваться и выдавать себя за WannaCry. Эти случаи известны и вряд ли они последние. При этом опасность представляет не только сам вредонос (любой из имитаторов и дубликатов), а также то, что в них используются эксплойты из арсенала АНБ, от которых в операционных системах нет защиты, кроме послевременного патча. 
В мае 2018 года специалисты Symantec предупреждали, что разрушительный потенциал WannaCry будет опасен всегда и не имеет срока давности. Потому новые заражения, о которых истерят СМИ, были вызвано бездействием обслуживающего персонала и нерациональными действиями руководства, решившего, что они умнее атакующих. 
Необходимо защищаться всегда! Для этого я выработал и опубликовал здесь "Комплекс мероприятий для защиты от Ransomware". Это на сегодняшний день единственная защита. Изучите эти рекомендации и выработайте комплекс мероприятий для защиты своего предприятии и организации от Ransomware. 

---

Обновление от 23 января 2020:
Пост в Твиттере >>
Результаты анализов: VT

Внимание!
Есть 3  дешифровщика, но их возможности ограничены: 
1) WannaKey - только для Windows XP (скачать)
2) wanakiwi - для Windows XP, x86 Windows 7, 2003, Vista, Server 2008, 2008 R2 (скачать)
wanakiwi поможет, если ПК не выключался и не перезагружался после атаки WannaCry
Описание >> *
3) WannaCry Decryption tool на китайском, если непонятно, пишите мне. 
Описание и загрузка >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as WannaCryptor)

 Added later:  Video review
 Write-up, Topic, Research
 Write-up on BC, Topic on BC  История WannaCry 5 лет спустя

Dr.Web: Trojan.Encoder.11432, известный как WannaCry
Подробности о шифровальщике (May 16, 2017)

Symantec Official Blog (May 22, 2017)
WannaCry: Ransomware attacks show strong links to Lazarus group

TrustLook blog (May 16, 2017)
386 WannaCry Ransomware Samples 

FireEye (May 23, 2017)
WannaCry Malware Profile

Kryptos Logic (May 29, 2017)
WannaCry: Two Weeks and 16 Million Averted Ransoms Later

Securelist (June 1, 2017)
WannaCry mistakes that can help you restore files after infection

 Thanks: 
 MalwareHunterTeam, Jakub Kroustek
 Michael Gillespie
 Alex Svirid, GrujaRS
 BleepingComputer
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private