Decryption Assistant

Decryption Assistant Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное названия: FlashPlayerUpdate и Decryption Assistant.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Decryption Assistant

К зашифрованным файлам добавляется расширение .pwned

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
YOUR OPERATING SYSTEM AND DATA HAS BEEN COMPROMISED
All important data including your personal pictures, music, videos, documents and many more has been encrypted. The data cannot be recovered unless a fee has been paid to decrypt them.
The private decryption key for the data has been stored on our server and will be sent to this computer once the payment is sent. Any attempt to removing this software will lead an immediate destruction to the private key.
To obtain your decryption key, you will first need a bitcoin wallet to send us the payment. You can start the process by clicking <Decrypt Files> which will start the payment process. 
We advise you immediately buy the bitcoins before the countdown timer drops to zero which will immediately destroy your private key.
button [Payment Status]
button [Decrypt Files]

Перевод текста на русский язык:
ВАША ОПЕРАЦИОННАЯ СИСТЕМА И ДАННЫЕ CКОМПРОМЕТИРОВАНЫ
Все важные данные, включая ваши личные фотографии, музыку, видео, документы и многое другое, были зашифрованы. Данные не будут восстановлены, если не получена плата за их дешифрование.
Закрытый ключ дешифрования данных хранится на нашем сервере и будет отправлен на этот компьютер после получения платежа. Любая попытка удаления этой программы приведет к немедленному уничтожению закрытого ключа.
Чтобы получить ключ дешифрования, вам нужно завести биткоин-кошелек, чтобы отправить нам платеж. Вы можете начать процесс, нажав <Decrypt Files>, который запустит процесс оплаты.
Мы советуем вам срочно купить биткоины до того, как таймер обнулится, что немедленно уничтожит ваш закрытый ключ.
Кнопка [Payment Status] (Статус платежа)
Кнопка [Decrypt Files] (Расшифровать файлы)

Пока находится в разработке, но после доработки может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений (для FlashPlayer в частности), перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.asp, .aspx, .csv, .doc, .docx,.exe, .html, .jpg, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (21 расширение). 

Это документы MS Office, OpenOffice, PDF, файлы веб-страниц, проекты Visual Studio, текстовые файлы, базы данных, фотографии, файлы образов и пр.

Файлы, связанные с этим Ransomware:
FlashPlayerUpdate.exe
key.txt
\Downloads\HANSA

Расположения:
c:\chicken\ - папка для шифрования
\Desktop\key.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

D2+D

D2+D Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Предлагает также пожертвовать деньги в вымогательский проект. Обещает скидки бедным (малоимущим) жертвам. Оригинальное название: D2+D Ransomware, указано в заголовке экрана блокировки. Другие названия указаны на файле: WindowsApp1 и The Game v.10. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К незашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на начало вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
WHAT THE HELL IS HAPPENING?
Your files are encrypted, you cannot close this progarm unless you have the key! This is a ransomware
What can i do?
You have to buy the key! don't worry
Customers are treated well, we are reliable
Can you decrypt my files?
Yes, we can but we won't do it
Enter the key yourself
You can check the F.A.Q in the link given below
http://bobdinh.hol.es
REMEMBER, THE TIME IS LIMITED you only have 3 day(s) to buy the key!
HOW TO PURCHASE?
Buy bitcoins and send to: DlEifiefiinn34n2i3 or buy me some cup of coffe or we could hang out together that is fine ! :)
don't know how to create bitcoin account? check the F.A.Q or hang out with me!
[Send with love:] DlEifiefiinn34n2i3
Send 100$ worth of bitcoin, special offer: 50% discount for first 3 customers fot poor people offer: 90% off!!!
feel free to donate now: [Donate to D2+D ransom project now!!]
button [Unlock now!]

Перевод текста на русский язык:
ЧТО ЗА ЧЕРТОВЩИНА?
Твои файлы зашифрованы, ты не сможешь закрыть эту программу, если у вас нет ключа! Это программа-вымогатель
Что мне делать?
Ты должен купить ключ! Не волнуйся
Клиентов вполне излечим, мы надежны
Можете ли вы расшифровать мои файлы?
Да, мы можем, но мы не будем этого делать
Введи ключ самостоятельно
Ты можешь проверить F.A.Q в приведенной ниже ссылке
http://bobdinh.hol.es
ПОМНИ, ВРЕМЯ ОГРАНИЧЕНО, у тебя есть только 3 дня, чтобы купить ключ!
КАК КУПИТЬ?
Купи биткойны и отправь по адресу: DlEifiefiinn34n2i3 или купи мне чашку кофе, или мы сможем пообщаться, и это прекрасно! :)
Не знаешь, как создать биткоин-аккаунт? Проверь F.A.Q или пообщайся со мной!
[Отправить с любовью:] DlEifiefiinn34n2i3
Отправь биткоины на 100$, спец-предложение: 50% скидка для первых 3-х клиентов, для малоимущих: 90% скидка !!!
Не стесняйся пожертвовать сейчас: [Пожертвуй в проект D2+D выкупа сейчас !!]
Кнопка [Разблокировать сейчас!]

Код разблокировки: 215249148

Пока находится в разработке, после доработки может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
The Game v.10.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer‏
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

VisionCrypt

VisionCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $25, чтобы вернуть файлы. Оригинальные названия: VisionCrypt 2.0 и VisionCryptor.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .VisionCrypt, но у оригинального расширения файла при этом заменяется "точка", отделяющая расширение от файла, на "нижнее подчеркивание". Таким образом шаблон добавления расширения к зашифрованным файлам можно записать так: _[original_extension].VisionCrypt

Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
**CLOSING OF THIS PROGRAM WILL REMOVE ALL CHANCE OF FILE RETRIEVAL**
---
What happened to my files?
---
Many of your pictures, documents, databases and all other important files are no longer accessible, as they have been encrypted using AES-128 government grade encryption.
---
Can I recover my files?
---
Of course you can! But be quick, time is running out. (Refer to countdown clock)
You have two days (48 Hours) to deliver the payment. After payment, refer to the <Contact Us> button, and email us the Payment Hash, along with your victim ID.
The payment will then be confirmed, and decryption key will be sent to you.
You will then have all your files back!
***

Перевод записки на русский язык:
** ЗАКРЫТИЕ ЭТОЙ ПРОГРАММЫ УДАЛИТ ВСЕ ШАНСЫ ВЕРНУТЬ ФАЙЛЫ**
---
Что случилось с моими файлами?
---
Многие из ваших фотографий, документов, баз данных и всех других важных файлов теперь недоступны, т.к. они были зашифрованы с правительственным шифрованием AES-128.
---
Могу ли я восстановить мои файлы?
---
Конечно можете! Но торопитесь, время уходит. (См. таймер времени)
У вас есть два дня (48 часов) для проведения платежа. После оплаты обратитесь к кнопке <Contact Us> и отправьте нам по email платежный хэш вместе с вашим ID жертвы.
После этого платеж будет подтвержде, и ключ дешифрования будет отправлен вам.
После этого вы получите все свои файлы!
***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
VisionCryptor.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: VisionDep@sigaint.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as VisionCrypt)
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer‏
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Maysomware

Maysomware Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/rsa, а затем требует выкуп в 1,5 BTC, чтобы вернуть файлы. Оригинальные названия: May Ransomware, Maysomware и Ransomware. Таким образом это также "Майский вымогатель". 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляются расширения 
.maysomware - версия от 19 мая 2017
.locked - версия от 15 мая 2017

Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
Restore_maysomware_files.html - версия от 19 мая 2017
Restore_your_files.txt - версия от 15 мая 2017

Записка от от 19 мая 2017

Код записки от от 15 мая 2017

Содержание записки о выкупе:
RANSOMWARE
All your files have been encrypted with May Ransomware. For encrypt we use AES256+RSA4096. You have 5 days for decrypt your files. Don`t try recover your files.
Decrypt Manual
1) Make your bitcoin wallet on block.io or blockchain.info and buy 1,5 bitcoins on BTC Exchange Sites (https://goo.gl/1PE96T)
2) Send 1,5 bitcoin to adress 3Gw6b57A3E34nAph3mzGbKAj8sTSgD8GP9
3) Write to us on email decrypt@mayofware.solutions. In subject write this identificator *****
4) After receive bitcoins and your email, we contact with you.
— YOU MIGHT DECRYPT 2 FILES FOR FREE. Send it to email decrypt@mayofware.solutions. In Subject, write your UNIQUE Identificator.

Перевод записки на русский язык:
RANSOMWARE
Все ваши файлы были зашифрованы с May Ransomware. Для шифрования мы использовали AES256 + RSA4096. У вас есть 5 дней для дешифровки ваших файлов. Не пытайтесь восстановить свои файлы.
Руководство по дешифровке
1) Сделайте свой биткойн-кошелек на block.io или blockchain.info и купите 1,5 биткойна на сайтах BTC Exchange (https://goo.gl/1PE96T)
2) Отправьте 1,5 биткойн на адрес 3Gw6b57A3E34nAph3mzGbKAj8sTSgD8GP9
3) Напишите нам на email decrypt@mayofware.solutions. В теме укажите этот идентификатор *****
4) После получения биткойнов и вашего email мы свяжемся с вами.
- ВЫ МОЖЕТЕ ДЕШИФРОВАТЬ 2 ФАЙЛА БЕСПЛАТНО. Отправьте их на email decrypt@mayofware.solutions. В теме напишите свой УНИКАЛЬНЫЙ идентификатор.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Restore_maysomware_files.html
May.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***mayofware.solutions/1/target.php***
decrypt@mayofware.solutionsСм. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 2 июня 2017:
Записка: Restore_aeroware_files.html
В записки много ошибок в пунктуации. 
Расширение: .aeroware
Email: decrypt@mayofware.solutions

Содержание записки: 
Files Decryption
Manual
All your files have been encrypted with Aeroware Ransomware. For encrypt we use AES256+RSA2048. You have 6 days for decrypt your files. DON'T DELETE ".MANIFEST" FILES. Don't try recover your files.
1) Make your bitcoin wallet on block.io or blockchain.info and buy 2 bitcoins on BTC Exchange Sites (https://goo.gl/1PE96T)
2) Send 2 bitcoin to adress 1FHvMqZCftgDx2K7ehrkwF78kc24V82z7T
3) Write to us on email decrypt@mayofware.solutions. In subject write this identificator '06f63054391d43fbb55f6450839879d4'
4) After receive bitcoins and your email, we contact with you.
— YOU MIGHT DECRYPT 2 FILES FOR FREE. Send it to email decrypt@mayofware.solutions. In Subject, write your UNIQUE Identificator.

В записке упомянуты некоторые специальные файлы, которые не нужно удалять. 

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Maysomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 *
 *
 

Это 555-й пост в блоге!!!

© Amigo-A (Andrew Ivanov): All blog articles.

WhatAFuck

Whatafuck Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email, чтобы вернуть файлы. Оригинальное название неизвестно. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется +++ helppppppp@meta.ua

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: WHATAFUCK.txt

Содержание записки о выкупе:
Для расшифровки пишите: helppppppp@meta.ua Укажите ПИН: 65

Технические детали

Распространяется через RDP, но может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует системную утилиту wevtutil.exe для управления журналом событий, т.е. подчищает за собой, чтобы нельзя было отследить что было сделано. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WHATAFUCK.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WhatAFuck)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

XData

XData Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: XData. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: AES-NI (stolen code) > ☠ XData

К зашифрованным файлам добавляется расширение .~xdata~

Активность этого крипто-вымогателя пришлась на середину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. На момент написания статьи уже было известно о пострадавших из Украины и в меньшей степени из России. 
Ниже в комментариях можно прочитать, как проходила атака. Для наглядности график от компании Eset. 

Записка с требованием выкупа называется: HOW_CAN_I_DECRYPT_MY_FILES.txt

Содержание записки о выкупе:
Your important files were encrypted on this computer: documents, databases, photos, videos, etc.
Encryption was prodused using unique public key for this computer.
To decrypt files, you need to obtain private key and special tool.
To retrieve the private key and tool find your pc key file with '.key.~xdata~' extension.
Depending on your operation system version and personal settings, you can find it in:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
folders (eg. 'C:/PC-TTT54M#45CD.key.~xdata~').
Then send it to one of following email addresses:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Your ID: ******
Do not worry if you did not find key file, anyway contact for support.

Перевод записки на русский язык:
Ваши важные файлы зашифрованы на этом компьютере: документы, базы данных, фото, видео и т.д.
Шифрование сделано с уникальным открытым ключом для этого компьютера.
Чтобы расшифровать файлы, вам надо получить закрытый ключ и специальный инструмент.
Чтобы получить закрытый ключ и инструмент, найдите ключевой файл вашего ПК с расширением '.key.~xdata~'.
В зависимости от версии вашей операционной системы и личных настроек вы можете найти его в папках:
'C:/',
'C:/ProgramData',
'C:/Documents and settings/All Users/Application Data',
'Your Desktop'
(напр. 'C:/PC-TTT54M#45CD.key.~xdata~').
Затем отправьте его на один из следующих email-адресов:
beqins@colocasia.org
bilbo@colocasia.org
frodo@colocasia.org
trevor@thwonderfulday.com
bob@thwonderfulday.com
bil@thwonderfulday.com
Ваш ID: ******
Не беспокойтесь, если вы не нашли ключевой файл, обратитесь в службу поддержки.

👉 Записка о выкупе, email и ключи очень похожи на используемые ранее AES-NI, но известно, что его разработчик не использовал XData для атаки, значит исходники были у него украдены в период с февраля по март, т.е до апрельской версии. Это подтвердилось 24-25 мая, см. статью на BC. 

Особенности и отличия от AES-NI:
- отсутствие региональных ограничений, имеющихся в AES-NI;
- отсутствие C&C-сервера в Tor-сети;
- отсутствие инжекта (возможности внедряться) в выполняющийся процесс;
- не пишет ИД ключа и оригинальное имя файла в зашифрованный файл.

По сути это урезанная оффлайн-версия AES-NI, но со всем рабочим функционалом.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
msaddc.exe
mscomrpc.exe
msdcom.exe
msdns.exe
mssecsvc.exe
mssql.exe
HOW_CAN_I_DECRYPT_MY_FILES.txt
.key.~xdata~

Расположения:
C:/
C:/ProgramData
C:/Documents and settings/All Users/Application Data
/Desktop

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать XDataDecrypter для дешифровки >>
Инструкция по дешифровке прилагается. 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as XData)
 Write-up (add. May 25, 2017)
 Video review 

 Thanks: 
 S! Ri
 Michael Gillespie
 MalwareHunterTeam
 GrujaRS
 ESET

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Fake WannaCry

Fake WannaCry Ransomware

Fake WanaCryptor Ransomware

(группа шифровальщиков, подражателей и фейк-шифровальщиков) 

Translation into English

   Успех, который пришёлся на долю крипто-вымогателя WanaCrypt0r 2.0 семейства WannaCry, использовавшего NBA Exploit и бэкдор DoublePulsar, вызвал приступы зависти у других вымогателей и толкнул их на создание фейков-подражателей, полностью или отчасти имитирующих внешний вид WanaCrypt0r 2.0. Это им нужно для того, чтобы вынудить напуганную жертву поскорее перевести выкуп. Некоторые из них вообще не доведены до ума и даже не пытаются шифровать файлы. 

Такое поведение мы уже наблюдали раньше для других нашумевших крипто-вымогателей (CryptoWall, CryptoLocker, TeslaCrypt, Locky, Cerber, Globe пр.), но в этом году это первый масштабный поток подражателей. Обо всех рассказать невозможно, потому расскажем лишь о тех, про которых удалось собрать сведения, позволяющие идентифицировать вымогателя как подражателя. 

DarkoderCryptor Ransomware

Другие названия: Darkoder Encript0r, Darkoder Encryptor, DarkoderCrypt0r, DaKryEncryptor.
Реально шифрует данные с помощью AES и требует в качестве выкупа $300 в биткоинах. 
К зашифрованным файлам добавляет расширение .DARKCRY 
Читайте отдельное описание этого вымогателя на отдельной странице по ссылке. 

Aron WanaCrypt0r 2.0 Generator v1.0

Разработан как настраиваемый генератор WannaCry Ransomware. Позволяет создать свой собственный экран блокировки WannaCry, где новый разработчик сможет настроить текст, изображения и цвета экрана блокировки, которые будут использоваться в новом исполняемом файле WanaCrypt0r. 
Распространяется под именем Wanacrypt0r 2.0.exe
Результаты анализов: VT

Wana Decrypt0r 2.0

Ничего пока не шифрует, а только показывает экран блокировки. 
Использует оригинальное имя вымогателя. 
Распространяется под именем MS17-010.exe.
Результаты анализов: VT

Wana Decrypt0r 2.0 (другой)

Ничего пока не шифрует, а только показывает экран блокировки. 
Использует оригинальное имя вымогателя. 
Если приглядеться, то видно, что отличается от предыдущего подражателя шрифтами на экране блокировки и другим BTC-кошельком. 
Распространяется под именем R6Tools.exe.
Результаты анализов: VT

Wanna Crypt v.2.5

Ничего пока не шифрует, а только показывает экран блокировки. 
Среда разработки: Visual Studio 2017
Результаты анализов: HA+VT

WannaCrypt 4.0

Ничего пока не шифрует, а только показывает экран блокировки. 
В экране блокировки языком по умолчанию установлен тайский. Оригинальный WanaCrypt0r 2.0 не поддерживает тайский язык, значит разработчик этого фейка видимо из Таиланда.
Распространяется под именем WannaCrypt 4.0.exe.
Результаты анализов: VT

Wanna Subscribe 1.0

Ничего пока не шифрует, а только показывает экран блокировки. 
Среда разработки: Java
Распространяется под именем Wanna Subscribe Decrypt0r v1.0.exe
На файле указано название продукта: Java Executive by Jar2Exe
Результаты анализов: VT


Активность этих вымогателей выявлена сразу после атаки WanaCrypt0r 2.0, т.е. после 12 мая 2017 г. и далее продолжилась. Тексты в основном на английском, но немало и региональных: на китайском, испанском, португальском, тайском. Впрочем, новые вымогатели-подражатели без труда могут заимствовать текст из ресурсов WanaCrypt0r. 

Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Было довольно много разных подделок и имитаций. Некоторые шифровали файлы. другие не шифровали. Вы можете ознакомиться с внушительным сисков Ransomware, собранных на этом сайте и просмотреть среди них тех, что начинаются на "Wanna...". 

Я не стремился собрать все подделки и имитации, потому многие просто пропустил.
Но спустя несколько лет после нашумевшего реального "WannaCry", который на самом деле назывался WanaCrypt0r 2.0 Ransomware, появляются крипто-вымогателей с похожим окном. Наверное, иногда всё-таки стоит их добавлять хотя бы в эту статью в качестве обновлений. 

=== 2020 ===

Обновление от 2 февраля 2020:
Пост в Твиттере >>
Название в заголовке окна: Wana_Decrypt0r 2.0
Название проекта: RaNsOmCrYpT
Путь: C:\Users\RaNsOmCrYpT\source\repos\WindowsFormsApp3\WindowsFormsApp3\obj\Debug\WindowsFormsApp3.pdb
Функционал: не шифрует файлы. 
Email: REDxVENOM@protonmail.ch
Файлы: WindowsFormsApp3.exe
RaNsOmCrYpTVIRUSMALWARETROJAN.exe
Результаты анализов: VT + AR + IA + HA

➤ Обнаружения: 
DrWeb -> Trojan.Encoder.10598
ALYac -> Misc.Hoax
Avira (no cloud) -> HEUR/AGEN.1016243
BitDefender -> Gen:Heur.Ransom.Imps.3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.Z
Kaspersky -> HEUR:Hoax.MSIL.FakeRansom.gen
McAfee -> Ransomware-FTD!4FC9933FCF4F
Rising -> Ransom.Ryzerlo!8.782 (CLOUD)
Symantec -> Ransom.HiddenTear!g1
Tencent -> Msil.Trojan-psw.Fakeransom.Piar
TrendMicro -> Ransom_Ryzerlo.R002C0CB320

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + Tweet
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer, Michael Gillespie
 Marcelo Rivero
 Andrew Ivanov (author)
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private