Madafakah

Madafakah Ransomware

FTSCoder Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует купить код, чтобы дешифровать файлы. Оригинальное название. На файле написано: madafakah. Фальш-копирайт: Microsoft. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: основан на Stupid (FTSCoder)

К зашифрованным файлам добавляется расширение .fucking

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на англоязычных и, судя по данным Google-переводчика, суданских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
waduuh, filenya terEncript niih
button [Decrypt]
Don't close before Decrypted

Перевод записки на русский язык:
К сожалению файлы зашифрованы
кнопка [Decrypt]
Не закрывайте до Дешифровки

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
madafakah.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Oled

Oled Ransomware

(шифровальщик-вымогатель) (первоисточник)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название неизвестно.

© Генеалогия: Oled ⇔ Amnesia-2
© Генеалогия: Cryakl > Oled ⇒ Oled 2019 > Makop

Использованные символы, см. статью "Генеалогия": 

'⟺' или '<=>' - родство без указания более раннего; 

'⇒' или '=>' - переход на другую разработку. 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .oled

Этимология названия расширения и вымогателя:

1) маловероятно, что от OLED (англ. organic light-emitting diode); 

2) скорее вcего это перевернутое русское слово "delo" (дело). Тем более вымогатели знают руссий язык. 

Целиком шаблон переименованного файла выглядит так: 

filename.[black.mirror@qq.com].oled

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPTION.txt

Содержание записки о выкупе:
Your ID: 
*****
All your files have been encrypted due to a security problem with your PC.
If you want to restore them, write us to the e-mail: black.mirror@qq.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 5Mb
How to obtain Bitcoins
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller by payment method and price https://localbitcoins.com/buy_bitcoins
Attention!
Do not rename or move encrypted files - this may compromise the integrity of the decryption process
Do not try to decrypt your data using third party software, it may cause permanent data loss.

Перевод записки на русский язык:
Ваш ID:
*****
Все ваши файлы были зашифрованы из-за проблем с безопасностью на вашем ПК.
Если вы хотите их восстановить, напишите нам на email: black.mirror@qq.com
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы нам напишете.
После оплаты мы вышлем вам инструмент расшифровки, который расшифрует все ваши файлы.
БЕСПЛАТНАЯ РАСШИФРОВКА КАК ГАРАНТИЯ
Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной расшифровки.
Обратите внимание, что файлы НЕ должны содержать ценную информацию и их общий размер должен быть меньше 5 МБ
Как получить биткоины
Самый простой способ купить биткоин - это сайт LocalBitcoins.
Вы должны зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца по способу оплаты и цене https://localbitcoins.com/buy_bitcoins
Внимание!
Не переименовывайте и не перемещайте зашифрованные файлы - это может навредить процессу дешифрования
Не пытайтесь расшифровать данные с помощью сторонних программ, это может привести к потере данных.

Содержание записки о выкупе очень похоже на записку из OnyonLock Ransomware.

В любом случае, текст был использован повторно. 

Технические детали

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPTION.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: black.mirror@qq.com

🚩 Этот адрес использовался в разных проектах вымогателей: CrySiS, Cryakl, BTCWare, Dharma, Oled. 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Oled 2017 Ransomware - май 2017

Переход на другую разработку с тем же email и частью текста о выкупе. 

Oled 2019 Ransomware - конец 2019

Makop Ransomware - с января 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Некоторые пострадавшие сообщили, что файлы можно восстановить, 
убрав расширение .oled . Возможно, что это кому-то поможет. 
Но не факт, что это будет работать на всех компьютерах. 

 Read to links: 
 myMessage + myMessage
 ID Ransomware (ID as Oled)
 Write-up, Topic
 * 

 Thanks: 
 mmachado (victim in support topic), quietman7
 Andrew Ivanov (article author)
 al1963, 
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Fake DMA

Fake DMA Ransomware
Fake DMA Locker 3 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название неизвестно. Использует экран блокировки из шифровальщика DMA Locker 3. Среда разработки: Visual Studio 2008.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется. 
Вместо этого используется маркер файлов !Encrypt!

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
All your personal files are LOCKED!
---
WHAT’S HAPPENED?
* All your important files(including hard disks, network disks, flash, USB) are encrypted.
* All of files are locked with asymetric algorithm using AES-256 and then RSA-2048 cipher.
* You are not possible to unlock your files because all your backups are removed.
* Only way to unlock your files is to pay us 1500 GBP in Bitcoin currency ( 1.0 BTC ).
After payment we will send you decryption key automatically, which allow you to unlock files.
---
HOW TO PAY US AND UNLOCK YOUR FILES?
1. Please read the steps carefully.
2. To pay us, you have to use Bitcoin currency. You can easily buy Bitcoins at following sites:
* https://www.coinfloor.co.uk/
* https://localbitcoins.com/
* https://www.coinbase.com/
3. If you already have Bitcoins, pay us 1.0 BTC (1500 GBP) on following Bitcoin address:
1EEHF6uucK2UNtbwxTyAzZ74wNudApYWQm
4. After payment, necessarily contact with us to get your decryption key:
data0001@tuta.io In mail title write your unigue ID:
01:07:91:50:32:25:30:07
5. We will automatically send you decryption key file after bitcoin transfer .
When you receive your decryption key file, press "OPEN" button and choose your received
decryption key file.
Then, press the "UNLOCK FILES" button and it will start unlocking all your files.
---
* You have 96 hours to pay us!
* After this time ransom will grow to
200 percent
* Ransom grow time:
29/5/2017 20:15
---
DECRYPTION KEY FILE: [...] [OPEN]
KEY STATUS: [...] [UNLOCK FILES]
//////////
"Attention! ! !
All of your copies of your system have been permanently deleted and the data on all partitions and workstations have been encrypted!
Stay calm.
You can recover all your data by making a payment of 1 BTC (1500 GBP) in Bitcoin currency"
Heuristic match: "data0001@tuta.io"
Pattern match: "https://www.coinfloor.co.uk/"
Pattern match: "https://localbitcoins.com/"

Pattern match: "https://www.coinbase.com/

Перевод записки на русский язык:
Все ваши личные файлы БЛОКИРОВАНЫ!
---
ЧТО СЛУЧИЛОСЬ?
* Все ваши важные файлы (включая жесткие диски, сетевые диски, флеш, USB) зашифрованы.
* Все файлы блокированы с асимметричным алгоритмом AES-256, а затем шифра RSA-2048.
* Вы не можете разблокировать свои файлы, потому что все ваши резервные копии удалены.
* Единственный способ разблокировать ваши файлы - это заплатить нам 1500 фунтов стерлингов в биткойн-валюте (1.0 BTC).
После оплаты мы отправим вам ключ дешифрования автоматически, что позволит вам разблокировать файлы.
---
КАК ОПЛАТИТЬ И РАЗБЛОКИРОВАТЬ СВОИ ФАЙЛЫ?
1. Пожалуйста, внимательно ознакомьтесь с инструкциями.
2. Чтобы заплатить нам, вы должны использовать биткойн-валюту. Вы можете легко купить биткоины на следующих сайтах:
* https://www.coinfloor.co.uk/
* https://localbitcoins.com/
* https://www.coinbase.com/
3. Если у вас уже есть биткоины, заплатите 1.0 BTC (1500 GBP) на следующий биткойн-адрес:
1EEHF6uucK2UNtbwxTyAzZ74wNudApYWQm
4. После оплаты обязательно свяжитесь с нами, чтобы получить ключ для расшифровки:
data0001@tuta.io В заголовке письма напишите свой уникальный ID:
01:07:91:50:32:25:30:07
5. Мы автоматически отправим вам ключ дешифрования после передачи биткойн.
Когда вы получите файл ключа дешифрования, нажмите кнопку "OPEN" и выберите полученный
файл ключа дешифрования.
Затем нажмите кнопку "UNLOCK FILES" и он начнет разблокировку всех ваших файлов.
---
* У вас есть 96 часов, чтобы заплатить нам!
* После этого выкуп вырастет на 200 %
* Время отсчета выкупа:
29.05.2013 20:15
---
Файл ключа дешифрования: [...] [OPEN]
Статус ключа: [...] [UNLOCK FILES]
//////////

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов командой: 

%WINDIR%\system32\cmd.exe /c %WINDIR%\system32\vssadmin.exe delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
svchosd.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: data0001@tuta.io
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 xXToffeeXx
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Mancros+AI4939

Mancros+AI4939 Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
All your files have been encrypted by the Mancros+AI4939 ransomware.
To get your files back you need to pay $50 worth bitcoin to our bitcoin account.
If you do not pay within 4 days your computer will be trashed.
Trying to stop, kill, remove or close the application will trash your computer instantly.
Bitcoin transaction code: 0121-7832-1231-8559-9443-7226.
Antivirus software such as: MalwareBytes, G-Data, AVG, Bullguard, e.t.c will be deleted.
If we sensor any decryption tool your computer will be trashed to.
-Devs

Перевод записки на русский язык:
Все ваши файлы были зашифрованы Mancros+AI4939 Ransomware.
Чтобы вернуть ваши файлы, вам нужно заплатить $50 в биткойнах на наш биткойн-аккаунт.
Если вы не заплатите в течение 4 дней, ваш компьютер будет поврежден.
Пытаясь остановить, вырубить, удалить или закрыть приложение, вы тотчас превратите в утиль ваш компьютер.
Код биткойн-транзакции: 0121-7832-1231-8559-9443-7226.
Антивирусные программы, такие как: MalwareBytes, G-Data, AVG, Bullguard, e.t.c будут удалены.
Если мы определим какой-то инструмент дешифрования, ваш компьютер превратится в утиль.
-Разрабы

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Не шифруются. 

Файлы, связанные с этим Ransomware:
Mancros+AI4939.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LightningCrypt

LightningCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.17 BTC, чтобы вернуть файлы. Оригинальное название: LightningCrypt ("молниеносный крипт"). Фальш-копирайт: Microsoft. Фальш-имя: ChkDsk. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .LIGHTNING

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: LightningCrypt_Recover_Instructions.txt

Содержание записки о выкупе:
!LightningCrypt!
-----
ALL YOUR FILES HAVE BEEN ENCRYPTED
DONT TRY TO DELETE ME
FOR EACH TRY TO DO ANYTHING I WILL DELETE FILES
PAY 0.17 BITCOINS TO THIS ADDRESS : 1LSgvYFY7SDNje2Mhsm51FxhqPsbvXEhpE
YOU CAN BUY BITCOINS ON "BLOCKCHAIN.INFO"
SEND YOUR UNIQE ID IN THE DESCRIPTION OF THE BITCOIN PAYMENT
YOU CAN FIND THEM ON YOUR DESKTOP IN "LIGHTNINGCRYPT_UNIQEID.TXT"
AFTER THE PAYMENT YOUR FILES WILL BE DECRYPTED!
-----
!LightningCrypt!

Перевод записки на русский язык:
!LightningCrypt!
-----
Все твои файлы были зашифрованы
Не пытайся удалить меня
За каждую попытку сделать что-то я удалю файлы
Плати 0.17 биткоинов на этот адрес: 1lsgvyfy7sdnje2mhsm51fxhqpsbvxehpe
Ты можешь купить биткоины на "blockchain.info"
Отправь свой уникальный ID на написанный биткойн-платеж
Ты можешь найти его на рабочем столе в файле "lightningcrypt_uniqeid.txt"
После оплаты твои файлы будут расшифрованы!
-----
!LightningCrypt!

Другими информаторами жертвы являются экран блокировки и графическое изображение для обоев. 

Тексты почти идентичны с текстовой запиской о выкупе.  Есть лишь небольшие дополнения на экране блокировки. Привожу этот текст полностью. 

Текст с экрана блокировки:
YOU BECAME A VICTIM OF THE LIGHTNINGCRYPT RANSOMWARE! 
ALL YOUR FILES HAVE BEEN ENCRYPTED WITH RSA 2048 
DONT TRY TO DELETE ME 
FOR EACH TRY TO DO ANYTHING I WILL DELETE FILES 
PAY 0.17 BITCOINS TO THIS ADDRESS: 
1LSgvYFY7SDNje2Mhsm51FxhqPsbvXEhpE 
YOU CAN BUY BITCOINS ON "BLOCKCHAIN.INFO" 
SEND YOUR UNIQE ID IN THE DESCRIPTION OF THE BITCOIN PAYMENT 
YOU CAN FIND THEM ON YOUR DESKTOP IN "LIGHTNINGCRYPT_UNIQEID.TXT" 
AFTER THE PAYMENT YOUR FILES WILL BE DECRYPTED! 
HAVE FUN ;)
£ PAY 0.17 Bitcoins to : 1LSgvYFY7SDNje2Mhsm51FxhqPsbvXEhpE 
button [Copy BTC]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.doc, .exe, .gif, .img, .jpg, .mp3, .pdf, .rar, .txt, .zip ...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ChkDsk.exe - исполняемый файл;
LightningCrypt_Recover_Instructions.txt -  записка о выкупе;
LightningCrypt_Recover_Instructions.png - файл изображения;
LightningCrypt_UniqeID.txt - текст с уникальным ID жертвы.

Расположения:
%USERPROFILE%\Desktop\LightningCrypt_Recover_Instructions.txt
%USERPROFILE%\Desktop\LightningCrypt_Recover_Instructions.png
%USERPROFILE%\Desktop\LightningCrypt_UniqeID.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://arizonacode.bplaced.net (144.76.167.69:80  Германия)
xxxx://rammichael.com/downloads/7tt_setup.exe***
xxxx://lolaail.bplaced.net/4rw4w.exe***
xxxx://lolaail.bplaced.net/4rw5wdecryptor.exe***
xxxx://rammichael.com/ 
xxxx://lupa-romana.de/blog/tag/marcus-antonius/ 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LightningCrypt)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Thor

Thor Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: Thor. Фальш-копирайт: Hewlett-Packard 2017.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое добавляется не добавляется.

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.
В качество обоев рабочего стола встает изображение из фильма "Тор" с Крисом Хемсвортом в роли Тора. 

Содержание записки о выкупе:
You Personal Files have been Encrypted
Your important files were encrypted on this computer: photos, videos, documents, etc.
To decrypt files, you need to obtain private key
To retrieve the private key. you need to pay 0.5 bitcoins

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы
Ваши важные файлы зашифрованные на этом компьютере: фото, видео, документы и т.д.
Чтобы расшифровать файлы, вам необходимо получить личный ключ
Получить личный ключ. Вам нужно заплатить 0.5 биткойна.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Шифруются только файлы в специальной папке на рабочем столе: %USERPROFILE%\Desktop\thorf

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Thor Ransomware.exe
%USERPROFILE%\Desktop\thorf

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

4rw5w

4rw5w Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем использует DES для шифрования ключа AES. Требует выкуп в $30 в BTC, чтобы вернуть файлы. Оригинальные названия: 4rw4w и 4rw5wDecryptor. Среда разработки: Visual Studio 2015. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .4rwcry4w

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
4rw5wDecryptor
WARNING
we have encrypted your files with 4rw5w crypt virus !
Your important files : photos, videos, documents, etc, were encrypt with our 4rw5w crypt virus.
The only way to get your files back is to pay us 30$ in Bitcoins. Otherwise, your files will be lost.
Caution: Removing of 4rw5w crypt virus will not restore access to your encrypted files.
[+] What happened To my files?
Understanding the issue
[+] How can i Get my files back?
The only way Is To pay For the decryption key !
[+] What should i Do Next?
Buy the decryption Key for 30$ worth in Bitcoins !
Bitcoin Adress to buy the decryption key :  16K81jbUkCcUbwjtmW7Lvywp3CJcg2HKoG
Encrypted Files: 0
Decrypted Files: 0
button [Decrypt]

Перевод записки на русский язык:
4rw5wDecryptor
ПРЕДУПРЕЖДЕНИЕ
Мы зашифровали ваши файлы с помощью криптовируса 4rw5w!
Ваши важные файлы: фотографии, видео, документы и т. д. были зашифрованы с помощью нашего криптовируса 4rw5w.
Единственный способ вернуть ваши файлы - это заплатить нам 30$ в биткойнах. В противном случае ваши файлы будут потеряны.
Внимание. Удаление криптовируса 4rw5w не приведет к восстановлению доступа к зашифрованным файлам.
[+] Что случилось с моими файлами?
Понимание проблемы
[+] Как я могу вернуть свои файлы?
Единственный способ - заплатить за ключ дешифровки!
[+] Что мне делать дальше?
Купите ключ дешифровки за 30 долларов в биткойнах!
Биткойн-адрес для покупки ключа дешифрования: 16K81jbUkCcUbwjtmW7Lvywp3CJcg2HKoG
Зашифрованные файлы: 0
Расшифрованные файлы: 0
Кнопка [Расшифровать]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

В чем-то хочет подражает WanaCry: имеет kill switch, похожие имена файлов ключей.

Список файловых расширений, подвергающихся шифрованию:
.avi, .dll, .DOC, .DOCX, .DOT, .DOTM, .exe, .jpg, .lnk, .mp3, .mp4, .NEF, .ODT, .PDF, .pif, .png, .png, .rar, .txt, .url, .wav, .zip (22 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
4rw4w.exe
4rw5wDecryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***f5t6f090z5f5hf5h.com - kill switch
***www.ftthf5t6f090z5f5hf5h.com - kill switch
***placed.net/aaw8dh2na99h87a.txt
***www.lolaail.bpl
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as 4rw5w)
 Write-up, Topic
 Video review

 Thanks: 
 BleepingComputer‏ 
 Michael Gillespie
 GrujaRS
 Alex Svirid
 

© Amigo-A (Andrew Ivanov): All blog articles.