CryMore

CryMore Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CryMore. На файле написано: CryMore. Разработчик: TMC.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: основан на Stupid (FTSCoder)

К зашифрованным файлам добавляется расширение .encrypt

Образец этого крипто-вымогателя был найден в начале июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
all your files are encrypted by CryMore using a strong method !
all your files (expect: exe, ink, jar, sys, vbs, dll) has been encrypted using AES ... this method using a "password"...
this password is same password to decrypt your files how to get it ? Sorry hut you have....
dont even try to decode your files without paying because you will cause only file losing !
i hope you understand the dangerous ...
you can recover you files by paying me using BTC (Bitcoin) only ! check in the button to know...
---
Hurry UP if you want to pay more !... every 12 the price will get x1.5 !
---
What is Bitcoin? Where can i get Bitcoin? Can i pay using a different way?

Перевод записки на русский язык:
Все ваши файлы зашифрованы CryMore, используя сильный метод!
Все ваши файлы (это: exe, ink, jar, sys, vbs, dll) были зашифрованы с помощью AES ... этот метод использует «пароль» ...
Этот пароль - это и пароль для дешифрования ваших файлов. Как его получить? Извините, но вы ...
Даже не пытайтесь декодировать свои файлы, не заплатив, т.к. вы только потеряете файлы!
Надеюсь, вы понимаете опасность ...
Вы можете восстановить ваши файлы, только заплатив мне за использование BTC (биткоин)! Жмите кнопку, чтобы узнать ...
---
Скорее, если вы хотите заплатить больше! ... каждые 12 цена растет x1.5!
---
Что такое биткоин? Где я могу получить биткоин? Могу ли я платить другим способом?

Пока в разработке, но после выпуска может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
шифрует файлы в тестовой папке "testcd" на рабочем столе.
Это могут документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
CryMore.exe
папка C:\Users\TMC\Desktop\testcd 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Zilla

Zilla Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название: Zilla. На файле написано: ConsoleApplication1.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .zilla

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: OkuBeni.txt

Содержание записки о выкупе:
Dosyalarınız şifrelendi!

Перевод записки на русский язык:
Ваши файлы зашифрованы!

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.bmp, .doc, .docx, .jpg, .mov, .mp3, .mp4, .pdf, .png, .ppt, .pptx, .rar, .txt, .xls, .xlsx, .zip (16 расширений).
Это документы MS Office, PDF, текстовые файлы, базы данных, фотографии, музыка и пр.

Файлы, связанные с этим Ransomware:
ConsoleApplication1.exe
Zilla.exe
OkuBeni.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://meric-ware.tk/ransomware/ransom.php***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 22 июля 2017: 
Пост в Твиттере >>
Расширение: .Atom 
Файл: love.exe 
На файле написано: JAtom.exe
Записка: ReadMeNow.txt
Содержание записки: 
Hey !! Congratulations. All your fucking files are encoded. Donate: 0.045 btc to coinbase address : 1DAYeVqQXN283ntHxugznhyajZaH5bb6sG to get it back.
Результаты анализов: HA+VT

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Zilla)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jakub Kroustek‏ 
 Michael Gillespie
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

TheDarkEncryptor

TheDarkEncryptor Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: The Dark Encryptor. На файле написано: RansomWare. Разработчик: carlv

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .tdelf

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текстовая записка с требованием выкупа размещается на рабочем столе. 

Требования выкупа также содержит скринлок, встающий обоями рабочего стола. Содержит текст и изображение из эпатажного вымогателя Jigsaw. 

Содержание записки о выкупе:
THE DARK ENCRYPTOR
All your files have been encrypted by THE DARK ENCRYPTOR using a military grade encryption algorithm.
But dont worry ! You can get them backn you just need to pay 100 USD in bitcoin. For more informationst please read the text document placed on your Desktop.
Have a nice day !
WARNING: The price will rise to 350 USD if you don't pay in the next 5 days.

Перевод записки на русский язык:
THE DARK ENCRYPTOR
Все твои файлы были зашифрованы THE DARK ENCRYPTOR с алгоритмом шифрования военного класса.
Но не волнуйся! Ты можешь получить их обратно, тебе просто нужно заплатить 100 долларов в биткойнах. Для получения информации прочитай текстовый документ, размещенный на рабочем столе.
Хорошего дня !
ПРЕДУПРЕЖДЕНИЕ: цена возрастёт до 350 долларов, если ты не заплатишь в течение 5 дней.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RansomWare.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT+
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as TheDarkEncryptor)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

$ucyLocker

$ucyLocker Ransomware

VapeHacksLoader Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: $ucyLocker. На файле написано Loader-Private и VapeHacksLoader.exe

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> $ucyLocker (VapeHacksLoader)

К зашифрованным файлам добавляется расширение .WINDOWS

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Your files have been encrypted.
Read the Program for more information 
read program for more information.

Перевод записки на русский язык:
Ваши файлы были зашифрованы.
Читайте программу для дополнительной информации
Читайте программу для дополнительной информации.

Другим информатором жертвы выступает экран блокировки. 

Содержание текста из окон экрана блокировки: 
Your computer is locked. Please do not close this window as that will result in serious computer.
Click next for more information and payment on how to get your files back.
$ucyLocker
---
Your Files are locked. They are locked because you downloaded something with this file in it.
This is Ransomware. It locks your files until you pay for them. Before you ask, 
Yes we will give you your files back once you pay and our server confrim that you pay. 
---
I paid, Now give me back my files.
1MmpEmebJkqXG8nQv4ciJSmxZQFVmFo63M

Перевод текста на русский язык:
Ваш компьютер заблокирован. Не закрывайте это окно, т.к. это приведёт к серьезному компьютеру.
Нажмите Next для дополнительной информации и оплаты, как вернуть файлы.
$ucyLocker
---
Ваши файлы блокированы. Они блокированы, т.к. вы загрузили что-то с этим файлом в нем.
Это Ransomware. Он блокирует ваши файлы, пока вы не заплатите за них. Прежде чем спросить,
Да, мы дадим вам ваши файлы обратно, как только вы заплатите, а наш сервер поймет, что вы платите.
---
Я заплатил, теперь верните мне мои файлы.
1MmpEmebJkqXG8nQv4ciJSmxZQFVmFo63M

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

.asp, .aspx, .bat, .csv, .doc, .docx, .html, .java, .jpg, .kys, .mdb, .odt, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .URL, .xls, .xlsx, .xml (24 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, веб-файлы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
$ucyLocker.exe
VapeHacksLoader.exe
<random>.exe

Расположения:
%USERPROFILE%\Desktop\READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1MmpEmebJkqXG8nQv4ciJSmxZQFVmFo63M
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam‏
 Alex Svirid
 *
 *
 

Это 600-й пост в блоге!

© Amigo-A (Andrew Ivanov): All blog articles.

Ogre

Ogre Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 20€ в BTC, чтобы вернуть файлы. Оригинальное название: Ogre. На файле написано: OgreRSMWRE.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ogre

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Позиционирует себя как программа для теста. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ogre RansomWare
Your files have been encrypted.
The only way to recover them is to send 20€ in bitcoin to this adress.
(Programme test)
Note: Critical files have been encrypted.
If you stop your computer, there are high chance your computer will be unusable for ever.
Enter your bitcoin adress used to pay
button [Decrypt]
button [Check payment]

Перевод записки на русский язык:
Ogre RansomWare
Ваши файлы были зашифрованы.
Единственный способ вернуть их - отправить 20€ в биткоинах на этот адрес.
(Программа-тест)
Примечание. Критические файлы были зашифрованы.
Если вы остановите свой компьютер, есть вероятность, что ваш компьютер станет непригодным для использования.
Введите свой биткоин-адрес, с которого платили
Кнопка [Decrypt]
Кнопка [Check payment]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
OgreRSMWRE.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam‏
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Mr.Locker

Mr.Locker Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель не шифрует данные пользователей, но требует выкуп в $250 в BTC, чтобы сохранить файлы, иначе грозит их удалить. Оригинальное название: Mr.Locker. На файле написано: Ransomware.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Mr.Locker builder > Mr.Locker

Образец этого вымогателя был найден в начале июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
YOUR FILES ARE AT RISK!!!
Ooops, you have just downloaded malware. What you were doing is unknown. Well your files are not encrypted, but they will be deleted if you do not pay $250 in bitcoin your files will be deleted.
- Thank you,
Mr. Locker
Send $250 of Bitcoin to the address
14QXxE461mZTyeCyiTMpwv14oZvCUJVnEt
You have 10 days...
Enjoy ;)

Перевод записки на русский язык:
ТВОИ ФАЙЛЫ В ОПАСНОСТИ !!!
Упс, ты только что загрузил вредонос. Ты сделал это по незнанию. Но твои файлы не зашифрованы, но они будут удалены, если ты не заплатишь $250 в биткоинах, твои файлы будут удалены.
- Спасибо,
Mr. Locker
Отпрать $250 в биткоинах по адресу
14QXxE461mZTyeCyiTMpwv14oZvCUJVnEt
У тебя есть 10 дней...
Наслаждайся ;)

Распространяется с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
файлы не шифруются.

Файлы, связанные с этим Ransomware:
VisualStudioProgramIMade.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название этого вымогателя.

Executioner

Executioner Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: Executioner. На файле написано: Shiva.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: EDA2 >> Executioner ⇔ CryptoJoker 2017 > ExecutionerPlus > CryptoNar

К зашифрованным файлам добавляется случайное расширение .<random6>
👉 Примечательно, что у каждого файла своё случайное расширение!
Примеры таких расширений:
.3fulbm
.ndb5ns
.ynycjb

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на турецкоязычных пользователей, что не мешает распространять его по всему миру. Также имеется английский текст. 

Скриншоты и описание

Записка с требованием выкупа называется: Şifre_çöz_Talimat.html (т.е. Инструкция по расшифровке). 

Содержание записки о выкупе:
Executioner Ransomware!!
Oops All Of Your Files Are Safely Encrypted!!!"
Please Visit execut2bp3arv6er.onion.cab or execut2bp3arv6er.onion.rip To Learn How To Decrypt Your Files.
YOUR ID 6InmkFj5Is
Executioner Ransomware!!
---Tum Dosyalariniz Guvenle Sifrelenmistir!"
Lutfen execut2bp3arv6er.onion.cab veya execut2bp3arv6er.onion.rip ziyaret ederek dosyalarinizi kurtarmak icin 
TALIMATLARI OKUYUNUZ!!!
KIMLIK NUMARANIZ 6InmkFj5Is

Перевод записки на русский язык:
Executioner Ransomware!!
К сожалению, все ваши файлы безопасно зашифрованы!!! "
Пожалуйста, посетите execut2bp3arv6er.onion.cab или execut2bp3arv6er.onion.rip чтобы узнать, как дешифровать файлы.
ВАШ ID 6InmkFj5Is
Executioner Ransomware!!
К сожалению, все ваши файлы безопасно зашифрованы!!! "
Пожалуйста, посетите execut2bp3arv6er.onion.cab или execut2bp3arv6er.onion.rip чтобы узнать, как дешифровать файлы.
ПРОЧТИТЕ ИНСТРУКЦИЮ!!!
Ваш ID 6InmkFj5Is

+ Более полная версия записки предоставлена позже исследователями из BleepingComputer 16 мая 2017.

Содержание текста с более полной версии записки:
Oops all of your files Are safely Encrypted!!! "
Please Visit any links that given below to read the instructions and learn how to Decrypt Your Files!!
xxxxs://execut2bp3arv6er.onion.rip/
xxxxs://executcoe6vxnsw7.onion.rip/
xxxxs://execu4d2wasjip5x.onion.rip/
---
IF IT DOESN'T WORK TRY THIS!!
xxxxs://execut2bp3arv6er.onion.cab/
xxxxs://executcoe6vxnsw7.onion.cab/
xxxxs://execu4d2wasjip5x.onion.cab/
---
IF IT DOESN'T WORK AGAIN THEN TRY THIS!!
1. Download 'Tor Browser' from xxxxs://www.torproject.org/ and install it.!
2. OPEN ANY LINK THAT GIVEN BELOW!!!
execut2bp3arv6er.onion
executcoe6vxnsw7.onion
execu4d2wasjip5x.onion
---
YOUR COMPUTER ID
TEST
---
Tum Dosyalariniz Guvenle Sifrelenmistir! "
Lutfen asagida verilen linklerden birini ziyaret ederek dosyalarinizi kurtarmak icin TALIMATLARI OKUYUNUZ!!!
xxxxs://execut2bp3arv6er.onion.rip/
xxxxs://executcoe6vxnsw7.onion.rip/
xxxxs://execu4d2wasjip5x.onion.rip/
---
EGER CALISMAZ ISE ASAGIDA VERILEN LINKLERDEN BIRINE GIRINIZ!
xxxxs://execut2bp3arv6er.onion.cab/
xxxxs://executcoe6vxnsw7.onion.cab/
xxxxs://execu4d2wasjip5x.onion.cab/
---
EGER YUKARIDAKI VERILEN METHOD OLMADIYSA ASAGIDAKI METHODU DENEYINIZ!!!
1. 'Tor Browser'u xxxxs://www.torproject.org/ sitesinden indirip kurunuz !
2. ASAGIDA BULUNAN LINKLERDEN BIRTANESINE GIRINIZ!!!!
execut2bp3arv6er.onion
executcoe6vxnsw7.onion
execu4d2wasjip5x.onion
--- 
KIMLIK NUMARANIZ
TEST
---
EXECUTIONER RANSOMWARE

Другим информатором жертвы выступает изображение, загружаемое с хостинга изображений imgur.com. 

Содержание текста о выкупе:
LUTFEN BUNU OKUYUN!!
TUM DOSYALARINIZ EXECUTIONER RANSOMWARE TARAFINDAN SIFRELENMISTIR!!!
BILGISAYARINIZDAKI BELGELER, FOTOGRAFLAR, VERITABANLARI, VE DIGER ONEMLI TUM DOSYALAR SIFRELENMISTIR!!
SIFRELENMIS OLAN DOSYALARI GERI KURTARMAK ICIN LUTFEN TALIMATLARI OKUYUNUZ!!
NOT: VIRUSU BILGISYARINIZDAN KALDIRABILIRSINIZ FAKAT SIFRELENMIS OLAN DOSYALARINIZA GERI ERISIM SAGLIYAMAZSINIZ!!
DOSYA KURTARMA YAZILIMINI SATIN ALMA?
ASAGIDA BULUNAN BITCOIN HESABINA 150 DOLAR ($) DEGERINDE BITCOlN AKTARMANIZ GEREKMEKTE YATIRMA ISLEMINI YAPTIKTAN HEMEN
SONRA ASAGIDA VERILEN MAIL ADRESINE BITCOlN ADRESINIZI VE BULGISAYAR KIMLIK KODUNU YAZIP BIZE GONDERDIGINIZ VAKIT YATIRMA
ISLEMLERI KONTROL EDILIP SIZE SIFRE COZME YAZILIMI VE DECRYPT KODU GONDERILICEKTIR!!
Mail: executioner.ransom@protonmail.com
BITCOlN ADRESS: 164eQzsZUZCR9mfLWGdiqqGcUyQsYcX6vU
EXECUTIONER 
Detayli bilgi için masa üstün'de bulunan Şifre_çöz_Talimat.html açarak inceleyiniz

Перевод текста на русский язык:
ПРОЧТИТЕ ЭТО!!
Ваши файлы зашифрованы Executioner Ransomware!!!
На компьютере, документы, фотографии, базы данных и другие важные файлы зашифрованы!!
Пожалуйста, сохраните файл с инструкциями по расшифровке!!
Примечание: на вашем ПК нет вирусов, вы можете удалить шифрованные на файлы, но тогда вы их потеряете!!
Хотите приобрести программу для восстановления файлов?
Вы должны немедленно перевести 150 долларов в биткоинах на биткоин-адрес ниже.
Потом пришлите на email, приведенный ниже биткоин-адреса, ваш ID и время, когда вы послали биткоины.
После проверки платежа и ID вы получите программу декриптер, который дешифрует ваши файлы!!
Mail: executioner.ransom@protonmail.com
Биткоин-адрес: 164eQzsZUZCR9mfLWGdiqqGcUyQsYcX6vU
Прочтите на рабочем столе файл şifre_çöz_talimat.html для получения дополнительной информации.

Скриншоты сайта с выбором английской версии

Используется картинка из компьютерной игры MAFIA II. Видимо для устрашения пострадавших. 

Технические детали

После доработки может распространяется с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. 

Executioner не используют C&C-сервер, зато посылает информацию о зараженных компьютерах с помощью email на подконтрольный ящик вымогателей. Отправляются собранные данные: имя компьютера, имя пользователя, IP-адрес, ключ дешифрования. Пересылка осуществляется от executioner.ransom@bk.ru до executioner.ransom@protonmail.com

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asp,.aspx, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt,.crw, .css, .csv, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .doc, .docm, .docx, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .html, .hvpl, .ibank, .icxs, .indd, .itdb,.itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl,.m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdb, .mdbackup, .mddata,.mdf, .mef, .menu, .mlx,.mov,.mp3, .mp4, .mpg, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pk7, .pkpass, .png, .png, .ppt, .ppt, .pptm, .pptx, .pptx, .psd, .psk, .pst, .ptx,.py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .sln, .snx, .sql, .sql, .sr2, .srf,.srw,.sum, .svg, .syncdb, .t12, .t13, .tax, .tor,.txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wallet, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xls, .xlsb, .xlsm, .xlsx,  .xlsx, .xml, .xxx, .zip, .ztmp (209 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Шифрование пропускает файлы в директориях: 
Windows, Program Files и Program Files (x86)

Файлы, связанные с этим Ransomware:
Executioner.exe
Şifre_çöz_Talimat.html
f2lnJK9.jpg
<random>.exe

Расположения:
%ALLUSERSPROFILE%\Microsoft\Crypto\RSA\MachineKeys\Sifre_Coz_Talimat.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***execut2bp3arv6er.onion.cab
***execut2bp3arv6er.onion.rip
Email: executioner.ransom@bk.ru
executioner.ransom@protonmail.com
executioner.update@protonmail.com
BTC: 164eQzsZUZCR9mfLWGdiqqGcUyQsYcX6vUСм. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 Video review

 Thanks: 
 BleepingComputer, Michael Gillespie
 Alex Svirid
 GrujaRS
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.