Fake Cerber

Fake Cerber Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название не указано, т.к. выдаёт себя за Cerber Ransomware.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.
Фактически является блокировщиком-вымогателем. 

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: index.html

Содержание записки о выкупе на английском и немецком:
CERBER RANSOMWARE
Your computer has been blocked and your documents, photos, databases and other important files have been encrypted!
To unblock your computer and decrypt your files you must follow the instructions below.
This is the only possibility to unblock your computer and get your files back.
All transactions should be performed via Bitcoin network only.
Instructions:
1. Create a Bitcoin Wallet (we recommend Blockchain.info)
2. Buy necessary amount of Bitcoins (0.1 Bitcoins)
          Here are our recommendations : 
          LocalBitcoins.com - the fastest and easiest way to buy and sell Bitcoins; 
          CoinCafe.com - the simplest and fastest way to buy, sell and use Bitcoins; 
          BTCDirect.eu - the best for Europe; 
          CEX.IO - Visa / MasterCard; 
          CoinMama.com - Visa / MasterCard; 
          HowToBuyBitcoins.info - discover quickly how to buy and sell bitcoins in your local currency.
3. Send 0.1 BTC(Bitcoins) to the following address: 
1MBCWxpbzn6xPsg9VxABgP7avHaKeR4jJP
4. Your computer will be unblocked and your files will be decrypted automatically!

CERBER RANSOMWARE
Ihr Computer wurde blockiert und Ihre Dokumente, Fotos, Datenbanken und andere wichtige Dateien wurden verschlüsselt! 
Um Ihren Computer zu entsperren und Ihre Dateien zu entschlüsseln, müssen Sie die unten stehenden Anweisungen befolgen.
Dies ist die einzige Möglichkeit Ihren Computer freizuschalten und Ihre Dateien zurück zu bekommen.
Alle Transaktionen sollten nur über das Bitcoin - Netzwerk erfolgen.
Anweisungen:
1. Erstellen Sie einen Bitcoin Wallet (wir empfehlen Blockchain.info)
2. Kaufen Sie die notwendige Menge an Bitcoins(0.1 Bitcoins)
          Hier sind unsere Empfehlungen: 
          LocalBitcoins.com - Bitcoin - Marktplatz, einfach und schnell; 
          CoinCafe.com - schnell und einfach Bitcoins kaufen; 
          BTCDirect.eu - das Beste für Europa; 
          CEX.IO - Visa / MasterCard; 
          CoinMama.com - Visa / MasterCard; 
          HowToBuyBitcoins.info - Entdecken Sie schnell, wie man Bitcoins in Ihrer Währung kauft und verkauft.
3. Senden Sie 0.1 BTC(Bitcoins) an die folgende Adresse: 
1MBCWxpbzn6xPsg9VxABgP7avHaKeR4jJP
4. Ihr Computer wird freigegeben und Ihre Dateien werden automatisch entschlüsselt!

Перевод записки на русский язык:
CERBER RANSOMWARE
Ваш компьютер заблокирован, а ваши документы, фото, базы данных и другие важные файлы зашифрованы!
Чтобы разблокировать ваш компьютер и расшифровать ваши файлы, вы должны следовать инструкциям ниже.
Это единственная возможность разблокировать ваш компьютер и вернуть файлы.
Все транзакции должны выполняться только через сеть Bitcoin.
Инструкции:
1. Создайте Биткоин-кошелек (мы рекомендуем Blockchain.info)
2. Купите необходимое количество биткоинов (0.1 биткойна)
          Вот наши рекомендации:
          LocalBitcoins.com - самый быстрый и простой способ купить и продать биткойны;
          CoinCafe.com - самый простой и быстрый способ купить, продать и использовать биткойны;
          BTCDirect.eu - лучший для Европы;
          CEX.IO - Visa / MasterCard;
          CoinMama.com - Visa / MasterCard;
          HowToBuyBitcoins.info - быстро узнайте, как купить и продать биткоины в местной валюте.
3. Отправьте 0.1 BTC (биткоин) по следующему адресу:
1MBCWxpbzn6xPsg9VxABgP7avHaKeR4jJP
4. Ваш компьютер будет разблокирован, а ваши файлы будут дешифрованы автоматически!

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, а затем выключает компьютер, используя команды:
%WINDIR%\system32\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet
 vssadmin.exe vssadmin delete shadow /all /quiet
 WMIC.exe wmic shadowcopy delete
 bcdedit.exe bcdedit /set {default} boostatuspolicy ignoreallfailures
 bcdedit.exe bcdedit /set {default} recoveryenabled no
 wbadmin.exe wbadmin delete catalog -quiet
 cmd.exe %WINDIR%\system32\cmd.exe /c shutdown -r -f -t 0
 shutdown.exe shutdown -r -f -t 0

Заменяет Winlogon. Скрывает диспетчер задач. 
Похищает конфиденциальную информацию из браузеров. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Update.exe
test.exe
<random>.exe
index.bat
index.html

Расположения:
%TEMP%\random\random.exe
%APPDATA%\index.bat
%APPDATA%\index.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://5.199.164.235/load/Update.exe*** (5.199.164.235:80 Литва)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

BTCWare-Master

Master Ransomware

BTCWare-Master Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (только первые 10 Мб), а затем требует написать на email вымогателей, чтобы узнать сумму выкупа в BTC и как вернуть файлы. Оригинальное название: Master Ransomware. 

This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare > BTCWare-Master 

К зашифрованным файлам добавляется составное расширение по шаблону 
.[<email>].master 

На данный момент это было: .[teroda@bigmir.net].master

Активность этого крипто-вымогателя пришлась на середину июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !#_RESTORE_FILES_#!.inf

Другим информатором жертвы выступает скринлок, встающий изображением рабочего стола. 

Содержание записки о выкупе:
[WHAT HAPPENED]
Your important files produced on this computer have been encrypted due a security problem
If you want to restore them, write us to the e-mail: teroda@bigmir.net 
or BM-2cWscKHR4SVHDYp4FqVHC5D5fJFNAWNwcc@bitmessage.ch
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
[FREE DECRYPTION AS GUARANTEE]
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information
and their total size must be less than 1Mb
For test decryption send on our email !#_RESTORE_FILES_#!.inf
and 3 encrypted files from ONE FOLDER
[HOW TO OBTAIN BITCOINS]
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller
by payment method and price
https://localbitcoins.com/buy_bitcoins
[ATTENTION]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files
Your ID: 
bZ/+3h5*****

Перевод записки на русский язык:
[ЧТО СЛУЧИЛОСЬ]
Ваши важные файлы, созданные на этом компьютере, были зашифрованы из-за проблемы с безопасностью.
Если вы хотите их восстановить, напишите нам на e-mail: teroda@bigmir.net или BM-2cWscKHR4SVHDYp4FqVHC5D5fJFNAWNwcc@bitmessage.ch
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифровки, который расшифрует все ваши файлы.
[БЕСПЛАТНАЯ ДЕШИФРОВКА КАК ГАРАНТИЯ]
Перед оплатой вы можете отправить нам до 3 файлов для бесплатной дешифровки.
Обратите внимание, что файлы НЕ должны содержать ценную информацию и их общий размер должен быть меньше 1 Мб.
Для тестовой дешифровки отправьте по email ! #_ RESTORE_FILES _ # !. inf и 3 зашифрованных файла из ОДНОЙ ПАПКИ.
[КАК ПОЛУЧИТЬ БИТКОИНЫ]
Самый простой способ купить биткоины - сайт LocalBitcoins.
Вам нужно зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца.
По способу оплаты и цене
https://localbitcoins.com/buy_bitcoins
[ВНИМАНИЕ]
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это приведёт к безвозвратной потере данных.
Если вы не напишете по email через 36 часов - ваш ключ будет удален, и вы не можете расшифровать свои файлы.
Ваш ID:
bZ/+3h5*****

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
"vssadmin.exe" with commandline "Delete Shadows /All /Quiet"
"bcdedit.exe" with commandline "/set {default} recoveryenabled No"
"bcdedit.exe" with commandline "/set {default} bootstatuspolicy ignoreallfailures"
"%WINDIR%\System32\cmd.exe" /c vssadmin.exe Delete Shadows /All /Quiet""
"%WINDIR%\System32\cmd.exe" /c bcdedit.exe /set {default} recoveryenabled No""
"%WINDIR%\System32\cmd.exe" /c bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures""

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!#_RESTORE_FILES_#!.inf
svchost.exe
teroda@bigmir.net.exe
<random>.exe

Расположения:
C:\Users\User\AppData\Roaming\svchost.exe
%APPDATA%\!#_RESTORE_FILES_#!.inf

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BM-2cWscKHR4SVHDYp4FqVHC5D5fJFNAWNwcc@bitmessage.ch
Email: teroda@bigmir.net 
bigmir.net - это Украина
Другие email:
darkwaiderr@cock.li
stopstorage@qq.com
westbleep@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 января 2018:
Расширение: .master
Записка: !#_RESTORE_FILES_#!.inf
Email: look1213@protonmail.com
Результаты анализов: VT
***

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCWare Master)
 Write-up, Topic of Support
 Video review

 Thanks: 
 Alex Svirid
 Michael Gillespie
 MalwareHunterTeam
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

WinUpdatesDisabler

WinUpdatesDisabler Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название: WinUpdatesDisabler. На файле написано: Windows 10 Updates Disabler

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> WinUpdatesDisabler

К зашифрованным файлам добавляется расширение .zbt

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на пользователей, понимающих сербско-хорватский язык, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
Payment information for decryption.txt

Содержание записки о выкупе:
Ej sestriće, moraš da gi platiš.
Ako gi ne platiš, zaključani fajlovi nema da gi vratiš.

Перевод записки на русский язык:
Эй, сестра, требуется платить. 
Если не платить, блокированные файлы не вернуть.

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WinUpdatesDisabler.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

CryptoSpider

CryptoSpider Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем оставляет надпись на изображении. Оригинальное название: CryptoSpider. На файле написано: CryptoSpider.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> CryptoSpider

К зашифрованным файлам добавляется расширение .Cspider

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение на обоях (на экране блокировки?):

Содержание текста о выкупе:
HACKED BY ./Mr.Gh0s7_C47
./Mr.Gh0s7_C47
ARE YOU SAFE?

Перевод текста на русский язык:
ВЗЛОМАНО ./Mr.Gh0s7_C47
./Mr.Gh0s7_C47
ВЫ В БЕЗОПАСНОСТИ?

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoSpider.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

CryForMe

CryForMe Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 250€ в BTC, чтобы вернуть файлы. Оригинальное название: CryForMe. На файле написано: CryForMe. Разработчик: Marco.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> CryForMe

К зашифрованным файлам должно добавляться расширение .cfm
Но по данным исследователей шифрование пока не работает, т.к. CryForMe ещё находится в разработке. 

Образец этого крипто-вымогателя был найден в середине июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
 Your file have been ENCRYPTED !!!
-What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
-Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
If you want to decrypt all your files, you need to pay.
You only have 7 days to submit the payment. After that the price will be doubled.
Once the price doubled you have other 7 day for pay, otherside the price will be very high.
How Do I Pay?
Payment is accepted in Bitcoin only.
Please check the current price of Bitcoin and buy some bitcoins.
And send the correct amount to the address specified in this window.
In the payment description insert your name, your PC name, and your email (so we can send you the password.
-What happens after the payment?
After the payments we send you the password for the decrypt.
You have to click "Decrypt" button and insert the password; after this you have your files back.
PROMISE!
***
Send 250 € to this BITCOIN address:
19Roobh13zMQ9iNbN7GiaoSzbdkAiMRw7c [Copy]
PASSWORD HERE [Decrypt]

Перевод записки на русский язык:
Ваш файл был ЗАШИФРОВАН !!!
-Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов больше не доступны, т.к. они были зашифрованы. Возможно, вы заняты поиском способа восстановить свои файлы, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы расшифровки.
-Я могу восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас недостаточно времени.
Если вы хотите расшифровать все ваши файлы, вам нужно заплатить.
У вас есть только 7 дней, чтобы отправить платеж. После этого цена будет удвоена.
После того, как цена удвоится, у вас есть ещё 7 дней для оплаты, иначе цена будет очень высокой.
Как мне заплатить?
Оплата принимается только в биткоинах.
Пожалуйста, проверьте текущую цену биткоина и купите несколько биткоинов.
И отправьте правильную сумму по адресу, указанному в этом окне.
В описании платежа укажите свое имя, имя вашего компьютера и адрес электронной почты (чтобы мы могли отправить вам пароль.
-Что будет после оплаты?
После оплаты мы отправим вам пароль для расшифровки.
Вы должны нажать кнопку "Decrypt" и вставить пароль; после этого ваши вернутся.
Обещаю!
Пошли 250 € на BITCOIN-адрес:
19Roobh13zMQ9iNbN7GiaoSzbdkAiMRw7c [Copy]
Пароль здесь [Decrypt]

Пока находится в разработке. После релиза вполне может начать распространяется путём взлома через незащищенную конфигурацию RDP или с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryForMe.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

WhyCry

WhyCry Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: Why-Cry и WhyCry-Ransomware. Разработчик: Cyber-Ghost-Army.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid (FTSCoder) >> WhyCry

К зашифрованным файлам добавляется расширение .whycry

AES-ключ шифрования YANGTGTDKYFWSBDAUWPMFNHBUGPFUCKYOU

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, который появляется только после голубого экран а с окнами, в которых показаны директории пользователя. Примечательно, что такая демонстрация появилась впервые. 

На голубом фоне написано: 
Windows is working on updates, wait till complete.
Don't turn off you computer, this will take a while. 

Перевод на русский язык: 
Windows работает над обновлениями, ждите завершения
Не выключайте компьютер, это займёт немного времени.

На самом деле в это время выполняется шифрование файлов пользователя. Ближе к концу выявляется какой-то сбой, после чего шифрование продолжается. В итоге появляется сообщение о выполненном шифровании с требованиями выкупа. 

Содержание записки о выкупе:
Attention!!!
All Your Files are Encrypted by Why-Cry
Warning: Do not turn off your Computer!! You will loose all your files!
If you want to Decrypt your files follow these simple steps:
1.) Create BitcoinWallet here: https://blockchain.infb/
2.) Buy Bitcoins worth of $300.
3.) Send $300 in Bitcoin to Given Address Below!
4.) You will get your Decryption Key after you pay $300 in Bitcoin.
5.) The Decryption Key will pop up on the left side automatically. We are more advance than others.
6.) Enter it in Given Box and Click on Decrypt.
7.) After clicking on Decrypt the files will start decrypting in background.
BitCoin Address: 1NgnRmq7eYeMR5BRr7tVR3TC)JxmWwC6bVj /e itself.
9.) You will get all of your files safely.
Enter Decryption Key Here 
[...] button [Decrypt]
All files have been Encrypted by Why-Cry!
Don't dose the PC otherwise,
I wont be responsible if your files dont decrypt.
If you close your PC this screen will be removed.
And you will not be able to Decrypt files back!!!

--- после вода ключа ---

Wait!!!Files are being Decrypted!
Your Files Have Been Successfully Decrypted!!!

Перевод записки на русский язык:
Внимание!!!
Все ваши файлы зашифрованы Why-Cry
Предупреждение: не выключайте компьютер! Вы потеряете все свои файлы!
Если вы хотите расшифровать свои файлы, выполните следующие простые шаги:
1.) Создайте Bitcoin-кошелек здесь: https://blockchain.info/
2.) Купите биткоины стоимостью 300 долларов.
3.) Отправьте $ 300 в биткоинах на заданный адрес ниже!
4.) Вы получите свой ключ дешифрования после оплаты $300 в биткоинах.
5.) Ключ дешифрования автоматически появится на левой стороне. Мы больше других продвинулись вперед.
6.) Введите его в поле Given Box и нажмите Decrypt.
7.) После нажатия на Decrypt файлы начнут дешифрование в фоновом режиме.
8.) Как только файлы будут дешифрованы, этот экран удалит себя.
9.) Вы получите все свои файлы безопасно.
Введите ключ дешифрования здесь
[...] кнопка [Decrypt]
Все файлы были зашифрованы Why-Cry!
Не выключайте ПК, иначе я не в ответе за то, что ваши файлы не будут расшифровываться.
Если вы выключите свой ПК, этот экран будет удален.
И вы не сможете расшифровать файлы обратно !!!

--- после вода ключа ---
Подождите !!! Файлы расшифровываются!
Ваши файлы были успешно расшифрованы!

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.avi, .doc, .exe, .gif, .mp3, .pdf, .rar, .txt...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 Video review 

 Thanks: 
 Michael Gillespie
 GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.