DarkKomet

DarkKomet Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. На файле написано: MSRSAAPP.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> DarkKomet

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME.txt
***

Другим информатором жертвы является изображение для обоев рабочего стола, загружаемое с сайта picofile.com (на персидском языке). 

Содержание записки о выкупе:
Ooops! Your files have been encrypted!!!

Перевод записки на русский язык:
Упс! Ваши файлы были зашифрованы!!!

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Имеет функционал RAT (Remote Administration Tool), хотя подаётся как Remote Service Application. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MSRSAAP.EXE
READ_ME.txt

Расположения:
\Desktop\READ_ME.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://s9.picofile.com/file/8298574100/virus.jpg
xxxx://myserverformoney.000webhostapp.com/myserverformoney/Ransom.php?info=
Email: alihacker8001@gmail.com
BTC: 1Q5VprvKoBmPBncC7yZLURkcQ7FG9xnMKv
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kryptonite Snake

Kryptonite Snake Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей возможно с помощью AES/RSA, а затем требует выкуп в $500 BTC, чтобы вернуть файлы. Оригинальное название: Kryptonite. На файле написано: snake-game.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Образец этого крипто-вымогателя был найден в конце июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Ransom Note.txt
Обнаружено три разных варианта записки, различие в некоторых деталях. 

Содержание записки о выкупе:
1)
Kryptonite RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public - key stored on your PC.
There is only one way to restore your files : Contact with us, Pay 500$ and get your files back.
To Do that you must have a connection to the internet and disable your firewall.
Run getMyId.exe to get your ID, then go to xxxx://adsgoogle.eastus2.cloudapp.azure.com:27030/
This is a secured web-site for monetary transactions.
After a successful transaction, disable your Anti-Virus and Firewall and run decryptMyFiles.exe as administrator.
2)
Kryptonite RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public - key stored on your PC.
There is only one way to restore your files : Contact with us, Pay 500$ and get your files back.
To pay us go to http://adsgoogle.eastus2.cloudapp.azure.com:27030/
This is a secured web-site for monetary transactions.
In order to make the transactions you will need the below ID.
After a successful transaction, disable your Anti-Virus and Firewall and run decryptMyFiles.exe as administrator.
You can download the Decryptor from xxxxs://s3.amazonaws.com/adsgoogle/Decrypt/decryptor.exe
Your ID: ***
3)
Kryptonite RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public - key stored on your PC.
There is only one way to restore your files : Contact with us, Pay 500$ and get your files back.
To pay us go to http://adsgoogle.eastus2.cloudapp.azure.com:27030/
This is a secured web-site for monetary transactions.
In order to make the transactions you will need the below ID.
After a successful transaction, disable your Anti-Virus and Firewall and run decryptMyFiles.exe as administrator.
Your ID:

Перевод записки на русский язык:
1)
Kryptonite RANSOMWARE
Все ваши важные файлы зашифрованы
Ваши файлы были зашифрованы с алгоритмом RSA2048 с уникальным открытым ключом, хранящимся на вашем ПК. Существует только один способ восстановить ваши файлы: Свяжитесь с нами, заплатите 500$ и верните свои файлы.
Для этого вам надо подключиться к Интернету и отключить брандмауэр.
Запустите getMyId.exe чтобы получить свой ID, затем перейдите на xxxx://adsgoogle.eastus2.cloudapp.azure.com:27030/
Это защищенный веб-сайт для денежных операций.
После успешной транзакции отключите Антивирус и брандмауэр и запустите decryptMyFiles.exe как администратор.

Другим информатором жертвы выступает скринлок, встающий обоями рабочего стола.

Содержание текста о выкупе с обоев:
ATTENTION
All your files, images, vidoes and databases have been encrypted with an RSA-2048 private and unique key generated for this computer stored on a secret server.
Original files have been over written, recovery tools will not help. 
Don't worry!! We could help you restore your files but it will cost you 500$
Follow the instructions on 'Ransome Note.txt' file on your desktop.
After payment is confirmed, use the Decryptor program to restore yor files.
If you care about your files, DO NOT TRY TO GET RID OF THIS PROGRAM!!
Any actions to do so will result in decryption key being destroyed, and you will loose your files forever!

Перевод текста с обоев на русский язык:
ВНИМАНИЕ
Все ваши файлы, изображения, видео и базы данных зашифрованы с закрытым и уникальным ключом RSA-2048, созданного для этого компьютера, сохранённого на секретном сервере.
Исходные файлы уже перезаписаны, инструменты восстановления не помогут.
Не волнуйся! Мы можем помочь вам восстановить ваши файлы, но это будет стоить вам 500$
Следуйте инструкциям в файле 'Ransome Note.txt' на рабочем столе.
После подтверждения оплаты используйте программу Decryptor для восстановления ваших файлов.
Если вы заботитесь о своих файлах, НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ!
Любые действия для этого приведут к уничтожению ключа дешифрования, а вы потеряете свои файлы навсегда!

Пока недоработан и находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует игру Snake, чтобы проникнуть на ПК и зашифровать файлы. В эту фейк-игру можно даже играть, а ход шифрования можно видеть в окне командной строки.

Данные для оплаты выкупа предлагается ввести на специальной странице. 

Страница для оплаты выкупа

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
cad.exe - файл вымогателя
snake-game.exe - файл вымогателя
getMyId.exe - файл для получения ID
decryptor.exe - декриптор
decryptMyFiles.exe - декриптор
Ransom Note.txt - записка о выкупе
1.jpeg - изображение на обои

Расположения:
\Desktop\Ransom Note.txt
%APPDATA%\1.jpeg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://adsgoogle.eastus2.cloudapp.azure.com:27030/*** - страница для оплаты выкупа
***xxxxs://s3.amazonaws.com/adsgoogle/Decrypt/decryptor.exe***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

EyLamo

EyLamo Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> EyLamo

К зашифрованным файлам добавляется расширение .lamo

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
This computer has been hacked
Your personal files have been ecrypted. Send me BTC or kebab to get decryption passcode.
After that, you'll be able to see your beloved files again.
With love... EyLamo : ')
Bitcoin: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Перевод записки на русский язык:
Этот компьютер взломан
Ваши личные файлы зашифрованы. Пошлите мне BTC или кебаб, чтобы получить код доступа к расшифровке.
После этого вы сможете снова увидеть свои любимые файлы.
С любовью ... EyLamo : ')
Биткоин: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Другим информатором жертвы выступает изображение, догружаемое онлайн. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
EyLamo.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://www.eylamo.ct8.pl/write.php***
xxxx://i.imgur.com/HHK0Htq.png***
xxxx://www.eylamo.ct8.pl/***
151.101.36.193:80
136.243.156.120:80
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 VistaFan12‏
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Reetner

Reetner Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выполнить инструкции, чтобы вернуть файлы. Оригинальное название. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Reetner. Начало.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных и испаноязычных пользователей, что не мешает распространять его по всему миру.

Reetner использует разные exe-файлы для разных задач: один шифрует, другой отображает записку о выкупе.

Записка с требованием выкупа называется note.html

Содержание записки о выкупе:
NO ES TU IDIOMA? UTILIZA https://translate.google.com
Why I can't open my files?
All your important files were protected with a strong military-grade encryption algorithm (AES256 + RSA4096). More info here: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
What can I do?
In the following computers there is a file named C:\note.html with more detailed instructions to recover your files. Contact the administrators at your institution as soon as possible.

Перевод записки на русский язык:
Не ваш язык? Используйте https://translate.google.com
Почему я не могу открыть свои файлы?
Все ваши важные файлы зашифрованы сильным военным алгоритмом шифрования (AES256 + RSA4096). Дополнительная информация здесь: https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Что я могу сделать?
На следующих компьютерах есть файл с именем C:\note.html с подробными инструкциями по восстановлению ваших файлов. Свяжитесь с администраторами вашего учреждения как можно скорее.

Скринлок встает обоями рабочего стола с текстом выкупа. 

Содержание текста с изображения:
All your files have been encrypted.
See the file "Unlock_Mu_Files" located on your Desktop for detailed instructions on how to recover your files. 
Consulta el archivo "Unlock_Mu_Files" ubicado en el escritorio para obtener instrucciones detalladas sobre como recuperar tus archivos. 

Перевод текста на русский язык: 
Все ваши файлы зашифрованы.
См. в файле "Unlock_Mu_Files", расположенном на рабочем столе, подробные инструкции по восстановлению файлов.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
note.html
Noter.exe
<ransom_notifer>.exe
<crypter>.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoDark

CryptoDark Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп $300 в BTC, чтобы вернуть файлы. Оригинальное название: CryptoDark. На файле написано: CryptoDark Decryptor.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает скринлок, встающий обоями рабочего стола.

Содержание текста о выкупе:
Your files have been encrypted!
All of your pictures, images and documents have been encrypted by CryptoDark.
To get them back, you will need to open the CryptoDark Decryptor and pay $300 worth of Bitcoin to the address shown in the decryptor.
If your anti-virus detected the decryptor, remove it from the guarantine or download a new one from:
xxxx://www.vhyifaiuevwni.tk/CDD

Перевод текста на русский язык:
Ваши файлы зашифрованы!
Все ваши изображения, изображения и документы были зашифрованы CryptoDark.
Чтобы вернуть их, вам нужно будет открыть CryptoDark Decryptor и заплатить $300 в биткоинах по адресу в декрипторе.
Если ваш антивирус обнаружил декриптор, удалите его из карантина или загрузите новый из:
xxxx://www.vhyifaiuevwni.tk/CDD

Другим информатором жертвы является экран блокировки под названием CryptoDark Decryptor. 

Экран блокировки и окно декриптора

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoDark.exe
CryptoDark Decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

QuakeWay

QuakeWay Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .org

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __iWasHere.txt

Содержание записки о выкупе:
===> Your files content changed to unreadable content to you and your PC, For restore operation send an email to quakeway@mail.ru and send your UID came bellow as mail subject you will get back all of your files by instruction as our reply.
===> WARNING !!!Dont be stupid to delete this TXT file(or any change on your locked folder),else YOUR FILES WILL BE CORRUPT AND CANNOT BE RESTORED ANYWAY! EVEN BY INSERT TRUE CODE !
===> ATTENTION !!This is not a Ransomware. We don't need your money Just wanna care you and upgrade your security.
 Your System UID for email it is -->> [redacted]: [redacted] <-- We answer it during 7 days.

Перевод записки на русский язык:
===> Содержимое ваших файлов изменено на нечитаемое содержание для вас и вашего ПК. Для операции восстановления отправьте email на quakeway@mail.ru и укажите свой UID в качестве темы письма, вы получите все свои файлы по инструкции, как наш ответ.
===> ПРЕДУПРЕЖДЕНИЕ !!! Не глупите, не удаляйте этот TXT-файл (или не изменяйте в заблокированной папке), иначе ВАШИ ФАЙЛЫ БУДУТ ИСПОРЧЕНЫ И УЖЕ НЕ СМОГУТ ВОССТАНОВИТЬСЯ! ЕСЛИ ДАЖЕ ВСТАВИТЕ ПРАВИЛЬНЫЙ КОД!
===> ВНИМАНИЕ! Это не Ransomware. Нам не нужны ваши деньги. Просто хочу позаботиться о вас и обновить вашу безопасность.
  Ваш системный UID для email - >> [redacted]: [redacted] <- Мы ответим на него в течение 7 дней.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
__iWasHere.txt
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
quakeway@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as QuakeWay)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PSCrypt

PSCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2500 гривен в BTC, чтобы вернуть файлы. Оригинальное название: PSCrypt. Идентифицируется сервисом IDR в составе семейства GlobeImposter 2.0. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: GlobeImposter 2.0 > PSCrypt

К зашифрованным файлам добавляется расширение .pscrypt

Активность этого крипто-вымогателя пришлась на вторую половину июня 2017 г. Ориентирован на украинских пользователей, что не мешает распространять его по всему миру. 
Сервис ID Ransomware зафиксировал пострадавших из Украины, России и Нидерландов. 

Записка с требованием выкупа называется: Paxynok.html (от слова "рахунок" - это "счёт" на украинском).

Содержание записки о выкупе:
ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР
13 69 9B 5F 1E ***
ВАШІ ФАЙЛИ ТИМЧАСОВО НЕДОСТУПНІ.
ВСІ ВАШІ ДАНІ БУЛИ ЗАШІВРОВАННИ!
Для відновлення даних потрібно дешифратор.
Щоб отримати дешифратор, ви повинні:
Оплатити послуги розшифровки:
Оплата відбувається за коштами біткойн (BTC):
Вартість послуги складає 2500 гривень
Оплату можна провести в терміналі IBox.
Інструкція по оплаті:
1. Знайти найближчий термінал Айбокс Айбокс
за допомогою рядка пошуку знайти сервіс «Btcu.biz».
2. Ввести свій номер телефону.
3. Внести суму 2500 грн
4. Роздрукувати і зберегти чек.
5. Зайти на сайт btcu.biz.
6. У розділі «Купити» => «За готівку в терміналі» ввести код з чека (підкреслять червоним), ввести капчу, ознайомитися і погодитися з Умовами використання і натиснути кнопку «Оплатити». 
---
Переконатися, що код прийнятий і сума збігається з внесеної в термінал.
7. Після того, як код був коректно прийнятий системою, натисніть «Далі» для вибору способу отримання коштів.
---
8. Виберіть розділ «Поповнити ВТС-адреса», введіть адресу - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY і капчу, натисніть кнопку «Відправити».
---
9. Після оплати:
Надіслати скріншот платежу на systems64x@tutanota.com
У листі вкажіть свій особистий ідентифікатор (подивіться на початок цього документа).
10. Після отримання дешифратора і інструкцій, зможете продожам роботу.
Додаткова інформація:
Програма можемо дешифрувати один файл як доказ того, що у неї є декодер. Для цього необхідно надіслати зашифрований файл на пошту: systems64x@tutanota.com 
Увага!
Ні оплати = Немає розшифровки
Ви дійсно отримуєте дешифратор після оплати
Не намагайтеся видалити програму або запустити антивірусні інструменти
Спроби самодешіфрованія файлів приведуть до втрати ваших даних
Декодери інших користувачів не сумісні з вашими даними, оскільки унікальний ключ шифрування кожного користувача.
З повагою.

Примерный перевод записки на английский язык (in English):
YOUR PERSONAL IDENTIFIER
13 69 9B 5F 1E ***
YOUR FILES ARE TEMPORARILY UNAVAILABLE.
ALL YOUR DATA HAS BEEN ENCRYPTED!
To recover data you need decryptor.
To get the decryptor you should:
The payment is made from bitcoin (BTC):
The cost of the service is 2500 UAH
Payment can be made in the IBox terminal.
Payment instruction:
1. Find the nearest Aybox Aibox terminal
Use the search bar to find the service "Btcu.biz".
2. Enter your phone number.
3. Make the amount of 2500 UAH.
4. Print and save the receipt.
5. Login to btcu.biz.
6. In the "Buy" => "For cash in the terminal" section, enter the code from the check (underlined in red), enter the captcha, read and agree to the Terms of Use and click the "Pay" button.
check
Make sure that the code is accepted and the amount is the same as that entered in the terminal.
7. After the code was correctly accepted by the system, click "Next" to select the method of receiving funds.
Site
8. Select the section "Add to the BTC address", enter the address - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY and captcha, press the "Send" button.
Site2
9. After payment:
Send a screenshot of the payment to systems64x@tutanota.com
In the letter, enter your personal identifier (see the beginning of this document).
10. After receiving the decoder and instructions, you can continue to work.
Additional Information:
The program can decrypt one file as proof that it has a decoder. To do this, send an encrypted file to the mail: systems64x@tutanota.com
Attention!
No payment = No decryption
You really get the decoder after payment
Do not try to remove the program or run antivirus tools
Attempts to self-decrypt files will result in the loss of your data
Other users' decoders are not compatible with your data, as the unique encryption key for each user.
Regards.

Перевод записки на русский язык:
ВАШ ЛИЧНЫЙ ИДЕНТИФИКАТОР
13 69 9B 5F 1E ***
ВАШИ ФАЙЛЫ ВРЕМЕННО НЕДОСТУПНЫ.
ВСЕ ВАШИ ДАННЫЕ БЫЛИ ЗАШИФРОВАНЫ!
Для восстановления данных нужен дешифратор.
Чтобы получить дешифратор, вы должны:
Оплатить расшифровку:
Оплата делается из средств биткоин (BTC):
Стоимость услуги составляет 2500 гривен
Оплату можно сделать в терминале IBox.
Инструкция по оплате:
1. Найти ближайший терминал Айбокс Айбокс
с помощью строки поиска найти сервис «Btcu.biz».
2. Ввести свой номер телефона.
3. Внести сумму 2500 гривен.
4. Распечатать и сохранить чек.
5. Войти в btcu.biz.
6. В разделе «Купить» => «За наличные в терминале" ввести код с чека (подчеркнут красным), ввести капчу, ознакомиться и согласиться с Условиями использования и нажать кнопку «Оплатить».
---
Убедиться, что код принят и сумма совпадает с внесенной в терминал.
7. После того, как код был корректно принят системой, нажмите «Далее» для выбора способа получения средств.
---
8. Выберите раздел «Пополнить ВТС-адрес», введите адрес - 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY и капчу, нажмите кнопку «Отправить».
---
9. После оплаты:
Отправьте скриншот платежа на systems64x@tutanota.com
В письме укажите свой личный идентификатор (смотрите в начале этого документа).
10. После получения дешифратора и инструкций, сможете продолжить работу.
Дополнительная информация:
Программа можем дешифровать один файл как доказательство того, что у нее есть декодер. Для этого необходимо прислать зашифрованный файл на почту: systems64x@tutanota.com 
Внимание!
Нет оплаты = Нет расшифровки
Вы действительно получите дешифратор после оплаты
Не пытайтесь удалить программу или запустить антивирусные инструменты
Попытки самодешифрования файлов приведут к потере ваших данных
Декодеры других пользователей не совместимы с вашими данными, поскольку уникальный ключ шифрования у каждого пользователя.
С уважением.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов командой:
Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Paxynok.html
wmodule.exe
<random>.exe
<random>.tmp

Расположения:
%TEMP%\<random>.tmp
\AppData\Roaming\Microsoft\random\<random>.exe
\User_folders\Paxynok.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: systems64x@tutanota.com
systems32x@gmail.com
BTC: 1AY8WvyqnHwDSqY2rp3LcE6sYTQkCu9oCY
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as PSCrypt)
 Write-up, Topic of Support
 Video review

 Thanks: 
 BleepingComputer, Lawrence Abrams
 Michael Gillespie
 Alex Svirid
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.