AES-Matrix

AES-Matrix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: нет данных.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Изображение не принадлежит шифровальщику

К зашифрованным файлам никакое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: pay and get your data back.txt

Содержание записки о выкупе:
Hello, 
Your all datas have been encrypted by AES-256 key,
If you want to decrypt by yourselft, It would take hundred years,
If you can pay some money, I will send you the decrypt key, you can get your data back immediately.
According to the CyberEdge Group's 2017 Cyberthreat Defense Report, 1/3 company paid a ransom.
So it is not shame to pay ransom,many company paid it before.
Your are so large Security Safes company.
Now would you like to see your business become like a startup or just pay to continue your business?
Contact my email: darkpart@tutanota.com or darkware@tutanota.com
If you do not contact me soon, you key will be deleted automaticly by system and you will lose your data 4ever.
Just take it as security consultant fee. They charge much more than me. 

Перевод записки на русский язык:
Привет,
Все ваши данные были зашифрованы ключом AES-256,
Если вы хотите расшифровать самостоятельно, то понадобится сто лет,
Если вы можете заплатить немного денег, я пришлю вам ключ дешифрования, вы можете сразу вернуть свои данные.
Согласно отчету CyberEreat Group от CyberEdge от 2016 года, 1/3 компаний выплатили выкуп.
Так что не стыдно платить выкуп, многие компании заплатили его раньше.
У вас такая большая компания Security Safes.
Вы хотели бы, чтобы ваш бизнес стал как стартап или просто заплатили за продолжение своего бизнеса?
Свяжитесь со мной по email: darkpart@tutanota.com или darkware@tutanota.com
Если вы не свяжетесь со мной в ближайшее время, вы автоматически удалите ключ из системы, и вы потеряете свои данные 4ever.
Просто считайте это платой консультанту по безопасности. Они берут намного больше меня.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Атакуют через RDP сервера, а затем шифруют хранилища данных, содержащие файлы vhd для рабочих виртуальных машин и дисков общего доступа.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pay and get your data back.txt
<random>.exe
AES-256.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
darkpart@tutanota.com
darkware@tutanota.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 мая 2018:
Пост в Твиттере >>
Записка: ACCUDATA_pay and get your data back.txt
Email: ACCUDATA1@tutanota.com, ACCUDATA2©tutanota.com

➤ Содержание записки о выкупе:
Hello,ACCUDATA
Your all datas have been encrypted by AES-256 key,
If you want to decrypt by yourselft, It would take hundred years,
If you can pay some money, I will send you the decrypt key, you can get your data back immediately.
According to the CyberEdge Group's 2017 Cyberthreat Defense Report, 1/3 company paid a ransom.
So it is not shame to pay ransom,many companies paid it before.
Your are a so big data company now,
Now would you like to see your business become like a startup or just pay to continue your business?
Contact email: ACCUDATA1@tutanota.com or ACCUDATA2©tutanota.com
If you do not contact us soon, Your key will be deleted automatically by system and you will lose your data 4ever.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AES-Matrix)
 Write-up, Topic of Support
 * 

 Thanks: 
 (victim in the topic of support)
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DCry

DCry Ransomware

DCry 2.0 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться по email, чтобы вернуть файлы. Оригинальное название Не указано. На файле написано: Cryptor.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .dcry

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_DECRYPT.txt
Запиской с требованием выкупа также выступает диалоговое сообщение, сделанное с помощью скрипта VBScript с функцией MsgBox.

Содержание записки о выкупе:
Files has been encrypted. 
If you want to decrypt, please, write me to e-mail: bbqb@protonmail.com
Your key: 
*****

Перевод записки на русский язык:
Твои файлы зашифрованы.
Если хочешь дешифровать, пожалуйста, пиши мне на e-mail: bbqb@protonmail.com
Твой ключ: 
*****

Содержание сообщения из MsgBox:
Your files is crypted. 
If you want to encypt, please, write me to e-mail: bbqb@protonmail.com
Your key: *****

Перевод сообщения из MsgBox:

Твои файлы зашифрованы.
Если хочешь шифровать, пиши мне на email: bbqb@protonmail.com
Твой ключ: *****

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT.txt
Cryptor.exe
message.vbs

Расположения:
C:\Windows\message.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bbqb@protonmail.com
***s7c4wrcmzgbtldbs.onion.cab
xxxxs://s7c4wrcmzgbtldbs.onion.cab/receiver.php?value=
xxxx://www.indyproject.org/
62.138.11.6: 443 - Германия
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 24 июля 2017: 
Пост в Твиттере >>
Расширение: .qwqd
Файл: Dcry.exe
Email: qwqd@protonmail.com
Результаты анализов: HA+VT
Записка: READ_ME_MY_FRIEND.txt
Содержание записки:
Hello my friend. Your files are encrypted.
If you want get back your files, just write to e-mail qwqd@protonmail.com.
Please don't try decrypt yourself, because third-party decryptor can broke your files.
For test decrypt you can send me 1 file ~2MB.
Your key: MTD_UjR0Da6SF6fgNzzpnb8l


Обновление от 13 сентября 2017:
Новая версия: DCry 2.0
Пост в Твиттере >>
Расширение: .dian
Email: lnq@protonmail.com
Результаты анализов: VT
На скриншоте часть кода с сообщением к Demonslay335

Внимание!
Для зашифрованных файлов есть декриптер
Скачать DCryDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DCry, DCry 2.0)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn‏
 Michael Gillespie
 MalwareHunterTeam
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Striked

Striked Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA+SHA256, а затем требует написать на email, чтобы получить дешифратор и вернуть файлы. Плата за дешифровку разная, минимум $300 в BTC. Оригинальное название: не указано. Написан на Python. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляются расширения без точек: 
#<email>#id#<id>

Примеры, известных: 
#nukem@mortalkombat.top#id#<id>
#rap@mortalkombat.top#id#<id>
#bitcoin@mortalkombat.top#id#<id>
---
* Под <id> цифры, в имеющихся образцах их было 10. 

Файлы сохраняют исходный размер.

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README_DECRYPT.html

Содержание записки о выкупе:
YOUR FILES ARE STRIKED!
-=ALL OF YOUR FILES ARE ENCRYPTED!=-
Your personal identifier: 1499363281
Your documents, photos, databases, save games and other important data were encrypted.
For a data recovery requires a decryptor.
To decrypt your files send an email to raiden@mortalkombat.top
In the reply letter you will receive a program for decryption.
After starting the decryption program, all your files will be restored.
!!! Attention !!!!!! Attention !!!!!! Attention !!!
*** Do not attempt to uninstall the program or run antivirus software
*** Attempts to decrypt files by themselves will result in the loss of your data

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БАСТУЮТ!
-=ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!=-
Ваш персональный идентификатор: 1499363281
Ваши документы, фото, базы данных, сохранения игр и другие важные данные были зашифрованы.
Для восстановления данных требуется дешифратор.
Чтобы расшифровать ваши файлы, отправьте email на адрес raiden@mortalkombat.top
В ответном письме вы получите программу для дешифрования.
После запуска программы дешифрования все ваши файлы будут восстановлены.
!!! Внимание !!!!!! Внимание !!!!!! Внимание !!!
*** Не пытайтесь удалить программу или запустить антивирусную программу
*** Попытки дешифрования файлов самому приведут к потере ваших данных

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README_DECRYPT.html
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
113.53.231.201:3129- Таиланд
1.179.146.153:8080  - Таиланд
1.28.246.144:8080 - Китай
См. ниже результаты анализов.

Известные email вымогателей:
nukem@mortalkombat.top
raiden@mortalkombat.top
rap@mortalkombat.top
m.pirat@aol.com
duk@mortalkombat.top
jekabro@mortalkombat.top
Andrey.gorlachev@aol.com
bitcoin@mortalkombat.top
chivas@aolonline.top
raiden@aolonline.top
help_911_support@rambler_ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Striked-1 Ransomware - июль 2017 - шаблон расширения: #<email>#id#<id>
Striked-2 Ransomware - декабрь 2017  - шаблон расширения: .<email>.<email> или .<email>

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 декабря 2018:
Расширение: .help_911_support@rambler_ru
Расширение может быть двойным, если сработало повторное шифрование: 
.help_911_support@rambler_ru.help_911_support@rambler_ru
Шаблон расширения: .<email>
Содержание записки: 
YOUR FILES ARE STRIKED!
-= ALL OF YOUR FILES ARE ENCRYPTED! =-
Your personal identifier:1512935136
Your documents, photos, databases, save games and other important data were encrypted.
For a data recovery requires a decryptor.
To decrypt your files send an email to help_911_support@rambler.ru
In the reply letter you will receive a program for decryption.
After starting the decryption program, all your files will be restored.
!!! Attention !!!!!! Attention !!!!!! Attention !!!
***Do not attempt to uninstall the program or run antivirus software
***Attempts to decrypt files by themselves will result in the loss of your data
Топик на форуме >>

!!! Я передал разработчику дешифровщика Майклу Джиллеспи информацию по новой версии шифровальщика. Он изучил представленные образцы и сообщил нам, что: 
➽ С декабря шифровальщик использует файл конфигурации со статическими паролями, а ранее он компилировался в самой программе. Для помощи в расшифровке файлов пострадавшему требуется найти на своём ПК файл .json с шестнадцатеричным именем файла и переслать его Майклу. Без этого файла дешифрование невозможно. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать Striked Decrypter для дешифровки >>
Поддерживает расширения:
#<email>#id#<id> 

В конце 2017 года произошли изменения в функционале и работе шифровальщика. 
Чтобы вам помочь, найдите на ПК файл .json с шестнадцатеричным именем файла. 
Найдёте, обращайтесь по ссылке к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Striked)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ScorpionLocker

ScorpionLocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: ScorpionLocker. На файле написано: ScorpionLocker.exe.

© Генеалогия: HiddenTear >> ScorpionLocker

К зашифрованным файлам добавляется расширение .ScorpionLocker

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
YOUR PERSONAL FILES ARE ENCRYPTED
Your documents, photos, databases and other important files have been encrypted with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secrect internet server and nobody can decrypt your files until you pay obtain the private key.
1. Pay amount 0.1 BTC(about of 1050 USD) to address: 1G***
2. Transaction will take about 15-30 minutes to confirm.
Meet me : scorpionlocker@gmail.com
All you have to do...
BTC Address: [ 1G*** ] [Copy]

Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Ваши документы, фото, базы данных и другие важные файлы зашифрованы с самым сильным шифрованием и уникальным ключом, созданным для этого компьютера. Частный ключ дешифрования хранится на безопасном интернет-сервере, и никто не сможет расшифровать ваши файлы, пока вы не заплатите за закрытый ключ.
1. Сумма оплаты 0.1 BTC (около 1050 долларов США) по адресу: 1G ***
2. Транзакция займет около 15-30 минут.
Встреча со мной: scorpionlocker@gmail.com
Все, что вам нужно сделать ...
BTC адрес: [ 1G*** ] [Copy]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Открытый мьютекс: Global\CLR_CASOFF_MUTEX

➤ Сайт вымогателей scorpionlocker.xyz в 2018 году оказался в распоряжении распространителей H34rtBl33d Ransomware. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
ScorpionLocker.exe
adobe_update.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://scorpionlocker.xyz 
Email: scorpionlocker@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Jack
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Fenrir

Fenrir Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $150 в BTC, чтобы вернуть файлы. Оригинальное название: Fenrir. На файле проекта написано: AES_RANSOMWARE. На exe-файле написано: Adobe Reader.exe. Фальш-имя: ADOBE ACROBAT READER. Среда разработки: Visual Studio 2017. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется непростое расширение.

Примеры: 
.a12b34cd5e
.1BC23D4EF5

Это последовательность из первых 10 шестнадцатеричных цифр, взятых из MD5-хэша функции HWID. 

Шаблон можно записать как:
.<10_hex_chars>
.<10_hex_sign> 

✂ Я специально пропускаю подробности генерации добавляемого расширения, потому что пострадавшим не нужны глубокие технические подробности, им нужен результат и файлы. А тем службам, которым это надо, всё равно будут проводить собственный анализ для отчёта и передачи информации выше. 

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ransom.rtf

Содержание записки о выкупе:

(Q) HOW TO RESCOVER MY FILES?

(A) Sending to me the amount of 150$ dollars in bitcoin for my bitcoin ID afterthe payment has been made send the transaction ID and your personal ID to my email and then i will send you the unlocker.

MY BITCOIN ID: 19SVnnScjTewmgzE5v9gVXn4mzxFQMT5Wo

MY EMAIL whiterabbit01@mailinator.com

YOUR PERSONAL ID: IN THE WINDOW TITLE 

(Q) WHAT IS IT?

(A) https://en.wikipedia.org/wiki/Ransomware

(Q) WHAT IS BITCOIN?

(A) https://en.wikipedia.org/wiki/Bitcoin

(Q) WHERE TO BUY BITCOIN?

(A) https://localbitcoins.com/

Перевод на русский язык:

(Q) КАК ВОССТАНОВИТЬ МОИ ФАЙЛЫ?

(A) Отправьте мне сумму в 150$ в биткоинах за мой биткоин ID после того, как платеж был сделан, отправьте ID транзакции и ваш личный ID на мой email, а затем я отправлю вам разблокировщик.

МОЙ BITCOIN ID: 19SVnnScjTewmgzE5v9gVXn4mzxFQMT5Wo

МОЙ EMAIL whiterabbit01@mailinator.com

ВАШ ЛИЧНЫЙ ID: в названии окна

(Q) ЧТО ЭТО ТАКОЕ?

(A) https://en.wikipedia.org/wiki/Ransomware

(Q) ЧТО ТАКОЕ BITCOIN?

(A) https://en.wikipedia.org/wiki/Bitcoin

(Q) ГДЕ КУПИТЬ BITCOIN?

(A) https://localbitcoins.com/

Запиской с требованием выкупа также выступают экран блокировки и изображение, загружаемого с хостинга изображений pixs.ru:

Содержание текста с экрана блокировки:
ALL YOUR FILES HAVE BEEN LOCKED
(Q) HOW TO RESCOVER MY FILES?
(A) Sending to me the amount of 150$ dollars in bitcoin for my bitcoin ID after the payment has been made send the transaction ID and your personal ID to my email and then i will send you the unlocker.
MY BITCOIN ID: 19SVnn5cjTewmgzE5v9gVXn4mzxFQMT5Wo
MY EMAIL: whiterabbit01@mailinator.com
YOUR PERSONAL ID: IN THE WINDOW TITLE
(Q) WHAT IS IT?
(A) https://en.wikipedia.org/wiki/Ransomware
(Q) WHAT IS BITCOIN?

(A) https://en.wikipedia.org/wiki/Bitcoin

(Q) WHERE TO BUY BITCOIN?

(A) https://localbitcoins.com/

Перевод текста на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАБЛОКИРОВАНЫ
(Q) КАК ВОССТАНОВИТЬ МОИ ФАЙЛЫ?
(A) Отправьте мне сумму в 150$ в биткоинах за мой биткоин ID после того, как платеж был сделан, отправьте ID транзакции и ваш личный ID на мой email, а затем я отправлю вам разблокировщик.
МОЙ BITCOIN ID: 19SVnn5cjTewmgzE5v9gVXn4mzxFQMT5Wo
МОЙ EMAIL: whiterabbit01@mailinator.com
ВАШ ЛИЧНЫЙ ID: В ЗАГОЛОВКЕ ОКНА
(Q) ЧТО ЭТО ТАКОЕ?
(A) https://en.wikipedia.org/wiki/Ransomware
(Q) ЧТО ТАКОЕ BITCOIN?

(A) https://en.wikipedia.org/wiki/Bitcoin

(Q) ГДЕ КУПИТЬ BITCOIN?

(A) https://localbitcoins.com/

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений (фальшивый Adobe Reader.exe), перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Adobe Reader.exe
ransom.rtf
ransompng_6304118_26774912.png

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 19SVnn5cjTewmgzE5v9gVXn4mzxFQMT5Wo
Email: whiterabbit01@mailinator.com
xxxxs://fenrir-ransomware.000webhostapp.com/log.php
xxxx://i12.pixs.ru/storage/9/1/2/ransompng_6304118_26774912.png
xxxx://000webhostapp.com
xxxx://gateway00.000webhostapp.com/
xxxx://000300.000webhostapp.com/
xxxx://00004563.000webhostapp.com/
xxxx://a00843873434.000webhostapp.com/
xxxx://owa2378office365migration159.000webhostapp.com/
xxxx://ithelpdeskportal.000webhostapp.com/
xxxx://wwwww123web.000webhostapp.com/
145.14.145.40:443 - Нидерланды
145.14.145.80:443 - Нидерланды
145.14.145.232:443 - Нидерланды
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

NOOB CryptoMix

NOOB Ransomware

NOOB CryptoMix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: Oren Music Panel Control.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Cryptomix >> NOOB

К зашифрованным файлам добавляется расширение .NOOB

Пример зашифрованных файлов:
7420507E13F464E5A3C8A1F215014975.NOOB
D8CFCE9C2629239E6FE230AA2736082E.NOOB
1748FB9A108625958A46C9DA11930A25.NOOB 


Активность этого крипто-вымогателя пришлась на первую половину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Need back files ?
write to admin@zayka.pro
DECRYPT-ID-a8b4a4ec-41c1-4ce4-813e-59114edf3a22 number

Перевод записки на русский язык:
Нужны файлы обратно?
пиши на admin@zayka.pro
DECRYPT-ID-a8b4a4ec-41c1-4ce4-813e-59114edf3a22 number

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BCFA752030.exe
<random>.exe
_HELP_INSTRUCTION.TXT

Расположения:
%AppData%\<random>.exe
<all_folders>\_HELP_INSTRUCTION.TXT

Список открытых RSA-ключей:
см. статью на BC

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
admin@zayka.pro
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
Azer, Noob, Exte, Pirate, CK, Zayka, Zero, DG - июль 2017
Ogonia, Error, Empty, Arena - август 2017
Shark  - сентябрь 2017
x1881, Coban - октябрь 2017
XZZX, 0000, Test - ноябрь 2017
WORK, FILE, Tastylock - декабрь 2017
SERVER, System - январь 2018
MOLE66 - март 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jakub Kroustek
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.