Scarab-Scorpio

Scorpio Ransomware

Scarab-Scorpio Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться по email, заплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Scorpio. На файле написано.

© Генеалогия: Scarab > Scorpio

К зашифрованным файлам добавляется составное расширение по шаблону 
.[Help-Mails@Ya.Ru].Scorpio
Сами файлы переименовываются с помощью Base64. 

Изображение не принадлежит шифровальщику
Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU
Стилизация в виде скорпиона, держащего наготове свою ядовитую иглу.

Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT

Содержание записки о выкупе:
*** IF YOU WANT TO GET ALL YOUR FILES BACK. PLEASE READ THIS ***
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
+4IAAAAAAADr91rqHZ*****TIRAC=py
-----END PERSONAL IDENTIFIER-----
Your important documents, databases, documents, network folders are encrypted for your PC secur
problems.
No data from your computer has been stolen or deleted.
Follow the instructions to restore the files.
How to get the automatic decryptor:
1) Contact us by e-mail: Help-Mails@Ya.Ru. In the letter, indicate you...
beginning of this document)
and the external ip-address of the computer on which the encrypted...
2) After answering your request, our operator will giue you further in...
do next (the answer you will receiue as soon as possible)
** Second email address alexous@bk.ru
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 5Mb (non archived), and file...
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
***

Перевод записки на русский язык:
*** ЕСЛИ ВЫ ХОТИТЕ ВЕРНУТЬ ВСЕ ВАШИ ФАЙЛЫ. ПОЖАЛУЙСТА ПРОЧТИТЕ ЭТО ***
Теперь ваши файлы зашифрованы!
----- НАЧАЛО ПЕРСОНАЛЬНОГО ИДЕНТИФИКАТОРА -----
+ 4IAAAAAAADr91rqHZ ***** TIRAC = PY
----- КОНЕЦ ПЕРСОНАЛЬНОГО ИДЕНТИФИКАТОРА -----
Ваши важные документы, базы данных, документы, сетевые папки зашифрованы из-за проблем безопасность на вашем ПК.
Никакие данные с вашего компьютера не были украдены или удалены.
Следуйте инструкциям по восстановлению файлов.
Как получить автоматический расшифровщик:
1) Свяжитесь с нами по email: Help-Mails@Ya.Ru. В письме укажите ...
Начало этого документа)
И внешний ip-адрес компьютера, на котором зашифрованы файлы ...
2) После того, как вы ответите на ваш запрос, наш оператор продолжит вам ...
Сделайте следующее (ответ вы получите как можно скорее)
** Второй email-адрес alexous@bk.ru
Бесплатное дешифрование в качестве гарантии!
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Общий размер файлов должен быть меньше 5 Мб (без архивирования), а файл ...
Ценную информацию (базы данных, резервные копии, большие листы Excel и т. Д.).
Как получить биткойны?
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами: 
cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
cmd.exe /c wmic SHADOWCOPY DELETE
cmd.exe /c vssadmin Delete Shadows /All /Quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

Файлы, связанные с этим Ransomware:
IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT
database.exe

Расположения:
\Desktop\ ->
\User_folders\ ->
\%APPDATA%\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
uSjBVNE = "%Application Data%\<malware>.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
help-mails@ya.ru
alexous@bk.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018

Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

см. выше Историю семейства

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scorpio)
 Write-up, Topic of Support
 * 

 Thanks: 
 Marcelo Rivero
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

OXAR

OXAR Ransomware

Kappa Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Название проекта Data Locker. На файле написано: Data Locker.exe. Среда разработки: Visual Studio 2017.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> OXAR > Kappa

К зашифрованным файлам добавляется расширение .OXR

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Files successfully encrypted !
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
But if you want to decrypt all your files, you need to pay.
How Do I Pay?
Payment is accepted in Bitcoin only.
Please check the current price of Bitcoin and buy some bitcoins. 
And send the correct amount to the address specified in this window.
And specify your client ID and your e-mail adress in the description when you send the payment via https://blockchain.info/fr/wallet/#/
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay! 
Do not modify the ".OXR" extension of your encrypted files, it will become unrecoverable
---
Step one: 
Create a portfolio at https://blockchain.info/fr/wallet/#/
Step two: 
Buy 100$ USD https://blockchain.info/fr/wallet/#/buy-sell
Step three: 
Send 100$ USD in Bitcoin at 16Vs1Z2yrYBM49GpipN3yz1WaMSYS8xm16
---
Your working documents, holiday photos, children, videos, and all your valuable documents have been encrypted with a powerful encryption algorithm, follow the instructions given to retrieve the encryption key

Перевод записки на русский язык:
Файлы успешно зашифрованы!
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов больше недоступны, т.к. они были зашифрованы. Возможно, вы заняты поиском способа восстановить свои файлы, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифровки.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас мало времени.
Но если вы хотите расшифровать все ваши файлы, вам нужно заплатить.
Как мне заплатить?
Оплата принимается только в биткоинах.
Пожалуйста, проверьте текущую цену биткоина и купите несколько биткоинов.
И отправьте правильную сумму по адресу, указанному в этом окне.
И укажите свой ID клиента и email-адрес в описании при отправке платежа через https://blockchain.info/fr/wallet/#/
Мы настоятельно рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите, и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, он не сможет восстановить ваши файлы, даже если вы платите!
Не изменяйте расширение ".OXR" у ваших зашифрованных файлов, они станут невосстановимыми
---
Шаг 1: 
Создайте учётку на https://blockchain.info/fr/wallet/#/
Шаг 2: 
Купите 100$ США https://blockchain.info/fr/wallet/#/buy-sell
Шаг 3: 
Пошлите 100$ США в биткоинах на 16Vs1Z2yrYBM49GpipN3yz1WaMSYS8xm16
---
Ваши рабочие документы, праздничные фотографии детей, видеоролики и все ваши ценные документы были зашифрованы с помощью мощного алгоритма шифрования, следуйте инструкциям, приведенным для получения ключа шифрования

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.aif, .apk, .arj, .asp, .bat, .bin, .cab, .cda, .cer, .cfg, .cfm, .cpl, .css, .csv, .cur, .dat, .deb, .dmg, .dmp, .doc, .docx, .drv, .gif, .htm, .html, .icns, .iso, .jar, .jpeg, .jpg, .jsp, .log, .mid, .mp3, .mp4, .mpa, .odp, .ods, .odt, .ogg,.part, .pdf, .php, .pkg, .png, .ppt, .pptx, .psd, .rar, .rpm, .rss, .rtf, .sql, .svg, .tar.gz, .tex, .tif, .tiff, .toast, .txt, .vcd, .wav, .wks, .wma, .wpd, .wpl, .wps, .wsf, .xlr, .xls, .xlsx, .zip (72 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Data_Locker.exe 
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
https://blockchain.info/fr/wallet/#/
BTC: 16Vs1Z2yrYBM49GpipN3yz1WaMSYS8xm16
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4 августа 2017:
Пост в Твиттере >>

Скриншоты новой версии и требования о выкупе.
Результаты анализов: VT

Обновление от 9 августа 2017:
Пост в Твиттере >>
Расширение: .PEDO
Записка: What happens with my files.txt
Файлы: PEDO.exe
Email: oxar.ransomware666@protonmail.com
Результаты анализов: HA+VT
<< Скриншот с требованиями выкупа
Появился звуковой информатор жертвы. 

Обновление от 9 августа 2017:
Пост в Твиттере >>
Расширение: .ULOZ
Файл: Ableton-live-Suite-v95-WiN-x86-x64.exe (ras.exe)
Записка: 1 What happens with my files.txt
Результаты анализов: VT

Обновление от 20 августа 2017:
Пост в Твиттере >>
https://twitter.com/struppigel/status/899541969675972608
Расширение: .OXR
Email: maitregauillaume@protonmail.com
BTC: 1DpDJJwnXLf5RXDWN3Ff6fmfjKWbWc9RHw
Скриншоты >>

Результаты анализов: VT

Обновление от 21 августа 2017:
Kappa Ransomware
Пост в Твиттере >>
Файл: Kappa Ransomware.exe
Результаты анализов: HA+VT
Скриншот экрана блокировки >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Поддаётся дешифровке!
Файлы можно дешифровать!

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Marcelo Rivero
 Michael Gillespie
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AAC

AAC Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название не указано. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .aac

Активность этого крипто-вымогателя пришлась на первую половину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Learn how to recover your files.txt

Содержание записки о выкупе:
It looks like your files have been encrypted.
If you are interested in your recovery, please contact us by email: contatoaac@vpn.tg
Send your code to: aac0d8dcf0484cf31c420b340611c43b6c6cf02dea8cc66d542cc6c18adf6998968
Your request will be answered as soon as possible, and if necessary to guarantee recovery.

Другая записка у другого пострадавшего: 

It looks like your files have been encrypted.
If you are interested in your recovery, please contact us by email: contatoaac@vpn.tg
Send your code to: aac6ab009be90599cbd2f9c0d61122978b834756356caccb75b5a8c1a567d4e5904
Your request will be answered as soon as possible, and if necessary to guarantee recovery.

Перевод записки на русский язык:
Похоже, ваши файлы были зашифрованы.
Если вы заинтересованы в восстановлении, свяжитесь с нами по email: contatoaac@vpn.tg
Пришлите свой код: aac6ab009be90599cbd2f9c0d61122978b834756356caccb75b5a8c1a567d4e5904
На ваш запрос ответ будет дан как можно скорее, и в случае необходимости, гарантировано восстановление.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов командой:
vssadmin delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, в том числе базы данных серверов, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Learn how to recover your files.txt
svchost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: contatoaac@vpn.tg
URL: xxxx://gcc.gnu.org/bugs.html
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AAC)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 (victim in the topic of support)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Xorist-RuSVon

RuSVon Ransomware

Xorist-RuSVon Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.2 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле может быть написано, что попало.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Xorist >> Xorist-TraNs > Xorist-RuSVon

К зашифрованным файлам добавляется расширение .RuSVon и/или .done
Шифрование могло производиться друг за другом, по несколько раз. 

В Интернете больше встречается англоязычных статей, где указано расширение .RusVon, которое, вероятно, просто было кем-то перезаписано с маленькой буквой "s" и пошло-поехало. 

Активность этого крипто-вымогателя пришлась на начало июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
ATENTION!
All your files are now encrypted using RSA (2048 bits) algorithm
Without the original key, recovery is imposible.
You must pay 0.2 BTC for the decryption key
You have 4 days to pay for my services. After this period, you will lose all your files.
Step 1 - Create an account www.localbitcoin.com
Step 2 - Buy 0.2 Bitcoin
Step 3 - Send the amount to this address:
1MWZ9dSWXSo8eyuL15PcoMqL5Cs1Ra9B3o
Step 4 - Contact us on this email: bkmf@gmx.com with subject: DECRYPT KEY FOR ID-CLIENT-39281
After these steps you receive softwere and tutorial for decryption.
For any questions please contact us at this email address: bkmf@gmx.com

Перевод записки на русский язык:

ВНИМАНИЕ!
Все ваши файлы теперь зашифрованы с алгоритмом RSA (2048 бит)
Без оригинального ключа восстановление невозможно.
Вы должны заплатить 0.2 BTC за ключ дешифрования
У вас есть 4 дня для оплаты моих услуг. По окончании этого периода вы потеряете все свои файлы.
Шаг 1 - Создать учетную запись www.localbitcoin.com
Шаг 2 - Купить 0.2 Bitcoin
Шаг 3 - Отправить сумму на этот адрес:
1MWZ9dSWXSo8eyuL15PcoMqL5Cs1Ra9B3o
Шаг 4 - Связаться с нами по этому email-адресу: bkmf@gmx.com с темой: DECRYPT KEY FOR ID-CLIENT-39281
После этих шагов вы получаете программу и учебник для дешифрования.
По всем вопросам пишите нам по этому email-адресу: bkmf@gmx.com

Запиской с требованием выкупа также выступают экран блокировки и изображение на рабочем столе:

Тексты требований о выкупе аналогичные. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Особенности версии
- В работе этого крипто-вымогателя было замечено мультишифрование. Так после запуска файла Start.exe у файлов сначала появлялось расширение .RuSVon, а потом, после запуска файла Finish.exe эти же файлы дополнительно получали ещё и расширение .done
- Более того, хоть с первым, хоть со вторым расширениями файлы могли быть зашифрованы несколько раз подряд. Этот факт может говорить о работе сразу нескольких копий шифровальщиков. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
Start.exe
Finish.exe
D8Ub0NPO8GM2iwu.exe
<random>.exe

Расположения:
\Desktop\ -> HOW TO DECRYPT FILES.txt
\User_folders\ -> HOW TO DECRYPT FILES.txt
%PROGRAMFILES%\AutoIt3\Examples\Helpfile\Extras\HOW TO DECRYPT FILES.txt
%TEMP%\D8Ub0NPO8GM2iwu.exe
\Temp\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
bkmf@gmx.com
BTC: 1MWZ9dSWXSo8eyuL15PcoMqL5Cs1Ra9B3o
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist Family (семейство Xorist в этом блоге):
Xorist-EnCiPhErEd Ransomware - май 2016
Xorist-FakeRSA Ransomware - февраль 2017
Xorist-Zixer2 Ransomware - апрель 2017
Xorist-TraNs Ransomware - июнь 2017
Xorist-RuSVon Ransomware - июль 2017
Xorist-Hello Ransomware - август 2017
Xorist-CerBerSysLock Ransomware - декабрь 2017
Xorist-Frozen Ransomware - февраль 2018
Xorist-XWZ Ransomware - март 2018
Xorist-TaRoNiS Ransomware - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Alex Svirid
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AES-Matrix

AES-Matrix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: нет данных.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Изображение не принадлежит шифровальщику

К зашифрованным файлам никакое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: pay and get your data back.txt

Содержание записки о выкупе:
Hello, 
Your all datas have been encrypted by AES-256 key,
If you want to decrypt by yourselft, It would take hundred years,
If you can pay some money, I will send you the decrypt key, you can get your data back immediately.
According to the CyberEdge Group's 2017 Cyberthreat Defense Report, 1/3 company paid a ransom.
So it is not shame to pay ransom,many company paid it before.
Your are so large Security Safes company.
Now would you like to see your business become like a startup or just pay to continue your business?
Contact my email: darkpart@tutanota.com or darkware@tutanota.com
If you do not contact me soon, you key will be deleted automaticly by system and you will lose your data 4ever.
Just take it as security consultant fee. They charge much more than me. 

Перевод записки на русский язык:
Привет,
Все ваши данные были зашифрованы ключом AES-256,
Если вы хотите расшифровать самостоятельно, то понадобится сто лет,
Если вы можете заплатить немного денег, я пришлю вам ключ дешифрования, вы можете сразу вернуть свои данные.
Согласно отчету CyberEreat Group от CyberEdge от 2016 года, 1/3 компаний выплатили выкуп.
Так что не стыдно платить выкуп, многие компании заплатили его раньше.
У вас такая большая компания Security Safes.
Вы хотели бы, чтобы ваш бизнес стал как стартап или просто заплатили за продолжение своего бизнеса?
Свяжитесь со мной по email: darkpart@tutanota.com или darkware@tutanota.com
Если вы не свяжетесь со мной в ближайшее время, вы автоматически удалите ключ из системы, и вы потеряете свои данные 4ever.
Просто считайте это платой консультанту по безопасности. Они берут намного больше меня.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Атакуют через RDP сервера, а затем шифруют хранилища данных, содержащие файлы vhd для рабочих виртуальных машин и дисков общего доступа.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pay and get your data back.txt
<random>.exe
AES-256.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
darkpart@tutanota.com
darkware@tutanota.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 мая 2018:
Пост в Твиттере >>
Записка: ACCUDATA_pay and get your data back.txt
Email: ACCUDATA1@tutanota.com, ACCUDATA2©tutanota.com

➤ Содержание записки о выкупе:
Hello,ACCUDATA
Your all datas have been encrypted by AES-256 key,
If you want to decrypt by yourselft, It would take hundred years,
If you can pay some money, I will send you the decrypt key, you can get your data back immediately.
According to the CyberEdge Group's 2017 Cyberthreat Defense Report, 1/3 company paid a ransom.
So it is not shame to pay ransom,many companies paid it before.
Your are a so big data company now,
Now would you like to see your business become like a startup or just pay to continue your business?
Contact email: ACCUDATA1@tutanota.com or ACCUDATA2©tutanota.com
If you do not contact us soon, Your key will be deleted automatically by system and you will lose your data 4ever.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as AES-Matrix)
 Write-up, Topic of Support
 * 

 Thanks: 
 (victim in the topic of support)
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.