Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Bitshifter. Среда разработки: Visual Studio 2017.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
Активность этого крипто-вымогателя пришлась на вторую половину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: ARE_YOU_WANNA_GET_YOUR_FILES_BACK.txt
Содержание записки о выкупе: Are you wanna get your files back? *** Перевод записки на русский язык: Вы хотите вернуть свои файлы? ***
Технические детали
Распространяется как фальшивый вспомогательный файл к игре "The Witcher 3". Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. ➤ Пытается украсть кошельки криптовалют и другую информацию. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: ARE_YOU_WANNA_GET_YOUR_FILES_BACK.txt launcher.exe (network.exe) the_witcher_3_wild_hunt_optimizatsiya_dlya_slabyh_pk.rar
Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: www.whatismyip.org myip.dnsomatic.com www.showmyip.com xxxx://www.playground.ru/files/the_witcher_3_wild_hunt_optimizatsiya_dlya_slabyh_pk_podyom_fps-157259/ См. ниже результаты анализов. Результаты анализов: Гибридный анализ >> VirusTotal анализ >> Intezer Analyze анализ >> Другой анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
К зашифрованным файлам добавляется расширение: .GNNCRY
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. О выпуске этого крипто-вымогателя стало известно из СМИ в середине июля 2017 г. Позже разработчик его доработал. GonnaCry не предназначался для распространения и причинения вреда другим компьютера. Основная цель — изучение вредоносных программ для Linux. Ориентирован на англоязычных пользователей. Так как является открытым проектом, то может быть модифицирован и в новом виде начать распространяться другими вымогателями по всему миру. Записка с требованием выкупа называется: GNNCRY_Readme
Содержание записки о выкупе: ***нет данных*** Перевод записки на русский язык: ***нет данных***
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Нужно всегда использовать Актуальную антивирусную защиту!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Подробности работы шифровальщика: Перед шифрованием создает копию оригинального файла (новый файл), который должен быть зашифрован. Генерирует уникальный случайный ключ и вектор инициализации для каждого файла. После шифрования пытается уничтожить старый файл, чтобы его невозможно было восстановить программами восстановления данных. Для этого все старые файлы сначала перезаписываются нулями, а затем удаляются. Порядок действий: Шифрование всех файлов с помощью AES-256-CBC. Шифрование периферийных устройств: флешки. Случайная генерация AES-ключей для каждого целевого файла. Шифрование работает даже без подключения зараженного устройства к Интернету. Выполняется связь с сервером для запроса закрытого ключа. Шифрование AES-ключа с помощью RSA-1024. Шифрование секретного ключа с помощью RSA-1024 с сервера. Генерация сервером закрытых и открытых ключей (RSA) Замена обоев рабочего стола в UNIX-подобных ОС (Gnome, LXDE, KDE, XFCE). Перезапись оригинальных файлов нулями. Удаление перезаписанных файлов без возможности восстановления. Завершение работы программы. Визуализация зашифрованного файла:
Список файловых расширений, подвергающихся шифрованию:
Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Matroska. Фальш-имя: Windows Defender. На файле написано: mscauth.exe.
➤ Есть данные, что специалисты Dr.Web могут дешифровать файлы, зашифрованные некоторыми вариантами этого вымогательства, но только в частном порядке. Публичного дешифратора нет.
➤ Прямые ссылки есть после статьи в разделе "БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS"
К зашифрованным файлам добавляется расширение .HUSTONWEHAVEAPROBLEM@KEEMAIL.ME В расширении зашита известная фраза "Houston, we have a problem".
Активность этого крипто-вымогателя пришлась на середину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: HOW_TO_RECOVER_ENCRYPTED_FILES.txt
Содержание записки о выкупе: Your files are encrypted! Your personal ID *** All your files have been encrypted due to a security problem with your PC. To restore all your files, you need a decryption. If you want to restore them, write us to the e-mail HUSTONWEHAVEAPROBLEM@KEEMAIL.ME. In a letter to send Your personal ID (see in the beginning of this document). You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. In the letter, you will receive instructions to decrypt your files! In a response letter you will receive the address of Bitcoin-wallet, which is necessary to perform the transfer of funds. HURRY! Your personal code for decryption stored with us only 72 HOURS! Our tech support is available 24 \ 7 Do not delete: Your personal ID Write on e-mail, we will help you! Free decryption as guarantee Before paying you can send to us up to 1 files for free decryption. Please note that files must not contain valuable information and their total size must be less than 5Mb. When the transfer is confirmed, you will receive interpreter files to your computer. After start-interpreter program, all your files will be restored. Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. Do not attempt to remove the program or run the anti-virus tools Attempts to self-decrypting files will result in the loss of your data Decoders are not compatible with other users of your data, because each user's unique encryption key. Перевод записки на русский язык: Ваши файлы зашифрованы! Ваш личный идентификатор *** Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Чтобы восстановить все ваши файлы, вам необходимо расшифровать. Если вы хотите их восстановить, напишите нам на email HUSTONWEHAVEAPROBLEM@KEEMAIL.ME. В письме укажите свой личный идентификатор (см. в начале этого документа). Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы напишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы. В письме вы получите инструкции по расшифровке файлов! В ответном письме вы получите адрес биткойн-кошелька, который нужен для перевода средств. ТОРОПИТЕСЬ! Ваш персональный код для дешифрования хранится у нас всего 72 часа! Наша техническая поддержка доступна 24 \ 7 Не удаляйте: ваш личный идентификатор Напишите на e-mail, мы поможем вам! Бесплатное дешифрование в качестве гарантии Перед оплатой вы можете отправить нам 1 файл для бесплатного дешифрования. Обратите внимание, что файлы не должны содержать ценную информацию, а их общий размер должен быть меньше 5 МБ. Когда оплата подтвердится, вы получите файлы интерпретатора на свой компьютер. После запуска программы-интерпретатора все ваши файлы будут восстановлены. Внимание! Не переименовывайте зашифрованные файлы. Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных. Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас) или вы можете стать жертвой мошенничества. Не пытайтесь удалить программу или запустить антивирусные инструменты Попытки самодешифрования файлов приведут к потере ваших данных Декодеры для других пользователей не совместимы с вашими данными, т.к. уникальный ключ шифрования у каждого пользователя.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: HOW_TO_RECOVER_ENCRYPTED_FILES.txt mscauth.exe Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: hustonwehaveaproblem@keemail.me См. ниже результаты анализов. Результаты анализов: Гибридный анализ >> VirusTotal анализ >> Другой анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Вариант от 16-18 августа 2017: Пост в Твиттере >> Расширение: .encrypted[Payfordecrypt@protonmail.com] Записка: zalupka.txt Зашифрована: zalupka.txt.encrypted[Payfordecrypt@protonmail.com] Email: paymifordecrypt@protonmail.ch Результаты анализов: VT << Скриншот записки
Вариант от 15 февраля 2018: Статус: Можно дешифровать. Пост в Твиттере >> Расширение: .happyness Email: happyness@keemail.me Записка: HOW_TO_RECOVER_ENCRYPTED_FILES.txt Содержание записки: YOUR FILES ARE ENCRYPTED! Your personal ID [redacted base64] All your files have been encrypted due to a security problem with your PC. To restore all your files, you need a decryption. If you want to restore them, write us to the e-mail happyness@keemail.me. In a letter to send Your personal ID (see In the beginning of this document). You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. In the letter, you will receive instructions to decrypt your files! In a response letter you will receive the address of Bitcoin-wallet, which is necessary to perform the transfer of funds. HURRY! Your personal code for decryption stored with us only 72 HOURS! Our tech support is available 24 \ 7 Do not delete: Your personal ID Write on e-mail, we will help you! Free decryption as guarantee Before paying you can send to us up to 1 files for free decryption. Please note that files must NOT contain valuable information and their total size must be less than 5Mb. When the transfer is confirmed, you will receive interpreter files to your computer. After start-interpreter program, all your files will be restored. Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. Do not attempt to remove the program or run the anti-virus tools Attempts to self-decrypting files will result in the loss of your data Decoders are not compatible with other users of your data, because each user's unique encryption key Результаты анализов: VT
Вариант от 17 ноября 2018: Статус: Можно дешифровать. Пост на форуме >> Расширение: .happyness Email: happyness@keemail.me Записка: HOW_TO_RECOVER_ENCRYPTED_FILES.txt Записка аналогична предыдущей.
=== 2020 ===
Вариант от 13 августа 2020: Пост в Твиттере >> Самоназвание неизвестно. Можно использовать слово Nefartanulo. Статус: Можно расшифровать в некоторых случаях. Ссылка >> Расширение: .nefartanulo@protonmail.com Email: nefartanulo@protonmail.com Записка: HOW_TO_RECOVER_ENCRYPTED_FILES.txt Записка аналогична предыдущей из 2018 года.
Вариант от 6 ноября 2020:
Пост в Твиттере >>
Самоназвание неизвестно. Можно использовать слово Siliconegun.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
В некоторых случаях файлы можно дешифровать!
Составьте запрос в Dr.Web на пробную дешифровку:
- на русском языке
- на английском языке
Если дешифровка возможна, то вам сообщат подробности.
➽ Или напишите Emmanuel_ADC-Soft на форум или в Твиттер.
Read to links:
Tweet on Twitter
ID Ransomware (n/a)
Write-up, Topic of Support
*
Thanks:
MalwareHunterTeam, Michael Gillespie
S!Ri, Emmanuel_ADC-Soft, Alex Svirid
Andrew Ivanov (author)
Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп за возвращение доступа к файлам. Оригинальное название: ChinaYunLong. Оно используется в экране блокировки и имеет такой маркер файлов.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
Запиской с требованием выкупа выступает экран блокировки:
Содержание записки о выкупе: Текст нечитаем. Перевод записки на русский язык: Текст нечитаем.
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Список файловых расширений, подвергающихся шифрованию: .7z, .asp, .avi, .bak, .doc, .docx, .dps, .e, .et, .excel, .h, .htm, .html, .jpg, .mp3, .mp4, .pdf, .php, .png, .ppt, .pptx, .rar, .txt, .word, .wps, .xls, .xlsx, .zip (28 расширений).
Это документы MS Office, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр. Файлы, связанные с этим Ransomware: China Yun Long.exe Resurrection.exe Second Resurrection.exe yl.ini bmp ico Расположения: %USERPROFILE%\Desktop\China Yun Long.exe %PROGRAMFILES%\China Yun Long %PROGRAMFILES%\Resurrection %PROGRAMFILES%\Second Resurrection %USERPROFILE%\Desktop\China Yun Long.exe %WINDIR%\Resurrection.exe C:\Second Resurrection.exe C:\yl.ini Записи реестра, связанные с этим Ransomware: Software\Microsoft\Windows\CurrentVersion\Run\China Yun Long.exe Software\Microsoft\Windows\CurrentVersion\Run\Resurrection.exe Software\Microsoft\Windows\CurrentVersion\Run\Second Resurrection.exe См. ниже результаты анализов. Сетевые подключения и связи: См. ниже результаты анализов. Результаты анализов: Гибридный анализ >> VirusTotal анализ >> Другой анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
Активность этого крипто-вымогателя пришлась на вторую половину июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT
Содержание записки о выкупе: [WHAT HAPPENED] Your important files produced on this computer have been encrypted due a security problem If you want to restore them, write us to the e-mail: admin@zayka.pro You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. [FREE DECRYPTION AS GUARANTEE] Before paying you can send to us up to 3 files for free decryption. Please note that files must not contain valuable information and their total size must be less than 1Mb [HOW TO OBTAIN BITCOINS] The easiest way to buy bitcoin is LocalBitcoins site. You have to register, click Buy bitcoins and select the seller by payment method and price https://local bitcoins.com/buy_bitcoins [ATTENTION] Do not rename encrypted files Do not try to decrypt your data using third party software, it may cause permanent data loss If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files Перевод записки на русский язык: [ЧТО СЛУЧИЛОСЬ] Ваши важные файлы, созданные на этом компьютере, были зашифрованы из-за проблемы с безопасностью Если вы хотите их восстановить, напишите нам на e-mail: admin@zayka.pro Вы должны заплатить за дешифрование в биткоинах. Цена зависит от вашего быстрого ответа нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы. [БЕСПЛАТНАЯ ДЕШИФРОВКА КАК ГАРАНТИЯ] Перед оплатой вы можете отправить нам до 3 файлов для бесплатноЙ дешифровКИ. Обратите внимание, что файлы не должны содержать ценную информацию, и их общий размер должен быть меньше 1 Мб [КАК ПОЛУЧИТЬ БИТКОИНЫ] Самый простой способ купить биткоины - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца по способу оплаты и цене https://local bitcoins.com/buy_bitcoins [ВНИМАНИЕ] Не переименовывайте зашифрованные файлы Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных Если вы не пишете по email 36 часов - ваш ключ будет удален и вы не можете расшифровать свои файлы
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога. Список файловых расширений, подвергающихся шифрованию: Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Файлы, связанные с этим Ransomware: ZAYKA.EXE (ZAYYKA.EXE) <random>.exe _HELP_INSTRUCTION.TXT <random_ID>.txt Расположения: %AppData%\<random>.exe <all_folders>\_HELP_INSTRUCTION.TXT Список открытых RSA-ключей: см. статью на BC
Записи реестра, связанные с этим Ransomware: См. ниже результаты анализов. Сетевые подключения и связи: admin@zayka.pro См. ниже результаты анализов. Результаты анализов: Гибридный анализ >> VirusTotal анализ >>Ещё >> Другой анализ >> Степень распространённости: низкая. Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware (ID as Bitshifter) Write-up, Topic of Support *
Thanks: MalwareHunterTeam Michael Gillespie * *
