BTCWare-Gryphon

Gryphon Ransomware 

BTCWare-Gryphon Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: GRYPHON RANSOMWARE. На файле может быть написано, что угодно.

This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare >> BTCWare-Gryphon 

К зашифрованным файлам добавляется составное расширение по шаблону
.[decr@cock.li].gryphon

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP.txt

Запиской с требованием выкупа также выступает скринлок, встающий обоями рабочего стола, с тем же текстом. [Нет картинки]

Содержание записки о выкупе:
=== GRYPHON RANSOMWARE ===
Your documents, photos, databases and other important files have been encryptedcryptographically strong, without the original key recovery is impossible!
To decrypt your files you need to buy the special software - "GRYPHON DECRYPTER"
Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk.
If you want to restore files, write us to the e-mail: decr@cock.li
In subject line write "encryption" and attach your ID in body of your messagealso attach to email 3 crypted files. (files have to be less than 2 MB)
It is in your interest to respond as soon as possible to ensure the restorationof your files, because we wont keep your decryption keys at our server more thanone week in interest of our security.
Only in case you do not receive a response from the first email addresswithit 48 hours, please use this alternative email adress: decrsup@cock.li
Your personal identification number:
Hj4zGkDR*****
=== GRYPHON RANSOMWARE ===

Перевод записки на русский язык:
=== GRYPHON RANSOMWARE ===
Ваши документы, фото, базы данных и другие важные файлы были криптографически сильно зашифрованы, без оригинального ключа восстановление невозможно!
Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - "GRYPHON DECRYPTER",
Использование других инструментов может привести к повреждению ваших файлов, в случае использования сторонних программ мы не даем гарантий, что полное восстановление возможно, поэтому используйте его на свой страх и риск.
Если вы хотите восстановить файлы, напишите нам на e-mail: decr@cock.li
В строке темы напишите "шифрование" и прикрепите свой ID в теле вашего сообщения, а также приложите к email 3 зашифрованных файла. (файлы должны быть меньше 2 МБ)
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов, потому что мы не будем хранить ваши ключи дешифрования на нашем сервере более недели в интересах нашей безопасности.
Только в том случае, если вы не получите ответ с первого email-адреса за 48 часов, используйте этот альтернативный email-адрес: decrsup@cock.li
Ваш личный идентификационный номер:
=== GRYPHON RANSOMWARE ===

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
 cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
 vssadmin.exe Delete Shadows /All /Quiet
 cmd.exe /c bcdedit.exe /set {default} recoveryenabled No
 bcdedit.exe /set {default} recoveryenabled No
 cmd.exe /c bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
 bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
HELP.txt

Расположения:
\%APPDATA%\<random>.exe
\%APPDATA%\HELP.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: decr@cock.li и decrsup@cock.li
payoff@cock.li и payoff@bigmir.net
chines34@protonmail.ch и oceannew_vb@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 августа 2017:

Расширение: .gryphon
Составное расширение: .[payoff@cock.li].gryphon
Email: payoff@cock.li и payoff@bigmir.net
Записка: HELP.txt
<< Скриншот записки




Обновление от 4 августа 2017:

Расширение: .gryphon
Составное расширение: [chines34@protonmail.ch].gryphon
Email: chines34@protonmail.ch и oceannew_vb@protonmail.com
Записка: !## DECRYPT FILES ##!.txt
<< Скриншот записки
Видеообзор >>




Обновление от 7 августа 2017:
Email: garryhelpyou@qq.com и garrymagic@tutanota.com
Тема на форуме >>
<< Скриншот записки





Обновление от 10 августа 2017:
Статья на BC >>
Расширение: .crypton
Составное расширение: .[gladius_rectus@aol.com   ].crypton
Записка: HELP.txt
Email: gladius_rectus@aol.com
gladius_rectus@india.com 
Результаты анализов: HA+VT
<< Скриншот записки

Обновление от 11 августа 2017:
Расширение: .crypton
Составное расширение: .[macgregor@aolonline.top ].crypton
Email: macgregor@aolonline.top
Результаты анализов: HA + VT
<< Скриншот записки




Обновление от 14 августа 2017:
Пост в Твиттере >>
Расширение: .gryphon
Составное расширение: .[universe1@protonmail.ch].gryphon
Записка: !## DECRYPT FILES ##!.txt
Email: universe1@protonmail.ch и universe11@bigmir.net
Результаты анализов: VT
<< Скриншот записки


Обновление от 14 августа 2017:

Расширение: .gryphon
!## DECRYPT FILES ##!.txt
Email: payfordecrypt@qq.com и crypthelp@qq.com
Составное расширение: .[payfordecrypt@qq.com].gryphon
Тема на форуме >>




Обновление от 15 августа 2017:
Пост в Твиттере >>
Расширение: .gryphon
Составное расширение: .[black.world@tuta.io].gryphon
Email: black.world@tuta.io
Результаты анализов: VT

Обновление от 15 августа 2017:

Расширение: .gryphon
Составное расширение: .[darkwaiderr@tutanota.com].gryphon
Записка: !## DECRYPT FILES ##!.txt
Email: darkwaiderr@tutanota.com и darkwaiderr@gmx.de





Обновление от 21 августа 2017:
Расширение: .crypton
Составное расширение: .[macgregor@aolonline.top ].crypton
Email: macgregor@aolonline.top
Записка: !## DECRYPT FILES ##!.txt
<< Скриншот записки и заш-файлов




Обновление от 26 августа 2017:
Расширение: .gryphon
Составное расширение: .[decrypt24@protonmail.com].gryphon
Email: decrypt24@protonmail.com
Результаты анализов: VT

Обновление от 26 августа 2017:
Пост в Твиттере >>
Расширение: .nuclear
Составное расширение: .[black.world@tuta.io].nuclear
Шаблон: .[<email>].nuclear
Email: black.world@tuta.io
Другой RSA-ключ. 
Записка: %APPDATA%\HELP.hta
<< Скриншот записки
Результаты анализов: HA+VT
См. мою статью BTCWare-Nuclear Ransomware >>

Обновление от 29 августа 2017:
Расширение: .nuclear
Составное расширение: .[asdqwer123@cock.li].nuclear
Шаблон: .[<email>].nuclear
Email: asdqwer123@cock.li

Обновление от 5 сентября 2017:
Расширение: .nuclear
Составное расширение: .[assistance@firemail.cc].nuclear
Email: assistance@firemail.cc
Результаты анализов: VT

Обновление от 11 сентября 2017: 
Расширение: .crypton
Составное расширение: .[macgregor@aolonline.top ].crypton
Email: macgregor@aolonline.top
Записка: !## DECRYPT FILES ##!.txt
Оплата:  0.5 BTC
Результаты анализов: VT
<< Скриншот записки и скриншот файлов (ниже)

Обновление от 25 сентября 2017: 
Расширение: .nuclear
Составное расширение: .[goldwave@india.com]-id-<id>.nuclear
Email: goldwave@india.com
Результаты анализов: VT

Обновление от 18 мая 2018:
Расширение: .gryphon
Составное расширение: .[black.world@tuta.io].gryphon
Email: blackworld@cock.li
Результаты анализов: VT

Обновление от 20 мая 2018:
Расширение: .gryphon
Составное расширение: .[fidel_romposo@aol.com].gryphon
Email: fidel_romposo@aol.com
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BTCWare Gryphon)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Karsten Hahn, Michael Gillespie, GrujaRS
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

IsraBye

IsraBye Ransomware

(фейк-шифровальщик, деструктор)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем показывается вызывающее анти-израильское заявление. Оригинальное название. На файле написано:  israbye.exe. Разработчик: Ahmed. Среда разработки: Visual Studio 2012.

© Генеалогия: выясняется.

К фейк-зашифрованным файлам добавляется расширение .israbye 
На самом деле содержимое файлов перезаписывается анти-израильским сообщением, после чего вернуть файлы, видимо, невозможно. 

Активность этого крипто-вымогателя пришлась на конец июля - начало августа 2017 г. Ориентирован на англоязычных и арабоязычных пользователей, что не мешает распространять его по всему миру. Разработчик ненавидит Израиль и проклинает его в своем послании. 

Запиской с требованием выкупа выступает эпатажный экран блокировки и скринлок, встающий обоями рабочего стола. К курсору прикрепляется курсор-надпись END or ISRAEL.

 

Содержание текста с экрана:
What Happened to My Computer ?
All Your files and data are Fucked For Ever ! 
Can i Recover My Files ?
Sure you can recover your files and guarantee that For Free..! 
When will i recover your files ?
you will recover your files when we recover Palestine, When we recover Al AQSA, When we Recover Our Victims, Our Souls, Our Freedom.
***

Перевод текста на русский язык:
Что случилось с моим компьютером?
Все ваши файлы и данные гребаны навсегда!
Могу ли я вернуть мои файлы?
Конечно, вы можете вернуть свои файлы и гарантированно бесплатно ..!
Когда я смогу вернуть ваши файлы?
Вы вернёте свои файлы, когда мы вернём Палестину, когда мы вернём Эль-Аксу, когда мы вернём наши жертвы, наши души, нашу свободу.
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются, а только перезаписываются. 
Это могут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Данный вредонос модульного типа, т.е. состоит из пяти разных исполняемых файлов. При запуске IsraBye.exe начинает уничтожать файлы на всех подключенных дисках, заменив их содержимое на текстовое сообщение.

Деструктивное сообщение: 
Fuck-israel, [username] You Will never Recover your Files Until Israel disepeare. 
Перевод на русский язык:
*** [username] Вы никогда не вернёте свои файлы, пока Израиль не исчезнет. 

Когда Israbye завершит зачистку данных на всех дисках, он извлечёт 4 файла Cry.exe, Cur.exe, Lock.exe и Index.exe из исполняемого файла IsraBye.exe и запустит их. Каждый из этих файлов выполняет другую функцию, описанную ниже.

Cry.exe сменит обои на рабочем столе на файл wallper.jpg с анти-израильским и пропалестинским сообщением. 

Cur.exe прикрепит к курсору изображение-надпись "END or ISRAEL", которое будет следовать за курсором мыши.  

Lock.exe выполняет три функции. Сначала он ищет процессы procexp64, ProcessHacker, taskmgr, procexp, xns5 и завершает их. Затем он запускает Index.exe, а копирует основной файл Israbye.exe в корень других дисков как файл с именем ClickMe.exe, чтобы распространять вредоносное ПО. 

Index.exe отображает экран блокировки, извлекает звуковой файл source.wav и воспроизводит его. 

При работе вредоноса повреждаются только файлы на рабочем столе и в папке "Загрузки". Файлы в папке "Program Files" остаются нетронутыми. 

Специалисты обнаружили, если создать ложный файл ClickMe.exe в папке %Temp%, то IsraBye падает при первом запуске.

Файлы, связанные с этим Ransomware:
israbye.exe
cry.exe
cur.exe
lock.exe
index.exe
wallper.jpg
wallper.exe
ClickMe.exe
source.wav

Расположения:
%APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\index.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\lock.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\cry.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\cur.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\wallper.exe

IsraBye.exe извлекает cry.exe, cur.exe, lock.exe, index.exe
cry.exe создаёт %TEMP%\wallper.jpg
cry.exe создаёт %TEMP%\wallper.exe
lock.exe создаёт %TEMP%\ClickMe.exe
index.exe создаёт %TEMP%\source.wav

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 8 января 2019:
Пост в Твиттере >>

Пост в Твиттере >>

Файл EXE: israbye.exe (версия 2019 года). 
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (Israbye)
 Write-up, Topic of Support
 Video review

 Thanks: 
 JakubKroustek, Michael Gillespie, Lawrence Abrams
 Andrew Ivanov, Ari Eitan
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Storm

Storm Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Stub.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Hello You Are Hacked Now !! All your personal files have been encrypted ! if you want restore your data you have to pay ! Remember you can't restore your data without our decryptor !!!!
Send mony to my bitcoin: ertyuioppoiuhygtfrdeRFTGYHDEZEFFZEF [Copy]
Contact Me: StormRansomware@gmail.com

Перевод записки на русский язык:
Привет, вы взломаны! Все ваши личные файлы  зашифрованы! Если хотите восстановить свои данные, то вам придется платить! Помните, что вы не сможете восстановить свои данные без нашего дешифратора !!!!
***
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.accdb, .aepx, .class, .docb, .docm, .docx, .dotm, .dotx, .idml, .indb, .indd, .indl, .indt, .java, .jpeg, .m3u8, .mpeg, .potm, .potx, .ppam, .ppsm, .ppsx, .pptm, .pptx, .prel, .prproj, .sldm, .sldx, .xlam, .xlsb, .xlsm, .xlsx, .xltm, .xltx (34 расширения). 
Это документы MS Office, текстовые файлы, базы данных, фотографии, видео и пр.

Файлы, связанные с этим Ransomware:
Stub.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: StormRansomware@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Storm)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam  
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Spongebob

SpongeBob Ransomware

(фейк-шифровальщик, тест-шифровальщик)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Spongebob. На файле написано: KKKryptoLocker.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:выясняется.

Файлы не шифруются. К незашифрованным файлам никакое расширение не добавляется.
В коде замеченs следующие знаки, по совокупности похожие на мордашку SpongeBob: ...;._.;

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком: SPONGEBOB RANSOMWARE 2.0

Содержание текста о выкупе:
WHAT HAPPENED TO MY COMPUTER?
---
Your important files are encrypted.
Many of your documents, photos, videos, databases andother files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files withoutour decryption service.

CAN I RECOVER MY FILES?
---
Sure. We guarantee that you can recover all your files safely and easily. But you dont havemuch time left.
You can decrypt some of your files for free. Try now by clicking <Decrypt>.
But if you want to decrypt all your files, you need to pay.You only have 3 days to submit the payment. AFter that the price will be doubles.Also, if you don't pay in 7 days, you won't be able to recover your files forever. We will have free events for users who are so poor that they couidn't py in 6 months. 

***
---
- Payment is accepted in Bitcoin only. For more information on Bitcoin, click <About Bitcoin>
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy Bitcoins>.
And send the correct amount to the address specified in this window.
After your payment, click <Check Payment>.

Перевод текста на русский язык:
ЧТО С МОИМ КОМПЬЮТЕРОМ?
---
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше не доступны, т.к. они были зашифрованы. Возможно, вы ищите способ восстановить свои файлы, но не тратьте своё время. Никто не может восстановить ваши файлы без службы расшифровки.

МОЖЕТ ЛИ ВОССТАНОВИТЬ МОИ ФАЙЛЫ?
---
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас нет времени.
Вы можете бесплатно расшифровать некоторые ваши файлы. Попробуйте, нажать кнопку <Decrypt>.
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить. У вас есть только 3 дня, для платежа. Скорее всего, цена будет удвоена. Также, если вы не заплатите за 7 дней, вы никогда не сможете восстановить свои файлы. У нас будут бесплатные мероприятия для пользователей, которые так бедны, что не могут заплатить через 6 месяцев.

***
---
- Оплата принимается только в биткойнах. Для получения информации о биткойне нажмите кнопку <About Bitcoin>
Пожалуйста, проверьте текущую цену биткойна и купите несколько биткойнов. Для получения информации нажмите кнопку <How to buy Bitcoins>.
И отправьте правильную сумму по адресу, указанному в этом окне.
После оплаты нажмите кнопку <Check Payment>.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KKKryptoLocker.exe (svchost.exe)

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

ABCLocker

ABCLocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC из записки), а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: abc и ABC Locker. На файле написано: cloudsword.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CloudSword >> ABCLocker

К зашифрованным файлам добавляется расширение: данные не предоставлены. Возможно, должно быть .abc

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: OPEN_TO_UNLOCK_YOUR_FILES.html

Содержание записки о выкупе:
All your files have been encrypted by ABC Locker
All your files have been encrypted with an unique password using AES-256 CBC encryption.
You are able to unlock your files by paying 0.5 Bitcoins (~€249 / $275)
If payment is not made with 5 days the cost of decrypting your files will rise to 1 Bitcoins (~€500 / $550)!
The only way to get your files back is by purchasing the decryption password!
The decryption password will cost 0.5 Bitcoins = S/€249.
You have 5 days before the price increases to $/€500!
Antivirus software will NOT be able to recover your files! The only way to recover your files is by purchasing the decryption password.
On this page you will be able to purchase the bitcoins needed to receive the unique decryption password and decryption software to unlock your files.
After you have paid the requested amount in bitcoins refresh this webpage.
At the bottom of the page and your unique decryption password will appear alongside a download link for the decryption software.
How to buy Bitcoins:
1. Register a bitcoin wallet (optional)
You can either register your own bitcoin wallet or have the bitcoin seller send the bitcoins directly to your address (click here for more information)
2. Purchasing Bitcoins
You need to purchase 0.5 Bitcoins
Below are a couple websites that allow you to purchase bitcoins
• https://bitonic.nl - Purchase Bitcoin with iDeal and MisterCash
• https://www.coinbase.com - Purchase bitcoins with your bank account or credit card
• https://www. litebit.eu - Purchase bitcoins with Sofort Banking / Giropay I iDeal
• https://www.coinjar.com - Purchase Bitcoins with CreditCard / Bank Transfer
• https://btcdirect.eu - Purchase Bitcoins with iDeal / Bancontact / Bank transfer
• http://localbitcoins.com - Purchase bitcoins with a variety of payment methods such as bank transfer, western union, cash, paypal and credit card
• https://www.bitstamp.net - Purchase Bitcoins through bank transfer
• https://anvcoindirect.eu - Purchase Bitcoins with Giropay / Trustpay / iDeal / SEPA / Bancontact / Mistercash
3. Send 0.5 Bitcoins 
4. Confirm your payment
Once you have paid the required amount of bitcoins refresh this webpage
Please note that it can take up to 20 minutes for the payment to be confirmed.
5. Go to http://dw2dzfkweixaskxr.onion.to/abc/  after making full payment and get the tool to decrypt your files and open them again. For help with payment, email abchelper@sigaint.org

Перевод записки на русский язык:
Все ваши файлы были зашифрованы ABC Locker
Все ваши файлы были зашифрованы с помощью уникального пароля с шифрованием AES-256 CBC.
Вы можете разблокировать свои файлы, заплатив 0.5 биткоина (~ € 249 / $ 275)
Если оплата не сделана за 5 дней, стоимость дешифрования ваших файлов возрастёт до 1 биткоина (~ 500 евро / 550 долларов США)!
Единственный способ вернуть ваши файлы - это купить пароль для дешифрования!
Пароль расшифровки будет стоить 0.5 биткоина = $ / € 249.
У вас есть 5 дней до того, как цена возрастет до $ / € 500!
Антивирусное ПО НЕ сможет восстановить ваши файлы! Единственный способ восстановить ваши файлы - это купить пароль для дешифрования.
На этой странице вы сможете приобрести биткоины, нужные для получения уникального пароля для дешифрования и дешифрования, чтобы разблокировать ваши файлы.
После того, как вы заплатили запрошенную сумму в биткоинах, обновите эту веб-страницу.
В нижней части страницы и ваш уникальный пароль для дешифрования появится рядом с ссылкой для загрузки программы для дешифрования.
Как купить биткоины:
1. Зарегистрируйте биткоин-кошелёк (необязательно)
Вы можете зарегистрировать свой собственный биткоин-кошелёк или попросить продавца биткоинов отправить биткоины прямо на ваш адрес (щелкните здесь для получения дополнительной информации)
2. Покупка биткойнов
Вам надо приобрести 0.5 биткоина
Ниже приведены несколько веб-сайтов, которые помогут вам покупать биткоины
• https://bitonic.nl - покупка биткоинов с iDeal и MisterCash
• https://www.coinbase.com - Покупка биткоинов со своим банковским счетом или кредитной картой
• https: // www. Litebit.eu - Покупка биткоинов с помощью Sofort Banking / Giropay I iDeal
• https://www.coinjar.com - Покупка биткоинов с помощью кредитной карты / банковского перевода
Https://btcdirect.eu - покупка биткоинов с помощью iDeal / Bancontact / банковский перевод
• http://localbitcoins.com - Покупка биткоинов с разными способами оплаты, такими как банковский перевод, Western Union, наличные деньги, PayPal и кредитная карта
• https://www.bitstamp.net - покупка биткойнов посредством банковского перевода
• https://anvcoindirect.eu - Покупка биткойнов с помощью Giropay / Trustpay / iDeal / SEPA / Bancontact / Mistercash
3. Отправить 0.5 биткоины
4. Подтвердите платеж
После того, как вы заплатили нужное количество биткоинов, обновите эту веб-страницу
Обратите внимание, что подтверждение платежа может занять до 20 минут.
5. Перейдите по адресу http://dw2dzfkweixaskxr.onion.to/abc/ после полной оплаты и получите инструмент для расшифровки ваших файлов и откройте их снова. Для получения помощи по оплате email abchelper@sigaint.org

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, отключает файервол командами:
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

netsh.exe Firewall set opmode disable

Список файловых расширений, подвергающихся шифрованию:
.001, .1cd, .3fr, .3gp, .7z, .DayZProfile, .ac3, .acc, .accdb, .ai, .ape, .apk, .arch00, .arw, .asp, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bmp, .bsa, .bson, .cas, .cdr, .cer, .cfr, .cpp, .cr2, .crt, .crw, .cs, .css, .csv, .d3dbsp, .das, .dat, .dazip, .db, .db0, .dbf, .dbfv, .dcr, .der, .desc, .divx, .djvu, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .epk, .eps, .epub, .erf, .esm, .exif, .ff, .flac, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .gif, .gzip, .h, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .ibank, .icxs, .ifo, .indd, .iso, .itdb, .itl, .itm, .iwd, .iwi, .java, .jfif, .jpeg, .jpg, .js, .jsp, .kdb, .kdc, .kf, .kwm, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m2v, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .md, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mkv, .mlx, .mov, .mp3, .mp4, .mpeg, .mpg, .mpqge, .mrw, .mrwref, .myd, .ncf, .nef, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .png, .pps, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .pwm, .py, .qbb, .qbw, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .rdf, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sqlite, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tar, .tax, .tif, .tor, .torrent, .txt, .unity3d, .upk, .vdf, .vfs0, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xml, .xxx, .zip, .ztmp (242 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
OPEN_TO_UNLOCK_YOUR_FILES.html
abclocker.exe (cloudsword.exe)
cloudsword.pdb
Windows Update.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://dw2dzfkwejxaskxr.onion.to/abc/
Email: abchelper@sigaint.org
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Intezer анализ >>
ANY.RUN анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ABCLocker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.