HelpYemen, RobinHood

HelpYemen Ransomware 

RobinHood Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 5 BTC, чтобы вернуть файлы. Мошенники прикрылись именем Робин Гуда, требуют деньги якобы в помощь йеменцам. Оригинальное название написано на файле, как подпись: Robinhood. Инфорация о версии: Robinhood 1.0.0.0

Обнаружения: 
DrWeb -> Trojan.Encoder.10598
BitDefender -> Trojan.GenericKD.5745716

© Генеалогия: Генеалогия: HiddenTear >>  RobinHood (HelpYemen)

Изображение - это только логотип статьи

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на конец июля - начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе: 
Help Yemen!!!
Bin Salman of Saudi Arabia is Killing poor and innocent people of Yemen by bombing, creating famine and disease!
You as a saudian or a supporter of their activities, are partner of his homicide, so you have been subjected to a ransomware attack and must accept one of the following:
a) Giving up all your information.
b) Pay five Bitcoins to help Yemeni people.
bitcoin address = 1ENn1BekzKXBobGuAFE1Yrin3e3vBjUAQH and send transaction link to:
decrypter.fi1es@gmx.com
c) use Tweeter to condemn Bin Salman for his crimes and ask him to stop the war against Yemen and make 100 users to retweet.
You have only 72:00 hours left.
your ID=*****
RobinHood

___ *Слово Tweeter написано с ошибкой. 

Перевод записки на русский язык: 
Помогите Йемену !!!
Бен Салман из Саудовской Аравии убивает бедных и невинных людей в Йемене бомбами, создавая голод и болезни!
Вы, как саудит или сторонник их деятельности, являетесь партнером своего убийства, поэтому вы подверглись нападению Ransomware и должны принять одно из следующих:
A) Отказаться от всей вашей информации.
B) Заплатить пять биткоинов, чтобы помочь йеменцам.
Bitcoin-адрес = 1ENn1BekzKXBobGuAFE1Yrin3e3vBjUAQH и отправить ссылку на транзакцию:
decrypter.fi1es@gmx.com
C) использовать Твитер для осуждения Бен Салмана за его преступления и попросить его прекратить войну против Йемена и сделать ретвиты 100 пользователям.
У вас осталось всего 72 часа.
Ваш ID = *****
Робин Гуд

Дублирует сообщение о выкупе скринлок, встающий обоями рабочего стола:

Содержание текста о выкупе:
HELP YEMEN
Bin Salman of Saudi Arabia is Killing poor and innocent people of Yemen by bombing, creating famine and disease!
You as a Saudian or a Supporter of their activities, are partner of his homicide. So you have been subjected to a ransomware attack and must accept one of the following:
a) Giving up all your information.
b) Pay five Bitcoins to help Yemeni people.
bitcoin address = 1ENn1BekzKXBobGuAFE1Yrin3e3vBjUAQH
and send transaction link to: decrypter.files@gmx.com
c) Use Tweeter to condemn Bin Salman for his crimes and ask him to stop the war against Yemen and make 100 users to retweet.
You have only 72:00 hours left.
Robin Hood

Перевод текста на русский язык:
ПОМОГИТЕ ЙЕМЕНУ
Бен Салман из Саудовской Аравии убивает бедных и невинных людей в Йемене бомбами, создавая голод и болезни!
Вы, как саудит или сторонник их деятельности, являетесь партнером его убийств. Таким образом, вы подверглись атаке Ransomware и должны принять одно из следующих:
A) Отказаться от всей вашей информации.
B) Оплатить пять биткойнов, чтобы помочь йеменцам.
Биткойн-адрес = 1ENn1BekzKXBobGuAFE1Yrin3e3vBjUAQH
И отправить ссылку на транзакцию: decrypter.files@gmx.com
C) использовать Твитер для осуждения Бен Салмана за его преступления и попросить его прекратить войну против Йемена и сделать ретвиты 100 пользователям.
У вас осталось всего 72 часа.
Робин Гуд

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


➤ Пытается изменить настройки системных сертификатов, добавить или заменить сертификаты. 
➤ UAC в Windows 7 не обходит. Требуется разрешение на запуск. Но даже при полученном разрешении запуска или при отключенной защите UAC потом вылетает с ошибкой. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Robinhood.exe
READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: syrian223.000webhostapp.com 
Email: decrypter.files@gmx.com
BTC: 1ENn1BekzKXBobGuAFE1Yrin3e3vBjUAQH
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  
VirusTotal анализ >>  VT+
Intezer анализ >>
ANY.RUN анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri‏
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Crystal

Crystal Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: CRYSTAL и Multi Client. На файле написано: Multi Client.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .CRYSTAL

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: [нет данных]
Запиской с требованием выкупа выступает экран блокировки: [нет данных]
***

Содержание записки о выкупе: [нет данных]

Перевод записки на русский язык: [нет данных]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
S5SCm.exe
HORVQJ4v.exe

Расположения:
%APPDATA%\S5SCm.exe
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\HORVQJ4v.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Crystal)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

LockBox

LockBox Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: LockBox. На файле написано: data.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширения:
.trevinomason1@mail.com.vsunit
.trevinomason1@mail.com.vsunit2

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: [не указано]

Содержание записки о выкупе:
We found that all of your files are encrypted with AES-256 algorithm.
Fortunately, we can help you decrypt your files.
To help you, you must write a message to us on our email: trevinomasonl@mail.com.
In the message, you must write your PERSONAL KEY, which is written at the end of this manual, and you must also attach no more than 3 encrypted files of no more than 2 mb each.
If you didn't receive a reply within 24 hours after your message, please duplicate your message by email: salvatoreolsond598d@gmail.com
If after 24 hours you still have not received an answer, you need to register a tor-email on link http://torbox3uiot6wchz.onion.to or http://torbox3uiot6wchz.onion.gq
And write a message to the tor-mail: trevincmasonl@torbox3uiot6wchz.onion
ATTENTION! The message must be sent from the tor-email, otherwise it will not be delivered and will not be read by us.
Also you can register tor-email at the link http://torbox3uiot6wchz.onion (this link can only be opened in the tor browser https://www.torproject.org/)
----PERSONAL KEY----

Перевод записки на русский язык:
Мы обнаружили, что все ваши файлы зашифрованы с алгоритмом AES-256.
К счастью, мы можем помочь вам расшифровать ваши файлы.
Чтобы помочь вам, вы должны написать нам письмо по email: trevinomasonl@mail.com.
В сообщении вы должны написать свой PERSONAL KEY, который написан в конце этого руководства, и вы также должны прикрепить не более трех зашифрованных файлов объемом не более 2 мб каждый.
Если вы не получили ответ в течение 24 часов после вашего письма, дублируйте свое сообщение по email: salvatoreolsond598d@gmail.com
Если после 24 часов вы все равно не получили ответа, вам нужно зарегистрировать Tor-email по ссылке http://torbox3uiot6wchz.onion.to или http://torbox3uiot6wchz.onion.gq
И напишите сообщение на tor-mail: trevincmasonl@torbox3uiot6wchz.onion
ВНИМАНИЕ! Сообщение должно быть отправлено из почты Tor, иначе оно не будет доставлено и не будет прочитано нами.
Также вы можете зарегистрировать Tor-email по ссылке http://torbox3uiot6wchz.onion (эту ссылку можно открыть только в Tor-браузере https://www.torproject.org/)
---- PERSONAL KEY ----

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Написан на Delphi. Использует mORMot framework. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
data.exe
<random>.exe
bat4850245.bat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
trevinomason1@mail.com
salvatoreolsond598d@gmail.com
xxxx://torbox3uiot6wchz.onion.to
xxxx://torbox3uiot6wchz.onion.gq
xxxx://trevinomason1@torbox3uiot6wchz.onion
xxxx://www.schneier.com/***
xxxx://www.movable-type.co.uk/***
xxxx://tools.ietf.org/html/***
xxxx://www.ietf.org/***
xxxx://csrc.nist.gov/***
xxxx://trevinomason1@torbox3uiot6wchz.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 9 сентября 2017:
Пост в Твиттере >>
Расширение: .trevinomason1@mail.com.vsunit
Email: trevinomason1@torbox3uiot6wchz.onion
trevinomason1@mail.com
Результаты анализов: VT

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LockBox)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Это 700-й пост блога!!!

TPS1.0

TPS1.0 Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: TPS1.0. На файле написано: TPS1.0.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Ooops, your files have been encrypted!
Your important files are encrypted.
Many of your documents, photos, video, databases and other files are no longer accessible because they have encrypted. Maybe you can recover your files without our decryption service.
Can I Recover My Files ?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
You can decrypt some of your files for free. Try now by clicking <Decrypt>.
But if you want to decrypt some of your files, you need to pay.
Tou only have 3 days to submit the payment. After that the price will be doubled.
Also, if you don't pay in 7 days, you won't be able to recover your files forever.
We will have free events for users who are so poor that they couldn't pay in 6 months.
How Do I Pay ?
Payment is accepted in Bitcoin only. For more information, click <About bitcoin>.
Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.
And send the correct amount to the adress specified in window.
After your payment click <Check Payment>. Best time to check: 9:00am - 11:00am
GMT from Monday to Friday.
Once the payment is checked, you can start decypting your files immediately.

Перевод записки на русский язык:
Упс, ваши файлы были зашифрованы!
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше не доступны, т.к. они зашифрованы. Возможно, вы можете восстановить свои файлы без нашей службы расшифровки.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас мало времени.
Вы можете бесплатно расшифровать некоторые ваши файлы. Попробуйте, нажать кнопку <Decrypt>.
Но если вы хотите расшифровать некоторые из ваших файлов, вам нужно заплатить.
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите за 7 дней, вы не сможете восстановить свои файлы никогда.
У нас будут бесплатные мероприятия для пользователей, которые настолько бедны, что не могут заплатить через 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткойнах. Чтобы получить больше информации нажмите кнопку <About bitcoin>.
Пожалуйста, проверьте текущую цену биткойна и купите несколько биткойнов. Для получения дополнительной информации нажмите <How to buy bitcoins>.
И отправьте правильную сумму в адрес, указанный в окне.
После вашего платежа нажмите <Check Payment>. Лучшее время для проверки: 9:00 - 11:00 GMT с понедельника по пятницу.
Как только платеж будет проверен, вы можете сразу начать депиляцию файлов.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует графический шаблон WannaCry.

Список файловых расширений, подвергающихся шифрованию:
Пока не шифрует, но в будущем вполне может быть  нацелен ан следующие типы файлов: 
документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 
Делайте резервные копии, используйте антивирусы класса Internet Security.

Файлы, связанные с этим Ransomware:
TPS1.0.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

RSA2048Pro

RSA2048Pro Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA, а затем требует связаться по email с вымогателями, чтобы вернуть файлы. Написан на C#. Оригинальное название: не указано. На файле написано: enbild.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: RSA2048Pro > Pulpy, Rozlok 

К зашифрованным файлам добавляется расширение .aes

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Instruction.txt

Содержание записки о выкупе:
Hello! Your files have been automatically protected using RSA-2048 to prevent any possible case of identity theft, this is for your own security. To resolve this issue kindly contact us on by email rsa2048pro@unseen.is

Перевод записки на русский язык:
Привет! Ваши файлы автоматически защищены с RSA-2048 для предотвращения возможной кражи личных данных, для вашей безопасности. Для решения проблемы пишите нам на email: rsa2048pro@unseen.is

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, заражённых сайтов автомобильной тематики, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Примечательно, что сначала шифрует файлы, написанные за последние 3 месяца. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
enbild.exe
Instruction.txt
VID484727190.exe

Расположения:
\Desktop\ -> Instruction.txt
\User_folders\ -> Instruction.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://files.mykoleso.com/Infected With Malware
xxxx://files.mykoleso.com/431f30824ef734dcd8d2dbbcddbbeb80.jpg.{EXE}
xxxxs://whoer.net/download/whoer.exe
Email: rsa2048pro@unseen.is
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


Примечание 1 (подробности в статье):
1) Шифрование: 
Генерирует открытые и закрытые RSA-ключи.
Генерирует случайное число как вход (пароль) для генерации AES-ключа.
Шифрует файлы, используя вновь созданного AES-ключ.
Шифрует AES-ключ с открытым RSA-ключом.
Добавляет зашифрованный AES-ключ в зашифрованный файл.

2) Дешифрование: 
Находит зашифрованный файл.
Находит файл для зашифрованного AES-пароля.
Считывает из памяти зашифрованный пароль для AES-ключа.
Использует закрытый RSA-ключ для дешифрования AES-пароля.
Использует простой текст этого пароля как вход для AES-дешифрования.

-----

Обновление от 9 апреля 2018:
Пост в Твиттере >>
Расширение: .aes
Email: morghoolius-valaar@protonmail.com
Файл: enbild.exe
Также используются  названия: ShiOne, Pulpy & Rasoon
Содержание записки: 
Hello. There are vulnerabilities detected on your server. All your files are encrypted. For information on decoding, please write to the e-mail morghoolius-valaar@protonmail.com
Результаты анализов: VT

Обновление от 11 апреля 2018:
Пост в Твиттере >>
Email: gennadiybukin@tutanota.com
pavlikmorozov@india.com
Содержание записки:
Your files are encrypted with a special key. No one will help you, only the key that can be purchased from us. I recommend to write faster, otherwise the price will grow as a key.
gennadiybukin@tutanota.com pavlikmorozov@india.com
Результаты анализов: VT

Обновление от 17 мая 2018:
Расширение: .aes
Записка: Instruction.txt
Файл: enbild.exe
Результаты анализов: VT

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as RSA2048Pro)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Sifreli 2017

Sifreli 2017 Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует купить пароль, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Sifreli 2014 > Sifreli 2017 > Sifreli 2019

К зашифрованным файлам добавляется расширение .sifreli 

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на турецкоязычных пользователей, что не мешает распространять его по всему миру. 
В 2014 г. был известен вымогатель с таким же названием, возможны родство или имитация. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
!!! SİSTEMİNİZ HACKLENDI!!!
Merhabalar,
Ben sistem açıklarını araştırıp bulan ve bu şekilde para kazanan bir sistem mühendisiyim.
Şirketinizin sistemlerinde bir açık buldum ve sisteminizi hackledim.
Şirketinizle ilgili bütün bilgilerinizi ele geçirdim ve sisteminizdeki ayrıca ağınızdaki tüm verileri şifreledim. Şayet bu bilgileri geri almak isterseniz ve şifreyi satın almak için benimle iletişime geçiniz.
e-mail: muhendis@mail.ua
Aksi taktirde ele geçirilen bilgiler internet ortamında yayınlanacaktır.
***
Encrypted Session Key:
A7198E2418228817B96F8(85F228C4(FD1014EF4E06F8589F5236ADE D28E34 F4574838F61CF9352ADE55777539007D62729A7B8CF17DD54E07DD56E7867A6413ABF8295D8C4F
***

Перевод записки на русский язык:
!!! ТВОЯ СИСТЕМА ВЗЛОМАНА !!!
Привет всем,
Я системный инженер, исследую системы и получаю деньги за работу.
Я нашел уязвимую систему в вашей компании, и я взломал вашу систему.
Мы захватили всю информацию о вашей компании, и я также шифровал все данные по сети в вашей системе. Если вы хотите получить эту информацию, то, пожалуйста, свяжитесь со мной, чтобы купить пароль.
Email: muhendis@mail.ua
В противном случае захваченная информация будет опубликована в Интернете.
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
<txt_file>.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: muhends@mail.ua
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up (2014), Topic of Support
 * 

 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FCP

FCP Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем сообщает, как вернуть файлы. Оригинальное название: FCPRansomware. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется. Файлы только переименовываются. 
Примечательно, что собственный декриптер возвращает файлы в нормальное состояние. 

Активность этого крипто-вымогателя пришлась на конец июля 2017 г. Ориентирован на китайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME_HELP_ME.txt
Другим информатором жертв выступает экран блокировки, где написан текст на китайском и английском:

Содержание записки о выкупе:
Ooops,your important files have been encrypted!
... Here the text is written in Chinese ...
Is the content of your files not readable? It is normal, because your important files have been encrypted by the "FCP Ransomware". It means your files are NOT DAMAGED! Your files are just encrypted. From now it is not possible to use your files until they will be decrypted. The only way to decrypt your files safely is use special decryption tool "FCP Decryptor". Please wait for "FCP Decryptor" to start automatically. If "FCP Decryptor" does not start automatically, open "FCP Decryptor" on the desktop.

Перевод записки на русский язык:
Упс, ваши важные файлы были зашифрованы!
... Здесь текст написан на китайском языке ...
Содержимое ваших файлов недоступно для чтения? Это нормально, потому что ваши важные файлы были зашифрованы "FCP Ransomware". Это значит, что ваши файлы НЕ ПОВРЕЖДЕНЫ! Ваши файлы просто зашифрованы. Пока файлы не будут дешифрованы, использовать файлы невозможно. Единственный способ безопасного дешифрования файлов - использовать специальный инструмент дешифрования "FCP Decryptor". Подождите, пока "FCP Decryptor" запустится автоматически. Если "FCP Decryptor" не запускается автоматически, откройте "FCP Decryptor" на рабочем столе.

Окна декриптера

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_ME_HELP_ME.txt
FCPRansomware.exe
FCPDecryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as FCPRansomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 S!Ri
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.