Xorist-Hello

Hello Ransomware

Xorist-Hello Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: HELLO. Входит в семейство вариантов, известное как Xorist Ransomware. 

Обнаружения:

DrWeb -> Trojan.Encoder.94

BitDefender -> Trojan.Ransom.AIG

ESET-NOD32 -> A Variant Of Win32/Filecoder.Q

Kaspersky -> Trojan-Ransom.Win64.CryWiper.a

Malwarebytes -> Ransom.Xorist

Microsoft -> Ransom:Win32/Sorikrypt

Rising -> Ransom.Sorikrypt!8.8822 (TFE:dG***

Symantec -> Ransom.CryptoTorLocker

Tencent -> Trojan.Win32.CryptoTorLocker2015.a

TrendMicro -> Ransom_XORIST.SMA

© Генеалогия: Xorist >> Xorist-Hello 

К зашифрованным файлам добавляется расширение .HELLO

Активность этого крипто-вымогателя пришлась на начало и середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Также требования о выкупе содержит экран блокировки (скорее даже диалоговое окно). Контакта для связи нет, требует только биткоины.

Содержание записки о выкупе:
Ooops, your files have been encrypted!
- What Happen to my computer?
Your important files are encrypted
Many of your documents, photos, passwords, databases and other files are no longer accessible because they have been encrypted. 
Maybe you are busy looking for way to recover your files, but do not waste your time. Nobody can recover your files without our decryption key
- Can i Recover My Files?
Sure.We guarantee that you can recover all your files safely and easily
But You have not so enough time.
So If you want to decrypt all your files, you need to pay.
You only have 12H to submit the payment.After that price will be doubled Also,
If the transaction is not completed within 24 hours your files will be permanently deleted.
How To buy bitcoins https://www.bitcoin.com/buy-bitcoin
And Send the the correct amount to this address 0.05 BTC 17pXroP4MruitJzpTa88FAPAGD5q5QAPzb

Перевод записки на русский язык:
Упс, ваши файлы были зашифрованы!
- Что случилось с моим компьютером?
Ваши важные файлы зашифрованы
Многие из ваших документов, фотографий, паролей, баз данных и других файлов теперь не доступны, т.к. они были зашифрованы.
Возможно, вы ищите способы восстановления ваших файлов, но не тратьте впустую свое время. Никто не может восстановить ваши файлы без нашего ключа дешифрования
- Могу ли я восстановить мои файлы?
Несомненно. Мы гарантируем, что вы сможете безопасно и легко восстановить все ваши файлы
Но у вас недостаточно времени.
Итак, если вы хотите расшифровать все ваши файлы, вам нужно заплатить.
У вас есть только 12 часов, чтобы отправить платеж. После этого цена будет удвоена. Кроме того,
Если транзакция не будет завершена в течение 24 часов, ваши файлы будут удалены навсегда.
Как купить биткойны https://www.bitcoin.com/buy-bitcoin
И отправьте правильную сумму по этому адресу 0.05 BTC 17pXroP4MruitJzpTa88FAPAGD5q5QAPzb


Зашифрованные файлы получают значки со щитом. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt - записка с требованиями выкупа; 
iji.exe - исполняемый файл вымогателя. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 17pXroP4MruitJzpTa88FAPAGD5q5QAPzb
См. ниже результаты анализов.

Результаты анализов:
Hybrid анализ >>

VirusTotal анализ >>

Intezer анализ >>

Triage анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Xorist)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Thyrex
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Mobef-Kriptoki

Mobef-Kriptoki Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email, чтобы узнать, как уплатить выкуп и вернуть файлы. Оригинальное название: не указано. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Mobef >> Mobef-Kriptoki

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на август-сентябрь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: PLEASEREAD.THISMSG

Содержание записки о выкупе:
ID:491942
PC: computer
USER: admin
=======
hello
i have encrypted all your files.
email me to buy the decrypter
gaetano.olsen ---@--- protonmail ---.--- com
if you don't get a reply, check your spam and junk folders first.
if there's nothing there, then register your own protonmail email and try again.
if still no answer or if you stop getting replies from the main email,
use these backup emails: gaetano.olsen ---@---: inbox.lv, india.com, pobox.sk
and please keep this encryption log file: C:\Windows\491942.log

Перевод записки на русский язык:
ID:491942
PC: computer
USER: admin
=======
привет
Я зашифровал все ваши файлы.
напишите мне, чтобы купить decrypter
gaetano.olsen ---@--- protonmail ---.--- com
если вы не получили ответ, сначала проверьте свои папки Spam и Junk.
если там ничего нет, зарегистрируйте свой собственный email на protonmai и повторите попытку.
если по-прежнему нет ответа или если вы не получите ответа с основного email, то используйте эти резервные email: gaetano.olsen ---@---: inbox.lv, india.com, pobox.sk 
и сохраните этот лог-файл шифрования: C:\Windows\491942.log

Технические детали

Распространяется с помощью эксплойтов, перепакованных и заражённых инсталляторов, главным образом выявляются уязвимые серверы и при помощи утилиты для работы по протоколу RDP атакуется 3389 порт. 

Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Известные email вымогателей: 
gaetano.olsen@protonmail.com
gaetano.olsen@inbox.lv
gaetano.olsen@india.com
gaetano.olsen@pobox.sk


После шифрования удаляются тома теневых копий файлов и точки восстановления системы, в том числе на подключенных дисках. Есть также сообщения, что удаляются все имеющиеся резервные копии и резервные копии NAS или внешних накопителей. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KRIPTOKI.DONOTDELETE - содержит ключ 
PLEASEREAD.THISMSG - содержит текст
491942.log - список зашифрованных файлов

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Mobef)
 Write-up, Topic of Support + post
 * 

 Thanks: 
 (victim in the topics of support)
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Ogonia CryptoMix

Ogonia Ransomware

Ogonia CryptoMix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Ogonia

К зашифрованным файлам добавляется расширение .OGONIA

Примеры зашифрованных файлов:
F06C3C509054X0B7D28ZCDDBB17087B9C3E.OGONIA
A6ACBE4A01F98E74B5614ED6032872E8.OGONIA
12C38F942167DA7AC0188D042296BEEE.OGONIA

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
YOUR TEXT:
ALL YOU FILES CRYPTED
FOR DECRYPT WRITE TO : TankPolice@aolonline.top
DECRYPT-ID-15ca172M-940A-R2CE-8860-Lc896f195c50 number

Перевод записки на русский язык:
ВАШ ТЕКСТ:
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
ДЛЯ ДЕШИФРОВАНИЯ ПИШИТЕ НА: TankPolice@aolonline.top
DECRYPT-ID-15ca172M-940A-R2CE-8860-Lc896f195c50 номер

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
TankPolice@aolonline.top
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
Azer, Noob, Exte, Pirate, CK, Zayka, Zero, DG - июль 2017
Ogonia, Error, Empty, Arena - август 2017
Shark  - сентябрь 2017
x1881, Coban - октябрь 2017
XZZX, 0000, Test - ноябрь 2017
WORK, FILE, Tastylock - декабрь 2017
SERVER, System - январь 2018
MOLE66 - март 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 

 Thanks: 
 Marcelo Rivero‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Diamond

Diamond Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 или 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Diamond Computing Encryption. На файле написано: marlucos.exe. Разработчик: marlucos

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .<random[a-z0-9]{6}>
Примеры:
.a3d4b5
.y7342g
.o9dfgh

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _READ_IT_FOR_RECOVER_FILES.html

Содержание записки о выкупе:
What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without the decryption key.
Can I recover my files?
Sure. We guarantee that you can recover all your files safely and easily you only need is pay 0.1 bitcoins (Approximate value in dollars U$$ 300)
How do I Pay?
Payment is accepted in Bitcoin only.
You buy bitcoins inhttp://localbitcoin.com or put on google search on your country buy bitcoin and you verify the locations for buy Bitcoins in your location.
After the payment confirmed all your files is decrypted automatically and you recover all your files are encrypted now. The address for make the payment is 1L6PpSehR8V7YsZTc3L3F5RwbWoNma1nno
For automatic recover all your files send 0.1 bitcoin to 1L6PpSehR8V7YsZTc3L3F5RwbWoNma1nno

Перевод записки на русский язык:
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов больше не доступны, т.к. они были зашифрованы. Возможно, вы ищете способ восстановить свои файлы, но не тратьте свое время. Никто не сможет восстановить ваши файлы без ключа дешифрования.
Могу ли я восстановить файлы?
Конечно. Мы гарантируем, что вы можете восстановить все свои файлы безопасно и легко, вам нужно только платить 0.1 биткоина (Примерное это равно 300 долларам)
Как мне оплатить?
Оплата принимается только в биткойнах.
Вы покупаете биткоины: http://localbitcoin.com или ищете в Google по вашей стране, покупайте биткоины, и проверяете места для покупки биткоинов в вашем регионе.
После подтверждения оплаты все ваши файлы дешифруются автоматически, и вы восстанавливаете все свои файлы, зашифрованные сейчас. Адрес для оплаты: 1L6PpSehR8V7YsZTc3L3F5RwbWoNma1nno
Для автоматического восстановления всех файлов вы отправьте 0.1 биткойна на 1L6PpSehR8V7YsZTc3L3F5RwbWoNma1nno

Примечание
Согласно анализу, проведенному Лоуренсом Адамсом, автоматическое восстановление - это обман, вымогатели не узнают, кто заплатил выкуп. Потому уплата выкупа бесполезна!!! 
Для дешифровки обращайтесь к Майклу Джиллеспи через Твиттер.  

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
marlucos.exe
_READ_IT_FOR_RECOVER_FILES.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***controlek01.asia/mariconets.exe***
BTC: 1L6PpSehR8V7YsZTc3L3F5RwbWoNma1nno
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 xXToffeeXx
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Balbaz

Balbaz Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: BALBAZ. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Balbaz 

К зашифрованным файлам добавляется расширение .WAmarlocked

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
This computer has been hacked
Your personal files have been ecrypted. Send me BTC or food to get decryption passcode.
After that, you'll be able to see your beloved files again.
With love... Hidden Tear Project :')

Перевод записки на русский язык:
Этот компьютер был взломан
Ваши личные файлы были зашифрованы. Пошлите мне BTC или еду, чтобы получить код доступа к расшифровке.
После этого вы сможете снова увидеть свои любимые файлы.
С любовью ... Проект Hidden Tear : ')

Другим информатором выступает экран блокировки:

Содержание текста с экрана:
Your Personel Data Are Encrypted!
OooPs, Your Important Files Are Encrypted.
If you see this text, but dont see the "Balbaz Decrypt0r" window, then your Antivirus removed the Decrypt software or you deleted it from your computer.
If you need your files you have to run the decrypt software.
Please find an application file named "@balbazDecryptor@.exe" in any folder or restore from the antivirus quarantine.
Run and follow the instructions !!
-
Send 200$ worth of bitcoin to this adress:
-
Private Key Will BE Destroyed on: 7 Days
-
Time LEFT: 54:12:54

Перевод текста на русский язык:
Ваши персональные данные зашифрованы!
Упс, ваши важные файлы зашифрованы.
Если вы видите этот текст, но не видите окно "Balbaz Decrypt0r", то ваш Антивирус удалил программу дешифрования или вы удалили его с компьютера.
Если вам нужны ваши файлы, вам нужно запустить программу дешифрования.
Найдите файл приложения с именем "@balbazDecryptor@.exe" в любой папке или восстановите его из антивирусного карантина.
Запустите и следуйте инструкциям!
-
Пошлите биткойны на 200$ на этот адрес:
-
Закрытый ключ будет уничтожен через: 7 дней
-
Осталось времени: 54:12:54

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (фальшивый PDF), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
hidden-tear.exe
@balbazDecryptor@.exe

Расположения:
Desktop\\READ_IT.txt
Desktop\\READ_IT.txt.WAmarlocked 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Hells, Uefi

Hells Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $350 в BTC, чтобы вернуть файлы. Оригинальное название проекта: HellsRansomware. На файле обоев упоминается как Uefi Ransomware.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской о выкупе выступает изображение, встающее обоями рабочего стола. 

Должна быть ещё записка с требованием выкупа называется decrypt.txt, но пока в недоработанной версии она не отбрасывается. 

Содержание записки о выкупе:
Your Files Are Encrypted By Uefi Ransomware!
In Order To Get Your Files Back
Please send 350$ worth of Bitcoin to this address:
1Hp8VBKehCPBvArm6VRUWzPCte3EgdjYiY
Refer to decrypt.txt for further instructions.

Перевод записки на русский язык:
Ваши файлы зашифрованы Uefi Ransomware!
Чтобы получить назад свои файлы
Присылайте 350$ на биткоин-адрес:
1Hp8VBKehCPBvArm6VRUWzPCte3EgdjYiY
Больше информации см. в файле decrypt.txt.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Пока файлы не шифруются, но в доработанной версии это вполне могут быть: документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RADIATION.bin - двоичный файл вымогателя; 
decrypt.txt - не отбрасывается, но содержится в двоичном файле;
memes.jpg - изображение для обоев
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as HellsRansomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Shutdown57

Shutdown57 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные веб-сайтов и веб-серверов с помощью AES-128, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Indonesian (2017) Ransomware >> Shutdown57 

К зашифрованным файлам добавляется расширение .shutdown57

Активность этого крипто-вымогателя пришлась на начало августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа размещается в директории сайта и замещает его домашние страницы. 

Содержание записки о выкупе:
Greetings
This Website Has Been Encrypted !!!
This Website's all files has been encrypted that's why you're seeing this message.
You've to contact with me to get back your file's.
Please Don't try to decrypt the file's that could may lead to permanent data lose.
Don't panic Your files are just locked not deleted, I'll give you the Decryption key after recieve the Email
contact with me
greenvirus707@gmail.coin
Encrypted 8y v1ru5

Перевод записки на русский язык:
Приветствую
Этот сайт зашифрован !!!
Все файлы этого Сайта зашифрованы, поэтому вы видите это сообщение.
Вы должны связаться со мной, чтобы вернуть свои файлы.
Не пытайтесь расшифровать файлы, т.к. это может привести к потере данных.
Не паникуйте. Ваши файлы просто заблокированы, а не удалены. Я дам вам ключ дешифрования после получения email-письма
Связь со мной
greenvirus707@gmail.coin
Encrypted 8y v1ru5


В директории взломанного сайта также оставляется специальный файл shutdown57.php, который используется злоумышленниками как для инфекции, так и для дезинфекции.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
shutdown57.php

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
greenvirus707@gmail.com
ransomware@shutdown57.today
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Shutdown57)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie 
 Daniel Gallagher‏ 
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.