Error CryptoMix

Error Ransomware

Error CryptoMix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует связаться по email, что бы уплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: Golf. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Error ⇔ Empty

К зашифрованным файлам добавляется расширение .ERROR

Примеры зашифрованных файлов: 
36C25A08104EA9E6B8B1F4AC14CC8926.ERROR
60D5DA5245B33BEC58912A3F4A562010.ERROR
633F8C4606BE68F4DB9DD0B30B7F45EC.ERROR

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
error01@msgden.com, 
error02@webmeetme.com
error03@protonmail.com
We will help You as soon as possible!
DECRYPT-ID-16da203M-861A-R3CE-5372-Lb766e168c33 number

Перевод записки на русский язык:
Привет!
Все Ваши данные зашифрованы!
Для подробной информации отправьте нам email с Вашим ID номером
error01@msgden.com, 
error02@webmeetme.com
error03@protonmail.com
Мы поможем Вам как можно скорее!
DECRYPT-ID-16da203M-861A-R3CE-5372-Lb766e168c33 number

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Выполняет деструктивные команды:
cmd.exe /C sc stop VVS
cmd.exe /C sc stop wscsvc
cmd.exe /C sc stop WinDefend
cmd.exe /C sc stop wuauserv
cmd.exe /C sc stop BITS
cmd.exe /C sc stop ERSvc
cmd.exe /C sc stop WerSvc
cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Расположения:
C:\ProgramData\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: error01@msgden.com
error02@webmeetme.com
error03@protonmail.com 
См. ниже результаты анализов.

Связанные публичные ключи:
См. статью на сайте BC. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
Azer, Noob, Exte, Pirate, CK, Zayka, Zero, DG - июль 2017
Ogonia, Error, Empty, Arena - август 2017
Shark  - сентябрь 2017
x1881, Coban - октябрь 2017
XZZX, 0000, Test - ноябрь 2017
WORK, FILE, Tastylock - декабрь 2017
SERVER, System - январь 2018
MOLE66 - март 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer, Lawrence Abrams
 Michael Gillespie
 *
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

MoonCryptor

MoonCryptor Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует заплатить за 20 минут, чтобы вернуть файлы. Оригинальное название: MoonCryptor. На файле написано: MoonCryptor.exe. Разработчик: Timmy.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .fmoon

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
MOON DECRYPTOR
WHAT HAPPENED ???
Oops all your data are encrypted !!
This is a ransomware AES 256 + RS A 1024!! Look at Wikipedia for morę informations
Please pay before 20 minutes oryour datalll be lost forever. I'll delete a file per minutę after!
Copy and past this link in Internet Explorer or Firefox :
http://10.10.3.1/panel/decipher.php
and enter your informations :
Your UUID :
Encrypted key   iBtSvjYAVWaJslcc4Hn/nMIMrg+bUgA0W4g***
If you obtain your passord, take it here and click on RECOVER
button [RECOYER]

Перевод текста на русский язык:
MOON DECRYPTOR
ЧТО СЛУЧИЛОСЬ ???
Все ваши данные зашифрованы!
Это выкуп AES 256 + RS A 1024! Посмотрите в Википедии для подробную информации
Пожалуйста, оплатите за 20 минут или вы потеряете навсегда. Я удалю файл минутой позже!
Скопируйте и пройдите по этой ссылку в Internet Explorer или Firefox:
xxxx://10.10.3.1/panel/decipher.php
И введите информацию:
Ваш UUID:
Ключ шифрования iBtSvjYAVWaJslcc4Hn / nMIMrg + bUgA0W4g ***
Если вы получите свой пароль, вставьте его здесь и нажмите кнопку RECOVER
кнопка [RECOYER]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MoonCryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Файлы можно дешифровать!!! 
Вам поможет Майкл Джиллеспи. 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MoonCryptor)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

ClicoCrypter

ClicoCrypter Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выполнить условия, чтобы вернуть файлы. Оригинальное название: ClicoCrypter.

© Генеалогия: ClicoCrypter > ClicoCrypter-2

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на польскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READMYFIRST.info
Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста о выкупе:
Wszystkie twoje pliki zostały zaszyfrowane. Aby je odzyskać oplac abonament ADB/TVR na najblizesz dzisiec lat. Nastepnie wejdź na stoi i krzyknij "JESTEM KRÓLEM ZWIERZĄT. Twoje pliki zostana przywrocone.
Masz na to 15 minut
KLUCZ SZYFRUJĄCY:
019bc94b0fb7f50d7b9379b3aaf09530de951***

Перевод текста на русский язык:
Все ваши файлы зашифрованы. Для того, чтобы восстановить их, нужна платная подписка ADB/TVR на ближайшие 10 лет. Затем подойти к стендам и кричать "Я король зверей". Ваши файлы будут восстановлены.
У вас 15 минут
Ключ шифрования:
019bc94b0fb7f50d7b9379b3aaf09530de951***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (фальшивый PDF-файл - PDF.EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READMYFIRST.info
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.clico.pl
www.epg.org.pl
nfsjfnsdnfoeitpfsdfsd.onion
fdslkfsdkjfsjdkfjksdiewjrjkfjsdkfjd.org.pl
fdskjfsdkjfkdjsf.onion
fsdlkfsdkljfksjd.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ClicoCrypter)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Anubi NotBTCWare

Anubi NotBTCWare Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: ✂ BTCWare > Anubi 

Внимание!
Поставлен значок ✂ - "ножницы", указывающий на заимствование, потому что содержание записки о выкупе выглядит как у BTCWare-Aleta.

К зашифрованным файлам добавляется составное расширение по шаблону .[<email>].anubi

В данном случае это: .[anubi@cock.li].anubi

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __READ_ME_.txt

Содержание записки о выкупе:
[WHAT HAPPENED]
Your important files produced on this computer have been encrypted due a security problem
If you want to restore them, write us to the e-mail: anubi@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.  
[FREE DECRYPTION AS GUARANTEE]
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information
and their total size must be less than 1Mb  
[HOW TO OBTAIN BITCOINS]
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller
by payment method and price
xxxxs://localbitcoins.com/buy_bitcoins
xxxxs://paxful.com/buy-bitcoin
xxxxs://bitcointalk.org/  
[ATTENTION]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files  
Your ID:
***

Перевод записки на русский язык:
[ЧТО СЛУЧИЛОСЬ]
Ваши важные файлы, созданные на этом компьютере, были зашифрованы из-за проблемы с безопасностью
Если вы хотите их восстановить, напишите нам на e-mail: anubi@cock.li
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
[БЕСПЛАТНАЯ ДЕКРЕПЦИЯ КАК ГАРАНТИЯ]
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Обратите внимание, что файлы НЕ должны содержать ценную информацию
И их общий размер должен быть меньше 1 Мб
[КАК ПОЛУЧИТЬ БИТКОИНЫ]
Самый простой способ купить биткоины - сайт LocalBitcoins.
Вам надо зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца
По способу оплаты и цене
xxxxs://localbitcoins.com/buy_bitcoins
xxxxs://paxful.com/buy-bitcoin
xxxxs://bitcointalk.org/
[ВНИМАНИЕ]
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к утрате данных
Если вы не напишете на email за 36 часов - ваш ключ будет удален, и вы не сможете расшифровать свои файлы
Ваш ID:
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Целевые файлы шифруются частично. Более того, работает этот шифровальщик очень медленно, потому у жертв есть шанс обнаружить его до того, как он доведет свою работу до конца. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
__READ_ME_.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Acrobat Optimizer x86 "[ransomware_executable].exe" -autorun
См. ниже результаты анализов.

Сетевые подключения и связи:
anubi@cock.li
xxxxs://localbitcoins.com/buy_bitcoins
xxxxs://paxful.com/buy-bitcoin
xxxxs://bitcointalk.org/ 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet (October 12)
 ID Ransomware (ID as Anubi)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 S!Ri
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

BRansomware

BRansomware Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BRansomware. На файле написано: BRansomware.exe. Разработчик: sniper. Среда разработки: Visual Studio 2017. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .GG

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа отсутствует. Вместо неё отображается только следующее изображение. Как говорится "Догадайся сам!". 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BRansomware.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Crypt12

Crypt12 Ransomware

KristinaCS Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Написан на языке .NET. Оригинальное название: crypt12. На файле написано: crypt12.exe. Среда разработки: Visual Studio 2015.  

---

Обнаружения:

DrWeb -> Trojan.Encoder.15080, Trojan.Encoder.15081

ALYac -> Trojan.Ransom.Crypt12, Trojan.Ransom.Kristina

BitDefender -> Trojan.Agent.CLHB, Trojan.Ransom.BVR

ESET-NOD32 -> MSIL/Filecoder.Crypt12.A, A Variant Of MSIL/Filecoder.Crypt12.A

Microsoft -> Ransom:MSIL/Natiris.A

Rising -> Ransom.Agent!8.6B7 (CLOUD), Virus.Ramnit!8.4 (CLOUD)

Symantec -> ML.Attribute.HighConfidence

Tencent -> Malware.Win32.Gencirc.114934a7

TrendMicro -> Ransom_CRYPTWELVE.A, Ransom_ANITSIRK.B

---

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .crypt12
Зашифрованные файлы принимают вид по шаблону:
filename.extension=id=<email_for_ransom>.crypt12

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!!readme!!!.txt

Содержание записки о выкупе:
Your files Have Been Crypted email to:
mortalis_certamen@aol.com for instuctions;

Перевод записки на русский язык:
Ваши файлы зашифрованы, email для инструкций:
mortalis_certamen@aol.com


Запиской с требованием выкупа выступает также загружаемое изображение, содержащее тот же текст. 

Содержание записки о выкупе:
Your files Have Been Crypted email to:
mortalis_certamen@aol.com for instuctions;

Перевод записки на русский язык:
Ваши файлы зашифрованы, email для инструкций:
mortalis_certamen@aol.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для шифрования используется графический интерфейс. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
crypt12.exe
!!!!readme!!!.txt
sys.bat

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
mortalis_certamen@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновления ноября 2017:
Email: hello@boomfile.ru
hernansec@protonmail.ch

Обновление от 5 февраля 2018:
Сообщение >>
Расширение: .crypt12
Файл: KristinaCS.exe
Email: hernansec@protonmail.ch
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик!
СкачайтеCrypt12Decrypter по ссылке:
https://download.bleepingcomputer.com/demonslay335/Crypt12Decrypter.zip

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Crypt12)
 Write-up, Topic of Support
 * 

 Thanks: 
 xXToffeeXx, Michael Gillespie
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SyncCrypt

SyncCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп от 0.1 BTC и выше, чтобы вернуть файлы. Оригинальное название. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .kk

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называются:
readme.html и readme.png

Файл reame.png

Файл readme.html

Содержание записки о выкупе:
YOUR FILES WERE ENCRYPTED
using military grade encryption. The encrypted files have the additional extension .kk. You won't be able to retrieve your data unless you purchase the software provided by us. YOU HAVE EXACTLY 48 HOURS TO MAKE A DECISION OR YOU'LL NEVER SEE YOUR FILES AGAIN. Any atempt to recover your files on your own could damage the files permanently. There is no workaround, that's how encryption is supposed to work. In order to retrieve your data, please follow the steps below:
1. Go to Desktop folder, and open AMMOUNT.txt from within README folder. Obtaining the decryption sofware requires that you send EXACTLY the ammount of Bitcoin (without the transaction fee) that is written within the text file to the following address:
 15LK2BQxj2MJGZZ3kcUi3B4C42CQKKMQzK
Note that if the ammount sent doesn't match EXACTLY the ammount in the text file, you will NOT receive the sofware, as it's the only way to validate and confirm the payment.
2. After the payment is done, send an email to ALL of the following addresses getmyfiles@keemail.me, getmyfiles@scryptmail.com, getmyfiles@mail2tor.com containg:
 The file named KEY, located within the README folder on your Desktop, as an Attachment - this file is a locked version of the decryption key (that must be unlocked by us), used to recover your files. DO NOT delete it if you plan to get your files back
 The transaction id of the Bitcoin payment
Emails that dont contain the KEY file attached will be automatically rejected.
As soon as we confirm the payment, you will receive on your email address the decription key together with the required software and the instructions to recover your files.
Dont forget, TIME'S RUNNING OUT

Слово decription написано с ошибкой: I вместо Y

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
используя шифрование военного класса. Зашифрованные файлы имеют дополнительное расширение .kk. Вы не сможете получить данные, если не приобретете программу, предоставленную нами. У ВАС ЕСТЬ РОВНО 48 ЧАСОВ, ЧТОБЫ ПРИНЯТЬ РЕШЕНИЕ, ИЛИ ВЫ УЖЕ НИКОГДА НЕ УВИДИТЕ ВАШИ ФАЙЛЫ. Любая попытка восстановить ваши файлы самому может повредить файлы навсегда. Нет обходного пути, т.к. шифрование сработало. Чтобы получить данные, выполните следующие действия:
1. Перейдите на рабочий стол и откройте файл AMMOUNT.txt из папки README. Получение программы для дешифрования требует, чтобы вы отправили ТОЧНОЕ количество биткойнов (без комиссии за транзакцию), которое написано в текстовом файле, по следующему адресу:
 15LK2BQxj2MJGZZ3kcUi3B4C42CQKKMQzK
Обратите внимание, что если отправленное количество не соответствует ТОЧНОМУ количеству в текстовом файле, вы НЕ получите программну, т.к. это единственный способ проверить и подтвердить платеж.
2. После того, как платеж будет выполнен, отправьте email на ВСЕ следующие адреса: getmyfiles@keemail.me, getmyfiles@scryptmail.com, getmyfiles@mail2tor.com containg:
 Файл с именем KEY, расположенный в папке README на рабочем столе, в качестве вложения - этот файл является заблокированной версией ключа дешифрования (который должен быть разблокирован нами), который используется для восстановления ваших файлов. НЕ удаляйте его, если вы планируете вернуть свои файлы.
 ID транзакции оплата в биткойн
Письма, которые не содержат прикрепленного файла KEY, будут автоматически отклонены.
Как только мы подтвердим платеж, вы получите на свой email ключ дешифрования вместе с нужной программой и инструкциями по восстановлению ваших файлов.
Не забывайте, ВРЕМЯ ИДЁТ

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (в данном случае WSF-файл), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

При запуске и выполнении WSF-файла, содержащийся в нём JScript сценарий загружает изображение с одного из трех сайтов, указанных ниже.
Встроенный в это изображение zip-файл содержит файлы sync.exe, readme.html и readme.png, которые являются главными компонентами SyncCrypt Ransomware. После загрузки изображения в папку %Temp% под случайным именем из zip-файла будут извлечены файлы в папку %Temp%\BackupClient. 

Примечание:
Метод, используемый для загрузки и установки Ransomware, связан с тем, что WSF-сценарий загружает изображения со встроенными ZIP-файлами, которые содержат необходимые файлы для заражения компьютера шифровальщиком. Этот метод делает изображения незаметными для почти всех поставщиков антивирусных программ, представленных на VirusTotal.
Таким образом, WSF-сценарий, который разработан Microsoft и внедрен в её ОС Windows — это ещё одна легитимная мина, которая взята на вооружение злоумышленниками и используется для заражения ПК и вымогательства. 

Список файловых расширений, подвергающихся шифрованию:
.accdb, .accde, .accdr, .adp, .ach, .arw, .asp, .aspx, .backup, .backupdb, .bak, .bat, .bay, .bdb, .bgt, .blend, .bmp, .bpw, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .cer, .cfg, .class, .cls, .config, .contact, .cpp, .craw, .crt, .crw, .css, .csv, .d3dbsp, .dbx, .dcr, .dcs, .dds, .der, .dif, .dit, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .dxf, .edb, .eml, .eps, .fdb, .flf, .fpx, .frm, .gif, .gpg, .gry, .hbk, .hpp, .html, .hwp, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .jar, .java, .laccdb, .latex, .ldf, .lit, .lua, .mapimail, .max, .mbx, .mdb, .mfw, .mlb, .mml, .mmw, .midi, .moneywell, .mocha, .mpp, .nef, .nml, .nrw, .oab, .odb, .odc, .odf, .odg, .odi, .odm, .odp, .ods, .odt, .otg, .oth, .otp, .ots, .p12, .pas, .pab, .pbm, .pcd, .pct, .pcx, .pdf, .pef, .pem, .pfx, .pgm, .php, .pict, .pntg, .potm, .potx, .ppam, .ppm, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ppz, .prf, .psd, .ptx, .pub, .qbw, .qbx, .qpw, .raf, .rtf, .safe, .sav, .save, .sda, .sdc, .sdd, .sdf, .sdp, .skp, .sql, .sqlite, .sqlite3, .sqlitedb, .stc, .std, .sti, .stm, .stw, .sxc, .sxg, .sxi, .sxm, .sxw, .tex, .txt, .tif, .tiff, .vcf, .wallet, .wb1, .wb2, .wb3, .wcm, .wdb, .wpd, .wps, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlam, .xlc, .xlk, .xlm, .xlt, .reg, .rspt, .profile, .djv, .djvu, .ms11, .ott, .pls, .png, .pst, .xltm, .xltx, .xlw, .xml, .r00, .7zip, .vhd, .aes, .ait, .apk, .arc, .asc, .asm, .asset, .awg, .back, .bkp, .brd, .bsa, .bz2, .csh, .das, .dat, .dbf, .db_journal, .ddd, .ddoc, .des, .design, .erbsql, .erf, .ffd, .fff, .fhd, .fla, .flac, .iif, .iiq, .indd, .iwi, .jnt, .kwm, .lbf, .litesql, .lzh, .lzma, .lzo, .lzx, .m2ts, .m4a, .mdf, .mid, .mny, .mpa, .mpe, .mpeg, .mpg, .mpga, .mrw, .msg, .mvb, .myd, .myi, .ndf, .nsh, .nvram, .nxl, .nyf, .obj, .ogg, .ogv, .p7b, .p7m, .p7r, .p7s, .package, .pages, .pat, .pdb, .pdd, .pfr, .pnm, .pot, .psafe3, .pspimage, .pwm, .qba, .qbb, .qbm, .qbr, .qby, .qcow, .qcow2, .ram, .rar, .ras, .rat, .raw, .rdb, .rgb, .rjs, .rtx, .rvt, .rwl, .rwz, .scd, .sch, .scm, .sd2, .ser, .shar, .shw, .sid, .sit, .sitx, .skm, .smf, .snd, .spl, .srw, .ssm, .sst, .stx, .svg, .svi, .swf, .tar, .tbz, .tbz2, .tgz, .tlz, .txz, .uop, .uot, .upk, .ustar, .vbox, .vbs, .vcd, .vdi, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .vor, .wab, .wad, .wav, .wax, .wbmp, .webm, .webp, .wks, .wma, .wp5, .wri, .wsc, .wvx, .xpm, .xps, .xsd, .zip, .zoo (369 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

При шифровании пропускаются файлы в следующих директориях:
Windows\
Program files (x86)\
Program files\
Programdata\
Winnt\
\System volume information\
\Desktop\readme\
\$Recycle.bin\

Файлы, связанные с этим Ransomware:
README (папка)
readme.html
readme.png
KEY
AMMOUNT.txt - содержит сумму выкупа
<random>.exe - содержит зашифрованный ключ дешифрования
sync.exe
CourtOrder_845493809.wsf - вложение в email с шифровальщиком
EVVnMkSs.jpg
EVVnMkSs.zip

Расположения:
\Desktop\README\readme.html
\Desktop\README\readme.png
\Desktop\README\KEY
\Desktop\README\AMMOUNT.txt
%Temp%\BackupClient\sync.exe
C:\Windows\System32\Tasks\sync
%Temp%\BackupClient\
%Temp%\BackupClient\readme.html
%Temp%\BackupClient\readme.png
%Temp%\BackupClient\EVVnMkSs.jpg
%Temp%\BackupClient\EVVnMkSs.zip
%UserProfile%\AppData\Local\Temp\BackupClient\
%UserProfile%\AppData\Local\Temp\BackupClient\tmp.bat
%UserProfile%\AppData\Local\Temp\BackupClient\sync.exe
%UserProfile%\AppData\Local\Temp\BackupClient\readme.html
%UserProfile%\AppData\Local\Temp\BackupClient\readme.png

Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FE99549B-A4F1-4534-9658-2AEAAE683D25}\Path \sync
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 15LK2BQxj2MJGZZ3kcUi3B4C42CQKKMQzK
Email: getmyfiles@keemail.me, getmyfiles@scryptmail.com, getmyfiles@mail2tor.com
xxxxs://image.ibb.co/mxRqXF/arrival.jpg
xxxx://sm.uploads.im/X8IOl.jpg
xxxx://185.10.202.115/images/arrival.jpg

Загружаемое изображение с трёх адресов выше (EVVnMkSs.jpg)

См. также ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
Гибридный анализа на файл sync.exe >>
VirusTotal анализ >>
VirusTotal Анализ на файл sync.exe >>
VirusTotal анализ на загружаемое изображение >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SyncCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 xXToffeeXx 
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.