VideoBelle

VideoBelle Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 150 £ в BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> VideoBelle

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на французских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Message_Important.txt

Содержание записки о выкупе:
instruction à faire pour recuperer la clé de décryptage de vos fichiers crypter
email de contact : fbi-cybercrimedivision@hotmail.com
1) acheter des bitcoins de 150 £, euros à n'importe quelle site de bitcoins.
2) vous pouvez acheter rapidement les bitcoins ici https://localbitcoins.com
3) envoyer les bitcoins à cette adresse : 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi
4) dès que je reçois les bitcoins je vous envoie la clé de décryptage par email,
divers information bitcoin xxxxs://achterbtcoin.info

Перевод записки на русский язык:
Инструкция по извлечению ключа для дешифровки зашифрованных файлов 
email-адрес для связи: fbi-cybercrimedivision@hotmail.com
1) купи биткоины на сумму 150 фунтов стерлингов, евро на любом сайте биткоинов.
2) ты можешь быстро купить биткоины здесь https://localbitcoins.com
3) отправь биткоины по этому адресу: 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi
4) когда я получу биткоины, я пошлю тебе ключ дешифрования по email. 
сведения о биткоинах xxxxs://achterbtcoin.info

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Message_Important.txt
video_belle.exe

Расположения:
\Desktop\Message_Important.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: fbi-cybercrimedivision@hotmail.com
BTC: 1NaJysikmSa96GfBdAJxLfi4iNMoZiczbi
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FlatChestWare

FlatChestWare Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: FlatChestWare. На файле написано: FlatChestWare.exe. Фальш-копирайт: Microsoft. Среда разработки: Visual Studio 2015.

© Генеалогия: HiddenTear >> FlatChestWare

К зашифрованным файлам добавляется расширение .flat

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Есть ли текстовая записка с требованием выкупа, пока неясно. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your personal files have been encrypted, these files being photos, videos, downloads, documents, and many other files. Please do not attempt to remove this program, any attempt to remove it could cause you to be unable to recover your personal files. Only our service can decrypt your files, so disable your anti-virus and make no attempt to tamper with anything we have done.
Oh and dont feel bad for clicking 'Restart Now' we were already encrypting your files as soon as the application launched.
Click the [HELP] button below if you wish to recover your files.
Bitcoin Address:
1PFms6LMmamjPE3VCFB83YFa5TaoDdsjrB

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы, это файлы фото, видео, загрузки, документы и многие другие файлы. Не пытайтесь удалить эту программу, любая попытка ее удаления может привести к невозможности восстановить ваши личные файлы. Только наша служба может расшифровать ваши файлы, поэтому отключите антивирус и не пытайтесь вмешиваться в что-либо, что мы сделали.
О, и не чувствуйте себя плохо, когда вы нажимаете "Restart Now", мы уже зашифровали ваши файлы сразу после запуска приложения.
Нажмите кнопку [HELP] ниже, если вы хотите восстановить файлы.
Биткоин-адрес:
1PFms6LMmamjPE3VCFB83YFa5TaoDdsjrB

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Имитирует обновление Windows. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1PFms6LMmamjPE3VCFB83Yfa5TaoDdsjrB
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

Xolzsec

Xolzsec Ransomware

(шифровальщик-вымогатель, Trollware)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем насмехается и даже не предлагает вернуть файлы. Оригинальное название: Xolzsec. Разработчик: Xolzsec - XgroupVN. На файле написано: eda2.exe

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: EDA2 >> Xolzsec 

К зашифрованным файлам добавляется расширение .xolzsec

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает следующий экран:

Содержание текста с экрана:
I Don't Know man, but you are idiots LOL
.::Author: Xolzsec - XgroupVN::.
Hi I'm Script Kiddie haha XD

Перевод текста на русский язык:
Я не знаю человека, но ты идиоты LOL
. :: Автор: Xolzsec - XgroupVN ::.
Привет, я Script Kiddie ха-ха XD

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
eda2.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cyron

Cyron Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 50 Euro PaySafeCard, чтобы вернуть файлы. Оригинальное название: Cyron. Представляется как программа для борьбы с порносайтами и педофилией. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .CYRON

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
CYRON INSTALLED
We have to lock your Computer in this regard until the Police visited you.
We detected Children Pornsites in your Browser History
You dont have a Key already?
No Problem you can buy it via E-Mail
Enter Key to unlock your Computer and get your Deleted Files back:
Just write an E-Mail to ProjectCyRoN@candymail.de
After you send us a PaySafeCard with 50€ and your Computerlnformations that we know what target we have to send the Key
[ShutDown]
We the government's July 31 order directing internet Service Providers (ISPs) to block 857 porn sites came after Additional Solictor General Pinky Anand conveyed to the Department of Electronics and Information Technology (DeitY) the Supreme Court's observation
that "appropriate steps" were needed against pornographic sites, especially those featuring child pornography. So now we developed CyRoN that doing our work a lot easier, for example we detected 349 pedophiles in 2 weeks.

Перевод записки на русский язык:
CYRON INSTALLED
Мы должны заблокировать ваш компьютер, пока полиция не посетит вас.
Мы обнаружили детские порносайты в истории вашего браузера 
У вас уже нет ключа?
Нет проблем, вы можете купить его через E-Mail
Введите ключ, чтобы разблокировать компьютер и вернуть свои удаленные файлы:
Просто напишите E-Mail на ProjectCyRoN@candymail.de
После того, как вы пришлете нам PaySafeCard на 50 евро и вашими компьютерными изменениями, мы узнаем, какую цель мы должны отправить на ключ
[ShutDown]
Постановление правительства от 31 июля обязывает интернет-провайдеров (ISP) блокировать 857 порносайтов ... «соответствующие меры» необходимы в отношении порносайтов, особенно с участием детской порнографии. Поэтому мы разработали CyRoN, который делает нашу работу намного проще, например, мы обнаружили 349 педофилов за 2 недели.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
ProjectCyRoN@candymail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Это может быть дешифровано

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Error CryptoMix

Error Ransomware

Error CryptoMix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует связаться по email, что бы уплатить выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: Golf. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: CryptoMix >> Error ⇔ Empty

К зашифрованным файлам добавляется расширение .ERROR

Примеры зашифрованных файлов: 
36C25A08104EA9E6B8B1F4AC14CC8926.ERROR
60D5DA5245B33BEC58912A3F4A562010.ERROR
633F8C4606BE68F4DB9DD0B30B7F45EC.ERROR

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
error01@msgden.com, 
error02@webmeetme.com
error03@protonmail.com
We will help You as soon as possible!
DECRYPT-ID-16da203M-861A-R3CE-5372-Lb766e168c33 number

Перевод записки на русский язык:
Привет!
Все Ваши данные зашифрованы!
Для подробной информации отправьте нам email с Вашим ID номером
error01@msgden.com, 
error02@webmeetme.com
error03@protonmail.com
Мы поможем Вам как можно скорее!
DECRYPT-ID-16da203M-861A-R3CE-5372-Lb766e168c33 number

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Выполняет деструктивные команды:
cmd.exe /C sc stop VVS
cmd.exe /C sc stop wscsvc
cmd.exe /C sc stop WinDefend
cmd.exe /C sc stop wuauserv
cmd.exe /C sc stop BITS
cmd.exe /C sc stop ERSvc
cmd.exe /C sc stop WerSvc
cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Расположения:
C:\ProgramData\<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: error01@msgden.com
error02@webmeetme.com
error03@protonmail.com 
См. ниже результаты анализов.

Связанные публичные ключи:
См. статью на сайте BC. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


*

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
Azer, Noob, Exte, Pirate, CK, Zayka, Zero, DG - июль 2017
Ogonia, Error, Empty, Arena - август 2017
Shark  - сентябрь 2017
x1881, Coban - октябрь 2017
XZZX, 0000, Test - ноябрь 2017
WORK, FILE, Tastylock - декабрь 2017
SERVER, System - январь 2018
MOLE66 - март 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer, Lawrence Abrams
 Michael Gillespie
 *
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

MoonCryptor

MoonCryptor Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует заплатить за 20 минут, чтобы вернуть файлы. Оригинальное название: MoonCryptor. На файле написано: MoonCryptor.exe. Разработчик: Timmy.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .fmoon

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
MOON DECRYPTOR
WHAT HAPPENED ???
Oops all your data are encrypted !!
This is a ransomware AES 256 + RS A 1024!! Look at Wikipedia for morę informations
Please pay before 20 minutes oryour datalll be lost forever. I'll delete a file per minutę after!
Copy and past this link in Internet Explorer or Firefox :
http://10.10.3.1/panel/decipher.php
and enter your informations :
Your UUID :
Encrypted key   iBtSvjYAVWaJslcc4Hn/nMIMrg+bUgA0W4g***
If you obtain your passord, take it here and click on RECOVER
button [RECOYER]

Перевод текста на русский язык:
MOON DECRYPTOR
ЧТО СЛУЧИЛОСЬ ???
Все ваши данные зашифрованы!
Это выкуп AES 256 + RS A 1024! Посмотрите в Википедии для подробную информации
Пожалуйста, оплатите за 20 минут или вы потеряете навсегда. Я удалю файл минутой позже!
Скопируйте и пройдите по этой ссылку в Internet Explorer или Firefox:
xxxx://10.10.3.1/panel/decipher.php
И введите информацию:
Ваш UUID:
Ключ шифрования iBtSvjYAVWaJslcc4Hn / nMIMrg + bUgA0W4g ***
Если вы получите свой пароль, вставьте его здесь и нажмите кнопку RECOVER
кнопка [RECOYER]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MoonCryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Файлы можно дешифровать!!! 
Вам поможет Майкл Джиллеспи. 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MoonCryptor)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.

ClicoCrypter

ClicoCrypter Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выполнить условия, чтобы вернуть файлы. Оригинальное название: ClicoCrypter.

© Генеалогия: ClicoCrypter > ClicoCrypter-2

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на польскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READMYFIRST.info
Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста о выкупе:
Wszystkie twoje pliki zostały zaszyfrowane. Aby je odzyskać oplac abonament ADB/TVR na najblizesz dzisiec lat. Nastepnie wejdź na stoi i krzyknij "JESTEM KRÓLEM ZWIERZĄT. Twoje pliki zostana przywrocone.
Masz na to 15 minut
KLUCZ SZYFRUJĄCY:
019bc94b0fb7f50d7b9379b3aaf09530de951***

Перевод текста на русский язык:
Все ваши файлы зашифрованы. Для того, чтобы восстановить их, нужна платная подписка ADB/TVR на ближайшие 10 лет. Затем подойти к стендам и кричать "Я король зверей". Ваши файлы будут восстановлены.
У вас 15 минут
Ключ шифрования:
019bc94b0fb7f50d7b9379b3aaf09530de951***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (фальшивый PDF-файл - PDF.EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READMYFIRST.info
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
www.clico.pl
www.epg.org.pl
nfsjfnsdnfoeitpfsdfsd.onion
fdslkfsdkjfsjdkfjksdiewjrjkfjsdkfjd.org.pl
fdskjfsdkjfkdjsf.onion
fsdlkfsdkljfksjd.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ClicoCrypter)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Anubi NotBTCWare

Anubi NotBTCWare Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: ✂ BTCWare > Anubi 

Внимание!
Поставлен значок ✂ - "ножницы", указывающий на заимствование, потому что содержание записки о выкупе выглядит как у BTCWare-Aleta.

К зашифрованным файлам добавляется составное расширение по шаблону .[<email>].anubi

В данном случае это: .[anubi@cock.li].anubi

Активность этого крипто-вымогателя пришлась на середину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: __READ_ME_.txt

Содержание записки о выкупе:
[WHAT HAPPENED]
Your important files produced on this computer have been encrypted due a security problem
If you want to restore them, write us to the e-mail: anubi@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.  
[FREE DECRYPTION AS GUARANTEE]
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information
and their total size must be less than 1Mb  
[HOW TO OBTAIN BITCOINS]
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller
by payment method and price
xxxxs://localbitcoins.com/buy_bitcoins
xxxxs://paxful.com/buy-bitcoin
xxxxs://bitcointalk.org/  
[ATTENTION]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 36 hours - your key has been deleted and you cant decrypt your files  
Your ID:
***

Перевод записки на русский язык:
[ЧТО СЛУЧИЛОСЬ]
Ваши важные файлы, созданные на этом компьютере, были зашифрованы из-за проблемы с безопасностью
Если вы хотите их восстановить, напишите нам на e-mail: anubi@cock.li
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
[БЕСПЛАТНАЯ ДЕКРЕПЦИЯ КАК ГАРАНТИЯ]
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Обратите внимание, что файлы НЕ должны содержать ценную информацию
И их общий размер должен быть меньше 1 Мб
[КАК ПОЛУЧИТЬ БИТКОИНЫ]
Самый простой способ купить биткоины - сайт LocalBitcoins.
Вам надо зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца
По способу оплаты и цене
xxxxs://localbitcoins.com/buy_bitcoins
xxxxs://paxful.com/buy-bitcoin
xxxxs://bitcointalk.org/
[ВНИМАНИЕ]
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к утрате данных
Если вы не напишете на email за 36 часов - ваш ключ будет удален, и вы не сможете расшифровать свои файлы
Ваш ID:
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Целевые файлы шифруются частично. Более того, работает этот шифровальщик очень медленно, потому у жертв есть шанс обнаружить его до того, как он доведет свою работу до конца. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
__READ_ME_.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Acrobat Optimizer x86 "[ransomware_executable].exe" -autorun
См. ниже результаты анализов.

Сетевые подключения и связи:
anubi@cock.li
xxxxs://localbitcoins.com/buy_bitcoins
xxxxs://paxful.com/buy-bitcoin
xxxxs://bitcointalk.org/ 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet (October 12)
 ID Ransomware (ID as Anubi)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 S!Ri
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщении в форме обратной связи обязательно укажите название шифровальщика.