KeyMaker

KeyMaker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: KeyMaker. На файле написано: KeyMaker.exe

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> KeyMaker

К зашифрованным файлам добавляется расширение .CryptedOpps

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Opps all your files have been encrypted with crytp0lock
You can unlock your files by paying 200 dollars in bitcoin
Send payment too bitcoin address 17Dndl5gV6mMn4Rm3FNHXtwYeXk9ZUikbE you can also contact us at Wecanhelp@protonmail.com for other payments or questions.
You have 2 days to PAY before timer starts deletion of files.

Перевод записки на русский язык:
Упс, все ваши файлы были зашифрованы с помощью crytp0lock
Вы можете разблокировать свои файлы, заплатив 200 долларов в биткоинах
Отправить платеж на биткоин-адрес 17Dndl5gV6mMn4Rm3FNHXtwYeXk9ZUikbE вы также можете связаться с нами по адресу Wecanhelp@protonmail.com для других платежей или вопросов.
У вас есть 2 дня, чтобы заплатить, прежде чем таймер начнет удаление файлов.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
KeyMaker.exe

Расположения:
\Desktop\READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: xxxx://lawoffices.000webhostapp.com/Great/key.php***
Email: wecanhelp@protonmail.com
BTC: 17Dndl5gV6mMn4Rm3FNHXtwYeXk9ZUikbE 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

USBR

USBR Ransomware
HiddenTear Offline Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: USBR.exe

© Генеалогия: HiddenTear >> USBR (HiddenTear Offline)

К зашифрованным файлам добавляется расширение: .salepute

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
Files has been encrypted
Send me some of your salary in bitcoins or you will lose your file
Cheers, is not end of the world

Перевод записки на русский язык:
Файлы были зашифрованы
Пошлите мне часть зарплаты в биткоинах или потеряете свой файл
Радуйтесь, это не конец света

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
USBR.exe
hidden-tear-offline.exe

READ_IT.txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + образец 2020 >>
Intezer анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter + Tweet 2020 >>
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam 
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Haze

Haze Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные жёсткий диск, а затем требует выкуп в 25€ PaysaveCard, чтобы вернуть файлы. Оригинальное название: Haze Virus и HazeRansomeware. На файле написано: HazeRansomeware.exe

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Визуально имитирует работу крипто-вымогателя Petya: мигают красный и желтый экраны, потом на красном фоне выводится сообщение о выкупе. 

Запиской с требованием выкупа выступает текст на экране. 

Содержание текста о выкупе:
Welcome to haze Virus
The harddisks of your computer have been locked with a military grade encryption algorthm. There is no way to restore your data without a special key. You can get this key for 25€ if you folow the steps below.
1.Enter your E-Mail address below.
2.Enter a 25€ Paysavecard code below.
3.Click on ok, after a few time you will get a E-Mail from us with the Key.
Enter your E-Mail address: [   ]
Enter 25€ Paysavecard code: [   ]
Enter your Key: [   ]

Перевод текста на русский язык:
Приветствие от туманного вируса
Жесткие диски вашего компьютера были заблокированы с алгоритмом шифрования военного класса. Невозможно вернуть данные без специального ключа. Вы можете получить этот ключ за 25 €, если выполните следующие шаги.
1. Введите email-адрес ниже.
2. Введите 25€ код Paysavecard ниже.
3. Нажмите ОК, через некоторое время получите от нас email с ключом.
Введите ваш email-адрес: [ ]
Введите 25€ код Paysavecard: []
Введите ваш ключ: []

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
На данный момент ничего не шифрует. 
Это могли бы быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HazeRansomeware.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

StrawHat

StrawHat Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: StrawHat PDF. На файле написано: StrawHat PDF.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным, а точнее переименованным файлам добавляется случайное расширение <random>

Активность этого крипто-вымогателя пришлась на конец августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
YOUR_FILES_ARE_ENCRYPTED.html
YOUR_FILES_ARE_ENCRYPTED.txt

Содержание записки о выкупе:
YOU BECAME VICTIM OF THE STRAWHAT RANSOMWARE!
The files on your computer have been encrypted with an military grade
encryption algorithm. There is no way to restore your data without a special decryption program.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcois. The price depends on how fast you
write to us.
Contact us for payment instructions and after you paid we will send you the decryption tool that will decrypt all your files.
Personal identifier: hpRXignKoOzlJnlsJblSOo3nQxUIs4kDX8
Contact email address: xxxxxxx@xxxx.xxx

Перевод записки на русский язык:
ВЫ СТАЛИ ЖЕРТВОЙ STRAWHAT RANSOM WARE!
Файлы на вашем компьютере были зашифрованы с алгоритмом шифрования военного класса. Невозможно восстановить данные без специальной программы расшифровки.
Теперь вы должны отправить нам email с вашим личным идентификатором.
Это письмо будет подтверждением, что вы готовы заплатить за ключ дешифрования.
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, насколько быстро вы напишите нам.
Свяжитесь с нами для получения инструкций по оплате, а после оплаты мы вышлем вам программу дешифрования, которая дешифрует все ваши файлы.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.avi, .AVI, .crt, .CRT, .csr, .CSR, .csv, .CSV, .dot, .DOT, .dotm, .DOTM, .dotx, .DOTX, .flv, .FLV, .key, .KEY, .mdb, .MDB, .mkv, .MKV, .mov, .MOV, .mp4, .MP4, .mpeg, .MPEG, .mpg, .MPG, .pem, .PEM, .pptm, .PPTM, .sql, .SQL, .sqlite3, .SQLITE3, .sqlitedb, .SQLITEDB, .tif, .TIF, .wma, .WMA, .wmv, .WMV, .xlm, .XLM, .xlsm, .XLSM, .xltm, .XLTM и другие (52 расширения с учётом дублей в верхнем регистре). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
StrawHat PDF.exe
Rechnung 201708.pdf.exe
YOUR_FILES_ARE_ENCRYPTED.html
YOUR_FILES_ARE_ENCRYPTED.txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Karsten Hahn
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MindSystem

MindSystem Ransomware 

MindSystem 2017 Ransomware 

MindSystemNotRansomWare Eduware

(шифровальщик-вымогатель, шифровальщик-обучатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем называет себя "только для образования". Вернуть файлы можно с помощью оригинального декриптера. Оригинальное название варьируется. На картинке написано: MindSystem Ransomware и MindSystem 2017. На файле написано: MindSystemNotRansomWare.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .mind

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение, загружаемое с сайта noelshack.com и встающее обоями рабочего стола.

Содержание текста с картинки:
[Your files has been encrypted by MindSystem Ransomware]
To Recover them, just use the decryptor with your unique key
For education only! MindSystem 2017

Перевод текста на русский язык:
[Ваши файлы были зашифрованы MindSystem Ransomware]
Для их восстановления используйте дешифратор с уникальным ключом
Только для образования! MindSystem 2017

Также используется опция "MessageBox.Show" для вывода следующего сообщения:
Hi, your computer have been locked by Legend-Modz

MindSystem

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MindSystemNotRansomWare.exe
file.jpg
key.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://image.noelshack.com/fichiers/2017/31/2/1501621309-ransomware.png
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от конца декабря 2018:
Пост в Твиттере >>
На Рабочий стол устанавливается уже другое изображение-коллаж.
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MindSystem)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Ransom Prank

Ransom Prank Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Ransom Prank. На файле написано: Ransom Prank.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на вторую половину августа 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Your Computer is Locked !
Your importing files are encrypted !
Many of your documents, photos, viedos, databases an other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recover your files, but do not waster your time. Nobody can recover your files without our decrytionservice
Can I Recover My Files?
Sure. We garantee that you can recover all your flies safely and easily. But you have not so much time.
You have only 3 days to submit the payment. After that the price will be doubled.
Also if you don't pay in 7 days, you won't be able to recover your files forever.
We will have free events for users who are so poor that they couldn't pay in 6 month.
How Do I Pay?
Payment is accepted in Bitcoin only. Go online for more information.
Please check the current price of Bitcoin an buy some bitcoins.
And send the correct amount to the address specified in this window.
Once the payment is checked, you can start decrypting your files by getting the DecrytionCode.
Send 0.5 Bitcoin to ...

Перевод записки на русский язык:
Ваш компьютер блокирован!
Ваши важные файлы зашифрованы!
Многие из ваших документов, фото, видео, базы данных и другие файлы теперь не доступны, т.к. они были зашифрованы.
Возможно, вы ищете способ восстановить свои файлы, но не теряйте время. Никто не может восстановить ваши файлы без нашей службы дешифровки.
Могу ли я восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все свои файлы безопасно и легко. Но у вас мало времени.
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Также, если вы не платите за 7 дней, вы уже никогда не сможете восстановить ваши файлы.
У нас будут бесплатные мероприятия для пользователей, которые так бедны, что они не могли заплатить через 6 месяцев.
Как мне оплатить?
Оплата принимается только в биткоинах. Заходите в интернет для получения дополнительной информации.
Пожалуйста, проверьте текущую цену биткоина на покупку некоторых биткоинов.
И отправьте правильную сумму по адресу, указанному в этом окне.
Как только платеж будет проверен, вы можете начать дешифрование своих файлов, получив код дешифровки.
Отправить 0.5 биткоин ...

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

На данный момент файлы не шифруются.

Код разблокировки: 12345

Список файловых расширений, подвергающихся шифрованию:
Файлы не шифруются. 
После реализации функции шифрования это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransom Prank.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BTCWare-Nuclear

BTCWare-Nuclear Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле может быть написано, что угодно.

This BTCWare's logo was developed on this site ID-Ransomware.RU

© Генеалогия: BTCWare >> BTCWare-Nuclear 

К зашифрованным файлам добавляется составное расширение по шаблону .[<email>].nuclear

В августе это были:
.[black.world@tuta.io].nuclear
.[asdqwer123@cock.li].nuclear

Активность этого крипто-вымогателя пришлась на первую август-сентябрь 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

✋ ВАЖНО!!! Разработчики этого варианта испортили шифрование файлов размером более 10 Мб и не смогут их расшифровать. Такое же поведение наблюдалось и в других файлах случайных размеров. Поэтому уплата выкупа не рекомендуется в любом случае, т.к. скорее всего многие ваши файлы не будут расшифрованы.

Записка с требованием выкупа называется: HELP.hta

 

Примеры записки о выкупе BTCWare-Nuclear Ransomware

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail black.world@tuta.io
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 1Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.) 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
• Do not rename encrypted files. 
• Do not try to decrypt your data using third party software, it may cause permanent data loss. 
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на email black.world@tuta.io
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, как быстро вы пишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование как гарантия
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования. Общий размер файлов должен быть меньше 1 Мб (не архивирован), а файлы не должны содержать ценную информацию. (базы данных, резервные копии, большие листы Excel и т. д.)
Как получить биткойны
Самый простой способ купить биткойны - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, где можно купить биткоины и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

BTCWare-Nuclear шифрует файлы только до 0xA00000 байт. Более 10 Мб файлы вообще необратимо повреждаются. Уплата выкупа бесполезна. 

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, используя команды:
cmd.exe /c vssadmin.exe Delete Shadows /All /Quiet
cmd.exe /c bcdedit.exe /set {default} recoveryenabled No
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP.hta
payload.exe
_ReadMe_.txt

Расположения:
%APPDATA%\HELP.hta

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Связанный открытый ключ Nuclear RSA-1024:

Открыть:

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDMwl0XpgillW5xCvuTbug+U+bVtZTaS0SRM+gNgaegG9PwsUXsxaqOLBg1zBxUxPcsJvUcQ/SKYWNsA49SIaMtSG2/b5rby2cnS8J4wwqkF0hDUFurF+t1o1TO6NDomgVMyak6nteJuR9ZAPUAmT3s4HqbhbL9Mh6h08iEl7jCbQIDAQAB
-----END PUBLIC KEY-----

Сетевые подключения и связи:
URL: ocsp.comodoca4.com
maps.googleapis.com
localbitcoins.com
stats.g.doubleclick.net
ocsp.pki.goog
cdn.mxpnl.com
js-agent.newrelic.com
maps.gstatic.com
bam.nr-data.net
api.mixpanel.com
csi.gstatic.com

Email: black.world@tuta.io
asdqwer123@cock.li
assistance@firemail.cc и 2ndsupport@protonmail.com
decr@cock.li
kod.zapuska@tuta.io
cryptozlo@cock.li
varginfo@tuta.io
goldwave@india.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  HA+
VirusTotal анализ >>  VT+
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 сентября 2017:
Расширение: .nuclear
Составное расширение: .[assistance@firemail.cc].nuclear
Email: assistance@firemail.cc и 2ndsupport@protonmail.com
Файл: Underkeeper2.exe
Результаты анализов: HA + VT, VT

Обновление от 15 сентября 2017:
Расширение: .nuclear
Составное расширение: .[yasomoto@tutanota.com].nuclear
Email: yasomoto@tutanota.com

Обновление от 25 сентября 2017: 
Расширение: .nuclear
Новое составное расширение: .[goldwave@india.com]-id-<id>.nuclear" 
Email: goldwave@india.com

Обновление от 27 сентября 2017:
Расширение: .nuclear
Новое составное расширение: .[varginfo@tuta.io].nuclear
Email: varginfo@tuta.io
Результаты анализов: VT

Другие обновления октября 2017:

Расширение: .nuclear
Записки: HELP.hta, HELP.hta, HELP.hta
Составное расширение: .[<email>].nuclear
Email: assistance@firemail.cc + 2ndsupport@protonmail.com
Составное расширение: .[<email>].nuclear
Email: mail@gryphon.bz
Составное расширение: .[<email>]-id-x.nuclear
Email: nuclear@cryptmaster.info

Обновление от 15 февраля 2018:
Расширение: .nuclear
Составное расширение: .[black.world@tuta.io]-id-<id>.nuclear
Email: black.world@tuta.io
Tor: cr7icbfqm64hixta.onion
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать BTCWareDecrypter и расшифровать файлы >>
Изучите подробное руководство, чтобы не повредить файлы.
Поддерживаются расширения: 
.aleta, .blocking, .btcware, .cryptobyte, .crypton, .cryptowin, .encrypted, 
.gryphon, .master, .nuclear, .onyon, .theva, .payday, .shadow, .wallet, 
.wyvern, .xfile

Более новые варианты BTCWare-Nuclear имеют в функционале серьезную 
ошибку, которая необратимо уничтожает некоторые файлы. Посмотрите на 
зашифрованный файл в Hex-редакторе, если он не имеет в начале ничего, 
кроме 0x00 байт, то он необратимо повреждён. В таком случае даже 
вымогатели с нужным ключом дешифрования не смогут его восстановить. 
Уплата выкупа бесполезна!

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID under Gryphon)
 Write-up, Topic of Support
🎥 Video review 

 Thanks: 
 Michael Gillespie, JakubKroustek
 Lawrence Abrams
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private