Если вы не видите здесь изображений, то используйте VPN.

понедельник, 4 сентября 2017 г.

Saramat

Saramat Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название проекта: Saramat.pdb. На файле написано: Saramat.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Saramat

К зашифрованным файлам добавляется расширение .Saramat

Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decrypt.txt

Содержание записки о выкупе:
All Your Important Files Are Encrypted By Sarmat Ransomware

Перевод записки на русский язык:
Все ваши важные файлы зашифрованы Sarmat Ransomware

В данном тексте название искажено: вместо Saramat, как в проекте и на файле, написано Sarmat

Запиской с требованием выкупа также выступает изображение img.jpg, встающие обоями рабочего стола:
Saramat Ransomware

Содержание текста с экрана:
Welcome To My Ransomware!
Attention! Attention! Attention!
Your Files has been encrypted By : 
CoNFicker RANSOMWARE
for decrypt your files
Send 0.5 Bitcoin To
1sUCn6JYa7B96t4nZz1tX5muU2W5YxCmS
And Contact us By Email :
Conftcker-decryptor@mail.ru

Перевод текста на русский язык:
Добро пожаловать в мой Ransomware!
Внимание! Внимание! Внимание!
Ваши файлы были зашифрованы:
CoNFicker RANSOMWARE
для расшифровки файлов
Отправьте 0.5 биткоина на
1sUCn6JYa7B96t4nZz1tX5muU2W5YxCmS
И свяжитесь с нами по email:
Conftcker-decryptor@mail.ru



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.7z, .7Z, .amv, .asp, .aspx, .avi, .BAT, .bmp, .c, .csv, .dll, .doc, .docx, .exe, .Exe, .exe, .fla, .flv, .gif, .GIF, .gz, .html, .icns, .ico, .iso, .iso, .jar, .jpg, .JPG, .mdb, .midi, .mov, .mp3, .mp3, .mp4, .mpg, .mpv, .mtv, .odt, .ogg, .pbm, .pdf, .pdf, .php, .png, .png, .PNG, .ppt, .pptx, .psd, .rar, .RAR, .rtf, .rv, .rvx, .sln, .sql, .sql, .tar, .txt, .TXT, .ved, .wm, .wma, .wma, .wmv, .wmv, .xls, .xlsx, .xml, .xwmv, .zip (72 расширения с дублями в верхнем регистре).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Saramat.exe
Decrypt.txt
autorun.inf
img.jpg

Расположения:
\Desktop\Decrypt.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Conftcker-decryptor@mail.ru
BTC: 1sUCn6JYa7B96t4nZz1tX5muU2W5YxCmS
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware 
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Skull

Skull Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется случайное расширение .<random>

Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_To_Decrypt_Your_Files.html

Ссылка скрывается в коде страницы во фрейме.

Содержание записки о выкупе:
All your files have been encrypted!
If you read this file, that's mean all your files was encrypted by the Skull Ransomware.
1- To get your files back please send ($400) Bitcoins to the one of the following Bitcoin wallet: 
Bitcoin Wallet 1 : 1DQ8pzAJ4Y3MFDPR8JZNykYtxGec8VmgoR 
Bitcoin Wallet 2 : 14QcURskVd6FnZF4gqxzsujJTuW3KPjZmG 
Bitcoin Wallet 3 : 1ERWHumZ9cBkrpzLaP5WbA4H3bZfZwWyVz
2- Send us the payment :
* Trasanction number
* The wallet address from where you made the payment 
* Your full computer hostname to the email bellow 
Email Address : Skull.and.bones2017@protonmail.com
Keep in mind if you try to bypass the encryption process all your files will be lost.
Follow all the instructions and your files will be restored again. 
Also the decryption proccess can take long time depend on how many files are crypted
The decrypter tool, can bug so just leave it until you see the message : Files Decrypted. 
Help With Buying Bitcoins
As soon as your payment has been sent you will get the link to download your file restoration tool
Your files was crypted by Skull Ransomware.

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Если вы читаете этот файл, это значит, что все ваши файлы были зашифрованы программой Skull Ransomware.
1- Чтобы вернуть ваши файлы, отправьте (400 долларов) в биткоинах на один из следующих Биткоин-кошельков:
Биткоин-кошелек 1: 1DQ8pzAJ4Y3MFDPR8JZNykYtxGec8VmgoR
Биткоин-кошелек 2: 14QcURskVd6FnZF4gqxzsujJTuW3KPjZmG
Биткоин-кошелек 3: 1ERWHumZ9cBkrpzLaP5WbA4H3bZfZwWyVz
2- Отправьте нам платеж:
* Номер транзакции
* Адрес кошелька, с которого вы сделали платеж
* Полное имя вашего компьютера на email ниже
Email-адрес: Skull.and.bones2017@protonmail.com
Имейте в виду, если вы попытаетесь обойти процесс шифрования, все ваши файлы будут потеряны.
Следуйте всем инструкциям, и ваши файлы будут снова восстановлены.
Также процесс дешифрования может занять много времени в зависимости от того, сколько файлов зашифровано
Инструмент декриптер, может быть ошибкой, поэтому просто оставьте его, пока не увидите сообщение: Файлы расшифрованы.
Помощь в покупке биткойнов
Как только ваш платеж будет отправлен, вы получите ссылку для загрузки инструмента восстановления файлов
Ваши файлы были зашифрованы Skull Ransomware.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_To_Decrypt_Your_Files.html
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: Skull.and.bones2017@protonmail.com
URL: xxxx://adartmark.com/blog_howto.html
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Skull Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 (victim in the topic of support)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Nulltica

Nulltica Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: Nulltica. На файле написано: TLauncher и Important.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Nulltica

К зашифрованным файлам добавляется расширение .lock
К дешифрованным файлам декриптер добавляет расширение .unlock
Таким образом, вместо оригинального имени файла будет что-то типа filename.jpg.lock.unlock

Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your files have been blocked
Your files is encrypted (AES 256). You need a individual key to unlock your files.
Instruction how to unlock:
1. Create bitcoin wallet (coinbase, bitpay or any else)
2. Pay 50 usd to this wallet (bank card, transfer)
3. Send 50 usd (if you don't know how many usd = btc - calculate with this website http://www.coindesk.com/calculator/ - for now 50 usd = 0.02 BTC
4. Okay, now get your wallet address and put in on the left side, below "If you already paid"
5. Click "unlock and remove the program"
6. That's it.
Warning: If you already paid and you have information "We don't have your payment yet", you must waiting.. (Usually max. 12h)
---
Unlock
Pay 50 usd to this BTC address
1MEnyVaoE5Wjzqedv74q1LB83ekULgMDK
If you already paid
Enter the bitcoin address which you sent
Unlock and remove the program

Перевод записки на русский язык:
Ваши файлы блокированы
Ваши файлы зашифрованы (AES 256). Вам нужен отдельный ключ, чтобы разблокировать ваши файлы.
Инструкции по разблокировке:
1. Создайте биткойн-кошелек (coinbase, bitpay или любой другой)
2. Заплатите 50 долларов за этот кошелек (банковскую карту, перевод)
3. Отправте 50 долларов (если вы не знаете, как usd = btc - вычислите с помощью этого сайта http://www.coindesk.com/calculator/ - на данный момент 50 $ = 0.02 BTC
4. Хорошо, теперь получите адрес кошелька и введите его в левой стороне, ниже долларов ,
5. Нажмите "unlock and remove the program"
6. Вот и все.
Предупреждение: если вы уже заплатили, и у вас есть информация "We don't have your payment yet", вы должны подождать .. (Обычно максимум 12 часов)
---
Разблокировка
Оплатите 50 долларов на этот адрес BTC
1MEnyVaoE5Wjzqedv74q1LB83ekULgMDK
Если вы уже заплатили
Введите биткойн-адрес, с которого вы отправили
Разблокировать и удалить программу


Технические детали

Вероятно, использует Facebook (ссылки, аккаунт) для своего распространения или передачи. Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
log.txt
Important.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Ultimo HT

Ultimo HT Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.022-0.5 BTC, чтобы вернуть файлы. Оригинальное название: Ultimo. На файле написано: Weaternunion MTCN.exe. Разработчик: Daniel.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Ultimo HT

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt


Содержание записки о выкупе:
Oooopppsss Your Files Has Been Encrypted
Your Unique GUID for Decrypt: j43as8fk-29gp-61da-3671-h03c83472r74
SEND ME SOME 0.022 Bitcoin on Adress: 1CCnFhbLT1VSMUqXaSqsYUAwcGU4evkbJo
After Confirming The Payment, ALL YOUR FILES CAN BE DECRYPTED.
If you do not make payment within 48 Hrs, you will lose the ability to decrypt them.
Make your Bitcoin Wallet on: xxxxs://www.coinbase.com/ or xxxx://blockchain.info".
How to buy /sell and send Bitcoin :
xxxxs://support.coinbase.com/customer/en/portal/topics/796531-payment-method-verification/articles
xxxxs://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
xxxxs://support.coinbase.com/customer/en/portal/topics/601112-sending-receiving-bitcoin/articles
After the payment, enter the wallet from which paid, and email, in which contact you. blackgoldl23@protonmail.com",
After receiving the payment, we will contact you.

Перевод записки на русский язык:
Упс, Ваши файлы зашифрованы
Уникальный GUID для расшифровки: j43as8fk-29gp-61da-3671-h03c83472r74
ОТПРАВЬТЕ МНЕ 0.022 биткойн на адрес: 1CCnFhbLT1VSMUqXaSqsYUAwcGU4evkbJo
После подтверждения платежа ВСЕ ВАШИ ФАЙЛЫ БУДУТ РАСШИФРОВАНЫ.
Если вы не сделаете платеж за 48 часа, вы потеряете возможность их расшифровать.
Сделайте свой биткойн-кошелек на: xxxxs://www.coinbase.com/ или xxxx://blockchain.info ".
Как купить / продать и отправить Bitcoin:
xxxxs://support.coinbase.com/customer/en/portal/topics/796531-payment-method-verification/articles
xxxxs://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
xxxxs://support.coinbase.com/customer/en/portal/topics/601112-sending-receiving-bitcoin/articles
После оплаты введите кошелек, с которого платили и email-адрес для связи с вами. blackgoldl23@protonmail.com
После получения оплаты мы свяжемся с вами.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Unique ID (Уникальный ID) в коде: j43as8fk-29gp-61da-3671-h03c83472r74

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.txt
Weaternunion MTCN.exe

Расположения:
\Desktop\ ->

\User_folders\ ->
\Desktop\test\READ_IT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: blackgoldl23@protonmail.com
BTC: 1CCnFhbLT1VSMUqXaSqsYUAwcGU4evkbJo
xxxxs://keyunlock.000webhostapp.com/Victim/ransom.php?info***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT>>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 марта 2018:


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

воскресенье, 3 сентября 2017 г.

SynAck

SynAck Ransomware

El_Cometa Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 

👮 Если вы стали жертвой преступления в России, Беларуси, Казахстане или Украине, то вам нужно написать онлайн-заявление в Управление "К" МВД России, Беларуси и соответствующие ведомства МВД Казахстана и Украины (инструкция). 
👮 Если вы стали жертвой преступления в Европе, вам нужно обратиться в местную полицию. При необходимости они сами свяжутся с Европолом или Интерполом.

👮 If you are the victim of a crime in Europe, you need to contact your local or national police. The authorities will contact Europol or Interpol if required. 
👮 Are recommended that anyone citizen of the USA who is affected by this Ransomware file an official complaint with the FBI by going to this URL



Информация о шифровальщике


Этот крипто-вымогатель шифрует данные пользователей с помощью ECIES + AES-256 (режим ECB), или в другом варианте с помощью RSA-2048 и AES-256, а затем требует выкуп в $2100 в BTC, чтобы вернуть файлы. Оригинальное название: SynAck (содержится в строках записки о выкупе и в логине email). Разработчики: SynAck Team.

© Генеалогия: SynAck

К зашифрованным файлам добавляется случайно расширение, которое можно записать как .<random10>

Примеры зашифрованных файлов: 
document01.txt.wxdrJbgSDa
document02.doc.nUZPveYgIp
document03.zip.SMGfqOEIwE 

Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. По данным ЛК пострадавшие в США, Кувейте, Германии и Иране.

Записка с требованием выкупа называется: RESTORE_INFO-[ID].txt и выглядит как RESTORE_INFO-xxxxxxxx.txt
Шаблон записки можно записать так: 
RESTORE_INFO-<A-Z 0-9 {8}>.txt - т.е. английские буквы в верхнем регистре и цифры, восемь знаков

Примеры записок: 
RESTORE_INFO-C3E24FCE.txt
RESTORE_INFO-4ABFA0EF.txt
RESTORE_INFO-3E376EE0.txt


Три варианта записок SynAck

Как оказалось, существует несколько вариантов записок о выкупе. Специалисты выявили различия и представили их в виде таблицы. 
Сравнительная таблица записок SynAck


Содержание записок о выкупе:
Files on your computer are encrypted.
Algorithm: ecc-secp192r1 & aes-ecb-256
To decrypt your files, please contact us using one of these e-mail addresses:
synack@secmail.pro
synack@scryptmail.com
synack@countermail.com
Please include the following text in your message: 
zMp9IPE******************
....................................................................
Syn---- >
Ack---- >
===
Files are encrypted, algorithm used: ecies-secp192r1 & aes-ecb-256.
To decrypt your files, please contact us using this e-mail address:
tyughjvbn13@scryptmail.com
If for unknown reasons you did not receive any answer on e-mail,
write to BitMessage (using site xxxxs://bitmsg.me/):
BM-2cStoatQC4mDNWDHAoo2C1nYZJXhDsjCLj
Please do not perform any manipulations with encrypted files.
If you want to try to restore your files manually, do backups first.
And please do not remove files with text notes, because they contain important information required for file restoring.
Please include the following text in your message:
0R/Bau5ip******************
....................................................................
Syn---- >
Ack---- >
===
Files are encrypted, algorithm used: ecies-secp192r1 & aes-ecb-256.
To decrypt your files, please contact us using this e-mail address:
bubkjdws@scryptmail.com
If for unknown reasons you did not receive any answer on e-mail,
write to BitMessage (using site xxxxs://bitmsg.me/):
BM-2cWsgWxq1X5M6qjDEBPvCdEbbPLn2zi43k
Please do not perform any manipulations with encrypted files.
If you want to try to restore your files manually, do backups first.
And please do not remove files with text notes, because they contain important information required for file restoring.
Please include the following text in your message:
QOfVQofGO******************


Перевод записок на русский язык:
Файлы на вашем компьютере зашифрованы.
Алгоритм: ecc-secp192r1 & aes-ecb-256
Чтобы расшифровать ваши файлы, свяжитесь с нами, используя один из этих email-адресов:
synack@secmail.pro
synack@scryptmail.com
synack@countermail.com
Пожалуйста, добавьте следующий текст в сообщение:
zMp9IPE******************
....................................................................
Syn---- >
Ack---- >
===
Файлы зашифрованы, использован алгоритм: ecies-secp192r1 & aes-ecb-256.
Чтобы расшифровать ваши файлы, свяжитесь с нами, используя этот email-адрес:
tyughjvbn13@scryptmail.com
Если по неизвестным причинам вы не получили никакого ответа по email,
напишите в BitMessage (используя сайт xxxxs://bitmsg.me/):
BM-2cStoatQC4mDNWDHAoo2C1nYZJXhDsjCLj
Не делайте никаких манипуляций с зашифрованными файлами.
Если вы хотите попытаться восстановить файлы вручную, сначала сделайте резервную копию.
И, пожалуйста, не удаляйте файлы с текстовыми записками, потому что они содержат важную информацию, необходимую для восстановления файла.
Пожалуйста, добавьте следующий текст в сообщение:
0R/Bau5ip******************
....................................................................
Syn---- >
Ack---- >
===
Файлы зашифрованы, использован алгоритм: ecies-secp192r1 & aes-ecb-256.
Чтобы расшифровать ваши файлы, свяжитесь с нами, используя этот email-адрес:
bubkjdws@scryptmail.com
Если по неизвестным причинам вы не получили никакого ответа по email,
напишите в BitMessage (используя сайт xxxxs://bitmsg.me/):
BM-2cWsgWxq1X5M6qjDEBPvCdEbbPLn2zi43k
Не делайте никаких манипуляций с зашифрованными файлами.
Если вы хотите попытаться восстановить файлы вручную, сначала сделайте резервную копию.
И, пожалуйста, не удаляйте файлы с текстовыми записками, потому что они содержат важную информацию, необходимую для восстановления файла.
Пожалуйста, добавьте следующий текст в сообщение:
QOfVQofGO******************

По разумным причинам, текстовой код записок в этой статье обрезан. 

Один из пострадавших, связавшись с вымогателями, предоставил их ответ.

Ответ вымогателей: 
The cost of the decoder is $ 2100
We accept money only in bitcoins since this is the most anonymous currency in the world.
To buy bitcoins, we recommend using one of these services: https://www.bestchange.com or localbitcoins.com
To create a purse, this: blockchain.info
Transfer funds to this address: 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj
After payment send us a link to the transaction or the address of your wallet and after receiving 3 confirmations we will send you a decoder.

Перевод ответа на русский язык: 
Стоимость декодера составляет 2100 долларов
Мы принимаем деньги только в биткоинах, т.к. это самая анонимная валюта в мире.
Чтобы купить биткоины, мы рекомендуем использовать одну из этих услуг: https://www.bestchange.com или localbitcoins.com
Чтобы создать кошелек, идите на: blockchain.info
Перечислите средства на этот адрес: 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj
После оплаты отправьте нам ссылку на транзакцию или адрес вашего кошелька, и после получения 3-х подтверждений мы вышлем вам декодер.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ SynAck атакует главным образом англоговорящих пользователей и использует для этого брутфорс-технику (метод перебора пароля) с последующей ручной установкой вредоносного файла. Вероятнее всего используется установка через незащищенную конфигурацию RDP. Затем запускается самозачистка. 

➤ На ранней стадии выполнения SynAck проверяет работу ПК по своему списку стран, в том числе по раскладке клавиатуры. Если он находит соответствие своему белому списку стран, то засыпает на 300 секунд, а затем вызывает функцию ExitProcess для предотвращения шифрования файлов, принадлежащих жертве из этих стран.

➤ SynAck очищает все системные журналы событий.

➤ SynAck в новой версии модифицирует экран входа пользователя Windows следующим образом.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Пропускаются исполняемые файлы: .exe и другие. 

Файлы, связанные с этим Ransomware:
RESTORE_INFO-[ID].txt - записка с требованием выкупа; 
myfile.exe - исполнямый файл вымогателя; 
msiexec.pdb - название файла проекта Ransomware; 
<random>.exe - случайное название вредоносного файла. 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: synack@secmail.pro
synack@scryptmail.com
synack@countermail.com
BTC: 15n6gV8QUBsy2yh7wqLppWG4Fw4gsUTNAj
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ 
>>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 марта 2018:
Email: synack@scryptmail.com
synack@countermail.com
Записка (шаблон): ==READ==THIS==PLEASE==[id{8}].txt
Пример: ==READ==THIS==PLEASE==xxxxxxxx.txt


Содержание записки:
SynAck FES
(Files Encryption Software)
Dear client, we apoligize for inconvinience with your files.
So we make a business offer to order file recovery service from us.
We do not extort money, files restore is an optional service.
Also we will do auditing of your network FOR FREE if you order file recovery service.
Some details about SynAck FES:
This software uses ecies-secp192r1 algorithm to create unique pair of private and public keys for the session.
Each file is encrypted with random key using aes-ecb-256 algorithm.
We strongly recommend you not to use third-party decryptors because they can damage your files.
But if you want to try to restore your files by yourself, make sure you have made backup copies of encrypted files.
And please do not remove files with text notes, because they contain important information required for file restoring.
If you want to order file recovery service, please contact our support using one of the following e-mail addresses:
synack@scryptmail.com
synack@countermail.com
If you have not get a response in 24 hours, please do not panic and write on BitMessage (using site https://bitmsg.me/):
BM-2cTp9eosgjWs8SV14kYCDzPN3HJkwYk1LQ
Keep in mind that there are fake services offering decryption; do not believe them or you will lose your money.
Anyway, there is one method you can use for proof: ask to decrypt some files for free.
No one except us will be able to do that.
!!!!! PLEASE INCLUDE THE FOLLOWING TEXT IN YOUR MESSAGE !!!!
***6 lines and a quarter of random text***
Best regards,
SynAck Team.
=== SynAck FES ===
Пост на форуме >>


Обновление от 7 мая 2018:
SynAck стал использовать вредоносную технологию Doppelgänging, т.е. известную с декабря 2017 года технику внедрения вредоносного кода, которая способна обойти антивирусную защиту. Эта вредоносная техника работает через транзакции NTFS и потому позволяет избежать использования подозрительных процессов в памяти. Вредонос не сохраняется на диске, потому невидим для антивирусных продуктов и уже получил название "бестелесный вредонос". 
Атаки SynAck носят целевой характер и уже зафиксированы в США, Кувейте, Германии и Иране. Средний размер выкупа: 3000 долларов.
SynAck использует ECIES, гибридную схема шифрования на открытых ключах, основанную на эллиптических кривых. 


Обновление от 11 мая 2018:
Результаты анализов: HA + VT + VT


Сообщение от 12-13 августа 2021: 
Группа вымогателей SynAck выпустила главные ключи дешифрования после ребрендинга в El_Cometa.



В конце июля 2021 года SynAck была переименована в El_Cometa и вымогатели стали работать на новой платформе уже как RaaS, нанимая партнеров для взлома корпоративных сетей и развертывания своего шифратора.





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as SynAck)
 Write-up, Topic of Support
 Добавлено позднее:
 Статья ЛК о технике Doppelgänging >> (от 21 мая 2018 года)
Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать Emsisoft Decryptor для дешифровки >>
Прочтите подробную инструкцию перед запуском. 
 Thanks: 
 BleepingComputer, Lawrence Abrams
 Michael Gillespie
 Catalin Cimpanu 
 (victim in the topic of support)
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *