Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

воскресенье, 10 сентября 2017 г.

SuperB

SuperB Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью 3DES + RSA-2048, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: SuperB. Написан на Python.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .enc

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа является файл Paint.lnk

Содержание записки о выкупе (реконструкция):
ALL THE FILES IN THIS COMPUTER HAS BEEN ENCRYPTED PICTURES FILES VIDEOS DOCUMENT EVERYTHING
IF YOU WANT TO DECRYPT YOUR FILES VISIT : http://qpmae76ondorha7n.onion. or http://qpmae76ondorha7n.onion.to
YOU MEED TO DOWNLOAD TOR BROWSER TO VIEW THE SITE AS IT IS HOSTED IN HIDDEN SERVICE
YOUR PERSONEL CODE IS :
JMsFlaPUnzy***Q/UGg=
YOU NEED THAT TO DECRYPT YOUR FILES
PLEASE VISIT OUR WEBSITE FOR MORE INFORMATION

*Красным цветом выделены слова с неправильным написанием или неанглийские по сути.

Перевод записки на русский язык:
ВСЕ ФАЙЛЫ НА ЭТОМ КОМПЬЮТЕРЕ БЫЛИ ЗАШИФРОВАНЫ ФОТОГРАФИИ ФАЙЛЫ ВИДЕО ДОКУМЕНТ ВСЕ
ЕСЛИ ВЫ ХОТИТЕ ВЕРНУТЬ ВАШИ ФАЙЛЫ ПОСЕТИТЕ: http://qpmae76ondorha7n.onion. или http://qpmae76ondorha7n.onion.to
ВАМ НУЖНО СКАЧАТЬ ТОР-БРАУЗЕР, ЧТОБЫ УВИДЕТЬ САЙТ, ПОСКОЛЬКУ ОН РАЗМЕЩЕН В СКРЫТОЙ СЛУЖБЕ
ВАШ ПЕРСОНАЛЬНЫЙ КОД:
JMsFlaPUnzy***Q/UGg=

ВАМ НУЖЕН, ЧТОБЫ РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ

ПОСЕТИТЕ НАШ ВЕБ-САЙТ ДЛЯ ПОЛУЧЕНИЯ ДОПОЛНИТЕЛЬНОЙ ИНФОРМАЦИИ

Содержание Tor-сайт вымогателей:

Страницы "Pay BTC" и "Support"

Страница "FAQ" (Вопросы и ответы)

По всей видимости содержание было заимствовано у крипто-вымогателя CryptorBit, который злодействовал ещё в 2014 году.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифруются все файлы, кроме тех, что имеют расширение .enc
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe
Paint.lnk - записка о выкупе, по факту "decrypt your files"
множество дроппированных файлов

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://qpmae76ondorha7n.onion
xxxxs://qpmae76ondorha7n.onion.link
xxxx://qpmae76ondorha7n.onion.cc
xxxx://qpmae76ondorha7n.onion.rip
BTC: 1MWDcP6Jwo5qUBCfNJvvWr551G3hkSoqzF
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SuperB)
 Write-up about CryptorBit (2014), Write-up on BC (2017)
 *

 Thanks: 
 Catalin Cimpanu‏ 
 Michael Gillespie
 MalwareHunterTeam
 Lawrence Abrams

Matrix-Locked_File

Matrix-Locked_File Ransomware

ex Locked_File Ransomware

(шифровальщик-вымогатель)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: Matrix > Matrix-Locked_File

К зашифрованным файлам добавляется составное расширение .locked_file по шаблону .[ransom_email].locked_file

В данном случае это: .[restoreassistant2@tutanota.com].locked_file

Зашифрованные файлы переименовываются до неузнаваемости.

Примеры зашифрованных файлов

Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !HOW_TO_UNLOCK_FILES!.html

Содержание записки о выкупе:
All your files have been encrypted with strong cryptographic algorithm!
It means you will not be able to access them anymore until they are decrypted with your unique decryptor!
If you will follow our instructions, we guarantee that you can decrypt all your files quickly and safely!
Attention! You have only 72 hours for reaction. After this time your unique decryption key will be deleted!
If you want to restore your files, please write us to the e-mail:
restoreassistant2@tutanota.com
For fast authentication you can send us few files for free decryption and your personal ID:
0545E96CA36C5955
Attention!
* Do not rename encrypted files.
* Do not try to uninstall the program or run antivirus software.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decoders of other users are incompatible with your data, each user has unique encryption key.
* For assurance you can send us up to 3 files for free decryption.
* Please note that files for free decryption must NOT contain valuable information and their total size must be less than 5Mb.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы сильным криптографическим алгоритмом!
Это значит, что вы больше не сможете получить к ним доступ, пока они не будут дешифрованы с помощью вашего уникального дешифратора!
Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровывать все ваши файлы!
Внимание! У вас есть только 72 часа для действия. По истечении этого времени ваш уникальный ключ дешифрования будет удален!
Если вы хотите восстановить свои файлы, напишите нам на e-mail:
restoreassistant2@tutanota.com
Для быстрой аутентификации вы можете отправить нам несколько файлов для бесплатного дешифрования и ваш личный идентификатор:
0545E96CA36C5955
Внимание!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь удалить программу или запустить антивирусную программу.
* Не пытайтесь расшифровывать свои данные с помощью сторонней программы, это может привести к постоянной потере данных.
* Декодеры других пользователей несовместимы с вашими данными, каждый пользователь имеет уникальный ключ шифрования.
* Для гарантии вы можете отправить нам до 3 файлов для бесплатного дешифрования.
* Обратите внимание, что файлы для бесплатного дешифрования НЕ должны содержать ценную информацию, а их общий размер должен быть меньше 5 МБ.

✋Email restoreassistant@... использовался ранее в Matrix (Malta) Ransomware. См. там блок обновлений после статьи от 10 июля и 14 августа 2017. Возможно, что и этот вымогатель относится к Matrix Ransomware.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!HOW_TO_UNLOCK_FILES!.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
restoreassistant2@tutanota.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Сначала этот крипто-вымогатель идентифицировался в ID Ransomware как Locked_File, но 2 февраля 2019 года была подтверждена принадлежность этого вымогателя к одной из вредоносных кампаний Matrix Ransomware. Идентификация перемещена в Matrix.

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (1st ID as Locked_File, new ID as Matrix)
 Write-up, Topic of Support
 *

 Thanks: 
 Leo, Michael Gillespie
 Andrew Ivanov
 *
 *

пятница, 8 сентября 2017 г.

ArmaLocky

ArmaLocky Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Выдаёт себя за крипто-вымогателя Locky, создает в реестре Run-ключ "locky", добавляет в записку его название и набор символов. На exe-файле написано: MlsoSvc.exe. Для зашифрованных файлов используется маркер "lockyc".

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .armadilo1

Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:
_Locky_HELP_.html
_ReadMe_.txt

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!
All of your files are encrypted with RSA-4096 and AES-256 ciphers.
More information about the RSA and AES can be found here:
xxxxs://en.wikipedia.org/wiki/RSA_(cryptosystem)
xxxxs://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, winch is on our secret server.
The sever will destroy the key within 72 hours after encryption completed. After that, nobody and never will be able to restore files.
To receive your private key follow these steps:
1. Download and install Tor Browser: xxxxs://www.torproject.org/download/download-easy.html.en
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: ***
4. Follow the instructions on the site.
!!! Your personal identification ID: !!!
zip password: Lky1234

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!
Все ваши файлы зашифрованы шифрами RSA-4096 и AES-256.
Более подробную информацию о RSA и AES можно найти здесь:
xxxxs://en.wikipedia.org/wiki/RSA_(cryptosystem)
xxxxs://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Расшифровка ваших файлов возможна только с помощью закрытого ключа и программы расшифровки, что находится на нашем секретном сервере.
Сервер уничтожит ключ через 72 часа после шифрования. После чего никто и никогда не сможет восстановить файлы.
Чтобы получить свой секретный ключ, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxxs://www.torproject.org/download/download-easy.html.en
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: ***
4. Следуйте инструкциям на сайте.
!!! Ваш личный ID: !!!
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MlsoSvc.exe
_Locky_HELP_.html
_ReadMe_.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ArmaLocky)
 Write-up, Topic of Support
 *

 Thanks: 
 Karsten Hahn‏, Lawrence Abrams
 Michael Gillespie
 *
 *

среда, 6 сентября 2017 г.

DilmaLocker

DilmaLocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Dilma Locker. Фальш-имя: Adobe Acrobat Reader DC. На файле написано: AdobeRd32.exe.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .__dilmaV1

★ Для справки:
На фото экрана блокировки Дилма Русеф, экс-президент Бразилии.

Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на бразильских полтугалоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Скриншот экрана DilmaLocker

Содержание текста с экрана:
Oops, todos os seus arquivos foram criptografados!!!
Seus documentos: fotos, vídeos, bancos de dados e outros arquivos importantes foram criptografados utilizando o algoritmo AES de 256 bits (mesma criptografia utilizada pelo governo americano para proteger segredos de estado), ou seja, é impossível recuperar seus arquivos sem a senha correta!
Caso haja interesse em obter essa senha e recuperar seus arquivos, recomendamos que entre em contato e siga as instruções!
Em 4 dias seus arquivos serão DELETADOS!
Leia o arquivo 'RECUPERE_SEUS_ARQUIVOS.html' que foi criado em sua área de trabalho.
Contato: dilmaonion@keemail.me

Перевод текста на русский язык:
К сожалению, все ваши файлы были зашифрованы !!!
Ваши документы: фото, видео, базы данных и другие важные файлы были зашифрованы с использованием алгоритма AES-256 (такое шифрование используется правительством США для защиты государственных секретов), т.е. невозможно восстановить файлы без правильного пароля!
Если вы заинтересованы в получении этого пароля и восстановлении файлов, мы рекомендуем вам связаться с нами и следовать инструкциям!
Через 4 дня ваши файлы будут удалены!
Прочтите файл RECUPERE_SEUS_ARQUIVOS.html, который был создан на вашем рабочем столе.
Контакт: dilmaonion@keemail.me

Текстовая записка с требованием выкупа называется: RECUPERE_SEUS_ARQUIVOS.html

Примечательно, что шифровальщик ещё сообщает о зашифрованных файлах в диалогом окне, где в заголовке указано его "имя" по классификации вирусов "Лабораторией Касперского". Очень похоже, во всяком случае.

Надпись в диалоговом окне:
Seus arquivos foram criptografados

Перевод на русский:
Ваши файлы были зашифрованы

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (PDF.EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Alex-Barbosa--curriculo-vitae--2017.rar
Alex-Barbosa--curriculo-vitae-2017.pdf.exe
AdobeRd32.exe
RECUPERE_SEUS_ARQUIVOS.html
dilminha.dat

Расположения:
\Desktop\RECUPERE_SEUS_ARQUIVOS.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
dilmaonion@keemail.me
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as DilmaLocker)
 Write-up, Topic of Support
 *

 Thanks: 
 xXToffeeXx
 Michael Gillespie
 *
 *

HkCrypt

HkCrypt Ransomware
Hacked Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью RC4, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: Hk Inc. На файле написано: Hk Inc.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .hacked

Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на англоязычных, испаноязычных, итальянских и турецких пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа написаны на четырёх языках: английском, итальянском, испанском и турецком.
@readme_English.txt
@Leggimi_decrypt_Italian.txt
@Readme_Spanish.txt
How_to_decrypt_files.txt

В качество обоев Рабочего стола ставится изображение hacked.jpg

Другим информатором жертвы выступает экран блокировки.

Содержание записки о выкупе:
All of your files were protected by a strong encryption with RSA4096
What happened to my files ?
Decrypting of your files is only possible with the help of private key and decryp
How can i get my files back ?
the only way to restore your files ...
So, there are two ways you can choose
1- wait for a miracle and get your price doubled
2- or restore your data easy way if you have really valuable data you better not waste your time, because there is no other way to get your files, except make a payment
What should i do next ? Buy decryption key
1. Buy Bitcoin (https://blockchain.info)
2. Send amount of 0.5 BTC to address: 131mixvnmnijg1lDP3ZrTTakx3qJLpb675o
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at payment.hkdecrypt@mail.ru
5. Write subject of your mail with : HACKED
6. Write content of your mail with : - Restore my files Bitcoin payment : (YOUR BITCOIN TRANSACTION ID)

Перевод записки на русский язык:
Все ваши файлы были защищены сильным шифрованием с помощью RSA4096
Что случилось с моими файлами?
Расшифровка ваших файлов возможна только с помощью закрытого ключа и декриптера
Как я могу вернуть свои файлы?
единственный способ восстановить ваши файлы ...
Итак, вы можете выбрать два способа:
1- дождаться чуда и удвоить цену
2- или восстановить ваши данные простым способом, если у вас правда ценные данные, вам лучше не тратить время, потому что нет другого способа получить ваши файлы, кроме оплаты
Что я должен делать дальше ? Купить ключ дешифрования
1. Купить биткоины (https://blockchain.info)
2. Отправить сумму в 0,5 BTC по адресу: 131mixvnmnijg1lDP3ZrTTakx3qJLpb675o
3. Для подтверждения транзакции потребуется около 15-30 минут.
4. Когда транзакция подтвердится, отправьте нам письмо на адрес payment.hkdecrypt@mail.ru
5. Напишите тему вашего письма: HACKED
6. Напишите содержимое вашего письма: - Восстановите мои файлы биткоин-платёж: (ID ВАШЕЙ БИТКОИН-ТРАНЗАКЦИИ)

Технические детали

Фальшивый экран обновлений Windows

Список файловых расширений, подвергающихся шифрованию:

._vc, .123, .13t, .1pa, .2012, .2013, .2014, .2015, .2016, .2017, .210, .3dm, .3ds, .3g2, .3gp, .500, .7z, .aac, .aaf, .accd, .ach, .aci, .aep, .aepx, .aes, .aet, .ai, .aif, .amj, .as, .as3, .asc, .asf, .asm, .asp, .asx, .avi, .back, .bak, .bat, .bay, .bc9, .bmp, .brd, .bz2, .c, .cal, .cd, .cdr, .cdt, .cdx, .cfp, .cgm, .cgn, .clas, .clk, .cmd, .cmx, .cnt, .cntk, .cpp, .cpt, .cpx, .cs, .csl, .css, .csv, .cur, .dac, .dat, .db, .dbf, .dch, .dcr, .dds, .des, .dif, .dip, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsf, .dtd, .dwg, .dxf, .e, .ebc, .ebq, .efx, .eml, .epb, .eps, .ert, .ets, .fim, .fla, .flac, .flv, .fmv, .fon, .fpx, .frm, .fx0, .fx1, .fxr, .gdb, .gem, .gif, .gpc, .gz, .h, .hpp, .html, .hwp, .iban, .ibd, .ico, .idml, .iff, .iif, .img, .indb, .indd, .indl, .indt, .inx, .ipe, .ipg, .itf, .jar, .java, .jng, .jp2, .jpeg, .jpg, .js, .jsp, .kdc, .lay, .lay6, .lcd, .ldf, .let, .lgb, .log, .lua, .lz, .m, .m14, .m3u, .m3u8, .m4a, .m4u, .m4v, .mac, .max, .mda, .mdb, .mdf, .mef, .met, .mhtm, .mid, .mkv, .mml, .mny, .mov, .mp2, .mp3, .mp4, .mpa, .mpe, .mpeg, .mpg, .ms11, .msg, .mx0, .myd, .mye, .myi, .myox, .n43, .nd, .nef, .npc, .nv2, .oab, .obi, .odb, .odc, .odg, .odm, .odp, .ods, .odt, .ofc, .ofx, .old, .orf, .ost, .otg, .otp, .ots, .ott, .paq, .pas, .pat, .pcd, .pct, .pcx, .pdb, .pdd, .pdf, .per, .pfb, .php, .pic, .pl, .plb, .plt, .pmd, .png, .pns, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptx, .prel, .prf, .prn, .prpr, .ps, .psd, .psp, .pst, .ptb, .ptx, .py, .qb20, .qba, .qbb, .qbi, .qbk, .qbm, .qbmb, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qcow, .qdf, .qfx, .qif, .qpd, .qsd, .qsm, .qss, .qst, .qtx, .qwc, .qxf, .r3d, .ra, .raf, .rar, .raw, .rb, .rif, .rm, .rsspptm, .rtf, .rtp, .rw2, .rwl, .rz, .s7z, .saj, .sba, .sch, .sct, .sdf, .ses, .set, .shw, .sldm, .sldx, .slk, .slp, .sql, .sqli, .sr2, .srf, .ssg, .stc, .std, .sti, .str, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .t09, .t10, .t11, .t13, .t14, .t15, .tar, .tax, .tax2, .tbk, .tbp, .text, .tfx, .tga, .tgz, .tif, .tiff, .tlg, .tt12, .tt13, .tt14, .tt15, .tt20, .ttf, .txf, .txt, .uop, .uot, .v30, .vb, .vbs, .vcf, .vdi, .vmdk, .vmx, .vob, .vsd, .wav, .wb2, .wi, .wk1, .wk3, .wk4, .wks, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .x3f, .xcf, .xhtm, .xla, .xlam, .xlc, .xlk, .xll, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xpm, .xqx, .yuv, .zdb, .ziparc, .zipx (399 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hacked.jpg
<malware_name>.lnk
<random>.exe
@readme_English.txt
@Leggimi_decrypt_Italian.txt
@Readme_Spanish.txt
@Readme_turkish.txt
How_to_decrypt_files.txt

Расположения:
%Desktop%\hacked.jpg
%Desktop%\<malware_name>.lnk
%Desktop%\@readme_English.txt
%Desktop%\@Leggimi_decrypt_Italian.txt
%Desktop%\@Readme_Spanish.txt
%Desktop%\@Readme_turkish.txt
%Desktop%\How_to_decrypt_files.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: payment.hkdecrypt@mail.ru
BTC: 131mixvnmnijglDPJZrTTakX3qJLpb675o
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Сообщение от 25 марта 2019:
Emsisoft совместно с Майклом Джиллеспи выпустили дешифровщик для файлов, зашифрованных этим Ransomware. Сcылка на статью >>

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Скачайте Emsisoft Decrypter для HKCrypt по ссылке >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Hacked)
 Write-up, Topic of Support
 *

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *

Revolution

Revolution Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: нет данных.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .revolution

Активность этого крипто-вымогателя пришлась на начало сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: InfoFiles.txt

Содержание записки о выкупе:
All your important files were encrypted on this PC.
All files with .revolution extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet.
To retrieve the private key, you need to contact us by email getyourfilles@bigmir.net send us an email your InfoFiles.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-2 not very big encrypted files and we will send you back it in a decrypted form free.
To send files you can use xxxx://dropmefiles.com/
Do not waste your time! After 72 hours the main server will double your price!
Your personal id:
wQWg6WdxLZ8nJhND9yOFgrvc2X5mdzak21V2gmu7
E-mail address to contact us:
getyourfilles@bigmir.net
Reserve email address to contact us:
getyourfilles@india.com

Перевод записки на русский язык:
Все ваши важные файлы зашифрованы на этом ПК.
Все файлы с расширением .revolution зашифрованы.
Шифрование было сделано с уникальным закрытым ключом RSA-1024, созданным для этого компьютера.
Чтобы расшифровать ваши файлы, вам надо получить секретный ключ + программу расшифровки.
Отдельная копия закрытого ключа, которая позволит вам расшифровать файлы, находится на секретном сервере в Интернете.
Чтобы получить секретный ключ, вам нужно связаться с нами по email getyourfilles@bigmir.net, присылайте нам в письме свой файл InfoFiles.txt и дождитесь дальнейших инструкций.
Для вас мы можем расшифровать ваши файлы - вы можете отправить нам 1-2 небольших зашифрованных файла, и мы отправим вам его в дешифрованной форме бесплатно.
Для отправки файлов вы можете использовать xxxx://dropmefiles.com/
Не тратьте свое время! Через 72 часа основной сервер удвоит вашу цену!
Ваш личный идентификатор:
wqwg6wdxlz8njhnd9yofgrvc2x5mdzak21v2gmu7
Адрес email, чтобы связаться с нами:
getyourfilles@bigmir.net
Резервный email-адрес, чтобы связаться с нами:
getyourfilles@india.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
InfoFiles.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: getyourfilles@bigmir.net (Украина)
getyourfilles@india.com
xxxx://dropmefiles.com/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 *

 Thanks: 
 (victim in the topic of support)
 *
 *
 *

Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

воскресенье, 10 сентября 2017 г.

SuperB

SuperB Ransomware

(шифровальщик-вымогатель)

Matrix-Locked_File

Matrix-Locked_File Ransomware

ex Locked_File Ransomware

(шифровальщик-вымогатель)

Translation into English

пятница, 8 сентября 2017 г.

ArmaLocky

ArmaLocky Ransomware

(шифровальщик-вымогатель)

среда, 6 сентября 2017 г.

DilmaLocker

DilmaLocker Ransomware

(шифровальщик-вымогатель)

HkCrypt

HkCrypt Ransomware
Hacked Ransomware

(шифровальщик-вымогатель)

Revolution

Revolution Ransomware

(шифровальщик-вымогатель)

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

воскресенье, 10 сентября 2017 г.

SuperB Ransomware

(шифровальщик-вымогатель)

Matrix-Locked_File Ransomware

ex Locked_File Ransomware

(шифровальщик-вымогатель)

пятница, 8 сентября 2017 г.

ArmaLocky Ransomware

(шифровальщик-вымогатель)

среда, 6 сентября 2017 г.

DilmaLocker Ransomware

(шифровальщик-вымогатель)

HkCrypt Ransomware Hacked Ransomware

(шифровальщик-вымогатель)

Revolution Ransomware

(шифровальщик-вымогатель)

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

воскресенье, 10 сентября 2017 г.

пятница, 8 сентября 2017 г.

среда, 6 сентября 2017 г.

HkCrypt Ransomware
Hacked Ransomware