RestoLocker

RestoLocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: restolocker. На файле написано: restolocker.exe и WpfApplication1. Разработчик: Phantom.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> RestoLocker

К зашифрованным файлам добавляется расширение .HeroesOftheStorm

Изображение относится к игре

Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: What is it?.txt

Содержание записки о выкупе:
Hi. I encrypted your personal files. 
Heroes Of The Storm is the god game. But, people don't know that.
So, I made this program that make people to play Heroes Of The Storm.
To dectrypt your files, follow this procedure. First, You have to install Heroes Of The Storm. Second, Play Heroes Of The Storm 24hours. (Only Play Time Will Be Recorded)
NOW, Let's play the King God Emperor General Chungmoogong Majesty Game HEROES OF THE STORM
*Warning* Do NOT KILL This Program and Computer.


Имеется надпись:
Play Heroes Of The Storm and decrypt your files

Перевод на русский: 

Играй в "Герои Шторма" и расшифруешь свои файлы


Перевод записки на русский язык:
Привет. Я зашифровал твои личные файлы.
"Герои Шторма" - божественная игра. Но люди этого не знают.
Итак, я сделал эту программу, которая заставит людей играть в "Герои Шторма".
Чтобы дешифровать твои файлы, выполни следующую процедуру. Во-первых, тебе нужно установить Heroes Of The Storm. Во-вторых, играй в Heroes Of The Storm 24 часа. (Будет записано только время игры)
ТЕПЕРЬ, Давай сыграем в Короля-Бога-Императора-Генерала-Чунгмуганга-Величество-Игру "ГЕРОИ ШТОРМА"
* Предупреждение * НЕ ВЫРУБАЙТЕ эту программу и компьютер.


Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста с экрана:
Play Heroes Of The Storm!
Your personal files are encrypted
The King God Game Ever

Перевод на русский:
Играй в "Герои Шторма"
Твои личные файлы зашифрованы
Это Король-Бог-Игра

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Воспроизводит звуковой файл hiosu.wav из ресурсов WpfApplication1. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
restolocker.exe
What is it?.txt
\hiosu.wav
\test\

Расположения:
\Desktop\test\What is it?.txt
User_name\Documents\Visual Studio 2013\Projects\WpfApplication1\WpfApplication1\Resources\hiosu.wav

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: xxxxs://172.30.1.28/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 марта 2018:
Пост в Твиттере >>
Выглядит как ранний образец.
Результаты анализов: VB + VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Blackhat

Blackhat Ransomware

Blackhat H.F.D Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: Blackhat. На файле написано: MoWare H.F.D и Blackbat. Основан на MoWare H.F.D Ransomware.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> MoWare H.F.D > Blackhat H.F.D

К зашифрованным файлам добавляется расширение .H_F_D_locked

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your Personal Files has been Encrypted and Locked
Your documents, photos, databases and other important files have been encrypted with strongest encryption and locked with unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
Caution: Removing of Blackhat will not restore access to your encrypted files.
Frequently Asked Questions
What happened to my files ? understanding the issue
How can i get my files back ? the only way to restore your files
What should i do next ? Buy decryption key
Now you have the last chance to decrypt your files.
1. Buy Bitcoin (https://blockchain.info)
2. Send amount of 200 dollar to address: to 1LZnKJDsiygvLuYpbSJr1iyT6bav7VyWM5
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at blackhatdarkmatrix@gmail.com
Click here to restore and recovery your files

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы и блокированы
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с использованием самого сильного шифрования и защищены ключом, созданным для этого компьютера.
Частный ключ дешифрования хранится на секретном интернет-сервере, и никто не может расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
Предупреждение: Удаление Blackhat не восстановит доступ к вашим зашифрованным файлам.
Часто задаваемые вопросы
Что случилось с моими файлами? понимание проблемы
Как я могу вернуть свои файлы? только способ восстановить ваши файлы
Что я должен делать дальше ? Купить ключ дешифрования
Теперь у вас есть последний шанс для расшифровки файлов.
1. Купить биткоин (https://blockchain.info)
2. Отправить сумму в 200 долларов США на адрес: 1LZnKJDsiygvLuYpbSJr1iyT6bav7VyWM5
3. Для подтверждения транзакции требуется около 15-30 минут.
4. Когда транзакция подтвердится, отправьте нам письмо на blackhatdarkmatrix@gmail.com.
Нажмите здесь, чтобы восстановить и вернуть ваши файлы

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Пока шифрует только тестовую папку на рабочем столе и извлекает ключ XOR из локальный веб-сервера. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Blackbat.exe
\test\

Расположения:
\Desktop\test\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: blackhatdarkmatrix@gmail.com
BTC: 1LZnKJDsiygvLuYpbSJr1iyT6bav7VyWM5
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Crypto_Lab, CryptoLab-16

Crypto_Lab Ransomware

CryptoLab-16 Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателей, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле записки написано Crypto_Lab.

© Генеалогия: Plague17 (2014-2016) > AMBA > Crypto_Lab > Russenger > Dont_Worry > Plague17 (2018-2019)

К зашифрованным файлам добавляется составное расширение по шаблону .<email_ransom>-<random_ID{16}>

На данный момент так: .cde@onionmail.info-<random_ID{16}>

Примеры зашифрованных файлов:
document.doc.cde@onionmail.info-549d9d95435daeab
document.html.cde@onionmail.info-306afa0d68ca9dc3

Активность этого крипто-вымогателя пришлась на первую и вторую половину сентября 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Crypto_Lab.txt
Разбрасывается по всем папкам с зашифрованными файлами. 

Содержание записки о выкупе:
Вся Ваша информация на этом компьютере была зашифрована.
Для расшифровки обратитесь по нижеуказанным контактам.
------------------------------------------------------------
e-mail: cde@onionmail.info
Ваш код для разблокировки: 34567890
-----------------------------------
Если Вам приходит ответ, что почтовый адрес не существует:
1. Попробуйте написать нам с других емеил, mail.ru, yandex.ru;
2. Попробуйте написать через время.
Так же можете создать тему на форумах антивируса, например на xxxxs://virus.info/forumdisplay.php?f=46 ,
укажите свою почту и мы с Вами свяжемся.
------------------------------------------------------------
Все инструкции вы получите в ответном письме.
------------------------------------------------------------

Перевод записки на английский язык (in English):
All your information on this computer has been encrypted.
To decrypt refer to the contacts listed below.
------------------------------------------------------------
e-mail: cde@onionmail.info
Your code for unlock: 34567890
-----------------------------------
If you receive an answer that the mailing address does not exist:
1. Try to write to us from other emil, mail.ru, yandex.ru;
2. Try to write via the time.
You can also create a topic on anti-virus forums, for example on xxxxs://virus.info/forumdisplay.php?f=46 ,
specify your mail and we will contact you.
------------------------------------------------------------
You will receive all instructions in the reply letter.
------------------------------------------------------------

Примечательно, что адрес форума на VirusInfo в записке указан неправильный - virus.info.
Правильный адрес: www.virusinfo.info/forumdisplay.php?f=46

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Все файлы, возможно, кроме .dll, .exe.
Это наверняка документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и пр.

Файлы, связанные с этим Ransomware:
Crypto_Lab.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cde@onionmail.info
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

AMBA Family (семейство AMBA):
AMBA Ransomware - июнь, сентябрь 2016
Crypto_Lab Ransomware - сентябрь 2017
Russenger Ransomware - февраль 2018
Dont_Worry Ransomware - март-апрель 2018
Plague17 Ransomware - август 2019

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author)
 victims of the attack ransomware
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Incanto

Incanto Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано. 

© Генеалогия: Incanto > Craftul 

К зашифрованным файлам добавляется расширение .INCANTO

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!GetBackData!!!.txt

Содержание записки о выкупе:
All your important files were encrypted on this PC.
All files with .INCANTO extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet.
To retrieve the private key, you need to contact us by email incantofiles@bitmessage.ch send us an email your !!!GetBackData!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-2 not very big encrypted files and we will send you back it in a decrypted form free.
To send files you can use hxxx://dropmefiles.com/
Your personal id:
[redacted]
E-mail address to contact us:
incantofiles@bitmessage.ch
Reserve email address to contact us:
incantofiles@india.com

Перевод записки на русский язык:
Все ваши важные файлы были зашифрованы на этом ПК.
Все файлы с расширением .INCANTO зашифрованы.
Шифрование было создано с использованием уникального секретного ключа RSA-1024, созданного для этого компьютера.
Чтобы расшифровать ваши файлы, вам надо получить секретный ключ + программу дешифрования.
Единственная копия закрытого ключа, позволяющая расшифровать файлы, находится на секретном сервере в Интернете.
Чтобы получить секретный ключ, вам нужно связаться с нами по email incantofiles@bitmessage.ch, присылать нам в письме ваш файл !!!GetBackData!!!.txt и дождаться дальнейших инструкций.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы, вы можете отправить нам 1-2 не очень больших зашифрованных файла, и мы пришлём вам их в дешифрованном виде бесплатно.
Для отправки файлов вы можете использовать hxxx://dropmefiles.com/
Ваш личный ID:
Email-адрес для связи:
incantofiles@bitmessage.ch
Резервный email-адрес для связи с нами:
incantofiles@india.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!GetBackData!!!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: incantofiles@bitmessage.ch
incantofiles@india.com
См. ниже результаты анализов.

Результаты анализов:  НЕТ ОБРАЗЦА!!! / NO SAMPLE !!!
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новая статья: Graftul Ransomware >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Incanto)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SoFucked

SoFucked Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .fff

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READTHISHIT.txt
Другим информатором жертвы выступает изображение, встающее обоями рабочего стола.

Содержание записки о выкупе:
ok, your files are gone, sort of. they are all encrypted,
you cannot fix them, av companies won't help you. if you really
want to get them back you need to pay for them.
email me: sofucked@freespeechmail.org

Перевод записки на русский язык:
ок, ваши файлы пришли в негодность. все они зашифрованы,
вы не сможете их исправить, а АВ-компании не помогут. если вы точно 
хотите вернуть их, вам нужно заплатить за них.
мыльте мне: sofucked@freespeechmail.org

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
secret.key
READTHISHIT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SoFucked)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

HappyCrypter

HappyCrypter Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.9 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: HappyCrypter.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Видимо, пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки.

Содержание текста о выкупе:
Oh no!
All your personal files have been locked.
You will be unable to access them until the payment has been recived. Any new files you create will be encrypted. If you attempt to uninstall or tamper with this virus then all your files will be deleted permantly. You need to pay 0.9 bitcoin to have your files restored. Please pay into account  bitcoin.com/account/43243247623476762323423.fder32

Перевод текста  на русский язык:
О нет!
Все ваши личные файлы блокированы.
Вы не получите к ним доступ, пока платеж не будет получен. Все новые созданные вами файлы будут шифроваться. Если вы попробуете удалить или изменить этот вирус, то все ваши файлы будут удалены. Вам нужно заплатить 0.9 биткоина за восстановление файлов. Платите на аккаунт  bitcoin.com/account/43243247623476762323423.fder32

Другим информатором жертвы является следующее изображение.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HappyCrypter.exe
<image>

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ExoLock

ExoLock Ransomware

Ransomware Buider 

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.01 BTC (или любой другой), чтобы вернуть файлы. Оригинальное название: ExoLock. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: ExoLock > Atchbo 

К зашифрованным файлам добавляется расширение .exolocked

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
YOUR FILES HAVE BEEN ENCRYPTED
All files have been infected
Get decrypt your files in 4 steps
1. Go to "www.anvcoindirect.eu/en/buy/bitcoins"
2. Pay 0.01 bitcoins to the bitcoin Address below
3. Once confirmed your files will be decrypted
4. And you can enjoy your computer
If you try to CLOSE this procces or SHUTDOWN the computer,
your files will be DELETED FOREVER!!!
AND CANT BE RECOVERED!!!
Only way to RECOVER your files is to PAY 0.01 BTC
BTC Address: 1HYUJkWT6ndCZzs4PsdFKgkM2agXidPgEv

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Все файлы были заражены
Расшифруйте свои файлы за 4 шага
1. Идите на "www.anvcoindirect.eu/ru/buy/bitcoins"
2. Оплатите 0.01 биткоина на биткоин-адрес ниже
3. После подтверждения ваши файлы будут расшифрованы
4. И вы можете наслаждаться компьютером
Если вы попытаетесь ЗАКРЫТЬ этот процесс или ВЫКЛЮЧИТЬ компьютер,
ваши файлы будут удалены навсегда !!!
И НЕ СМОЖЕТЕ ВОССТАНОВИТЬ !!!
Только один способ ВОССТАНОВИТЬ ваши файлы - ПЛАТИТЬ 0.01 BTC
BTC-адрес: 1HYUJkWT6ndCZzs4PsdFKgkM2agXidPgEv

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ExoLock.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: www.anvcoindirect.eu/en/buy/bitcoins
BTC: 1HYUJkWT6ndCZzs4PsdFKgkM2agXidPgEv
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление ноября 2017: 
Посты в Твиттере: Leo, Karsten Hahn, MalwareHunterTeam
Название: Ransomware Buider by Exelic GHF
Расширение: .exo
Записка: UnlockYourFiles.txt
Сумма выкупа: настраивается любая. 
BTC-адрес: добавляется нужный. 
Файл: ExoBuilder.exe
Скриншоты записки, кода, кучи разбросанных файлов. 

 

Просто путает пользователя, сбрасывая большое количество файлов записок и блокирует экран с крупным текстом на обоях для большего эффекта. Простая перезагрузка Windows кнопкой "Reset" избавит от него. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.