Stroman

Stroman Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $500, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .stroman

Активность этого крипто-вымогателя пришлась на вторую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: readinfo.txt

Содержание записки о выкупе:
All your data set are encrypted.
We can help decrypted files.
Price for full decrypt all files 500$
You will get decrypt soft + personal key + manual.
For recover your files - contact us email:
BM-2cUunjtSxYEd6Ase6hbhVyvMBVzXPUVdvu@bitmessage.ch
Please use public email for contact: gmail etc.
For you to be sure, that we can decrypt your files
You can send us 1-2 encrypted files and we will send back it in a decrypt format FREE.
For download files use only dropmefiles.com not more then 10 Mb
Send us an email:
1.your Personal ID 
2.link dropmefiles.com 
after wait decrypted files and further instructions.
Personal ID:
[redacted]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it cause pernament data loss
Not use false encryption key, it cause pernament data loss
You must pay within 72 hours, or the price will be more.

Перевод записки на русский язык:
Все ваши данные зашифрованы.
Мы можем помочь расшифровать файлы.
Цена за полное дешифрование всех файлов 500 $
Вы получите программу расшифровки + личный ключ + руководство.
Для восстановления ваших файлов - свяжитесь с нами по email:
BM-2cUunjtSxYEd6Ase6hbhVyvMBVzXPUVdvu@bitmessage.ch
Пожалуйста, используйте общедоступный email для связи: gmail и т.д.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы
Вы можете отправить нам 1-2 зашифрованных файла, и мы отправим их в расшифрованном виде БЕСПЛАТНО.
Для скачивания файлов используйте только dropmefiles.com не более 10 Мб
Отправьте нам письмо:
1. Ваш личный идентификатор
2. ссылку в dropmefiles.com
после ожидайте расшифрованные файлы и дальнейшие инструкции.
Персональный ID:
[Отредактировано]
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью программ сторонних разработчиков, это приведёт к потере данных.
Не используйте фальшивый ключ шифрования, это приведёт к потере данных
Вы должны заплатить в течение 72 часов, или цена будет больше.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readinfo.txt
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: BM-2cUunjtSxYEd6Ase6hbhVyvMBVzXPUVdvu@bitmessage.ch
См. ниже результаты анализов.

Результаты анализов: НЕТ ОБРАЗЦА!!! / NO SAMPLE !!!
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 19 октября 2017: 

Расширение: .protos

Записка:  readinfo.txt

*

Обновление от 11 ноября 2017: 

Расширение: .fat32
Сумма выкупа: $700
Email: BM-2cVCMjYXg5ZwLi2t6mETUeQYhMNDmbfFA2@bitmessage.ch
Тема на форуме >>
Записка:  info.txt
<< Скриншот записки

Содержание записки: 
Your data set are encrypted.
We can help decrypted files.
Price for full decrypt all files 700$
You will get decrypt soft + personal key + manual.
For recover your files - contact us email:
BM-2cVCMjYXg5ZwLi2t6mETUeQYhMNDmbfFA2@bitmessage.ch
Please use public email for contact: gmail etc.
For you to be sure, that we can decrypt your files
You can send us 1-2 encrypted files and we will send back it in a decrypt format FREE.
For download files use only dropmefiles.com not more then 10 Mb
Send us an email:
1.Personal ID
2.link dropmefiles.com
after wait decrypted files and further instructions.
Personal ID:
Hef0b1e0pI2y98boOKa7ciG2lUV8XIHAdoC5me99
Do not rename encrypted files
Not use false encryption key, it cause pernament data loss
You must pay within 72 hours, or the price will be more.


Обновление от 2 января 2018:
Расширение: .gigahertz
Пост в Твиттере >>
Сумма выкупа: $700
Email: BM-2cSs3qfF5wo1x6EQbsXJX3nwkzJwYx9R98@bitmessage.ch
Записка: info.txt

<< Скриншот записки

➤Содержание записки: 
Your data set are encrypted.
We can help decrypted files.
Price for full decrypt all files $700 usd
You will get decrypt soft + personal key + manual.
For recover your files - contact us email:
BM-2cSs3qfF5wo1x6EQbsXJX3nwkzJwYx9R98@bitmessage.ch
Please use public email for contact: gmail etc.
For you to be sure, that we can decrypt your files
You can send us 1-2 encrypted files and we will send back it in a decrypt format FREE.
For download files use only dropmefiles.com not more then 10 Mb
Send us an email:
1.Personal ID
2.link dropmefiles.com
after wait decrypted files and further instructions.
Personal ID:
*****
Not use false encryption key, it cause pernament data loss
You can send a message within 72 hours, or the price will be more.



Обновление от 30 мая 2018: 
Пост на форуме >>
Пост в Твиттере >>
Расширение: .insta
Записка: filesinfo.txt
Email: BM-2cXpE68uaYtydjuGBRqMUF2DVazFJj4Xvz@bitmessage.ch
➤ Содержание записки: 
All files with .insta extension are encrypted.
We can help decrypted files.
You will get decrypt soft + personal key(for your personal id) + manual.
For you to be sure, that we can decrypt your files
You can send us 1-2 encrypted files and we will send back it in a decrypt format FREE.
For download files use only dropmefiles.com not more then 10 Mb
Send us an email:
1.Personal ID 
2.link dropmefiles.com 
after wait decrypted files and further instructions.
You can send a message within 72 hours after encrypting, else full decrypt will be heavily.
Please use public email for contact: gmail etc.
For recover your files - contact us email:
BM-2cXpE68uaYtydjuGBRqMUF2DVazFJj4Xvz@bitmessage.ch
Your personal ID:
oTiuT7P8Ge9VOQiL5wu2d4XogaUqYdE8RI66

Обновление от 20 июля 2018:
Пост в Твиттере >>
Расширение: .like
Записка: infoinfo.txtEmail: BM-2cWrd12TuEzGmnPMHBMwmB32w45fZ5rZS3@bitmessage.ch
➤ Содержание записки: 
Your data set are encrypted.
All files with .like extension are encrypted.
We can help decrypted files.
You will get decrypt soft + personal key(for your personal id) + manual.
For you to be sure, that we can decrypt your files
You can send us 1-2 encrypted files and we will send back it in a decrypt format FREE.
For download files use only dropmefiles.com not more then 10 Mb
Send us an email:
1.Personal ID
2.link dropmefiles.com
after wait decrypted files and further instructions.
You can send a message within 72 hours after encrypting, else full decrypt will be heavily.
Please use public email for contact: gmail etc.
For recover your files - contact us email:
BM-2cWrd12TuEzGmnPMHBMwmB32w45fZ5rZS3@bitmessage.ch
Your personal ID:
[redacted 36 alphanumeric]

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Stroman)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Locky-Asasin

Locky-Asasin Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.25 BTC, чтобы вернуть файлы. Оригинальное название. На файле может быть написано, что угодно. По факту это новая итерация Locky. См. видео-обзор Locky-Asasin Ransomware по ссылке.

This Locky's logo was developed on this site ID-Ransomware.RU

© Генеалогия: Locky >> Locky-Asasin

К зашифрованным файлам добавляется расширение .asasin

С использованием расширения .asasin зашифрованные и переименованные файлы будут иметь "шестиэтажное" название и называться примерно так: 
755JU7CW-GNSP-FP00-918CB723-CF1B62832172.asasin
755JU7CW-GNSP-FP00-8646FA43-9BB033FB05E5.asasin
5DYGW691-P3PQ-SH8E-9B9400BA-2947DBA41C00.asasin
5DYGW691-P3PQ-SH8E-76198F85-4049D69A0548.asasin

Разложим на составляющие названия файл 755JU7CW-GNSP-FP00-918CB723-CF1B62832172.asasin

755JU7CW — первые восемь 16-ричных символов от ID 755JU7CWGNSPFP00
GNSP — другие четыре 16-ричных символов от ID 755JU7CWGNSPFP00
FP00 — другие четыре 16-ричных символов от ID 755JU7CWGNSPFP00
918CB723 — восемь 16-ричных символов, входящих в переименованное название файла
CF1B62832172 — двенадцать 16-ричных символов, входящих в переименованное название. 

Шаблон можно записать так:
[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[8_hexadecimal_chars]-[12_hexadecimal_chars].asasin
короче
[first_8_hex_chars_id]-[next_4_hex_chars_id]-[next_4_hex_chars_id]-[8_hex_chars]-[12_hex_chars].asasin
ещё короче
[8_hex_chars_id]-[4_hex_chars_id]-[4_hex_chars_id]-[8_hex_chars]-[12_hex_chars].asasin
в цифрах
8-4-4-8-12

Пример зашифрованных файлов и записка о выкупе

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Страна распространения: Испания. 

Записки с требованием выкупа называются: 
asasin.htm
asasin-<random{4}>.htm или в шаблоне asasin-<[a-z][0-9]{4}>
примеры: asasin-4364.htm, asasin-d158.htm

Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
***
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: xxxxs://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: g46mbrrzpfszonuk.onion/755JU7CWGNSPFP00
4. Follow the instructions on the site.
!!! Your personal identification ID: 755JU7CWGNSPFP00 !!!

Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы шифрами RSA-2048 и AES-128.
Более подробную информацию о RSA и AES можно найти здесь:
хххх://en.wikipedia.org/wiki/RSA_ (криптосистема)
хххх://en.wikipedia.org/wiki/Advanced_Encryption_Standard
Расшифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифровки, которая находится на нашем секретном сервере.
Чтобы получить свой секретный ключ, следуйте одной из ссылок:
***
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Torбраузер: xxxxs://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: g46mbrrzpfszonuk.onion/755JU7CWGNSPFP00
4. Следуйте инструкциям на сайте.
!!! Ваш персональный ID: 755JU7CWGNSPFP00 !!!

Записка с требования выкупа дублируется скринлоком, встающим обоями рабочего стола. Это файл asasin.bmp. 

После перехода по ссылка на Tor-сайт вымогателей пострадавший узнает о сумме, которую ему нужно выплатить, например, в данном случае это 0.25 BTC.

Скриншот сайта Locky Decryptor с требованиями

Содержание аналогично предыдущим, например, см. Locky-Ykcol Ransomware.

Технические детали

Распространяется через email-спам, письма которых имеют тему "Document invoice_95649_sign_and_return.pdf is complete" и как вложение 7z-архив invoice_95649_sign_and_return.7z. В нём находится VBS-файл, который при выполнении загружает исполняемый файл Locky с удаленного сайта и выполняет его. 

 

В VBS-файле содержатся один или несколько URL-адресов, которые скрипт будет использовать для загрузки исполняемого файла Locky-Asasin в папку %Temp%, а затем запустит его, чтобы шифровать файлы. 

Название темы может быть и другим, например, просто "Invoice" с датой, буквенно-цифровой архив или записан как-то иначе. 

Примечательно, что распространители этих спам-писем в этой вредоносной кампании неправильно добавляют вложения, что приводит к тому, что получатели эти вложения не увидят, кроме части текста в base64, как показано на изображении ниже. Более того, снова для вложений используются 7z-архивы, которые большинство людей не смогут открыть. 

Спам-письмо с неправильным вложением

Возможно, что не все письма такие "неправильные" и не факт, что вся вредоносная кампания именно такая. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, ботнетов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Как стало известно позже, ботнет Necurs распространяет небольшой загрузчик Necurs, который затем устанавливает Locky Ransomware. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe или XFfiJK.exe
asasin.htm
asasin-4364.htm
invoice_86790_sign_and_return.7z {VBS} - вредоносное вложение к письму.
asasin.bmp

Расположения:
%TEMP%\XFfiJK.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://g46mbrrzpfszonuk.onion/***
g46mbrrzpfszonuk.onion/755JU7CWGNSPFP00
g46mbrrzpfszonuk.onion/5DYGW691P3PQSH8E
86.109.170.20:80 (Испания)
xxxx://shahanabiomedicals.com/iugftrs2***
xxxx://deltasec.net/iugftrs2***
xxxx://deltasec.net/images/***
xxxx://nsaflow.info/p66/iugftrs2***
xxxx://www.iesvalledelsegura.es/web2/***
BTC: 1EKiMyqWaqhfaZkGRvqjMdoXtZnUkGmSHd
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  HA+
VirusTotal анализ >>  VT+
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 октября 2017:
Пост в Твиттере >>
На файле написано: DriverMaker
Файл: Driver.exe
Tor: g46mbrrzpfszonuk.onion/***
Результаты анализов: HA+VT 
Связанные хосты: Украина, Германия
<< Скриншот записки
Результаты анализов ещё: HA+VT
Связанные хосты: Германия, Испания, Китай, США, Россия и другие

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Locky)
 Write-up, Topic of Support
🎥  Video review

 Thanks: 
 GrujaRS, Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

AnonCrack

AnonCrack Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: AnonCrack. На файле написано: Paypal Money Sender V2.0. Выдаётся за приложение для PayDay. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> AnonCrack

К зашифрованным файлам добавляется расширение .crack

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: PAGO.txt

Содержание записки о выкупе:
 Tu computador ha sido hackeado y encriptado by ANONCRACK ...!
¿COMO RECUPERAR TUS ARCHIVOS?
1. Realiza el pago de 30 USD ha esta dirección bitcoin : 1CvWhugm6QbHisVvhyRuKn81kQgVVs4ov8
2. Envia una captura del pago y nombre de tu PC ha este correo: anoncrack@protonmail.com
3. Una vez verificado tu pago, te enviaremos la KEY de DESENCRIPTACION
4. Disfruta de tus archivos personales
Tus amigos ANONCRACK ;)

Перевод записки на русский язык:
Ваш компьютер был взломан и зашифрован ANONCRACK ...!
КАК ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ?
1. Сделайте платеж в размере 30 долларов по этому биткойн-адресу: 1CvWhugm6QbHisVvhyRuKn81kQgVVs4ov8
2. Отправьте номер платежа и имя вашего ПК по email: anoncrack@protonmail.com
3. Как только ваш платеж будет проверен, мы отправим вам КЛЮЧ ДЕШИФРОВАНИЯ
4. Наслаждайтесь своими личными файлами
Ваши друзья ANONCRACK;)

Запиской с требованием выкупа также выступает изображение на Рабочем столе.

Содержание записки о выкупе:
TODOS ARCHIVOS HAN SIDO ENCRIPTADOS
Sus archivos han sido cifrados por ANONCRACK
Pero no se preocupe!!! Usted los puede recuperar, pagando 30 USD en bitcoin. Para más información Por favor lea el documento PAGO.txt, ubicado en su escritorio. 
ADVERTENCIA:
El precio subirá a 100 USD si no paga en los próximos 7 días. 
ANONCRACK

Перевод записки на русский язык:
ВСЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
Ваши файлы были зашифрованы с помощью ANONCRACK
Но не волнуйтесь!!! Вы можете их восстановить, заплатив 30 долларов за биткоин. Для получения информации прочтите документ PAGO.txt, расположенный на рабочем столе.
ПРЕДУПРЕЖДЕНИЕ:
Цена возрастёт до 100 долларов США, если вы не заплатите в течение следующих 7 дней.
ANONCRACK

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Paypal_generator.rar
Paypal Money Sender V2.0.exe
PAGO.txt

Расположения:
\Desktop\PAGO.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://pruebame123.000webhostapp.com/Ransomware/write.php - C2
Email: anoncrack@protonmail.com
BTC: 1CvWhugm6QbHisVvhyRuKn81kQgVVs4ov8
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BugWare

BugWare Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA для ключа, а затем требует выкуп в криптовалюте Monero, чтобы вернуть файлы. Оригинальное название: BugWare. На файле написано: PDF DOCUMENT и doc_2017100200000-15.pdf.exe. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется составное расширение по шаблону .[SLAVIC@SECMAIL.PRO].BUGWARE

Изображение жука в шифровальщике

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на бразильских и португалоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: отсутствует. Текст о выкупе скрыт в экране блокировки. 

Запиской с требованием выкупа выступают экран блокировки и изображение, встающее обоями рабочего стола.

Содержание текста о выкупе:
Olá,
Infelizmente, todos seus arquivos pessoais e banco de dados foram criptografados com algoritmos usados pelo governo com uma chave de 256 bits, mas não se assuste, ha uma solução fácil e segura para obter seus arquivos de volta, pagando a quantia de MIL REAIS em uma moeda virtual chamada MONERO para o Endereço que se encontra logo acima.
-
Assim que o você fizer o pagamento envie para o meu Email o codigo gerado na transação junto com a Sua Identificação que se encontra logo acima e também a senha criptografada com RSA-2048 que se encontra no campo de texto acima.
-
Atenção:
Não perca seu tempo procurando soluções para descriptografar de graça os arquivos usando programas na INTERNET,eles corromperão seus arquivos tornando a descriptografia impossivel mesmo com a chave correta.
VOCÊ TEM APENAS 72HORAS PARA FAZER 0 PAGAMENTO E DESCRIPTOGRAFAR SEUS ARQUIVOS CASO CONTRARIO SEUS ARQUIVOS SERÃO APAGADOS!
-
COMO COMPRAR MONERO:
Para comprar monero você precisa comprar bitcoins, use o site https://foxbit.com.br/ 
para comprar bitcoin,depois de comprado,compre o monero com seu bitcoin no site https://poloniex.com/
Abaixo alguns tutoriais no youtube:
https://www.youtube.com/watch?v=ZNwl63g66eI
https://www.youtube.com/watch?v=pUUxe68D_ek
-
CASO QUEIRA PAGAR EM OUTRA CRIPTOMOEDA ENTRE EM CONTATO PELO EMAIL ACIMA!
-

Перевод текста на русский язык:
Привет,
К сожалению, все ваши личные файлы и базы данных были зашифрованы с помощью правительственных алгоритмов с ключом 256-бит, но не паникуйте, есть простое и безопасное решение для возврата ваших файлов путем оплаты тысячи реалов в одну виртуальную валюту, называемую MONERO, на адрес, который находится чуть выше.
-
Как только вы сделаете платеж, отправьте на мой E-mail код, сгенерированный в транзакции, вместе с вашим Идентификатором, который находится выше, а также пароль, зашифрованный с помощью RSA-2048, который находится в текстовом поле выше.
-
Обратите внимание:
Не тратьте время на поиск решений для дешифрования файлов с помощью программ в сети Интернет, они испортят ваши файлы, что сделает невозможным дешифрование даже с помощью правильного ключа.

У ВАС ЕСТЬ ТОЛЬКО 72 ЧАСА, ЧТОБЫ СДЕЛАТЬ ОПЛАТУ И РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ, ИНАЧЕ ВАШИ ФАЙЛЫ БУДУТ УДАЛЕНЫ!

-
КАК КУПИТЬ MONERO:
Чтобы купить monero, вам нужно купить биткоины, используя сайт https://foxbit.com.br/
купить биткойн, после покупки купить monero на ваши биткоины на сайте https://poloniex.com/
Ниже несколько руководств на Youtube:
https://www.youtube.com/watch?v=ZNwl63g66eI
https://www.youtube.com/watch?v=pUUxe68D_ek
-
ЕСЛИ ВЫ ХОТИТЕ ПЛАТИТЬ В ДРУГИХ КРИПТОВАЛЮТАХ СВЯЖИТЕСЬ C НАМИ ПО EMAIL ВЫШЕ!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (PDF.EXE), обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
doc_2017100200000-15.pdf.exe (7-zip)
bugware.exe или <random>.exe
bugware.bmp или wpp.bmp - изображение на обои Рабочего стола
Lista.log 

Расположения:
%AppData%\Lista.log
%Desktop%\bugware.bmp

Записи реестра, связанные с этим Ransomware:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BUGWARE\
HKCU\SOFTWARE\BUGWARE\Arquivos
HKCU\SOFTWARE\BUGWARE\Chavepriv8
HKCU\SOFTWARE\BUGWARE\Enviado
HKCU\SOFTWARE\BUGWARE\ID

HKCU\SOFTWARE\BUGWARE\prazo
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: slavic@secmail.pro
URL: xxxx://dedamento-vendas.xyz/***

xxxx://getrichordietryin.xyz/***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 октября:
Пост в Твиттере >>
https://twitter.com/malwrhunterteam/status/918403062993182720
Расширение: .[SLAVIC@SECMAIL.PRO].CRIPTOGRAFADO
На файле написано:  D.O.C.U.M.E.N.T.O
Файлы: boleto-atualizado-7853.docx.scr и boleto-atualizado-7852.exe
BTC: 1PNFVruiLaN4Bh8Jgbw5LEjMaxGBMZvoXc
Результаты анализов: VT
Скриншоты экрана блокировки, списка стран и обоев рабочего стола.
Срок уплаты выкупа увеличился с 72 часов до 168 (неделя), но так ли это. 
Разработчик оставил в ресурсах неприятный мем о женщинах с надписями в виде поговорки. 

---

Обновление от 18 октября 2017:
Пост в Твиттере >>
Расширение: .[MAXVISION@SECMAIL.PRO].CRIPTOGRAFADO
Файлы: conversa-whatsapp-backup.scr
*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BugWare)
 Write-up, Topic of Support
 * 

Added later:
Write-up by Zscaler (December 2, 2017)
*
*

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Zscaler
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Atchbo

Atchbo Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в от 0.007 BTC, чтобы вернуть файлы. Оригинальное название: Atchbo Ransomware. На файле написано: Atchbo Ransomware2.0v.exe

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: ExoLock > Atchbo 

К зашифрованным файлам добавляется расширение .exo

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: UnlockYourFiles[0-49].txt

С номерами до 49-ти. Они разбрасываются на рабочем столе. 

В записке указан новый BTC-адрес, но осталась от ExoLock старая сумма выкупа в 0.01 bitcions. 

Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста о выкупе:
All files have been infected
Get decrypt your files in 4 steps
1.Go to "www.anycoindirect.eu/en/buy/bitcoins"
2.Pay 0.007 bitcoins to the BITCOIN Address in one of the Desktop Text Files
3.Once confirmed your files will be decrypted
4. And you can ENJOY your computer
BTC Address: 12Y9boJMf7UF3WRb5SReWTPdh7B8Gjxrnk

Перевод текста на русский язык:
Все файлы были заражены
Расшифруйте свои файлы за 4 шага
1. Идите на "www.anycoindirect.eu/ru/buy/bitcoins"
2. Платите 0.007 биткоина на BITCOIN-адрес в одном из текстовых файлов на рабочем столе
3. После подтверждения ваши файлы будут расшифрованы
4. И вы сможете НАСЛАЖДАТЬСЯ своим компьютером
BTC адрес: 12Y9boJMf7UF3WRb5SReWTPdh7B8Gjxrnk

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Удаляет теневые копии файлов на диске "C" командой:
vssadmin.exe delete shadows /for=c: /all

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Atchbo Ransomware2.0v.exe
ExoGUI.exe
UnlockYourFiles[0-49].txt

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: exolockexolock.000webhostapp.com (145.14.145.179 Нидерланды)
BTC: 12Y9boJMf7UF3WRb5SReWTPdh7B8Gjxrnk
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 21 января 2018:
BTC: 1HYUJkWT6ndCZzs4PsdFKgkM2agXidPgEv
URLs: 
xxxx://basicinfo-logsnotif00.000webhostapp.com/recovery-answer.html
xxxx://panampekanbaru123.000webhostapp.com/cekpoint-loogin-1.html
xxxx://juijd.000webhostapp.com/
xxxxs://sites-fb-recovery-2018.000webhostapp.com/recovery-answer.html
Результаты анализов: HA + VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Atchbo)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.