Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

пятница, 1 декабря 2017 г.

Test CryptoMix

Test CryptoMix Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Frtan. На файле написано: Frtan.exe. Фальш-копирайт: Alibaba Group.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: CryptoMix >> CryptoMix Revenge > Test CryptoMix

К зашифрованным файлам добавляется расширение .TEST

Примеры зашифрованных файлов:
1AED817642C6C312C87585DE45ECA75A.TEST
1CB7EDC01677AD4CC77334F0199D9194.TEST
1CD850591F5EFE618035157D21C4E2A9.TEST

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
test757@tuta.io
test757@protonmail.com
test757xz@yandex.com
test757xy@yandex.com
test757@consultant.com
Please send email to all email addresses! We will help You as soon as possible!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-[id] number

Перевод записки на русский язык:
Привет!
Все Ваши данные зашифрованы!
Для подробной информации отправьте нам email с Вашим ID номером:
test757@tuta.io
test757@protonmail.com
test757xz@yandex.com
test757xy@yandex.com
test757@consultant.com
Отправьте email на все email-адреса! Мы поможем Вам как можно быстро!
ВАЖНО: НЕ ИСПОЛЬЗУЙТЕ ПУБЛИЧНЫЙ СОФТ! ЭТО МОЖЕТ ПОВРЕДИТЬ ВАШИ ДАННЫЕ НАВСЕГДА!
DECRYPT-ID-[id] number

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов и публичного софта. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: test757@tuta.io
test757@protonmail.com
test757xz@yandex.com
test757xy@yandex.com
test757@consultant.com
См. ниже результаты анализов.

Связанные публичные ключи:
Этот вариант также, как и предыдущие, содержит 11 общедоступных ключей RSA-1024, которые используются для шифрования AES-ключа, используемого для шифрования файлов жертвы. Это позволяет шифровальщику работать автономно без сетевого подключения.

Ключи те же, что и в предыдущем варианте 0000 CryptoMix.
См. ключи в статье на сайте BC.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая или средняя.
Подробные сведения собираются регулярно.

*

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
Azer, Noob, Exte, Pirate, CK, Zayka, Zero, DG - июль 2017
Ogonia, Error, Empty, Arena - август 2017
Shark - сентябрь 2017
x1881, Coban - октябрь 2017
XZZX, 0000, Test - ноябрь 2017
WORK, FILE, Tastylock - декабрь 2017
SERVER, System - январь 2018
MOLE66 - март 2018

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up, Topic of Support
 *

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *

HC7

HC7 Ransomware

GOTYA Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) и SHA256, а затем требует выкуп в $500-$700 в BTC за каждый ПК или $5000 за всю сеть предприятия, чтобы вернуть файлы. Оригинальное название не указано. Написан на Python.

© Генеалогия: HC6 > HC7

К зашифрованным файлам добавляется расширение .gotya или .GOTYA

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RECOVERY.TXT

Содержание записки о выкупе (два разных варианта):
ALL YOUR FILES WERE ENCRYPTED.
TO RESTORE THIS FILE, YOU MUST SEND $700 BTC FOR MASCHINE
OR $5,000 BTC FOR ALL NETOWRK
ADDRESS: 1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6
AFTER PAYMENT SENT EMAIL m4zm0v@keemail.me
ALONGWITH YOUR DENTITY: TVNHT0JTMDk=
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK
---

ALL YOUR FILES WERE ENCRYPTED.
TO RESTORE, YOU MUST SEND $500 BTC FOR ONE COMPUTER
OR $5,000 BTC FOR ALL NETWORK
ADDRESS: 1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
AFTER PAYMENT SENT EMAIL m4zn0v@keemail.me
ALONG WITH YOUR IDENTITY: REVWRUxPUEVSLTA4
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK

Перевод записки на русский язык:
Все ваши файлы были зашифрованы.
Чтобы восстановить, вы должны отправить $500 в BTC за один компьютер
или $5000 за всю сеть
Адрес: 1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
После оплаты отправьте email на m4zn0v@keemail.me
Вместе с вашей идентификацией: REVWRUxPUEVSLTA4
Не выключайте компьютер, если он не сломается

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

HC7 использует пароль, передаваемый через командную строку.

Идентификатор жертвы, сохраняемый в записке о выкупе, создается путем добавления 9-ки к имени компьютера, а затем результат кодируется в base64.

Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .3gp, .7z, .accdb, .aes, .ai, .apk, .ARC, .arch00, .arw, .asc, .asf, .asm, .asp, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .biz, .bkf, .bkp, .blob, .bmp, .brd, .bsa, .cab, .cas, .cdr, .cer, .cfr, .cgm, .class, .cmd, .cpp, .cr2, .crt, .crw, .csr, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbf, .dbfv, .dch, .dcr, .der, .desc, .dif, .dip, .djv, .djvu, .dmp, .dng, .doc, .docb, .docm, ~~.docm~~, .docx, .DOT, .dotm, .dotx, .dwg, .dxg, .epk, .eps, .erf, .esm, .exe, .ff, .fla, .flv, .forge, .fos, .fpk, .frm, .fsh, .gdb, .gho, .gpg, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .hwp, .ibank, .ibd, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jpeg, ~~.jpeg~~, .jpg, .js, .kdb, .kdc, .key, .kf, .lay, .lay6, .layout, .lbf, .ldf, .lic, .litemod, .log, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mid, .mkv, .mlx, .mml, .mov, .mp3, .mpeg, .mpg, .mpqge, .mrwref, .ms11(Securitycopy), .MYD, .MYI, .ncf, .NEF, .nrw, .ntl, .ocx, .odb, .odc, .odm, .odp, .ods, ~~.ods~~, .odt, .orf, .otg, .ots, .ott, .p12, .p7b, .p7c, .pak, .PAQ, .pas, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppam, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qcow2, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sch, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .snx, .sql, .SQLITE3, .SQLITEDB, .sr2, .srf, .srt, .srw, .stc, .stw, .sum, .svg, .swf, .sxc, .sxm, .sxw, .syncdb, .t12, .t13, .tar, .tar.bz2, .tar.gz, .tax, .tbk, .tgz, .tif, .tiff, .tor, .unity3d, .uot, .upk, .upx, .vbs, .vdf, .vdi, .vfs0, .vhd, .vhdx, .vmdk, .vmx, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlc, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xlw, .xml, .xxx, .zip, .ztmp (285 расширений). Замеченные дубли зачёркнуты и не считаются.

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, файлы wallet.dat, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ, файлы интернет-банкинга, налоговые декларации и пр. пр.

Файлы, связанные с этим Ransomware:
RECOVERY.TXT
hc7.exe
diskimagemounter.exe

Расположения:
C:\RECOVERY\RECOVERY.TXT и во всех папках с зашифрованными файлами.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: m4zm0v@keemail.me
BTC: 1JFjQ8JA6d5QYVXYijUkpx2eBFTgyz77ch
1FhvGZeUDGr4a6EshsgBr1wXpgom547wCK
1FcVZiLC6w5eARhmRhtAifyrRgudG9kfJ
1PE9ryU3Zp5k42TbQPBi6YA9tURrsPr7J9
1GgzdjARzVYvaUNNL66LQfNPqCVbfFYmKM
1M4RY6Q3vXhjtvGwRBkD2bqV9HdnJ5QSBS
1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6
1NYaVPJGEFzwCzYsvp5swNTDiU2so1BvKx
14QQ9RAcAMyFQWnPTWt2JedsHYG6GUupAk
1G7sCE1rSKZh4kif6a8hLU1fSn3sxg8Yp5
1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
15aM71TGtRZRrY97vdGcDEZeJYBWZhf4FP
15PbYxKuH8KNdxzUeuXqr5VctuKQxdEPeE
19AyaPNbimiCgNbCFQ2fWCw5ArySB1SCAi
+ новые
1CoxQUgDxbxcxFuU7u3nBZRYitouNJKyZs
1ADFwZU8pR2z2CUUMNNRnczWUFkjBLybRj
14waKKzAEQbTmM1Wyfax2N1cgjJbHjhH7J
1C9veduaMxAy5nEAxBqwLqZ33ujPfeZ8z9

См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >> + HA >>
VirusTotal анализ >> + VT >> + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 декабря 2017:
Добавлена функция тестирования.
Добавлено удаление теневых копий.
Идёт работа над новым вариантом HC9. См. вторую ссылку HA.

Обновление от 13 декабря 2017:
Пост в Твиттере >>

Расширение: .DS335
Записка: RECOVER.txt
Email: m4zn0v@keemail.me
BTC: 1C9veduaMXAy5nEAxBqwLqZ33ujPfeZ8z9
Файл: backupsvcp.exe
Результаты анализов: VT

Обновление от 28 декабря 2017:
Расширение: .QUILT
Записка: RECOVER.txt
Email: m4zn0v@keemail.me
BTC: 17XLpF9d2zT85P3PoQS2NB86G3coqJa84q
Содержание записки о выкупе:
ALL FILES WERE ENCRYPTED.
TO RESTORE, YOU MUST SEND $700 BTC FOR ONE COMPUTER
OR $3,500 FOR ENTIRE NETWORK
ADDRESS: 17XLpF9d2zT85P3PoQS2NB86G3coqJa84q
BEFORE PAYMENT SENT EMAIL m4zn0v@keemail.me
ALONG WITH YOUR IDENTITY:
AND A SAMPLE FILE AS PROOF OF DECRYPT
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK
Топик на форуме >>

Обновление от 9 января 2018:
Условное название: HC9 Ransomware
Расширение: .PLANETARY
Записка: recover_your_fies.txt
Email: m4rk0v@tutanota.de
Содержание записки:
ALL FILES ARE ENCRYPTED.
TO RESTORE, YOU MUST SEND $700 EQUIVALENT FOR ONE COMPUTER
OR $5,000 FOR ALL NETWORK
PAYMENTS ACCEPTED VIA BITCOIN, MONERO AND ETHEREUM
BTC ADDRESS: [bitcoin_address]
MONERO (XMR) ADDRESS: [monero_address]
CONTACT US WHEN ETHEREUM PAYMENT INFORMATION
BEFORE PAYMENT SENT EMAIL m4rk0v@tutanota.de
ALONG WITH YOUR IDENTITY: [base64_encoded_computer_name]
INCLUDE SAMPLE ENCRYPTED FILE FOR PROOF OF DECRYPT
NOT TO SHUT OFF YOUR COMPUTER, UNLESS IT WILL BREAK
Перевод записки на русский язык:
Все файлы зашифрованы.
Чтобы восстановить, вы должны отправить эквивалент 700$ США за один компьютер
или $5000 за всю сеть
Платежи принимаются через Биткоин, Monero и Ethereum
BTC-адрес: [биткойн_адрес]
Monero-адрес (XMR): [monero_адрес]
Свяжитесь с нами, если нужна информация о платеже Ethereum
Перед оплатой отправьте email m4rk0v@tutanota.de
Вместе с вашей идентификацией: [base64_encoded_computer_name]
Включите образец зашифрованного файла для подтверждения расшифровки
Не отключайте компьютер, если он не сломается
Статья на BC >>

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую изучить статью по этой ссылке >>
🔐
После восстановления своих ключей таким образом, нужно 
запустить hc6Decrypter, ввести ключ и дешифровать файлы.

 Read to links: 
 Tweet on Twitter + Tweet + Tweet
 ID Ransomware (ID as hc7)
 Write-up, Topic of Support
 *

Added later:
Write-up on BC (December 7, 2017)
Write-up on yrz.io (December 7, 2017)
*

 Thanks: 
 victims in the topics of support
 Michael Gillespie
 Andrew Ivanov
 *

ClicoCrypter-2

ClicoCrypter-2 Ransomware

(тест-шифровальщик)

Этот крипто-вымогатель тест-шифрует данные с помощью AES (режим ECB, PKCS5Padding), а затем выводит определённый текст. Оригинальное название: CLICO Cryptor (написано на веб-странице). Написан на языке Java.

© Генеалогия: ClicoCrypter > ClicoCrypter-2

К зашифрованным файлам добавляется расширение .enc

Образец этого крипто-вымогателя получен в начале декабря 2017 г. Ориентирован на англоязычных и польскоязычных пользователей.

Запиской можно считать веб-страницу вымогателя.

Содержание текста с веб-страницы:
CLICO Cryptor info page
Cryptor tests AV and sandbox products and general process of malware detection.
If you see this and you are not malware resaercher please let us know: epgorgpl (-@-) gmail (dot) com

Перевод текста на русский язык:
Информационная страница CLICO Cryptor
Cryptor тестирует продукты AV и песочницы и общий процесс обнаружения вредоносных программ.
Если вы видите это, и вы не являетесь исследователем вредоносов, пожалуйста, сообщите нам: epgorgpl (- @ -) gmail (dot) com

Требования выкупа, хоть и необычными можно считать текст из следующего окна:

Содержание текста из этого окна:
Clico Cryptor says: We are watching you
---
Wszystkie twoje pliki zostały zaszyfrowane. Aby je odzyskać oplac podatek za psa, kota no i chomika. Nastepnie wejdź na stoi i krzyknij "Hokus pokus czary mary odszyfruj moje dane stary". Twoje pliki zostana przywrocone.
Masz na to 15 minut
KLUCZ SZYFRUJĄCY:
4e6ff2ce08accb7ad01ce4d212***

Перевод текста из этого окна:
Clico Cryptor говорит: Мы наблюдаем за вами
---
Все ваши файлы зашифрованы. Чтобы вернуть их, заплатите налог за собаку, кошку и хомяка. Затем выходите на стенд и кричите "Фокус-покус, чери-мэри, расшифруйте мои старые данные". Ваши файлы будут восстановлены.
У вас есть 15 минут для этого
КЛЮЧ ШИФРОВАНИЯ:
4e6ff2ce08accb7ad01ce4d212***

Технические детали

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as ClicoCrypter)
 Write-up, Topic of Support
 *

 Thanks: 
 Karsten Hahn‏
 Lawrence Abrams
 Andrew Ivanov
 *

WantMoney

Want Money Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Want Money Ransomware. Разработчик: TheYuCheng.

© Генеалогия: XiaoBa >> WantMoney

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на китайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _Want Money_.txt

На этом скриншоте записка вместе с экраном блокировки.

Другим информатором жертвы выступает изображение _Want Money_.bmp, встающее обоями Рабочего стола. Это изображение в стиле Petya Ransomware.

Содержание записки о выкупе:
Simplified Chinese:
*** 中文相似的文字 ***
*** similar text in Chinese ***
*** тот же китайский текст ***

English:
Can not find the file you need?
Can not open your file?
Do not worry, all your files are only encrypted by "Want Money Ransomware."
Want to retrieve all your files? You only have to pay a small fee
Send 0.1 bitcoins to the following address:
17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
After payment send e-mail to the specified e-mail address
E-mail address: B32588601@163.com
Mail title: Request to decrypt
E-mail content: Your ID + your payment information
After sending you will get a reply, reply to the message contains the Key, please enter in the input box to decrypt the file.
What is Bitcoin? Please go to Baidu or Google search for details
There are more questions? Please contact email: B32588601@163.com
note! Please do not modify the file after the stop, or the file will not be restored, try not to restart the system.

Перевод записки на русский язык:
Не можете найти нужный файл?
Не можете открыть файл?
Не волнуйтесь, все ваши файлы зашифрованы "Want Money Ransomware".
Хотите получить все свои файлы? Вы должны заплатить небольшую плату
Отправьте 0.1 биткоина на следующий адрес:
17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
После оплаты отправьте письмо на указанный email-адрес
Email-адрес: B32588601@163.com
Название письма: Request to decrypt (Запрос на дешифровку)
Содержимое email: ваш идентификатор + ваши платежные данные
После отправки вы получите ответ, ответ на сообщение содержит ключ, введите его в поле ввода, чтобы расшифровать файл.
Что такое биткойн? Пожалуйста, перейдите на Baidu или Google для поиска подробной информации.
Есть еще вопросы? Свяжитесь с нами по email: B32588601@163.com
заметка! Не изменяйте файл после остановки или файл не будет восстановлен, попробуйте не перезапускать систему.

Технические детали

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 *

 Thanks: 
 Karsten Hahn
 *
 *
 *

среда, 29 ноября 2017 г.

WannaPeace

WannaPeace Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.08 BTC, чтобы вернуть файлы. Оригинальное название: WannaPeace. На файле написано: RzW и RzW.exe. Разработчик: @AnonymousBr.

© Генеалогия: WannaCry > fake! > WannaPeace

К зашифрованным файлам добавляется приставка _enc к оригинальному расширению файла (между именем и расширением):
имя-файла_enc.расширение-файла
name_enc.extension

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на португалоязычных (бразильских) пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
@AnonymousBr - WannaPeace
Desculpe.., seus arquivos foram encriptados!
Permita nos apresentar como Anonymous, e Anonymous apenas.
Nós somos uma idéia. Uma idéia que não pode ser contida, perseguida nem aprisionada.
Milhares de seres humanos estão nesse momento rufigiados. feridos, com fome e sofrendo...
Todos como vítimas de uma guerra que não é nem mesmo deles!!!
Mas infelizmente apenas palavras não mudarão a situação desses seres humanos...
NAO queremos os seus arquivos ou lhe prejudicar.... queremos apenas uma pequena contribuição...
Lembre-se... contribuindo você não vai estar apenas recuperando os seus arquivos...
...e sim ajudando a recuperar a dignidade dessas vitimas...
Envie a sua contribuição de apenas: 0.08 Bitcoins para carteira/endereço abaixo.
17W7XEfA6gVwCpUJghVFPTwTWwwDnnRJU5

Перевод записки на русский язык:
@AnonymousBr - WannaPeace
Извините, ваши файлы были зашифрованы!
Пожалуйста, принимайте нас как Anonymous, и только Anonymous.
Мы - идейные. Идея может содержаться, преследоваться или заключаться в тюрьму.
Тысячи людей сейчас брошены. ранены, голодные и страдающие ...
Все как жертвы войны, которая даже не их война!!!
Но, к сожалению, только слова не изменят положение этих людей ...
Мы НЕ хотим, чтобы ваши файлы были повреждены .... мы хотим только небольшой вклад ...
Помните ... вы вносите свой вклад не только в восстановление ваших файлов ...
... но помогая восстановить достоинство этих жертв ...
Пожалуйста, пришлите свой взнос только: 0.08 биткоины в портфолио / адрес ниже.
17W7XEfA6gVwCpUJghVFPTwTWwwDnnRJU5

Технические детали

Пока находится в разработке и тестирует только папку C:/testes. Маскируется под приложение Adobe Reader XI.

После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RzW.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 17W7XEfA6gVwCpUJghVFPTwTWwwDnnRJU5
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Ⓥ VirusBuy анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WannaPeace)
 Write-up, Topic of Support
 *

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *

Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

пятница, 1 декабря 2017 г.

Test CryptoMix

Test CryptoMix Ransomware

(шифровальщик-вымогатель)

HC7

HC7 Ransomware

GOTYA Ransomware

(шифровальщик-вымогатель)

ClicoCrypter-2

ClicoCrypter-2 Ransomware

(тест-шифровальщик)

WantMoney

Want Money Ransomware

(шифровальщик-вымогатель)

среда, 29 ноября 2017 г.

WannaPeace

WannaPeace Ransomware

(шифровальщик-вымогатель)

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

пятница, 1 декабря 2017 г.

Test CryptoMix

Test CryptoMix Ransomware

(шифровальщик-вымогатель)

HC7

HC7 Ransomware

GOTYA Ransomware

(шифровальщик-вымогатель)

ClicoCrypter-2

ClicoCrypter-2 Ransomware

(тест-шифровальщик)

WantMoney

Want Money Ransomware

(шифровальщик-вымогатель)

среда, 29 ноября 2017 г.

WannaPeace

WannaPeace Ransomware

(шифровальщик-вымогатель)

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

пятница, 1 декабря 2017 г.

среда, 29 ноября 2017 г.