ClicoCrypter-2

ClicoCrypter-2 Ransomware

(тест-шифровальщик)

Этот крипто-вымогатель тест-шифрует данные с помощью AES (режим ECB, PKCS5Padding), а затем выводит определённый текст. Оригинальное название: CLICO Cryptor (написано на веб-странице). Написан на языке Java. 

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: ClicoCrypter > ClicoCrypter-2

К зашифрованным файлам добавляется расширение .enc

Образец этого крипто-вымогателя получен в начале декабря 2017 г. Ориентирован на англоязычных и польскоязычных пользователей.

Запиской можно считать веб-страницу вымогателя. 

Содержание текста с веб-страницы:
CLICO Cryptor info page 
Cryptor tests AV and sandbox products and general process of malware detection. 
If you see this and you are not malware resaercher please let us know: epgorgpl (-@-) gmail (dot) com

Перевод текста на русский язык:
Информационная страница CLICO Cryptor
Cryptor тестирует продукты AV и песочницы и общий процесс обнаружения вредоносных программ.
Если вы видите это, и вы не являетесь исследователем вредоносов, пожалуйста, сообщите нам: epgorgpl (- @ -) gmail (dot) com


Требования выкупа, хоть и необычными можно считать текст из следующего окна:

Содержание текста из этого окна:
Clico Cryptor says: We are watching you
---
Wszystkie twoje pliki zostały zaszyfrowane. Aby je odzyskać oplac podatek za psa, kota no i chomika. Nastepnie wejdź na stoi i krzyknij "Hokus pokus czary mary odszyfruj moje dane stary". Twoje pliki zostana przywrocone.
Masz na to 15 minut
KLUCZ SZYFRUJĄCY:
4e6ff2ce08accb7ad01ce4d212***

Перевод текста из этого окна:
Clico Cryptor говорит: Мы наблюдаем за вами
---
Все ваши файлы зашифрованы. Чтобы вернуть их, заплатите налог за собаку, кошку и хомяка. Затем выходите на стенд и кричите "Фокус-покус, чери-мэри, расшифруйте мои старые данные". Ваши файлы будут восстановлены.
У вас есть 15 минут для этого
КЛЮЧ ШИФРОВАНИЯ:
4e6ff2ce08accb7ad01ce4d212***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Clicocryptor.jar
Instrukcja.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://epg.org.pl/cryptor.php
Email: epgorgpl@gmsil.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ exe-файла >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as ClicoCrypter)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn‏
 Lawrence Abrams
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

WantMoney

Want Money Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.1 BTC, чтобы вернуть файлы. Оригинальное название: Want Money Ransomware. Разработчик: TheYuCheng.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: XiaoBa >> WantMoney

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на китайскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _Want Money_.txt

На этом скриншоте записка вместе с экраном блокировки. 

Другим информатором жертвы выступает изображение _Want Money_.bmp, встающее обоями Рабочего стола. Это изображение в стиле Petya Ransomware. 

Содержание записки о выкупе:
Simplified Chinese:
*** 中文相似的文字 ***
*** similar text in Chinese ***
*** тот же китайский текст ***

English:
Can not find the file you need?
Can not open your file?
Do not worry, all your files are only encrypted by "Want Money Ransomware."
Want to retrieve all your files? You only have to pay a small fee
Send 0.1 bitcoins to the following address:
17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
After payment send e-mail to the specified e-mail address
E-mail address: B32588601@163.com
Mail title: Request to decrypt
E-mail content: Your ID + your payment information
After sending you will get a reply, reply to the message contains the Key, please enter in the input box to decrypt the file.
What is Bitcoin? Please go to Baidu or Google search for details
There are more questions? Please contact email: B32588601@163.com
note! Please do not modify the file after the stop, or the file will not be restored, try not to restart the system.

Перевод записки на русский язык:
Не можете найти нужный файл?
Не можете открыть файл?
Не волнуйтесь, все ваши файлы зашифрованы "Want Money Ransomware".
Хотите получить все свои файлы? Вы должны заплатить небольшую плату
Отправьте 0.1 биткоина на следующий адрес:
17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
После оплаты отправьте письмо на указанный email-адрес 
Email-адрес: B32588601@163.com
Название письма: Request to decrypt (Запрос на дешифровку)
Содержимое email: ваш идентификатор + ваши платежные данные
После отправки вы получите ответ, ответ на сообщение содержит ключ, введите его в поле ввода, чтобы расшифровать файл.
Что такое биткойн? Пожалуйста, перейдите на Baidu или Google для поиска подробной информации.
Есть еще вопросы? Свяжитесь с нами по email: B32588601@163.com
заметка! Не изменяйте файл после остановки или файл не будет восстановлен, попробуйте не перезапускать систему.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_Want Money_.txt
_Want Money_.bmp
619f2b5a609889b8_hcxn92m4j9.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: B32588601@163.com, TheYuCheng@yeah.net
BTC: 17SGfA1QSffaDMnG3TXEC4EiLudjLznQR6
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

WannaPeace

WannaPeace Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.08 BTC, чтобы вернуть файлы. Оригинальное название: WannaPeace. На файле написано: RzW и RzW.exe. Разработчик: @AnonymousBr.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: WannaCry > fake! > WannaPeace

К зашифрованным файлам добавляется приставка _enc к оригинальному расширению файла (между именем и расширением):
имя-файла_enc.расширение-файла
name_enc.extension

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на португалоязычных (бразильских) пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
@AnonymousBr - WannaPeace
Desculpe.., seus arquivos foram encriptados!
Permita nos apresentar como Anonymous, e Anonymous apenas.
Nós somos uma idéia. Uma idéia que não pode ser contida, perseguida nem aprisionada.
Milhares de seres humanos estão nesse momento rufigiados. feridos, com fome e sofrendo...
Todos como vítimas de uma guerra que não é nem mesmo deles!!!
Mas infelizmente apenas palavras não mudarão a situação desses seres humanos...
NAO queremos os seus arquivos ou lhe prejudicar.... queremos apenas uma pequena contribuição...
Lembre-se... contribuindo você não vai estar apenas recuperando os seus arquivos...
...e sim ajudando a recuperar a dignidade dessas vitimas...
Envie a sua contribuição de apenas: 0.08 Bitcoins para carteira/endereço abaixo.
17W7XEfA6gVwCpUJghVFPTwTWwwDnnRJU5

Перевод записки на русский язык:
@AnonymousBr - WannaPeace
Извините, ваши файлы были зашифрованы!
Пожалуйста, принимайте нас как Anonymous, и только Anonymous.
Мы - идейные. Идея может содержаться, преследоваться или заключаться в тюрьму.
Тысячи людей сейчас брошены. ранены, голодные и страдающие ...
Все как жертвы войны, которая даже не их война!!!
Но, к сожалению, только слова не изменят положение этих людей ...
Мы НЕ хотим, чтобы ваши файлы были повреждены .... мы хотим только небольшой вклад ...
Помните ... вы вносите свой вклад не только в восстановление ваших файлов ...
... но помогая восстановить достоинство этих жертв ...
Пожалуйста, пришлите свой взнос только: 0.08 биткоины в портфолио / адрес ниже.
17W7XEfA6gVwCpUJghVFPTwTWwwDnnRJU5

Технические детали

Пока находится  в разработке и тестирует только папку C:/testes. Маскируется под приложение Adobe Reader XI. 

После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RzW.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 17W7XEfA6gVwCpUJghVFPTwTWwwDnnRJU5
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Ⓥ VirusBuy анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WannaPeace)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MaxiCrypt

MaxiCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы заплатить выкуп в # BTC и вернуть файлы. Оригинальное название: MaxiCrypt (указано в записке). На файле написано: нет данных.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Amnesia ? ⇔ MaxiCrypt

К зашифрованным файлам добавляется составное расширение по шаблону .[maxicrypt@cock.li].maxicrypt
Сами файлы переименовываются. 


Активность этого крипто-вымогателя пришлась на конец ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How to restore your data.TXT

Содержание записки о выкупе:
MaxiCrypt
===
YOUR FILES ARE ENCRYPTED! 
Your personal ID
R0g000000015ulOw*****BfcY8liLDPY
Your documents, photos, databases, save games and other important data was encrypted. 
Data recovery the necessary decryption tool. To get the decryption tool, should send an email to:
maxicrypt@cock.li or maxidecrypt@protonmail.com
In a letter to include Your personal ID (see the beginning of this document).
In the proof we have decryption tool, you can send us 1 file for test decryption.
Next, you need to pay for the decryption tool. 
In response letter You will receive the address of Bitcoin wallet which you need to perform the transfer of funds.
If You have no bitcoins 
* Create a Bitcoin wallet: https://blockchain.info/ru/wallet/new 
* Purchase Bitcoin: https://localbitcoins.com/ru/buy_bitcoins or http://www.coindesk.com/information/how-can-i-buy-bitcoins (Visa/MasterCard, etc.)
When money transfer is confirmed, You will receive the decrypter file for Your computer. 
After starting the program-interpreter, all Your files will be restored.
Attention! 
* Do not attempt to remove a program or run the anti-virus tools 
* Attempts to decrypt the files will lead to loss of Your data 
* Decoders other users is incompatible with Your data, as each user unique encryption key
===

Перевод записки на русский язык:
MaxiCrypt
===
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный ID
R0g000000015ulOw ***** BfcY8liLDPY
Ваши документы, фото, базы данных, сохранение игр и другие важные данные были зашифрованы.
Для восстановление данных нужен инструмент дешифрования. Чтобы получить инструмент дешифрования, надо отправить email по адресу:
maxicrypt@cock.li или maxidecrypt@protonmail.com
В письме укажите свой личный ID (см. начало этого документа).
В доказательстве у нас есть инструмент дешифрования, вы можете отправить нам 1 файл для тест-дешифрования.
Затем вам нужно заплатить за инструмент дешифрования.
В ответном письме вы получите адрес биткоин-кошелька, который вам нужен для перевода средств.
Если у вас нет биткоинов
* Создайте биткоин-кошелек: https://blockchain.info/ru/wallet/new
* Купите биткоины: https://localbitcoins.com/ru/buy_bitcoins или http://www.coindesk.com/information/how-can-i-buy-bitcoins (Visa / MasterCard и т.д.)
Когда денежный перевод будет подтвержден, вы получите файл декриптера для вашего компьютера.
После запуска программы-декриптера все ваши файлы будут восстановлены.
Внимание!
* Не пытайтесь удалить программу или запускать антивирусные инструменты
* Попытки расшифровать файлы приведут к потере ваших данных
* Декодеры других пользователей несовместимы с вашими данными, т.к. у каждого пользователя уникальный ключ шифрования
===

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to restore your data.TXT
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: maxicrypt@cock.li
maxidecrypt@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MaxiCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

NETCrypton

NETCrypton Ransomware

Crypton.NET Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Фальш-имя: EaseUSDataRecovery. Оригинальное название: Crypton (указано в тексте о выкупе). 

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: FKGware >> NETCrypton (Crypton.NET)

Этимология названия:
FKGware — от слов "fake" (англ. "фейк, ложный, фальшивый"), "keygen" - (англ. "генератор ключа, кейген") и "ware" (программа), фактически: Fake-Keygen Ransomware. Так как уже были подобные компрометации кейгенераторов, то я выделил в отдельную группу FKGware подобные шифровальщики, выдающие себя за кейгенераторы. 
Crypton - оригинальное название. Уже не раз использовалось в прошлом. 
Добавление NET означает, что вымогатель кодирован в .NET

К зашифрованным файлам добавляется расширение .encrptd

Распространяется под видом кейгена для программы EaseUS Data Recovery. 
Активность этого крипто-вымогателя пришлась на конец ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение, встающее обоями рабочего стола.

Содержание текста о выкупе:
OOPS!
Your files have been encrypted with Crypton. It was encrypted by generating and locking your files with a unique password.
To recover your files, you will have to pay a fee of $300 to the following bitcoin address:
1GU1RSECx6Ti4hjKdMYbqM2vPqi6hj2A6D

Перевод текста на русский язык:
УПС!
Ваши файлы были зашифрованы с Crypton. Шифрование сделано путем создания и блокировки ваших файлов с уникальным паролем.
Чтобы восстановить ваши файлы, вам придется заплатить $300 на следующий биткоин-адрес:
1GU1RSECx6Ti4hjKdMYbqM2vPqi6hj2A6D

Технические детали

Распространяется под видом кейгена для программы EaseUS Data Recovery.

Когда открывается, то спрашивает: "ARE YOU SURE YOU WANT TO EXECUTE THIS RANSOMWARE?" ("ВЫ ПРАВДА ХОТИТЕ ЗАПУСТИТЬ ЭТОТ RANSOMWARE?")

Если вы нажмете "No", то не будет работать и кейген тоже не запустится. 

Может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
EaseUSDataRecovery.exe
<image>

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1GU1RSECx6Ti4hjKdMYbqM2vPqi6hj2A6D
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as NETCrypton)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

HC6

HC6 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC) и SHA256, а затем требует выкуп в $2500 в BTC за всю сеть предприятия, чтобы вернуть файлы. Оригинальное название. Написан на Python.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HC6 > HC7

К зашифрованным файлам добавляется расширение .fucku

Зашифрованные файлы и записка о выкупе

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: recover_your_fies.txt

Содержание записки о выкупе (грамота сохранена):
ALL YOUR FILES WERE incript.
ORDER, TO RESTORE THIS FILE, YOU MUST SEND AT THIS ADDRESS
FOR $ 2500 BTC FOR ALL NETWORK
1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv AFTER PAYMENT SENT EMAIL nullforwarding@qualityservice.com
FOR INSTALLATION FOR DECRIPT
NOT TO TURN OFF YOUR COMPUTER, UNLESS IT WILL BREAK

Перевод записки на русский язык:
Все ваши файлы были зашифрованы.
Заказ восстановления этот файл, вы должны отправить на этот адресу
Для $ 2500 btc для всей сети
1b8g2l24xbn1sdbpurungmxwzwfgvxuyqv после оплаты отправить на email nullforwarding@qualityservice.com
Для установки для дешифровки
Не выключать компьютер, если он не сломается

_
Английский текст записки настолько плох, что перевод пришлось немного подкорректировать, сохранив "грамоту" оригинала. 

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP, но не исключено распространение с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
.001, .3fr, .3gp, .7z, .accdb, .aes, .ai, .apk, .ARC, .arch00, .arw, .asc, .asf, .asm, .asp, .asset, .avi, .bak, .bar, .bay, .bc6, .bc7, .big, .bik, .biz, .bkf, .bkp, .blob, .bmp, .brd, .bsa, .cas, .cdr, .cer, .cfr, .cgm, .class, .cmd, .cpp, .cr2, .crt, .crw, .csr, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dbf, .dbfv, .dch, .dcr, .der, .desc, .dif, .dip, .djv, .djvu, .dmp, .dng, .doc, .docb, .docm, .docm, .docx, .DOT, .dotm, .dotx, .dwg, .dxg, .epk, .eps, .erf, .esm, .exe, .ff, .fla, .flv, .forge, .fos, .fpk, .frm, .fsh, .gdb, .gho, .gpg, .hkdb, .hkx, .hplg, .htm, .html, .hvpl, .hwp, .ibank, .ibd, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jar, .java, .jpeg, .jpeg, .jpg, .js, .kdb, .kdc, .key, .kf, .lay, .lay6, .layout, .lbf, .ldf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .max, .mcgame, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mid, .mkv, .mlx, .mml, .mov, .mp3, .mpeg, .mpg, .mpqge, .mrwref, .ms11 (Security copy), .MYD, .MYI, .ncf, .NEF, .nrw, .ntl, .ocx, .odb, .odc, .odm, .odp, .ods, .ods, .odt, .orf, .otg, .ots, .ott, .p12, .p7b, .p7c, .pak, .PAQ, .pas, .pdd, .pdf, .pef, .pem, .pfx, .php, .pkpass, .pl, .png, .ppam, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qcow2, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sc2save, .sch, .sid, .sidd, .sidn, .sie, .sis, .sldm, .sldx, .slk, .slm, .snx, .sql, .SQLITE3, .SQLITEDB, .sr2, .srf, .srt, .srw, .stc, .stw, .sum, .svg, .swf, .sxc, .sxm, .sxw, .syncdb, .t12, .t13, .tar, .tar.bz2, .tar.gz, .tax, .tbk, .tgz, .tif, .tiff, .tor, .txt, .unity3d, .uot, .upk, .upx, .vbs, .vdf, .vdi, .vfs0, .vmdk, .vmx, .vob, .vpk, .vpp_pc, .vtf, .w3x, .wav, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlc, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xlw, .xml, .xxx, .zip, .ztmp (283 расширения). Замеченные дубли зачёркнуты и не считаются. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, файлы wallet.dat, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ, файлы интернет-банкинга, налоговые декларации и пр. пр.

Файлы, связанные с этим Ransomware:
recover_your_fies.txt
hc6.exe (<random>.exe)
PsExec.exe — утилита PsExec для удаленного выполнения команд

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nullforwarding@qualityservice.com
BTC: Для каждой жертвы биткоин-адрес выбирается случайным образом из следующих 14-ти жёстко закодированных адресов:
1B8yXW8mv2cXYHyXatTkVsek3BpNWdJqBk
1Mh1aVDXAF2ykzMgvwhWwmz7Gw8ttb2qzL
1DdLF32aXfjiURL6VWbsW3rWSuaLZUBfrN
1F4CuNNq58ghSp18e19eRGBqSeAdnbdS62
1ESfumREnY7dazgTtLysxHpLwEykNhGemG
1DuMyrXt64es6BenRSHy9LPubqEq9YR99m
1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6
1NYaVPJGEFzwCzYsvp5swNTDiU2so1BvKx
1FEsU4nL3WBG4YWmzR9BwKtdn9ALqobWJ3
1G7sCE1rSKZh4kif6a8hLU1fSn3sxg8Yp5
1B8G2L24xbn1sDbPurUNGMXwZWFgVXuYQv
1GHLUDpgBmZwVk4kAbNcJsYa3uvCBf6imC
1M4fMkihMBxS4sQQtfCTq5t2UjpdBEQMYe
1CR77rKXNkxGL13nZa1dFdYm2biqmqLjdf
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Ⓥ VirusBay >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 декабря 2017:
См. статью HC7 Ransomware >>
Шифрование: AES-256 CBC и SHA256
Файлы: hc7.exe, diskimagemounter.exe
Расширение: .gotya или .GOTYA
Email: m4zm0v@keemail.me
BTC: 1NYeBBMrHgPpbLC7ExXqCx7wzfpeUcADs6 и другие.

Сумма выкупа: $500-$700 за ПК, $5000 за всю сеть.
Записка: RECOVERY.TXT 
Результаты анализов: HA + VT + HA + VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

  Внимание!
  Для зашифрованных файлов есть декриптер
  Скачать hc6Decrypter для дешифровки >>
  *

 Read to links: 
 Tweet on Twitter + Twitter
 ID Ransomware (ID as hc6, hc7)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 victims of Ransomware
 SDK
 Ido Naor
 Alex Svirid

© Amigo-A (Andrew Ivanov): All blog articles.