Wanna Decryptor Portuguese

Wanna Decryptor Portuguese Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,0060 BTC, чтобы вернуть файлы. Оригинальное название: Wanna Decryptor. На файле написано: ransom.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: WannaCry > fake! > Wanna Decryptor Portuguese

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на португалоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Seus Arquivos foram encriptados!
Oque aconteceu com meu computador?
Seus arquivos foram encriptados, todos eles foram encriptados e agora você não tem mais acesso à eles. Não procure uma forma de recuperar seus arquivos, você não vai conseguir.
Posso recuperar meus arquivos?
Claro, garantimos todos seus arquivos, ao menos que acabe o tempo você perderá todos eles, mas se você pagar você pode recuperar todos eles. Se você pagar nos primeiros 3 dias o preço será mais baixo, depois desses 3 dias o preço dobrará, e depois desses 3 dias seus arquivos serão deletados.
Como eu pago?
O pagamento é feito com bitcoin (Uma moeda virtual), você terá que comprar o necessário e enviar para a carteira logo abaixo. O pagamento terá o preço de 0,0060 Bitcoins nos primeiros 3 dias e depois disso 0,0120 Bitcoins. Depois do pagamento ser feito você terá que mandar um email comprovando sua compra e você receberá uma chave de desencriptação.
---
Você tem este tempo para efetuar o pagamento
Tempo Restante 7 dias
---
[1Pqi7AagXayJitfJRsSPGfY1wPgbrA3LrT]
Envie 0.0060 Bitcoins para essa carteira.
[Pagamento]   [Desencripte]

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Что случилось с моим компьютером?
Ваши файлы зашифрованы, все они зашифрованы, и теперь у вас больше нет доступа к ним. Не ищите способ восстановить ваши файлы, вы не сможете.
Могу ли я восстановить файлы?
Конечно, мы гарантируем вернуть все ваши файлы, если в конце времени вы не потеряете их всех, но если вы заплатите, вы сможете восстановить их все. Если вы платите за первые 3 дня, цена будет ниже, но после этих трех дней цена удвоится, и через эти 3 дня ваши файлы будут удалены.
Как я могу заплатить?
Платеж выполняется в биткоинах (виртуальная валюта), вам придется купить нужную сумму и отправить её на кошелек чуть ниже. Платеж будет стоить 0,0060 биткоинов за первые 3 дня, а затем 0,0120 биткоинов. После того, как платеж будет сделан, вам придется отправить email, подтверждающее вашу покупку, и вы получите ключ дешифрования.
---
У вас есть на этот раз платеж
Время. осталось 7 дней
---
[1Pqi7AagXayJitfJRsSPGfY1wPgbrA3LrT]
Отправить 0.0060 биткоинов на этот кошелёк.
[Оплата] [Расшифровка]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Если шифрование будет реализовано, то это вполне могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Файлы, связанные с этим Ransomware:
Shiguinima Launcher v3100.exe
ransom.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nkittybuggy8648@gmail.com
BTC: 1Pqi7AagXayJitfJRsSPGfY1wPgbrA3LrT
Сумма выкупа: 0.0060 BTC
См. ниже результаты анализов.

Код разблокировки: 
7HAR2NTX-YC8APT4B-4H7H62JP-A2QLWNHU-ZWYX5J4J-W29P6M9W-KS3LKAP4-BML5WTS2

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

IGotYou

IGotYou Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 10000 индийских рупий, чтобы вернуть файлы. Оригинальное название: EncryptingRansomware. На файле написано: EncryptingRansomware.exe. Разработчик: Rogers_Pro.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid / FTSCoder >> IGotYou

К зашифрованным файлам добавляется расширение .iGotYou

Образец этого крипто-вымогателя обнаружен во второй половине ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Files Encrypted
If you are reading this, that means your files are now ENCRYPTED by me. #youCan'tSeeMe
If you dont know what's encryption, then go to www.http://searchsecurity.techtarget.com/definition/encryption .
In order to get your data back free from encryption you need to decrypt your data back.
And, obviously you can NOT do that so easily. For that you required a authentic private key and that can only be provided via secrect passcode.
The authentic private key is safe and unbreachable . It will be authenticated by its hash value which can only be possible by that secrect passcode.
In order to get that secrect passcode, you need to help me out with some money. Now I Don't care what do you think when i said "help me out", you can aslo term it as ransom.
You need to pay me INR 10,000 via payTM in account No. XX2X9XX7XX by Dec 1, 2017.
I suggest you to use your phone for this.
WARNING: I am seeing EVERYTHING, so do not try for any smart moves. If there is any unwanted attempt, you can lose all your data FOREVER and after that don't blame me :p
Enter Decryption code here
[Initiate Decryption]

Перевод записки на русский язык:
Файлы зашифрованы
Если вы читаете это, значит ваши файлы теперь ENCRYPTED мной. # youCan'tSeeMe
Если вы не знаете, что такое шифрование, перейдите по адресу www.http://searchsecurity.techtarget.com/definition/encryption.
Чтобы ваши данные не остались зашифрованными, вам надо дешифровать свои данные.
И, очевидно, вы не сможете это легко сделать. Для этого вам нужен аутентичный закрытый ключ, который может быть предоставлен только с помощью секретного пароля.
Аутентичный секретный ключ является безопасным и недоступным. Он будет аутентифицироваться по его хэш-значению, которое может быть возможно только с помощью этого безопасного кода доступа.
Чтобы получить этот секретный код, вам нужно помочь мне с деньгами. Теперь мне все равно, что вы думаете, когда я сказал «помогите мне», вы также можете назвать его выкуп.
Вы должны заплатить мне 10000 рупий через payTM на счет №XX2X9XX7XX до 1 декабря 2017 года.
Я предлагаю вам использовать свой телефон для этого.
ПРЕДУПРЕЖДЕНИЕ: Я вижу ВСЕ, поэтому не пытайтесь делать какие-то умные шаги. Если будет какая-то нежелательная попытка, вы можете потерять все свои данные НАВСЕГДА и после этого не вините меня: p
Введите код дешифрования здесь
[Initiate Decryption]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифрует только файлы в тестовой папке: C:\Test
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Файлы, связанные с этим Ransomware:
EncryptingRansomware.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptolockerEmulator

CryptolockerEmulator Ransomware

(шифровальщик-вымогатель)

Этот эмулятор шифровальщика-вымогателя шифрует данные с помощью RSA. Работает, видимо, как тестовое ПО, выбрав папку и подготовленные файлы. Оригинальное название: CryptolockerEmulator. На файле написано: CryptolockerEmulator.exe. Среда разработки: Visual Studio 2015. Разработчик: asedunov (А. Седунов). 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Образец этого крипто-вымогателя был обнаружен во второй половине ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: *нет данных*.

Инструкция по шифрованию:
Enter CRYPTO to crypt directory C:\Users\User\Desktop
Press any key to exit...

Перевод на русский язык:

Введи CRYPTO для шифрования директории C::\Users\User\Desktop

Нажми любую клавишу для выхода...

Шифруются только указанные типы файлов и только в текущей папке (см. список ниже).
При тестовом запуске, к сожалению, а может и к счастью, шифрование не сработало. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, которые должны быть зашифрованы:
.3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .wb2, .wpd, .wps, .x3f, .xlk, .xls, .xlsb, .xlsm, .xlsx (72 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, файлы образов, файлы прикладных программ, сертификаты и пр.

Файлы, связанные с этим Ransomware:
CryptolockerEmulator.exe
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

RSA-ключ:

Результаты анализов:
Ⓥ VirusBuy анализ >>
Гибридный анализ образца 37b*** >>
Гибридный анализ образца 3c3*** >>
VirusTotal анализ образца 3c3*** >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 S!ri
 GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Katafrack

Katafrack Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.02 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Ordinal > Katafrack

Фактически переработанная версия Ordinal Ransomware. Отличается визуальными признаками, контактами и адресами.

К зашифрованным файлам добавляется расширение: *нет данных*. 
Не шифрует файлы, если определяет, что запущен на виртуальной машине.

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ-ME-TO-GET-YOUR-FILES-BACK.txt

Содержание записки о выкупе:
Your files have been encrypted by Ordinal Ransomware
Below is the information you will need to decrypt your files
After that, you'll be able to see your beloved files again.
Email: OrdinalScale@protonmail.com
BTC Address: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
ETH Address 0x06394880c86383eccFbf27788D578C46ed562526
Amount To Send: 0.02 BTC
Identification:ED5E41963F4264302747C645290BA858

Перевод записки на русский язык:
Ваши файлы были зашифрованы Ordinal Ransomware
Ниже приведена информация, необходимая для дешифрования файлов.
После этого вы снова сможете увидеть свои любимые файлы.
Email: OrdinalScale@protonmail.com
BTC адрес: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
ETH адрес 0x06394880c86383eccFbf27788D578C46ed562526
Сумма для отправки: 0.02 BTC
Идентификация: ED5E41963F4264302747C645290BA858

Другим информатором жертвы выступает экран блокировки с красным или с зелёным фоном. Ниже приведены оба варианта. 

Содержание записки о выкупе:
KATAFRACK RANSOMWARE
Follow the instructions to unlock your data
YOU FILES ARE ENCRYPTED
All your files have been encrypted with AES-256 Military Grade Encryption
INSTRUCTIONS
Your files have been encrypted, the only way to recover your files is to pay the fee.
Once you have paid the fee all your files will be decrypted and return to normal.
Send the required fee (found below) to the Bitcoin address (found below). Once you have sent the required fee to the Bitcoin address send an email with your Identification key (without this we cant help you). It may take 12-24 hours for us to respond. You will recive a Decryption Program + Decryption Key. Ethereum is also accepted.
WHAT NOT TO DO
DO NOT RESTARTAURN OFF YOUR COMPUTER
DO NOT ATTEMPT TO RECOVER THE FILES YOUR SELF
DO NOT CLOSE THIS PROGRAM
DECRYPTION KEY WILL BE DELETED FROM OUR SERVERS IN 7 DAYS FROM TODAY
Bitcoin Address: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
Ethereum Address: 0x06394880c86383eccFbf27788D578C46ed562526
Identification: F45EFF1799E2293l6485xxxxxxxxxx
Amount To Send: 0.02 BTC
Contact: OrdinalScale@protonmoil.com
Check Desktop For READ-ME-TO-GET-YOUR-FILES-BACK.txt File

Перевод записки на русский язык:

KATAFRACK RANSOMWARE

Следуйте инструкциям, чтобы разблокировать данные

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ

Все ваши файлы были зашифрованы с помощью шифрования военного класса AES-256

ИНСТРУКЦИИ

Ваши файлы были зашифрованы, единственный способ восстановить ваши файлы - заплатить выкуп.

После того, как вы заплатите, все ваши файлы будут расшифрованы и вернутся в нормальный вид.

Отправьте требуемую плату (см. ниже) на Bitcoin-адрес (см. ниже). После  отправки требуемой платы на Bitcoin-адрес, отправьте email с вашим идентификационным ключом (без этого мы не сможем вам помочь). Нам  может потребоваться 12-24 часа. Вы получите программу дешифровки + ключ дешифрования. Ethereum также принимается.

ЧТО НЕ ДЕЛАТЬ

НЕ ПЕРЕЗАГРУЖАТЬ СВОЙ КОМПЬЮТЕР

НЕ ПОПЫТАТЬСЯ САМОМУ ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ

НЕ ЗАКРЫВАТЬ ЭТУ ПРОГРАММУ

КЛЮЧ ДЕШИФРОВАНИЯ БУДЕТ УДАЛЕН С НАШИХ СЕРВЕРОВ ЧЕРЕЗ 7 ДНЕЙ

Bitcoin-адрес: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
Ethereum-адрес: 0x06394880c86383eccFbf27788D578C46ed562526
Идентификация: F45EFF1799E2293l6485xxxxxxxxxx
Сумма для отправки: 0.02 BTC
Контакт: OrdinalScale@protonmoil.com
Проверьте на Рабочем столе файл READ-ME-TO-GET-YOUR-FILES-BACK.txt 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LiteHTTP.exe или ETH Wallet.245Z.exe
<random>.exe
READ-ME-TO-GET-YOUR-FILES-BACK.txt
94308059B57B3142E455B38A6EB92015
<random>.txt
Cab<random>.tmp
Tar<random>.tmp

Расположения:
\Desktop\READ-ME-TO-GET-YOUR-FILES-BACK.txt
%LOCALAPPDATA%\ow\Microsoft\CryptnetUrlCache\MetaData\94308059B57B3142E455B38A6EB92015
%TEMP%\CabB3B.tmp
%TEMP%\CabDCDC.tmp
%TEMP%\TarB3C.tmp
%TEMP%\TarDCDD.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Связывается с Ordinal Control Center.
Email: OrdinalScale@protonmail.com
BTC Address: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
ETH Address 0x06394880c86383eccFbf27788D578C46ed562526
dontmindme.tk (144.208.125.95, США) 
144.208.125.95:80 (США)
172.217.16.196:443 (США)
172.217.16.195:443 (США)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 GrujaRS
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

WannaDie

WannaDie (WanaDie) Ransomware

WannaCry Imposter Ransomware

Wanna_die_decrypt0r Ransomware

(шифровальщик-вымогатель, подражатель, деструктор)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+SHA-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Wana die decrypt0r (Wanna die decrypt0r) и Wana_Decrypt0r. На файле написано: wndi и wndi.exe. Начальное название проекта: CryptoWall. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: WannaCry > fake! > WannaCry Imposter 

Изображение принадлежит шифровальщику

Этимология названия:
Как видно из представленных выше названий, сам разработчик вымогателя так и не определился с названием, т.к. сначала он назвал его CryptoWall, желая создать творение, подобное ему. Потом по миру нашумел вымогатель WannaCry, и разработчик захотел творить в эту сторону, но и этот шифровальщик заглох в эфире. Тогда разработчику WannaDie совсем некому стало подражать (ну не BadRabbit-у же, который и дня не продержался!) и он решил выплеснуть накопившуюся энергию в нечто сумбурное. Уж тогда бы лучше назвал свое творение просто WannaMoney. Оно пока не занято другими вымогателями. 😉

К зашифрованным файлам добавляется расширение .wndie

Исследователи также сообщают о неудачных случаях шифрования. Видимо, пока в разработке, или имеет скрытый функционал. 

Активность этого крипто-вымогателя обнаружена в середине ноября 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступают экран блокировки и изображение, заменяющее обои рабочего стола, на котором написан другой текст на русском языке и небольшой текстовый файл с надписью на английском.

Комбинированное изображение требований

Окно экрана блокировки

Требования на обоях на Рабочего стола и файлы

Содержание текста о выкупе из окна экрана блокировки:
Файлы зашифрованы, что делать?
ЧТО СЛУЧИЛОСЬ С МОИМ КОМПЬЮТЕРОМ ?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, поскольку они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
МОЖНО ЛИ ВОССТАНОВИТЬ ФАЙЛЫ ?
Конечно Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у нас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать "Расшифровать".
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
Каждую минуту мы будем уничтожать по одному нужному вам файлу, чтобы ускорить процесс (оплата-дешифровка).
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течении 7 дней, вы не сможете восстановить файлы навсегда.
У нас будут бесплатные мороприятия для пользователей, которые настолько бедны, что не смогут заплатить за 6 дней.
КАК МНЕ ОПЛАТИТЬ  ?
Оплата принимается только в биткоинах. Для дополнительной информации нажмите "Что такое биткоин?".
Пожалуйста, проверьте текущую цену биткоинов и переведите биткоины на указанную сумму. Для перевода средств нажмите "Перечислить биткоины".
И отправьте правильную сумму на адрес, указанный в этом окне. 
После перевода свяжитесь с консультантом и передайте чек с оплатой.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Мы настоятельно рекомендуем вам не удалять это программное обеспечение и некоторое время отключать антивирус, пока вы не заплатите и не обработаете платеж.
Если ваш антивирус обновится и автоматически удалит это программное обеспечение, он не сможет восстановить ваши файлы, даже если вы заплатите!
С уважением, Wana Die

---
[1Dowv8DTWhRk6xQmuWrEDipgCc83VTKbYT] [Копировать]
[Введите ключ расшифровки]
[Расшифровать]
---
Оплата будет повышена
Времени осталось
02:7:38:43
---
Ваши файлы будут утеряны
Времени осталось
06:22:45:23
---
Утеря важного файла
Времени осталось
00:0:01:03
---
Что такое биткоин?
Перечислить биткоины
Связаться с помощью
---

Красным выделены ошибки и неправильные речевые обороты, неприсущие правильной русской речи. 😄

Содержание текста о выкупе с изображения на экране:
Ууупс, ваши важные файлы зашифрованы.
Если вы читаете этот текст, но не видите окно "Wanna die decrypt0r", то тогда ваш антивирус удалил дешифратор. Отключите антивирусное программное обеспечение или удалите его с вашего компьютера.
Если вам нужны ваши файлы, вы должны запустить дешифратор программу.
Пожалуйста, найдите файл приложения с именем "@WannaDecrypt0r.exe" в любой папке или восстановите из антивирусного карантина.
Запустите и следуйте инструкциям!

Дополнение
Нижний блок "Утеря важного файла" сообщает об удалении первого стоящего файла. И это не пустые угрозы, файлы действительно удаляются по одному. Таким образом данный вымогатель ещё и выполняет деструктивные действия. 

Технические детали

Судя по глупым ошибкам в тексте о выкупе данный вымогатель или ещё находится в разработке или настолько плохо сделан. Хотя, намеренные ошибки и баги вполне могут быть отвлекающим манёвром, чтобы под прикрытием вымогательства воровать необходимую информацию. Уплата выкупа бесполезна!

Вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует Windows-программу wscript.exe для запуска инфекции. 

При алгоритме AES как ключ шифрования используется SHA256-хэш, которой берётся от исходного пароля, от строки из 8 символов. 

Кажется интересуется содержимым файлов со следующими расширениями:

.dotx, .html, .keychain, .pptx, .tax2014, .tax2015, .xlsb, .xlsm, .xlsx, .xltm, .xltx.  

Из них примечателен интерес к файлам типа .keychain (Mac OS X Keychain File) и .tax2014, .tax2015 (TurboTax). 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .csv, .dat, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dt, .DT, .dt, .ged, .hbk, .hbk, .htm, .html, .key, .keychain, .md, .pps, .ppt, .pptx, .sdf, .tar, .tax2014, .tax2015, .txt, .vcf, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml (41 расширение).
Это документы и шаблоны MS Office, файлы 1С, текстовые файлы, веб-страницы, базы данных, файлы специализированных программ и пр.

Файлы, связанные с этим Ransomware:
wndi.exe
ReadMe.txt
@WannaDecrypt0r.exe 
Wana_Decrypt0r.exe
@WannaDecrypt0r.png
proc.bat
pros.vbs
perfc.dat
perfd.dat
index.dat
ms.lnk
a.wndi
d.wndi
t.wndi

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\proc.bat
C:\pros.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1Dowv8DTWhRk6xQmuWrEDipgCc83VTKbYT
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> или VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as WannaDie)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Leo (primary example and images)
 Alex Svirid (extensions and consultation)
 Michael Gillespie (identification in IDR)
 GrujaRS (video review, full ransom text and desktop)
 

© Amigo-A (Andrew Ivanov): All blog articles.

BASS-FES

BASS-FES Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> BASS-FES

Этимология названия:
BASS-FES — сокращение от BitchASS File Encryption System, см. содержание записки о выкупе.  

К зашифрованным файлам добавляется расширение .basslock

Активность этого крипто-вымогателя пришлась на середину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: BASS File Encryption Service Notice.txt

Содержание записки о выкупе:
File Recovery Notice by BitchASS File Encryption System (BASS-FES)
Your files have been successfully encrypted and backuped in the cloud storage by BASS File Encryption System.
If you want to recover your files, please send 1 BTC to the following adress:
18Cgi9ADqH9NsG6zqW2xEh7wl6dQM6Rvix
If you sent 1 BTC to the adress, email at bitchasshole@protonmail.com with your Bitcoin adress.

Перевод записки на русский язык:
Уведомление о восстановлении файлов с помощью системы шифрования файлов BitchASS (BASS-FES)
Ваши файлы были успешно зашифрованы и сохранены в облачное хранилище с помощью BASS File Encryption System.
Если вы хотите восстановить свои файлы, отправьте 1 BTC по следующему адресу:
18Cgi9ADqH9NsG6zqW2xEh7wl6dQM6Rvix
Если вы отправили 1 BTC на адрес, напишите на bitchasshole@protonmail.com свой биткоин-адрес.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
BASS File Encryption Service Notice.txt

Расположения:
\Desktop\BASS File Encryption Service Notice.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bitchasshole@protonmail.com
BTC: 18Cgi9ADqH9NsG6zqW2xEh7wl6dQM6Rvix
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.