Velso

Velso Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Velso. На файле написано, что попало.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .velso

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: get_my_files.txt

Содержание записки о выкупе:
Hello. If you want to return files, write me to e-mail MerlinVelso@protonmail.com
Your userkey: obxIwowrpiP2AU13qwlHXj7wDvOFIBL4NlGRd/6r0IlZudy0QbygCw==

Перевод записки на русский язык:
Привет. Если хотите вернуть файлы, пишите мне на email MerlinVelso@protonmail.com
Ваш ключ: obxIwowrpiP2AU13qwlHXj7wDvOFIBL4NlGRd/6r0IlZudy0QbygCw==

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Идентификатор ключа и жертвы генерируется CryptGenRandom (), используя AES-256 OpenSSL в режиме ECB.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
get_my_files.txt
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: MerlinVelso@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 февраля 2018:
Пост в Твиттере >>
Расширение: .david
Email: davidfreemon2@aol.com
Записка: get_my_files.txt
Содержание записки:
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software
You can find out the details / buy decryptor + key / ask questions by contact for communication (email): davidfreemon2@aol.com
Your userkey: *****
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Demonslay335 >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Velso)
 Write-up, Topic of Support
 * 

Added later:
Write-up on BC (added January 26, 2018)
*

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KillDisk-Dimens

KillDisk-Dimens Ransomware

(фейк-шифровальщик, деструктор)

Этот крипто-вымогатель не шифрует данные на дисках пользователей и даже пока не требует выкуп, чтобы вернуть файлы. Файлы перезаписываются нулями и удаляются. Оригинальное название: не указано. 

© Генеалогия: KillDisk >> KillDisk-Dimens

К фейк-зашифрованным файлам никакое расширение не добавляется. Файлы затираются нулевыми байтами. 

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на финансовые организации латиноамериканских стран, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: отсутствует.
Также не выдвигается никаких требований о выкупе. Возможно, требования будут выдвинуты позже, когда причинённый ущерб станет масштабнее. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

По мнению исследователей из TrendMicro, вредонос KillDisk-Dimens, попав на компьютер, загрузится в память, удалит файлы с диска и переименует себя. Затем он перезапишет первые 20 секторов MBR каждого запоминающего устройства с 0x00 байтами.

После этого он перепишет первые 2800 байт каждого файла с теми же 0x00 байтами на каждом фиксированном и съемном накопителе. Единственными оставленными файлами являются файлы и папки, найденные в следующих каталогах Windows:
WINNT
Users
Windows
Program Files
Program Files (x86)
ProgramData
Recovery (case-sensitive check)
$Recycle.Bin
System Volume Information
old
PerfLogs

Таким образом содержимое файлов сначала перезаписывается нулевыми байтами, фактически — затирается, а потом файлы удаляются. 

Потом KillDisk запускает таймер на 15 минут, а затем завершает следующие процессы: 
Client/server run-time subsystem (csrss.exe)
Windows Start-Up Application (wininit.exe)
Windows Logon Application (winlogon.exe)
Local Security Authority Subsystem Service (lsass.exe)


Т.к. это критические процессы ОС, то компьютер либо войдет в BSOD, либо будет принудительно перезагружен без опции пользователя.

Специалисты TrendMicro нарисовали схему работы этой версии вредоноса.

Список файловых расширений, подвергающихся шифрованию:
файлы не шифруются, а перезаписываются нулями и потом удаляются.

Файлы, связанные с этим Ransomware:
dimens.exe
<random>.exe

Расположения:
C:\Windows\dimens.exe
C:\Windows\0123456789
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 TrendMicro
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MoneroPay, SpriteCoin

MoneroPay Ransomware
SpriteCoin Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20, а затем требует выкуп в 0.3 Monero, чтобы вернуть файлы. Оригинальное название: MoneroPay. На файле написано: MoneroPayAgent.exe и spritecoind.exe. Статус: Файлы можно дешифровать!

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Your files are encrypted
If you close this window, you can always restart and it should appear again.
All your files have been encrypted by us. This means you will be unable to access or use them. In order to retrieve them, you must send 0.3 monero (about $120 USD) to:
46FXmRvyffu59N***
Make sure you include your payment ID:
Use CTRL +C to copy both
IF YOU DO NOT INCLUDE YOUR PAYMENT ID, YOUR FILES CANNOT BE DECRYPTED. Do not waste your time — only we can decrypt your files.
If you have paid, click on the DECRYPT button to return your files to normal. Don't worry, we'll give you your files back if you pay.
[DECRYPT]
FAQ
• What is monero?
   Monero is a cryptocurrency, like bitcoin.
• How do I get monero?
   You can buy monero in many of the same places you can get bitcoin. [More info]
• What happens if I don't pay?
***

Перевод текста на русский язык:
Ваши файлы зашифрованы
Если вы закроете это окно, то всегда сможете перезапустить его, и он должен появиться снова.
Все ваши файлы были зашифрованы нами. Это значит, что вы не сможете получить к ним доступ или использовать их. Чтобы получить их, вы должны отправить 0.3 monero (около 120$ США) на:
46FXmRvyffu59N ***
Убедитесь, что вы указали свой идентификатор платежа:
Используйте CTRL + C, чтобы скопировать оба
ЕСЛИ ВЫ НЕ ВКЛЮЧИТЕ ВАШ PAYMENT ID, ВАШИ ФАЙЛЫ НЕ БУДУТ ДЕШИФРОВАНЫ. Не тратьте свое время - только мы можем расшифровать ваши файлы.
Если вы заплатили, нажмите кнопку DECRYPT, чтобы вернуть файлы в нормальное состояние. Не беспокойтесь, мы вернем вам ваши файлы, если вы заплатите.
[DECRYPT]
Вопросы-Ответы
• Что такое monero?
    Monero - это криптовалюта, как биткоин.
• Как получить monero?
    Вы можете купить monero во многих местах, где можете получить биткоин. [Больше информации]
• Что будет, если я не заплачу?
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Распространяется в составе дистрибутива для генерации вымышленной крипто-монеты SpriteCoin. Под видом его установки, когда SpriteCoin якобы загружает и синхронизирует blockchain, запускается шифровальщик. 

   

 Скриншоты "установщика"

Сообщения о фальшивой криптовалюте

По окончании фальшивой синхронизация поддельного блокчейна появится экран блокировки MoneroPay и отобразится экран с требованиями о выкупе. 

Список файловых расширений, подвергающихся шифрованию:
.7z, .apk, .cc, .cgi, .class, .cpp, .css, .doc, .docx, .eps,  .go, .gz, .h, .hpp, .htm, .html, .id_rsa, .img, .iso, .jar, .java, .jpeg, .jpg, .js, .key, .lua, .mkv, .mp4, .ogv, .one, .pem, .pl, .png, .ppt, .pptx, .ps1, .psd, .psf, .py, .pyw, .rar, .rtf, .tcl, .txt, .vbs, .webm, .work, .xls, .xlsx, .zip (50 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы, файлы образов, файлы wallet.dat и пр.

Файлы, связанные с этим Ransomware:
spritecoind.exe
spritecoinwallet.exe
MoneroPayAgent.exe
<random>.exe
\spritecoin\
Сбрасывает 1510 файлов

Расположения:
%APPDATA%\MoneroPayAgent.exe
%TEMP%\<random>.exe
\spritecoin\boost.dll
\spritecoin\cryptonight.dll
\spritecoin\spritecoind.exe
\spritecoin\spritecoinwallet.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /F /t REG_SZ /V "MoneroPay" /D "%APPDATA%\MoneroPayAgent.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "MoneroPay" "MoneroPayAgent.exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 
xxxx://jmqapf3nflatei35.onion.link (103.198.0.2:80 Сингапур) - C2
xxxx://papyrefb2tdk6czd.onion.link/***
xxxx://p27dokhpz2n7nvgr.onion.link/***
См. ниже результаты анализов.

Результаты анализов:
Ⓥ VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Статус: Дешифруется!

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптор
Скачать MoneroPayDecryptor для дешифровки >>
Подробная инструкция на английском >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

Added later:
Write-up by Fortinet (added on 24 January, 2018)
*

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 Alexander Adamov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

EncryptServer2018

EncryptServer2018 Ransomware

(шифровальщик-вымогатель) (первоисточник) 

Translation into English

Этот крипто-вымогатель шифрует данные на серверах с помощью AES, а затем требует выкуп в 0.5-1-2 BTC, чтобы вернуть файлы. Оригинальное название: не указано. Разработчик: Tornado.
Статус: Файлы можно дешифровать! См. информацию в "Блоке обновлений".

© Генеалогия: LockCrypt > EncryptServer2018

К зашифрованным файлам добавляется расширение .2018

Зашифрованные файлы переименовываются. 
Пример зашифрованного файла: aRx9KCdQaxM7QyxMHlwoEx8hYkNdIlNV***.2018

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Attention!!!!.txt 

Содержание записки о выкупе:
Attention !!!
All your files on this server have been encrypted.
Write this ID in the title of your message
To restore the files need to write to us on e-mail:  tornado_777@aol.com or BM-2cXXgKAo8HzUmijt8KMywZYHm8xDHhxwZg@bitmessage.ch
The price for restoration depends on how quickly you write tous.
After payment we will send you a decryption tool that willdecrypt all your files.
GUARANTEES!!!
You can send us up to 3 files for free decryption.
 -files should not contain important information
 -and their total size should be less than 1 MB
HOW TO OBTAIN BITCOINS!!!
The easiest way to buy bitcoins is the LocalBitcoins website.
You need to register, click "Buy bitcoyne" and select theseller by method of payment and price
https://localbitcoins.com/buy_bitcoins
IMPORTANT !!!
Do not rename encrypted files
Do not try to decrypt your data with third-party software,this can lead to permanent data loss!
Your ID ***


Перевод записки на русский язык:
Внимание !!!
Все ваши файлы на этом сервере зашифрованы.
Напишите этот идентификатор в заголовке вашего сообщения
Чтобы восстановить файлы надо написать нам по email: tornado_777@aol.com или BM-2cXXgKo8HzUmijt8KMywZYHm8xDHhwwgg@bitmessage.ch
Цена восстановления зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифрования, который будет дешифровать все ваши файлы.
ГАРАНТИИ!!!
Вы можете отправить нам до 3 файлов для бесплатного дешифрования.
  - файлы не должны содержать важную информацию
  - и их общий размер должен быть меньше 1 МБ
КАК ПОЛУЧИТЬ БИТТОНЫ !!!
Самый простой способ купить биткойны - это сайт LocalBitcoins.
Вам надо зарегистрироваться, нажать "Buy bitcoyne" и выбрать продавца по способу оплаты и цене
https://localbitcoins.com/buy_bitcoins
ВАЖНЫЙ !!!
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к постоянной потере данных!
Ваш ID ***

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP, может также распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Attention!!!!.txt 
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tornado_777@aol.com
BM-2cXXgKAo8HzUmijt8KMywZYHm8xDHhxwZg@bitmessage.ch
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы (.2018) можно дешифровать!
Рекомендую обратиться по этой ссылке >>
---
Attention!
Files (.2018) can be decrypted!
I recommend getting help with this link >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LockCrypt)
 Write-up, Topic of Support
 * 

Added later:
Decrypting the LockCrypt Ransomware by Palo Alto (July 27, 2018)
***

 Thanks: 
 (victims in the topics of support)
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Unrans

Unrans Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RansomText.txt

Запиской с требованием выкупа выступает страница Tor-сайта.

Содержание записки о выкупе:
Ransomware! Your personal files have been encrypted!
Files can be recover for 0.5 Bitcoin to 1BCXdp6jc4cQiG3hpwb5sm5XfvHN1sbSkg
Encryption date : 12/01/2018 20:30:29
Check in RansomText.txt your unique ID and submit it to get your encryption key or your time limit before price increase :
Price will be increase in
0days 23hrs 59mins 42secs
To get a proof of recovering, send an encrypted file (lower than 5MB) to krom.mork@openmail.cc with your unique ID (in RansomText.txt), we will return you the orignal file.
Help With Buying Bitcoins
As soon as your payment has been received, we will unblock your unique ID and send you your key encryption. Unrans script already on infected computer or download it here : Unrans.ps1 

Перевод записки на русский язык:
Ransomware! Ваши личные файлы зашифрованы!
Файлы можно вернуть за 0,5 биткоина на 1BCXdp6jc4cQiG3hpwb5sm5XfvHN1sbSkg
Дата шифрования: 12/01/2012 20:30:29
Проверьте в RansomText.txt свой уникальный ID и отправьте его, чтобы получить ключ шифрования или ваш лимит времени до повышения цены:
Цена будет расти
0дней 23 часа 59 минут 42 секунды
Чтобы подтвердить восстановление, отправьте зашифрованный файл (менее 5 МБ) на krom.mork@openmail.cc с уникальным ID (в RansomText.txt), мы вернем вам оригинал файла.
Помощь в покупке биткоинов
Как только ваш платеж будет получен, мы разблокируем ваш уникальный ID и отправим вам ваше ключ шифрования. Unrans-скрипт уже на зараженном компьютере или загрузите его здесь: Unrans.ps1

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RansomText.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: krom.mork@openmail.cc
TOR: xxxx://hxpoklw6l556364m.onion/
BTC: 1BCXdp6jc4cQiG3hpwb5sm5XfvHN1sbSkg
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter 
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 David Montenegro‏
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LazagneCrypt

BRC Ransomware
LazagneCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название и название проекта: brc. На файле написано: brc.exe

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .encr

Для справки:
LaZagne - это приложение с открытым исходным кодом, используемое для получения паролей, сохранённых на локальном компьютере. 
SwissDisk - это облачное хранилище в Интернете, опирающееся на криптографию секретного ключа и SSL, позиционируется как безопасное. 

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: нет данных.


Содержание записки о выкупе (текст представлен кусками): 
Personal files on your computer have been encryptedwith strong AES encryptionusing a unique key generated for your computer.
Any attempt to decrypt your files or remove this program will render your files unaccessible forever!
-
If you wish to regain access to your files, please transfer as soon as possible
If you fail to comply within 36h, the ransom will be raised. You have been warned.
After we have received your payment, all encrypted files on your computer will be unencrypted automatically.
If you're not familiar with bitcoins, you can buy them via PayPal or bank transfer at: xxxx://anycoindirect.eu/
-
You can also send emails cursing us or wishing us death, so that emails from people who paid and really need help won't be read.
-
We have received your payment and will now proceed to decrypt your files.
Please do not close this window or shut down your computer until the process is finished.
-
I already paid, but my filesare not being decrypted.
We will look into the problem and, if we need your assistance in solving it, send you instructions on how to decrypt your files.

Перевод записки на русский язык:
Персональные файлы на вашем компьютере были зашифрованы с сильным шифрования AES с уникальным ключом, сгенерированным для вашего компьютера.
Любая попытка расшифровать ваши файлы или удалить эту программу сделает ваши файлы недоступными навсегда!
-
Если вы хотите вернуть доступ к своим файлам, пожалуйста, отправьте их как можно скорее
Если вы не выполнили в течение 36 часов, выкуп будет увеличен. Вы были предупреждены.
После того, как мы получим платеж, все зашифрованные файлы на вашем компьютере будут автоматически расшифрованы.
Если вы не знакомы с биткоинами, вы можете купить их через PayPal или банковским переводом по адресу: xxxx://anycoindirect.eu/
-
Вы также можете отправлять email, проклиная нас или желая смерти, чтобы email от людей, которые заплатили и действительно нуждаются в помощи, не были прочитаны.
-
Мы получили ваш платеж и перейдем к расшифровке ваших файлов.
Не закрывайте это окно или не выключайте компьютер до завершения процесса.
-
Я уже заплатил, но мои файлы не дешифруются.
Мы рассмотрим проблему и, если вам нужна наша помощь в ее решении, отправим инструкции о расшифровке файлов.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

👉 LazagneCrypt использует инструмент LaZagne для извлечения учетных данных и SwissDisk для загрузки дампов паролей в облачное хранилище. Таким образом, кроме шифровальщика, это еще и похититель паролей. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
brc.exe
Security.lnk

Расположения:
\Windows\Start Menu\Programs\Startup\Security.lnk
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL-аккаунта: xxxx://disk.swissdisk.com/tifu17
xxxx://anycoindirect.eu/
Email: wfmmp8@sigaint.org
BTC: 1AGNa15ZQXAZUgFiqJ2i7Z2DPU2J6hW62i
См. ниже результаты анализов.

Результаты анализов:
Ⓥ VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn‏
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.