SkyFile

SkyFile Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателя, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: SkyFile. Название проекта: skyfilelocker. На файле написано: svchost.exe. Фальш-имя: Java Platform Auto Updater. Написан на языке C#.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear (modified) >> SkyFile

К зашифрованным файлам добавляется расширение .sky
Название файлов переименовывается до неузнаваемости (шифруется). 

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT.txt

Содержание записки о выкупе:
Oops, all your files have been encrypted =(
To decrypt your files, write to me at the e-mail: getsend@tutanota.com
Your data for decryption:
Private ID: ***
Private Key: *****

Перевод записки на русский язык:
Упс, все ваши файлы зашифрованы =(
Для дешифровки ваших файлов пишите мне на e-mail: getsend@tutanota.com
Ваши данные для дешифровки:
Частный ID: ***
Частный Key: *****

Запиской с требованием выкупа также выступает экран с заголовком SkyFile Decryptor | Zeus CitadeL

Содержание текста с экрана:
Oops, your files has been encrypted. Such as: photos, videos, documents, etc. To decrypt your files, read HOW TO DECRYPT.txt

Перевод текста с экрана:
Упс, ваши файлы зашифрованы. Например: фото, видео, документы и т.д.
Для дешифровки ваших файлов читайте HOW TO DECRYPT.txt

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ В коде имеется довольно много русского текста. Это может быть использованный исходник или кто-то добавил его туда намеренно. 

Список файловых расширений, подвергающихся шифрованию: 
._eml, ._nws, ._sys.lfo, .123c, .123d, .123dx, .3dmf, .3dmk, .3don, .3dsx, .3dxml, .3gp2, .3gpp, .3gpp2, .7z.001, .7z.002, .8bi8, .8pbs, .8svx, .9, .a2theme, .aaui, .aawdef, .aaxplugin, .abbu, .abcd, .abcddb, .accda, .accdb, .accdc, .accde, .accdr, .accdt, .accdu, .accdw, .accft, .accountpicture-ms, .acd-bak, .acd-zip, .acfm, .acid, .acorn, .acrobatsecuritysettings, .acroplugin, .acsm, .actc, .action, .actm, .acww, .adadownload, .adcp, .addin, .addon, .adoc, .adpp, .adts, .aecap, .aegraphic, .aepkey, .aepx, .aetx, .afdesign, .afploc, .afzplug, .age3rec, .age3sav, .age3scn, .age3xrec, .age3xsav, .age3yrec, .age3ysav, .agif, .agmodule, .aidl, .aifb, .aifc, .aiff, .aimppl, .albm, .album, .amfm, .amxd, .amxx, .anim, .animset, .animset_ingame, .anme, .antmpl, .apkg, .aplg, .aplp, .apng, .apnx, .appcache, .appdownload, .applescript, .application, .appref-ms, .appup, .appx, .appxupload, .arch00, .archiver, .arcut, .arduboy, .aria, .aria2, .ariax, .arpack, .arsc, .arscript, .artb, .article, .artproj, .artwork, .as2proj, .as3proj, .asat, .asax, .ascii, .ascx, .asef, .aseprite, .ashbak, .ashdisc, .ashx, .asmx, .aspx, .assetproj, .asvf, .asvx, .aswcs, .asws, .atom, .autoplay, .avastlic, .avastsounds, .avatar, .avchd, .avery, .avgdx, .avhd, .awcav, .awlive, .azw1, .azw2, .azw3, .azw4, .backup, .backupdb, .bak~, .bak2, .bak3, .bakx, .band, .bbcd, .bblm, .bbproject, .bbprojectd, .bc5b, .bckp, .bcmx, .bdae, .bdic, .bdmv, .bdoc, .bdsproj, .bdt2, .bdt3, .beam, .bean, .bejeweled2deluxesavedgame, .bibtex, .bidule, .bifx, .bimx, .bitpim, .bkmk, .bkup, .blackhawkstriker2, .blasterball3savedgame, .blend, .blend1, .blend2, .blkrt, .blob, .blorb, .bluej, .bmml, .bndl, .book, .bookexport, .booktemplate, .bookwormdeluxesavedgame, .boot, .bootskin, .bpdx, .bpmc, .bpnueb, .browser, .brres, .brstm, .bswx, .btapp, .btoa, .btsearch, .bundle, .bzabw, .bzip, .bzip2, .bzplug, .cache, .caction, .cadoc, .caff, .calca, .calibre, .cals, .camp, .camproj, .camrec, .camv, .caproj, .capt, .capx, .carc, .catdrawing, .catpart, .catproduct, .cbds, .ccbjs, .ccgame, .ccip, .cdda, .cddx, .cddz, .cdf-ms, .cdlx, .cdml, .cdmm, .cdmt, .cdmtz, .cdmz, .cdoc, .cdp2, .cdsx, .cdtx, .cebx, .cedprj, .cell, .celtx, .celx, .cenon~, .cerber, .cerber2, .cerber3, .cfml, .cgfx, .cgrp, .chai, .chait, .charset, .chart, .chat, .chml, .chord, .chrparams, .chunk001, .cidb, .cimg, .cine, .circuit, .ciso, .cl2arc, .cl2doc, .cl2lyt, .cl2tpl, .clarify, .class, .cleo, .clip, .clips, .clkb, .clkbd, .clkc, .clkd, .clkk, .clkt, .clkw, .clkx, .clpi, .cmate, .cmmp, .cmmtpl, .cmod, .cmproj, .cmrec, .cndx, .codaplugin, .codasite, .coffee, .colorpicker, .colz, .comic, .comicdoc, .comiclife, .command, .comp, .compiled, .component, .compositefont, .compositiontemplate, .comppkg.hauptwerk.rar, .comppkg_hauptwerk_rar, .compressed, .conf, .config, .conform, .consis, .contact, .contour, .copreset, .copy, .cos2, .costyle, .course, .cpbitmap, .cpdx, .cpgz, .cphd, .cpio, .cptm, .cpvc, .crashed, .crdownload, .crds, .crec, .crtr, .crtx, .crwl, .crypt, .crypt12, .crypt5, .crypt6, .crypt7, .crypt8, .crypt9, .crypted, .cryptra, .csaplan, .cshtml, .cskin, .csplan, .csproj, .ctbodyfitting, .ctxt, .cuix, .cvsrc, .cxarchive, .cyberducklicense, .cyberduckprofile, .czip, .daconnections, .dacpac, .dadiagrams, .daschema, .dash, .dat_new, .dazip, .db.crypt12, .db.crypt8, .db-journal, .dbml, .dbpro, .dbproj, .db-shm, .db-wal, .dcmd, .dcover, .dcproj, .dcst, .dctmp, .dcuil, .ddat, .ddcx, .ddoc, .ddrw, .decrypt, .deft, .design, .desktop, .deviceids, .dewf, .dfont, .dfproj, .dfti, .dgml, .dgsl, .dhtml, .dicom, .dicproof, .diff, .dime, .dinfo, .directory, .disabled, .disc, .disco, .discomap, .disk, .diskdefines, .dist, .divx, .djvu, .dlis, .dm_82, .dm_83, .dm_84, .dmgpart, .dmsa, .dmsd, .dmsd3d, .dmse, .dmsm, .dmsm3d, .dmsp, .dmss, .dmtemplate, .dmx-info, .doc#, .dochtml, .dockzip, .docm, .docmhtml, .docx, .docxml, .docz, .dolphinview, .dothtml, .dotm, .dotx, .download, .downloadhost, .downloading, .dpkw, .dproj, .drawing, .drawit, .dream, .drmx, .drmz, .dropbox, .drwdot, .ds_store, .dsgm, .dskin, .dstudio, .dtapart, .dtsconfig, .dtshd, .dtsx, .duck, .dv-avi, .dvdmedia, .dvdproj, .dvdr, .dvr-ms, .dvtcolortheme, .dvtplugin, .dwdoc, .dwfx, .dwlibrary, .dxls, .e2gm, .easm, .ebs2, .ebuild, .eddx, .edge, .edml, .edmx, .edrw, .edrwx, .edxz, .eftx, .eham, .embr, .emlx, .emlxpart, .emulecollection, .enex, .entitlements, .epibrw, .epim, .epk2, .eprt, .epsf, .epub, .escape, .eslock, .esproj, .esps, .event, .ewprj, .ex01, .example, .exe1, .exe4j, .exif, .exopc, .exportedui, .expressionmap, .eyetv, .ezdraw, .ezlog, .face, .facefx, .facefx_ingame, .fadein, .fadein.template, .fbz7, .fcarch, .fcdt, .fcgi, .fcpevent, .fcproject, .fcstd, .fdxt, .feedback, .fetchmirror, .ffil, .ffwp, .fh10, .fh11, .file, .filebolt, .film, .fits, .flac, .flexolibrary, .flic, .flif, .flka, .flkb, .flowchart, .flst, .fmat, .fmelic, .fmod, .fmp12, .fmplugin, .fmpsl, .fnlf, .fods, .fodt, .folio, .fomod, .forge, .form, .forth, .fountain, .fpdx, .fpenc, .fpfv, .fpop, .fpos, .fppx, .fpsx, .frames, .framework, .frdoc, .freeway, .fsproj, .fssave, .fsscript, .ft10, .ft11, .ftil, .ftmb, .ftmx, .ftploc, .ftpquota, .fwaction, .fwactionb, .fwbackup, .fwdn, .fwtb, .fwtemplate, .fwtemplateb, .fxcproj, .fxml, .fxpl, .fzbz, .fzip, .fzpz, .g64x, .g721, .g723, .g726, .gadget, .galaxy, .game, .gameproj, .gbaskin, .gbcskin, .gbproj, .gcdp, .gcsx, .gdoc, .gdocx, .gdraw, .gdrive, .gedcom, .gemspec, .geojson, .gfar, .gfie, .gifv, .ginspect_prj, .gitattributes, .gitignore, .glif, .glink, .glox, .gltf, .gm81, .gmap, .gmbck, .gmmod, .gmres, .gmspr, .gnumeric, .gorm, .gpbank, .gprx, .gqsx, .grade, .graffle, .grasp, .grdb, .greenfoot, .grob, .groove, .groovy, .groupproj, .growlregdict, .growlticket, .gsflib, .gsheet, .gslides, .gsr2, .gstencil, .gszip, .gtemplate, .gthr, .gtkrc, .gvdesign, .gvimrc, .gvsp, .gzip, .h264, .haml, .hbc2, .hcdt, .hdml, .hdmov, .hdrp, .heic, .heif, .hid2, .hipnc, .hki1, .hki2, .hki3, .hlsl, .honmod, .hpgl, .htaccess, .html, .html0, .htmlz, .htpasswd, .htxt, .htz4, .htz5, .hvpl, .hwdt, .hype, .hyperesources, .hypesymbol, .hypetemplate, .iadaction, .iadclass, .iadcomponent, .iadpage, .iadplug, .iadproj, .iadstyle, .ibooks, .ibplugin, .ic3d, .ical, .icalendar, .icap, .icbu, .icma, .icml, .icmt, .icon, .iconset, .icontainer, .icpr, .icst, .icursorfx, .idap, .idea, .ideplugin, .idlk, .idml, .idms, .idpk, .idpp, .idx0, .idx255, .ifcxml, .ifczip, .iges, .ikmp, .ilbm, .ildoc, .image, .imapmbox, .imovielibrary, .imoviemobile, .imovieproj, .imovieproject, .imtx, .inca, .incd, .inct, .incx, .indb, .indd, .indesignplugin, .indk, .indl, .indp, .inds, .indt, .inetloc, .info, .infopathxml, .inform, .inlk, .inlx, .inprogress, .ipcc, .ipch, .iphotoproject, .ipick, .ipspot, .ipsw, .ipynb, .ircp, .irrmesh, .isale, .isaletemplate, .isallic, .isma, .ismc, .ismclip, .ismv, .isoz, .itc2, .itdb, .ithmb, .itls, .itms, .itmsp, .itpc, .iv2i, .ivue, .iwdgt, .izzy, .jar.pack, .jarvis, .jasper, .java, .jbig, .jbig2, .jbmp, .jceks, .jcrypt, .jfif, .jhtml, .jiff, .jmce, .jmck, .jmcp, .jmcr, .jmcx, .jnlp, .jpeg, .jpg2, .jpg-large, .jpgw, .jrprint, .jrtf, .jrxml, .jsfl, .json, .jsonlz4, .jspa, .jspf, .jspx, .jsxbin, .jvsg, .jvsgz, .kdenlive, .kdevelop, .kdevprj, .kexi, .kexic, .kexis, .keychain, .keystore, .kismac, .kmcobj, .kodak, .kodu, .koob, .kwreplay, .lasso, .lastlogin, .latex, .layout, .ldif, .lemon, .less, .letter, .lh3d, .lhzd, .li3d, .libzip, .licensekey, .licenses, .licx, .link, .linx, .lisp, .litemod, .livecode, .liveupdate, .lizd, .lock, .locked, .locky, .logic, .logicly, .logicx, .logonvista, .logonxp, .look, .loov, .love, .lpdf, .lpkg, .lproj, .lrec, .lrmodule, .lrplugin, .lrpreview, .lrsmcol, .lrtemplate, .lrwebengine, .lsproj, .lucidsnippet, .luxb, .lvivt, .lvix, .lwfn, .lwtp, .lx01, .lxfml, .lxsopt, .lxsproj, .lzma, .m1pg, .m2ts, .m3u8, .maff, .magik, .mahjongtitanssave-ms, .mailhost, .mailplanelicense, .mailstationery, .mailtoloc, .makerbot, .mani, .manifest, .maplet, .mapx, .markdown, .mars, .marshal, .mart, .mask, .masseffectprofile, .masseffectsave, .master, .material, .maxc, .mbbk, .mbox, .mcdx, .mcfi, .mcfp, .mcpack, .mcrp, .mcserver, .mcsp, .mcsx, .mcworld, .md5.txt, .md5anim, .md5camera, .md5mesh, .mdbackup, .mdbhtml, .mddata, .mdimporter, .mdinfo, .mdsx, .mdzip, .mell, .mellel, .menc, .menu, .merlinlicense, .mesh, .meta, .mfil, .mgcb, .mgdatabase, .mgmf, .mgmt, .mgmx, .mgtx, .mhtml, .midi, .miff, .milk, .mime, .minesweepersave-ms, .minigsf, .minipsf, .miniso, .miniusf, .mint, .mjdoc, .mjpeg, .mjpg, .mk3d, .mmap, .mmat, .mmdc, .mmip, .mmlp, .mmpz, .mobi, .mobileprovision, .modd, .mode, .model, .modfem, .module, .moef, .moff, .mogg, .moho, .montage, .moov, .mosaic, .moti, .motn, .motr, .movie, .mp10, .mp11, .mp12, .mp13, .mp14, .mp21, .mp2m, .mp2s, .mp2v, .mp4.infovid, .mp4v, .mpcpl, .mpdconf, .mpdp, .mpeg, .mpeg1, .mpeg2, .mpeg4, .mpg2, .mpg4, .mpga, .mpgindex, .mpkg, .mpkt, .mpls, .mproj, .mpsub, .mpv2, .mrimg, .mrml, .mrxs, .ms11, .ms12, .ms13, .ms14, .ms3d, .mscx, .mscz, .msdvd, .msha, .mshc, .mshi, .msim, .mskn, .mspx, .msrcincident, .mswmm, .mt2s, .mthd, .muse, .musx, .mvdx, .mvex, .mvtx, .mwlic, .mx5template, .mxaddon, .mxmf, .mxml, .mxskin, .myapp, .mycolors, .mynotesbackup, .n3pmesh, .narc, .narrative, .nav2, .nbak, .ncfg, .ncor, .ncorx, .ncss, .ndif, .ndoc, .nexe, .nftr, .ngage, .n-gage, .ngloss, .ngrr, .nick, .nitf, .nl2script, .nltrack, .nmap, .nmbtemplate, .nmsv, .nomedia, .note, .notebook, .notes, .npfx, .nrbak, .nrmlib, .nsbca, .nsbmd, .nsbta, .nsbtx, .ntrk, .numbers, .numbers-tef, .nupkg, .nuspec, .nwbak, .nwctxt, .nwdb, .obml, .obml15, .obml16, .octest, .odif, .odin, .odttf, .oeaccount, .oebzip, .officeui, .ognc, .ogwu, .omod, .onepkg, .onetoc2, .oo3template, .opdownload, .opeico, .openbsd, .opju, .oplc, .opml, .opus, .orig, .osax, .osdx, .otln, .otpu, .otrkey, .ovpn, .oxps, .pack, .pack.gz, .package, .paf.exe, .page, .pages, .pages-tef, .pamp, .pando, .pandora, .pano, .papa, .papers, .paq6, .paq7, .paq8, .paq8f, .paq8l, .paq8p, .par2, .part, .partial, .partimg, .patch, .pbx5script, .pbxbtree, .pbxproj, .pbxscript, .pbxuser, .pcapng, .pcast, .pcsav, .pctl, .pdadj, .pdas, .pder, .pdex, .pdfxml, .pdpcmd, .pdpcomp, .pdwr, .peak, .pegn, .pekey, .perfmoncfg, .pfile, .pgal, .phar, .photoshow, .photoslibrary, .php2, .php3, .php4, .php5, .phtm, .phtml, .picnc, .pict, .pictclipping, .pigm, .pigs, .pika, .pipd, .pipe, .piskel, .pixadex, .pixela, .pjpeg, .pjpg, .pkey, .pkg.tar.xz, .pkgdef, .pkgundef, .pkpass, .plain, .plantuml, .player, .playground, .playlist, .playmission, .plist, .plproj, .plsc, .plsk, .plugin, .plx64, .pmdx, .pmlz, .pmvx, .png, .pntg, .pobi, .pobj, .policy, .potm, .potx, .ppam, .ppcx, .ppdf, .ppmod, .ppsm, .ppsx, .ppthtml, .pptm, .pptmhtml, .pptx, .pqb-backup, .pqhero, .prdx, .pref, .prefab, .prel, .prfpset, .primitives, .primitives_processed, .pro4dvd, .pro5dvd, .pro5plx, .pro5template, .profile, .profimail, .propdesc, .properties, .props, .proqc, .proto, .prproj, .prtl, .prvx, .ps1xml, .psar, .psc1, .psdx, .pset, .psf1, .psf2, .psid, .psm1, .pspbrush, .pspimage, .psproj, .pssd, .pssg, .psw6, .ptcop, .ptex, .ptxt, .publication, .pvhd, .pvmz, .pwdp, .pwdpl, .pxicon, .pyxel, .pzfx, .qb2009, .qb2011, .qb2012, .qb2013, .qb2014, .qb2017, .qba.tlg, .qbmb, .qbmd, .qcow, .qcow2, .qlgenerator, .qmbl, .qmtf, .qtch, .qtif, .qtindex, .qualsoftcode, .quicken2015, .quicken2015backup, .quicken2016backup, .quicken2017, .quicken2017backup, .quickenbackup, .quickendata, .qvpp, .radiumkey2, .radq, .raskinlicense, .raskinplace, .ratdvd, .rbxl, .rbxm, .rbxmx, .rcproject, .rcrec, .rctd, .rcut, .rdlc, .readme, .refresh, .reloc, .rels, .resjson, .resmoncfg, .resources, .resw, .resx, .rexx, .rflw, .rgba, .rgmb, .rgrp, .rgss3a, .rgssad, .rhtml, .riff, .rise, .rmbak, .rmskin, .rmvb, .roadtrip, .rock, .rodl, .rodx, .rodz, .rpgproject, .rplib, .rpln, .rpmsg, .rproj, .rptr, .rsdf, .rsrc, .rtfd, .rttex, .ruleset, .rvdata, .rvdata2, .rvid, .rvproj, .rvproj2, .rwlibrary, .rwplugin, .rwstyle, .rwsw, .rwtheme, .rxdata, .s2ml, .s2mv, .safariextz, .safe, .safenotebackup, .safetext, .sami, .sas7bdat, .sass, .save, .saveddeck, .sbproj, .sc2archive, .sc2assets, .sc2bank, .sc2data, .sc2locale, .sc2ma, .sc2map, .sc2mod, .sc2replay, .sc2save, .sc45, .sc4desc, .sc4lot, .sc4model, .scacfg, .scad, .scar, .scdoc, .schematic, .scpcfg, .scpresets, .scpt, .scptd, .screenflow, .script, .scriptsuite, .scriptterminology, .scriv, .scrivx, .scs11, .scss, .scut4, .scworld, .sd2f, .sdat, .sdef, .sdoc, .sdsk, .sdtid, .seam, .search-ms, .sedprj, .seed, .seplugin, .sequ, .session, .sesx, .settingcontent-ms, .settings, .sfap0, .sfar, .sfera, .sfpack, .sfvidcap, .sgml, .sgpbprj, .sh3d, .sh3f, .sha1, .sha512, .shar, .shortcut, .shtm, .shtml, .sidb, .sidd, .sidn, .sifz, .simg, .simp, .sims2pack, .sims3, .sims3pack, .sis.dm, .sisx, .sisx.dm, .site, .sitemap, .sites, .sites2, .sitx, .sjpg, .skba, .skcard, .sketch, .skin, .skindex, .skitch, .sky, .skypechatstyle, .skypeemoticonset, .sla.gz, .sldasm, .slddrt, .slddrw, .sldprt, .slogo, .sltng, .slupkg-ms, .smali, .smil, .smmx, .smpf, .smpx, .smrailroadssavedgame, .smrd, .smwt, .smzip, .snag, .snagitstamps, .snagproj, .snagstyles, .snapfireshow, .snappy, .snippet, .so-abi, .soepsx, .song, .sopt, .sparc, .sparsebundle, .sparseimage, .spdf, .spec, .spfx, .spiff, .spl7, .splane, .sppack, .sprg, .sprite, .sprite2, .spub, .sqfs, .sqlite, .sqlite3, .sqlitedb, .sqlproj, .src.rpm, .srep, .sseq, .ssl2, .sslf, .ssnd, .stap, .startupinfo, .stencyl, .step, .stmb, .stml, .story, .storyboard, .storyisttheme, .storymill, .stproj, .strings, .studio, .studio3, .stxt, .styk, .stykz, .style, .sublime-package, .sublime-project, .sublime-snippet, .sublime-workspace, .suck, .sugar, .suit, .sumo, .suniff, .sv2i, .svgz, .svn-base, .svn-work, .swift, .switch, .sxls, .sxml, .synw-proj, .t3001, .taac, .tar.bz2, .tar.gz, .tar.gz2, .tar.lz, .tar.lzma, .tar.md5, .tar.xz, .tar.z, .targa, .targets, .tax2009, .tax2010, .tax2011, .tax2013, .tax2015, .tax2016, .tax2017, .tbz2, .tda3mt, .tddd, .teacher, .temp, .template, .terminal, .testrunconfig, .testsettings, .text, .textclipping, .textfactory, .texture, .tfil, .tfrd, .theater, .theme, .themepack, .thing, .thmx, .thumb, .tibkp, .tiff, .tiger, .timestamp, .tivo, .tkfl, .tlzma, .tmbundle, .tmlanguage, .tmproj, .tmtheme, .tmvt, .tnef, .tnsp, .toast, .topc, .topprj, .topviw, .torrent, .totalslayout, .tpark, .tpkey, .trace, .trak, .trec, .trelby, .trif, .truck, .tstream, .tt10, .tt12, .tt13, .tt17, .ttarch, .ttbk, .ttkgp, .ttxt, .tvlayer, .tvpi, .tvrecording, .tvshow, .tvtemplate, .tvvi, .twig, .txt, .typeit4me, .uasset, .uccapilog, .udcx, .ufs.uzip, .ugoira, .uhtml, .uibak, .umod, .unauth, .unity, .unity3d, .unityproj, .unknown, .upoi, .userprofile, .usertile-ms, .usflib, .ut2mod, .ut4mod, .utf8, .utxt, .uzip, .v11.suo, .v12.suo, .v264, .vaporcd, .vbhtml, .vbox, .vbox-extpack, .vbox-prev, .vbproj, .vbscript, .vbx6settings, .vcomps, .vcpf, .vcpref, .vcproj, .vcxproj, .vdata, .vdproj, .vegaswindowlayout, .vert, .vexe, .vfs0, .vhdx, .vicar, .video, .viewlet, .viff, .viivo, .vimrc, .visual, .visual_processed, .vivo, .vlab, .vmcx, .vmdk, .vmdk-converttmp, .vmf_autosave, .vmhf, .vmhr, .vmlf, .vmlt, .vmpl, .vmtm, .vmwarevm, .vmxf, .vncloc, .voca, .volarchive, .voxal, .vpc6, .vpc7, .vpcbackup, .vrimg, .vrml, .vrphoto, .vsdisco, .vsdm, .vsdx, .vsix, .vsmacros, .vsmdi, .vsmproj, .vsprops, .vsps, .vspscc, .vspx, .vsqx, .vssettings, .vssscc, .vstm, .vstpreset, .vstx, .vtml, .vtpr, .vxml, .waff, .wagame, .wallet, .walletx, .wave, .wbcat, .wbmp, .wbxml, .wcry, .wdgt, .wdgtproj, .wdseml, .webarchive, .webarchivexml, .webbookmark, .webdoc, .webhistory, .webloc, .webm, .webp, .website, .webtemplate, .webtheme, .webz, .wfsp, .whirld, .whtt, .widget, .winclone, .windowslivecontact, .wixlib, .wixmsp, .wixmst, .wixobj, .wixout, .wixpdb, .wixproj, .wlmp, .wlvs, .wmdb, .wmga, .wmmp, .wncry, .woff, .woff2, .wordlist, .work, .workflow, .workspace, .world, .wotreplay, .wowsl, .wproj, .wrts, .wrypt, .wsdl, .wspak, .wsve, .wtpl, .wtpt, .wzconfig, .wzmul, .xadd, .xaml, .xamlx, .xapk, .xbap, .xbdoc, .xbel, .xbplate, .xcappdata, .xcarchive, .xcconfig, .xcdatamodeld, .xcodeplugin, .xcodeproj, .xcplugin, .xcsnapshots, .xcworkspace, .xdna, .xensearch, .xesc, .xfdf, .xfdl, .xhtm, .xhtml, .xise, .xlam, .xlmv, .xlnk, .xlsb, .xlshtml, .xlsm, .xlsmhtml, .xlsx, .xlthtml, .xltm, .xltx, .xmcd, .xmcdz, .xmdx, .xmind, .xmlff, .xmlper, .xmmap, .xojo_binary_project, .xojo_menu, .xojo_project, .xojo_xml_project, .xoml, .xpaddercontroller, .xquery, .xrdml, .xrns, .xsiaddon, .xslic, .xslt, .xspf, .xtbl, .xtodvd, .xtreme, .xvid, .xzfx, .yaml, .yaodl, .yenc, .ykcol, .yookoo, .yrcbck, .zabw, .zbfx, .zblorb, .zepto, .zfsendtotarget, .zhtml, .zipx, .zmap, .zrtf, .zsplit, .ztmp, .zvpl, .zzzzz (в этом списке 1884 расширения, но всего там 7465 расширений). 

Это документы MS Office, OpenOffice, PDF, файлы веб-страниц, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы, файлы налоговых деклараций, файлы игр, файлы прикладных программ, даже  расширения от других шифровальщиков и прочие файлы. 

➤ Ещё больше, 7763 расширений, было только у Amnesia Ransomware. 

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
HOW TO DECRYPT.txt
SkyFile Decryptor.exe
SVCHOST.EXE (svchost.exe)

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: getsend@tutanota.com
lockerfrom@yandex.ru
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться к Майклу Джиллеспи >>
---
Attention!
Files can be decrypted!
I recommend ask help to Michael Gillespie >>

 - видеообзор от CyberSecurity GrujaRS

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as SkyFile)
 Write-up, Topic of Support
 🎥 Video review >>

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 GrujaRS
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.

Vurten

Vurten Ransomware

(шифровальщик-вымогатель) (первоисточник на русском)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $10000 в BTC, чтобы вернуть файлы. Оригинальное название: не указано. Использована библиотека Crypto++. 

Обнаружения: 
BitDefender -> Trojan.GenericKD.30546630
Avira (no cloud) -> TR/Occamy.doysv
ESET-NOD32 -> A Variant Of Win32/Filecoder.NQD
Symantec -> Trojan.Gen.2
TrendMicro -> Ransom_VURTEN.THDOEAH

© Генеалогия: Everbe, DCRTR + Generic Ransomware > Vurten
Родство подтверждено сервисом Intezer Analyze >>

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .improved

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: UNCRYPT.README.txt

Содержание записки о выкупе:

Your entire network sensetive data was encrypted with our strong algorithm.
To recover your data send $10000 to the bitcoin address: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
If you do not send money within 7 days, payment will be increased double.
After payment you will receive decryption software.
Contact email: vurten_knyert@protonmail.com

Перевод записки на русский язык:
Все ваши сетевые данные зашифрованы с нашим сильным алгоритмом.
Для возврата ваших данных пошлите $10000 на биткоин-адрес: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
Если вы не пошлёте деньги за 7 дней, оплата будет удвоена.
После оплаты вы получите программу дешифрования.
Контактный email: vurten_knyert@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:

.$db, .001, .002, .003, .08, .09, .10, .11, .7z, .ab, .abk, .accdb, .accde, .accdr, .accdt, .accdw, .accft, .ade, .adi, .adl, .adn, .arc, .arm, .arz, .asd, .ate, .ati, .bac, .bak, .bak2, .big, .bkp, .bkup, .bup, .c, .cal, .cat, .cbs, .cbu, .cc, .cls, .cmf, .cnf, .conf, .cpp, .crypt12, .crypt5, .crypt6, .crypt7, .crypt8, .crypt9, .cs, .csv, .cxx, .dat, .db, .db3, .dbf, .dbs, .dbt, .dbv, .ddl, .def, .dex, .doc, .docm, .docm, .docx, .docx, .docxml, .dot, .dot, .dov, .dqy, .dropbox, .dsc, .dsk, .dsn, .eml, .emlx, .fdb, .fpt, .frm, .frt, .gho, .ghs, .grv, .gz, .gzip, .h, .hc, .hdi, .hds, .hfs, .hfv, .hlog, .htm, .html, .ib, .ibc, .ibd, .ibz, .imm, .ism, .jpg, .kdb, .kdbx, .latex, .ldf, .ltr, .maf, .map, .maq, .mar, .maw, .mbf, .mcd, .mdb, .mdbhtml, .mdbx, .mdf, .mdf, .mdn, .mig, .mpp, .mrg, .msg, .mwb, .myd, .myi, .mysql, .nbf, .ndf, .nvram, .obk, .odif, .odm, .odp, .ods, .odt, .one, .opt, .ori, .orig, .ort, .pages, .pdf, .pdf, .phl, .pla, .pln, .ppt, .pptx, .pst, .pub, .pvm, .qbquery, .rar, .rtf, .rul, .sal, .scn, .sco, .sdf, .sln, .sqb, .sql, .sqlite, .sqlitedb, .sqr, .tar, .tc, .tc, .tib, .tmd, .tmd, .trc, .txt, .txt, .vbk, .vbm, .vbox-prev, .vdi, .vhd, .vhdx, .vmcx, .vmdk, .vmem, .vmsd, .vmsn, .vmss, .vmtm, .vmwarevm, .vmx, .vmxf, .volarchive, .vpcbackup, .vrb, .walletx, .wbb, .wdb, .wim, .win, .wks, .wrk, .xld, .xlk, .xls, .xlsm, .xlsx, .xml, .xps, .zip (213 расширения в нижнем регистре).

 .$DB, .__A, .__B, .7Z, .AB, .ABK, .ACCDB, .ACCDE, .ACCDR, .ACCDT, .ACCDW, .ACCFT, .ADE, .ADI, .ADL, .ADN, .ARC, .ARM, .ARZ, .ASD, .ATE, .ATI, .BAC, .BAK, .BAK2, .BIG, .BKP, .BKUP, .BUP, .C, .CAL, .CAT, .CBS, .CBU, .CC, .CLS, .CMF, .CNF, .CONF, .CPP, .CRYPT12, .CRYPT5, .CRYPT6, .CRYPT7, .CRYPT8, .CRYPT9, .CS, .CSV, .CXX, .DAT, .DB, .DB3, .DBF, .DBS, .DBT, .DBV, .DDL, .DEF, .DEX, .DOC, .DOCM, .DOCM, .DOCX, .DOCX, .DOCXML, .DOT, .DOT, .DOV, .DQY, .DROPBOX, .DSC, .DSK, .DSN, .EML, .EMLX, .FDB, .FPT, .FRM, .FRT, .GHO, .GHS, .GRV, .GZ, .GZIP, .H, .HC, .HDI, .HDS, .HFS, .HFV, .HLOG, .HTM, .HTML, .IB, .IBC, .IBD, .IBZ, .IMM, .ISM, .JPG, .KDB, .KDBX, .LATEX, .LDF, .LTR, .MAF, .MAP, .MAQ, .MAR, .MAW, .MBF, .MCD, .MDB, .MDBHTML, .MDBX, .MDF, .MDF, .MDN, .MIG, .MPP, .MRG, .MSG, .MWB, .MYD, .MYI, .MYSQL, .NBF, .NDF, .NVRAM, .OBK, .ODIF, .ODM, .ODP, .ODS, .ODT, .ONE, .OPT, .ORI, .ORIG, .ORT, .PAGES, .PDF, .PDF, .PHL, .PLA, .PLN, .PPT, .PPTX, .PST, .PUB, .PVM, .QBQUERY, .RAR, .RTF, .RUL, .SAL, .SCN, .SCO, .SDF, .SLN, .SQB, .SQL, .SQLITE, .SQLITEDB, .SQR, .TAR, .TC, .TC, .TIB, .TMD, .TMD, .TRC, .TXT, .TXT, .VBK, .VBM, .VBOX-PREV, .VDI, .VHD, .VHDX, .VMCX, .VMDK, .VMEM, .VMSD, .VMSN, .VMSS, .VMTM, .VMWAREVM, .VMX, .VMXF, .VOLARCHIVE, .VPCBACKUP, .VRB, .WALLETX, .WBB, .WDB, .WIM, .WIN, .WKS, .WRK, .XLD, .XLK, .XLS, .XLSM, .XLSX, .XML, .XPS, .ZIP (208 расширений в верхнем регистре).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и пр.

Пропускает файлы и папки, содержащие названия и строки: 
WINDOWS, Boot, BOOTSECT, pagefile, System Volume Information, Program Files, Program Files (x86), $Recycle.Bin, ProgramData, AppData\Local, Microsoft, Kaspersky Lab, PerfLogs, VMWare, $RECYCLE.BIN, bootmgr, MSOCache, Public, All Users, Users\\Default, Local\Temp

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
UNCRYPT.README.txt
mswsvc.exe
updater.bat

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: vurten_knyert@protonmail.com
BTC: 1Ln9RxSRuDqqFhCTuqBPBKRMeyhVhRaUG4
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
ᕒ ANY.RUN анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Vurten Ransomware - апрель 2018
Mespinoza Ransomware - октябрь 2019 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Vurten)
 Write-up, Topic of Support
 * 

 Thanks: 
 S!Ri, Alex Svirid, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Assembly

Assembly Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 1000$ в BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: assembly.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Assembly

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME.txt

Содержание записки о выкупе:
All files have been encrypted
Send 1000$ in BTC to
1NRtwvG6hvmpm4qv7ChoFGxNNsLaU8A5B9
and send your computername to
ransomrust@protonmail.com
in order to decrypt the files.

Перевод записки на русский язык:
Все файлы зашифрованы
Пришли 1000$ в BTC на 
1NRtwvG6hvmpm4qv7ChoFGxNNsLaU8A5B9
и пришли имя твоего ПК на 
ransomrust@protonmail.com
чтобы расшифровать файлы.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .cpp, .cs, .csv, .doc, .docx, .html, .jpg, .mdb, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .raw, .rtf, .sln, .sql, .txt, .vb, .xls, .xlsx, .xml (26 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии и пр.

Файлы, связанные с этим Ransomware:
assembly.exe
<random>.exe - случайное название
READ_ME.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://sweet-candy.co.nf/*** (185.176.43.61:80 Болгария)
52.138.216.83:50843 - США
2.21.242.196:50843 - Евросоюз
Email: ransomrust@protonmail.com
BTC: lNRtwvG6hvmpm4qv7ChoFGxNNsLaU8A5B9
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 Bart, Michael Gillespie
 Alex Svirid
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Dont_Worry

Dont_Worry Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует написать на email вымогателей, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле записки написано: Dont_Worry. На exe-файлах написано: dwintl_x64.exe и gwintl.exe

Обнаружения:
DrWeb -> Trojan.Encoder.25099
BitDefender -> Trojan.GenericKD.30538690, Trojan.GenericKD.30624253
ALYac -> Trojan.Ransom.AMBA

© Генеалогия: Plague17 (2014-2016) > AMBA > Crypto_Lab > Russenger > Dont_Worry > Plague17 (2018-2019)

К зашифрованным файлам добавляется составное расширение по шаблону .<email_ransom>-<random_ID{16}>

На данный момент так: .wog@onionmail.info-<random_ID{16}>

Примеры зашифрованных файлов:
Document001.xml.wog@onionmail.info-11baae9204990064
Image002.jpg.wog@onionmail.info-4668ffbf455b468c

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Имеется временная метка компиляции: 27 февраля 2018. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Dont_Worry.txt
Разбрасывается по всем папкам с зашифрованными файлами. 

Содержание записки о выкупе:
Вся Ваша информация  на этом компьютере была зашифрована.
Для расшифровки обратитесь по нижеуказанным контактам.
------------------------------------------------------------
e-mail: wog@onionmail.info
Ваш код для разблокировки: 42943870
-----------------------------------
Если Вам приходит ответ, что почтовый адрес не существует:
 1. Вам не повезло. Адрес заблокировали.
---------
Все инструкции вы получите в ответном письме.
------------------------------------------------------------

Перевод записки на английский язык (in English):
All your information on this computer has been encrypted.
To decrypt refer to the contacts listed below.
------------------------------------------------------------
e-mail: wog@onionmail.info
Your code for unlock: 42943870
-----------------------------------
If you receive an answer that the mailing address does not exist:
  1. You are unlucky. The address was blocked.
---------
You will receive all instructions in the reply letter.
------------------------------------------------------------

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Записка о выкупе Dont_Worry.txt добавляется в Автозагрузку Windows. 

➤ Вероятно, предназначен для ПК, работающих под управлением Windows x64, т.к. в анализе на VT есть указание на Target Machine x64. Во всяком случае, пока нет других образцов. 

➤ Используется OpenSSL — криптографический пакет с открытым исходным кодом для работы с SSL/TLS. 

➤ Публичный RSA-2048-ключ.
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA0wgO9Fmx0oVToCicUzi+
JFL+kU1FgzChB0cKK27r5eeoDENOi0J/IlvB488e3m8BZIL0k6U7RNDzkhtfQupr
cXgszEkKZ++mAyc7mC/TblZEYwyi9nEvZdroKvqZTiHeSOqqialJe0aVoozOKneg
4wzwzsavTcS9p9SaK6uXA5lGIE8eEkzwsq8awIVigMVcbFshtvvFB4fwt1A8xuy1
jJdANDPIDTmP8FmmICrSXEgp7DiySuw4PpbiZsk0XCzKHfed8ol7LJD89Dcurmgh
AV3sqOvauTwRrU19vESEj8TRqKEN44fxHezM0M+RVmUy5w+xSFPpavrbZY+XLRCsmQIDAQAB
-----END PUBLIC KEY-----

Список файловых расширений, подвергающихся шифрованию:
.$$$, .[0-9]+, .~ini, .~klt, .1cd, .1cd2, .1cl, .1ey, .1txt, .2, .2cd, .6t[0-9]*, .6tr, .7z, .7zip, .8t0, .8tr, .9tr, .a2u, .a3d, .aad, .abd, .accdb, .adb, .adi, .afd, .ai, .als, .amp, .amr, .ans, .apc, .apk, .apx, .arc, .arch, .arh, .arj, .atc, .atg, .ava, .avhd, .avhdx, .awr, .axx, .bac[0-9]*, .backup, .bak, .bck, .bco, .bcp, .bde, .bdf, .bdf, .bf, .bf3, .bg, .bip, .bkc, .bkf, .bkp, .bks, .blb, .blf, .blk, .bln, .bls, .bls, .bmp, .box, .bpl, .bpn, .btr, .burn, .bz, .bz2, .car, .cbf, .cbm, .cbu, .cdb, .cdr, .cdx, .cer, .cf, .cfl, .cfu, .cia, .cmt, .cnc, .cpr, .cr2, .cripted, .criptfiles, .crypt, .csv, .ctl, .ctlg, .cuc, .cui, .cuix, .custom, .dafile, .data, .db, .db[0-9]*, .dbf, .dbk, .dbs, .dbt, .dbx, .dcf, .dcl, .dcm, .dct, .dcu, .dd, .ddf, .ddt, .dfb, .dff, .dfp, .dgdat, .dic, .diff, .dis, .djvu, .dmp, .doc, .docx, .dot, .dpr, .dproj, .drs, .dsus, .dt, .dtz, .dump, .dwg, .dz, .ect, .edb, .efd, .efm, .eif, .elf, .eml, .enc, .enz, .epf, .eps, .erf, .ert, .esbak, .esl, .eso, .etw, .export, .fbf, .fbk, .fdb, .fdb[0-9]*, .fi, .fil, .fkc, .fld, .flx, .fob, .fpf, .fpt, .frf, .frm, .frp, .frw, .frx, .fxp, .gbk, .gbp, .gd, .gdb, .gdoc, .gfd, .gfo, .gfr, .gho, .ghost, .ghs, .gif, .gopaymeb, .gpd, .granit, .grd, .gsheet, .gsn, .gz, .gzip, .hbi, .hbk, .hdf, .his, .hive, .htm, .html, .ib, .idf, .idx, .ifm, .ifo, .ifs, .ima, .img, .imgc, .imh, .imm, .indd, .info, .ipa, .ips, .irsf, .irsi, .irss, .iso, .isz, .iv2i, .jbc, .jpeg, .jpg, .jrs, .kdc, .keg, .key, .klt, .kmn, .kpm, .kwm, .laccdb, .last, .lay6,  .lbl, .ldb, .ldf, .ldif, .ldw, .lg, .lgd, .lgf, .lgp, .lic, .lis, .lky, .lnk, .local, .lock, .lrv, .lsp, .lst, .lvd, .lzh, .m2v, .mac, .mak, .map, .max, .mb, .mbox, .mcx, .md, .md5, .mdb, .mde, .mdf, .mdmp, .mdt, .mdw, .mdx, .meb, .mft, .mig, .mkd, .mnc, .mnr, .mns, .mod, .mov, .msf, .mtl, .mxl, .mxlz, .mxlz, .myd, .myi, .n[0-9]*, .nag, .nbi, .nbk, .nbr, .nc, .nd[0-9]*, .ndf, .ndt, .nef, .new, .nif, .nrg, .nsf, .ntx, .nvram, .obf, .ods, .odt, .ogd, .ok, .okk,  .old, .one, .onetoc2, .ora, .ord, .ost, .out, .ovf, .oxps, .p12, .packed, .pak, .pas, .paycrypt@gmail_com, .pbd, .pbf, .pck, .pdf, .pdt, .pf, .pfi, .pfl, .pfm, .pfx, .pgd, .pgp, .php, .pka, .pkg, .pkr, .plague17, .plan, .plb, .pln, .plo, .pm, .pml, .png, .pnl, .ppd, .ppsx, .ppt, .pptx, .prb, .prg, .prk, .profile, .prv, .ps1, .psd, .psl, .pst, .pwd, .pwm, .px, .py, .q1c, .qib, .qrp, .qst, .rar, .rbf, .rcf, .rdf, .rec, .rep, .repx, .req, .res, .rez, .rgt, .rk6, .rn, .rpb, .rpt, .rst, .rsu, .rtf, .rvs, .sac, .sacx, .save, .saved, .sbin, .sbk, .sbp, .scn, .sct, .scx, .sdb, .sdf,  .sdl, .sel, .sem, .sfpe, .sfpz, .sgn, .shd, .shdb, .shdl, .shs, .skr, .sln, .smf, .smfx, .sna, .snp, .sob, .sobx, .spr, .sql, .sqlite, .sqm, .sqx, .srx, .ssd, .ssf, .ssp, .sst, .st[0-9]*, .stm, .stop, .str, .sv2i, .svc, .svp, .tab, .tar, .tbb, .tbc, .tbh, .tbi, .tbk, .tbl, .tbn, .tdb, .tgz, .thm, .tib, .tid, .tmf, .tmp, .tmp0, .tnx, .tpl, .tps, .trc, .trec, .trn, .tst, .twd, .txt, .ua_, .udb, .unf, .upd, .utf, .v2i, .v8i, .vault, .vbe, .vbk, .vbm, .vbx, .vct, .vcx, .vdb, .vdi, .ver, .vhd, .vhdx, .vib, .viprof, .vlx, .vmcx, .vmdk, .vmem, .vmp, .vmpl, .vmrs, .vmsd, .vmsn, .vmss, .vmx, .vmxf, .vpc, .vrd, .vrfs, .vsd, .vsv, .vswp, .vvr, .vvv, .wallet, .war, .wav, .wbcat, .wbverify, .wid, .wim, .wnw, .wrk, .wsb, .xch, .xg0, .xls,  .xlsb, .xlsm, .xlsx, .xml, .xsc, .xsd, .xstk, .xtbl, .xxx, .xz, .yg0, .ytbl, .zip, .zrb, .zsp, .zup (535 англоязычных расширений) и одно русскоязычное расширение .БРОНЬ. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы 1С, базы других программ, файлы прикладных и специализированных программ, фотографии, некоторые типы файлов музыки и видео, файлы образов, архивы, бэкапы и пр. В списке есть также расширения, которые раньше добавляли к файлам другие шифровальщики. 

Пропускаются файлы с расширениями: 
.aes, .ani, .avi, .cab, .cpl, .cur, .dat, .deskthemepack, .diagcab, .diagpkg, .dll, .dmp, .docm, .drv, .exe, .hlp, .icl, .ico, .icons, .mp3, .mp4, .msp, .msstyles, .mui, .ocx, .rtp, .settingcontent-ms, .sys, .themepack и другие. 

Файлы, связанные с этим Ransomware:
Dont_Worry.txt
dwintl_x64.exe
gwintl.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\Startup\ ->
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt
C:\Users\User_Name-1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt
C:\Users\User_Name-2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dont_Worry.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: wog@onionmail.info
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: высокая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

AMBA Family (семейство Plague17 / AMBA):
Plague17 (2014-2016) Ransomware - март 2014-январь 2019
AMBA Ransomware - июнь, сентябрь 2016
Crypto_Lab Ransomware - сентябрь 2017
Russenger Ransomware - февраль 2018
Dont_Worry Ransomware - март-апрель 2018 и позже
Plague17 (2019) Ransomware - май 2018-август 2019 и позже

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 20 мая 2018:
Пост в Твиттере >>
Расширение: .UPS-<random_ID>
Email: ups@torbox3uiot6wchz.onion
Записка: Dont_Worry.txt или README.txt в более новых атаках
Файл: dwintl.exe, myfile.exe
Результаты анализов: VT + HA + VMR
DrWeb -> Trojan.Encoder.14940

ESET-NOD32 -> A Variant Of Win32/Filecoder.Russenger.A

Microsoft -> Ransom:Win64/Filecoder.BB!MTB

---

➤ Содержание записки о выкупе:
Вся Ваша информация на этом компьютере была зашифрована.
Для расшифровки вам нужно выполнить несложные действия:
1. Скачайте по ссылке тор-браузер, установите его:
https://www.torproject.org/download/download-easy.html
2. Откройте тор-браузер, перейдите по адресу и зарегистрируйте себе e-mail:
http://torbox3uiot6wchz.onion/signup-en.php
3. Войдите в почтовый ящик:
http://torbox3uiot6wchz.onion/sm/
4. Напишите письмо на e-mail:
e-mail: ups@torbox3uiot6wchz.onion 
Укажите в письме ваш код для разблокировки: ***
5. Ждите ответ.
Учтите, что письма с обычных email - мы не получим, кроме тех, которые есть в этом списке:
http://torbox3uiot6wchz.onion/relay-en.php

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Alex Svirid, Andrew Ivanov
 (victim in the topics of support)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.