BlackHeart, BlackRouter

BlackHeart Ransomware

Variants: BlackRouter, Pay2me, M@r1a (Mariacbc), BlackHat, Prodecryptor, Tor+, Tsar, Badboy, Alix1011RVA

BlackHeart NextGen: BlackDream, BlackLegion

(шифровальщик-вымогатель, RaaS) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальные названия: BlackHeart и BlackRouter. На файлах разных вариантов написано: SF.exe, TR.exe, BLACKROUTER.EXE. Разработчик: Javad. Страна: Иран.

Обнаружение: 
DrWeb -> Trojan.Encoder.25193, Trojan.Encoder.26976, Trojan.Encoder.28032, Trojan.MulDrop2.39589, Trojan.MulDrop8.9170, Trojan.MulDrop8.11479, Trojan.Encoder.32008, Trojan.Encoder.32388, Trojan.Encoder.32594,  Trojan.Encoder.32813, Trojan.EncoderNET.31365
ALYac -> Trojan.Ransom.BlackHeart, Trojan.Ransom.SF

BitDefender -> Gen:Variant.Ransom.BlackHeart.4, Dropped:Trojan.GenericKD.30639318, Trojan.GenericKD.40528175, Generic.Ransom.WCryG.*

ESET-NOD32 -> Win32/TrojanDropper.Binder.NBH, A Variant Of MSIL/Filecoder.OI, A Variant Of MSIL/Filecoder.IX
Malwarebytes -> Ransom.BlackRouter, Ransom.BlackHeart
TrendMicro -> Ransom_BLACKHEART.THDBCAH, Ransom.MSIL.FILELOCK.SM

© Генеалогия: Общий крипто-строитель SF Ransomware >> Spartacus, Satyr, BlackRouter, BlackHeart > M@r1a, BlackHat, Prodecryptor, Tor+, Tsar, Badboy и другие

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения (в разных вариантах):
.BlackRouter или .pay2me

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadME-BLackHeart.txt

Содержание записки о выкупе:
All your data has been locked us. You want to return? Contact to:
vahidkhaz123@qmail.com Your Personal key:
Vz**********************************************q==

Перевод записки на русский язык:
Ваши данные блокированы нами. Вы хотите вернуть? Связь на:
vahidkhaz123@qmail.com Ваш персональный ключ:
Vz**********************************************q==

Запиской с требованием выкупа также выступает экран блокировки:

Своеобразное приложение к экрану блокировки

Разработчик-вымогатель, видимо, фанат новых Star Wars. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов с помощью команды:

vssadmin.exe  delete shadows /all /quiet

➤ Вместе с шифровальщиком на компьютер жертвы внедряется программа AnyDesk и кейлоггеры. 

➤ Зашифрованный файл в версиях BlackHeart и BlackRouter немного отличается. 

Оригинальный файл и зашифрованный BlackHeart и BlackRouter

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SF.exe
SF.pdb
TR.exe (TR.EXE)
BLACKROUTER.EXE - исполняемый файл шифровальщика
ANYDESK.EXE - может выдавать себя за файл программы Anydesk

ReadME-BLackHeart.txt
<random>.exe - случайное название
aut3.tmp, aut4.tmp, aut5.tmp
jrw.gif

Расположения:
\Desktop\ ->
\User_folders\ ->
\Temp\BLACKROUTER.EXE
\Temp\TR.EXE
\Temp\aut3.tmp
\Temp\aut4.tmp
\Temp\aut5.tmp
\AppData\Local\temp\tmp\jrw.gif
C:\Users\admin\AppData\Local\Temp\BLACKROUTER.EXE
C:\Users\admin\AppData\Local\Temp\ANYDESK.EXE
C:\Users\Javad\Desktop\Source Code2\SF\obj\Debug\SF.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: vahidkhaz123@qmail.com
Telegram. 
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >> VT>> VT>> VT>>
ᕒ ANY.RUN анализ (.BlackRouter)>>  AR (.pay2me) >>
🐞 Intezer анализ >> IA>> IA>> IA>> 
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Общий крипто-строитель SF Ransomware - апрель 2018 или раньше

Spartacus Ransomware - 15 апреля 2018

BlackRouter Ransomware  - 15 апреля 2018, январь 2019

Satyr Ransomware  - 18 апреля 2018

RansomAES Ransomware - 7 мая 2018

BlackHeart Ransomware - 21 апреля 2018, июнь 2020

M@r1a Ransomware - 3 ноября 2018, май 2019

BlackHat Ransomware - 4 декабря 2018

Prodecryptor Ransomware - апрель 2019

Tor+ Ransomware - декабрь 2019

Tsar Ransomware - февраль 2020

Badboy Ransomware - июнь 2020

Alix1011RVA Ransomware - сентябрь 2020

Prodecryptor - январь 2021 или раньше

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 3 ноября 2018:
Пост в Твиттере >>
Самоназвание: M@r1a
См. отдельную статью M@r1a Ransomware
Расширение: .mariacbc
Записка: ReadME-M@r1a.txt
Telegram: @MAF420
Email: farhani.ma98@gmail.com
BTC: 1EME4Y8zHLGQbzjs9YZ5fnbaSLt4ggkRso
Результаты анализов: VT + HA + VMR

Обновление от 4 декабря 2018:
Пост в Твиттере >>
🎥 Видеообзор >>
Расширение: .BlackHat
Email: mehtihack051@qmail.com 
Telegram: @C3NTER
Файл EXE: SF.exe с иконкой с большой красной буквой "B".
Результаты анализов: VT + VMRay

=== 2019 ===

Обновление от 7 января 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .BlackRouter
Записка: ReadME-BlackRouter.txt
Telegram: t.me/MOH3EN2
Результаты анализов: VT + HA + VMR + AR

➤ Вместе с шифровальщиком BlackRouter на компьютер жертвы внедряется программа AnyDesk и кейлоггеры. 

 

 

Этот вариант рекламируется как RaaS в хакерском канале Telegram иранским разработчиком. Аффилированные партнеры, которые заплатили за RaaS и распространяют BlackRouter, получают 80% от уплаченных выкупов, а 20% получает разработчик BlackRouter. Подробнее в статье BC >>

Обновление от 29 апреля 2019:
Пост в Твиттере >>
Видеообзор >>
Расширение: .Prodecryptor
Записка: ReadME-Prodecryptor@gmail.com.txt 
Email: Prodecryptor@gmail.com
Результаты анализов: VT + VMR

Обновление от 2 мая 2019:
Пост в Твиттере >>
Пост в Твитере >>
Расширение: .mariacbc
Записка: ReadME-Encryptor.txt
BTC: 1AnAZFK93T6xWfWHajwjtYeqQwVRMYFd2b
Email: Encrypt0rvps@gmail.com
Telegram: @@EncryptorVps
Результаты анализов: VT + VMR + AR

Обновление от 5 декабря 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .Tor+
Записка: ReadME-Unlockme501@protonmail.ch.txt
Email: Unlockme501@protonmail.ch
Результаты анализов: VT + VMR + AR

 

➤ Содержание txt-записки: 
All your data has been locked us. You want to return? Contact to Email: Unlockme501@protonmail.ch Your Personal KEY: EfSDHYq8uvBqyO7FTzHaB4fuol4FWB4wM0bI*** [всего 344 знака]

=== 2020 ===

Обновление от 26 февраля 2020:
Пост в Твиттере >>
Расширение: .Tsar
Записка: ReadME-Tsar.txt
Email: Decrypt.Russ©protonmail.com
Результаты анализов: VT + AR + VMR + IA

Обновление от 12 июня 2020:
Топик на форуме >>
Расширение (предположительно): .blackheart
Записка: readme.txt
Email: recover10@tutanota.com, recoverunknown@aol.com

➤ Содержание записки: 
All your files have been encrypted due to security problem with your PC. 
If you want to restore them, write us to the email recover10@TUTANOTA.COM
In case of no answer in 24 hour write us to this email: RECOVERUNKNOWN@aol.com
Note that your email must contain your ID and Unique Key.
Your ID: 54A5D***
Your Unique Key: d6S+bBXefileuQmOmWr9iDzS5EnT0QH9V*** [всего 684 знака]

Обновление от 15 июня 2020:
Пост в Твиттере >>
Самоназвание: Badboy, Badboymnb
Расширение: .Badboy
Записка: ReadME-BadboyEncryption.txt
Email: alix1011@protonmail.com

Email: Aryan.mo@yahoo.com
Файл EXE: Badboymnb.exe
Размещение файла: C:\Users\User\AppData\Local\Temp\Badboymnb.exe
Файл проекта: C:\Users\ali\Desktop\MUSIC\obj\Debug\Badboymnb.pdb 
Команда на удаления теневых копий: 
"cmd.exe" /c vssadmin.exe delete shadows /all /quiet
vssadmin.exe delete shadows /all /quiet
Результаты анализов: VT + TG + IA + VMR

➤ Обнаружения:
DrWeb -> Trojan.Encoder.32008, Trojan.Encoder.32813
ALYac -> Trojan.Ransom.BlackHeart
BitDefender -> Generic.Ransom.WCryG.B214A5E3
ESET-NOD32 -> A Variant Of MSIL/Filecoder.LK
TrendMicro -> Ransom.MSIL.FILELOCK.SM
---
➤ Содержание txt-записки:
All your data has been locked us. 
You want to return? Contact to Email: alix1011@protonmail.com 
Your Personal Key : 
XAprJY8ac0+cVEBkFYgVr+VkOi202U1+SQ*** [всего з44 знака]

➤ Содержание текста с экрана:

Your System Has Been Hacked

Personal Key :

***

Warning: Please Don't Restart or Shutdown Your PC ,

If do it Your Pesonal Files Permanently Crypted.

For Decrypt Your Personal Just Pay Btc, After Pay You Can send personal key to

My Email: alix1011@protonmail.com

My Wallet In Blockchain For Pay Contact Me: alix1011@protonmail.com

Contact Me : alix1011@protonmail.com

 

Обновление от 6 августа 2020:
Пост в Твиттере >>
Расширение (без точки): Drheshi@protonmail.com.3tp2PDRJuaNSGk1c и другие
Email: Drheshi@protonmail.com
Email: ellenfabiana01@protonmail.com
Email: MREncptor@protonmail.com
Файл проекта: C:\Users\mlios\Desktop\Zero\SF\obj\Debug\SF.pdb

 

Результаты анализов: VT + VT

Обновление от 24-31 августа 2020:
Пост в Твиттере >>
Расширение (без точки): support@lzt.design.3tp2pdrjuansgk1c

Записка: ReadME-Decrypt.txt
Email: support@lzt.design
Файл: SF.exe
Результаты анализов: VT + VMR

 

Обновление от 22 августа 2020:

Пост в Твиттере >>

Расширение (без точки): Drheshi@protonmail.com.3tp2PDRJuaNSGk1c

Email: Drheshi@protonmail.com

Результаты анализов: VT + IA

Обновление от 14 сентября 2020:

Пост в Твиттере >>

Расширение (без точки): mrheshi@protonmail.com.3tp2PDRJuaNSGk1c

Email: mrheshi@protonmail.com

Проект: C:\Users\Asus\Desktop\Zero\Zero\SF\obj\Debug\SF.pdb

Результаты анализов: VT + IA

Обновление от 18 сентября 2020:

Пост в Твиттере >>

Расширение: .Alix1011RVA

Записка: ReadME-Alix1011RVAEncryption

Email: alix1011@protonmail.com

Проект: C:\Users\ali\Desktop\MUSIC\obj\Debug\Alix1011RVA.pdb

Файл: SF.exe

Результаты анализов: VT + IA

➤ Обнаружения >>

DrWeb -> Trojan.Encoder.32594

BitDefender -> Generic.Ransom.WCryG.*

ESET-NOD32 -> A Variant Of MSIL/Filecoder.LK

Tencent -> Msil.Trojan.Encoder.Gbr

TrendMicro -> Ransom.MSIL.FILELOCK.SM

Вариант от 30 января 2020:

Сообщение >>

Расширение: .Prodecryptor

Email: Prodecryptor@gmail.com

Файл проекта: dotnet\Prodecryptor\SF\obj\Debug\SF.pdb

Результаты анализов: VT + IA

➤ Обнаружения >>

DrWeb -> Trojan.EncoderNET.31365

ALYac -> Trojan.Ransom.BlackHeart

BitDefender -> Generic.Ransom.Spora.08B3B542

ESET-NOD32 -> A Variant Of MSIL/Filecoder.LK

Malwarebytes -> Malware.AI.4166999267

Tencent -> Msil.Trojan.Encoder.Ajvl

TrendMicro -> Ransom.MSIL.FILELOCK.SM

Прошли годы... 2021, 2022. 

Я не отслеживал новые варианты. Оказывается они были. 

=== 2023 ===

Вариант от 22 октября 2023: 

Сообщение >>

Доп. название: BlackDream Ransomware

Расширение: .BlackDream

Список вариантов расширений: 

.BlackDream

.Blackdream

.blackDream

.blackdream

Полное расширение (пример): .[644F1DCB].[Blackdream01@zohomail.eu].BlackDream

Записка: ReadME-Decrypt.txt

Telegram: @blackdream_support

Email-1: Blackdream01@zohomail.eu

Email-2: Blackdream01@skiff.com

Файл проекта: Windows Security.pdb

Исходный проект: SF.pdb

Путь к файлу нового проекта: C:\Users\asghar\Desktop\MyProject\Zero\SF\obj\Debug\Windows Security.pdb

Файл exe: Windows Security.exe

Результаты анализа: VT + IA

---

➤ Строки из записки: 

Your system has been encrypted by our team, and your files have been locked using our proprietary algorithm !

Please put your Unique ID as the title of the email or as the starting title of the conversation.

* Note that your files have not been harmed in any way they have only been encrypted by our algorithm. Your files and your entire system will return to normal mode through the program we provide to you. No one but us will be able to decrypt your files !

* For faster decryption, first message us on Telegram. If there is no response within 24 hours, please email us *

Telegram Id : @blackdream_support

Mail 1 : Blackdream01@zohomail.eu

Mail 2 : Blackdream01@skiff.com

You will receive btc address for payment in the reply letter

--------------------------------
! Important !
Please dо nоt wаstе thе timе аnd dо nоt trу to dесеive us , it will rеsult оnly priсе incrеаsе!
Plеаsе nоte that we are professionals and just doing our job !
Wе аrе alwауs оpеnеd fоr diаlоg аnd rеаdy tо hеlp уоu !
"
UniqueID: ********
Your Personal ID:
***

Вариант от 28 ноября 2023: 

Сообщение на форуме >>

Доп. название: BlackLegion Ransomware

Расширение: .BlackLegion

Полное расширение (пример): .[644F1DCB].[BlackLegion@zohomail.eu].BlackLegion

Записка: DecryptNote.txt

Telegram: @blackdream_support

Email-1: Blackdream01@zohomail.eu

Email-2: Blackdream01@skiff.com

Файл: svchost.exe

Фальш-копирайт: Microsoft, Windows

Результаты анализа: VT + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (1st ID as Spartacus, 2nd ID as BlackHeart)
 Write-up, Topic of Support
 * 

 Thanks: 
 Jakub Kroustek, Bart, Michael Gillespie, MalwareHunterTeam
 S!Ri, GrujaRS, dnwls0719, Kangxiaopao
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DotZeroCMD

DotZeroCMD Ransomware

(фейк-шифровальщик, RaaS)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: DotZeroCMD.Ransom - v1.2 - RaaS RansomWare. На файле написано: Ransom DotZero CMD.Ransom. Целевая система: Windows x64.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

Файлы не шифруются. Имитируются процессы шифрования и дешифрования. Используется жёлтый экран из GoldenEye (Petya-3) Ransomware. 

Образец этого крипто-вымогателя был найден во второй половине апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Dot Zero CMD.Ransom - v1.2
Powered by Rekt-Cheats.ML DigitalGroup LLC
This is a ransonware virus!
You need to pay to get your files back!
Q: What happened?
A: All your files have been ecnrypted!
Q: How nuch i need to pay?
A: 13? via with a cryptocurrency!
@: cmdransom@rekp-cheats.ml
xxxxs://cmdh5gz4ku7kop4l.onion
Files will be encrypted in [ 12 ] seconds.
Copyright (c) 2003-2015 All rights reserved.
---
Status: Completed
Encrypted 100/100 files.
All files have been encrypted!
You need to buy a key to get your files back!
15? via cryptocurrency! (BTC, LTC, TH, RPL ..etc)
@: cmdranson@rekt-cheats.ml
Press any key to continue to the decryption screen...
---
DotZero CMD.Ransom - v1.2 - RaaS RansomWare!
Public-Key: 3xd8ZmAQ2V9zW PersonalID: d7:16:ae
You need to buy a key to get your files back?
15? via cryptocurrency! (BTC, LTC, TH, RPL ..etc)
@: cmdransom@rekt-cheats.ml
Enter private-key: 0xjh8tXH
Valid key!
Starting de-crypting...
Decrypting was successfully!
Your files have been recovered successfully! BB
Press any key to exit...

Перевод текста на русский язык:
Dot Zero CMD.Ransom - v1.2
Поддержка Rekt-Cheats.ML DigitalGroup LLC
Это вирус ransonware!
Вам нужно заплатить за возврат своих файлов!
Вопрос: Что случилось?
Ответ: Все ваши файлы зашифрованы!
Вопрос: Как мне нужно платить?
Ответ: 13? с помощью криптовалюты!
@: cmdransom@rekp-cheats.ml
xxxxs: //cmdh5gz4ku7kop4l.onion
Файлы будут зашифрованы через [12] секунд.
Copyright (c) 2003-2015 Все права защищены.
---
Статус: завершено
Зашифровано файлов 100/100.
Все файлы зашифрованы!
Вам нужно купить ключ, чтобы вернуть ваши файлы!
15? в криптовалюте! (BTC, LTC, TH, RPL ..etc)
@: cmdranson@rekt-cheats.ml
Нажмите любую клавишу, чтобы перейти к экрану дешифрования...
---
DotZero CMD.Ransom - v1.2 - RaaS RansomWare!
Открытый ключ: 3xd8ZmAQ2V9zW PersonalID: d7:16:ae
Вам нужно купить ключ, чтобы вернуть ваши файлы?
15? в криптовалюте! (BTC, LTC, TH, RPL ..etc)
@: cmdransom@rekt-cheats.ml
Введите секретный ключ: 0xjh8tXH
Правильный ключ!
Запуск дешифрования ...
Дешифрование успешно!
Ваши файлы были успешно восстановлены! BB
Нажмите любую клавишу для выхода...

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RansomDotZeroCMD.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxxs://cmdh5gz4ku7kop4l.onion
Email: cmdransom@rekt-cheats.ml
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Jakub Kroustek
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Exocrypt XTC

Exocrypt XTC Ransomware

Exocrypt XTC Ransomware 2.0

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в £50 (фунтов стерлингов) в BTC, чтобы вернуть файлы. Оригинальное название: Exocrypt и Exocrypt XTC. На файле 1-й версии написано: Exocrypt.exe. На файле 2-й версии написано: Exocrypt XTC v2.0.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Exocrypt > Exocrypt XTC
Родство подтверждено сервисом IntezerAnalyze >>

К зашифрованным файлам добавляется расширение .xtc

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
All your personal files have been encrypted, your photos, videos and documents are no longer accessible, don't cry yet because I have not deleted them... Yet...
In order for me to decrypt your files for you, you must pay a small fee to the following bitcoin address, payment will only be accepted in bitcoin to insure anonymity... Try anything funny and your files will be permanantly encrypted forever.
Good luck.
👀
24:00:00
£50 in BTC *** [Decrypt]

Перевод записки на русский язык:
Все ваши личные файлы зашифрованы, ваши фото, видео и документы теперь недоступны, не плачьте, потому что я их не удалил... Пока...
Чтобы я расшифровал ваши файлы, вы должны заплатить мне немного денег на следующий биткоин-адрес, оплата принимается только в биткоинах, в целях анонимности ... Попробуете что-то отчудить и ваши файлы останутся зашифрованными навсегда.
👀
24:00:00
£50 в BTC *** [Decrypt]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Exocrypt.exe
XTC Decrypt0r.exe
<random>.exe - случайное название
DO_NOT_DELETE
DO_NOT_DELETE.xtc

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Exocrypt XTC Ransomware
Exocrypt XTC Ransomware 2.0

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 апреля 2018:
Пост в Твиттере >>
Информационные сообщения >>

Обновление от 2 мая 2018:
Новая версия: Exocrypt XTC v2.0
Пост в Твиттере >>
Расширение: .xtc
Файлы: Exocrypt XTC v2.0.exe
DO_NOT_DELETE
DO_NOT_DELETE.xtc
XTCipher_Decrypt
XTCipher_Encrypt
XTCipher_Key
BTC: 14pwAhmcC4PLcLQuMTDaLMsc4ThzHZycxK

Содержание текста в экране блокировки:
Your Personal Files Are Encrypted!
!THIS RANSOMWARE WAS MADE FOR EDUCATIONAL PURPOSES, WE WILL NOT SEND OUT ANY COPIES OF THIS VIRUS, UNLESS IT IS FOR FORENSIC PURPOSES!
Q: What is happening to my computer?
A: All your personal files have been encrypted with a military grade encryption algorithm (AES-256 x2), basically all your files are inaccessible.
Q: How can I recover my files?
A: You can't, unless you pay the fee which is stated below.
Q: How can I trust you?
A: We can't make you trust us, but are you willing to take the risk? After all, It's your files that have been encrypted.
Q: How can I pay the fee?
A: Payment will only be accepted in bitcoin to ensure anomity. Once you have your bitcoin ready, send £50 worth of bitcoin address specified below. 
---
Содержание текста после расшифровки:
Your files have been decrypted, hope to see you soon ;)
Результаты анализов: HA + VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
---
Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Exocrypt XTC)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Greystars

Greystars Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные серверов с помощью AES+RSA, а затем требует выкуп в 0.08 BTC или больше, чтобы вернуть файлы. Оригинальное название: неизвестно. На файле написано: нет данных.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .greystars@protonmail.com

Шаблон расширения: .<email_ransom>

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые пострадавшие нашлись в Китае и Иордании. 

Записка с требованием выкупа называется: 
HOW-TO-RECOVER-YOUR-FILES.HTML
How-To-Recover-Your-Files.html

Содержание записки о выкупе:
All your files have been encrypted !
How to recover your files?
All your files have been encrypted by RSA and AES due to a security problem on your PC.You have to pay for decryption in Bitcoins.
If you want to restore them.You must send 0.08 bitcoin to my bitcoins address 1JnRP8UsTDLRjzCTaJXYPr5oYkKc7bLY2Q .
After payment we will send you the decryption tool that will decrypt all your files. 
Please write us to the email greystars@protonmail.com.
Your decrypt code is AAIAABAAAABB9vJD0HK/j+mI9hCzy9kk9GWSnb/1***
Please write the decrypt code in the title of your email message .And don't forgot to write the transfer accounts info.
How to obtain Bitcoins?
The easiest way to buy bitcoins is LocalBitcoins site.You have to register.Click "Buy bitcoins".And select the seller by payment method and price. 
The Web Site address is https://localbitcoins.com/,or other websites. 
Attention!
1.Do not rename encrypted files. 
2.Do not try to decrypt your data using third party software.It may cause permanent data loss. 

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Как восстановить файлы?
Все ваши файлы были зашифрованы RSA и AES из-за проблемы с безопасностью на вашем ПК. Вы должны заплатить за дешифрование в биткоинах.
Если вы хотите восстановить их. Вы должны отправить 0.08 биткоина на мой биткоин-адрес 1JnRP8UsTDLRjzCTaJXYPr5oYkKc7bLY2Q.
После оплаты мы пришлём вам инструмент дешифрования, который расшифрует все ваши файлы.
Пожалуйста, напишите нам на email greystars@protonmail.com.
Ваш код дешифрования: AAIAABAAAABB9vJD0HK/j + mI9hCzy9kk9GWSnb/1***
Пожалуйста, напишите код дешифрования в заголовке вашего email-сообщения. И не забудьте написать информацию о счете перевода.
Как получить биткоины?
Самый простой способ купить биткоины - сайт LocalBitcoins. Вам нужно зарегистрироваться. Нажате "Buy bitcoins". И выбрать продавца по способу оплаты и цене.
Адрес веб-сайта - https://localbitcoins.com/ или другие веб-сайты.
Внимание!
1. Не переименовывайте зашифрованные файлы.
2. Не пытайтесь расшифровывать свои данные с помощью сторонних программ. Это может привести к постоянной потере данных.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов и пр.

Пропускаются файлы с расширениями:
.conf, .json, .exe, .msi 

Файлы, связанные с этим Ransomware:
HOW-TO-RECOVER-YOUR-FILES.HTML
How-To-Recover-Your-Files.html
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: greystars@protonmail.com
BTC: 1JnRP8UsTDLRjzCTaJXYPr5oYkKc7bLY2Q
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 сентября 2019:
Пост в Твиттере >>
Расширение: .alanwalkergod@protonmail.com
Шаблон расширения: .<email_ransom>
Записка: How-To-Recover-Your-Files.html
Email: alanwalkergod@protonmail.com
BTC: 12ZgC96U4X3ytceFfAaTEH9p5YCcvypLcD

➤ Содержание записки: 
All your files have been encrypted !
How to recover your files?
All your files have been encrypted by RSA and AES due to a security problem on your PC.You have to pay for decryption by Bitcoin.
If you want to restore them.You must send 0.2 bitcoin to my bitcoin address : 12ZgC96U4X3ytceFfAaTEH9p5YCcvypLcD .
After payment we will send you the decryption tool that will decrypt all your files.
Please write us to the email : alanwalkergod@protonmail.com.
Your personal decrypt code is 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
Please write the personal decrypt code in the text of your email message .And don't forgot to write or paste the transfer accounts info.
How to obtain Bitcoins?
The easiest way to buy bitcoins is LocalBitcoins site.You have to register.Click "Buy bitcoins".And select the seller by payment method and price.
The Web Site address is https://localbitcoins.com/,or other websites.
Attention!
1.Do not rename encrypted files.
2.Do not try to decrypt your data using third party software.It may cause permanent data loss.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 (victim in the topics of support)
 Andrew Ivanov
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Satyr

Satyr Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в 0.018 BTC, чтобы вернуть файлы. Оригинальное название: Satyr и SF. На файле написано: SF.exe. Написан на языке .NET. Разработчик: Javad или tony_montana. 

© Генеалогия: Общий крипто-строитель SF Ransomware >>  Spartacus, Satyr, BlackRouter, BlackHeart

К зашифрованным файлам добавляется расширение .Satyr

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ ME.txt

Содержание записки о выкупе:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us the Telegram: https://t.me/tony_montana10928 or @tony_montana10928 and send personal ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***
For Decrypt Your Personal Files Send 0.018 BTC to this address:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
You have to pay for decryption in Bitcoins. The price depends on how you write to us. After payment we will send you the\r\ndecryption tool that will decrypt all your files.
Your personal ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***

Перевод записки на русский язык:
Советы по безопасности
Все ваши файлы зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, пишите нам Telegram: xxxxs://t.me/tony_montana10928 или @ tony_montana10928 и отправьте персональный ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***
Для расшифровки ваших личных файлов пришлите 0.018 BTC по этому адресу:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, когда вы напишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Ваш персональный ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***


Запиской с требованием выкупа также выступает экран блокировки, встающий поверх Рабочего стола:

Содержание текста о выкупе:
Security tips
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us the Telegram: xxxxs://t.me/tony_montana10928 or @tony_montana10928 and send personal ID KEY:
AbU2ZqRplR1wWLAuw9PL4A***
For Decrypt Your Personal Files Send 0.018 BTC to this address:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
You have to pay for decryption in Bitcoins. The price depends on how you write to us. After payment we will send you the decryption tool that will decrypt all your files.

Перевод текста на русский язык:
Советы по безопасности
Все ваши файлы зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, пишите нам Telegram: xxxxs://t.me/tony_montana10928 или @ tony_montana10928 и отправьте персональный ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***
Для расшифровки ваших личных файлов пришлите 0.018 BTC по этому адресу:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, когда вы напишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов командами:
cmd.exe /c vssadmin.exe delete shadows /all /quiet
vssadmin.exe delete shadows /all /quiet

➤ Исследователи вредоносных программ подтвердили родство двух вредоносных программ: Spartacus и Satyr, которое я предположил, сравнив имеющиеся визуальные элементы этих двух вымогательств.  

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SF.exe
Satyr.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: tony_montana10928
BTC: 19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Общий крипто-строитель SF Ransomware - апрель 2018 или раньше

Spartacus Ransomware - 15 апреля 2018

Satyr Ransomware  - 18 апреля 2018

BlackRouter Ransomware  - 18 апреля 2018, январь 2019

BlackHeart Ransomware - 21 апреля 2018, июнь 2020

RansomAES Ransomware - 7 мая 2018

M@r1a Ransomware - 3 ноября 2018, май 2019

BlackHat Ransomware - 4 декабря 2018

Prodecryptor Ransomware - апрель 2019

Tor+ Ransomware - декабрь 2019

Tsar Ransomware - февраль 2020

Badboy Ransomware - июнь 2020

Alix1011RVA Ransomware - сентябрь 2020

Prodecryptor - январь 2021 или раньше

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Satyr)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.