PGPSnippet

PGPSnippet Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью PGP, а затем требует выкуп в 500$ в BTC, чтобы вернуть файлы. Оригинальное название: PGPSnippet. На файле написано: PGPSnippet.exe.

© Генеалогия: PGP >> PGPSnippet 

К зашифрованным файлам добавляется расширение .decodeme666@tutanota_com

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась середину и на вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!README_DECRYPT!!!.txt

Содержание записки о выкупе:
ATTENTION !
All your documents and other files ENCRYPTED !!!
TO RESTORE YOUR FILES YOU MUST TO PAY: 500$ by Bitcoin to this address: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
You can open an wallet here:
https://electrum.org/#download
https://blockchain.info
https://localbitcoins.com/
https://paxful.com/en
https://www.bestchanee.com/
Send the file on the way "WIN + R >> %APPDATA%" file name hosts.txt to our e-mail after paymentat this email address: decodeme666@tutanota.com
We will confirm payment and send to you decrypt key + instruction
Remember: you have a 72 hours and if you not paid, that price will up
ATTENTION : all your attempts to decrypt your PC without our software and key can lead to irreversible destruction
of your files !

Перевод записки на русский язык:
ВНИМАНИЕ !
Все ваши документы и другие файлы ЗАШИФРОВАНЫ !!!
ЧТОБЫ ВЕРНУТЬ ВАШИ ФАЙЛЫ, ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ: 500$ в биткоинах на этот адрес: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
Вы можете открыть кошелек здесь:
https://electrum.org/#download
https://blockchain.info
https://localbitcoins.com/
https://paxful.com/en
https://www.bestchanee.com/
Отправьте файл из пути «WIN + R >> % APPDATA%» имя файла hosts.txt на нашу почту после оплаты на этот email-адрес: decodeme666@tutanota.com
Мы подтвердим оплату и отправим вам ключ дешифрования + инструкцию
Помните: у вас есть 72 часа, и если вы не заплатили, эта цена повысится
ВНИМАНИЕ: все ваши попытки расшифровать ваш компьютер без нашей программы и ключа могут привести к необратимому повреждению
ваших файлов !

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

⛳ Вывод: Использование PGP совершенно бесполезно, если ключ небезопасен. Поэтому файлы можно дешифровать. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PGPSnippet.exe
!!!README_DECRYPT!!!.txt
hosts.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: decodeme666@tutanota_com
BTC: 1Nvhebx6EHmFmXokSbXMxbCNGN2fwtgq8W
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 июня 2018:
Расширение: .criptfud@protonmail.com
Email: criptfud@protonmail.com
BTC: 1CEvCVbVnCC1eiM84MXCy3UmRecMPngKT
Сумма выкупа: 150$
Записка: !!!README_DECRYPT!!!.txt
Скриншот записки >>

Обновление от 8 июня 2018:
Пост в Твиттере >>
Расширение: .digiworldhack@tutanota.com
Email: digiworldhack@tutanota.com
BTC: 11zc6pm11fQiWXDAG7urFTeBUu9UGeH57
Записка: !!!README_DECRYPT!!!.txt
Результаты анализов: VT
Скриншот записки >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as PGPSnippet)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Emmanuel_ADC-Soft
 Andrew Ivanov
 

© Amigo-A (Andrew Ivanov): All blog articles.

Eternal

Eternal Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 500 $, чтобы вернуть файлы. Оригинальное название: E T E R N A L _ R A N S O M W A R E. На файле написано: нет данных.

© Генеалогия: выясняется.

Фактически файлы не шифруются. К фейк-зашифрованным файлам добавляется расширение .eternal

Образец этого вымогателя был найден во второй половине мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока, видимо, находится в разработке. 

Записки с требованием выкупа называются: 
_YOUR_FILES_GOT_ENCRYPTED_.txt
_YOUR_FILES_GOT_ENCRYPTED.vbs

Содержание записки о выкупе:
Hello,
Your files got encrypted by the
E T E R N A L _ R A N S O M W A R E
There's no escape until you pay me
Follow the instructions on the decryptor
Good Luck. 

Перевод записки на русский язык:
Привет,
Твои файлы были зашифрованы
E T E R N A L _ R A N S O M W A R E
Нет спасения, пока ты не заплатишь мне
Следуйте инструкциям на расшифровке
Удачи.

Содержание VBS-файла:
Dim message, sapi 
message="attention. attention. attention. Your files, documents and photos got encrypted. They we're encrypted with RSA-4096, AES256 and a millitary code. You can't decrypt them unless you pay me 500 dollars. Run the eternal decryptor and follow the instructions. Good luck."
Set sapi=CreateObject("sapi.spvoice")
sapi.Speak message

Перевод содержания VBS-файла на русский язык:
внимание. внимание. внимание. Твои файлы, документы и фотографии зашифрованы. Они зашифрованы с помощью RSA-4096, AES256 и военного кода. Ты не сможешь расшифровать их, если не заплатишь мне 500 долларов. Запусти eternal decryptor и следуй инструкциям. Удачи.

Другим информатором жертвы выступает изображение, встающее обоями рабочего стола.

Содержание текста о выкупе:
ATTENTION,
YOUR FILES, DOCUMENTS AND PHOTOS GOT ENCRYPTED, THEY WERE ENCRYPTED WITH: RSA-4096, AES256 AND A MILLITARY CODE.
YOU CAN'T DECRYPT THEM UNLESS YOU PAY ME 500$
RUN THE ETERNAL DECRYPTOR FOR MORE INSTRUCTIONS 
GOOD LUCK.

Перевод текста на русский язык:
Внимание,
Ваши файлы, документы и фотографии были зашифрованы, они были зашифрованы с помощью: RSA-4096, AES256 и военного кода.
Вы не можете расшифровать их, если вы не платите мне 500$
Запустите вечный дешифратор для получения дополнительных инструкций
Удачи.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Фактически файлы не шифруются, но после доработки это вполне могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_YOUR_FILES_GOT_ENCRYPTED_.txt
_YOUR_FILES_GOT_ENCRYPTED.vbs
<image_for_wallpaper>
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Eternal)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Sigrun

Sigrun Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SIGRUN RANSOMWARE и SIGRUN 1.0 RANSOMWARE. На файле может быть написано, что угодно. Для вас подготовлен видеообзор. 

© Генеалогия: ✂ GandCrab > Sigrun

К зашифрованным файлам добавляется расширение .sigrun

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записки с требованием выкупа называются:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html

Тексты в видимой части аналогичны. Но в html-записке есть еще скрытый текст. Об этом ниже. 

Содержание записки о выкупе (ранний вариант):
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Dear user, all your important files have been encrypted!
Don't worry! Your files still can be restored by us!
In order to restore it you need to contact with us via e-mail.
sigrun_decryptor@protonmail.ch
As a proof we will decrypt 3 files for free!
Please, attach this to your message:
94 04 00 00 50 1a 63 58  dc 54 f5 a7 fa 63 0f e2
13 f5 37 1d e8 4b 68 4d  3d 8a 15 cc 50 47 46 e2
33 0c fa f0 5e ee 21 3e  24 70 f5 55 6e 34 71 b9
2a cd d6 c3 09 07 0b d4  13 77 10 50 35 14 6d af
77 7b aa a4 1b 30 37 bс  3a bd 64 12 79 63 15 9a

Перевод записки на русский язык:
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Уважаемый пользователь, все ваши важные файлы были зашифрованы!
Не волнуйся! Ваши файлы могут быть восстановлены нами!
Чтобы восстановить его, вам нужно связаться с нами по email.
sigrun_decryptor@protonmail.ch
В качестве доказательства мы расшифруем 3 файла бесплатно!
Пожалуйста, приложите это к вашему сообщению:
[1688 байт в HEX]

В HTML-записке имеется скрытый текст на исландском или древнескандинавском. 

Содержание этого текста на исландском или древнескандинавском языке: 
Þá brá ljóma
af Logafjöllum,
en af þeim ljómum
leiftrir kómu,
hávar und hjalmum
á Himinvanga,
brynjur váru þeira
blóði stokknar,
en af geirum
geislar stóðu.

Как оказалось, это поэтическое повествование из "Старшей Эдды". Ссылка >>
Sigrun - персонаж из норвежской мифологии, валькирия. Ссылка >>

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ UAC не обходит, требуется разрешение на запуск. 

➤ Удаляет точки восстановления системы (снапшоты). 

➤ Sigrun проверяет значения в реестре HKEY_CURRENT_USER\Keyboard Layout\Preload и ищет "00000419" (Russian LCID в hex). 

Вывод: русскоязычные системы пользователей не должны быть зашифрованы этим шифровальщиком. Если это произойдёт, то для пострадавших из России и некоторых стран СНГ (с русским основным языком) могут расшифровать бесплатно. Назваться русским, чтобы обмануть, не выйдет. 

Список файловых расширений, подвергающихся шифрованию:
.acl, .acrodata, .avi, .bak, .blog, .bmp, .btapp, .cfg, .conf, .contact, .crl, .css, .dat, .data, .db, .DIC, .doc, .docx, .dot, .dotm, .dotx, .etl, .flv, .gif, .glox, .html, .info, .ini, .jpg, .js, .json, .jsonlz4, .m4a, .metadata, .metadata-v, .mkv, .mp3, .mp4, .mpt, .ods, .ods, .odt, .one, .ots, .pdf, .png, .ppt, .pptx, .pst, .rdf, .rtf, .sdi, .searchconnector-ms, .sqlite, .srs, .swf, .thmx, .timestamp, .url, .wim, .wmv, .wtv, .xml, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов и пр.

Список расширений, которые находятся в "белом списке" и не шифруются:

.admin, .ani, .bat, .cab, .cmd, .cpl, .cur, .diagcab, .diagpkg, .dll, .drv, .exe, .hlp, .icl, .icns, .ico, .ics, .idx, .key, .ldf, .lnk, .mod, .mpa, .msc, .msp, .msstyles, .msu, .nomedia, .ocx, .prf, .rom, .rtp, .scr, .shs, .sigrun, .sigrun_key, .spl, .sys, .theme, .themepack

В белом списке также находятся файлы, которые находятся в следующих директориях:
Windows, ProgramData, Program Files, All Users, Local Settings, Boot, IETldCache, Tor Browser

Также пропускаются шифровальщиком файлы:
desktop.ini, autorun.inf, ntuser.dat, iconcache.db, bootsect.bak, boot.ini, ntuser.dat.log, thumbs.db, ntldr, NTDETECT.COM, Bootfont.bin

Файлы, связанные с этим Ransomware:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html
sigrun.exe
timeout.exe
<random>.exe - случайное название
<random>.sigrun_key

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\

Записи реестра, связанные с этим Ransomware:
SOFTWARE\Valkyrie\data
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sigrun_decryptor@protonmail.ch
xxxxs://files.freemusicarchive.org/***
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Sigrun Ransomware (early version, without the number) - mid-May, 2018
Sigrun 1.0 Ransomware - May 24, 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24 мая 2018:
Пост в Твиттере >

Результаты анализов: VT
Записки о выкупе:
RESTORE-SIGRUN.txt
RESTORE-SIGRUN.html
Изменения в записках:

➤ Содержание txt-записки: 
~~~~~~SIGRUN RANSOMWARE~~~~~~~~~
Attention! 
All your files documents, photos, databases and other important files are encrypted and have the extension: .sigrun
The only method of recovering files is to purchase a private key. It is on our server and only we can recover your files. 
But don't worry! You still can restore it!
In order to restore it you need to contact with us via e-mail.
 -----------------------------------------------
 | Our e-mail is: decrypt_sigrun@protonmail.ch |
 -----------------------------------------------
As a proof we can decrypt 3 files for free!
Please, attach this to your message:
94 04 00 00 84 94 38 1f  4b 16 84 33 9b f1 13 dc
27 c4 b8 bc 93 b5 bb 84  0b 89 ef 49 db f6 22 c5
6f 75 6c 8b 8a f6 11 65  86 9b d5 3f f7 26 b0 75
fc ef 70 0c a8 da f5 90  2a 34 aa f6 24 c8 53 97
a5 5d 27 44 2b 0d 6c 28  16 2e 32 09 7a 39 a8 fa***

➤ Содержание html-записки: 
SIGRUN 1.0 RANSOMWARE
All your important files are encrypted
Your files has been encrypted by sigrun ransomware with unique decryption key.
There is  only one way   to get your files back:  contact with us,  pay,  and get  decryptor software. 
We accept Bitcoin and Dash,  you can find exchangers on https://www.bitcoin.com/buy-bitcoin and https://www.dash.org/exchanges/  and others.
You have unique idkey (in a dark blue frame), write it in letter when contact with us.
Also you can decrypt 3 files for test, its guarantee what we can decrypt your files.
IDKEY:
>>> 94 04 00 00 84 94 38 1f 4b 16 84 33 9b f1 13 dc 27 c4 b8 bc 93 b5 bb 84 0b 89 ef 49 db f6 22 c5 6f 75 6c 8b 8a f6 11 65 86 9b d5 3f f7 26 b0 75 fc ef 70 0c a8 da f5 90 2a 34 aa f6 24 c8 53 97 a5 5d 27 44 2b 0d 6c 28 16 2e 32 09 7a 39 a8 fa *** <<<
Contact information:
email: decrypt_sigrun@protonmail.ch 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Для пострадавших из России и некоторых стран СНГ (с русским основным языком) 
могут расшифровать бесплатно. 
*
*

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Sigrun)
 Write-up, Topic of Support
 🎥 Video review

 - Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 S!Ri, Alex Svirid
 CyberSecurity GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Mr.Dec

Mr.Dec Ransomware

MrDec Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать, как вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.
---
Обнаружения: 
DrWeb -> Trojan.Packed2.41370, Trojan.Encoder.27883, Trojan.Encoder.28936, Trojan.Encoder.28716, Trojan.KillProc2.6292, Trojan.Encoder.29320, Trojan.Encoder.30977, Trojan.Encoder.31506

BitDefender -> Trojan.GenericKD.30841403, Gen:Win32.AV-Killer.amW@aCAfMLn, Gen:Variant.Ransom.LockCrypt.7, Gen:Win32.AV-Killer.amW@ae4J0Ed, Generic.Malware.SBg.F685DAE1
Malwarebytes -> Ransom.MrDec, Ransom.Sherminator
TrendMicro -> Ransom_MRDEC.A, Ransom_Sherminator.R002C0DIH19
ALYac -> Trojan.Ransom.MrDec
VBA32 -> Trojan.Tiggre, BScope.TrojanRansom.Encoder, BScope.TrojanRansom.Cryptor, BScope.Trojan.Wacatac
---

© Генеалогия: LockCrypt > Mr.Dec

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение .[ID]<random{16}>[ID]

Пример зашифрованного файла:
Document.xls [ID]s-y7Lle4t021D5BD[ID] - между двумя ID 16 знаков

Активность этого крипто-вымогателя пришлась на середину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Decoding help.hta

Содержание записки о выкупе:
You are unlucky! The terrible virus has captured your files! For decoding please contact by email mr.dec@protonmail.com or mr.dec@tutanota.com
Your
ID ***** ID
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
3. Attach the file with the location c:\Windows\DECODE KEY.KEY
are required to generate the decoder and restore the test file.
Hurry up! Time is limited!
Attention!!!
At the end of this time, the private key for generating the decoder will be destroyed. Files will not be restored!
0·1·19·28

Перевод записки на русский язык:
Вам не повезло! Ужасный вирус захватил ваши файлы! Для декодирования, пожалуйста, свяжитесь по email mr.dec@protonmail.com или mr.dec@tutanota.com
Ваш
ID ***** ID
1. В строке темы напишите ваш ID.
2. Прикрепите 1-2 зараженных файла, которые не содержат важной информации (менее 2 мб)
3. Прикрепите файл из пути c:\Windows\DECODE KEY.KEY, чтобы сгенерировать декодер и восстановить тестовый файл.
Поторопись! Время ограничено!
Внимание!!!
По истечении этого времени частный ключ для генерации декодера будет уничтожен. Файлы не будут восстановлены!
0·1·19·28

---
Времени, действительно, даётся мало. Потому, после того как оно истечет, при открытии записки о выкупе будет показано следующее. Минимум видимого текста и сообщение о том, что время вышло. Но текст там есть, нужно просто выделить всё курсором. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, очищает журналы командами:
C:\WINDOWS\system32\cmd.exe /c vssadmin Delete Shadows /All /Quiet
C:\WINDOWS\system32\cmd.exe /c bcdedit
C:\WINDOWS\system32\cmd.exe /c wevtutil.exe

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Decoding help.hta - записка с требованием выкупа
DECODE KEY.KEY - спеиальный файл с ключом
<random>.exe - случайное название исполняемого файла

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
 'Autorun.SQL' = '%WINDIR%\svhost.exe'
HKLM\Software\Classes\EncriptIDfile\Shell\Open\Command 
'' = '%WINDIR%\SysWOW64\mshta.exe "%C:\Decoder.hta"

и другие. 

См. ниже результаты анализов в обновлениях.

Сетевые подключения и связи:
Email: mr.dec@protonmail.com
mr.dec@tutanota.com
xxxx://192.168.56.153:2869/upnphost/udhisapi.dll***
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24 мая 2018:
Пост в Твиттере >>
Пост в Твиттере >>
Видеообзор >>
Email-1: shine2@protonmail.com
Email-2: shine1@tutanova.com
Записка: Decoding help.hta

Скриншот записки с новыми email. 
Файлы: MrDecRansomware.exe-.exe, clerlog.bat
Файл с ключом: DECODE KEY.KEY
Результаты анализов: HA + VT

Обновление от 17 сентября 2018:
Расширение (пример): [ID]Rrw9Vfi+GM-0oRM1[ID]
Пример зашифрованного файла: ConfigTool.lnk [ID]Rrw9Vfi+GM-0oRM1[ID]
Записка: Decoding help.hta
Email: JonStokton@Protonmail.com, JonStokton@tutanota.com
Пост в Твиттере (апрель 2019) >>

Файл EXE: searchfiles.exe
Результаты анализов: VT

Обновление от 1 октября 2018:
Топик на форуме >>
Расширение по шаблону: [ID]<random{16}>[ID]
Примеры зашифрованных файлов: 
safety2017.xlsx [ID]zPy3GGamVqmfk8Ev[ID]
Registration.doc [ID]wkdwkjy4ZKLNF73L[ID]
Export.xlsx [ID]N-ArSYlNe-bU72Vo[ID]
Записка: Decoding help.hta
Email: filessnoop@aol.com, filessnoop@tutanota.com

Скриншот записки со скрытым в фоне текстом

➤ Содержание записки о выкупе:
You are unlucky! The terrible virus has captured your files! For decoding please contact by email filessnoop@aol.com or filessnoop@tutanota.com
Your
[ID]zPy3GGamVqm*****[ID]
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
Hurry up! Time is limited!
Attention!!!
At the end of this time, the private key for generating the decoder will be destroyed. Files will not be restored!

Обновление от 12 января 2019:
Пост на форуме >>
Расширение: [ID]mr.file@protonmail.com_all-files-encrypted_email_[mr.file@protonmail.com][ID]
Пример зашифрованного файла: my-file.txt [ID]mr.file@protonmail.com_all-files-encrypted_email_[mr.file@protonmail.com][ID]

Записка: Help for decrypting(mr.file@protonmail.com).txt
Email: mr.file@protonmail.com

➤ Содержание записки:
All your files have been encrypted! 
If you want to restore them, you have to pay for decryption in Bitcoin. It's the easiest and chipest and fast way to restore your data 
Send one small encrypted file to mr.file@protonmail.com for free decrypting(less than 1 MB) but this file shouldn't have valuable data 
fill subject with your IP 
Do not rename encrypted files. 
Do not try to decrypt your data using another software because you will lose your data
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
You don't have time! The price is increasing and after a specific time we will remove the decryption key! Be hurry!!! 

Обновление от 25 апреля 2019:
Топик на форуме >>
Расширение: [ID]ljjF2z2BFwY98984[ID]
Записка: Decoding Help.hta
Email: localgroup@protonmail.com, localgroup@tutanota.com

Обновление от 19 июня 2019 / повтор 23 июля 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Пример расширения: .[ID]g9uZrLhJaygpwRm1[ID]
Записка: Decoding help.hta

Email: ZiCoyote@protonmail.com, ZiCoyote@aol.com
Результаты анализов: VT + VMR + IA / VT + VMR + IA

Обновление от 20 июня 2019:
Пост на форуме >>
Пример расширения: .[ID]FkvQmpseTnMOZfgAX[ID]
Шаблон расширения: .[ID]<ID>[ID]
Записка: Decoder.hta
Email: asist.help@protonmail.com, asist5000@tutanota.com

➤ Содержание записки:
You are unlucky! The terrible virus has captured your files! For decoding please contact by email
asist.help@protonmail.com
or
asist5000@tutanota.com
Your
[ID]FkvQmpseTnMOZfgAX[ID] 
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
ATTENTION !
Hurry up! Time is limited!
Do not contact third parties for help, this may lead to the fact that you will be deceived and you will not receive your decoder.
REMEMBER - only we have a tool to get your files back!

Обновление от 16 июля 2019:
Пост в Твиттере >>
Расширение (шаблон): .[ID]random{16}[ID]
Расширение (пример): .[ID]N6vs26BhQD53S1AF[ID]
Пример зашифрованного файла: desktop.ini.[ID]N6vs26BhQD53S1AF[ID]
Записка: Decoding_help.hta
Email: Chloe-Smith6@protonmail.com, Chloe-Smith@tutanota.com
Результаты анализов: VT + AR

➤ Содержание записки:
You are unlucky! The terrible virus has captured your files! For decoding please contact by email Chloe-Smith6@protonmail.com or Chloe-Smith@tutanota.com
Your
[ID]lyEB106HzpuhVT6F[ID]
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
Hurry up! Time is limited!
Attention!!!
At the end of this time, the private key for generating the decoder will be destroyed. Files will not be restored!


Обновление от 11-17 сентября 2019:
Пост в Тивттере >>
Расширение (шаблон): .[ID]random{16}[ID]
Записка: Decoder.hta
Email: you.help5@protonmail.com, sherminator.help@tutanota.com
Результаты анализов: VT + AR + AR

➤ Содержание записки: 
You are unlucky! The terrible virus has captured your files! For decoding please contact by email
you.help5@protonmail.com
or
sherminator.help@tutanota.com
Your
[ID]JyY0eMlcoADy42hbK[ID]
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
ATTENTION !
Hurry up! Time is limited!
Do not contact third parties for help, this may lead to the fact that you will be deceived and you will not receive your decoder.
REMEMBER - only we have a tool to get your files back!


Обновление от 30 сентября 2019: 
Расширение (шаблон): .[ID]random{16}[ID]
Расширение (пример): .[ID]Yb87MmL5btZnQTP9[ID]
Записка: Decoding help.hta
Email: z.zezet@aol.com, z.zezet@protonmail.com

➤ Содержание записки: 
You are unlucky! The terrible virus has captured your files! For decoding please contact by email z.zezet@aol.com or z.zezet@protonmail.com
Your
[ID]Yb87MmL5btZnQTP9[ID]
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
Hurry up! Time is limited!
Attention!!!
At the end of this time, the private key for generating the decoder will be destroyed. Files will not be restored!


Обновление от 14 декабря 2019:
Топик на форуме >>
Пост в Твиттере >>
Расширение (шаблон): .[ID]random{16}[ID]
Расширение (пример): .[ID]QVoWVI5Te9UyK***[ID]
Записка: Decoding help.hta
Email: Frederik888@aol.com, Frederik888@protonmail.com
Результаты анализов: VT + AR

 

➤ Содержание записки: 
You are unlucky! The terrible virus has captured your files! For decoding please contact by email Frederik888@aol.com or Frederik888@protonmail.com
Your
[ID]QVoWVI5Te9UyK***[ID]
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
Hurry up! Time is limited!
Attention!!!
At the end of this time, the private key for generating the decoder will be destroyed. Files will not be restored!

Обновление от 7 февраля 2020: 
Пост в Твиттере >>
Расширение (шаблон): .[ID]random{17}[ID]
Расширение (пример): .[ID]SOo0FIg0Oc3AhLL4Y[ID]
Email: avalible_restore@protonmail.com, avalible_restore@tutanota.com
Записка: Decoder.hta
Файлы: CHAR.EXE.exe, delog.bat
Расположения: 
C:\Users\User\Desktop\CHAR.EXE.exe
C:\WINDOWS\delog.bat
Результаты анализов: VT + HA + AR 
➤ Обнаружения:
DrWeb -> Trojan.Encoder.30977
BitDefender -> Generic.Malware.SBg.4E238557
Rising -> Ransom.Agent!1.C260 (CLASSIC)
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXV
➤ Ключи реестра:
Registry Key Name Operations
HKEY_CLASSES_ROOT\.[ID]SOo0FIg0Oc3AhLL4Y[ID]
HKEY_CLASSES_ROOT\EncriptIDfile
HKEY_CLASSES_ROOT\EncriptIDfile\DefaultIcon
HKEY_CLASSES_ROOT\EncriptIDfile\Shell\Open\Command

➤ Содержимое записки: 
You are unlucky! The terrible virus has captured your files! For decoding please contact by email
avalible_restore@protonmail.com
end
avalible_restore@tutanota.com
Your
[ID]SQstOYAPMpLYb7***[ID]
1. In the subject line, write your ID.
2. Attach 1-2 infected files that do not contain important information (less than 2 mb)
are required to generate the decoder and restore the test file.
ATTENTION !
Hurry up! Time is limited!
Do not contact third parties for help, this may lead to the fact that you will be deceived and you will not receive your decoder.
REMEMBER - only we have a tool to get your files back!

Обновление от 3 апреля 2020 или раньше - с 28 марта:
Если случай от 12 мая 2020. 
Пост в Твиттере >>
Расширение: .TPkMmmpZ12bO_RSA
Шаблон расширения: .<ID>_RSA
Записка: Data recovery.hta
Email: stimbail@protonmail.com, stimbail@tutanota.com

 

➤ Содержание записки: 
Your files are encrypted a unique ID:
TPkMmmpZ12bO_RSA
   Use this ID to decrypt your data. To do this, contact by any email that is listed below and:
     *In the subject line, write your ID.
     *Attach 1-2 files with a size of no more than 2mb for the test.
     *Follow the instructions received in the response message.
  "Do not rename files that have this ID.
   Do not try to recover your data yourself using standard Windows tools, as well as third-party software. This will inevitably lead to permanent data loss.
   Do not contact third parties. Each ID has its own unique encryption key, which is known only to us. Anyone who promises to decrypt your data will deceive you."
© Developer.  
stimbail@protonmail.com     or     stimbail@tutanota.com
To exit, press the keys ALT+F4 .
---
Файл: CHAR2.EXE.exe, svhost.exe
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31506
ALYac -> Trojan.Ransom.MrDec
BitDefender -> Generic.Malware.SBg.3943BA8A
ESET-NOD32 -> A Variant Of Win32/Filecoder.NXV
Malwarebytes -> Ransom.MrDec


Обновление от 10 июня 2020:
Топик на форуме >>

Расширение (шаблон): .id-XXXXXXXXXX all-files-encrypted_email_[<email>][ID]

Расширение (пример): .id-V778541II1 all-files-encrypted_email_[mr.file.encrypted@protonmail.com]

Email: mr.file.encrypted@protonmail.com 
Записка: Help for decrypting(id-V778541II1).txt

➤ Содержание записки:
All your files have been encrypted! 
If you want to restore them, you have to pay for decryption in Bitcoin. It's the easiest and chipest and fast way to restore your data 
Send Massage to mr.file.encrypted@protonmail.com 
**********************************
Fill subject with your ID 
You have 24 hours to pay money
Do not try to decrypt your data using another software because you will lose your data
**********************************
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
You don't have time! The price is increasing and after a specific time we will remove the decryption key! Be hurry!!! 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as MrDec)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author), GrujaRS, Petrovic
 BleepingComputer
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.