IT.Books

IT.Books Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: IT.Books. На файле написано:  IT.Books, IT.Books.exe, IT-eBooks, Free Download IT eBooks.

© Генеалогия: HiddenTear + Jigsaw GUI >> IT.Books

К зашифрованным файлам добавляется расширение: .fucked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ__IT.txt

Содержание записки: 
Files has been encrypted with strong KEY
Send payment to our bitcoin address
you can visit google or localbitcoin to buy bitcoin.
BTC Address: 13vs2K5TiDAn6eLSevnds8esWZfeUhov2d
After payment click contact us you will recieve Decryption KEY in less than 1 hour.

Перевод на русский язык: 
Файлы были зашифрованы с сильным ключом
Отправьте платеж на наш биткоин-адрес
вы можете посетить google или localbitcoin, чтобы купить биткоин.
BTC Адрес: 13vs2K5TiDAn6eLSevnds8esWZfeUhov2d
После оплаты нажмите на ссылку, вы получите ключ расшифровки менее чем за 1 час.

Запиской с требованием выкупа также выступает экран блокировки, стиль которого заимствован у Jigsaw Ransomware. 

Содержание текста с экрана о выкупе:
I want to play a game with you. Let me explain the rules:
Your personal files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
***

Перевод текста на русский язык:
Я хочу сыграть с тобой. Позволь объяснить правила:
Твои личные файлы удаляются. Твои фото, видео, документы и т.д.
Но, не волнуйся! Это будет, если ты не согласишься.
Я уже зашифровал твои личные файлы, ты не получишь к ним доступ.
***

Также есть заменяются обои Рабочего стола, поверх которых и встаёт экран блокировки.

Содержание текста с обоев:
YOUR COMPUTER HAS BEEN LOCKED!
Your documents, photos, databases and other important files have been locked with strongest encryption and unique key, generated for this computer. Private decryption key is stored on a secret Internet server and nobody can decrypt ypur files until you pay and obtain the private key.
Follow the instruction to get the Decryption key!

Перевод на русский язык: 
ВАШ КОМПЬЮТЕР ЗАБЛОКИРОВАН!
Ваши документы, фото, базы данных и другие важные файлы блокированы с самым сильным шифрованием и уникальным ключом, созданным для этого компьютера. Частный ключ дешифрования хранится на секретном интернет-сервере, и никто не может расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
Следуйте инструкциям, чтобы получить ключ дешифрования!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Используется следующая иконка для исполняемого файла вымогателя:

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ__IT.txt
IT.Books.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 13vs2K5TiDAn6eLSevnds8esWZfeUhov2d
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 🎥 Video review >>

 - Видеообзор от Cyber Security GrujaRS

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Viro Botnet

ViroBotnet Ransomware

"Viro Botnet" + Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот модульный вредонос включает в себя крипто-вымогатель, который шифрует данные пользователей с помощью RSA, а затем требует выкуп в 500€ в BTC, чтобы вернуть файлы. Оригинальное название вредоноса: Viro Botnet. Название exe-файла шифровальщика: Office Updater. На этом файле написано: Office Updater.exe и Office updater background task.
✋ Прочтите также "Примечание №1" после статьи. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .enc


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на французских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
Vos fichiers personnels ont été chiffrés. Lisez les instructions du logiciel.

Перевод записки на русский язык:
Ваши личные файлы зашифрованы. Прочтите инструкции по программе.

Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста о выкупе:
Vos fichiers personnels ont été chiffré.
Pour les déchiffrer, envoyez 500€ de bitcoins à cette adresse :
1BoatSLRHtKNngkdXEeobR76b53LETtpyT
Toute tentative de destruction de ce logiciel entraînera la destruction de la clé de déchiffrement.
Toute tentative de déchiffrement avec une clé erronée entraînera la perte définitive de vos fichiers.
Vous avez 72 heures pour effectuer le paiement. Après quoi, la clé de déchiffrement sera supprimée.
Clé de déchiffrement : [...]
[Déchiffrer mes fichiers]

Перевод текста на русский язык:
Ваши личные файлы были зашифрованы.
Для их дешифровки пришли биткоины на 500€ на этот адрес:
1BoatSLRHtKNngkdXEeobR76b53LETtpyT
Любая попытка уничтожить эту программу уничтожит ключ дешифрования.
Любая попытка дешифровки с неправильным ключом повредит ваши файлы.
У вас есть 72 часа для оплаты. После этого ключ дешифрования будет удален.
Ключ дешифрования: [...]
Расшифровать мои файлы

Технические детали

Если это является частью модульного вредоносного ПО и включает модуль Office Updater.exe, то видимо планируется распространять это через перепакованные и портативные дистрибутивы новых версий MS Office, распространяемых потому бесплатно. Заранее важно знать, чем грозит загрузка и использование таких незаконно-бесплатных программ. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует Microsoft Outlook для отправки спам-писем каждому пользователю из списка контактов. При этом вредонос отправит копию самого себя или вредоносный файл, загруженный с его C&C-сервера.

Список файловых расширений, подвергающихся шифрованию:
.asp, .aspx, .csv, .doc, .docx, .html, .mdb, .odt, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sin, .swp, .txt, .xls, .xlsx, .xml, 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии и пр.

Файлы, связанные с этим Ransomware:
README.txt
Office Updater.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

Примечание №1
  Главное предназначение вредоноса под названием "Viro Botnet", это организация ботнета, т.е. создание сети заражённых вредоносным ПО компьютеров (ботов), через которую киберпреступники могут удалённо управлять заражёнными машинами, используя их для рассылки спама, анонимного доступа, кражи информации и кибершпионажа; иначе: зомби-сеть. Модуль, отвечающий за шифрование, призван по команде или автоматически причинять ещё больший ущерб. К сожалению, более подробную информацию мы не получили. 
  Но ведь пострадавшему пользователю ПК, находящемуся в истерике или на грани нервного срыва, неважно, как вымогатель устроен внутри (в целом, модульно, построчно и пр.). Его атаковали — теперь он должен понять, кто атаковал, найти информацию (пусть даже небольшую), если у него есть интернет-доступ и оценить ущерб, чтобы принять решение, что ему делать дальше. 
  Если пострадавший не найдёт эту информацию, он может пострадать ещё больше (заплатить выкуп и не вернуть данные, биться в истерике по поводу потери важной информации, потерять работу и пр. пр.). 

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Rektware

Rektware Ransomware

PRZT Ransomware

(шифровальщик-НЕ-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: rektware. На файле написано: нет данных. Возможно, находится в разработке. Написан на AutoIt.
---
Обнаружение: 
DrWeb -> Trojan.Encoder.30003, Trojan.MulDrop6.37395
BitDefender -> Trojan.Ransom.Rektware.A
ESET-NOD32 -> A Variant Of Win32/Filecoder.NQF, Win32/Filecoder.G

Malwarebytes -> Ransom.Rektware
Sophos AV -> Mal/AutoIt-AK
Symantec -> Downloader, Trojan Horse
Tencent -> Win32.Trojan.Raas.Auto, Win32.Trojan.Gen.Ajcb

TrendMicro -> Ransom_KILLRABBIT.THAOOAAH
---
© Генеалогия: Rektware > новые варианты после статьи

Изображение принадлежит шифровальщику

К зашифрованным файлам добавляется случайное расширение, например:  
.CQScSFy
.2PWo3ja

Вместе с переименованием файлы получают номера. 

Так выглядят зашифрованные файлы

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает файл FIXPRZT.PRZ

Содержание записки о выкупе:
ContactID: MG9r9awS9V Send E-mail: rektware@inbox.ru
(FreeDecryptAllYourFiles)

Перевод записки на русский язык:
ContactID: MG9r9awS9V отправь на E-mail: rektware@inbox.ru
(Бесплатное дешифрование всех твоих файлов)

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FIXPRZT.PRZ
PRZT1.PRZ
PRZT2.PRZ
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rektware@inbox.ru
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 23 сентября 2018: 

Сообщение >>

Расширение: .xd

Записка: не найдена

Список файловых расширений, подвергающихся шифрованию:

.avi, .bmp, .csv, .doc, .docx, .exe, .flv, .gif, .ini, .jpg, .m4a, .mkv, .mp3, .mp4, .odp, .ods, .odt, .one, .ots, .pdf, .png, .pps, .ppt, .pptx, .rtf, .swf, .vssx, .wav, .xls, .xlsx

URL: xxxx://rektware20.temp.swtest.ru

Файл: Ransomware.exe

Результаты анализов: VT + HA + VMR + 🎥

Вариант от 13 декабря 2020: 

Сообщение >>

Расширение: .HaHaHaHaHaHaHaHa

Файл: Ransomware.exe

Результаты анализов: VT + IA

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Rektware)
 Write-up, Topic of Support
 🎥 Video review >>

 - видеообзор от CyberSecurity GrujaRS

 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov (article author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LIGMA

LIGMA Ransomware

(тест-шифровальщик, деструктор)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим СВС), а затем даже не требует выкуп, чтобы вернуть файлы. Оригинальное название: LIGMA. На файле написано: LIGMA.exe. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .ForgiveME


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце августа-начале сентября 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа никак не называется. Появляется после повреждения MBR и перезагрузки. 

Текст из кода

На самом деле на экране появляется ярко-зелёный текст на чёрном фоне.

Скриншот-реконструкция

Содержание текста:
YOUR PC LIGMA BALLS xD
This PC is dead because you did n't follow the rules.
Your PC will never work again.
NOTE: Even if you fix the MBR your Your PC Is Dead.
Entire Registry is Fucked and your files are infected.

Перевод на русский язык:
ТВОЙ ПК LIGMA BALLS xD
Этот компьютер мертв, т.к. ты не соблюдал правила.
Твой ПК больше никогда не будет работать.
ПРИМЕЧАНИЕ. Даже если ты исправишь MBR, твой ПК мертв.
Весь реестр трахнут и твои файлы заражены.

Другое сообщение:
Your Computer Got FUCKED By LIGMA!

Технические детали

Нет данных о пострадавших, потому, вероятно, не распространяется как обычный ransomware. Исходных код выложен на Github. Предназначен для Windows 7 x86. Требуется наличие в системе .NET Framework 4.7.1 (прилагается разработчиком). Разработчик предупреждает желающих протестировать шифровальщик о последствиях. Дешифровщик не прилагается.  

Если кто-то захочет модифицировать LIGMA для своих целей, то может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Производит следующие действия: 
➤ Модифицирует системную конфигурацию, скрывает пункты меню, элементы Панели управления и т.д.
➤ Проигрывает системные звуки, передвигает курсор как попало
➤ Отключает UAC, редактор реестра, ключевые системные инструменты.
➤ Дроппирует файл Payloads.dll в C:\WinWOW32\
➤ Перед BSoD шифрует файлы с AES-256 в режиме СВС.
➤ Создаёт файл work.bat и запускает процесс в скрытом окне.
➤ Принудительно вызывает BSoD. Записывает 512 байт в MBR и портит таблицу разделов. 
➤ Сообщает, что ПК безнадёжно испорчен. 

Список файловых расширений, подвергающихся шифрованию:
.0, .1st, .3dm, .3mf, .600, .602, .7z, .7zip, .a, .aaf, .abw, .accdb, .acl, .aep, .aepx, .aet, .ahk, .ai, .aps, .as, .asc, .asp, .aspx, .assets, .asx, .avi, .bas, .bep, .bmp, .c, .cbf, .cbfx, .cer, .cfa, .class, .config, .contact, .cpp, .cs, .css, .csv, .dat, .db, .dbf,  .deb, .dic, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dvi, .dwg,  .dxf, .ebf, .ebfx, .ebuild, .efx, .eps, .ev3, .ev3, .exp, .fits, .fla, .flv, .fnt, .gif, .go, .gz, .gz, .h, .hmg, .htm, .html, .ico, .idml, .ilk, .inc, .indb, .indd, .indl, .indt, .inx, .iso, .jar, .java, .jpeg, .jpg, .js, .json, .ldr, .lic, .loc, .lock, .log, .lxf, .m3u8, .m4a, .max, .mcfunction,  .mcmeta, .md2, .md3, .md4, .md5, .mdb,  .mkv, .mp3, .mp4, .mpeg, .mpg, .msg, .msi, .nc, .ncb, .nut, .obj, .object, .odf, .odp, .odt, .ogg, .otf, .pdb, .pdf, .pek, .pez, .php, .php?, .piv, .pkf, .pl, .plb, .plg, .pm, .pmd, .png, .pot, .potm, .potx, .pov, .ppj, .pps, .ppt, .pptm, .pptx, .prefs, .prel, .prfpset, .prproj, .prsl, .ps, .ps, .ps, .psc, .psd, .psm1, .py, .python, .rar, .raw, .rb, .rbt, .rc, .res, .resource, .resx, .rex, .rtf, .ru, .rxe, .s3, .sdf, .sdl, .ses, .silo, .sln, .sql,  .sti, .svg, .swf, .swift, .tab, .tar.gz, .tdf , .tif, .tiff, .tpk, .txt, .udo, .umod, .vb, .vcf, .vob, .w3d, .war, .webp, .wmv, .wpd, .wps, .wtv, .wve, .x, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xmp, .xpl, .xps, .xqx, .xsl-fo, .z, .zip (225 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LIGMA.exe
Payloads.dll
work.bat
mbr.bin
<random>.exe - случайное название

Расположения:
C:\WinWOW32\Payloads.dll
C:\WinWOW32\work.bat
C:\WinWOW32\mbr.bin
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Файлы проектов:
Payloads.pdb
LIGMA.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  +VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать.
Таблицу разделов также можно восстановить. 
*

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov,  Alex Svirid
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KCTF Locker

KCTF Locker Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: KCTF Locker. На файле написано: Ransomware.exe.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .DWG


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало сентября 2018 г. Ориентирован на японских и англоязычных пользователей, что не мешает распространять его по всему миру.


Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
あなたのデータは暗号化されました。
復元したければ、以下に10BTCキムってください

Перевод записки на русский язык:
Ваши данные были зашифрованы.
Если вы хотите вернуть, заплатите 10 BTC ниже

Содержание текста:
This is program is written as a part of CTF task. But it can be harmful for your computer. Choose Cancel to exit. If you are OK, press OK.
このプログラムはCTFの一部ですが、お使いの PC に害を与える可能性があります。実行を続行しますか

Перевод записки на русский язык:
Это программа написана как часть задачи CTF. Но это может быть вредно для вашего компьютера. Нажмите "Отмена" для выхода. Если всё ОК, нажмите OK.
Эта программа часть CTF, но она может нанести вред вашему ПК. Вы хотите продолжить работу?

На файле написано:
This file is a part of a CTF (security competition), this is not a real malware.

Перевод на русский язык:

Этот файл часть CTF (конкурс безопасности), это не реальный вредонос.

*| CTF (Capture the flag) — это командная игра, главной целью которой является захват "флага" соперника.

Технические детали

Распространяется в определенной среде пользователей, как утверждается для участия в конкурсе. Короче: очередная "обезьяна с гранатой".   🙊💣

После доработки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.