JSWorm, JSWorm 2.0, JSWorm 3.1

JSWorm Ransomware

JSWorm 2.0 Ransomware

JSWorm 3.0-3.1 Ransomware

JSWorm 4.0.2-4.0.3 Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью Blowfish, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: JSWorm, в записке не указано. Написан: на C# (ранняя версия), на C++ (версия 2.0). 

Обнаружения: 
DrWeb -> Trojan.Encoder.27988, Trojan.Encoder.28062, Trojan.Encoder.28180
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
Malwarebytes -> Ransom.JSWorm
Symantec -> Trojan.Gen.MBT
Tencent -> Win32.Trojan.Jurasik.Fotl

© Генеалогия: GusCrypter >> JSWorm-2 > JSWorm-3 > JSWorm > JSWorm-4

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .JSWORM


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранний образец этого крипто-вымогателя был найден во второй половине января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: JSWORM-DECRYPT.html

Содержание записки о выкупе:
ALL YOUR FILES LOCKED!
YOUR PID: %HWID%
YOUR PERSONAL EMAIL: NIGER1253@COCK.LI
WHAT NOW?
Email us
Write your ID at title of mail and country at body of mail and wait answer
You have to pay some bitcoins to unlock your files!
DON'T TRY DECRYPT YOUR FILES!
If you try to unlock your files, you may lose access to them!
REMEMBER!
No one can guarantee you a 100% unlock except us!
How to buy bitcoin

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЛОКИРОВАНЫ!
Ваш PID: %HWID%
ВАШ ЛИЧНЫЙ EMAIL: NIGER1253@COCK.LI
ЧТО ТЕПЕРЬ?
Свяжитесь с нами по email
Напишите свой ID в названии письма и страну в теле письма и ждите ответ 
Вы должны заплатить несколько биткоинов, чтобы разблокировать ваши файлы!
Не пытайтесь расшифровать ваши файлы!
Если вы попробуете разблокировать ваши файлы, вы можете потерять к ним доступ!
ПОМНИТЕ!
Никто не может гарантировать вам 100% разблокировку, кроме нас!
Как купить биткойн

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Ошибка в коде ранней версии сводит на "нет" связь пострадавших с вымогателем. Уплата выкупа для ранней версии бесполезна, но файлы можно расшифровать. Смотрите после статьи раздел ссылок. 

➤ Файлы, зашифрованные более новыми версиями, в некоторых случаях могут быть расшифрованы. Смотрите после статьи раздел ссылок. 

➤ Файлы частично зашифрованы (0x27100 байт). Впрочем, могут быть различия в разных версиях. Нет подробного технического анализа по разным версиям, чтобы можно было добавить подробностей и опубликовать ссылку на статью в разделе ссылок. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. 

➤ Останавливает множество служб. Завершает множество процессов, связанных с базами данных (MSSQL, MySQL, QuickBooks). 

➤ Очищает системные журналы и отключает их ведение. 

➤ Активирует ключ реестра "EnableLinkedConnections", чтобы атаковать подключенные диски при запуске от имени администратора.

➤ Активирует и перезапускает отключенные службы SMB (LanmanWorkstation). 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
JSWORM-DECRYPT.html
JSWorm.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: NIGER1253@COCK.LI
BTC: ***
Jabber: jsworm@exploit.im
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

JSWorm Ransomware - январь 2019
JSWorm 2.0 Ransomware - апрель-май 2019
JSWorm 3.0 -3.1 Ransomware - июнь 2019

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Данные по версии 2.0:

Обновление от 25 апреля 2019:
Пост в Твиттере >>
Версия: JSWorm 2.0
Расширение: .JSWORM
Результаты анализов: VT

Статус: файлы можно расшифровать! 


Обновление от 7 мая 2019:
Расширение: .JSWORM
Составное расширение: .[ID-XXXXXXXXX][remarkpaul77@cock.li].JSWORM
Записка: JSWORM-DECRYPT.txt
Email: remarkpaul77@cock.li, alfred.helper@keemail.com

➤ Содержание записки о выкупе: 
All your files were encrypted!
Your personal ID: XXXXXXXXXXX
>>> Contacts:
    remarkpaul77@cock.li
    alfred.helper@keemail.com (in case of no answer)
>>> What should I include in my message?
1. Country
2. List of encrypted drives and their size
3. Extension of encrypted files (.[ID-XXXXXXXXXX][remarkpaul77@cock.li].JSWORM)
4. JSWORM PUBLIC KEY (below)
>>> Free decryption as guarantee!
Before paying you send us up to 3 files for free decryption.
We recommeded to send pictures, text files, sheets, etc. (files no more than 1mb)
>>> ATTENTION!
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increased price (they add their fee to 
our) or you can become a victim of a scam.
-------BEGIN JSWORM PUBLIC KEY-------
**********************************
-------END JSWORM PUBLIC KEY-------

Пострадавшие из следующих стран: Италия, Франция, Турция, Иран, Вьетнам, Германия, Бразилия, Аргентина, ЮАР, США.
Статья на BC от 21 мая 2019 >>
Результаты анализов: VT

Обновление от 14 мая 2019:
Пост в Твиттере >>
По сообщению MalwareHunterTeam, деятели из JSWorm передали привет исследователям S!Ri, Demonslay и Amigo. 

Ну, хоть кто-то сказал нам "Привет!" 😄 
Результаты анализов: VT


Обновление от 23 мая 2019:
Топик на форуме >>
Этот вариант распространялся в Китае. 
Статья по этому варианту (на китайском) >>
Расширение: .JURASIK
Шаблон составного расширения: .[ID-1234567890][notfreekrypt@tutanota.com].JURASIK
Email: notfreekrypt@tutanota.com, notfreekrypt@cock.li
Записка о выкупе: JURASIK-DECRYPT.txt
Файл EXE: JSWorm.exe, build.exe
Результаты анализов: VT

Обновление от 27 мая 2019:
Расширение: .JSWORM
Шаблон составного расширения: .[ID-123456789][andriybakyn@inbox.lv].JSWORM
Пример зашифрованного файла: document.doc.[ID-123456789][andriybakyn@inbox.lv].JSWORM
Записка: JSWORM-DECRYPT.txt
Email: andriybakyn@inbox.lv, bazzel.night@mail.com

➤ Содержание записки о выкупе: 
Don't worry, all your files under strong protection!
Your personal ID: 878284***
>>> Contacts:
andriybakyn@inbox.lv
bazzel.night@mail.com (in case of no answer)
>>> What should I include in my message?
1. Your country and city
2. This TXT file
3. Some files for free decryption
>>> Free decryption as guarantee!
Before paying you send us up to 3 files for free decryption.
Send pictures, text files. (files no more than 1mb)
If you upload the database, your price will be doubled
>>> ATTENTION!
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increased price (they add their fee to 
our) or you can become a victim of a scam.
>>> Ways of obtaining bitcoin:
1. https://localbitcoins.com
2. https://www.coinbase.com
3. https://www.xmlgold.eu
--------BEGIN JSWORM PUBLIC KEY--------
cyc9eQYHHxkpODsZLhkzfgAiADESKSQZHn***
--------END JSWORM PUBLIC KEY--------
--------BEGIN JSWORM USER DATA--------
DTEbLwYXHCJoAXQ4CjdjBgo+BjoYey0WAx***
--------END JSWORM USER DATA--------

Обновление от 29 мая 2019:
Расширение: .JURASIK
Email: doctorSune@protonmail.com, supportdoctor@protonmail.com
➤ Содержание записки о выкупе: 
Don't worry, all your files under strong protection!
Your personal ID: 38697*****
>>> Contacts:
doctorSune@protonmail.com
supportdoctor@protonmail.com (in case of no answer)
>>> What should I include in my message?
1. Your country and city
2. This TXT file
3. Some files for free decryption
>>> Free decryption as guarantee!
Before paying you send us up to 3 files for free decryption.
Send pictures, text files. (files no more than 1mb)
If you upload the database, your price will be doubled
>>> ATTENTION!
1. Do not rename encrypted files.
2. Do not try to decrypt your data using third party software, it may cause permanent data loss.
3. Decryption of your files with the help of third parties may cause increased price (they add their fee to 
our) or you can become a victim of a scam.
>>> Ways of obtaining bitcoin:
1. https://localbitcoins.com
2. https://www.coinbase.com
3. https://www.xmlgold.eu
--------BEGIN UNNAMED PUBLIC KEY--------
AyU/PyYoMgUGBjE1Di8lCjUkAxQ6Jjo4MygbChUTICggADUBewAUKQsXLCApPhQH
***
--------END UNNAMED PUBLIC KEY--------
--------BEGIN UNNAMED USER DATA--------
ADEFCBkcegVjEREcCnIJBAw/AnMlBDQ5CXACDAgSPHZiJxM5HAoYKiU1HRc4fA5k
***
--------END UNNAMED USER DATA--------



Обновление от 8 июня 2019:
Номер версии: JSWORM 3.1
Они даже взяли картинку из этой статьи. Видимо понравилась. :) 
Топик на форуме >>
Расширение: .JSWORM
Составное расширение: .[ID-1234567890][backupuser198@gmail.com].JSWORM
Email: backupuser198@gmail.com
Записка: JSWORM-DECRYPT.hta

➤ Содержание записки о выкупе: 
All your files were encrypted!
All your files have been encrypted due to a security problem with your OC. If you want to restore them, write us to the e-mail: backupuser198@gmail.com
Write this unique identificator in the title of your message: 1592098***
In case of no answer in 24 hours write us to this e-mail:
You have to pay for decryption in Bitcoins. The price depends on how fast you write us. After payment we will send you the decryption tool that will decrypt all you files.
Free decryption as proof!
Before paying you can send us 1 file for free decryption. The total size of file must be less than 1MB (non-archived)
and files shouldn't contain valuable information (databasesm backupsm large excel sheets, etc)

Обновление от 9 июня 2019:
Номер версии: JSWORM v.3.0
Расширение: .JSWORM
Шаблон составного расширения: .[ID-3456789012][jurasik@cock.li].JSWORM
Записка: JSWORM-DECRYPT.hta
Email: jurasik@cock.li, jsworm@cock.li

➤ Содержание записки о выкупе: 
All your files were encrypted!
All your files have been encrypted due to a security problem with your OC. If you want to restore them, write us to the e-mail: jurasik@cock.li
Write this unique identificator in the title of your message: 3529887933
In case of no answer in 24 hours write us to this e-mail: jsworm@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write us. After payment we will send you the decryption tool that will decrypt all you files.
Free decryption as proof!
Before paying you can send us 1 file for free decryption. The total size of file must be less than 1MB (non-archived)
and files shouldn't contain valuable information (databases, backups, large excel sheets, etc)
Attention!
---> Don't rename encrypted files.
---> Don't try to decrypt your data using third party software, it may cause permanent data loss.
---> Decryption of your files with the help of third parties may cause increased price or you can become a victim of a scam.

Обновление от 19 июня 2019:
Топик на форуме >>
Номер версии: JSWORM v.3.1
Расширение: .JSWORM
Составное расширение: defontes.xlsx.[ID-123456789][jurasik@cock.li].JSWORM
Email: jurasik@cock.li, jsworm@cock.li
Записка: JSWORM-DECRYPT.hta

➤ Содержание записки о выкупе: 
All your files were encrypted!
All your files have been encrypted due to a security problem with your OC. If you want to restore them, write us to the e-mail: jurasik@cock.li
Write this unique identificator in the title of your message: 713693837
In case of no answer in 24 hours write us to this e-mail: jsworm@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write us. After payment we will send you the decryption tool that will decrypt all you files.
Free decryption as proof!
Before paying you can send us 1 file for free decryption. The total size of file must be less than 1MB (non-archived)
and files shouldn't contain valuable information (databases, backups, large excel sheets, etc)
Attention!
---> Don't rename encrypted files.
---> Don't try to decrypt your data using third party software, it may cause permanent data loss.
---> Decryption of your files with the help of third parties may cause increased price or you can become a victim of a scam.


Обновление от 30 июня 2019: 
Пост в Твиттере >>
Пост в Твиттере >>
Номер версии: JSWORM v.4.0.2
Расширение: .JSWRM
Шаблон расширения: .[ID-<id>][<email>].JSWRM
Пример зашифрованного файла: eula.rtf.[ID-9A8I36E][symmetries@tutamail.com].JSWRM
Email: symmetries@tutamail.com, symmetries@tutanota.com
Записка: JSWRM-DECRYPT.hta
Результаты анализив: VT + VT + VMR

Обновление от 13 июля 2019: 
Топик на форуме >>
Топик на форуме >>
Номер версии: JSWORM v.4.0.2
Расширение: .JSWRM
Шаблон расширения: .[ID-<id>][<email>].JSWRM
Пример зашифрованного файла: banner.png.[ID-31NSXXX][tryingtobegood@cock.li].JSWRM
Email: tryingtobegood@cock.li
Записка: 31NSXXX-DECRYPT.hta
Шаблон записки: <id>-DECRYPT.hta


Обновление от 23 июля 2019: 
Топик на форуме >>
Номер версии: JSWORM v.4.0.3
Расширение: .JSWRM
Шаблон расширения: .[ID-<id>][<email>].JSWRM
Примеры зашифрованных файлов: 
banner.png.[ID-YHFOXXX][kviss@protonmail.com.JSWRM
news.txt.[ID-YHFO6S9][kviss@protonmail.com].JSWRM 
Email: kviss@protonmail.com

Обновление от 27 июля 2019: 
Топик на форуме >>
Номер версии: JSWORM v.4.0.3
Расширение: .JSWRM
Шаблон расширения: .[ID-<id>][<email>].JSWRM
Пример зашифрованного файла: 
banner.png.[ID-53W4XXX][tryingtobegood@cock.li].JSWRM
Email: tryingtobegood@cock.li
Примеры записок: 53W4XXX-DECRYPT.hta, AKX45SJ-DECRYPT.hta
Шаблон записки: <id>-DECRYPT.hta

➤ Содержание записки:
JSWORM 4.0.3
Your files are corrupted!
Identificator for files: AKX45SJ
E-mail for contact: tryingtobegood@cock.li
Backup e-mail for contact : tryingtobegood@cock.li
Free decryption as guarantee!
Before paying you can request free decryption of 3 files.
Total size of files must be less than 5MB (non-archived).
Files shouldn't contain valuable information (accept only txt\jpg\png).
Attention!
Don't try to decrypt it manually.
Don't rename extension of files.
Don't try to write AV companies (they can't help you).

Обновление августа 2019:

Похоже на то, что JSWorm изменился на Nemty.

Отдельная статья: Nemty Ransomware

=== 2020 ===

Обновление от 15 сентября 2020 (распространялось в 2019):

Статус: Можно расшифровать!

Топик на форуме >>

Записка: JBUIIGF-DECRYPT.hta

Email: kviss@protonmail.com

➤ Содержание записки: 

Your files are corrupted!

Identificator for files: JBUIIGF

E-mail for contact: kviss@protonmail.com

Backup e-mail for contact : kviss@protonmail.com

Free decryption as guarantee!

Before paying you can request free decryption of 3 files.

Total size of files must be less than 5MB (non-archived).

Files shouldn't contain valuable information (accept only txt\jpg\png).

Attention!

Don't try to decrypt it manually.

Don't rename extension of files.

Don't try to write AV companies (they can't help you).

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! Иногда файлы можно расшифровать. 
1) Файлы 1-й версии можно дешифровать.
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >> 
2) Для файлов, зашифрованных JSWorm 2.x есть дешифровщик.
Прочтите инструкцию и скачайте Emsisoft Decrypter >> *
3) Для файлов, зашифрованных JSWorm 3.x пока нет дешифровщика.
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >> 
4) Для файлов, зашифрованных JSWorm 4.x есть дешифровщик.
Прочтите инструкцию и скачайте Emsisoft Decrypter >>

К сожалению, версии новее 2.0 пока не могут быть расшифрованы.
Если ваши файлы зашифрованы, пришлите нам несколько зашифрованных файлов и записки.
*

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as JSWorm, JSWorm 2.0)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author), CyberSecurity GrujaRS
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Vaca

Vaca Ransomware

Xorist-Vaca Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп отправить SMS на короткий номер, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: ara.exe.

© Генеалогия: Xorist >> Vaca

К зашифрованным файлам добавляется расширение: .vaca

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден во второй половине января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
Attention! All your files are encrypted!
To restore your files and access them,
please send an SMS with the text XXXX to YYYY number.
You have N attempts to enter the code.
When that number has been exceeded,
all the data irreversibly is destroyed.
Be careful when you enter the code!

Перевод записки на русский язык:
Внимание! Все ваши файлы зашифрованы!
Чтобы вернуть ваши файлы и доступ к ним,
отправьте SMS с текстом XXXX на номер YYYY.
У вас есть N попыток ввода кода.
Когда это число будет превышено,
все данные будут уничтожены.
Осторожно при вводе кода!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
ara.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: не используется
BTC: не используется
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 октября 2020: 

Пост в Твиттере >>

Расширение: .locked3dllkierff

Результаты анализов: VT + IA
См. также статью Xorist 2020 Ransomware >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 

 Thanks: 
 Marcelo Rivero, Petrovic
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

T1Happy

T1Happy Ransomware

(шифровальщик-НЕ-вымогатель, блокировщик-пугатель)
Translation into English

Этот шифровальщик шифрует или делает вид, что шифрует данные пользователей с помощью AES, а затем сообщает, чтобы файлы можно вернуть самому. Оригинальное название: T1, но в записке не указано. На файле написано: T1.exe.
---
Обнаружения: 
DrWeb -> Trojan.DownLoader27.25601

ALYac -> Trojan.Ransom.HappyCrypter
BitDefender -> Gen:Heur.MSIL.Krypt.44, Generic.MSIL.DownloaderB.F3668B19

ESET-NOD32 -> A Variant Of MSIL/Filecoder.RN
Rising -> Trojan.IPLogger!1.B69D (CLOUD), Trojan.Filecoder!8.68 (CLOUD)

TrendMicro -> Ransom.MSIL.PROTVS.SM, Ransom.Win32.TIONE.THOABEAI
VBA32 -> TScope.Trojan.MSIL

---

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .happy


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя найден во второй половине января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HIT BY RANSOMWARE.txt

Содержание записки о выкупе:
HIT_BY_RANSOMWARE
---YOU'VE BEEN HIT BY A RANSOMWARE---
ln order to decrypt your files, you must decompile the ransomware
(which is easy) and find out the encryption method (easy aswell)
Next time, think before your execute. Your next ransomware could'nt be
that easy to crack and you would lost all your files :(
---YOU'VE BEEN HIT BY A RANSOMWARE---

Перевод записки на русский язык:
HIT_BY_RANSOMWARE
---ВЫ ПОЛУЧИЛИ RANSOMWARE---
Для расшифровки ваших файлов вы должны декомпилировать вымогателя
(это легко) и выяснить метод шифрования (легко также)
В другой раз подумай, прежде чем запускать. Ваш другой вымогатель может быть не так легко взломать, и вы потеряете все свои файлы :(
---ВЫ ПОЛУЧИЛИ RANSOMWARE---

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HIT BY RANSOMWARE.txt
T1.exe
T1.pdb
<random>.exe - случайное название
qqf85h6c.bmp - картинка, загруженная на сервис finndev.net
don.bmp
screen.jpg

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
D:\VS-Projekte\T1\T1\obj\Release\T1.pdb
\Desktop\HIT BY RANSOMWARE.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: oymas@gmx.net, secres@gmx.de
BTC: не используется
xxxxs://finndev.net/selif/qqf85h6c.bmp
xxxxs://iplogger.org/21zut -> редирект на https://www.nsa.gov/
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  +VT +VT +VT
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as T1Happy)
 Write-up, Topic of Support
 * 

 Thanks: 
 Petrovic, Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Enc1

Enc1 Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные серверов с помощью AES, а затем требует связаться по email или Bitmessage, чтобы узнать, как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: _enc1
Пример зашифрованного файла: Filename.doc_enc1

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину-вторую половину января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется по шаблону: decrypt_<random10>.txt

Примеры записок:
decrypt_5sc7J7UK80.txt
decrypt_frKzk1EaFJ.txt

Содержание записки о выкупе:
Ooops. your important files are encrypted.
If you see this text, then your files are no longer accessible, 
because they
have been encrypted.Perhaps you are busy looking for a way to recover your
files, but don't waste your time. Nobody can recover your files without our
decryption service.
We guarantee that you can recover all your files safely and easily.All you
need to do is submit the payment and purchase the decryption key.
Do not try to recover your files on your own or with someone else,
because after the intervention you can remain without your data forever.
Please follow the instructions :
1.Contact us at e-mail: zazakuku@protonmail.com 
or bitmessage: BM-2cVs4XGzzFtA7wiM6TPDnohTKh47vvCS1k 
2.Get your KEY and IV
3.Have a Nice Day
Key: tWEY8zHJabpyNapKGHcFR***A6zDo=
IV: 67+TjI1EikzpMpONPOI8Og==

Перевод записки на русский язык:
Ой. Ваши важные файлы зашифрованы.
Если вы видите этот текст, то ваши файлы теперь не доступны, потому что они зашифрованы. Возможно, вы ищете способ восстановить файлы, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашего сервиса расшифровки.
Мы гарантируем, что вы можете безопасно и легко восстановить все ваши файлы. Все, что вам нужно сделать, это отправить платеж и приобрести ключ расшифровки.
Не пытайтесь восстановить ваши файлы самостоятельно или с кем-то еще, потому что после вмешательства вы можете навсегда остаться без ваших данных.
Пожалуйста, следуйте инструкциям:
1. Свяжитесь с нами по email: zazakuku@protonmail.com
или в Bitmessage: BM-2cVs4XGzzFtA7wiM6TPDnohTKh47vvCS1k
2. Получите ваш ключ и IV
3. Иметь хороший день
Ключ: tWEY8zHJabpyNapKGHcFR***A6zDo=
IV: 67+TjI1EikzpMpONPOI8Og==

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: zazakuku@protonmail.com
BM-2cVs4XGzzFtA7wiM6TPDnohTKh47vvCS1k
BTC: ***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Enc1)
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer, quietman7, Michael Gillespie
 Andrew Ivanov 
 to the victims who sent the samples
 
 

© Amigo-A (Andrew Ivanov): All blog articles.