Clop, CIop, CIop2

Clop Ransomware

Variants: CIop, CIop2, CL0P

Clop Doxware

(шифровальщик-вымогатель, публикатор)
Translation into English

Этот крипто-вымогатель шифрует данные корпоративных сетей и бизнес-пользователей с помощью AES + RSA-1024, а затем требует выкуп примерно в 10-30 BTC, чтобы вернуть файлы. Оригинальное название: Clop (указано в записке). На файле написано: clop.exe. Программа-вымогатель написана на C ++ и разработана в Visual Studio 2015 (14.0). Предназначена для Windows x86. Clop Ransomware развертывается после операции-вторжения TA505. Каждый образец уникален для жертвы. Есть данные, что среди вымогателей есть граждане Украины (из Киева в частности). 

Вымогатели, распространяющие Clop с вариантами, позже стали угрожать опубликовать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов. Об этих акциях вымогателей сообщалось в СМИ. На момент публикации статьи не было известно о публикациях украденных данных, вымогатели только угрожали, но потом они создали сайт "CL0P^_- LEAKS" для таких публикаций.  

---
Обнаружения: 
DrWeb -> Trojan.Encoder.27194, Trojan.Encoder.27233, Trojan.Encoder.27240, Trojan.Encoder.27264, Trojan.Encoder.27281, Trojan.Encoder.27487, Trojan.Encoder.30425
BitDefender -> Trojan.GenericKD.31662115, Trojan.GenericKD.31683253, Trojan.GenericKD.31706378
Kaspersky -> Trojan-Ransom.Win32.Encoder.bmd, Trojan.Win32.Zudochka.bl, Trojan-Ransom.Win32.KlopRansom.g, Trojan-Ransom.Win32.KlopRansom.t
Malwarebytes -> Ransom.CryptoMix, Ransom.Clop
VBA32 -> Trojan.Zudochka, Malware-Cryptor.TDSS, TrojanRansom.KlopRansom
---
© Генеалогия: CryptoMix >> схожие предыдущие Ransomware >> Clop, CIop, CIop2

Изображение - это только логотип статьи

К зашифрованным файлам добавляется расширение: .Clop

Этимология названия: 
Clop - это по-русски "клоп" (англ. bed bug, crum), насекомое сосущее кровь человека и животных. 
К образу жизни этого клопа-вредоноса можно применить сравнительную аналогию: этот Clop Ransomware как кровосос "высасывает" чужие сертификаты и использует их для своей защиты от обнаружения антивирусной защитой. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с  первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на начало февраля 2019 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

Записка с требованием выкупа называется: ClopReadMe.txt

Содержание записки о выкупе:
Your network has been penetrated.
All files on each host in the network have been encrypted with a strong algorithm.
Backups were either encrypted or deleted or backup disks were formatted.
Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
We exclusively have decryption software for your situation
No decryption software is available in the public.
DO NOT RESET OR SHUTDOWN – files may be damaged.
DO NOT RENAME OR MOVE the encrypted and readme files.
DO NOT DELETE readme files.
This may lead to the impossibility of recovery of the certain files.
Photorec, RannohDecryptor etc. repair tools are useless and can destroy your files irreversibly.
If you want to restore your files write to emails (contacts are at the bottom of the sheet) and attach 2-3 encrypted files
(Less than 5 Mb each, non-archived and your files should not contain valuable information
(Databases, backups, large excel sheets, etc.)).
You will receive decrypted samples and our conditions how to get the decoder.
Attention!!!
Your warranty - decrypted samples.
Do not rename encrypted files.
Do not try to decrypt your data using third party software.
We don`t need your files and your information.
But after 2 weeks all your files and keys will be deleted automatically.
Contact emails:
servicedigilogos@protonmail.com
or
managersmaers@tutanota.com
The final price depends on how fast you write to us.
Clop

Перевод записки на русский язык:
Ваша сеть взломана.
Все файлы на каждом хосте в сети были зашифрованы с надежным алгоритмом.
Резервные копии были либо зашифрованы, либо удалены, либо диски отформатированы.
Теневые копии также удалены, поэтому F8 или любые другие методы могут повредить зашифрованные данные, но не восстановить.
У нас есть эксклюзивная программа для вашей ситуации
В открытом доступе программа для расшифровки не доступна.
НЕ СБРАСЫВАЙТЕ ИЛИ НЕ ВЫКЛЮЧАЙТЕ - файлы могут быть повреждены.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ИЛИ НЕ ПЕРЕМЕЩАЙТЕ зашифрованные и файлы readme
НЕ УДАЛЯЙТЕ файлы readme.
Это может привести к невозможности восстановления определенных файлов.
Инструменты восстановления Photorec, RannohDecryptor и т.д. бесполезны и могут безвозвратно уничтожить ваши файлы.
Если вы хотите восстановить ваши файлы, пишите на email (контакты внизу листа) и прикрепляйте 2-3 зашифрованных файла.
(Менее 5 Мб каждый, не архивы и ваши файлы не должны содержать ценную информацию
(Базы данных, резервные копии, большие таблицы Excel и т.д.)).
Вы получите расшифрованные образцы и наши условия, как получить декодер.
Внимание!!!
Ваша гарантия - расшифрованные образцы.
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью сторонних программ.
Нам не нужны ваши файлы и ваша информация.
Но через 2 недели все ваши файлы и ключи будут удалены автоматически.
Контактные email:
servicedigilogos@protonmail.com
или же
managersmaers@tutanota.com
Окончательная цена зависит от того, как быстро вы напишите нам.
Clop

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
vssadmin Delete Shadows /all /quiet
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=401MB
vssadmin resize shadowstorage /for=c: /on=c: /maxsize=unbounded
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled No

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
clop.exe
ClopReadMe.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Мьютекс:
CLOP#666

Маркер, который используется для зашифрованных файлов.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: servicedigilogos@protonmail.com, managersmaers@tutanota.com

Сайт: CL0P^_- LEAKS 

hxxx://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad.onion

hxxx://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad.onion.ly

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >> VT>>
🐞 Intezer analysis >> IA>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

CryptoMix Family: апрель 2016 ~ август 2018, апрель 2019
Clop Ransomware - февраль, март, май, июль-декабрь 2019 и позже в 2020

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 февраля 2019:
Сообщение >>
Расширение: .Clop
Email: antnony.blackmer@protonmail.com, unlock@eqaltech.su
Записка: ClopReadMe.txt

Результаты анализов: VT
Использует легитимный сертификат, выданный на "ALISA L LIMITED"


Обновление от 16 февраля 2019:
Сообщение >>
Расширение: .Clop
Email: icarsole@protonmail.com, unlock@eqaltech.su
Записка: ClopReadMe.txt

Файлы EXE: swaqp.exe, gmontraff.exe
Результаты анализов: VT + HA
Использует легитимный сертификат, выданный на "THE COMPANY OF WORDS LTD"
Фальш-копирайт: Global Security IBM NetWork (C) 1997 -2019


Обновление от 21 февраля 2019:
Сообщение >>
Расширение: .Clop
Email: unlock@eqaltech.su
Записка: ClopReadMe.txt

Использует легитимный сертификат, выданный на "MAN TURBO (UK) LIMITED"
Мьютекс: FanyFany666
Результаты анализов: VT + HA

Обновление от 2 марта 2019:
Сообщение >>
Email: unlock@eqaltech.su, unlock@royalmail.su, kensgilbomet@protonmail.com
Записка: ClopReadMe.txt или CIopReadMe.txt, где в названии буква "l" заменена на большую букву "I". 

Используется новый мьютекс: ^_-HappyLife^_-
Результаты анализов: VT + VMR + VT + HA + JSB
Использует легитимный сертификат, выданный на MEGAPOLIS SERVICES LTD
Clop начал отключать службы Microsoft Exchange, Microsoft SQL Server, MySQL, BackupExec и прочие. Ориентирован на корпоративную сеть. 
Стало известно, что группа киберпреступников TA505 взяла на вооружение Clop Ransomware. В арсенале TA505 числятся банковский троян Dridex, ботнет Neutrino, шифровальщики Locky, Jaff, GlobeImposter и др.

Обновление от 4 мая 2019:
Сообщение >>
Email: cersiacsofal@protonmail.com, unlock@eqaltech.su, unlock@royalmail.su
Результаты анализов: VT
Используется новый мьютекс: MakeMoneyWorld
Использует легитимный сертификат, выданный на REBROSE LEISURE LIMITED.

Текстовая версия >>

Обновление от 22 июля 2019:
Сообщение >>
Email: unlock@goldenbay.su, unlock@graylegion.su
Используется новый мьютекс: MakeMoneyFromAirEathUorld#666

Обновление от 22 ноября 2019:
Сообщение >>
Email: unlock@goldenbay.su, unlock@qraylegion.su
Записки стали заметно короче. 

 

Статья на сайте BC >> 
Теперь Clop подписывает записку словами "Dont Worry C|0P ". 
Перед шифрованием запускается небольшая программа, которая попытается отключить некоторые защитные программы, включая Защитник Windows. 

Обновление от 29 ноября 2019:
Сообщение >>
Email: unlock@goldenbay.su, unlock@qraylegion.su
В записке появилась новая строка:
"PLEASE DO NOT USE GMAIL, MAIL DOES NOT REACH OR GETS INTO THE SPAM FOLDER."

Обновление от 9 декабря 2019:
Сообщение >>
Расширения: .CIop, .CIop2
Варианты CIop и CIop2 используются в зависимости от некоторых от условий. Пытается обойти Kaspersky Product Suite. 

Обновление от 25 декабря 2019:
Сообщение >>
Сообщение >>
Сообщение >>
Расширение: .CIop
Записка: CIopReadMe.txt
Email: collyhuwkmac@tutanota.com, unlock@goldenbay.su, unlock@graylegion.su
Использует сертификат от Sectigo на DATAMINGO Limited
Обходит: Panda, KAS, WindowsDefender
Удаляет: CHECKMal, Malwarebytes, ESET

 

Результаты анализов: VT + AR

➤ Содержание записки: 
*-*ALL FILES ON EACH HOST IN THE NETWORK HAVE BEEN ENCRYPTED WITH A STRONG ALGORITHM*-*
-Backups were either encrypted or deleted or backup disks were formatted.
-Shadow copies also removed, so F8 or any other methods may damage encrypted data but not recover.
-If you want to restore your files write to emails (contacts are at the bottom of the sheet) and attach 3-5 encrypted files
-(Less than 6 Mb each, non-archived and your files should not contain valuable information
-(Databases, backups, large excel sheets, etc.)).
-You will receive decrypted samples.
-MESSAGE THIS INFORMATION TO COMPANY'S CEO, UNLOCKING OF 1 COMPUTER ONLY IS IMPOSSIBLE, ONLY WHOLE NETWORK.
-ATTENTION-
-Your warranty - decrypted samples.
-Do not rename encrypted files.
-Do not try to decrypt your data using third party software.
-We don`t need your files and your information.
:::CONTACT EMAIL:::
collyhuwkmac@tutanota.com
AND
unlock@goldenbay.su
or
unlock@graylegion.su 
NOTHING PERSONAL IS A BUSINESS  
PLEASE DO NOT USE GMAIL, MAIL DOES NOT REACH OR GETS INTO THE SPAM FOLDER.
PLEASE CHECK SPAM FOLDER!!! CLOP^_-


Обновление от 28 декабря 2019:
Сообщение >>
Сообщение >>
Новое расширение: .Cl0p
Мьютексы из новых образцов

 

Завершает больше процессов: Acrobat, Anti-VM, Android Debug Bridge, Notepad++, Everything, Tomcat, SnagIt, Bash, Visual Studio, Python, Ruby, службы Windows, программы из Microsoft Office, антивирусные программы, базы данных, Windows 10 Phone и другие. Всего 663 процесса. Полный список процесс см. по ссылке. 

Обновление от 19 февраля 2020:
Сообщение >>
Мьютекс: "LifeBeHappy#-#-#666ˆ_-"

Обновление от 19 февраля 2020:
Сообщение >>
Email: ***
unlockf@graylegion.su
unlockf@goldenbay.su

Обновление от 24 марта 2020:
Вымогатели создали сайт "CL0P^_- LEAKS" для таких публикаций. 

Обновление от 25 марта 2020:
Сообщение >>
Вымогатели из Clop-CIop Ransomware пытаются обелить свой вымогательский "бизнес", заявляя следующее.

Содержание части текста:
From personal experience we can tell you:
All companies have security holes, regardless of size infrastructure, the number of IT specialists, the number of antivirus and monitoring systems
A very small percentage of companies that are really at the highest level of security
At the same time, companies with 100+ thousand servers and computers allow primitive erred in administration
Which allow one person to destroy your business in 5 hours of work but you have been building it many years
This is exactly moment when you got the call at night!
This is exactly what we been doing for many years!
Now take a deep breath through your nose
breathe out...
We can help you avoid this situation!
We can't guarantee that no one will hack you!
But we can guarantee you that your specialists will close the holes that contribute to penetration and distribution
Invest in the knowledge of your network administrators or suffer losses from not knowing they them!
We can offer you instructions.txt - 250000$ in BTC
***

Перевод текста:
Из личного опыта мы можем сказать вам:
Все компании имеют дыры в безопасности, независимо от размера инфраструктуры, количества ИТ-специалистов, количества антивирусных систем и систем мониторинга.
Очень маленький процент компаний, которые действительно находятся на самом высоком уровне безопасности
В то же время компании с более чем 100 тысячами серверов и компьютеров допускают примитивные ошибки при администрировании.
Что позволяет одному человеку разрушить ваш бизнес за 5 часов работы, но вы строите его много лет
Это как раз тот момент, когда вам позвонили ночью!
Это именно то, чем мы занимаемся много лет!
Теперь сделайте глубокий вдох через нос
выдохните...
Мы можем помочь вам избежать этой ситуации!
Мы не можем гарантировать, что никто не взломает вас!
Но мы можем гарантировать вам, что ваши специалисты закроют дыры, которые способствуют проникновению и распространению
Инвестируйте в знания своих сетевых администраторов или несите убытки, не зная их!
Мы можем предложить вам инструкции .txt - 250000$ в BTC
***

Обновление от 28 июня 2020:
Сообщение >>
Записка: Cl0pReadMe.txt
Email: tyrkinovusr@tutanota.com
unlock@graylegion.su
unlock@goldenbay.su

*** пропущенные варианты ***

Обновление от 3 октября 2020:

Расширение: 

Email: vutukuri@instasoftwaresolution.com

Результаты анализов: VT + HA + IA + TG + AR

Обновление от 22 ноября 2020:

Расширение: .Cllp, .cllp

Email: vutukuri@instasoftwaresolution.com

Email: dinoriuss1973@tutanota.com 

Email: unlock@support-box.com 

Email: unlock@support-iron.com

Результаты анализов: VT + IA

➤ Содержание записки:

HELLO DEAR KMALL

*DO NOT ATTEMPT TO RESTORE OR MOVE THE FILES YOURSELF. THIS MAY DESTROY THEM*

Also, we have stolen very important information from your servers. Write to chat for details.

If you refuse to cooperate, all data will be published for free download on our portal (USE TOR BROWSER):

hxxx://ekbgzchl6x2ias37.onion/ 

CONTACTS:

dinoriuss1973@tutanota.com

AND

unlock@support-box.com

OR

unlock@support-iron.com 

OR WRITE TO THE CHAT (USE TOR BROWSER):

http://cvfzmngbtwzywfnryt45zro4ocpze7cqdtzj2n6jz7eucpdglsulcsid.onion/***

---

Скриншоты с сайта Clop-Leaks (ekbgzchl6x2ias37.onion)

Большинство пострадавших находятся в Германии. 

(Скриншоты сделаны 14 января 2021).

Обновление от 7 декабря 2020:

Сообщение >>

Самоназвание: Parkland Ransomware

Обновление от 15 декабря 2020:

Сообщение >>

Сообщение >>

Email-1: brendondors1983@tutanota.com

unlock@support-box.com

unlock@support-iron.com

Email-2: dinoriuss1973@tutanota.com

unlock@support-box.com

 

Обновление от 14 января 2021:

Статья на сайте Blog.Telekom >>

Сообщение от 16 июня 2021:

Статья на сайте BleepingComputer >>

В Украине арестовываны некоторые участники банды Clop, причастные к отмыванию денег. Полиция обвиняет обвиняет Россию в укрывании главных членов кибербанды Clop. 

Какой нормальный русский в здравом уме и твердой памяти будет выводить деньги в Украине? Я не могу себе представить таких идиотов. 

Сообщение от 23 июня 2021:

Статья на сайте BleepingComputer >>

Вымогательская кампания продолжается. 

Вариант от 23  ноября или раньше: 

Сообщение >>

Сообщение >>

Расширение: .C_L_O_P

Записка: !!!_READ_!!!.RTF

=== 2022 ===

Группа вымогателей из CLOP вернулась к своей деятельности.

Статья на сайте BC >>

=== 2023 ===

Версия Clop для Linux подвержена расшифровке, потому что использует жёстко запрограммированный мастер-ключ RC4 для генерации ключей шифрования, а затем использует тот же ключ для его шифрования и локального хранения в файле. 

Статья на сайте BleepingComputer >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage + Message
 ID Ransomware (ID as Clop)
 Write-up, Topic of Support
 * 

Added later:
Clop Ransomware (by Alexandre Mundo, Marc Rivero Lopez on August 1, 2019)
Clop Ransomware (by BleepingComputer on January 3, 2020)
Write-up by S2W LAB (on November 23, 2020)

 Thanks: 
 Michael Gillespie, Jakub Kroustek, MalwareHunterTeam
 Andrew Ivanov (author)
 Vitali Kremez, Lawrence Abrams
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Vega, VegaLocker

Vega Ransomware

VegaLocker Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться с вымогателями, чтобы узнать, как вернуть файлы. Оригинальное название: VEGA. На файле написано: "Мастер бланков" и "VERY EXCLUSIVE LTD". Разработан на Delphi. Разработчик: ERIK. 

Обнаружение: 
Dr.Web -> Trojan.Buhtrap.19 / Trojan.Encoder.27633
BitDefender -> Gen:Variant.Jacard.148772

© Генеалогия: предыдущие проекты >> Vega (VegaLocker) > Jamper (Jumper) > Buran > Buran-Ghost
© Генеалогия: ✂ Scarabey, ✂ Scarab-Amnesia >> Vega (VegaLocker)

Пояснения: 
1) текст записки заимствован из записок Scarab-Russian Ransomware;
2) прямое продолжение из Scarab не подтверждается исследованием;
3) родство из анализа IntezerAnalyze объясняется Delphi-разработкой. 
По этой ссылке VegaLocker представлен уже более наглядно. 

К зашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало февраля 2019 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Your files are now encrypted.txt

Содержание записки о выкупе:
ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваши документы, фотографии, базы данных, сохранения в играх и другие
важные данные были зашифрованы уникальным ключем, который находится
только у нас. Для восстановления данных необходим дешифровщик.
Восстановить файлы Вы можете, написав нам на почту:
e-mail: sprosinas@cock.li
e-mail: sprosinas2@protonmail.com
Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый.
Мы их восстановим, в доказательство возможности расшифровки.
После демонстрации вы получите инструкцию по оплате, а после оплаты
Вам будет отправлена программа-дешифратор, которая полностью восстановит все заблокированные файлы без потерь.
Если связаться через почту не получается:
Перейдите по ссылке: https://bitmessage.org/wiki/Main_Page и скачайте
почтовый клиент. Установите почтовый клиент и создайте себе новый адрес
для отправки сообщений.
Напишите нам письмо на адрес: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
(с указанием Вашей почты) и мы свяжемся с Вами. 
ВАЖНО! 
Не пытайтесь удалить программу или запускать антивирусные средства.
Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных.
Дешифраторы других пользователей несовместимы с Вашими данными,
так как у каждого пользователя уникальный ключ шифрования.
Убедительная просьба писать людям, которые действительно заинтересованы в восстановлении файлов. Не следует угрожать и требовать дешифратор.
Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои файлы остальных.
-----BEGIN TOKEN-----
tAcAAAAAAADcVQukt***3Q6/hoGPwA=
-----END TOKEN-----

Перевод записки на русский язык:
уже сделан

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Выполняет ряд вредоносных действий, в том числе удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки и прочее командами:
 cmd.exe /C cscript //e:vbscript //nologo "%TEMP%\temp.txt" 
 cmd.exe /C chcp 1250 && net view 
 cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
 cmd.exe /C bcdedit /set {default} recoveryenabled no
 cmd.exe /C wbadmin delete catalog -quiet
 cmd.exe /C wbadmin delete systemstatebackup
 cmd.exe /C wbadmin delete backup
 cmd.exe /C wmic shadowcopy delete
 cmd.exe /C chcp 1250 && net view
 cmd.exe /C vssadmin delete shadows /all /quiet

➤ Использует ворованный или как-то иначе нелегитимно полученный сертификат от Comodo, выданный на якобы "Мастер бланков" и "VERY EXCLUSIVE LTD". Для файла используется иконка со стопкой книг. 

➤ VegaLocker имеет защиту от запуска на виртуальной машине, но это исправимо. 
➤ После выполнения VegaLocker показывает диалоговое окно на русском языке с некой ошибкой. По сообщению Майкла Джиллеспи, это фальшивая ошибка. 

Декодированное содержание этой ошибки: 

Так как обратно нормальный текст в декодере не транслируется, то пришлось сопоставить это в Word-е. Вместо буквы "п" в трёх местах поставлена буква "м". Возможно, что-то не так с символами. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Your files are now encrypted.txt
temp.txt
masterblankov24.exe
<random>.exe - случайное название

Файлы проектов: 
chcp.pdb, WMIC.pdb, adoberfp.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\temp.txt
C:\ERIK\DEVELOPMENT\VEGA\v1\uBigIntsV3.pas
C:\ERIK\DEVELOPMENT\VEGA\v1\Base64.pas

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: sprosinas@cock.li
Email-2: sprosinas2@protonmail.com
Bitmessage: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Vega (VegaLocker) Ransomware - февраль 2019
Jamper (Jumper) Ransomware - март, апрель, май 2019
Buran Ransomware - май 2019
Buran 2.0 Ransomware - июнь 2019
Buran-Ghost Ransomware - июнь 2019
другие варианты

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 февраля 2019:
Пост в Твиттере >>
Записка: Your files are now encrypted.txt

Email-1: sprosinas@cock.li
Email-2: sprosinas2@protonmail.com
Bitmessage: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
Файл EXE: VSEBLANKI24.EXE

Они исправили ошибку в тексте диалогового окна. 
Вредоносный EXE-файл теперь не подписан ЭЦП. 
Результаты анализов: VT + HA

Обновление от 14 февраля 2019:
Пост в Твиттере >>
Расширение: отсутствует
Email-1: sup24@keemail.me
Email-2: sup24@protonmail.ch
Bitmessage: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
Записка: ABOUT YOUR FILES.TXT
Результаты анализов: VT + HA + AR + IA

➤ Содержание записки: 
ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваши документы, фотографии, базы данных, сохранения в играх и другие
важные данные были зашифрованы уникальным ключем, который находится
только у нас. Для восстановления данных необходим дешифровщик.
Восстановить файлы Вы можете, написав нам на почту:
* e-mail: sup24@keemail.me
* резервный e-mail: sup24@protonmail.ch
Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый.
Мы их восстановим, в доказательство возможности расшифровки.
После демонстрации вы получите инструкцию по оплате, а после оплаты
Вам будет отправлена программа-дешифратор, которая полностью восстановит
все заблокированные файлы без потерь.
Если связаться через почту не получается:
* Перейдите по ссылке: https://bitmessage.org/wiki/Main_Page и скачайте
почтовый клиент. Установите почтовый клиент и создайте себе новый адрес
для отправки сообщений.
* Напишите нам письмо на адрес: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
(с указанием Вашей почты) и мы свяжемся с Вами.
ВАЖНО!
* Расшифровка гарантируется, если Вы свяжетесь с нами в течении 72 часов.
* Выключение или перезагрузка компьютера может привести к потере Ваших файлов.
* Не пытайтесь удалить программу или запускать антивирусные средства.
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных.
* Дешифраторы других пользователей несовместимы с Вашими данными,
так как у каждого пользователя уникальный ключ шифрования.
Убедительная просьба писать людям, которые действительно заинтересованы
в восстановлении файлов. Не следует угрожать и требовать дешифратор.
Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои
файлы остальных.
-----BEGIN TOKEN-----
+E2FjDdTa6XHGyyNDzCLN***Ux4J7oq/pPy0RDQhkO1RuAIhQ/LKePE=
-----END TOKEN-----
➤ Сравнение текста записки с предыдущим вариантом :

➤ Такая же записка ABOUT YOUR FILES.TXT, но с более длинным кодом токена:

Обновление от 27 февраля 2019:
Пост на форуме >>
Расширение: отсутствует
Email-1: sprosi24@keemail.me
Email-2: sprosi24@protonmail.ch
Записка: YOUR FILES ARE ENCRYPTED.TXT

➤ Содержание записки: 
ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Восстановить файлы Вы можете, написав нам на почту:
e-mail: sprosi24@keemail.me
e-mail: sprosi24@protonmail.ch
Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый.
Мы их восстановим, в доказательство возможности расшифровки.
Убедительная просьба писать людям, которые действительно заинтересованы в восстановлении файлов. Не следует угрожать и требовать дешифратор.
Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои файлы остальных.
По истечению 7 суток с момента появления записки на вашем ПК расшифровать
файлы будет невозможно!!!  
-----BEGIN TOKEN-----
3OOKAZkIfDW3Nax+sdcT***UJhXPyTgMmNm3U1eyzxRtVq
-----END TOKEN-----

Обновление от 13 марта 2019:
Пост в Твиттере >>
Расширение: отсутствует
Записка: YOUR FILES ARE ENCRYPTED.TXT
Email-1: sup24@rape.lol 
Email-2: voprosi24@protonmail.ch

➤ Содержание записки:
ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Восстановить файлы Вы можете, написав нам на почту: 
e-mail: sup24@rape.lol
e-mail: voprosi24@protonmail.ch (резерв)
Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый. 
Мы их восстановим, в доказательство возможности расшифровки. 
Если присланные файлы мы посчитаем важными, то сделаем скрины открытых документов и вышлем Вам. 
Убедительная просьба писать людям, которые действительно заинтересованы 
в восстановлении файлов. Не следует угрожать и требовать дешифратор. 
Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои файлы остальных. 
Цена дешифратора 250$. Каждое предложение о торге будет добавлять 
50$ к стоимости. Бесплатно ничего не делаем! 
По истечению семи суток с момента появления данной записки расшифровать 
файлы будет невозможно!!! Ваш ключ будет удален.
-----BEGIN TOKEN-----
ocC4oGYT3qNcs8GL+z+jpMAc***
-----END TOKEN-----

Обновление от 18 марта 2019:
Пост в Твиттере >>
Расширение: отсутствует
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT
Email-1: oplata@rape.lol 
Email-2: oplata24@cumallover.me

➤ Содержание записки:
!!! ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!!
Восстановить файлы Вы можете, написав нам на почту:
e-mail: oplata@rape.lol
e-mail: oplata24@cumallover.me (резерв)
Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый. 
Мы их восстановим, в доказательство возможности расшифровки. 
Если присланные файлы мы посчитаем важными, то сделаем скрины открытых 
документов и вышлем Вам. 
Убедительная просьба писать людям, которые действительно заинтересованы 
в восстановлении файлов. Не следует угрожать и требовать дешифратор. 
Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои 
файлы остальных. 
Цена дешифратора 17500Р. Каждое предложение о торге будет добавлять 
3000Р к стоимости. Бесплатно ничего не делаем! 
По истечению семи суток с момента появления данной записки расшифровать 
файлы будет невозможно!!! Ваш ключ будет удален.
-----BEGIN TOKEN-----
JSK5+T4NBvnTzDu8piyFcCJHh***
-----END TOKEN-----
Результаты анализов: Dr.Web - Trojan.Encoder.27633



Обновление от 8 апреля 2019:
Топик на форуме >>
Расширение: отсутствует
Email-1: vasko@cumallover.me 
Email-2: rantanen@rape.lol
Записка о выкупе теперь на английском языке. 
Записка: !!! YOUR FILES ARE ENCRYPTED !!!.TXT

➤ Содержание записки: 
!!! YOUR FILES ARE ENCRYPTED !!!
Contact us using this email address:
e-mail: vasko@cumallover.me 
e-mail: rantanen@rape.lol (reserve) 
Now you should send us email with your TOKEN and 1-2 files to
decrypt per free before of payment.
The total size of files must be less than 1Mb (non archived),
and files should not contain valuable information (databases,
backups, large excel sheets, etc.).
Don't try deceive or threaten us, in this case you never will
recover your files. Nothing personal, only business.
The cost of the decoder is $1500 BTC or DASH coin. Each offer
on the bargaining will add $200 to cost. Free of charge we do
nothing! 
On the expiration of seven days your key will be removed! 
-----BEGIN TOKEN-----
g6JDzTFSgCKII4AfXZsyN+4MwBgu***
-----END TOKEN-----

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (1st ID as VegaLocker, 2nd ID as Vega/Jamper/Buran)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam, Vitali Kremez
 Andrew Ivanov (author)
 al1963, thyrex
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Pony, 05ntoar0

Pony Ransomware

Pony_XXX Ransomware

05ntoar0 Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: предыдущие варианты >> Pony

К зашифрованным файлам добавляется расширение: .crypted_pony_test_build_xxx_xxx_xxx_xxx_xxx

Примеры зашифрованных файлов: 
photo001.png.crypted_pony_test_build_xxx_xxx_xxx_xxx_xxx
mytext.txt.crypted_pony_test_build_xxx_xxx_xxx_xxx_xxx

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образцы этого крипто-вымогателя были найдены в начале февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. В записке предлагается три интерфейса: на английском, итальянском и русском. На данный момент ничего неизвестно об распространении. 

Записка с требованием выкупа в раннем варианте отсутствовала. 

Тут нет записки

Тут есть HTML-записка

В новом варианте записка называется: 
IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.HTML

Содержание записки о выкупе:
XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX
All your personal files have been encrypted
English Russian Italian
Your Personal Identifier
[tZpal+X7kVs7q0rimOC/rS7koabJXmTe]
Buy 0.50 Bitcoin here:
https://localbitcoins.com/ru/
Send them to this bitcoin wallet:
1NeJEFzY8PbVS9RvYPfDP93iqXxHjav791
Send us your personal identifier by mail:
pizdasobaki@protonmail.com
Receive decoder in reply :)

Перевод записки на русский язык:
XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX_XXXXX
Все ваши личные файлы зашифрованы
Английский Русский Итальянский
Ваш личный идентификатор
[tZpal+X7kVs7q0rimOC/rS7koabJXmTe]
Купи 0.50 Bitcoin тут:
https://localbitcoins.com/ru/
Пришли их на этот биткоин-кошелек:
1NeJEFzY8PbVS9RvYPfDP93iqXxHjav791
Пришли нам твой персональный идентификатор на почту:
pizdasobaki@protonmail.com
Получи декодер в ответ :)

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.a, .a3w, .aac, .abk, .abr, .ace, .acr, .act, .ad, .adf, .adm, .adp, .adr, .ai, .aif, .ani, .ans, .ape, .apk, .arc, .arj, .as, .asc, .asf, .asp, .ato, .aty, .au, .au3, .avi, .axx, .b3d, .b64, .bak, .bas, .bat, .bfc, .bg, .bin, .bk2, .bmp, .bnk, .bps, .bpt, .brk, .btoa, .bv1, .bwp, .bz, .bz2, .c, .cab, .cal, .cam, .cas, .cbl, .cbt, .cda, .cdr, .cdt, .cfb, .cfg, .cfl, .cfm, .cgm, .chk, .cl, .cl3, .cl4, .cla, .clg, .clk, .cll, .clo, .clp, .clr, .cls, .cmd, .cmv, .cne, .cnf, .cnt, .cnv, .cob, .cod, .com, .cpe, .cpi, .cpl, .cpp, .cpt, .cr2, .crd, .crt, .crw, .css, .csv, .cue, .cur, .cv5, .cvi, .cvs, .cvx, .cxf, .cxx, .d, .daa, .daf, .dat, .db, .db2, .dbc, .dbf, .dbk, .dbm, .dbo, .dbq, .dbt, .dbv, .dbw, .dbx, .dcm, .dcr, .dcu, .dcx, .dds, .deb, .dev, .dib, .dif, .djvu, .dll, .dmd, .dmf, .dmo, .dmp, .dms, .dne, .dng, .doc, .docx, .dos, .dot, .dpr, .drv, .drw, .dsk, .dt_, .dta, .dtd, .dtf, .dtm, .dun, .dwf, .dwg, .dx, .dxf, .dxn, .dxr, .dyn, .ecw, .eeb, .eef, .eft, .ega, .elg, .emf, .eml, .emu, .enc, .end, .eng, .env, .epg, .eps, .eqn, .erd, .erm, .err, .esh, .evt, .ex3, .exc, .exd, .exp, .ext, .fcp, .fdf, .fes, .ff, .ffa, .fff, .ffl, .ffo, .fft, .ffx, .fits, .flac, .flv, .fnd, .fon, .fpb, .fpr, .fpx, .fqy, .fr3, .frc, .frm, .fro, .frp, .frs, .frt, .frx, .frz, .fsc, .fsh, .g3, .gho, .gif, .gr2, .gr3, .gra, .grb, .grf, .grp, .gz, .h, .hbk, .hdl, .hdr, .hdx, .hex, .hfi, .hgl, .hh, .hhh, .hhp, .his, .hlp, .hpgl, .hqx, .hsq, .hss, .hst, .hta, .htm, .html, .htt, .ica, .icb, .icc, .ice, .icl, .icm, .icn, .ico, .ics, .id, .idb, .idd, .ide, .idf, .idq, .idx, .iff, .ifo, .ima, .img, .inf, .ini, .ins, .ipd, .ipf, .iso, .iw44, .iwa, .j2k, .jar, .jas, .jef, .jng, .jp2, .jpc, .jpeg, .jpg, .jpm, .js, .jsb, .jsd, .jse, .jsh, .jsm, .json, .jsp, .jss, .jt, .jtf, .jtk, .jtp, .jw, .jwl, .jzz, .k2p, .kar, .kbc, .kdc, .kdp, .kfx, .kye, .lbm, .ldf, .lgc, .lha, .lib, .lnk, .log, .lwf, .lwp, .lzh, .mac, .mbx, .mcd, .md, .mda, .mdb, .mde, .mdf, .mdl, .mdm, .mdn, .mdp, .mdt, .mdw, .mdx, .mdz, .meb, .med, .mem, .mht, .mid, .mim, .mix, .mk3d, .mka, .mks, .mkv, .mme, .mng, .mod, .mov, .mp1, .mp2, .mp3, .mp4, .mpg, .mpp, .mrw, .msc, .msi, .msn, .msp, .mtf, .mtm, .mtv, .mtw, .mu, .mul, .mup, .mus, .mvb, .mve, .mvf, .mwp, .mxd, .mxt, .myd, .n64, .na2, .nab, .nap, .ndf, .nds, .ndx, .nef, .nes, .neta, .nfo, .ngf, .ngg, .nhf, .nil, .nil, .nlb, .nld, .nlm, .nmi, .nol, .now, .nra, .nrb, .nrg, .ns2, .ns5, .nso, .nt, .num, .nzb, .obj, .oca, .ocx, .ogg, .ogm, .olb, .old, .ole, .oli, .orf, .ori, .otl, .pab, .pak, .pb, .pbd, .pbf, .pbi, .pbk, .pbl, .pbm, .pbo, .pbr, .pbt, .pcd, .pcx, .pda, .pdb, .pdd, .pdf, .pdl, .pds, .pdv, .pdw, .pef, .pf, .pgm, .php, .pic, .pict, .pif, .pjf, .pkg, .pl, .plb, .plc, .pld, .plg, .pli, .pll, .plm, .pln, .plr, .pls, .plt, .ply, .png, .pot, .pp, .pp4, .pp5, .ppa, .ppb, .ppd, .ppf, .ppi, .ppl, .ppm, .ppo, .pps, .ppt, .ppz, .ps2, .psd, .psp, .pst, .pwa, .pwd, .pwf, .pwl, .pwp, .pwz, .px, .pxl, .py, .pyc, .pyd, .pyw, .pza, .pzd, .pzl, .pzo, .pzp, .pzs, .pzt, .pzx, .qic, .qt, .qtif, .qxd, .qxl, .qxt, .ra, .raf, .ram, .rar, .ras, .rc, .rd1, .rd3, .rd4, .rd5, .rdb, .rdl, .rdx, .rec, .rgb, .rle, .rmi, .rpb, .rpd, .rpm, .rpt, .rtf, .rwz, .sha, .txt (здесь 534 расширения, но это не весь список). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pony.exe
05ntoar0.exe
Chrome.pif, chrome.pif.exe, cvtres.exe
<random>.exe - случайное название
IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.HTML

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Desktop\pony.exe
C:\Documents and Settings\Administrator\Local Settings\%Temp%\****.exe
C:\Users\Administrator\AppData\Local\Temp\2\05ntoar0.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pizdasobaki@protonmail.com
BTC: 1NeJEFzY8PbVS9RvYPfDP93iqXxHjav791
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>  HA>>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >> VMR>>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 🎥 Video review >>

 - Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 CyberSecurity GrujaRS, Petrovic
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.