Major, Bmps

Major Ransomware 

Bmps Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Распространяется с помощью email-спама и вредоносных вложений из Польши. 

Обнаружения:
DrWeb -> Trojan.DownLoader27.37596, Trojan.Encoder.29643
BitDefender -> Generic.Ransom.WCryG.*
ALYac -> Trojan.Ransom.Major
Avira (no cloud) -> TR/FileCoder.ikyxv
Kaspersky -> Not-a-virus:HEUR:AdWare.Win32.Generic
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.MBT

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляются расширения: 
.major
.core
.cube
.mars
.legacy
.orion
.AIR
.ONIX

Фактически используется составное расширение по шаблону, который можно записать следующим образом: 
<original_filename>.<number_code{14-20}>.bmps@tutanota.com.major
<original_filename>.<ID>.bmps@tutanota.com.major
<original_filename>.<ID>.xlsx@tutanota.com.core

Примеры зашифрованных файлов:
IMG_123.jpg.15031736919164.bmps@tutanota.com.major
IMG_123.jpg.15031736919164.xlsx@tutanota.com.core


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец марта - начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Первые сообщения мы получили из Польши (расширение .major), Португалии (.core), Украины (.major). 

Записка с требованием выкупа называется: READ_ME.txt

Другие варианты зачем-то добавляли к записке используемое расширение: .major или .core
Таким образом записки принимали следующий вид. 
READ_ME.major
READ_ME.core

Текст записки при этом не шифруется. При этом в записке нет никакого ID. 
Вероятно, что вымогателям нужен зашифрованный файл для определения ключа. 

Часть записки с ошибками в двух словах была заимствована из Xorist-TaRoNiS Ransomware. Ниже в тексте слова с ошибками выделены красным цветом. 

Содержание записки о выкупе:
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted.
If you want to recover your encrypted files you need to follow a few steps.
You need to buy bitcoins and send them to the address you receive by mail.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site.You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
write to Google how to buy Bitcoin in your country?
in order to guarantee the availability of our key
we can decrypt one file for free
the size of the files <1 mb, doc.docx.xls.xlsx.pdf.jpg.bmp.txt file format
other formats will not be free decryption
after payment we will send a decryption program 
Do not try to decrypt your files with programs by the decoder, 
you will only damage your data and lose them forever.
Only we can decrypt your data, write to the original mails specified in this file,
otherwise you will become a victim of scammers.
Contact email address bmps@tutanota.com or bmps@protonmail.com

Перевод записки на русский язык:
ВНИМАНИЕ !!!
Мне очень жаль сообщать вам, что все ваши важные файлы зашифрованы.
Если вы хотите восстановить зашифрованные файлы, вам нужно сделать несколько шагов.
Вам надо купить биткоины и отправить их по адресу, который вы получите по почте.
Как получить биткоины
Самый простой способ купить биткоины - это сайт LocalBitcoins. Вам надо зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, чтобы купить биткоины и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
напишите в Google как купить биткоин в вашей стране?
чтобы гарантировать доступность нашего ключа
мы можем дешифровать один файл бесплатно, размер файлов <1 мб, doc.docx.xls.xlsx.pdf.jpg.bmp.txt. Другие форматы не будут бесплатными для дешифрования, после оплаты мы отправим программу дешифрования
Не пытайтесь расшифровать ваши файлы с помощью программ, декодер,
вы только повредите свои данные и потеряете их навсегда.
Только мы можем расшифровать ваши данные, пишите на оригинальные почты, указанные в этом файле, иначе вы станете жертвой мошенников.
Контактный email-адрес bmps@tutanota.com или bmps@protonmail.com

Другим информаторов жертвы выступает изображение, заменяющее обои Рабочего стола. На нем написан краткий текст записки о выкупе. 

Содержание текста: 
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted
Do not try to decrypt your files with programs by the decoder,
you will only damage your data and lose them forever.
Contact email address bmps@tutanota.com or bmps@protonmail.com


Перевод на русский язык:
ВНИМАНИЕ !!!
Мне жаль сообщать вам, что все ваши важные файлы зашифрованы
Не пытайтесь расшифровать ваши файлы программами, декодером,
вы только повредите свои данные и потеряете их навсегда.
Контакт email-адрес bmps@tutanota.com или bmps@protonmail.com

Технические детали

Распространяется с помощью email-спама и вредоносных вложений (tar, vbs) с польских email-адресов. Один их них указан ниже. 
Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Используется атака DDE (см. описание "атака DDE" в Глоссарии).
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
 cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
 bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures (PID: 3208)  
 cmd.exe /C bcdedit /set {default} recoveryenabled no
 bcdedit.exe bcdedit /set {default} recoveryenabled no
 cmd.exe /C wbadmin delete catalog -quiet
 wbadmin.exe wbadmin delete catalog -quiet
 cmd.exe /C vssadmin.exe delete shadows /all /quiet
 vssadmin.exe delete shadows /all /quiet
 cmd.exe /C bcdedit.exe /set {current} nx AlwaysOff
 bcdedit.exe /set {current} nx AlwaysOff
 cmd.exe /C wmic SHADOWCOPY DELETE
 WMIC.exe wmic SHADOWCOPY DELETE

➤ Ключ RSA целиком добавляется в конец зашифрованного файла. 

Список файловых расширений, подвергающихся шифрованию:
Многие популярные расширения. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
svchost.exe - вредоносный загрузчик
<random>.exe - случайное название вредоносного файла
faktura.tar - архив с вредоносным вложением
faktura_8800.vbs - вредоносное вложение (содержимое tar-архива)
PDB: WMIC.pdb, wscript.pdb

Содержимое файла faktura_8800.vbs

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://pizcheks.info/ (Швеция)
URL: xxxx://rinugsof.host/ (Финляндия)
Email-spam (malware): avuqywyhydoz1989@o2.pl
Email-1: bmps@tutanota.com, bmps@protonmail.com
Email-2: xlsx@tutanota.com
BTC: 3D3wASNpUKXU3WBs6qcKcyakQbCb9cpCF7
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>  +HA faktura_8800.tar{vbs} >>
𝚺  VirusTotal analysis >>  +VT faktura_8800.tar{vbs} >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Кажется самый ранний вариант:
25 марта 2019: 
Топик на форуме >>
Расширение: .core
Составное расширение: .<number_code{14}>.xlxs@tutanota.com.core
Пример расширения: .15033918869506.xlxs@tutanota.com.core
Записка: READ_ME.core

Обновление от 17 апреля 2019:
Расширение: .cube
Составное расширение: .<number_code{14}>.mikrotik@tutamail.com.cube
Записка: READ_ME.cube
Email: mikrotik@tutamail.com, paydear@aol.com

➤ Содержание записки: 
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted.
If you want to recover your encrypted files you need to follow a few steps.
You need to buy bitcoins and send them to the address you receive by mail.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site.You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
write to Google how to buy Bitcoin in your country?
in order to guarantee the availability of our key
we can decrypt one file for free
the size of the files <1 mb, doc.docx.xls.xlsx.pdf.jpg.bmp.txt file format
other formats will not be free decryption
after payment we will send a decryption program
Do not try to decrypt your files with programs by the decoder,
you will only damage your data and lose them forever.
Only we can decrypt your data, write to the original mails specified in this file,
otherwise you will become a victim of scammers.
Contact email address mikrotik@tutamail.com or paydear@aol.com



Обновление от 24 апреля 2019:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .mars
Составное расширение .15021807446840.rootcopper@tutanota.com.mars
Email: rootcopper@aol.com, rootcopper@tutanota.com, rootcopper@protonmail.com
Записка: READ_ME.mars

➤ Содержание записки:
All your important files are encrypted.
To recover encrypted files, you need:
1. Buy bitcoins. The easiest way to buy bitcoins is the LocalBitcoins site. You must register, click "Buy Bitcoins" and select a seller by payment method and price. https://localbitcoins.com/buy_bitcoins
You can also find other places to buy bitcoins and a beginner’s guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
write to google how to buy bitcoin in your country?
to guarantee the availability of our key
we can decrypt three files for free.
2. Send bitcoins to the address you receive in the mail. After payment, we will send a decryption program
Do not try to decrypt your files using third-party programs, decoders. You only damage your data and lose them forever.
Only we can decrypt your data!
Contact email address rootcopper@aol.com or rootcopper@tutanota.com or rootcopper@protonmail.com



Обновление от 29 мая 2019:
Пост в Твиттере >>
Расширение: .legacy
Составное расширение: .id-XXXXXXXXXXXXXX.nordfox@tutanota.com.legacy
Записка: READ_ME.txt
Email: nordfox@tutanota.com, nordfox@protonmail.com, nordfox@aol.com
Файл: ckoufc.exe
Результаты анализов: VT +  VMR

Обновление от 17 июня 2019:
Пост в Твиттере >>
Пост на форуме >>
Расширение: .orion
Составное расширение: 
Email: foxnitro@tutanota.com, foxnitro@aol.com, foxnitro@protonmail.comЗаписка: READ_ME.orion

➤ Содержание записки:
All your important files are encrypted.
To recover encrypted files, you need:
1. Buy bitcoins. The easiest way to buy bitcoins is the LocalBitcoins site. You must register, click "Buy Bitcoins" and select a seller by payment method and price. https://localbitcoins.com/buy_bitcoins
You can also find other places to buy bitcoins and a beginner’s guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
write to google how to buy bitcoin in your country?
to guarantee the availability of our key
we can decrypt three files for free.
2. Send bitcoins to the address you receive in the mail. After payment, we will send a decryption program
Do not try to decrypt your files using third-party programs, decoders. You only damage your data and lose them forever.
Only we can decrypt your data!
Contact email address foxnitro@tutanota.com foxnitro@aol.com foxnitro@protonmail.com



Обновление от 5 ноября 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .AIR
Составное расширение: .<id{20}>.ex_parvis@aol.com.AIR
Примеры зашифрованных файлов: Image_001.png.12781717671972518758.ex_parvis@aol.com.AIR
BOOTSECT.BAK.12781717671972518758.ex_parvis@aol.com.AIR

Мьютекс от ID (пример): 12781717671972518758
Записка: TRY_TO_READ.html

 

➤ Содержание HTML-записки:
Major
I am truly sorry to inform you that all your important files are crypted.
If you want to recover your encrypted files you need to follow a few steps. Do not try to decrypt your files with programs by the decoder
Do not try to decrypt your files with programs by the decoder you will only damage your data and lose them forever
Only we can decrypt your data, write to the original mails specified in this file, otherwise you will become a victim of scammers
Contact me on this email address ex_parvis@aol.com ex_parvis@tutanota.com ex_parvis@protonmail.com "
Here is you personal id, send it to us
yFIJ12Ri78mUtYGTPAhnRnljMrggyysqQ4qVpsLcjWlHWd3KsZq1laBF3kpafw1mwVx030tjNpukZfr+fTqKsX+*** (всего 1940 знаков)
v 1.0.1(old)

---

Также используется изображение, заменяющее обои Рабочего стола

---Домен: rinugsof.host
Адрес на домене: rinugsof.host/senior?bs=MTI3ODE3MTc2NzE5NzI1MTg3NTg7V2luZG93cyA3I*** (всего 124 знака)
Email: ex_parvis@aol.com, ex_parvis@tutanota.com, ex_parvis@protonmail.com
URL: rinugsof.host (США)
Результаты анализов: VT +  VMR + AR / VT + VMR
➤ Новые обнаружения: 
DrWeb -> Trojan.Encoder.29643
BitDefender -> Generic.Ransom.WCryG.4E19A59E
Malwarebytes -> Ransom.Major
ALYac -> Trojan.Ransom.Major
Avira (no cloud) -> HEUR/AGEN.1007081


Обновление от 27 января 2020:
Топик на форуме >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .ONIX
Составное расширение (шаблон): .<id{20}>.Ad_finem@tutanota.com.ONIX
Составное расширение (пример): .19892708981972527476.Ad_finem@tutanota.com.ONIX
Записка: TRY_TO_READ.html
Email: Ad_finem@tutanota.com, adfinem001@cock.li, Ad_finem001@protonmail.com
URL: rinugsof.host (США) и rinugsof.hostrinugsof.host (Франция)
URLs: xxxx://barclyonline.com
xxxxs://trk.yourmobistyle.com
xxxx://pastilon.com
xxxx://xxsxzw.info
xxxx://www.tagvault.org/
xxxx://www.interred.de/
xxxx://yourservice.live
Мьютексы: 19892708981972527476
IESQMMUTEX_0_208
DBWinMutex

Результаты анализов: VT + HA + AR + IA + IA + JSB
➤ Обнаружения: 
DrWeb -> Trojan.Siggen9.8998
BitDefender -> Generic.Ransom.WCryG.16001B58
ALYac -> Trojan.Ransom.Major
ESET-NOD32 -> A Variant Of Win32/Filecoder.NSN
Microsoft -> Ransom:Win32/Crowti.P!MSR
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Crowti.R002C0DAR20
---

 

➤ Содержание html-записки:
Onix
I am truly sorry to inform you that all your important files are crypted.
If you want to recover your encrypted files you need to follow a few steps. Do not try to decrypt your files with programs by the decoder
Do not try to decrypt your files with programs by the decoder you will only damage your data and lose them forever
Only we can decrypt your data, write to the original mails specified in this file, otherwise you will become a victim of scammers
Contact me on this email address Ad_finem@tutanota.com adfinem001@cock.li Ad_finem001@protonmail.com "
Here is you personal id, send it to us
5983722101972518758
1.0.3
---
Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола. Это белые буквы на чёрном фоне.

  

---
Результаты анализов: VT + VMR + AR

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet + myTweet
 ID Ransomware (ID as Major)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

DotNoData

DotNoData Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email, чтобы узнать, как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: ._Crypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _CRYPTED_README.html

Содержание записки о выкупе:
WARNING
ALL YOUR IMPORTANT FILES ARE ENCRYPTED
TO RECOVER YOUR FILES CONTACT US
E-mail : DotNoData@Tuta.io
YOUR ID : [ABCDEFGHIJKLMNOPQRSTU]
*** DO NOT RENAME OR CHANGE EXTENSION THE ENCRYPTED FILES ***
*** DO NOT EDIT THE ENCRYPTED FILES ***
*** DO NOT TRY TO DECRYPT YOUR DATA USING THIRD PARTY SOFTWARE, IT MAY CAUSE PERMANENT DATA LOSS ***
*** DO NOT RESTORE WINDOWS - FILES MAY BE DAMAGED ***
AS A PROOF WE CAN DECRYPT 3 FILES FOR FREE

Перевод записки на русский язык:
ПРЕДУПРЕЖДЕНИЕ
ВСЕ ВАШИ ВАЖНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
ЧТОБЫ ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ, СВЯЗЬ С НАМИ
E-mail: DotNoData@Tuta.io
ВАШ ID: [ABCDEFGHIJKLMNOPQRSTU]
*** НЕ ПЕРЕИМЕНОВЫВАЙТЕ И НЕ ИЗМЕНЯЙТЕ РАСШИРЕНИЕ ЗАШИФРОВАННЫХ ФАЙЛОВ ***
*** НЕ РЕДАКТИРУЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ ***
*** НЕ ПЫТАЙТЕСЬ РАСШИФРОВАТЬ ВАШИ ДАННЫЕ С ПОМОЩЬЮ СТОРОННИХ ПРОГРАММ, ЭТО МОЖЕТ ПРИВЕСТИ К ПОТЕРЕ ДАННЫХ ***
*** НЕ ВОССТАНАВЛИВАЙТЕ WINDOWS - ФАЙЛЫ МОГУТ ПОВРЕДИТЬСЯ ***
КАК ДОКАЗАТЕЛЬСТВО МЫ МОЖЕМ РАСШИФРОВАТЬ 3 ФАЙЛА БЕСПЛАТНО

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_CRYPTED_README.html
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: DotNoData@Tuta.io
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Pacman

Pacman Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .encrypted
Оно встраивается между именем и расширением зашифрованного файла по шаблону: <name>.encrypted.<extension>

Пример: document.txt -> document.encrypted.txt

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных и немецкоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с переключателем интерфейса на английском и немецком языках. :

Содержание текста с экрана:
[English] [Deutsch]
Sorry, your files have been eaten (encrypted) by Pacman
To decrypt your files, a fee paid in Bitcoin is required. Pacman will scan the Bitcoin Blockchain to check for your payment and automatically decrypt your files, after the payment has been made.
Amount USD [1500]
Amount BTC [0.2]
Bitcoin Address [17yKCVNb7EQQpr5ABKGcVpGSPVWFTxhReR]
[Check for payment]
Help
How to buy Bitcoin? (click) 
Further Assistance? Write to pacman.support@protonmail.com

Перевод текста на русский язык:
[Английский] [Немецкий]
Извините, ваши файлы съедены (зашифрованы) Pacman
Для расшифровки ваших файлов нужна плата в биткойнах. Pacman сканирует Биткоин Блокчейн, проверит ваш платеж, и автоматом расшифрует ваши файлы после сделанного платежа.
Сумма в $ США [1500]
Сумма в BTC [0,2]
Биткоин-адрес [17yKCVNb7EQQpr5ABKGcVpGSPVWFTxhReR]
[Проверка оплаты]
Помощь
Как купить биткоин? (клик)
Помощь после? Пишите на pacman.support@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: pacman.support@protonmail.com
BTC: 17yKCVNb7EQQpr5ABKGcVpGSPVWFTxhReR
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 ***
 

© Amigo-A (Andrew Ivanov): All blog articles.

Marozka

Marozka Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: Marozka. На файле написано: Marozka.exe.

© Генеалогия: HiddenTear >> Marozka

К зашифрованным файлам добавляется расширение: .Marozka

Этимология названия:
На сайте вымогателей написано, что это якобы сделали совместно российские и американские хакеры. В такой тандем не верится хотя бы потому, что в названии Marozka сделано сразу две ошибки. Правильный вариант, который бы написали даже самые малограмотные хакеры, назывался бы, как оригинальный кинофильм - "Морозко". Трудно найти российского и постсоветского человека, который сделал бы в названии сразу две ошибки. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец марта 2019 г. Штамп времени: 27 марта 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
All your information (documents, databases, backups and other files) this computer was encrypted using the most cryptographic algorithms.
All encrypted files are formatted .Marozka.
This form files '.Marozka' is a joint development ENGLISH and RUSSIAN Hackers.
You can only recover files using a decryptor and password, which, in turn, only we know.
It is impossible to pick it up.
Reinstalling the OS will not change anything.
No system administrator in the world can solve this problem without knowing the password
In no case do not modify the files! But if you want, then make a backup.
Drop us an email at the address silena.berillo@gmail.com
if within 12 hours you do not respond to hto2018@yandex.ru for further insertions
You have 24 hours left. If they are not decrypted then after 24 hours they will be removed!!!
You can also decrypt files automatically on our website
 https://proverka.host

Перевод записки на русский язык (грамотность оригинала!):
Вся ваша информация (документы, базы данных, резервные копии и другие файлы) этого компьютера была зашифрована с самыми криптографическими алгоритмами.
Все зашифрованные файлы отформатированы .Marozka.
Эта форма файлов '.Marozka* является совместной разработкой ENGLISH и RUSSIAN Hackers.
Вы можете восстановить файлы только с помощью расшифровщика и пароля, которые, в свою очередь, знаем только мы.
Это невозможно подобрать.
Переустановка ОС ничего не изменит.
Ни один системный администратор в мире не сможет решить эту проблему, не зная пароля
Ни в коем случае не изменяйте файлы! Но если хочешь, то сделай бэкап.
Напишите нам на email по адресу silena.berillo@gmail.com
если в течение 12 часов вы не ответите, то на hto2018@yandex.ru для дальнейших вставок
У вас осталось 24 часа. Если они не расшифрованы, то через 24 часа они будут удалены !!!
Вы также можете расшифровать файлы автоматически на нашем сайте
https://proverka.host

Другим информатором жертвы является изображение с текстом, заменяющее обои Рабочего стола. 

Рабочий стол после атаки Marozka Ransomware

Оригинальное изображение Marozka.jpg

Скриншоты с сайта MAROZKA-DECRYPTOR, где вымогатели предлагают купить дешифровщик, показывают напоминание вымогателей о том, что купить дешифровщик (декриптор) нужно в течение 24 часов. 

Содержание текст с этого сайта:
MAROZKA-DECRYPTOR
CAREFULLY READ THE INSTRUCTIONS BELOW. DECRYPTION COST IS $ 100.
YOU NEED TO HURRY
LET ME REMIND YOU HAVE 24 HOURS
CHOOSE ONE OF THE PROPOSED DECRYPTION METHODS 1.WRITE TO US 2.OR MAKE THE PAYMENT YOURSELF. INSTRUCTIONS BELOW.
Enter your name
Enter your E-mail
Computer name (C :\\'User'\)
 WRITE TO US
MAROZKA PROGRAM WAS DEVELOPED 
JOINTLY BY RUSSIAN AND AMERICAN DEVELOPERS
Only our program can decrypt files. 
Any independent attempts to decrypt files will delete them once and for all.
---
PAYMENT
Make a payment of 100 US dollars.
On the bitcoin wallet 1NKtjyNax9cQuMYxLXfHWEKwRHac6gTeHc
Then you will be given a program and a key.
---
PAYMENT PROCEDURE
When paying in the form of a comment, enter your email address (email), after successful payment the program and password will be sent to decrypt.
---
FILE DECRYPTION
Specify the received password after payment and press the button to decrypt the files. Then all files are decrypted.
---

You can also buy the source code of the programs by writing to us.


Сайт вымогателей hide-hide-hide.000webhostapp.com размещен на временном хостинге. Туда можно зайти и просмотреть все папки и файлы. 

 

 

Скриншоты с временного сайта вымогателей

Технические детали

Распространяется как фальшивый PDF-файл. Используются два сайта, один расположен на временном хостинге, другой специально зарегистрирован. 

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.001, .7-zip, .ace, .apk, .arj, .asp, .aspx, .avi, .bmp, .bz2, .c, .cab, .contact, .core, .cpp, .crproj, .cs, .csv, .dat, .db, .dll, .doc, .docx, .dwg, .exe, .f3d, .gzip, .htm, .html, .ico, .iso, .jar, .jpg, .lnk, .lzh, .mdb, .mkv, .mov, .mp3, .mp4, .mpeg, .mpg, .odt, .pas, .pdb, .pdf, .php, .png, .ppt, .pptx, .psd, .py, .rar, .rtf, .settings, .sln, .sql, .tar, .torrent, .txt, .uue, .xls, .xlsx, .xml, .xz, .z, .zip (67 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы контактов, ярлыки и пр.

Целевые директории для шифрования:
"Desktop"; "Links"; "Contacts"; "Documents"; "Downloads"; "Pictures"; "Music";  "OneDrive"; "Saved Games";  "Favorites"; "Searches"; "Videos"

Файлы, связанные с этим Ransomware:
Marozka.zip - файл находится на сайте
Marozka.exe - находится внутри архива
Marozka.jpg - загружается и устанавливается с сайта
HOW TO DECRYPT FILES.txt - записка о выкупе
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL декриптора: xxxxs://proverka.host/
URL вымогателей: xxxxs://hide-hide-hide.000webhostapp.com
URL изображения: xxxxs://hide-hide-hide.000webhostapp.com/hide/Marozka.jpg
Email: silena.berillo@gmail.com, hto2018@yandex.ru
BTC: 1NKtjyNax9cQuMYxLXfHWEKwRHac6gTeHc
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 🎥 Video review >>

 - Видеоролик от CyberSecurity GrujaRS

 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov (author)
 Thyrex
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

UNNAM3D

UNNAM3D Ransomware

(шифровальщик-вымогатель, rar-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель захватывает файлы пользователей и помещает их в защищенные паролем RAR-архивы, что обеспечивает им защищенность шифрованием AES, а затем требует выкуп в виде кода подарочной карты Amazon GiftCard на сумму $50, чтобы получить пароль архива и вернуть файлы. Оригинальное название: Unnam3d R@nsomeware. На файле написано: UNNAM3D - RANSM.exe. Разработчик: Unname3d в Discord. он же Joshhh b в YouTube. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К заблокированным файлам добавляется расширение: .rar


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину марта 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
-YOUR FILES HAVE BEEN LOCKED-
What Happend?
All your personal files have been locked and you need to pay a ransom to get them back. You will have 24 hours to pay nor the password will be deleted of our servers making it impossible to get your files back.
How do i pay?
You will need to send an message to the below discord with a $50 amazon giftcard code. Then you will shortley get an message back with  a password to unlock your files.
Discord: UNNAM3D#6666

Перевод записки на русский язык:
- ВАШИ ФАЙЛЫ ЗАБЛОКИРОВАНЫ-
Что случилось?
Все ваши личные файлы были заблокированы, и вам нужно заплатить выкуп, чтобы вернуть их. У вас будет 24 часа на оплату, а пароль с наших серверов не будет удален, что сделает невозможным получение ваших файлов обратно.
Как мне оплатить?
Вам нужно будет отправить сообщение на discord ниже с кодом подарочной карты Amazon на $50. Затем вы получите сообщение с паролем, чтобы разблокировать ваши файлы.
Discord: UNNAM3D#6666

Технические детали

Распространяется с помощью email-спама и вредоносных вложений. Рассылаемый email-спам называется электронной почтой от Adobe, в которой говорится, что Adobe Flash Player получателя устарел и нуждается в обновлении. Эти письма содержат ссылку на поддельное обновление Adobe Flash Player, которое устанавливает UNNAM3D Ransomware.

После запуска в системе UNNAM3D извлекает исполняемый файл WinRar.exe в папку %Temp% и выполняет команду %Temp%\WinRar.exe -m -r -p[password] [directory], чтобы переместить файлы в указанном каталог к ​​защищенному паролем архиву. 

В ходе этой операции вымогатель переместит файлы из папок "Документы", "Изображения" и "Рабочий стол" в свои собственные RAR-архивы с паролем. 

После завершения появится экран под названием Unnam3d - R@nsomware (см. выше). 

После модификации вполне может изменить метод распространения и начать распространяться с помощью обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
pictures.rar, documents.rar, desktop.rar - папки с файлами, помещенные в RAR-архив
UNNAM3D - RANSM.exe
winrar.exe - используемая копия архиватора WinRar
wallpaper.png, wallpaper.bmp - изображения, используемые для замены обоев Рабочего стола и пока в экране блокировки
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\winrar.exe
%TEMP%\wallpaper.png
%TEMP%\wallpaper.bmp
%APPDATA%\winrar\version.dat
%HOMEPATH%\pictures\pictures.rar
%HOMEPATH%\documents\documents.rar
%HOMEPATH%\desktop\desktop.rar
%APPDATA%\winrar\version.dat

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Discord: UNNAM3D#6666
YouTube-URL: xxxxs://www.youtube.com/channel/UC-A0Hd1YtwiVMx33pY7qI8g

См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>  VMR>>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.