Если вы не видите здесь изображений, то используйте VPN.

суббота, 27 апреля 2019 г.

Zeropadypt, Ouroboros

Zeropadypt Ransomware

Zeropadypt NextGen: 

Ouroboros (LimboCrypt, Lazarus, Lazarus+, Kronos, Angus, Unknown, Skynet, Rez, Codelocks, lol, hiddenhelp, James, Odveta, Ouchachia, Rails)


(фейк-шифровальщик, вымогатель-стиратель, деструктор) 

(шифровальщик-вымогатель в новых версиях) (первоисточник)
Translation into English


Этот крипто-вымогатель ничего не шифровал в первой версии, но заполняет содержимое файлов нулями, а затем требовал написать на email вымогателя, чтобы заплатить выкуп за то, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 

➤ В более новых версиях шифрование AES-256+RSA было реализовано в варианте Ouroboros (см. обновления после статьи). Среда разработки Ouroboros — Microsoft Visual C++.

Обнаружений для Zeropadypt ранних версий нет. 

Обнаружения для варианта Ouroboros:
DrWeb -> Trojan.Encoder.28894, Trojan.Encoder.29266, Trojan.Encoder.29641, Trojan.Encoder.29750, Trojan.Encoder.30519, Trojan.Encoder.30564, Trojan.Encoder.30845
BitDefender -> Generic.Ransom.Ouroboros.*, Trojan.GenericKD.41540786, DeepScan:Generic.Ransom.Ouroboros.*, Gen:Heur.Ransom.Imps.3, Generic.Ransom.Ouroboros.*
ALYac -> Trojan.Ransom.Ouroboros, Gen:Heur.Ransom.Imps.3
Malwarebytes -> Ransom.Ouroboros
Symantec -> ML.Attribute.HighConfidence, Trojan.Gen.MBT
VBA32 -> BScope.Trojan.DelShad

© Генеалогия (сходство): 0kilobypt и похожие >> Zeropadypt > Zeropadypt NextGen (Ouroboros) > другие > Vash-Sorena, VoidCrypt, Void NextGen, Spyro


Изображение — логотип статьи

Этимология названия: 
Оригинальное название неизвестно. Я дал название от "zero padded" или "zero padding" (дополненный нулями, заполнение нулями) + слово "crypt". 
В итоге: zero + pad + (cr)ypt = ZeroPadypt
Шифрования в первом варианте не было, поэтому, по традиции, слово "crypt" обрезается до "ypt".
См. в Дайджесте также: 0kilobypt RansomwareOrdinypt Ransomware, названные по той же схеме. 

К зашифрованным файлам в первых версиях вместо расширения добавлялось недорасширение: [id=xxxxxxxxxx][Email=asmo49@asmodeus.us]

Это недорасширение состоит из двух частей: 
[id=xxxxxxxxxx] - ID пострадавшего, в примере [id=aa47s5dnus]
[Email=asmo49@asmodeus.us] - email вымогателя


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ-Me-Now.txt


Содержание записки о выкупе:
Your All Files Encrypted 
For Decrypt Your Data Contact Me: asmo49@asmodeus.us 
Your ID for Decryption: r4o7x*****
If You Try Decrypt your file and damage it is Gonna Cost You more Price to Decrypt 
you can Send 1MB Data For Decryption Test    


Перевод записки на русский язык:
Ваши все файлы зашифрованы
Для расшифровки ваших данных пишите мне: asmo49@asmodeus.us
Ваш ID для расшифровки: r4o7x*****
Если вы попытаетесь расшифровать ваш файл и повредите его, это будет стоить вам дороже, чем расшифровать 
вы можете отправить 1 МБ данных для тест-расшифровки



Технические детали

Часто распространяется как активатор к MS Office, ОС Windows и прочие. Это может быть файл Activator_Office.exe или что-то в этом роде. 
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.


Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск.
➤ Подробнее о файлах, заполненных нулями. 
 
Файл изображения не изменил размер до нулевого, а стал больше на 1025 байт. В hex-редакторе выглядит как пустой. 
 
Файл записки не изменил размер до нулевого, но тоже стал больше на 1025 байт. В hex-редакторе выглядит как пустой. 

На затронутом компьютере файлы можно восстановить из предыдущих версих файлов. Уплата выкупа бесполезна! 

Список файловых расширений, подвергающихся поврежеднию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ-Me-Now.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: asmo49@asmodeus.us
BTC: -
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Использует сервисы определения IP-адресов:
xxxx://www.sfml-dev.org/ip-provider.php

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Zeropadypt Ransomware - апрель 2019
Ouroboros Ransomware: Limbo (LimboCrypt) Ransomware - июнь-июль 2019 
Ouroboros Ransomware: Lazarus, Lazarus+  - август-сентябрь 2019 
Ouroboros Ransomware: KRONOS - сентябрь-октябрь 2019
Ouroboros Ransomware: Angus, Unknown, Skynet, Rez, Codelocks, lol, hiddenhelp, James 
Ouroboros Ransomware v6: odveta, rx99 - октябрь-декабрь 2019
Ouroboros Ransomware v7odveta - январь 2020




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 24 июня 2019:

Топик на форуме >>
Расширение: .limbo
Составное расширение: .[id=lz4ac3t***][Mail=legion.developers72@gmail.com].limbo
Записка: Read-Me-Now.txt
Email: legion.developers72@gmail.com
➤ Содержание записки: Your All Files Encrypted 
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test 
Your ID For Decryption:lz4ac3t***
Contact Us: legion.developers72@gmail.com
В этом варианте заполнение файла нулями неполное. Шифрование теперь присутствует. 
Вероятно, задача заполнения нулями не была выполнена до конца. 


Обновление от 17 июля 2019:
Файлы зашифрованы. 
Топик на форуме >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .limbo
Пример зашифрованного файла: Picture.jpg.[id=CRzj7w6liG][mail=BackFileHelp@protonmail.com].limbo
Шаблон зашифрованного файла: .[id=XXXXXXXXXX][mail=BackFileHelp@protonmail.com].limbo
Записка: Read-Me-Now.txt
Email: BackFileHelp@protonmail.com
Файлы: Ouroboros_en.exe, Ouroboros_en.pdb
Результаты анализов: VT + HA + AR
➤ Содержание записки: 
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:
Contact Us: BackFileHelp@protonmail.com

Обновление от 25 июля 2019:
Топик на форуме >>
Расширение: ???
Записка: Read-Me-Now.txt
Email: dcyptfils@protonmail.ch
➤ Содержание записки: 
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools   Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:cad3IrmHfG
Contact Us: dcyptfils@protonmail.ch


Обновление от 5 августа 2019:
Файлы заполнены нулями.
Записка: Read-Me-Now.txt
Текст в записке теперь дублируется в экране блокировки. 
Email: letitbedecryptedzi@gmail.com
➤ Содержание текста с экрана блокировки: 
Your Files Has Been locked
If You Need Your Files
You Should Pay Decryption Fee
You Can Send 1MB File For Being Sure Your Data Can Be Decrypted
If You Try to Decrypt Your Files With 3rd Party Applications
You May Damage Your Files And Decryption Fee will Be Double
Your ID: **********
Contact us for Decryption : letitbedecryptedzi@gmail.com

Обновление от 5 августа 2019:
Файлы зашифрованы. Нулей больше нет. 
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: Picture.jpg.[ID=SbPOa46zNc][Mail=RECOVERUNKNOWN@protonmail.com].Lazarus
Шаблон зашифрованного файла: .[id=XXXXXXXXXX][mail=BackFileHelp@protonmail.com].limbo
Записка: Read-Me-Now.txt
В некоторых случаях записка также может быть зашифрована. 
Email: RECOVERUNKNOWN@protonmail.com
➤ Содержание записки:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools   Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:SbPOa46zNc
Contact Us: RECOVERUNKNOWN@protonmail.com

Обновление от 14 августа 2019:
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: Picture.jpg.[ID=m5jfPTUZ0I][Mail=Helpcrypt1@tutanota.com].Lazarus
Записка: Read-Me-Now.txt
Email: Helpcrypt1@tutanota.com


Обновление от 16 августа 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: Picture.jpg.[ID=PdlZmTcS4u][Mail=letitbedecryptedzi@gmail.com].Lazarus
Записка: Read-Me-Now.txt
Текст в записке теперь дублируется в экране блокировки. 
Email: letitbedecryptedzi@gmail.com
Файлы: letitbedecryptedzi.exe, Ouroboros_en.pdb
Штамп времени: 2 августа 2019.
Результаты анализов: VT + AR




Обновление от 17 августа 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: 
filename.[ID=XXXXXXXXXX][Mail=DecrypterSupport@protonmail.com].Lazarus
Записка:Read-Me-Now.txt
Email: DecrypterSupport@protonmail.com
Результаты анализов: VT + VMR + AR


Обновление от 18 августа 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=unlockme123@protonmail.com].Lazarus
Записка: Read-Me-Now.txt
Файл: unlockme123@protonmail.com.exe
Местонахождение: 
C:\Users\User\AppData\Local\Temp\unlockme123@protonmail.com.exe
Результаты анализов: VT + AR

Обновление от 19 августа 2019: 
Расширение: .Lazarus
Пример составного расширения6 .[ID=6UcENb3ezh][Mail=letitbedecryptedzi@gmail.com].Lazarus
Email: letitbedecryptedzi@gmail.com
Записка: Read-Me-Now.txt
➤ Содержание записки:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools   Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:5CMOvsk***
Contact Us: letitbedecryptedzi@gmail.com

Обновление от 27 августа 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=Mr.TeslaBrain@gmail.com].Lazarus
Email: Mr.TeslaBrain@gmail.com
Распространяется как активатор для MS Office. 
Результаты анализов: VT + HA



Обновление от 27 августа 2019:
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=Dataadecrypt@Cock.li].Lazarus
Email: Dataadecrypt@Cock.li


Обновление от 1 сентября 2019:
Пост в Твиттере >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=decryp7@foxmail.com].Lazarus
Email: decryp7@foxmail.com


Обновление от 8-10 сентября 2019:
Пост на форуме >>
Расширение: .Lazarus
Шаблон зашифрованного файла: .[ID=XXXXXXXXXX][Mail=Decryptions@protonmail.com].Lazarus
Пример зашифрованного файла: RestSharp.xml.[ID=20JFkhKlzu][Mail=Decryptions@protonmail.com].Lazarus
Email: Decryptions@protonmail.com
Записка: Read-Me-Now.txt
➤ Содержание записки:
Your All Files Encrypted With High level Cryptography Algorithm
If You Need Your Files You Should Pay For Decryption
You Can Send 1MB File For Decryption Test To Make Sure Your Files Can Be Decrypted 
After 48 hour If You Dont contact us or use 3rd party applications or recovery tools   Decryption fee will Be Double
After Test You Will Get Decryption Tool 
Your ID For Decryption:20JFkhK***
Contact Us: Decryptions@protonmail.com


Обновление от 11 сентября 2019:
Пост на форуме >>
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: .[ID=XXXXXXXXXX][Mail=ScorpionEncryption@protonmail.com].Lazarus
Email: ScorpionEncryption@protonmail.com

Обновление от 13 сентября:
Пост на форуме >>
Расширение: .Lazarus+ 
Пример зашифрованного файла: .[ID=EO1Qqcm2lM][Mail=FilesHelp@tutanota.com].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: FilesHelp@tutanota.com
➤ Содержание записки:
Your Files Have Been Encrypted With High Level Cryptography Algorithm
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or  DECRYPTION_GUIDANCE.TXT Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or  Recovery Tools May Damage Your Files permanetly 
 Your ID :EO1Qqcm***
 Our Email: FilesHelp@tutanota.com
 You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 16 сентября:
Пост на форуме >>
Расширение: .Lazarus+ 
Пример зашифрованного файла: Image.jpg.[ID=Au2Wegh***][Email=jacdecr@tuta.io].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: jacdecr@tuta.io

Обновление от 16 сентября:
Пост на форуме >>
Расширение: .Lazarus
Пример зашифрованного файла: Image.jpg.[ID=flKR3NGHuw][Mail=Steven77xx@protonmail.com].Lazarus
Email: Steven77xx@protonmail.com

Обновление от 17 сентября:
Пост на форуме >>
Расширение: .Lazarus+ 
Пример зашифрованного файла: Image.jpg.[ID=u2WegAh***][Email=Rezcrypt@cock.li].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: Rezcrypt@cock.li
➤ Содержание записки:
Your Files Have Been Encrypted With High Level Cryptography Algorithm
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or  DECRYPTION_GUIDANCE.TXT Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or  Recovery Tools May Damage Your Files permanetly 
 Your ID :EQqO2ml***
 Our Email: Rezcrypt@cock.li
 You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 17 сентября:
Пост на форуме >>
Новый формат добавляемого расширения:
Шаблон: .Email=(<email>)ID=.<random{15-17}>
Примеры: 
.Email=(legion.developers72@gmail.com)ID=.2JyLcseQVbaIXGi
.Email=(SuckBaBe@Rape.LoL)ID=.3NlgpjA6iOruxby
.Email(legion.developers72@gmail.com)(ID=.2JyLcseQVbaIXGi
.Email(SuckBaBe@Rape.LoL)(ID=.0WgxQvyj8XOTlE3

Обновление от 18 сентября:
Расширение: .Lazarus+ 
Пример зашифрованного файла: Image.jpg.[ID=mdP6RrqEFX][Mail=Mr.TeslaBrain@gmail.com].Lazarus+
Записка: DECRYPTION_GUIDANCE.TXT
Email: Mr.TeslaBrain@gmail.com
➤ Содержание записки:
Your Files Have Been Encrypted With High Level Cryptography Algorithm
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or  DECRYPTION_GUIDANCE.TXT Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or  Recovery Tools May Damage Your Files permanetly 
 Your ID :mdP6R*****
 Our Email: Mr.TeslaBrain@gmail.com
 You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 22 сентября:
Пост на форуме >>
Расширение: .KRONOS
Составное расширение: .Email=[jacdecr@tuta.io]ID=[OQ0U8dJHt23zahK].KRONOS
Шаблон расширения: .Email=[<email>]ID=[<id>].KRONOS
Пример зашифрованного файла: Image.jpg.Email=[jacdecr@tuta.io]ID=[OQ0U8dJHt23zahK].KRONOS
Записка: HowToDecrypt.txt
Email: jacdecr@tuta.io
➤ Содержание записки:
Your Files Have Been Encrypted 
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or  HowtoDecrypt.txt Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or  Recovery Tools May Damage Your Files permanetly 
 Your ID :OQ0U8dJHt23z***
 Our Email: jacdecr@tuta.io
 You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 25 сентября:
Пост на форуме >>
Расширение: .KRONOS или .kronos
Составное расширение: .Email=[Mr.TeslaBrain@gmail.com]ID=[pUTxt45EeSBMs8L].KRONOS
Шаблон расширения: .Email=[<email>]ID=[<id>].KRONOS
Пример зашифрованного файла: Image.jpg.Email=[Mr.TeslaBrain@gmail.com]ID=[pUTxt45EeSBMs8L].KRONOS
Записка: HowToDecrypt.txt
Email: Mr.TeslaBrain@gmail.com

Обновление от 29 сентября 2019:
Пост в Твиттере >>
Расширение: .KRONOS
Составное расширение: .Email=[Rezcrypt@cock.li]ID=[<id>].KRONOS
Пример зашифрованного файла: Image.jpg.Email=[Rezcrypt@cock.li]ID=[asWU0qXwntBRVlh].KRONOS
Записка: HowToDecrypt.txt
Email: Rezcrypt@cock.li
Файл EXE: Rezcrypt@cock.li_Kronos.exe
Файл проекта: motherfucker.pdb
Результаты анализов: VT + HA + IA + AR

Обновление от 1 октября 2019:
Пост в Твиттере >>
Расширение: .Angus
Составное расширение: .Email=[Legion.developers72@gmail.com]ID=[<id>].Angus
Пример зашифрованного файла: Image.jpg.Email=[Legion.developers72@gmail.com]ID=[RuJays3FTQ4P2gq].Angus
Записка: HowToDecrypt.txt
Email: Legion.developers72@gmail.com
Результаты анализов: VT + AR + IA + HA
Использует сайт www.sfml-dev.org/ip-provider.php для определения IP компьютера.
Файл проекта: D:\kronos+\motherfucker\Release\motherfucker.pdb
➤ Содержание записки:
Your Files Have Been Encrypted
If You Need Your Files You Should Pay Decryption Price
The Steps For Getting Decryption Tool :
1-Send Id On The Files Or HowtoDecrypt.txt Files to Our Email
2-Send 1MB File For Getting Decryption Test to Make Sure You Can Get Your Files Back With Us(The Test File Should Not Contain Valuable Data Like Databases Excel Sheets or Backups)
3- Pay Decryption Price ( Payment Should Be With Bitcoin )
4- Get Decryption Tool With Key
Attention:
Using 3rd Party Applications or Recovery Tools May Damage Your Files permanetly
Your ID : *****


Обновление от 2 октября 2019:
Пост на форуме >>
Расширение: .KRONOS
Составное расширение: .Email=[decryptfiles@horsefucker.org]ID=[<id>].KRONOS
Пример зашифрованного файла: Image.jpg.Email=[decryptfiles@horsefucker.org]ID=[ArL7Yv1EtQi5HRn].KRONOS
Email: decryptfiles@horsefucker.org

Обновление от 8 октября 2019:
Пост на форуме >>
Другие расширения:
.Email=[<email>]ID=[<id>].Unknown
.Email=[<email>]ID=[<id>].Skynet
.Email=[<email>]ID=[<id>].Rez
.Email=[<email>]ID=[<id>].Codelocks

Обновление от 8 октября 2019:
Пост на форуме >>
Расширение: .lol
Составное расширение: .Email=[Datarest0re@aol.com]ID=[<id>].lol
Пример зашифрованного файла: Image.jpg.Email=[Datarest0re@aol.com]ID=[mHYdZEKBMUqbaCs].lol
Email: Datarest0re@aol.com, Datarest0re@protonmail.com 
Jabber: datarest0re@xmpp.jp
Записка: HowToDecrypt.txt
➤ Содержание записки:
Your ID :mHYdZEKBMUqbaCs
 Our Email: Datarest0re@aol.com
in case of no answer contact : Datarest0re@protonmail.com
 jabber id:datarest0re@xmpp.jp
 You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 8 октября 2019:
Расширение: .hiddenhelp
Составное расширение: .Email=[Hiddenhelp@cock.li]ID=[<id>].hiddenhelp
Пример зашифрованного файла: Image.jpg.Email=[Hiddenhelp@cock.li]ID=[KXM5ZYgE4BisA9L].hiddenhelp
Email: Hiddenhelp@cock.li

Обновление от 10 октября 2019:
Email: legion.developers72@gmail.com, decodehelp@cock.li  
➤ Содержание записки:
All Your Files Has Been Locked
They Cant Get Restore or Decrypted Without Decryption Key + Tool
You Have 2days to Decide to Pay 
after 2 Days Decryption Price will Be Double
And after 1 week it will be triple Try to Contact late and You will know
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
The Payment Should Be with Cryptocurrencies Like Bitcoin(BTC) Send Email to Know the Price And Do an Agreement
Our Email: legion.developers72@gmail.com
in Case of No Answer: decodehelp@cock.li
Your Id: XXXXXXXXXXXXXXX
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 11 октября 2019: 
Статус: файлы можно расшифровать. 
Топик на форуме >>
Пост в Твиттере >>
Расширение: .James
Составное расширение: Email=[RestoreData@airmail.cc]ID=[XXXXXXXXXXXXXXX].James
Записка: HowToDecrypt.txt
Экран блокировки с сообщением >>
 
Email: RestoreData@airmail.cc
Файл EXE: uiapp.exe
Результаты анализов: VT + IA + AR
Видеообзор с требованиями выкупа:


Обновление от 11 октября 2019:
Статус: файлы не расшифровать. 
Идентификация в IDR: Ouroboros v6
Пост в Твиттере >>
Топик на форуме >>
Пост на форуме >>
Шифрование: RSA+AES 256 GCM
Расширение: .odveta
Составное расширение: .Email=[fixallfiles@tuta.io]ID=[<id>].odveta
Пример зашифрованного файла: Image.jpg.Email=[fixallfiles@tuta.io]ID=[YE1GTCOVQZNRXDW].odveta
Записка: HowToDecrypt.txt
Email: fixallfiles@tuta.io
➤ Содержание записки:
All Your Files Has Been Locked
They Cant Get Restore or Decrypted Without Decryption Key + Tool
You Have 2days to Decide to Pay 
after 2 Days Decryption Price will Be Double
And after 1 week it will be triple Try to Contact late and You will know
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
The Payment Should Be with Cryptocurrencies Like Bitcoin(BTC) Send Email to Know the Price And Do an Agreement
Our Email: fixallfiles@tuta.io
Your Id: XXXXXXXXXXXXXXX
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins

Обновление от 12 октября 2019:
Расширение: .odveta
Составное расширение (шаблон): .Email=[Recoveryhelp2019@protonmail.com]ID=[XXXXXXXXXXXXXXX].odveta
Пример: .Email=[Recoveryhelp2019@protonmail.com]ID=[MQ7UZHVY82XCJ3B].odveta
Email: Recoveryhelp2019@protonmail.com

Записка: ???
Файл: out.exe
Результаты анализов: VT
Обнаружения: 
DrWeb -> Trojan.Encoder.29750
BitDefender -> DeepScan:Generic.Ransom.Ouroboros.*
ALYac -> Trojan.Ransom.Ouroboros
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.D
Malwarebytes -> Ransom.Ouroboros
Rising -> Ransom.Crypren!8.1D6C (CLOUD)
TrendMicro -> Ransom_Crypren.R002C0WJD19

Tencent -> Malware.Win32.Gencirc.10b88dff

Обновление от 26 октября 2019: 
Пост в Твиттере >>
Расширение: .Lazarus+
Пример зашифрованного файла: Image.jpg.[ID=XXXXXXXXXX][Mail=leltitbedecrypteddzi@gmail.com].Lazarus+
Записка: DECRYPTION_GUIDANCE.txt
Email: leltitbedecrypteddzi@gmail.com
Результаты анализов: VT + VMR

Обновление от 2 ноября 2019:
Записка: HowToDecrypt.txt
Email: blackroot54@protonmail.com, recovery94@cock.li



Обновление от 6 ноября 2019:
Топик на форуме >>
Расширение: .odveta
Составное расширение: .Email=[Datarest0re@aol.com]ID=[8NTGF30V4PUK***].odveta
Email: Datarest0re@aol.com

Обновление от 11 ноября 2019 или раньше:
Пост на форуме >>
Расширение: .odveta
Составное расширение: .Email=[Mr.TeslaBrain@protonmail.com]ID=[PJBVFUMYG54D***].odveta
Записка: Unlock-Files.txt
Email: Mr.TeslaBrain@protonmail.com, teslabrain@cock.li 
➤ Содержание записки:
All Your Files Has Been Locked
They Cant Get Restore or Decrypted Without Decryption Key + Tool
You Have 2days to Decide to Pay 
after 2 Days Decryption Price will Be Double
And after 1 week it will be triple Try to Contact late and You will know
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
The Payment Should Be with Cryptocurrencies Like Bitcoin(BTC) Send Email to Know the Price And Do an Agreement
Our Email: Mr.TeslaBrain@protonmail.com
in Case of No Answer Contact : teslabrain@cock.li 
Your Id: PJBVFUMYG54D***
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins


Обновление от 18 декабря 2019:
Топик на форуме >>
Расширение: .rx99
Пример зашифрованного файла: image001.png.Email=[filedownload2020@protonmail.com]ID=[GTLBXNIVTRSBVESAJAFH].rx99
Email: filedownload2020@protonmail.com, rx99@cock.li 
Записка: How_to_Unlock-Files.txt
➤ Содержание записки: 
All Your Files Has Been Locked! 
If you think you can decrypt the files we would be happy :)
But All of your files were protected by a strong encryption with AES RSA 256 (Private ransomware) using rx99 ransomware
What does this mean ? 
This means that the structure and data within your files have been irrevocably changed,  
you will not be able to work with them, read them or see them, 
it is the same thing as losing them forever, but with our help, you can restore them. 
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool 
Your unique Id : GTLBXNIVTRSBVESAJAFH
Contact : filedownload2020@protonmail.com or rx99@cock.li 
What are the guarantees that I can decrypt my files after paying the ransom? 
Your main guarantee is the ability to decrypt test files. 
This means that we can decrypt all your files after paying the ransom. 
We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business. 
You Have 2days to Decide to Pay 
after 2 Days Decryption Price will Be Double 
And after 1 week it will be triple Try to Contact late and You will know 
Therefore, we recommend that you make payment within a few hours. 
You Can Learn How to Buy Bitcoin From This links Below 
https://localbitcoins.com/buy_bitcoins 
https://www.coindesk.com/information/how-can-i-buy-bitcoins


=== 2020 ===

Обновление от 1 января 2020:
Пост в Твиттере >>
Расширение: .odveta
E-mail: TeslaBrain@cock.li, Mr.TeslaBrain@protonmail.com
Результаты анализов: VT + VMR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30519
BitDefender -> Generic.Ransom.Ouroboros.86DDF22C
ALYac -> Trojan.Ransom.Ouroboros
Microsoft -> Ransom:Win32/Ouroboros.PA!MTB
Tencent -> Win32.Trojan.Filecoder.Edni
TrendMicro -> Ransom_Ouroboros.R002C0DAT20

Обновление от 22 января 2020: 
Пост в Твиттере >>
Расширение: .odveta
Составное расширение: .Email=[RestoreData@airmail.cc]ID=[F02KHQJL6G41STN].odveta
Записка: Unlock-Files.txt
Email: RestoreData@airmail.cc
Результаты анализов: VT + HA + IA + AR


Обновление от 24 января 2020: 
Предположительное родство. Формат зашифрованного файла отличается. 
Пост в Твиттере >>
Расширение: .Bitdefender
Составное расширение: .Email=[Bitdefender2020@cock.li].Bitdefender
Email: Bitdefender2020@cock.li


Обновление от 27 января 2020: 
Ouroboros v7: дата компиляции 13 января 2020. 
Идентификация в IDR: Ouroboros v6.
Пост в Твиттере >>
Расширение: .odveta
Составное расширение: .Email=[Honeylock@protonmail.com]ID=[NXQH26TM7KZ1***].odveta
Записка: Unlock-Files.txt
Email: Honeylock@protonmail.com
Специальные файлы: ids.txt, Pkey.txt
Файл проекта: D:\Ouroboros v7\Ouroborosv7\Release\Ouroborosv7.pdb
Файл: ZX.exe
Результаты нализов: VT + AR + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30564
BitDefender -> Generic.Ransom.Ouroboros.B486E52D
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.D
---
➤Другие Email:
AdvancedBackup@protonmail.com 
recover85@protonmail.com
unlock0101@protonmail.com
rdpmanager@airmail.cc


Обновление от 31 января 2020: 
Ouroboros v7: дата компиляции 28 января 2020. 
Идентификация в IDR: Ouroboros v6.
Пост в Твиттере >>
Расширение: .odveta
Составное расширение: .Email_[SupportOdveta@protonmail.com]ID_[XXXXXXXXXXXXXXX].odveta
Записка: Unlock-Files.txt
Email: SupportOdveta@protonmail.com, SupportOdveta@elude.in
Специальные файлы: ids.txt, Pkey.txt
Файл проекта: D:\Ouroboros v7\Ouroborosv7\Release\Ouroborosv7.pdb
Результаты анализов: VT + AR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30845
BitDefender -> Generic.Ransom.Ouroboros.15155BA0
Microsoft -> Ransom:Win32/Ouroboros.PA!MTB
ESET-NOD32 -> A Variant Of Win32/Filecoder.Ouroboros.D
Symantec -> ML.Attribute.HighConfidence


Обновления от 2 февраля 2020: 
Ouroboros v7. Идентификация в IDR: Ouroboros v6.
Расширение: .odveta
Составное расширение: .Email=[js3010@rape.lol]ID=[XXXXXXXXXXXXXXX].odveta
Другой вариант: .Email=[Honeylock@protonmail.com]ID=[XXXXXXXXXXXXXXX].odveta
Email: js3010@rape.lol
Другой Email: Honeylock@protonmail.com
Результаты анализов: VT + VT

Обновление от 4 февраля 2020:
Пост в Твиттере >>
Расширение: .Ouchachia
Составное расширение (шаблон): .Email=[softs98@protonmail.com]ID=[<id{20}>].Ouchachia
Составное расширение (пример): .Email=[softs98@protonmail.com]ID=[EWTETYHUGCFMBIFWVSTU].Ouchachia
Записка: How_to_Unlock_Files.txt
Email: softs98@protonmail.com, rx99@cock.li
Результаты анализов: VT
Фактически, это уже Sorena Ransomware и надо делать отдельную статью. 
 
➤ Содержание записки:
All Your Files Has Been Locked! 
If you think you can decrypt the files we would be happy :)
But All of your files were protected by a strong encryption with AES RSA 256 using Ouchachia virus. 
What does this mean ? 
This means that the structure and data within your files have been irrevocably changed,  
you will not be able to work with them, read them or see them, 
it is the same thing as losing them forever, but with our help, you can restore them. 
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool 
Your unique Id : EWTETYHUGCFMBIFWVSTU
Contact : softs98@protonmail.com or rx99@cock.li or http://t.me/Ouchachia 
What are the guarantees that I can decrypt my files after paying the ransom? 
Your main guarantee is the ability to decrypt test files. 
This means that we can decrypt all your files after paying the ransom. 
We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business. 
You Have 2days to Decide to Pay 
after 2 Days Decryption Price will Be Double 
And after 1 week it will be triple Try to Contact late and You will know 
Therefore, we recommend that you make payment within a few hours. 
What happens after the ransom is paid? 
You get a compact file from us running on your server 
And everything will return to its original state and you will not need to switch servers 
We will respect the agreement we reached with you 
If you do not find an answer from us please refer to our telegram address The email may be unavailable http://t.me/Ouchachia 
We are not cyber criminals, we only use our talent for cyber security and get paid for it. 
You Can Learn How to Buy Bitcoin From This links Below 
https://localbitcoins.com/buy_bitcoins 
https://www.coindesk.com/information/how-can-i-buy-bitcoins


Обновление от 26 февраля 2020: 
Ouroboros v7. Идентификация в IDR: Ouroboros v6.
Расширение: .odveta
Составное расширение (шаблон): .Email=[josefrendal797@gmail.com]ID=[XXXXXXXXXXXXXXX].odveta
Пример такого расширения: .Email=[josefrendal797@gmail.com]ID=[705F8261Y4DERUN].odveta
Email: josefrendal797@gmail.com

Обновление от 29 февраля 2020: 
Пост в Твиттере >>
Расширение: .rails
Составное расширение (шаблон): .Email=[tools1990m@gmail.com]ID=[XXXXXXXXXXXXXXX].rails
Пример такого расширения: .Email=[tools1990m@gmail.com]ID=[705F8261Y4DERUN].rails
Записка: How_to_Unlock_Files.txt
Email: tools1990m@gmail.com
Telegram: http://t.me/File001
Видео: https://www.youtube.com/watch?v=_TZ6Ytab2Pg
Результаты анализов: VT + VT
Фактически, это уже Sorena Ransomware и надо делать отдельную статью. 
➤ Обнаружения: 
Malwarebytes -> Ransom.Sorena.GO
DrWebTrojan.MulDrop11.48709
BitDefender -> Gen:Variant.Ursu.747827
ESET-NOD32 -> A Variant Of Win64/Filecoder.AY
Rising -> Trojan.Filecoder!8.68 (CLOUD)
SymantecTrojan.Gen.MBT
 
➤ Содержание записки:
All Your Files Has Been Locked!
If you think you can decrypt the files we would be happy :)
But All of your files were protected by a strong encryption with AES RSA 256 using rails virus,
Video Decrypt: https://www.youtube.com/watch?v=_TZ6Ytab2Pg
What does this mean ?
This means that the structure and data within your files have been irrevocably changed,
you will not be able to work with them, read them or see them,
It is the same thing as losing them forever, but with our help, you can restore them.
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
Your unique Id : MAHHWVKVABTPFDLDH***
Contact : toolsl990m@gmail.com or http://t.me/File001
What are the guarantees that I can decrypt my tiles after paying the ransom?
Your main guarantee is the ability to decrypt test files.
This means that we can decrypt all your files after paying the ransom.
We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business.
You Have 2days to Decide to Pay
after 2 Days Decryption Price will Be Double
And after I week it will be triple Try to Contact late and You will know
Therefore, we recommend that you make payment within a few hours.
Warning : If you email us late You may miss the Decrypt program Because our emails are blocked quickly So it is better as soon as they read email Email us :)
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins


Обновление от 4 марта 2020:
Пост в Твиттере >>
Расширение: .vash
Составное расширение (шаблон): .Email=[vashmail@protonmail.com]ID=[***].vash
Записка: Unlock_Files.txt
Email: vashmail@protonmail.com, vashmail@ctemplar.com, vashmail@firemail.cc, VASHMAIL@KEEMAIL.ME 
➤ Содержание записки: 
All Your Files Has Been Locked!
If you think you can decrypt the files we would be happy :)
But All of your files were protected by a strong encryption with AES RSA 256 using vash virus.
For Trust You can Send us Test Files And We Decrypt That And Send To You.
Short video on how to decrypt files: https://www.youtube.com/watch?v=2q9C6chiqs4
What does this mean ?
This means that the structure and data within your files have been irrevocably changed,
you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.
You Can Send some Files that not Contains Valuable Data To make Sure That Your Files Can be Back with our Tool
Your unique Id : [redacted uppercase 20 alpha]
The first email may not be available so send a message to all the following emails
Contact us : vashmail@protonmail.com vashmail@ctemplar.com vashmail@firemail.cc VASHMAIL@KEEMAIL.ME 
You don't pay a lot of money, you just pay for a good security issue so be happy because we've fixed your security issue 
What are the guarantees that I can decrypt my files after paying the ransom?
Your main guarantee is the ability to decrypt test files.
This means that we can decrypt all your files after paying the ransom.
We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business.
You Have 2days to Decide to Pay
after 2 Days Decryption Price will Be Double
And after 1 week it will be triple Try to Contact late and You will know
Therefore, we recommend that you make payment within a few hours.
You Can Learn How to Buy Bitcoin From This links Below
https://localbitcoins.com/buy_bitcoins
https://www.coindesk.com/information/how-can-i-buy-bitcoins


Обновление от 7 марта 2020: 
Ouroboros v7-8. Идентификация в IDR: Ouroboros v6.
Расширение: .odveta
Специальные файлы: ids.txt, Pkey.txt
Файл EXE: ours.exe
Составное расширение (пример): .Email=[josefrendal797@gmail.com]ID=[NXQH26TM7KZ1R5J].odveta
Записка: Unlock-Files.txt
Email: josefrendal797@gmail.com
Оригинальное название проекта: 
D:\ouroboros v8\Ouroborosv7\Release\Ouroborosv7.pdb
Результаты анализов: VT + AR + IA + HA
 



Обновление от 12 марта 2020: 
Расширение: .odveta
Составное расширение (пример): .Email=[Filedecryptor@protonmail.com]ID=[ХХХХХХХХХХХХХХХ].odveta
Записка: Unlock-Files.txt
Email: Filedecryptor@protonmail.com

Обновление от 24 марта 2020: 
Расширение: .odveta
Составное расширение (пример): .Email=[darkencryptor@tutanota.com]ID=[ХХХХХХХХХХХХХХХ].odveta
Записка: Unlock-Files.txt
Email: darkencryptor@tutanota.com

Обновление о 25 марта 2020: 
Расширение: .odveta
Составное расширение (пример): .Email=[smartrecav@tutanota.com]ID=[1NPH5TK6249SQBJ].odveta
Email: smartrecav@tutanota.com

Обновление от 27 марта 2020:
Пост на форуме >>
Расширение: .odveta
Записка: Unlock-Files.txt
Email: josefrendal797@gmail.com, decodeodveta@protonmail.com 

Обновление от 3 апреля 2020:
Расширение: .encrypt
Составное расширение (шаблон): .Email=[<email>]ID=[<ID>].encrypt
Email: decrypt0077@gmail.com

Обновление от 11 апреля 2020:
Пост на форуме >>
Расширение: .odveta
Составное расширение (пример): .Email=[Decfile431@tutanota.com]ID=[HZ3AWD15F4CYP12].odveta
Записка: Unlock-Files.txt
Email: Deccoder431@protonmail.com, Decfile431@tutanota.com


***
По всей видимости Ouroboros был закрыт, передав "багаж" в другие вымогательские проекты, в Vash-Sorena в частности. 


Обновление от 24 октября 2020:
Майкл Джиллеспи определил его уже как Vash-Sorena. Отдельная статья пока не написана. Нужно суммировать данные. 
Расширение: .encrypt
Составное расширение (пример): .Email=[decryptfiles5@gmail.com]ID=[AFNFAWXQTCJLLJJO].encrypt
Email: decryptfiles5@gmail.com




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
В некоторых случаях можно расшифровать файлы!
Рекомендуем обратиться по ссылке, указанной здесь. 
Подробнее о поддерживаемых версиях расшифровщика >> 
*
Другой способ для Lazarus и Lazarus+!
Скачать дешифровщик от BitDefender >>
Описание работы дешифровщика прилагается. 

 Read to links: 
 Tweet on Twitter (myTweet)
 ID Ransomware (ID as Zeropadypt, Ouroboros, Ouroboros v6)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Alex Svirid, GrujaRS
 James, M. Shahpasandi
 BitDefender
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

RobinHood, SystemR

RobinHood-SystemR Ransomware

RobinHood HT (Turkish, SystemR) Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: RobinHood, Robinhood, SystemR. На файле написано: SystemR.exe, RobinHood.exe

Обнаружения:
DrWeb -> Trojan.Encoder.10598
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
Malwarebytes -> Ransom.RobinHood

© Генеалогия: HiddenTear >> RobinHood (SystemR)


Изображение - это только логотип статьи

К зашифрованным файлам добавляется расширение: .robinhood


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину апреля 2019 г., но судя по данным VT, он загружался на анализ в конце марта 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
не содержит никакого текста или не доработан

Перевод записки на русский язык:
не содержит никакого текста или не доработан



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
.bat, .bmp, .cab, .dat, .evtx, .gif, .ico, .ini, .jar, .log, .py, .rtf, .sys, .ttf, .txt, .xml, .xsd, .zip
Это также могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы без расширений, в том числе файл bootmgr.

Файлы, связанные с этим Ransomware:
RobinHood.exe
SystemR.exe
README.txt
encfiles.txt
log.txt
<random>.exe - случайное название вредоносного файла
SystemR.pdb

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
\Robinhood\encfiles.txt
\Robinhood\log.txt
C:\Users\developer\Desktop\Robbinhood\Robinhood-enc\Robinhood\obj\Debug\SystemR.pdb

➤ Несмотря на то, что в папке проекта одновременно используются слова Robbinhood, Robinhood-enc, Robinhood, этот вариант шифровальщика напрямую не связан с другими "робин-гудами", но тоже основан на HiddenTear.

Ранее описанные в моём Дайджесте: 
RobinHood (HelpYemen) Ransomware
Enc_RobbinHood Ransomware
RobinHood HT (Proyecto X) Ransomware

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 CyberSecurity GrujaRS, Vitali Kremez, MalwareHunterTeam
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 24 апреля 2019 г.

WannaOof

WannaOof Ransomware

Inconspicuous Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.02 BTC, чтобы вернуть файлы. Оригинальное название: в заголовке окна написано WannaOof. На файле написано: inconspicuous.exe

Обнаружения: 
BitDefender -> Trojan.GenericKD.31915800
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SK
Malwarebytes -> Ransom.FileCryptor
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Encoder.Ebhb

TrendMicro -> Trojan.MSIL.OOFCRYPTOR.AA.tmsr

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .oof

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину - вторую половину апреля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
YOU HAVE BEEN OOF'ED!!!
Uh oh, you're in trouble now kiddo. You've been oof'ed.
All your precious files are encrypted with 256 bit encryption.
Send 0.02 bitcoin to the address displayed on the left within the next 24 hours or your files will be lost forever. Upon payment we will send you the decryption key.
Any attempt to modify, decrypt your files, or remove this program will result in your files being irretrievable.
We will definitely send you a decryption key upon payment being received, please cite the below as our promise of this:
___________________ $$$$
___________________ $$$$
___________________ $$$$

Перевод записки на русский язык:
ВЫ БЫЛИ УВОЛЕНЫ!!!
О, у тебя неприятности, детка. Вы были уволены.
Все ваши драгоценные файлы зашифрованы с 256-битным шифрованием.
Отправьте 0.02 биткоин на адрес, указанный слева, в течение следующих 24 часов, иначе ваши файлы будут потеряны навсегда. После оплаты мы вышлем вам ключ расшифровки.
Любая попытка изменить, расшифровать ваши файлы или удалить эту программу приведет к тому, что ваши файлы станут невозвратными.
Мы обязательно вышлем вам ключ расшифровки после получения оплаты, пожалуйста, цитируйте ниже наше обещание как это:
___________________ $$$$
___________________ $$$$
___________________ $$$$

Следующее изображение демонстрирует предыдущий текст из окна и "руку с поднятым средним пальцем", которую не видно в красном окне

Ещё одно сообщения от вымогателей. 
Текст с картинки:
You've been hit with the oof
Follow the instructions shown in the popup or your files will be lost forever.

Перевод на русский язык:
Вы попали на деньги
Следуйте инструкциям в поп-ап окне, иначе ваши файлы будут утрачены.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
inconspicuous.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ  ANY.RUN analysis >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *