SystemCrypter

SystemCrypter Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 0.066 BTC, чтобы вернуть файлы. Оригинальное название: System Crypter v2.40. На файле написано: Crypter.exe. Написан на языке Python. 

Обнаружения: 
DrWeb -> Python.Encoder.1
BitDefender -> Generic.Ransom.PyCrypter.6F59347A

ESET-NOD32 -> Python/Filecoder.AC
Kaspersky -> Trojan-Ransom.Python.Pyrgen.a
Malwarebytes -> Ransom.Python
Microsoft -> Trojan:Win32/Tiggre!rfn
Symantec -> ML.Attribute.HighConfidence


© Генеалогия: Noblis, Cyclone >> SystemCrypter

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .crypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
System Crypter
YOUR DECRYPTION KEY HAS BEEN DESTROYED!
---

Attention !!!All your files on this computer have been encrypted.
After payment we will send you a decryption tool that willdecrypt all your files.
GUARANTEES!!!
You can send us up to 3 files for free decryption,
-files should not contain important information
-and their total size should be less than 1 MB
HOW TO OBTAIN BITCOINS!!!
The easiest way to buy bitcoins is the LocalBitcoins website.
You need to register, click "Buy bitcoyne" and select theseller by method of payment and price
https://localbitcoins.com/buy_bitcoins
IMPORTANT !!!
Do not rename encrypted files
Do not try to decrypt your data with third-party
software,this can lead to permanent data loss!
---

WALLET ADDRESS: 18ixe82TGy3hUwmmvZVU75tCVoRyeNoYvY

BITCOIN FEE: 0.066

Перевод записки на русский язык:

System Crypter

ВАШ КЛЮЧ РАСШИФРОВКИ УНИЧТОЖЕН!
---

Внимание !!!

Все ваши файлы на этом компьютере были зашифрованы.

После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.

ГАРАНТИИ !!!

Вы можете отправить нам до 3 файлов для бесплатной расшифровки,

- файлы не должны содержать важную информацию

- и их общий размер должен быть менее 1 МБ

КАК ПОЛУЧИТЬ БИТКОИНЫ !!!

Самый простой способ купить биткоины - это сайт LocalBitcoins.

Вам необходимо зарегистрироваться, нажать "Купить биткоины" и выбрать их по способу оплаты и цене.

https://localbitcoins.com/buy_bitcoins

ВАЖНО !!!

Не переименовывайте зашифрованные файлы

Не пытайтесь расшифровать ваши данные с помощью стороннихпрограмм, это может привести к постоянной потере данных!
---
АДРЕС КОШЕЛЬКА: 18ixe82TGy3hUwmmvZVU75tCVoRyeNoYvY
БИТКОИН-ПЛАТА: 0.066

Примечательно, что текст был заимствован из EncryptServer2018 Ransomware вместе с ошибками. Но родство пока не подтверждено. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск. 
➤ Удаляет теневые копии файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crypter.exe
svchost.exe
xmring.exe
key.txt
encrypted_files.txt
<random>.exe - случайное название вредоносного файла
WARNING.txt.crypted
lock.bmp
runtime.cfg

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\encrypted_files.txt
C:\Users\User\AppData\Local\Temp\_MEI32442\runtime.cfg
C:\Users\User\AppData\Local\Temp\_MEI32442\lock.bmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютекс:
mutex_rr_windows

Сетевые подключения и связи:
Email: -
BTC: 18ixe82TGy3hUwmmvZVU75tCVoRyeNoYvY
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 17 мая 2022:

Сообщение >> 

Самоназвание: CRYPTER v2.40 Ransomware 

Расширение: .crypter 

Записка: написана в окне локера. 

Файл: Crypt.exe

Результаты анализа: VT

Обнаружения:

DrWeb -> Python.Encoder.1

BitDefender -> Generic.Ransom.PyCrypter.CEA6586E

ESET-NOD32 -> Python/Filecoder.AC

Kaspersky -> HEUR:Trojan-Ransom.Python.Pyrgen.gen

Malwarebytes -> Ransom.Crypter

Microsoft -> Ransom:Win32/PyrgenXlock.SK!MTB

Rising -> Trojan.Fuery!8.EAFB (CLOUD)

Tencent -> Malware.Win32.Gencirc.10b5940b

TrendMicro -> Ransom_PyrgenXlock.R002C0DEH22

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Файлы можно расшифровать.
Смотрите тему поддержки по ссылкам ниже. 
Найдите и не удаляйте файл key.txt
*
*

 Read to links: 
 myTweet + Twitter
 ID Ransomware (ID as SystemCrypter)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 CyberSecurity GrujaRS
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Armageddon

Armageddon Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 или €100, чтобы вернуть файлы. Оригинальное название: Armageddon. На файле написано: WnCryMode.exe

Обнаружения:
DrWeb -> Trojan.Encoder.28506
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
Malwarebytes -> Ransom.Armageddon

© Генеалогия: HiddenTear >> Trojan-Syria, Godsomware > Armageddon

Изображение — логотип статьи

К незашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
You personal files are encrypted!
All your files on this computer have been encrypted: photo, videos, documets etc. Here is complete list of all of the
encrypted files, and you can personally verify this.
Encryption was produced using a unique private key RSA-2048 generated for this computer. This key is random for
each computer. To decrypt (return your files to normal state) your files need to obtain the private key.
The only copy of a private key, which will allow you to decrypt the files located on our secret server and will destroy
itself after a time specified in the timer bellow.
After that nobody and never will be able to restore your files....
To obtain the private key for this computer, which will automatically decrypt files, you need to pay 100 USD / 100 EUR
similar amount in another currency. You can buy Bitcoin here: coinbase.com/buy-bitcoin
Click <Next> to select the method of payment and the currency.
Any attempts to remove or damage this software will lead to the immediate destruction of the private key by the server.
---
Send $100 worth of bitcoin to this address:
[15iSjsYtnFex2UppPURJ4C6HidPZfEribm] [Copy]
[Check payment] [Decrypt all files]
Feedback: darkday@mailinator.com


Перевод записки на русский язык:
Ваши личные файлы зашифрованы!
Все ваши файлы на этом компьютере были зашифрованы: фото, видео, документы и т. Д. Вот полный список всех
зашифрованные файлы, и вы можете лично убедиться в этом.
Шифрование было произведено с использованием уникального закрытого ключа RSA-2048, сгенерированного для этого компьютера. Этот ключ является случайным для
каждый компьютер. Чтобы расшифровать (вернуть файлы в нормальное состояние) ваши файлы должны получить закрытый ключ.
Единственная копия закрытого ключа, которая позволит вам расшифровать файлы, расположенные на нашем секретном сервере и уничтожит
Сам по истечении времени, указанного в приведенном ниже таймере.
После этого никто и никогда не сможет восстановить ваши файлы ....
Чтобы получить закрытый ключ для этого компьютера, который будет автоматически расшифровывать файлы, вам нужно заплатить 100 USD / 100 EUR
аналогичная сумма в другой валюте. Вы можете купить биткойн здесь: coinbase.com/buy-bitcoin
Нажмите <Далее>, чтобы выбрать способ оплаты и валюту.
Любые попытки удалить или повредить это программное обеспечение приведут к немедленному уничтожению приватного ключа сервером.
---
Отправьте биткоины на $100 по этому адресу:
[15iSjsYtnFex2UppPURJ4C6HidPZfEribm] [Копировать]
[Проверить оплату] [Расшифровать все файлы]
Обратная связь: darkday@mailinator.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ UAC не обходит. Требуется разрешение на запуск.

Список файловых расширений, подвергающихся шифрованию:
Вероятно, файлы не шифруются. 
После доработки целями вполне могут оказаться документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WnCryMode.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
G:\soft\WnCryMode\WnCryMode\obj\Debug\WnCryMode.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: darkday@mailinator.com
BTC: 15iSjsYtnFex2UppPURJ4C6HidPZfEribm
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
☢ VX Vault >>  VXV>>
𝚺  VirusTotal analysis >>  VT>>
Ⓗ Hybrid analysis >>  HA>>
🐞 Intezer analysis >>  IA>>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 - Видеообзор атаки

 Thanks: 
 S!Ri, Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cephalo

Cephalo Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Cephalo. На файле написано: Cephalo.exe и WmiPrvSE.exe. Разработчик: Billie. Написан на языке C#. Вымогатели выдают себя за борцов с педофилами. 

Обнаружения: 
DrWeb -> Trojan.Encoder.28497
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
Symantec -> Trojan.Gen.MBT
ESET-NOD32 -> A Variant Of MSIL/Filecoder.SZ
ALYac -> Trojan.Ransom.HiddenTear
Malwarebytes -> Ransom.FileCryptor

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение, используемое шифровальщиком

К зашифрованным файлам добавляется расширение: .ceph


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _READ_ME_.txt

Содержание записки о выкупе:
- // -
Your files, personal data and identity are now being held for ransom.
This campaign is targeted at pedophiles worldwide, exposing those who are downloading and sharing child pornography.
If the ransom is not paid, your data will never be recovered and you will be exposed to the world.
- // -
Your sensitive files have been encrypted and uploaded to our Tor Hidden Service and will soon be analyzed by our team.
Your files will soon be presented together with your personal data (name, address and contact information), screen captures and webcam captures (if present) to the appropriate authorities and will soon after be released publicly across several platforms.
In order to cease our team from contacting the authorities and releasing the data publicly, a payment is required.
You have up to 72 hours to complete payment, during this time your files and personal data will be prepared for public exposure.
- // -
Requested Amount: 125 USD (current equivalent in Bitcoin).
Payment is demanded in Bitcoin, a form of electronic cash.
Bitcoin Payment Address: --> 193kt6VwHgoedmq7Vpme2EeAmovCobkfBN <--
Deadline: --> <deadline> <--
- // -
Gathered information is inclusive of; all documents, images, videos and archives found on the system (including removable devices). Browser data such as; browsing/download history, active logins, form/search history and cookies. Screen captures and webcam captures (if present at time of data collection). Storage devices have also been mined for deleted data using recovery tools.
- // -
https://virtualglobaltaskforce.com/operations/
https://www.europol.europa.eu/crime-areas-and-trends/crime-areas/child-sexual-exploitation
https://www.interpol.int/Crimes/Crimes-against-children
- // -

Перевод записки на русский язык:
- // -
Ваши файлы, личные данные и личность в настоящее время удерживаются для выкупа.
Эта кампания нацелена ​​на педофилов во всем мире, обличая тех, кто скачивает и распространяет детскую порнографию.
Если выкуп не будет выплачен, ваши данные никогда не будут восстановлены, и вы будете раскрыты миру.
- // -
Ваши конфиденциальные файлы зашифрованы и загружены в нашу скрытую Tor-службу и скоро будут проанализированы нашей командой.
Вскоре ваши файлы будут отправлены вместе с вашими личными данными (имя, адрес и контакты), скриншотами и веб-камерой (если они есть) в соответствующие органы и вскоре будут опубликованы на нескольких платформах.
Чтобы наша команда не связывалась с властями и не публиковала данные публично, требуется оплата.
У вас есть до 72 часов для завершения оплаты, в течение этого времени ваши файлы и личные данные будут подготовлены для публичного ознакомления.
- // -
Запрашиваемая сумма: 125$ США (текущий эквивалент в биткойнах).
Оплата требуется в биткоинах, электронной форме денег.
Платежный адрес в биткоинах: -> 193kt6VwHgoedmq7Vpme2EeAmovCobkfBN <-
Срок: -> <срок> <-
- // -
Собранная информация включает в себя; все документы, изображения, видео и архивы, найденные в системе (включая съемные устройства). Данные браузера, такие как; просмотр / загрузка истории, активные логины, формы / история поиска и кукис. Снимки экрана и веб-камеры (если они были во время сбора данных). Устройства хранения также были добыты для удаленных данных с использованием инструментов восстановления.
- // -
https://virtualglobaltaskforce.com/operations/
https://www.europol.europa.eu/crime-areas-and-trends/crime-areas/child-sexual-exploitation
https://www.interpol.int/Crimes/Crimes-against-children
- // -

Технические детали

Распространяется и загружается через файл LNK, который содержит команду PowerShell.
Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.123, .3dm, .3ds, .3g2, .3gp, .602, .7z, .accdb, .aes, .ai, .ARC, .asc, .asf, .asm, .asp, .avi, .backup, .bak, .bat, .bmp, .brd, .ceph, .cgm, .class, .cmd, .cpp, .crt, .cs, .csr, .csv, .db, .dbf, .dch, .der, .dif, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .edb, .eml, .fla, .flv, .frm, .gif, .gpg, .gz, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .js, .key, .lay, .lay6, .ldf, .m3u, .mpeg, .PAQ, и другие. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Cephalo.exe
WmiPrvSE.exe
_READ_ME_.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Оригинальное название проекта: 
C:\Users\Billie\Desktop\C#\Cephalo\Cephalo\obj\Release\Cephalo.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL Malware: xxxx://45.32.184.40:24163/download.php
Email: 
BTC: 193kt6VwHgoedmq7Vpme2EeAmovCobkfBN
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 Daniel Gallagher, Michael Gillespie
 Andrew Ivanov (author)
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

SD, Unlock11

SD 1.1-1.2 Ransomware

NewSource Ransomware

Unlock11 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритмов RSA + Salsa20, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: SD 1.1 Ransomware, указано в изображении, замеющем обои Рабочего стола. На файле написано: NewSource.exe. Написан на языке Python. Вероятно, распространяется из Ирана. 
---
Обнаружения: 
DrWeb -> Trojan.Encoder.28501

BitDefender -> Trojan.GenericKD.41368642

ESET-NOD32 -> Python/Filecoder.CE

Kaspersky -> Trojan-Ransom.Win32.Crypren.*, Trojan-Ransom.Win32.Crypren.afjr

Kingsoft -> Win32.Troj.FileLock.yz.(kcloud)

Malwarebytes -> Generic.Malware/Suspicious

Microsoft -> Trojan:Win32/Ymacco.AA02

Qihoo-360 -> Win32/Ransom.Generic.HgIASOQA

Symantec -> ML.Attribute.HighConfidence

Tencent -> Malware.Win32.Gencirc.116abfa1

TrendMicro -> Ransom.Win32.CRYPREN.THFAAAI

---

© Генеалогия: Fs0ciety Locker? > SD Ransomware >? GoodMorning Ransomware 

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .enc

Фактически используется составное расширение: .[Unlock11@protonmail.com].enc

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину июня 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Целевые страны версии 1.1 - США, Индия, Иран. 

Записка с требованием выкупа называется: ReadMeToDecrypte.txt
Существует два варианта записки с тем же названием. 

Содержание 1-го записки о выкупе:
HOW TO RECOVER YOUR FILES INSTRUCTION
ATENTION!!!
We are realy sorry to inform you that  ALL YOUR FILES WERE ENCRYPTED 
by our automatic software. It became possible because of bad server security.  
ATENTION!!!
Please don't worry, we can help you to RESTORE your server to original
state and decrypt all your files quickly and safely!
INFORMATION!!!
Files are not broken!!!
Files were encrypted with AES-128+RSA-2048 crypto algorithms.
There is no way to decrypt your files without unique decryption key and special software. Your unique decryption key is securely stored on our server. 
* Please note that all the attempts to recover your files by yourself or using third party tools will result only in irrevocable loss of your data!
* Please note that you can recover files only with your unique decryption key, which stored on our server.
HOW TO RECOVER FILES???
Please write us to the e-mail (write on English or use professional translator):
  Unlock11@protonmail.com
We recommed you to attach 3 encrypted files to your message. We will demonstrate that we can recover your files. 
*   Please note that files must not contain any valuable information and their total size must be less than 5Mb. 
OUR ADVICE!!!
Please be sure that we will find common languge. We will restore all the data and give you recommedations how to configure the protection of your server.
 Unlock11@protonmail.com"""

Перевод 1-го записки на русский язык:
ИНСТРУКЦИЯ КАК ВОССТАНОВИТЬ ФАЙЛЫ 
ВНИМАНИЕ !!!
Нам очень жаль сообщать вам, что все ваши файлы зашифрованы нашей автоматической программой. Это стало возможным из-за плохой безопасности сервера.
ВНИМАНИЕ !!!
Пожалуйста, не волнуйтесь, мы можем помочь вам восстановить ваш сервер в исходное состояние и расшифровать все ваши файлы быстро и безопасно!
ИНФОРМАЦИЯ!!!
Файлы не повреждены!!!
Файлы были зашифрованы с использованием алгоритмов шифрования AES-128 + RSA-2048.
Невозможно расшифровать ваши файлы без уникального ключа дешифрования и специальной программы. Ваш уникальный ключ расшифровки надежно хранится на нашем сервере.
* Обратите внимание, что все попытки восстановить ваши файлы самостоятельно или с помощью сторонних инструментов приведут только к безвозвратной потере ваших данных!
* Обратите внимание, что вы можете восстанавливать файлы только с вашим уникальным ключом дешифрования, который хранится на нашем сервере.
КАК ВОССТАНОВИТЬ ФАЙЛЫ ???
Пожалуйста, напишите нам на электронную почту (напишите на английском или воспользуйтесь профессиональным переводчиком):
  Unlock11@protonmail.com
Мы рекомендуем вам приложить 3 зашифрованных файла к вашему сообщению. Мы покажем, что мы можем восстановить ваши файлы.
* Обратите внимание, что файлы не должны содержать никакой ценной информации, и их общий размер должен быть менее 5 МБ.
НАШИ СОВЕТЫ !!!
Пожалуйста, будьте уверены, что мы найдем общий язык. Мы восстановим все данные и дадим вам рекомендации по настройке защиты вашего сервера.
 Unlock11@protonmail.com"""

Содержание 2-го записки о выкупе:
All your files have been encrypted! <br />
Many of your documents, photos, videos, databases, and other files are no longer available because they have been encrypted. <br />
Maybe you are busy looking for a way to recover your files, but do not waste your time, nobody can recover your files without our decryption service<br />
+++++++++++++++++++<br />
Can I Recover My Files?<br />
Sure We guarantee that you can safely recover all your files<br />
and easily,But first buy the recovery key<br />
+++++++++++++++++++<br />
How can I trust?<br />
For your trust, we will decrypt a file for free.<br />
+++++++++++++++++++<br />
Do you want to decrypt your files?<br />
Send email for me if you want to call with me => Unlock11@protonmail.com<br /> 

Перевод 2-го записки на русский язык:
Все ваши файлы были зашифрованы! <br />
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, поскольку они были зашифрованы. <br />
Может быть, вы заняты поиском способа восстановить ваши файлы, но не теряйте времени, никто не сможет восстановить ваши файлы без нашей службы дешифрования <br />
+++++++++++++++++++ <br />
Могу ли я восстановить мои файлы? <br />
Конечно, мы гарантируем, что вы можете безопасно восстановить все ваши файлы. <br />
и легко, но сначала купите ключ восстановления <br />
+++++++++++++++++++ <br />
Как я могу доверять? <br />
За ваше доверие мы расшифруем файл бесплатно. <br />
+++++++++++++++++++ <br />
Хотите расшифровать свои файлы? <br />
Отправьте мне электронное письмо, если хотите позвонить со мной => Unlock11@protonmail.com <br />


Другим информатором жертвы выступает изображение, заменяющее обои Рабочего стола.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ После запуска NewSource.exe шифровальщик проверяет IP-адрес компьютера и атакует только определенную группу стран. 

➤ Деструктивные действия: 
Записывает себя в меню Пуск
Изменяет файлы в папке расширений Chrome
Действия выглядят как кража личных данных
Удаляет файлы из каталога Windows
Создает файлы в каталоге Windows
Создает исполняемые файлы, которые есть в Windows
Создает файлы в пользовательском каталоге
Создает файлы в каталоге программы
Загружает модули Python

➤ Зашифровав файлы, шифровальщик загружает изображение с иранского сайта bayanbox.ir и заменяет им обои Рабочего стола. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

➤ Сохраняет исходный размер файла как ASCII в начале файла.

Файлы, связанные с этим Ransomware:
NewSource.exe
ReadMeToDecrypte.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\NewSource.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL Польши для определения IP: xxxx://ip.42.pl/raw
URL Ирана, используемый для загрузки изображения xxxx://bayanbox.ir/view/9063570871203136495/photo-2019-05-03-12-48-27.jpg 

---

Email: Unlock11@protonmail.com
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Fs0ciety Locker Ransomware - сентябрь 2016

SD 1.1 Ransomware - июнь 2019

SD 1.2 Ransomware - октябрь 2019, март 2020

Вариант с расширением .fsociety - февраль 2021

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 14 октября 2019:
Пост на форуме >>
Новая версия: SD 1.2
Email: Unlock11@protonmail.com

Список целевых стран пополнился. 
В будущем планируется расширение списка, в котором будут США, Иран, Индия, Германия, Саудовская Аравия, Йемен, ОАЭ, Россия и другие страны. 

=== 2020 ===

Вариант от 17 марта 2020:
Расширение: .[unlock11@protonmail.com].enc
Email: unlock11@protonmail.com
Записка: ReadMeToDecrypte.txt + hta-файл

➤ Содержание txt-записки:
Greetings,
We are pleased to announce successful encryption of your machine.
All hosts in your network have been encrypted with FUD and powerful encryption algorithm (s) - RSA-2048 + Salsa20.
Any attempt to decrypt the data by yourself is futile.
Read more:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
https://en.wikipedia.org/wiki/Salsa20
Email address: Unlock11@protonmail.com
To enable decryption software and service send unique HOST ID details and contact email address and follow the hassle free decryption process instructions.
Note: The Host ID and Email addresses are unique and private. Any leak of information will result in a direct ban on our services.
We will not respond to any communications about free decryption. We follow simple business policy - No Money! No Decryption
Your HOST ID Is :
********

=== 2021 ===

Вариант от 26 февраля 2021:

Топик на форуме >>

Сообщение >>

Расширение: .fsociety

Составное расширение (шаблон): .Id = [<ID{7}>] Send To Email=[<email>].fsociety

Составное расширение (пример): .Id = [FF67A2A] Send To Email=[Elliot.Alderson@mailfence.com].fsociety

➤ Сохраняет исходный размер файла как ASCII в начале файла. См. ниже скриншот в сравнении с ранним образцом зашифрованного файла. 

Записка: Decrypt Your Files.txt

Тот же файл записки с расширением: Decrypt Your Files.txt.Id = [FF67A2A] Send To Email=[Elliot.Alderson@mailfence.com].fsociety - шифрует свою записку в некоторых папках. 

Email-адреса: Elliot.Alderson@mailfence.com, elliot-alderson@elude.in, Mr_Rob0t@tutanota.com

➤ Содержание записки:

Hello

Your system has security vulnerabilities

And I hacked it and encrypted your files

You can get your files back and I can also help you fix your system vulnerabilities.

This can be done by paying a fair amount of bitcoin

All you have to do is send an email to: Elliot.Alderson@mailfence.com

And this is your ID. Write it in the subject of the email: FF67A2A

If I do not respond within 10 hours, send an email to this address: Mr_Rob0t@tutanota.com

or this address : elliot-alderson@elude.in

For more trust you can send a file as a test and I will decrypt it for you.

There is only one way to get your files back, and that is in my hands, so listen to what I have to say:

- Do not send anyone to negotiate because my price is very fair and we will definitely agree

- Never try to decrypt the files yourself or someone else. The files may be damaged and you may lose them forever.

- If I understand that you want to decrypt your files in any way or get help from someone, the price will double and there will be no more the fair price.

- Never rename files

- We can always agree very quickly, so do not be afraid and send an email

Июнь 2021:

Предположительное родство с GoodMorning Ransomware

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myTweet + Tweet + Tweet 
 ID Ransomware (ID as SD 1.1)
 Write-up, Topic of Support
 * 

- Видеообзор атаки SD 1.1 Ransomare

 Thanks: 
 Andrew Ivanov (author)
 Michael Gillespie, quietman7
 Sandor
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.