Eris

Eris Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20 + RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке написано ERIS RANSOMWARE. На файле написано: нет данных. Написан на языке Go. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Обнаружения: 
DrWeb -> Trojan.Encoder.28779, Trojan.DownLoader9.27474, Trojan.Encoder.29317
Malwarebytes -> Ransom.Eris
BitDefender -> Gen:Variant.Nebuler.12, Gen:Win32.ProcessHijack.0GZ@aW9BYYei, Gen:Variant.Razy.477853
Avira (no cloud) -> TR/ATRAPS.Gen, TR/RedCap.zrgrn
ESET-NOD32 -> A Variant Of Generik.GGUKEUL, A Variant Of Win32/Filecoder.Eris.B
Malwarebytes -> Ransom.Eris
Symantec -> ML.Attribute.HighConfidence, Downloader

Изображение — только голотип статьи

К зашифрованным файлам добавляется расширение: .ERIS


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: @ READ ME TO RECOVER FILES @.txt

Содержание записки о выкупе: 
***                                                                                  ***
*** READ THIS FILE CAREFULLY TO RECOVERY YOUR FILES ***
***                                                                                  ***
ALL OF YOUR FILES HAVE BEEN ENCRYPTED BY "ERIS RANSOMWARE"!
USING STRONG ENCRYPTION ALGORITHM.
Every your files encrypted with unique strong key using "Salsa20" encryption algorithm:
https://en.wikipedia.org/wiki/Salsa20
Which is protected by RSA-1024 encryption algorithm:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
shadow copy, F8 or recuva and other recovery softwares cannot help you, but cause Irreparable damage to your files!
Technically no way to restore your files without our help.
we only accept cryptocurrency Bitcoin (BTC) as payment method! for cost of decryption service.
https://wikipedia.org/wiki/Cryptocurrency
https://wikipedia.org/wiki/Bitcoin
For speed and easily, please use localbitcoins website to purchase Bitcoin:
https://localbitcoins.com
* WE OFFER YOU 1 FREE FILE DECRYPTION (<1024 KB) WITHOUT ANY COST! TO TRUST OUR HONESTY BEFORE PAYMENT.
  THE SIMPLE FILE MUST NOT BE ARCHIVED!
-----BEGIN ERIS IDENTIFICATION-----
22deCbsMqoTVKmPJ5UrVqKYNC5ptPwaiCxbcnUqQGfMwnfeKSNb65ui3P63iFtVU
iqHBap7sVVsprktGspqZHqVuQiG4XptG9AFWMbBm7gZPr41aLgTxCZsyTVE5cGUr
izcB2fL2otEouPEk1Bx799FPxWwsN68uYB6tEdLTkedvcRyuok8331XR1Mh1kR7R
**********
-----END ERIS IDENTIFICATION-----
=================================================================
   (Decryption Instructions)
1. Send your "ERIS IDENTIFICATION" with one simple of your encrypted files (<1024 KB) to our email address:
   limaooo@cock.li
2. Wait for reply from us.
   (usually in some hour)
3. Confirm your simple files are decrypted correct and ask us how to pay to decrypt all your files.
4. We will send you payment instructions in Bitcoin.
5. You made payment and send us TXID of Bitcoin transfer.
6. After we confirm the payment, you will soon get decryption package and everything back to normal.
* IN CASE OF FOLLOWING OUR INSTRUCTION,
  FAST AND EASILY EVERYTHING IS BACK TO NORMAL LIKE THAT NEVER HAPPENED!
  BUT IF YOU USE OTHER METHODS (THAT NEVER EVER HELPS) YOU JUST DESTROY EVERYTHING FOR GOODNESS!
  BE A SMART AND SAVE YOUR FILES! NOT A FOOL!
=================================================================
===============================
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT MOVE ENCRYPTED FILES
* DO NOT USE RECOVERY SOFTWARES
===============================
=================================================================
(Frequently Asked Questions)
Q: I can not pay for it, what I do now?
A: Format your hard disk, re-install your softwares and start everything from begin!
Q: What a guarantee I can recovery my files after payment?
A: There is no any reason for us to do not give you decryption software and your special key.
   The only our goal is help you not hurt!
=================================================================

Перевод записки на русский язык:
*** ***
*** ПРОЧТИТЕ ЭТОТ ФАЙЛ ВНИМАТЕЛЬНО, ЧТОБЫ ВОССТАНОВИТЬ ФАЙЛЫ ***
*** ***
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ "ERIS RANSOMWARE"!
ИСПОЛЬЗОВАН СИЛЬНЫЙ АЛГОРИТМ ШИФРОВАНИЯ.
Все ваши файлы зашифрованы уникальным ключом с алгоритмом шифрования "Salsa20":
https://en.wikipedia.org/wiki/Salsa20
Который защищен алгоритмом шифрования RSA-1024:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Shadow Copy, F8 или Recuva и другие программы восстановления не помогут вам, но нанесут непоправимый ущерб вашим файлам!
Технически нет способа восстановить ваши файлы без нашей помощи.
Мы принимаем только криптовалюту Биткоин (BTC) как способ оплаты! за стоимость услуги дешифрования.
https://wikipedia.org/wiki/Cryptocurrency
https://wikipedia.org/wiki/Bitcoin
Для скорости и простоты, пожалуйста, используйте сайт localbitcoins для покупки биткоинов:
https://localbitcoins.com
* МЫ ПРЕДЛАГАЕМ ВАМ БЕСПЛАТНУЮ РАСШИФРОВКУ 1 ФАЙЛА (<1024 КБ) БЕЗ ОПЛАТЫ! КАК ДОВЕРИЕ НАШЕЙ ЧЕСТНОСТИ ДО ОПЛАТЫ.
  ПРОСТОЙ ФАЙЛ НЕ ДОЛЖЕН БЫТЬ В АРХИВЕ!
----- НАЧАЛО ERIS ИДЕНТИФИКАЦИИ -----
22deCbsMqoTVKmPJ5UrVqKYNC5ptPwaiCxbcnUqQGfMwnfeKSNb65ui3P63iFtVU
iqHBap7sVVsprktGspqZHqVuQiG4XptG9AFWMbBm7gZPr41aLgTxCZsyTVE5cGUr
izcB2fL2otEouPEk1Bx799FPxWwsN68uYB6tEdLTkedvcRyuok8331XR1Mh1kR7R
**********
----- КОНЕЦ ERIS ИДЕНТИФИКАЦИИ -----
================================================== ===============
   (Инструкция по расшифровке)
1. Отправьте свою "ERIS ИДЕНТИФИКАЦИЮ" с одним простым из ваших зашифрованных файлов (<1024 КБ) на наш email-адрес:
   limaooo@cock.li
2. Ждите ответа от нас.
   (обычно через час)
3. Убедитесь, что ваши простые файлы расшифрованы правильно и спросите нас, как оплатить расшифровку всех ваших файлов.
4. Мы вышлем вам инструкции по оплате в биткоинах.
5. Вы произвели оплату и отправили нам TXID перевода биткоина.
6. После подтверждения оплаты вы вскоре получите пакет для расшифровки и все вернется в норму.

В СЛУЧАЕ СЛЕДОВАНИЯ НАШЕЙ ИНСТРУКЦИИ,

   БЫСТРО И ЛЕГКО ВСЕ ПРИХОДИТ В НОРМУ, ТАКОГО НИКОГДА НЕ БЫЛО!

   НО ЕСЛИ ВЫ ИСПОЛЬЗУЕТЕ ДРУГИЕ МЕТОДЫ (КОТОРЫЕ НИКОГДА НЕ ПОМОГУТ), ВЫ ПРОСТО УНИЧТОЖИТЕ ВСЕ ЦЕННОЕ!

   БУДЬ УМНЫМ И СОХРАНИ СВОИ ФАЙЛЫ! НЕ ДУРИ!

================================================== ===============

===============================

* НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ

* НЕ ПЕРЕМЕЩАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ

* НЕ ИСПОЛЬЗУЙТЕ ПРОГРАММЫ ДЛЯ ВОССТАНОВЛЕНИЯ

===============================

================================================== ===============

(Часто задаваемые вопросы)

Q: Я не могу заплатить за это, что мне делать сейчас?

О: Отформатируйте жесткий диск, переустановите программы и начните все с начала!

В: Какую гарантию, что я восстановлю мои файлы после оплаты?

О: У нас нет никаких причин не предоставлять вам программу для дешифрования и ваш специальный ключ.

   Единственная наша цель - помочь вам не навредить!

================================================== ===============

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Azera EK), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует критическую 0-day уязвимость CVE-2018-15982. Для защиты необходимо установить патч. Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
@ READ ME TO RECOVER FILES @.txt
Server.exe
dev_man.exe
<random>.exe - случайное название вредоносного файла
eris.was
l.bat
00000000.pky
00000000.eky
flash.swf

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\eris.was
C:\Windows\00000000.pky
C:\ProgramData\00000000.pky
C:\ProgramData\00000000.eky
C:\dev_man.exe
C:\l.bat

Маркер файлов: 
Оставляет файловый маркер "_FLAG_ENCRYPTED_", добавленный к файлам.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: limaooo@cock.li
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.


Примечательно, что в раннем варианте, представленном выше email начинался с маленькой буквы "l", а потом его заменили на большую букву "L". limaooo@cock.li - > Limaooo@cock.li

Результаты анализов:
Ⓗ Hybrid analysis >> (файл упакован PECOMPACT)
𝚺  VirusTotal analysis >> 
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 июля 2019:
Пост в Твиттере >>
Расширение: .ERIS
Записка: @ READ ME TO RECOVER FILES @.txt
Email:
Файл EXE: Server.exe
Результаты анализов: VT + HA + VMR

Обновление от 18 августа 2019:
Пост в Твиттере >>
Расширение .ERIS
Записка: @ READ ME TO RECOVER FILES @.txt
Email: unlockme123@protonmail.com
Результаты анализов: VT + AR

Обновление от 23 августа 2019:
Пост в Твиттере >>
Версия: v2.0.3
Расширение: .JUBE2
Записка: HELP-JUBE2.txt

Обновление от 9-10 октября 2019:
Версия: v2.0.3
Пост в Твиттере >>
Расширение: .PO1HG
Записка: HELP-PO1HG.txt

 

Результаты анализов: VT
DNS: extreme-ip-lookup.com
d9d120a3.ngrok.io
www.download.windowsupdate.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Eris)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Petrovic
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Basilisque Locker

Basilisque Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на сетевых (облачных, NAS, Network Attached Storage) хранилищах с помощью AES-128 (режим CBC), а затем требует выкуп от 100$ до 500$ BTC, чтобы вернуть файлы. Оригинальное название: Basilisque Locker (указано в записке). На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение василиска — только логотип статьи

К зашифрованным файлам добавляется расширение: .basilisque@protonmail_com

Название зашифрованного файла изменяется. Пример зашифрованного файла: cm9sbHVwLnBuZw==.basilisque@protonmail_com

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первый пострадавший из Испании. Атака произошла в июне 2019. 

Записка с требованием выкупа называется: HOW_TO_DECRYPT.txt

Содержание записки о выкупе:
What happened to your files ?
All of your files were protected by a strong encryption with AES cbc-128 using Basilisque Locker!
What does this mean ?
This means that the structure and data within your files have been irrevocably changed, 
you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
Your unique id: 37c3b87fb83c71471559d3ff73b72***
Date of encrypt: Sunday, June 16, 2019 5:29:31 PM UTC
What do I do ?
You can buy decryptor from us!
How much is it?
In first 24 hours after encryption - 100$
In three days - 150$
In 12 days - 250$
After(if it is still possible*)  - 500$
But if you want to decrypt few files as a test check the price will be increased by $ 25 for every single file. (This is described in more detail below in FAQ p.3)
*We can delete keys as time passes.
How to buy?
1. First buy the bitcoins for the right amount. How to do this is written below.
2. Contact us by email usernamus@protonmail.com . Specify your ID in the subject.
3. You will get bitcoin wallet to pay.
4. Send bitcoins to wallet address from email(how to buy bitcoins read below in FAQ p.4)
5. When you pay, write to us again(don't forget to enter your ID in the subject of letter if you start new conversation)
6. You will get decryptor and instructions for it after you payment get 1 confirmation on blockchain
(this usually takes about 1 hour, but sometimes(rarely) it can take up to 24 hours).
7. If you don't get reply in 24 hours after you get payment or after 4 hours after you payment get confirmation or after 4 hours after first message(wallet ask) please contact us one of different ways listed in FAQ(2 part). 
FAQ:
1.How much time do I have to pay for decryption?
You have 12 days to pay after you files was encrypted. Maybe after that you can also buy the decryptor, but maybe not, cause keys could be deleted after some time since the end of the term.
But remember - The faster you pay, the cheaper it will be. 
The number of bitcoins for payment you can calc here https://www.coingecko.com/en/coins/bitcoin
Keep in mind that some exchangers delay payment for 1-3 days!** Also keep in mind that Bitcoin is a very volatile currency, its rate can change very quickly. Therefore, we recommend that you make payment within a few hours.
But if you are mistaken for a couple of dollars - no big deal.
**In that case you can ask for discount(If exchanger caused a delay in payment.). For this you need to write to us immediately after you have learned about it and provide screenshots confirming your exchange
2.How to contact you?
a) Main contact is email - basilisque@protonmail.com . (Backup option: basilisque@secmail.pro )
b) Second contact is  bitmessage ( https://bitmessage.org/wiki/Main_Page ) - BM-NBaT69FJpQ2V8FVskyw7RdJ5FPvnRtcZ
Email is fastest, but bitmessage is the most reliable. 
If you not get answer after 4 hours after first message(wallet ask) please use another contact. This may be cause email is dead. But we are sure that nothing will happen with bitmessage and you can get an answer there anyway.
3.What are the guarantees that I can decrypt my files after paying the ransom?
We can decrypt some test files for you if you don't believe us. 
But it will raise the amount of ransom by $25 for every decrypted file and maximum time to pay will be decreased from 12 to 3 days. If you don't pay in 3 days, than you ransom will be increased to 500$ or keys will be deleted.
Important! The size of each file must be less than 5mb. 
You will get uncrypted files back in few hours.
After this procedure you can make sure that we can decrypt all your files after paying the ransom. 
We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business.
A few examples:
a)You paying in first 24 hours(100$) after encryption and don't want decrypt test files = 100$
b)You paying on 2nd(150$) day after ecryption and want to decrypt 1 test file(25$) = 175$
c)You paying on 4th(250$) day after encryption and want to decrypt 2 test file(25$*2) =  300$
d)You paying on 13th(500$) day after encryption(if it possible) and want to decrypt 3 test files(25$*3) = 575$
4.How do I pay the ransom?
After decrypting the test files, you will see the amount of payment in bitcoins and a bitcoin wallet for payment. 
Depending on your location, you can pay the ransom in different ways. 
Here are some links:
https://localbitcoins.net - buy bitcoins in most countries with huge number of ways.
https://buy.blockexplorer.com - payment by bank card 
https://www.buybitcoinworldwide.com - links for exhcanges in other countries.
https://paxful.com - like localbitcoins.
In many countries there are Bitcoins ATM where you can buy bitcoins by cash in few minutes. Other good way is buy amazon card and exchange it for bitcoins. If you encounter difficulties write to us, we can suggest options. But we have no other payment methods except bitcoins.
Also you can use Google to find information on how to buy bitcoins in your country or use the help of more experienced friends. 
5.How can I decrypt my files?
After confirmation of payment (it usually takes 1 hours, maximum 24 hours) you will get letter with decryptor and instructions for it.
WARNING!
Using third-party solutions can permanently destroy your files.
And the use of someone else’s decryptor will destroy them with a probability of 100 percent.
About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin

Перевод записки на русский язык:
Что случилось с вашими файлами?
Все ваши файлы были защищены надежным шифрованием с AES cbc-128 с использованием Basilisque Locker!
Что это значит ?
Это значит, что структура и данные в ваших файлах безвозвратно изменены, вы не сможете работать с ними, читать или видеть их,
это то же самое, что потерять их навсегда, но с нашей помощью вы сможете их восстановить.
Ключ шифрования и ID уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть свои файлы.
Ваш уникальный ID: 37c3b87fb83c71471559d3ff73b72***
Дата шифрования: воскресенье, 16 июня 2019 г., 17:29:31 UTC
Что мне делать?
Вы можете купить декриптор у нас!
Сколько это стоит?
В первые 24 часа после шифрования - 100$
За три дня - 150$
За 12 дней - 250$
После (если это все еще возможно*) - 500$
Но если вы хотите расшифровать несколько файлов в качестве теста, цена будет увеличена на 25$ за каждый отдельный файл. (Это описано более подробно ниже в FAQ стр.3)
* Мы можем удалить ключи со временем.
Как купить?
1. Сначала купите биткоины на нужную сумму. Как это сделать написано ниже.
2. Свяжитесь с нами по email usernamus@protonmail.com. Укажите свой ID в теме.
3. Вы получите биткоин-кошелек для оплаты.
4. Отправьте биткоины на адрес кошелька (как купить биткойны читайте ниже в FAQ стр.4)
5. Когда вы заплатите, напишите нам снова (не забудьте ввести свой ID в теме письма, если вы начинаете новый разговор)
6. Вы получите расшифровщик и инструкции для него после оплаты получите 1 подтверждение на блокчейне
(обычно это занимает около 1 часа, но иногда (редко) это может занять до 24 часов).
7. Если вы не получите ответ в течение 24 часов после получения платежа или через 4 часа после подтверждения оплаты или через 4 часа после первого сообщения (запрос на кошелек), пожалуйста, свяжитесь с нами одним из способов, перечисленных в разделе FAQ (2 часть) ,
FAQ:
1. Сколько времени мне нужно платить за расшифровку?
У вас есть 12 дней для оплаты после того, как ваши файлы были зашифрованы. Возможно, после этого вы также можете купить расшифровщик, но, возможно, нет, потому что ключи могут быть удалены через некоторое время после окончания срока.
Но помните: чем быстрее вы заплатите, тем дешевле будет.
Количество биткоинов для оплаты вы можете рассчитать здесь https://www.coingecko.com/en/coins/bitcoin
Имейте в виду, что некоторые обменники задерживают платеж на 1-3 дня! ** Также имейте в виду, что Биткоин является очень волатильной валютой, его курс может меняться очень быстро. Поэтому мы рекомендуем произвести оплату в течение нескольких часов.
Но если вы ошиблись за пару долларов - ничего страшного.
** В этом случае вы можете попросить скидку (если обменник вызвал задержку платежа.). Для этого вам надо написать нам сразу после того, как вы узнали об этом, и предоставить скриншоты, подтверждающие ваш обмен
2. Как с вами связаться?
а) Главный контакт - email - basilisque@protonmail.com. (Резервный вариант: basilisque@secmail.pro)
б) Второй контакт - bitmessage (https://bitmessage.org/wiki/Main_Page) - BM-NBaT69FJpQ2V8FVskyw7RdJ5FPvnRtcZ
Email быстрее, но Bitmessage надежнее.
Если вы не получите ответ через 4 часа после первого сообщения (спросите кошелек), пожалуйста, используйте другой контакт. Это может быть причиной того, что email мертва. Но мы уверены, что с bitmessage ничего не произойдет, и вы все равно можете получить ответ.
3. Каковы гарантии того, что я смогу расшифровать свои файлы после выплаты выкупа?
Мы можем расшифровать некоторые тестовые файлы для вас, если вы нам не верите.
Но это увеличит сумму выкупа на 25 долларов за каждый расшифрованный файл, а максимальное время оплаты будет уменьшено с 12 до 3 дней. Если вы не заплатите в течение 3 дней, выкуп будет увеличен до 500$ или ключи будут удалены.
Важный! Размер каждого файла должен быть менее 5 МБ.
Вы получите незашифрованные файлы через несколько часов.
После этой процедуры вы можете убедиться, что мы можем расшифровать все ваши файлы после выплаты выкупа.
У нас нет причин обманывать вас после получения выкупа, поскольку мы не варвары и, более того, это нанесет ущерб нашему бизнесу.
Несколько примеров:
а) Вы платите в первые 24 часа (100$) после шифрования и не хотите расшифровывать тестовые файлы = 100$
б) Вы платите на 2-й (150$) день после шифрования и хотите расшифровать 1 тестовый файл (25$) = 175$
c) Вы платите на 4-й (250$) день после шифрования и хотите расшифровать 2 тестовых файла (25$ * 2) = 300$
d) Вы платите на 13-й (500$) день после шифрования (если это возможно) и хотите расшифровать 3 тестовых файла (25$ * 3) = 575$
4. Как я могу заплатить выкуп?
После расшифровки тестовых файлов вы увидите сумму оплаты в биткоинах и биткоин-кошелек для оплаты.
В зависимости от вашего местоположения вы можете заплатить выкуп разными способами.
Вот несколько ссылок:
https://localbitcoins.net - покупайте биткоины в большинстве стран с огромным количеством способов.
https://buy.blockexplorer.com - оплата банковской картой
https://www.buybitcoinworldwide.com - ссылки на обмены в других странах.
https://paxful.com - как местные биткоины.
Во многих странах есть биткоин-банкоматы, где вы можете купить биткоины наличными за считанные минуты. Другой хороший способ - купить карту Amazon и обменять ее на биткоины. Если у вас возникнут трудности, напишите нам, мы можем предложить варианты. Но у нас нет других способов оплаты, кроме биткоинов.
Также вы можете использовать Google, чтобы найти информацию о том, как купить биткоины в вашей стране, или воспользоваться помощью более опытных друзей.
5. Как я могу расшифровать мои файлы?
После подтверждения оплаты (обычно это занимает 1 час, максимум 24 часа) вы получите письмо с расшифровщиком и инструкции для него.
ПРЕДУПРЕЖДЕНИЕ!
Использование сторонних решений может навсегда уничтожить ваши файлы.
А использование чужого расшифровщика уничтожит их с вероятностью 100 процентов.
О биткойнах:
https://en.wikipedia.org/wiki/Bitcoin

Технические детали

Проникает и шифрует данные на сетевых (облачных, NAS, Network Attached Storage) хранилищах.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: usernamus@protonmail.com
Email: basilisque@protonmail.com, basilisque@secmail.pro
Bitmessage: BM-NBaT69FJpQ2V8FVskyw7RdJ5FPvnRtcZ
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Basilisque Locker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

LILU, Lilocked

Lilocked Ransomware
LILU Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на веб-сайтах и серверах, Linux системах с помощью AES, а затем требует выкуп в 0.001 - 0.01 и более BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Linux.Encoder.66

ALYac -> Trojan.Ransom.Linux.Gen
BitDefender -> Trojan.Linux.Lilock.A

Kaspersky -> HEUR:Trojan-Ransom.Linux.Lilock.a

Microsoft -> Trojan:Linux/Multiverze

TrendMicro -> Ransom.Linux.LILOCKED.THIAOAIA

---

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .lilocked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2019 г., но продолжалась весь июль. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

В подтверждение начальной даты мы обнаружили несколько скомпрометированных сайтов с зашифрованными файлами и расставили их по датам зашифрованных файлов. 

Записка с требованием выкупа называется: #README.lilocked

Содержание записки о выкупе:
WE APOLOGIZE BUT YOU NEED TO PAY THE RANSOM - ALL YOUR FILES HAS BEEN LILOCKED
IT IS STRONG ENCRYPTION AND YOU LOSS YOUR DATA UNLESS YOU PAY US
PLEASE VISIT OUR SITE WITH TOR 
https://www.torproject.org/download/ 
y7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion
COPY THE FOLLOWING KEY THERE AND FOLLOW THE INSTRUCTIONS, YOUR KEY IS
99dc9f575a0c90aac37b13c68bf82a7be88de2521a696f9778dfe94108790d9fb52***

Перевод записки на русский язык:
МЫ ИЗВИНЯЕМСЯ, НО ВЫ ДОЛЖНЫ ЗАПЛАТИТЬ ВЫКУП - ВСЕ ВАШИ ФАЙЛЫ БЫЛИ LILOCKЕНЫ
ЭТО НАДЕЖНОЕ ШИФРОВАНИЕ И ВЫ ПОТЕРЯЕТЕ ВАШИ ДАННЫЕ, ЕСЛИ НЕ ЗАПЛАТИТЕ НАМ
ПОЖАЛУЙСТА, ПОСЕТИТЕ НАШ САЙТ С TOR 
https://www.torproject.org/download/ 
y7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion
СКОПИРУЙТЕ СЛЕДУЮЩИЙ КЛЮЧ ТУДА И СЛЕДУЙТЕ ИНСТРУКЦИЯМ, ВАШ КЛЮЧ ЭТО
99dc9f575a0c90aac37b13c68bf82a7be88de2521a696f9778dfe94108790d9fb52***

 

Сообщение на сайте вымогателей после ввода ключа: 
Dear, you damn too fast. Please, wait until I update my database or contact me via email xijintao@tutanota.com

Перевод сообщения на русский язык:
Дорогой, ты жутко быстр. Подожди, пока я обновлю базу данных или пиши мне на email xijintao@tutanota.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Шифровальщик после шифрования самоудаляется. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
#README.lilocked
<random>.exe - случайное название вредоносного файла

Расположения:
/tmp/bin/****.elf

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxx://y7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion
Email: xijintao@tutanota.com
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 5 сентября 2019:
Пост в Твиттере >>
Статья на сайте BleepingComputer >>
Расширение: .lilocked
Записка: #README.lilocked
URL: hxxx://y7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion
Email: xijintao@tutanota.com
BTC: 1KxvqPWMVpCzjx7TevBY3XbMeFNj85Keef

➤ Содержание текста в записке:
I'VE ENCRYPTED ALL YOUR SENSITIVE DATA!!! IT'S A STRONG ENCRYPTION, SO DON'T BE NAIVE TO RESTORE IT;)
YOU CAN BUY A DECRYPTION KEY FOR A SMALL AMOUNT OF BITCOINS!
YOU HAVE 7 DAYS TO DECRYPT YOUR FILES OR YOUR DATA WILL BE PERMANENTLY LOST!!!
PLEASE VISIT MY SITE WITH TOR BROWSER https://www.torproject.org/download/
hxxx://v7mfrrjkzql32nwcmgzwp3zxaqktqywrwvzfni4hm4sebtpw5kuhjzqd.onion

COPY THE FOLLOWING KEY THERE AND FOLLOW THE INSTRUCTIONS! (L2)
YOUR KEY IS
[key]
---
➤ Содержание текста на странице сайта:
Hi: dear, I apologize but I've encrypted all your data:)
Don't worry - I'll give it back in exchange for small amount of bitcoins
Let me help You with some instructions...
Download bitcoin wallet, Electrum is ok hxxxs://electram.org/#download
Then go to https://localbitcoins.com/buy_bitcoins and find a seller in your country
Transfer 0.030 BTC to this wallet 1KxvqPWMVpCzjx7TevBY3XbMeFNj85Keef
Return to this site to get your key
In case of any problems you can contact me at xijintao@tutanota.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Lilocked)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam, JAMESWT
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

BoooamCrypt

BoooamCrypt Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке назван как virus-encoder. На файле написано: нет данных.

Обнаружения: 
DrWeb -> Trojan.Encoder.28053
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1
ESET-NOD32 -> A Variant Of Win32/Filecoder.NTV
Malwarebytes -> Ransom.GetCrypt
VBA32 -> BScope.TrojanRansom.Encoder
Symantec -> Ransom.Crysis

© Генеалогия: ✂️ GetCrypt (только текст записки) + другой код > BoooamCrypt

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .boooam@cock_li

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя пришлась найден в начале июля 2019 г. Штамп времени: 22 августа 2018. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_DECRYPT_FILES.html

Содержание записки о выкупе:
Your computer has been attacked by virus-encoder.
All your files are now encrypted using cryptographycalli strong aslgorithm. 
Without the original key recovery is impossible. 
TO GET YOUR DECODER AND THE ORIGINAL KEY TO DECRYPT YOUR FILES YOU NEED TO EMAIL US AT: boooamg@cock.li 
It is in your interest to respond as soon as possible to ensure the restoration of your files.

Перевод записки на русский язык:
Ваш компьютер был атакован вирусом-шифратором.
Все ваши файлы зашифрованы криптографически сильным алгоритмом.
Без оригинального ключа восстановление невозможно.
ЧТОБЫ ПОЛУЧИТЬ ВАШ ДЕКОДЕР И ОРИГИНАЛЬНЫЙ КЛЮЧ ДЛЯ ДЕШИФРОВКИ ВАШИХ ФАЙЛОВ ВАМ НАДО НА НАШ EMAIL: boooamg@cock.li
В ваших интересах ответить быстро, чтобы обеспечить восстановление ваших файлов.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ В отличие от GetCrypt Ransomware использует библиотеку Libsodium.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_FILES.html
a55086648784.exe
<random>.exe - случайное название вредоносного файла
encryption_key

Содержание файла encryption_key

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: boooam@cock.li
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet
 ID Ransomware (ID as BoooamCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 CyberSecurity GrujaRS, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.