ExpBoot

ExpBoot Ransomware

(фейк-шифровальщик) (первоисточник)
Translation into English

Этот крипто-вымогатель делает вид, что шифрует данные пользователей, а затем требует перейти на китайский сайт и "зарядить батарейки" определенному пользователю, чтобы вернуть файлы. Прилагается небольшой FAQ. Оригинальное название: ExpBoot. На файле написано: ExpBoot.exe. Разработчик: MIAIONE

Обнаружения: 
DrWeb -> Trojan.Encoder.28769, Trojan.Encoder.28782
BitDefender -> Trojan.Agent.EADR, Trojan.GenericKD.41445542, Gen:Variant.Ser.Ursu.9261
Rising -> Ransom.Encoder!8.FFD4 (CLOUD), Ransom.ExpBoot!1.BA07 (CLOUD)

© Генеалогия: T1Happy и другие >> ExpBoot

Изображение — логотип статьи (использован аватар разработчика)

К незашифрованным файлам добавляется расширение: .ExpBoot

Чтобы вернуть к ним доступ, нужно убрать это расширение у нужных файлов. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в начале июля 2019 г. Ориентирован на англоязычных и китайских пользователей, что не мешает распространять его по всему миру. Штамп времени: фиктивная дата. Может быть связан с CXK-NMSL Ransomware. 

Запиской с требованием выкупа выступает розовый экран блокировки и некий FAQ.

Из-за ошибок в работе программы удалось получить только такой скриншот. далее окно программы зависает, а потом его можно закрыть. 

Содержание текста FAQ:
Q: What is wrong with my file?
A: Oops, your important files are encrypted. This means you will no longer be able to access them until you decrypt them.
If you follow our instructions, we guarantee that you can decrypt all files quickly and safely!

Q: What should I do?
A: First of all, you need to pay a service fee for decryption, a total of 10,000 batteries.
Please charge 10,000 batteries to this user (UID: 185636167)
Follow the instructions! (You may need to temporarily disable anti-virus software.)
After opening the link, click the charging button on the right to charge 10,000 batteries and leave a message for your contact. (only for your email)

Q: How can I believe it?
A: Don't worry about decryption.
We will definitely decrypt your files, because if we deceive users, no one will trust us.

Перевод записки на русский язык:
Вопрос: Что не так с моим файлом?
Ответ: Упс, ваши важные файлы зашифрованы. Это значит, что вы больше не сможете получить к ним доступ, пока не расшифруете их.
Если вы будете следовать нашим инструкциям, мы гарантируем, что вы сможете быстро и безопасно расшифровать все файлы!

В: Что мне делать?
О: Прежде всего, вам надо оплатить сервисный сбор за расшифровку, всего 10.000 батарей.
Пожалуйста, зарядите 10.000 батарей этому пользователю (UID: 185636167)
Следуй инструкциям! (Возможно, вам придется временно отключить антивирусную программу.)
Открыв ссылку, нажмите кнопку зарядки справа, чтобы зарядить 10.000 батарей и оставьте сообщение для вашего контакта. (только для вашей email)

В: Как я могу в это поверить?
О: Не беспокойтесь о расшифровке. 
Мы обязательно расшифруем ваши файлы, т.к., если мы обманем пользователей, никто не будет доверять нам.

Пояснения: 

В тексте говорится, что нужно перейти по ссылке (xxxxs://space.bilibili.com/185636167) на китайский сайт и зарядить батарейки пользователю сайта bilibili.com UP QQ 1913810942 MIAIONE. 

Это и есть зарядка, если перевести на русский язык. 

Технические детали

Распространяется разными обманными путями, разобраться или запутаться в китайских хитросплетениях может только китайский пользователь. Позже разработчик с ником MIAIONE вышел на связь и сказал, что он не пытался это распространять, не пытался кому-то причинить вред. Он сделал это для исследования и улучшения защиты. Видимо так и не понял, что подобные "исследования" являются распространением вредоносных программ, как ни крути. 

После доработки вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
На самом деле файлы не шифруются, но после добавления расширения могут оказаться недоступны.  
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ExpBoot.exe
taskmgr.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Название проекта: 
D:\DESKTOP\Bootloader\ExpBoot\obj\Release\ExpBoot.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxxs://space.bilibili.com/185636167
Email: ExpBoot@yeah.net, miaione@yeah.net 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >> AR>> AR >> AR>> AR>> AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновления от 11 июля 2019:
Результаты анализов: VT + AR

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Ничего не надо расшифровывать!
Файлы в этой версии не зашифрованы!
Просто удалите расширение .ExpBoot и пользуйтесь дальше. 
Групповое переименование файлов есть в TotalCommander 
Меню "Файл" - "Групповое переименование" - "Расширение" ...
Возьмите для теста небольшую группу файлов. Далее будет понятно. 

 Read to links: 
 Tweet on Twitter + Tweet + myTweet + Tweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

  - Видеообзоры атаки ExpBoot Ransomware  

 Thanks: 
 Petrovic, JAMESWT, Marcelo Rivero
 Andrew Ivanov (author)
 ANY.RUN
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Eris

Eris Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20 + RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке написано ERIS RANSOMWARE. На файле написано: нет данных. Написан на языке Go. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Обнаружения: 
DrWeb -> Trojan.Encoder.28779, Trojan.DownLoader9.27474, Trojan.Encoder.29317
Malwarebytes -> Ransom.Eris
BitDefender -> Gen:Variant.Nebuler.12, Gen:Win32.ProcessHijack.0GZ@aW9BYYei, Gen:Variant.Razy.477853
Avira (no cloud) -> TR/ATRAPS.Gen, TR/RedCap.zrgrn
ESET-NOD32 -> A Variant Of Generik.GGUKEUL, A Variant Of Win32/Filecoder.Eris.B
Malwarebytes -> Ransom.Eris
Symantec -> ML.Attribute.HighConfidence, Downloader

Изображение — только голотип статьи

К зашифрованным файлам добавляется расширение: .ERIS


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: @ READ ME TO RECOVER FILES @.txt

Содержание записки о выкупе: 
***                                                                                  ***
*** READ THIS FILE CAREFULLY TO RECOVERY YOUR FILES ***
***                                                                                  ***
ALL OF YOUR FILES HAVE BEEN ENCRYPTED BY "ERIS RANSOMWARE"!
USING STRONG ENCRYPTION ALGORITHM.
Every your files encrypted with unique strong key using "Salsa20" encryption algorithm:
https://en.wikipedia.org/wiki/Salsa20
Which is protected by RSA-1024 encryption algorithm:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
shadow copy, F8 or recuva and other recovery softwares cannot help you, but cause Irreparable damage to your files!
Technically no way to restore your files without our help.
we only accept cryptocurrency Bitcoin (BTC) as payment method! for cost of decryption service.
https://wikipedia.org/wiki/Cryptocurrency
https://wikipedia.org/wiki/Bitcoin
For speed and easily, please use localbitcoins website to purchase Bitcoin:
https://localbitcoins.com
* WE OFFER YOU 1 FREE FILE DECRYPTION (<1024 KB) WITHOUT ANY COST! TO TRUST OUR HONESTY BEFORE PAYMENT.
  THE SIMPLE FILE MUST NOT BE ARCHIVED!
-----BEGIN ERIS IDENTIFICATION-----
22deCbsMqoTVKmPJ5UrVqKYNC5ptPwaiCxbcnUqQGfMwnfeKSNb65ui3P63iFtVU
iqHBap7sVVsprktGspqZHqVuQiG4XptG9AFWMbBm7gZPr41aLgTxCZsyTVE5cGUr
izcB2fL2otEouPEk1Bx799FPxWwsN68uYB6tEdLTkedvcRyuok8331XR1Mh1kR7R
**********
-----END ERIS IDENTIFICATION-----
=================================================================
   (Decryption Instructions)
1. Send your "ERIS IDENTIFICATION" with one simple of your encrypted files (<1024 KB) to our email address:
   limaooo@cock.li
2. Wait for reply from us.
   (usually in some hour)
3. Confirm your simple files are decrypted correct and ask us how to pay to decrypt all your files.
4. We will send you payment instructions in Bitcoin.
5. You made payment and send us TXID of Bitcoin transfer.
6. After we confirm the payment, you will soon get decryption package and everything back to normal.
* IN CASE OF FOLLOWING OUR INSTRUCTION,
  FAST AND EASILY EVERYTHING IS BACK TO NORMAL LIKE THAT NEVER HAPPENED!
  BUT IF YOU USE OTHER METHODS (THAT NEVER EVER HELPS) YOU JUST DESTROY EVERYTHING FOR GOODNESS!
  BE A SMART AND SAVE YOUR FILES! NOT A FOOL!
=================================================================
===============================
* DO NOT MODIFY ENCRYPTED FILES
* DO NOT MOVE ENCRYPTED FILES
* DO NOT USE RECOVERY SOFTWARES
===============================
=================================================================
(Frequently Asked Questions)
Q: I can not pay for it, what I do now?
A: Format your hard disk, re-install your softwares and start everything from begin!
Q: What a guarantee I can recovery my files after payment?
A: There is no any reason for us to do not give you decryption software and your special key.
   The only our goal is help you not hurt!
=================================================================

Перевод записки на русский язык:
*** ***
*** ПРОЧТИТЕ ЭТОТ ФАЙЛ ВНИМАТЕЛЬНО, ЧТОБЫ ВОССТАНОВИТЬ ФАЙЛЫ ***
*** ***
ВСЕ ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ "ERIS RANSOMWARE"!
ИСПОЛЬЗОВАН СИЛЬНЫЙ АЛГОРИТМ ШИФРОВАНИЯ.
Все ваши файлы зашифрованы уникальным ключом с алгоритмом шифрования "Salsa20":
https://en.wikipedia.org/wiki/Salsa20
Который защищен алгоритмом шифрования RSA-1024:
https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Shadow Copy, F8 или Recuva и другие программы восстановления не помогут вам, но нанесут непоправимый ущерб вашим файлам!
Технически нет способа восстановить ваши файлы без нашей помощи.
Мы принимаем только криптовалюту Биткоин (BTC) как способ оплаты! за стоимость услуги дешифрования.
https://wikipedia.org/wiki/Cryptocurrency
https://wikipedia.org/wiki/Bitcoin
Для скорости и простоты, пожалуйста, используйте сайт localbitcoins для покупки биткоинов:
https://localbitcoins.com
* МЫ ПРЕДЛАГАЕМ ВАМ БЕСПЛАТНУЮ РАСШИФРОВКУ 1 ФАЙЛА (<1024 КБ) БЕЗ ОПЛАТЫ! КАК ДОВЕРИЕ НАШЕЙ ЧЕСТНОСТИ ДО ОПЛАТЫ.
  ПРОСТОЙ ФАЙЛ НЕ ДОЛЖЕН БЫТЬ В АРХИВЕ!
----- НАЧАЛО ERIS ИДЕНТИФИКАЦИИ -----
22deCbsMqoTVKmPJ5UrVqKYNC5ptPwaiCxbcnUqQGfMwnfeKSNb65ui3P63iFtVU
iqHBap7sVVsprktGspqZHqVuQiG4XptG9AFWMbBm7gZPr41aLgTxCZsyTVE5cGUr
izcB2fL2otEouPEk1Bx799FPxWwsN68uYB6tEdLTkedvcRyuok8331XR1Mh1kR7R
**********
----- КОНЕЦ ERIS ИДЕНТИФИКАЦИИ -----
================================================== ===============
   (Инструкция по расшифровке)
1. Отправьте свою "ERIS ИДЕНТИФИКАЦИЮ" с одним простым из ваших зашифрованных файлов (<1024 КБ) на наш email-адрес:
   limaooo@cock.li
2. Ждите ответа от нас.
   (обычно через час)
3. Убедитесь, что ваши простые файлы расшифрованы правильно и спросите нас, как оплатить расшифровку всех ваших файлов.
4. Мы вышлем вам инструкции по оплате в биткоинах.
5. Вы произвели оплату и отправили нам TXID перевода биткоина.
6. После подтверждения оплаты вы вскоре получите пакет для расшифровки и все вернется в норму.

В СЛУЧАЕ СЛЕДОВАНИЯ НАШЕЙ ИНСТРУКЦИИ,

   БЫСТРО И ЛЕГКО ВСЕ ПРИХОДИТ В НОРМУ, ТАКОГО НИКОГДА НЕ БЫЛО!

   НО ЕСЛИ ВЫ ИСПОЛЬЗУЕТЕ ДРУГИЕ МЕТОДЫ (КОТОРЫЕ НИКОГДА НЕ ПОМОГУТ), ВЫ ПРОСТО УНИЧТОЖИТЕ ВСЕ ЦЕННОЕ!

   БУДЬ УМНЫМ И СОХРАНИ СВОИ ФАЙЛЫ! НЕ ДУРИ!

================================================== ===============

===============================

* НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ

* НЕ ПЕРЕМЕЩАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ

* НЕ ИСПОЛЬЗУЙТЕ ПРОГРАММЫ ДЛЯ ВОССТАНОВЛЕНИЯ

===============================

================================================== ===============

(Часто задаваемые вопросы)

Q: Я не могу заплатить за это, что мне делать сейчас?

О: Отформатируйте жесткий диск, переустановите программы и начните все с начала!

В: Какую гарантию, что я восстановлю мои файлы после оплаты?

О: У нас нет никаких причин не предоставлять вам программу для дешифрования и ваш специальный ключ.

   Единственная наша цель - помочь вам не навредить!

================================================== ===============

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов (Azera EK), веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует критическую 0-day уязвимость CVE-2018-15982. Для защиты необходимо установить патч. Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
@ READ ME TO RECOVER FILES @.txt
Server.exe
dev_man.exe
<random>.exe - случайное название вредоносного файла
eris.was
l.bat
00000000.pky
00000000.eky
flash.swf

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\eris.was
C:\Windows\00000000.pky
C:\ProgramData\00000000.pky
C:\ProgramData\00000000.eky
C:\dev_man.exe
C:\l.bat

Маркер файлов: 
Оставляет файловый маркер "_FLAG_ENCRYPTED_", добавленный к файлам.

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: limaooo@cock.li
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.


Примечательно, что в раннем варианте, представленном выше email начинался с маленькой буквы "l", а потом его заменили на большую букву "L". limaooo@cock.li - > Limaooo@cock.li

Результаты анализов:
Ⓗ Hybrid analysis >> (файл упакован PECOMPACT)
𝚺  VirusTotal analysis >> 
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 8 июля 2019:
Пост в Твиттере >>
Расширение: .ERIS
Записка: @ READ ME TO RECOVER FILES @.txt
Email:
Файл EXE: Server.exe
Результаты анализов: VT + HA + VMR

Обновление от 18 августа 2019:
Пост в Твиттере >>
Расширение .ERIS
Записка: @ READ ME TO RECOVER FILES @.txt
Email: unlockme123@protonmail.com
Результаты анализов: VT + AR

Обновление от 23 августа 2019:
Пост в Твиттере >>
Версия: v2.0.3
Расширение: .JUBE2
Записка: HELP-JUBE2.txt

Обновление от 9-10 октября 2019:
Версия: v2.0.3
Пост в Твиттере >>
Расширение: .PO1HG
Записка: HELP-PO1HG.txt

 

Результаты анализов: VT
DNS: extreme-ip-lookup.com
d9d120a3.ngrok.io
www.download.windowsupdate.com

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Eris)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, Petrovic
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Basilisque Locker

Basilisque Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на сетевых (облачных, NAS, Network Attached Storage) хранилищах с помощью AES-128 (режим CBC), а затем требует выкуп от 100$ до 500$ BTC, чтобы вернуть файлы. Оригинальное название: Basilisque Locker (указано в записке). На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение василиска — только логотип статьи

К зашифрованным файлам добавляется расширение: .basilisque@protonmail_com

Название зашифрованного файла изменяется. Пример зашифрованного файла: cm9sbHVwLnBuZw==.basilisque@protonmail_com

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первый пострадавший из Испании. Атака произошла в июне 2019. 

Записка с требованием выкупа называется: HOW_TO_DECRYPT.txt

Содержание записки о выкупе:
What happened to your files ?
All of your files were protected by a strong encryption with AES cbc-128 using Basilisque Locker!
What does this mean ?
This means that the structure and data within your files have been irrevocably changed, 
you will not be able to work with them, read them or see them,
it is the same thing as losing them forever, but with our help, you can restore them.
The encryption key and ID are unique to your computer, so you are guaranteed to be able to return your files.
Your unique id: 37c3b87fb83c71471559d3ff73b72***
Date of encrypt: Sunday, June 16, 2019 5:29:31 PM UTC
What do I do ?
You can buy decryptor from us!
How much is it?
In first 24 hours after encryption - 100$
In three days - 150$
In 12 days - 250$
After(if it is still possible*)  - 500$
But if you want to decrypt few files as a test check the price will be increased by $ 25 for every single file. (This is described in more detail below in FAQ p.3)
*We can delete keys as time passes.
How to buy?
1. First buy the bitcoins for the right amount. How to do this is written below.
2. Contact us by email usernamus@protonmail.com . Specify your ID in the subject.
3. You will get bitcoin wallet to pay.
4. Send bitcoins to wallet address from email(how to buy bitcoins read below in FAQ p.4)
5. When you pay, write to us again(don't forget to enter your ID in the subject of letter if you start new conversation)
6. You will get decryptor and instructions for it after you payment get 1 confirmation on blockchain
(this usually takes about 1 hour, but sometimes(rarely) it can take up to 24 hours).
7. If you don't get reply in 24 hours after you get payment or after 4 hours after you payment get confirmation or after 4 hours after first message(wallet ask) please contact us one of different ways listed in FAQ(2 part). 
FAQ:
1.How much time do I have to pay for decryption?
You have 12 days to pay after you files was encrypted. Maybe after that you can also buy the decryptor, but maybe not, cause keys could be deleted after some time since the end of the term.
But remember - The faster you pay, the cheaper it will be. 
The number of bitcoins for payment you can calc here https://www.coingecko.com/en/coins/bitcoin
Keep in mind that some exchangers delay payment for 1-3 days!** Also keep in mind that Bitcoin is a very volatile currency, its rate can change very quickly. Therefore, we recommend that you make payment within a few hours.
But if you are mistaken for a couple of dollars - no big deal.
**In that case you can ask for discount(If exchanger caused a delay in payment.). For this you need to write to us immediately after you have learned about it and provide screenshots confirming your exchange
2.How to contact you?
a) Main contact is email - basilisque@protonmail.com . (Backup option: basilisque@secmail.pro )
b) Second contact is  bitmessage ( https://bitmessage.org/wiki/Main_Page ) - BM-NBaT69FJpQ2V8FVskyw7RdJ5FPvnRtcZ
Email is fastest, but bitmessage is the most reliable. 
If you not get answer after 4 hours after first message(wallet ask) please use another contact. This may be cause email is dead. But we are sure that nothing will happen with bitmessage and you can get an answer there anyway.
3.What are the guarantees that I can decrypt my files after paying the ransom?
We can decrypt some test files for you if you don't believe us. 
But it will raise the amount of ransom by $25 for every decrypted file and maximum time to pay will be decreased from 12 to 3 days. If you don't pay in 3 days, than you ransom will be increased to 500$ or keys will be deleted.
Important! The size of each file must be less than 5mb. 
You will get uncrypted files back in few hours.
After this procedure you can make sure that we can decrypt all your files after paying the ransom. 
We have no reason to deceive you after receiving the ransom, since we are not barbarians and moreover it will harm our business.
A few examples:
a)You paying in first 24 hours(100$) after encryption and don't want decrypt test files = 100$
b)You paying on 2nd(150$) day after ecryption and want to decrypt 1 test file(25$) = 175$
c)You paying on 4th(250$) day after encryption and want to decrypt 2 test file(25$*2) =  300$
d)You paying on 13th(500$) day after encryption(if it possible) and want to decrypt 3 test files(25$*3) = 575$
4.How do I pay the ransom?
After decrypting the test files, you will see the amount of payment in bitcoins and a bitcoin wallet for payment. 
Depending on your location, you can pay the ransom in different ways. 
Here are some links:
https://localbitcoins.net - buy bitcoins in most countries with huge number of ways.
https://buy.blockexplorer.com - payment by bank card 
https://www.buybitcoinworldwide.com - links for exhcanges in other countries.
https://paxful.com - like localbitcoins.
In many countries there are Bitcoins ATM where you can buy bitcoins by cash in few minutes. Other good way is buy amazon card and exchange it for bitcoins. If you encounter difficulties write to us, we can suggest options. But we have no other payment methods except bitcoins.
Also you can use Google to find information on how to buy bitcoins in your country or use the help of more experienced friends. 
5.How can I decrypt my files?
After confirmation of payment (it usually takes 1 hours, maximum 24 hours) you will get letter with decryptor and instructions for it.
WARNING!
Using third-party solutions can permanently destroy your files.
And the use of someone else’s decryptor will destroy them with a probability of 100 percent.
About Bitcoins:
https://en.wikipedia.org/wiki/Bitcoin

Перевод записки на русский язык:
Что случилось с вашими файлами?
Все ваши файлы были защищены надежным шифрованием с AES cbc-128 с использованием Basilisque Locker!
Что это значит ?
Это значит, что структура и данные в ваших файлах безвозвратно изменены, вы не сможете работать с ними, читать или видеть их,
это то же самое, что потерять их навсегда, но с нашей помощью вы сможете их восстановить.
Ключ шифрования и ID уникальны для вашего компьютера, поэтому вы гарантированно сможете вернуть свои файлы.
Ваш уникальный ID: 37c3b87fb83c71471559d3ff73b72***
Дата шифрования: воскресенье, 16 июня 2019 г., 17:29:31 UTC
Что мне делать?
Вы можете купить декриптор у нас!
Сколько это стоит?
В первые 24 часа после шифрования - 100$
За три дня - 150$
За 12 дней - 250$
После (если это все еще возможно*) - 500$
Но если вы хотите расшифровать несколько файлов в качестве теста, цена будет увеличена на 25$ за каждый отдельный файл. (Это описано более подробно ниже в FAQ стр.3)
* Мы можем удалить ключи со временем.
Как купить?
1. Сначала купите биткоины на нужную сумму. Как это сделать написано ниже.
2. Свяжитесь с нами по email usernamus@protonmail.com. Укажите свой ID в теме.
3. Вы получите биткоин-кошелек для оплаты.
4. Отправьте биткоины на адрес кошелька (как купить биткойны читайте ниже в FAQ стр.4)
5. Когда вы заплатите, напишите нам снова (не забудьте ввести свой ID в теме письма, если вы начинаете новый разговор)
6. Вы получите расшифровщик и инструкции для него после оплаты получите 1 подтверждение на блокчейне
(обычно это занимает около 1 часа, но иногда (редко) это может занять до 24 часов).
7. Если вы не получите ответ в течение 24 часов после получения платежа или через 4 часа после подтверждения оплаты или через 4 часа после первого сообщения (запрос на кошелек), пожалуйста, свяжитесь с нами одним из способов, перечисленных в разделе FAQ (2 часть) ,
FAQ:
1. Сколько времени мне нужно платить за расшифровку?
У вас есть 12 дней для оплаты после того, как ваши файлы были зашифрованы. Возможно, после этого вы также можете купить расшифровщик, но, возможно, нет, потому что ключи могут быть удалены через некоторое время после окончания срока.
Но помните: чем быстрее вы заплатите, тем дешевле будет.
Количество биткоинов для оплаты вы можете рассчитать здесь https://www.coingecko.com/en/coins/bitcoin
Имейте в виду, что некоторые обменники задерживают платеж на 1-3 дня! ** Также имейте в виду, что Биткоин является очень волатильной валютой, его курс может меняться очень быстро. Поэтому мы рекомендуем произвести оплату в течение нескольких часов.
Но если вы ошиблись за пару долларов - ничего страшного.
** В этом случае вы можете попросить скидку (если обменник вызвал задержку платежа.). Для этого вам надо написать нам сразу после того, как вы узнали об этом, и предоставить скриншоты, подтверждающие ваш обмен
2. Как с вами связаться?
а) Главный контакт - email - basilisque@protonmail.com. (Резервный вариант: basilisque@secmail.pro)
б) Второй контакт - bitmessage (https://bitmessage.org/wiki/Main_Page) - BM-NBaT69FJpQ2V8FVskyw7RdJ5FPvnRtcZ
Email быстрее, но Bitmessage надежнее.
Если вы не получите ответ через 4 часа после первого сообщения (спросите кошелек), пожалуйста, используйте другой контакт. Это может быть причиной того, что email мертва. Но мы уверены, что с bitmessage ничего не произойдет, и вы все равно можете получить ответ.
3. Каковы гарантии того, что я смогу расшифровать свои файлы после выплаты выкупа?
Мы можем расшифровать некоторые тестовые файлы для вас, если вы нам не верите.
Но это увеличит сумму выкупа на 25 долларов за каждый расшифрованный файл, а максимальное время оплаты будет уменьшено с 12 до 3 дней. Если вы не заплатите в течение 3 дней, выкуп будет увеличен до 500$ или ключи будут удалены.
Важный! Размер каждого файла должен быть менее 5 МБ.
Вы получите незашифрованные файлы через несколько часов.
После этой процедуры вы можете убедиться, что мы можем расшифровать все ваши файлы после выплаты выкупа.
У нас нет причин обманывать вас после получения выкупа, поскольку мы не варвары и, более того, это нанесет ущерб нашему бизнесу.
Несколько примеров:
а) Вы платите в первые 24 часа (100$) после шифрования и не хотите расшифровывать тестовые файлы = 100$
б) Вы платите на 2-й (150$) день после шифрования и хотите расшифровать 1 тестовый файл (25$) = 175$
c) Вы платите на 4-й (250$) день после шифрования и хотите расшифровать 2 тестовых файла (25$ * 2) = 300$
d) Вы платите на 13-й (500$) день после шифрования (если это возможно) и хотите расшифровать 3 тестовых файла (25$ * 3) = 575$
4. Как я могу заплатить выкуп?
После расшифровки тестовых файлов вы увидите сумму оплаты в биткоинах и биткоин-кошелек для оплаты.
В зависимости от вашего местоположения вы можете заплатить выкуп разными способами.
Вот несколько ссылок:
https://localbitcoins.net - покупайте биткоины в большинстве стран с огромным количеством способов.
https://buy.blockexplorer.com - оплата банковской картой
https://www.buybitcoinworldwide.com - ссылки на обмены в других странах.
https://paxful.com - как местные биткоины.
Во многих странах есть биткоин-банкоматы, где вы можете купить биткоины наличными за считанные минуты. Другой хороший способ - купить карту Amazon и обменять ее на биткоины. Если у вас возникнут трудности, напишите нам, мы можем предложить варианты. Но у нас нет других способов оплаты, кроме биткоинов.
Также вы можете использовать Google, чтобы найти информацию о том, как купить биткоины в вашей стране, или воспользоваться помощью более опытных друзей.
5. Как я могу расшифровать мои файлы?
После подтверждения оплаты (обычно это занимает 1 час, максимум 24 часа) вы получите письмо с расшифровщиком и инструкции для него.
ПРЕДУПРЕЖДЕНИЕ!
Использование сторонних решений может навсегда уничтожить ваши файлы.
А использование чужого расшифровщика уничтожит их с вероятностью 100 процентов.
О биткойнах:
https://en.wikipedia.org/wiki/Bitcoin

Технические детали

Проникает и шифрует данные на сетевых (облачных, NAS, Network Attached Storage) хранилищах.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT.txt
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: usernamus@protonmail.com
Email: basilisque@protonmail.com, basilisque@secmail.pro
Bitmessage: BM-NBaT69FJpQ2V8FVskyw7RdJ5FPvnRtcZ
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Basilisque Locker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.