Mespinoza, Pysa

Mespinoza Ransomware

Pysa Ransomware

Mespinoza (Pysa) Doxware

Mespinoza (Pysa) Hand-Ransomware

(шифровальщик-вымогатель, публикатор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные на ПК бизнес-пользователей и компаний с помощью AES, а затем требует написать на email вымогателей, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: в записке не указано. На файле написано: 1.exe, 51.exe или что-то еще. 

Вымогатели, распространяющие Mespinoza-Pysa, стали угрожать опубликовать украденные данные с целью усиления давления на жертву (отсюда дополнительное название — публикатор). Как известно из других Ransomware, для этого операторы-вымогатели начинают кражу данных ещё перед шифрованием файлов. Об этих акциях вымогателей сообщалось в СМИ. На момент публикации статьи, не было известно о публикациях украденных данных, вымогатели только угрожали. 
---
Обнаружения:
DrWeb -> Trojan.Encoder.30075, Trojan.Encoder.30386, Trojan.Encoder.30815
BitDefender -> Gen:Heur.Ransom.REntS.Gen.1, Gen:Variant.Ransom.Dee.1
Kaspersky -> UDS:DangerousObject.Multi.Generic, HEUR:Trojan-Ransom.Win32.Encoder.gen
TrendMicro -> Ransom.Win32.LOCKERGOGA.AF, Ransom.Win32.MESPINOZA.A
---
© Генеалогия: Vurten > Mespinoza, Pysa

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .locked


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на октябрь 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Readme.README

Содержание записки о выкупе:
Hi Company,
Every byte on any types of your devices was encrypted.
Don't try to use backups because it were encrypted too.
To get all your data back contact us:
mespinoza980@protonmail.com
--------------
FAQ:
1.
   Q: How can I make sure you don't fooling me?
   A: You can send us 2 files(max 2mb).
2.
   Q: What to do to get all data back?
   A: Don't restart the computer, don't move files and write us.
3.
   Q: What to tell my boss?
   A: Shit happens.

Перевод записки на русский язык:
Привет компания,
Каждый байт на любых типах ваших устройств был зашифрован.
Не пытайтесь использовать резервные копии, потому что они тоже зашифрованы.
Чтобы получить все свои данные, свяжитесь с нами:
mespinoza980@protonmail.com
--------------
ВОПРОСЫ-ОТВЕТЫ:
1.
    Q: Как я могу убедиться, что ты не обманешь меня?
    A: Вы можете отправить нам 2 файла (не более 2 МБ).
2.
    В: Что нужно сделать, чтобы вернуть все данные?
    A: Не перезагружайте компьютер, не перемещайте файлы и пишите нам.
3.
    Q: Что сказать моему боссу?
    A: Дерьмо случается.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Может останавливать процессы антивирусных программ и Windows Defender, чтобы потом беспрепятственно шифровать файлы.


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Readme.README
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mespinoza980@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Vurten Ransomware - апрель 2018
Mespinoza Ransomware - октябрь 2019
Pysa Ransomware - декабрь 2019 - январь 2020 и позже

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 10 ноября 2019:
DrWeb -> Trojan.Encoder.30075
Пост в Твиттере >>
Топик на форуме >>
Расширение: .locked
Записка: Readme.README
Email: alanson_street8@protonmail.com, lambchristoffer@protonmail.com
Файлы: 51.exe %supdater.bat
Результаты анализов: VT + HA + IA + AR

➤ Содержание записки: 
Hi Company,
Every byte on any types of your devices was encrypted.
Don't try to use backups because it were encrypted too.
To get all your data back contact us:
alanson_street8@protonmail.com
lambchristoffer@protonmail.com
--------------
FAQ:
1.
   Q: How can I make sure you don't fooling me?
   A: You can send us 2 files(max 2mb).
2.
   Q: What to do to get all data back?
   A: Don't restart the computer, don't move files and write us.
3.
   Q: What to tell my boss?
   A: Shit happens.



Вариант от 14 декабря 2019:
DrWeb -> Trojan.Encoder.30386
Пост в Твиттере >>
Расширение: .pysa
Этимология для PYSA: "Protect Your System Amigo". 

Записка: Readme.README
Email: aireyeric@protonmail.com, ellershaw.kiley@protonmail.com
Результаты анализов: VT + AR

➤ Содержание записки:
Hi Company,
Every byte on any types of your devices was encrypted.
Don't try to use backups because it were encrypted too.
To get all your data back contact us:
aireyeric@protonmail.com
ellershaw.kiley@protonmail.com
--------------
FAQ:
1.
   Q: How can I make sure you don't fooling me?
   A: You can send us 2 files(max 2mb).
2.
   Q: What to do to get all data back?
   A: Don't restart the computer, don't move files and write us.
3.
   Q: What to tell my boss?
   A: Protect Your System Amigo.



Вариант от 22 января 2020:
DrWeb -> Trojan.Encoder.30815
Пост в Твиттере >>
Расширение: .pysa
Записка: Readme.README
Email: raingemaximo@protonmail.com
gareth.mckie31@protonmail.com
Мьютекс: Pysa
Результаты анализов: VT + VMR
Этот вариант распространяется с помощью грубых атак на консоли управления и аккаунты Active Directory и PowerShell-скриптов.
код Pysa Ransomware Ransom.Win32.LOCKERGOGA.AF, довольно специфичный и короткий по сравнению с другими вымогателями. 

Вариант от 18 марта 2020 года:
Расширение: .newversion
Фактически обновленный вариант Pysa Ransomware, который был представлен ранее - в конце декабря 2019 и в январе 2020. 
Некоторые подробности см. в статье >>

=== 2021 ===

Вариант от 5 января 2021: 

DrWeb -> Trojan.Encoder.32290

Сообщение >>

Расширение: .pysa

Записка: Readme.README.txt

Дата компиляции: 1 декабря 2020. 

Результаты анализов: VT + HA

 

 

С марта 2020 участились атаки вымогателей с использованием Pysa Ransomware на американские и канадские правительственные учреждения, образовательные учреждения, частные компании и сектор здравоохранения. По последним данным, вымогатели специально нацелены на высшее образование и общеобразовательные школы K-12 (название включает 12 лет начального и среднего образования).

ФБР рекомендует не выплачивать выкуп вымогателям, поскольку уступка их требованиям, скорее всего, профинансирует их будущие атаки в этой и других областях.

ФБР понимает ущерб, который образовательные учреждения могут понести после таких атак, и призывает их как можно скорее сообщать об атаках в местное отделение ФБР или в Центр жалоб на преступления в Интернете (IC3), независимо от решения платить выкуп или нет.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Mespinoza)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, quietman7
 Andrew Ivanov (author)
 GrujaRS
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

OnyxLocker

OnyxLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью XXTEA, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Оригинальное название: OnyxLocker. На файле написано: OnyxLocker.exe. Разработчик: David.

Обнаружения:
DrWeb -> Exploit.Rtf.CVE2012-0158 + Trojan.Encoder.29682, Trojan.Encoder.30404
BitDefender -> Trojan.GenericKD.32536925, Gen:Variant.Razy.567225
Symantec -> ML.Attribute.HighConfidence

© Генеалогия: OnyxLocker > Clay, Clay 2.0

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .onx


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа (10 штук) называются: 
Прочти меня! 0 .txt
Прочти меня! 1 .txt
Прочти меня! 2 .txt
Прочти меня! 3 .txt
Прочти меня! 4 .txt
Прочти меня! 5 .txt
Прочти меня! 6 .txt
Прочти меня! 7 .txt
Прочти меня! 8 .txt
Прочти меня! 9 .txt

 

Содержание записки о выкупе:
Моя почта для связи: crypt@ctemplar.com
|||
Меня зовут David. Я зашифровал все ваши драгоценные файлы, включая изображения, видео, песни, текстовые файлы, текстовые файлы и многое другое!  Короче говоря, вы облажались ... но вам повезло. Почему это?? 
|||
Я вымогатель, который оставляет вам только 12 часов, чтобы собрать деньги и заплатить мне, затем ваши файлы будет невозможно расшифровать!) 
|||
Любые вопросы относительно разблокировки файлов, вы можете задавать написав на почту: crypt@ctemplar.com
|||
ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ:
|||
1. Могу ли я вернуть свои драгоценные файлы?
|||
Ответ: Конечно, вы можете. Есть только незначительная деталь. Вы должны заплатить, чтобы вернуть их.
|||
2. Нет другого способа вернуть мои файлы?
|||
Ответ: Нет
|||
3. Хорошо, что мне тогда делать?
Ответ: Просто вам придется заплатить 100 $ на этот биткойн-адрес: 3LV85h9s2y5c5DLi3YiACDKaR3tytmp3Lq 
|||
4. Что за хрень биткойн?
|||
Ответ: Биткойн - это криптовалюта и цифровая платежная система. Вы можете увидеть больше информации здесь: https://en.wikipedia.org/wiki/Bitcoin.
|||
5. Здесь вы можете оплатить, выбрав самый выгодный курс.
|||
Вставьте эту ссылку в адресную строку вашего браузера: https://www.bestchange.ru/visa-mastercard-rur-to-bitcoin.html

Перевод записки на русский язык:
уже сделан

Английского варианта нет. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .7zip, .acc, .accdb, .ai, .arw, .asp, .aspx, .avi, .backup, .bay, .c, .cdr, .cer, .cpp, .cr2, .crt, .crt, .crw, .cs, .csproj, .css, .css, .csv, .db, .db3, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .erf, .exe, .flv, .gif, .h, .html, .img, .indd, .ink, .jpe, .jpeg, .jpg, .js, .js, .json, .kdc, .litesql, .lnk, .log, .lua, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpeg, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .ptx, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rtf, .rtf, .rw2, .rwl, .sg, .sh, .sln, .sql, .sqlite, .sqlite3, .sr2, .srf, .srw, .tif, .tiff, .tmp, .txt, .vbs, .vlf, .wav, .wb2, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (137 расширений) и файлы без расширений. 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Прочти меня! 0 .txt
Прочти меня! 1 .txt
Прочти меня! 2 .txt
Прочти меня! 3 .txt
Прочти меня! 4 .txt
Прочти меня! 5 .txt
Прочти меня! 6 .txt
Прочти меня! 7 .txt
Прочти меня! 8 .txt
Прочти меня! 9 .txt
goload_1008_1569853988.doc
Orinal.exe (OnyxLocker.exe)
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: crypt@ctemplar.com
BTC: 3LV85h9s2y5c5DLi3YiACDKaR3tytmp3Lq 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis (dropper) >>
Ⓗ Hybrid analysis (encoder) >>
𝚺  VirusTotal analysis (dropper) >>
𝚺  VirusTotal analysis (encoder) >>
🐞 Intezer analysis (encoder) >>
ᕒ  ANY.RUN analysis (encoder) >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 20 декабря 2019:
Пост в Тивттере >>
Расширение: .onx
Записки: RECOVERY INSTRUCTIONS 0 .txt
RECOVERY INSTRUCTIONS 1 .txt
RECOVERY INSTRUCTIONS 2 .txt
RECOVERY INSTRUCTIONS 3 .txt
RECOVERY INSTRUCTIONS 4 .txt
RECOVERY INSTRUCTIONS 5 .txt
RECOVERY INSTRUCTIONS 6 .txt
RECOVERY INSTRUCTIONS 7 .txt
RECOVERY INSTRUCTIONS 8 .txt
RECOVERY INSTRUCTIONS 9 .txt

Файл: OnyxLocker.exe
Результаты анализов: VT + AR
➤ Новые обнаружения: 
DrWeb -> Trojan.Encoder.30404
BitDefender -> Gen:Variant.Razy.567225
Malwarebytes -> Ransom.OnyxLocker

Обновление от 23 января 2020:
Пост в Твиттере >>
Расширение (на русском): .кристина
Записки: Read-me!!! 0 .txt, Read-me!!! 1 .txt и далее под другими номерами
Email: crypt@ctemplar.com

Файлы: LTE.exe
Результаты анализов: VT
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30272
BitDefender -> Gen:Variant.MSILPerseus.203758
ESET-NOD32 -> A Variant Of MSIL/Filecoder.VE
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Encoder.R002C0WAH20

*** неизвестные пропущенные варианты ***

Обновление от 17 ноября 2020:

Пост в Твиттере >>
Записки: RECOVERY INSTRUCTIONS 0 .txt
RECOVERY INSTRUCTIONS 1 .txt
RECOVERY INSTRUCTIONS 2 .txt
RECOVERY INSTRUCTIONS 3 .txt
RECOVERY INSTRUCTIONS 4 .txt
RECOVERY INSTRUCTIONS 5 .txt
RECOVERY INSTRUCTIONS 6 .txt
RECOVERY INSTRUCTIONS 7 .txt
RECOVERY INSTRUCTIONS 8 .txt

Файл проекта: C:\Users\aguim\Desktop\OnyxLocker-master\OnyxLocker\obj\Debug\OnyxLocker.pdb

Примечательно, что это тот же разработчик, что и в CryptoJoker2020

➤ Список расширений целевых файлов:

 .3fr, .7z, .7zip, .acc, .accdb, .ai, .arw, .asp, .aspx, .avi, .backup, .bay, .c, .cdr, .cer, .cpp, .cr2, .crt, .crt, .crw, .cs, .csproj, .css, .css, .csv, .db, .db3, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dotx, .dwg, .dxf, .dxg, .eps, .erf, .exe, .flv, .gif, .h, .html, .img, .indd, .ink, .jpe, .jpeg, .jpg, .js, .js, .json, .kdc, .litesql, .lnk, .log, .lua, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpeg, .mrw, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pdf, .pef, .pem, .pfx, .php, .plist, .png, .ppt, .ppt, .pptm, .pptx, .ps1, .psd, .pst, .ptx, .py, .pyc, .r3d, .raf, .rar, .raw, .rb, .rtf, .rtf, .rw2, .rwl, .sg, .sh, .sln, .sql, .sqlite, .sqlite3, .sr2, .srf, .srw, .tif, .tiff, .tmp, .txt, .vbs, .vlf, .wav, .wb2, .wmi, .wmv, .wpd, .wps, .x3f, .xlk, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xml, .zip (137 расширений). 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as OnyxLocker)
 Write-up, Topic of Support
 * 

 Thanks: 
 Alex Svirid, CyberSecurity GrujaRS
 Andrew Ivanov (author)
 S!Ri
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

HackdoorCrypt3r

HackdoorCrypt3r Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: HackdoorCrypt3r. В записке написано: "HackdoorCrypt3r © By DecryptFs and a team of Pakistani Hackers".

Обнаружения:
DrWeb -> Trojan.Encoder.29282
BitDefender -> Generic.Ransom.WCryG.74DCED97

© Генеалогия: ✂️ HiddenTear >> HackdoorCrypt3r

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .hackdoor


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Штамп времени: 29 июля 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !how_to_unlock_your_file.txt

Содержание записки о выкупе:
HackdoorCrypt3r © By DecryptFs and a team of Pakistani Hackers
*************************************************
Oops! Your files have been encrypted.
If you see this text, your files are no longer accessible.
You might have been looking for a way to recover your files.
Don't waste your time, no one will be able to recover them without our
decryption service.
We guarantee that you can recover all your files safely. All you
need to do is submit the payment and get the decryption password.
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price(they add their fee to our) or you can become a victim of a scam.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free.File must not contain valuable information.
Price of private key and decrypt software is S980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
To get this software you need write on our e-mail:
DecryptFs@protonmail.com
Mark Data Restore
Your personal lD(lmportant!!!):
***
Our BTC Address:
3J1ixBvR1r7VHgu5zJV7Xhv4moKh1cGf3A
Once we confirm your payment,we will send you decrypt soft to decrypt all your file:
***

Перевод записки на русский язык:
HackdoorCrypt3r © Автор DecryptFs и группа пакистанских хакеров
*************************************************
К сожалению! Ваши файлы были зашифрованы.
Если вы видите этот текст, ваши файлы теперь недоступны.
Возможно, вы ищете способ восстановить ваши файлы.
Не тратьте свое время, никто не сможет восстановить их без нашей служба дешифрования.
Мы гарантируем, что вы можете восстановить все ваши файлы безопасно. Все, что вам нужно сделать, это отправить платеж и получить пароль для расшифровки.
Внимание!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровать ваши данные с помощью сторонних  программ, это может привести к необратимой потере данных.
* Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою плату к нашей), или вы можете стать жертвой мошенничества.
Какие у вас гарантии?
Вы можете отправить один из ваших зашифрованных файлов с вашего ПК, и мы расшифруем его бесплатно.
Но мы можем дешифровать только 1 файл бесплатно. Файл не должен содержать ценной информации.
Цена на закрытый ключ и расшифровку программного обеспечения - S980.
Скидка 50% доступна, если вы связываетесь с нами в первые 72 часа, цена для вас составит $ 490.
Обратите внимание, что вы никогда не сможете восстанавливать свои данные без оплаты.
Проверьте свой email в "Spam" и "Junk" папках, если вы не получили ответ более 6 часов.
Чтобы получить эту программу, вам необходимо написать на наш email:
DecryptFs@protonmail.com
Отметить Data Restore
Ваш личный Л.Д. (Важно!!!):
***
Наш адрес BTC:
3J1ixBvR1r7VHgu5zJV7Xhv4moKh1cGf3A
Как только мы подтвердим ваш платеж, мы вышлем вам программу для расшифровки всех ваших файлов:
***

Онлайн загружается изображение с темным фоном. Текста никакого нет.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
cmd.exe /C vssadmin.exe delete shadows /all /quiet & wmic.exe shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

Список файловых расширений, подвергающихся шифрованию:
 .1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .7zip, .aac, .ab4, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .aoi, .apj, .arw, .asf, .asm, .asp, .aspx, .asx, .avi, .awg, .back, .backup, .backup, .bak, .bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cgm, .cib, .class, .cls, .cmt, .config, .contact, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .dat, .db, .db_jou, .db3, .dbf, .dbx, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dit, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flf, .flv, .flvv, .fpx, .fxg, .gif, .gray, .grey, .groups, .gry, .h, .hbk, .hdd, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jnt, .jpe, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .ldf, .lit, .log, .lua, .m, .m2ts, .m3u, .m4p, .m4v, .mapimail, .max, .mbx, .md, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .moneyw, .mos, .mov, .mp3, .mp4, .mpeg, .mpg, .mrw, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_m, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsm, .ppsx, .ppt, .pptm, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspima, .pst, .ptx, .pwm, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rvt, .rw2, .rwl, .rwz, .s3db, .safe, .sas7bd, .sav, .save, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite, .sqlite, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tex, .tga, .thm, .tlg, .txt, .vbox, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (380 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WindowsFormsApp2.exe (d.exe)
d.pdb - оригинальное название проекта
!how_to_unlock_your_file.txt
<random>.exe - случайное название вредоносного файла
021e44da5addc20ffe5f09d9ec813f05.jpg - загруженное изображение

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Administrator\.nuget\packages\ilmerge\2.14.1208\tools\d.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Malware-URL: xxxx://btcanonymous.co/
xxxx://btcanonymous.co//api.php
URL загруженного изображения: xxxxs://sathisharthars.files.wordpress.com/2014/12/021e44da5addc20ffe5f09d9ec813f05.jpg
Email: DecryptFs@protonmail.com
BTC: 3J1ixBvR1r7VHgu5zJV7Xhv4moKh1cGfJA
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

ScareCrow

ScareCrow Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в $10 в ETH, чтобы вернуть файлы. Оригинальное название: ScareCrow RansomWare. На файле написано: нет данных.

Обнаружения:
DrWeb -> 
BitDefender -> 
ALYac -> 
Avira (no cloud) -> 
ESET-NOD32 -> 
Malwarebytes -> 
Rising -> 
Symantec -> 
TrendMicro -> 
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> ScareCrow RansomWare

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .scrcrw


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало октября 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки: 

Содержание записки о выкупе:
Hey! We encrypted your files!
---------------------------
What happened to my files?
---------------------------
We encrypted your files with a military grade algorithm, you can decrypt them only with a unique password!
---------------------------
How can i recover my files?
---------------------------
You can recover your files paying $10 in ETH at the following ETH address: 0x357fd0e7ac5421218c4ede5b3239d4e38d6ed019
Then you need to send an email to *** with a payment proof and your serial number, in 24/48 hours we will give you your password.
---------------------------
Why should i trust you?
---------------------------
For us you are only a victim in thousands, why should we scam you?
Our only goal is to have $10 and then we will decrypt all your files.
---------------------------
What is ETH?
---------------------------
The Ethereum platform is in effect a "super" distributed computer, for distributed computers we mean a global and decentralized network of computers that interact with each other sharing computational power (computing power) in order to verify transactions.
This high computational power has given the possibility to build an open-source, public and P2P (peer-to-peer) platform which, through the use of EVM (Ethereum Virtual Machine), provides users with the possibility of writing, with the Turing-complete language, smart contracts.
We know, it's a little difficult to understand, but it's simple, it's a cryptocurrency.
---------------------------
Where can i buy it?
---------------------------
You can buy Ethereum from a lot of websites, here is some:
-Coinbase (only USA. Europe and Canada) HIGHLY RECCOMENDED WEBSITE
-Coinmama
-Bit Panda (only Europe)
-CEX.io (really slow confirmation time)
---------------------------
I have the password, how can i recover my files?
---------------------------
To recover your files you need to insert the file directory (ie: C:\Users\Lory\Desktop\myfile.txt.scrcrw) and press Decrypt,
then you can rename the file and delete the .scrcrw extension.


Перевод записки на русский язык:
Привет! Мы зашифровали ваши файлы!
---------------------------
Что случилось с моими файлами?
---------------------------
Мы зашифровали ваши файлы с алгоритмом военного уровня, вы можете расшифровать их только с помощью уникального пароля!
---------------------------
Как я могу восстановить мои файлы?
---------------------------
Вы можете восстановить свои файлы, заплатив $10 в ETH на следующий ETH-адрес: 0x357fd0e7ac5421218c4ede5b3239d4e38d6ed019
Затем вам надо отправить email на *** с подтверждением оплаты и вашим серийным номером, и в течение 24/48 часов мы сообщим вам ваш пароль.
---------------------------
Почему я должен доверять тебе?
---------------------------
Для нас вы всего лишь жертва из тысяч, почему мы должны вас обманывать?
Наша единственная цель - получить $10 и тогда мы расшифруем все ваши файлы.
---------------------------
Что такое ETH?
---------------------------
Платформа Ethereum по сути является распределенным "супер" компьютером, под распределенными компьютерами мы подразумеваем глобальную и децентрализованную сеть компьютеров, которые взаимодействуют друг с другом, разделяя вычислительную мощность (вычислительную мощность) для проверки транзакций.
Эта высокая вычислительная мощность дала возможность создать общедоступную платформу с открытым исходным кодом и P2P (peer-to-peer) платформу, которая благодаря использованию EVM (Ethereum Virtual Machine) предоставляет пользователям возможность писать с помощью Turing - полный язык, умные контракты.
Мы знаем, это немного сложно понять, но это просто, это криптовалюта.
---------------------------
Где я могу это купить?
---------------------------
Вы можете купить Ethereum на многих сайтах, вот некоторые из них:
-Coinbase (только США. Европа и Канада) РЕКОМЕНДУЕМЫЙ САЙТ
-Coinmama
-Bit Panda (только Европа)
-CEX.io (очень медленное время подтверждения)
---------------------------
У меня есть пароль, как я могу восстановить мои файлы?
---------------------------
Чтобы восстановить ваши файлы, вам нужно открыть каталог с файлами (например: C:\Users\Lory\Desktop\myfile.txt.scrcrw) и нажать Decrypt,
Затем вы можете переименовать файл и удалить расширение .scrcrw.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: скрыт исследователем
ETH: 0x357Fd0e7ac5421218c4ede5b3239d4e38d6ed019
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ScareCrow)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.