Blaze

Blaze Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Blaze Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.Encoder.34363
BitDefender -> Generic.Ransom.Babuk.!s!.G.63351AD4
ESET-NOD32 -> A Variant Of Win32/Filecoder.Babyk.A
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Malware.AI.3155384457
Microsoft -> Ransom:Win32/Babuk.MAK!MTB
Rising -> Ransom.Babuk!1.D7A0 (CLOUD)
Tencent -> Malware.Win32.Gencirc.11e24979
TrendMicro -> Ransom.Win32.BABUK.SMRD1
---

© Генеалогия: Babuk (modified) >> Blaze

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине-конце декабря 2021 г. и продолжилась в январе 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .blaze

В конец каждого зашифрованного файла добавляется маркер "penetrated by blaze ransomware!!"

Записка с требованием выкупа называется: How To Decrypt.txt

Содержание записки о выкупе:

Blaze Ransomware

Your data has been stolen and encrypted.

You can communicate with us with your privacy guaranteed using https://tox.chat/download.html

Our TOX: 35F36AF07A7FD5232EB10F69DB4A6FB4AFA54A88357F0CD23816A6756FAA6F1E6462546B1727

or mail: blazesupp@protonmail.com

If you choose to ignore us and not pay the ransom, all stolen data will be published on the TOR website.

hxxx://imugmohnfb6akqz7jb6rqjusiwgnthjgm37mjygondgkwwyw3hwudkqd.onion

Caution!

Do not modify the encrypted files, otherwise you may lose them permanently.

Перевод записки на русский язык:

Blaze Ransomware

Ваши данные украдены и зашифрованы. 

Вы можете общаться с нами с вашей частной гарантией, используя https://tox.chat/download.html.

Наш TOX: 35F36AF07A7FD5232EB10F69DB4A6FB4AFA54A88357F0CD23816A6756FAA6F1E6462546B1727 

или почта: blazesupp@protonmail.com

Если вы решите игнорировать нас и не платить выкуп, все украденные данные будут опубликованы на сайте TOR.

hxxx://imugmohnfb6akqz7jb6rqjusiwgnthjgm37mjygondgkwwyw3hwudkqd.onion

Осторожно!

Не изменяйте зашифрованные файлы, иначе вы можете потерять их безвозвратно.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов с помощью команды: 

/c vssadmin.exe delete shadows /all /quiet

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Пропускаемые типы файлов: 

.blaze

.exe

.dll

Пропускаемые директории и файлы: 

AppData

Boot

Windows

Internet Explorer

Google

Opera

Opera Software

Mozilla

Mozilla Firefox

ProgramData

All Users

bootmgr

ntldr

#recycle

ADMIN$

Файлы, связанные с этим Ransomware:
How To Decrypt.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx://imugmohnfb6akqz7jb6rqjusiwgnthjgm37mjygondgkwwyw3hwudkqd.onion

Email-1: blazesupp@protonmail.com

Email-2: gosupp@email.cz
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 8373085c527b21c1b76748d65aac4d19

SHA-1: 9f87288ce3c3dcb182bb468a348813f08be3b42b

SHA-256: 25835a890a218fd26bfd8b23696576402b5eb8a4c9af4a51529e14c4f00a9cce

Vhash: 0840565d1555155098z391z2dz33z1fz

Imphash: 202fa14f574c71c2f95878e40a79322d

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: a0e06b0687764ee9a27bc9f02e683315

SHA-1: c866a2cf7ca91ef993178b9dfcb2e5dbd89a020f

SHA-256: 80c58ad933073630a37ad8d78739807b1f4b6f5f65900c59c8424b5df11c632b

Vhash: 0840565d1555155098z391z2dz33z1fz

Imphash: 202fa14f574c71c2f95878e40a79322d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 10 января 2022:

Расширение: .blaze

Записка: How To Decrypt.txt

Email: gosupp@email.cz

Другие образцы см. на сайте BA:

https://bazaar.abuse.ch/browse/tag/blaze/

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support 
 * 

 Thanks: 
 Andrew Ivanov (article author)
 quietman7
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

ZZZ Locker

ZZZ Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель блокирует файлы пользователей с помощью технологии архивирования WinRar, а затем требует выкуп в $200, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: windowsupdaates.exe или zzz.exe. 
---
Обнаружения:
DrWeb -> Trojan.Siggen16.5096
BitDefender -> Trojan.GenericKD.38478086
ESET-NOD32 -> BAT/RenameFiles.AE
Kaspersky -> Trojan.Win32.Agent.xaljpp
Malwarebytes -> Malware.AI.3238774107
Microsoft -> ***
Rising -> ***
Tencent -> Win32.Trojan.Agent.Lohu
TrendMicro -> TROJ_GEN.R002C0PFE22
---

DrWeb -> ***
BitDefender -> Trojan.GenericKD.38730780
ESET-NOD32 -> BAT/RenameFiles.AE
Kaspersky -> ***
Malwarebytes -> ***
Microsoft -> ***
Rising -> ***
Tencent -> ***
TrendMicro -> ***

© Генеалогия: ✂ блокировщики из 2016-2018 г. >> ZZZ Locker > BlockZ, 7-language Locker

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине декабря 2021 и в январе 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам добавляется не расширение, а приставка "Lock.",  но файлы не шифруются, как это было у шифровальщиков на основе MicroCop Ransomware, а архивируются, а потом переименовываются. 
Фактически используется технология WinRar, а приставка Lock только показывает, что файл блокирован. 

Записка с требованием выкупа называется: readmee.txt

Содержание записки о выкупе:

Good day! 

If you are reading this letter, then most likely you are simply out of luck and you have my virus on your computer.

Your computer was infected with my virus. All your files on your PC were copied to my server. I have a complete copy of all your data including: passwords from sites, correspondence in social networks. photos taken with your webcam and video recording from your webcam

Your files have turned into lock.file and only I can decrypt them

I also have full access to your computer, and I can see everything you do on the Internet.

My virus has deleted and encrypted your files on your PC,

I can return all these files to you.

I am asking for a modest $ 200 dollars ransom to my bitcoin wallet

BTC Adress  13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL

You can buy bitcoin on a cryptocurrency exchange, on exchange sites, or through a request in a google search engine

As soon as I receive the translation from you. I will return all your files to you and leave you alone forever. The virus will be removed from your PC automatically after you pay 200 $

Attention!!! If you refuse to pay me. I will sell all your data on the shady forums. Your photos, videos, webcam recordings and everything else. The choice is yours :-)

Перевод записки на русский язык:

Добрый день!

Если вы читаете это письмо, то скорее всего вам просто не повезло и у вас на компьютере мой вирус.

Ваш компьютер был заражен моим вирусом. Все ваши файлы на вашем компьютере были скопированы на мой сервер. У меня есть полная копия всех ваших данных в том числе: пароли от сайтов, переписки в социальных сетях. фотографии, сделанные вашей веб-камерой, и записи видео с вашей веб-камеры

Ваши файлы превратились в lock.file и только я могу их расшифровать

У меня также есть полный доступ к вашему компьютеру, и я могу видеть все, что вы делаете в Интернете.

Мой вирус удалил и зашифровал ваши файлы на вашем ПК,

Я могу вернуть вам все эти файлы.

Прошу скромный выкуп в размере $200 долларов на мой биткойн-кошелек

Адрес BTC 13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL

Купить биткойн можно на бирже криптовалют, на сайтах обмена или через запрос в поисковике google.

Как только я получу от вас перевод. Я верну тебе все твои файлы и оставлю тебя в покое навсегда. Вирус будет удален с вашего ПК автоматически после оплаты 200 $

Внимание!!! Если вы откажетесь платить мне. Продам все ваши данные на теневых форумах. Ваши фото, видео, записи с веб-камеры и все остальное. Выбор за вами :-)

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Используются системные файлы: WScript и cmd.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readmee.txt - название файла с требованием выкупа;
windowsupdaates.exe - название вредоносного файла;

zzz.exe - название вредоносного файла;

avtzap.bat

sait.bat

sait.VBS

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\TEMP\sait.bat

C:\TEMP\sait.VBS

C:\Users\Admin\AppData\Local\Temp\avtzap.bat

D:\Projects\WinRAR\sfx\build\sfxrar32\Release\sfxrar.pdb

*\Users\Admin\AppData\Local\Temp\zzz.exe

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\zzz.exe

Записи реестра, связанные с этим Ransomware:
В Автозагрузку системы добавляется копия файла zzz.exe C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\zzz.exe

См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: hxxx://openff.sytes.net

Email: -
BTC: 13WDsG32nT9TvaK2uc24Pk8WLLejKTPXJL

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

---

IOC: VT, HA, IA, TG, AR, VMR, JSB

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + myMessage
 Write-up, Topic of Support
 ***

Внимание!
Предполагаю, что файлы можно разблокировать и вернуть. 
Специалистам антивирусных компаний, которые много 
лет занимаются расшифровкой файлов, не составит труда 
восстановить файлы после этого и предыдущих вариантов 
шифровальщика. 

 Thanks: 
 Andrew Ivanov (article author)
 ***
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Admin Locker

Admin Locker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. В качестве гарантии предлагается расшифровать 5 небольших файлов. Для связи предлагается аккаунт в Telegram. Оригинальное название: Admin Locker (указано на сайте, в заголовке страницы). На файле написано: нет данных.
---
Обнаружения:
DrWeb ->
BitDefender ->
ESET-NOD32 ->
Kaspersky ->
Malwarebytes ->
Microsoft ->
Rising ->
Symantec ->
Tencent ->
TrendMicro ->
---

© Генеалогия: ??? >> Admin Locker

Сайт "ID Ransomware" идентифицирует это как Admin Locker. 

Информация для идентификации

Активность этого крипто-вымогателя была в первой половине декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. 

К зашифрованным файлам может добавляться одно из следующих расширений: 

.admin1

.admin2

.admin3

.1admin

.2admin

.3admin

Исходное имя файла и его длина хранятся в конце зашифрованного файла. См. пример на скриншоте ниже. 

Записка с требованием выкупа называется: !!!Recovery File.txt

Содержание записки о выкупе:

All of your important files have been encrypted on this PC.

All files are encrypted.

To decrypt your files, you need to get a private key + decryption software.

To get the private key and decrypt software, you need to contact us and send us [YOUR KEY] .

To do this you need to go to the site in darkweb you can only enter through the TOR BROWSER

 you can download it here https://www.torproject.org/download/ 

after you have installed a tor browser open this site

hxxx://adminavf4cikzbv6mbbp7ujpwhygnn2t3egiz2pswldj32krrml42wyd.onion

It shows you your current contacts. 

Do not use chrome or firefox to access this site. 

The site will not open with a tor browser only.

Our Guarantee. 

We can decrypt several files as a demonstration - you can send us up to 5 files 

up to 5 MB in total weight

and we will send them back to you in their original form for FREE.

How long do I have to wait for the decryption key for the whole PC?

After payment, we will send you the key within minutes.

Your personal ID:

[YOUR KEY] U48pXLpBh***

Attention! Don't lose your money.

write to us personally. if you ask someone else to help you decrypt, they will just write to us instead of you. and this will increase our costs for their services (mediation). in the worst case you will be cheated. so write personally, this is safer for you. only we can decrypt files. 

Do not try to change the files and remove the extension, you may lose it forever. if you try to decrypt it yourself, experiment on the copies, do not experiment on the originals.

Перевод записки на русский язык:

Все ваши важные файлы зашифрованы на этом компьютере.

Все файлы зашифрованы.

Чтобы расшифровать ваши файлы, вам нужен приватный ключ + программа для расшифровки.

Чтобы получить закрытый ключ и расшифровать программу, вам надо связаться с нами и отправить нам [ВАШ КЛЮЧ].

Для этого нужно зайти на сайт в дарквебе, зайти можно только через TOR BROWSER

 вы можете скачать его здесь https://www.torproject.org/download/

после того, как вы установили браузер tor, откройте этот сайт

hxxx: //adminavf4cikzbv6mbbp7ujpwhygnn2t3egiz2pswldj32krrml42wyd.onion

Он показывает вам ваши текущие контакты.

Не используйте Chrome или Firefox для доступа к этому сайту.

Сайт может не открыться только в браузере Tor.

Наша гарантия.

В качестве демонстрации мы можем расшифровать несколько файлов - вы можете прислать нам до 5 файлов.

до 5 МБ общим весом

и мы БЕСПЛАТНО отправим их вам в исходном виде.

Как долго мне нужно ждать ключа дешифрования для всего ПК?

После оплаты мы отправим вам ключ в течении нескольких минут.

Ваш личный ID:

[YOUR KEY] U48pXLpBh***

Внимание! Не теряйте свои деньги.

напишите нам лично. если вы попросите кого-нибудь помочь вам в расшифровке, он просто напишет нам вместо вас. и это увеличит наши расходы на их услуги (посредничество). в худшем случае вас обманут. так что пишите лично, так для вас безопаснее. только мы можем расшифровать файлы.

Не пытайтесь изменить файлы и удалить расширение, вы можете потерять его навсегда. если вы пытаетесь расшифровать его самостоятельно, экспериментируйте с копиями, не экспериментируйте с оригиналами.

Другим информатором жертвы является сайт вымогателей. 

Содержание текста на сайте:

If you are reading this text, your files are encrypted!

Actual contact information

Our Guarantee.

We can decrypt several files as a demonstration - you can send us up to 5 files up to 5 MB in total weight and we will send them back to you in their original form for FREE.

Our extensions .admin1 .admin2 .admin3 .1admin .2admin .3admin

How long do I have to wait for the decryption key for the whole PC?

After payment, we will send you the key within minutes.

Attention! Don't lose your money.

write to us personally. if you ask someone else to help you decrypt, they will just write to us instead of you. and this will increase our costs for their services (mediation). in the worst case you will be cheated. so write personally, this is safer for you. only we can decrypt files.

Do not try to change the files and remove the extension, you may lose it forever. if you try to decrypt it yourself, experiment on the copies, do not experiment on the originals.

Our contacts

If you did not receive an answer in six hours. Check if your contacts have been updated; They could be blocked. We will replace blocked contacts within 6 hours.

CONTACT TELEGRAM MESSAGER

http://t.me/dotADMINbot

DOWNLOAD APP TELEGRAM MESSAGER

https://telegram.org/Apps

Important information.

1.1.2019 Payment is accepted in Bitcoin.

1.1.2021 If you defer payment for a long period of time. The price can double. Do not waste time, write to us to negotiate. We don't bite. We know how to come to a compromise.

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!Recovery File.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла;

userkey.dat - специальный файл; 

!DECRYPT_FILES.txt - название файла с требованием выкупа в других вариантах. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: hxxx: //adminavf4cikzbv6mbbp7ujpwhygnn2t3egiz2pswldj32krrml42wyd.onion

Email: - 
BTC: - 

Telegram: @dotADMINbot

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: -

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 13 декабря 2022:

Сообщение >>

Расширение: .1admin

Записка: !DECRYPT_FILES.txt

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

WinCrypto

WinCrypto Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: WinCrypto Ransomware. На файле написано: нет данных.
---
Обнаружения:
DrWeb -> Trojan.PWS.Siggen3.8291
BitDefender -> Gen:Variant.Razy.976809
ESET-NOD32 -> A Variant Of MSIL/Kryptik.ZIR
Kaspersky -> HEUR:Backdoor.MSIL.Bladabindi.gen
Malwarebytes -> Ransom.HiddenTear
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Kryptik.Hrfk
TrendMicro -> TROJ_GEN.R002C0PLC21
---

© Генеалогия: HiddenTear >> WinCrypto

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине декабря 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .wincrypto 


Записка с требованием выкупа называется: README WINCRYPTO.txt

Содержание записки о выкупе:

WINCRYPTO RANSOMWARE

YOUR DOCUMENTS, PHOTOS, DATABASES AND OTHER IMPORTANT FILES HAS BEEN ENCRYPTED!

THE ONLY WAY TO DECRYPT YOUR FILES IS TO RECEIVE THE PRIVATE KEY AND DECRYPTION SOFTWARE.

TO RECEIVE THE PRIVATE KEY AND DECRYPTION SOFTWARE GO TO ANY DECRYPTED FOLDER - INSIDE

THERE IS THE SPECIAL FILE 'README WINCRYPTO.TXT' WITH COMPLETE INSTRUCTIONS HOW TO DECRYPT YOUR FILES.

IF YOU CANNOT FIND ANY 'README WINCRYPTO.TXT' FILE AT YOUR PC.

FOLLOW THE INSTRUCTIONS BELOW.

1. DOWNLOAD 'TOR BROWSER' FROM 'HTTPS://TORPROJECT.ORG' AND INSTALL IT.

2. IN THE 'TOR BROWSER' OPEN YOUR PERSONAL PAGE HERE.

HTTPS://WINCRYPTO23XA93KU9234XN.ONION/7U2D-23MA-0M8C-M2AS

NOTE! THIS PAGE IS AVAILABLE VIA 'TOR BROWSER' ONLY.

      FILE RECOVERY IS IMPOSSIBLE WHEN ANTI-VIRUS IS ACTIVATED AND THIS SOFTWARE IS TERMINATED!

Перевод записки на русский язык:

WINCRYPTO RANSOMWARE

ВАШИ ДОКУМЕНТЫ, ФОТО, БАЗЫ ДАННЫХ И ДРУГИЕ ВАЖНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ!

ЕДИНСТВЕННЫЙ СПОСОБ РАСШИФРОВАТЬ ВАШИ ФАЙЛЫ — ЭТО ПОЛУЧИТЬ ЗАКРЫТЫЙ КЛЮЧ И ПРОГРАММУ ДЛЯ РАСШИФРОВКИ.

ЧТОБЫ ПОЛУЧИТЬ ЗАКРЫТЫЙ КЛЮЧ И ПРОГРАММУ ДЛЯ РАСШИФРОВКИ, ПЕРЕЙДИТЕ В ЛЮБУЮ ЗАШИФРОВАННУЮ ПАПКУ - ВНУТРИ

ЕСТЬ СПЕЦИАЛЬНЫЙ ФАЙЛ «README WINCRYPTO.TXT» С ПОЛНЫМИ ИНСТРУКЦИЯМИ ПО РАСШИФРОВКЕ ВАШИХ ФАЙЛОВ.

ЕСЛИ ВЫ НЕ МОЖЕТЕ НАЙТИ ФАЙЛ «README WINCRYPTO.TXT» НА СВОЕМ КОМПЬЮТЕРЕ.

СЛЕДУЙТЕ ПРИВЕДЕННЫМ НИЖЕ ИНСТРУКЦИЯМ.

1. ЗАГРУЗИТЕ «TOR BROWSER» С «HTTPS://TORPROJECT.ORG» И УСТАНОВИТЕ ЕГО.

2. В «ТОР-БРАУЗЕРЕ» ОТКРОЙТЕ СВОЮ ЛИЧНУЮ СТРАНИЦУ ЗДЕСЬ.

HTTPS://WINCRYPTO23XA93KU9234XN.ONION/7U2D-23MA-0M8C-M2AS

ПРИМЕЧАНИЕ! ЭТА СТРАНИЦА ДОСТУПНА ТОЛЬКО ЧЕРЕЗ TOR-БРАУЗЕР.

       ВОССТАНОВЛЕНИЕ ФАЙЛОВ НЕВОЗМОЖНО, КОГДА АНТИВИРУС АКТИВИРОВАН И ЭТА ПРОГРАММА ПРЕКРАЩЕНА!

Записка с требованием выкупа написана на экране блокировки. 

Текст аналогичен.  

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README WINCRYPTO.txt - название файла с требованием выкупа;
WinCrypto Ransomware.exe, RuntimeBroker.exe - названия вредоносного файла; 

sctipt.bat - командный файл; 

check2.py и другие. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: https://wincrypto23xa93ku9234xn.onion/7u2d-23ma-0m8c-m2as

Email: - 
BTC: - 

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 27786f44811d4832d01246e529b94320

SHA-1: b31bd516fe0ca01cd139739867ae2c60054dc328

SHA-256: 5c396be42657aecabd75f8be6ac9b3af96fa1243a4a50214b3543617f39d6c5b

Vhash: 24603665151290751750021

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 dnwls0719
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.