SmartRansom Chinese

SmartRansom

Chinese Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует отсканировать код с экрана и заплатить ему, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: неизвестна.

К фейк-зашифрованным файлам никакое расширение не добавляется. 

Активность этого крипто-вымогателя пришлась на конец мая 2017 г. Ориентирован на китайскоязычных пользователей, что не мешает распространять его по всему миру.

Сначала отображает изображение с девушкой, а затем экран блокировки с текстом на китайском. 

Экран блокировки выступает запиской с требованием выкупа:

Содержание текста о выкупе:
你好
你一定很想知道我是谁
我告诉你吧，我是你爹
我把你电脑里重要文件都加密了
你一定很想打我对不对
扫描屏幕上的二维码，向我付款
芫事后我会给你解密工具
记得把屏幕上方的密钥记下来哦
这样我才能帮你解密嘛

Перевод записки на русский язык:
Привет
Ты хочешь знать, кто я?
Отвечаю, я твой отец.
Я зашифровал твои важные компьютерные файлы 
Ты хочешь узнать как их вернуть? 
Отсканируй двоичный код с экрана, заплати мне.
Я дам тебе инструмент дешифрования.
Не забудь записать ключ из верхней части экрана.
Чтобы я мог помочь тебе расшифровать это.

✌ Экран блокировки можно закрыть с помощью комбинации клавиш Alt+F4. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию, если оно сработает:

.au3, .BMP, .CUR, .doc, .docx, .GIF, .ICO, .JPG, .MID, .MIDI, .pdf, .PNG, .ppt, .pptx, .prn, .psd, .rar, .txt, .WAV, .xls, .xlsx, .zip (22 расширения). 

Это файлы MS Office, текстовые файлы, фотографии, музыка, файлы иконок, архивы и пр.

Файлы, связанные с этим Ransomware:
SmartRansom.exe
AArI.jpg

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***www.eyuyan.com***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer‏ 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Oled

Oled Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .oled
Целиком шаблон переименованного файла выглядит так: filename.[black.mirror@qq.com].oled

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPTION.txt

Содержание записки о выкупе:
Your ID: 
*****
All your files have been encrypted due to a security problem with your PC.
If you want to restore them, write us to the e-mail: black.mirror@qq.com
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 5Mb
How to obtain Bitcoins
The easiest way to buy bitcoin is LocalBitcoins site.
You have to register, click Buy bitcoins and select the seller by payment method and price https://localbitcoins.com/buy_bitcoins
Attention!
Do not rename or move encrypted files - this may compromise the integrity of the decryption process
Do not try to decrypt your data using third party software, it may cause permanent data loss.

Перевод записки на русский язык:
Ваш ID:
*****
Все ваши файлы были зашифрованы из-за проблем с безопасностью на вашем ПК.
Если вы хотите их восстановить, напишите нам на email: black.mirror@qq.com
Вы должны заплатить за расшифровку в биткойнах. Цена зависит от того, как быстро вы нам напишете.
После оплаты мы вышлем вам инструмент расшифровки, который расшифрует все ваши файлы.
БЕСПЛАТНАЯ РАСШИФРОВКА КАК ГАРАНТИЯ
Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной расшифровки.
Обратите внимание, что файлы НЕ должны содержать ценную информацию и их общий размер должен быть меньше 5 МБ
Как получить биткойны
Самый простой способ купить биткойн - это сайт LocalBitcoins.
Вы должны зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца по способу оплаты и цене https://localbitcoins.com/buy_bitcoins
Внимание!
Не переименовывайте и не перемещайте зашифрованные файлы - это может навредить процессу дешифрования
Не пытайтесь расшифровать данные с помощью сторонних программ, это может привести к потере данных.

Содержание записки о выкупе очень похоже на записку из OnyonLock Ransomware.

Выводы о родстве делать рано. Подождём сообщения от исследователей. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPTION.txt
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: black.mirror@qq.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 mmachado (victim in the topic of support)
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Fake DMA

Fake DMA Ransomware
Fake DMA Locker 3 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название неизвестно. Использует экран блокировки из шифровальщика DMA Locker 3. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется. 
Вместо этого используется маркер файлов !Encrypt!

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
All your personal files are LOCKED!
---
WHAT’S HAPPENED?
* All your important files(including hard disks, network disks, flash, USB) are encrypted.
* All of files are locked with asymetric algorithm using AES-256 and then RSA-2048 cipher.
* You are not possible to unlock your files because all your backups are removed.
* Only way to unlock your files is to pay us 1500 GBP in Bitcoin currency ( 1.0 BTC ).
After payment we will send you decryption key automatically, which allow you to unlock files.
---
HOW TO PAY US AND UNLOCK YOUR FILES?
1. Please read the steps carefully.
2. To pay us, you have to use Bitcoin currency. You can easily buy Bitcoins at following sites:
* https://www.coinfloor.co.uk/
* https://localbitcoins.com/
* https://www.coinbase.com/
3. If you already have Bitcoins, pay us 1.0 BTC (1500 GBP) on following Bitcoin address:
1EEHF6uucK2UNtbwxTyAzZ74wNudApYWQm
4. After payment, necessarily contact with us to get your decryption key:
data0001@tuta.io In mail title write your unigue ID:
01:07:91:50:32:25:30:07
5. We will automatically send you decryption key file after bitcoin transfer .
When you receive your decryption key file, press "OPEN" button and choose your received
decryption key file.
Then, press the "UNLOCK FILES" button and it will start unlocking all your files.
---
* You have 96 hours to pay us!
* After this time ransom will grow to
200 percent
* Ransom grow time:
29/5/2017 20:15
---
DECRYPTION KEY FILE: [...] [OPEN]
KEY STATUS: [...] [UNLOCK FILES]

Перевод записки на русский язык:
Все ваши личные файлы БЛОКИРОВАНЫ!
---
ЧТО СЛУЧИЛОСЬ?
* Все ваши важные файлы (включая жесткие диски, сетевые диски, флеш, USB) зашифрованы.
* Все файлы блокированы с асимметричным алгоритмом AES-256, а затем шифра RSA-2048.
* Вы не можете разблокировать свои файлы, потому что все ваши резервные копии удалены.
* Единственный способ разблокировать ваши файлы - это заплатить нам 1500 фунтов стерлингов в биткойн-валюте (1.0 BTC).
После оплаты мы отправим вам ключ дешифрования автоматически, что позволит вам разблокировать файлы.
---
КАК ОПЛАТИТЬ И РАБЛОКИРОВАТЬ СВОИ ФАЙЛЫ?
1. Пожалуйста, внимательно ознакомьтесь с инструкциями.
2. Чтобы заплатить нам, вы должны использовать биткойн-валюту. Вы можете легко купить биткойны на следующих сайтах:
* https://www.coinfloor.co.uk/
* https://localbitcoins.com/
* https://www.coinbase.com/
3. Если у вас уже есть биткойны, заплатите 1.0 BTC (1500 GBP) на следующий биткойн-адрес:
1EEHF6uucK2UNtbwxTyAzZ74wNudApYWQm
4. После оплаты обязательно свяжитесь с нами, чтобы получить ключ для расшифровки:
data0001@tuta.io В заголовке письма напишите свой уникальный ID:
01:07:91:50:32:25:30:07
5. Мы автоматически отправим вам ключ дешифрования после передачи биткойн.
Когда вы получите файл ключа дешифрования, нажмите кнопку "OPEN" и выберите полученный
файл ключа дешифрования.
Затем нажмите кнопку "UNLOCK FILES" и он начнет разблокировку всех ваших файлов.
---
* У вас есть 96 часов, чтобы заплатить нам!
* После этого выкуп вырастет на 200 %
* Время отсчета выкупа:
29.05.2013 20:15
---
Файл ключа дешифрования: [...] [OPEN]
Статус ключа: [...] [UNLOCK FILES]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
svchosd.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: data0001@tuta.io
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 xXToffeeXx
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Mancros+AI4939

Mancros+AI4939 Ransomware

(фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К фейк-зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
All your files have been encrypted by the Mancros+AI4939 ransomware.
To get your files back you need to pay $50 worth bitcoin to our bitcoin account.
If you do not pay within 4 days your computer will be trashed.
Trying to stop, kill, remove or close the application will trash your computer instantly.
Bitcoin transaction code: 0121-7832-1231-8559-9443-7226.
Antivirus software such as: MalwareBytes, G-Data, AVG, Bullguard, e.t.c will be deleted.
If we sensor any decryption tool your computer will be trashed to.
-Devs

Перевод записки на русский язык:
Все ваши файлы были зашифрованы Mancros+AI4939 Ransomware.
Чтобы вернуть ваши файлы, вам нужно заплатить $50 в биткойнах на наш биткойн-аккаунт.
Если вы не заплатите в течение 4 дней, ваш компьютер будет поврежден.
Пытаясь остановить, вырубить, удалить или закрыть приложение, вы тотчас превратите в утиль ваш компьютер.
Код биткойн-транзакции: 0121-7832-1231-8559-9443-7226.
Антивирусные программы, такие как: MalwareBytes, G-Data, AVG, Bullguard, e.t.c будут удалены.
Если мы определим какой-то инструмент дешифрования, ваш компьютер превратится в утиль.
-Разрабы

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Не шифруются. 

Файлы, связанные с этим Ransomware:
Mancros+AI4939.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LightningCrypt

LightningCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.17 BTC, чтобы вернуть файлы. Оригинальное название: LightningCrypt ("молниеносный крипт"). Фальш-копирайт: Microsoft. Фальш-имя: ChkDsk. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .LIGHTNING

Активность этого крипто-вымогателя пришлась на последнюю неделю мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: LightningCrypt_Recover_Instructions.txt

Содержание записки о выкупе:
!LightningCrypt!
-----
ALL YOUR FILES HAVE BEEN ENCRYPTED
DONT TRY TO DELETE ME
FOR EACH TRY TO DO ANYTHING I WILL DELETE FILES
PAY 0.17 BITCOINS TO THIS ADDRESS : 1LSgvYFY7SDNje2Mhsm51FxhqPsbvXEhpE
YOU CAN BUY BITCOINS ON "BLOCKCHAIN.INFO"
SEND YOUR UNIQE ID IN THE DESCRIPTION OF THE BITCOIN PAYMENT
YOU CAN FIND THEM ON YOUR DESKTOP IN "LIGHTNINGCRYPT_UNIQEID.TXT"
AFTER THE PAYMENT YOUR FILES WILL BE DECRYPTED!
-----
!LightningCrypt!

Перевод записки на русский язык:
!LightningCrypt!
-----
Все твои файлы были зашифрованы
Не пытайся удалить меня
За каждую попытку сделать что-то я удалю файлы
Плати 0.17 биткоинов на этот адрес: 1lsgvyfy7sdnje2mhsm51fxhqpsbvxehpe
Ты можешь купить биткоины на "blockchain.info"
Отправь свой уникальный ID на написанный биткойн-платеж
Ты можешь найти его на рабочем столе в файле "lightningcrypt_uniqeid.txt"
После оплаты твои файлы будут расшифрованы!
-----
!LightningCrypt!

Другими информаторами жертвы являются экран блокировки и графическое изображение для обоев. 

Тексты почти идентичны с текстовой запиской о выкупе.  Есть лишь небольшие дополнения на экране блокировки. Привожу этот текст полностью. 

Текст с экрана блокировки:
YOU BECAME A VICTIM OF THE LIGHTNINGCRYPT RANSOMWARE! 
ALL YOUR FILES HAVE BEEN ENCRYPTED WITH RSA 2048 
DONT TRY TO DELETE ME 
FOR EACH TRY TO DO ANYTHING I WILL DELETE FILES 
PAY 0.17 BITCOINS TO THIS ADDRESS: 
1LSgvYFY7SDNje2Mhsm51FxhqPsbvXEhpE 
YOU CAN BUY BITCOINS ON "BLOCKCHAIN.INFO" 
SEND YOUR UNIQE ID IN THE DESCRIPTION OF THE BITCOIN PAYMENT 
YOU CAN FIND THEM ON YOUR DESKTOP IN "LIGHTNINGCRYPT_UNIQEID.TXT" 
AFTER THE PAYMENT YOUR FILES WILL BE DECRYPTED! 
HAVE FUN ;)
£ PAY 0.17 Bitcoins to : 1LSgvYFY7SDNje2Mhsm51FxhqPsbvXEhpE 
button [Copy BTC]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.doc, .exe, .gif, .img, .jpg, .mp3, .pdf, .rar, .txt, .zip ...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ChkDsk.exe - исполняемый файл;
LightningCrypt_Recover_Instructions.txt -  записка о выкупе;
LightningCrypt_Recover_Instructions.png - файл изображения;
LightningCrypt_UniqeID.txt - текст с уникальным ID жертвы.

Расположения:
%USERPROFILE%\Desktop\LightningCrypt_Recover_Instructions.txt
%USERPROFILE%\Desktop\LightningCrypt_Recover_Instructions.png
%USERPROFILE%\Desktop\LightningCrypt_UniqeID.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://arizonacode.bplaced.net (144.76.167.69:80  Германия)
xxxx://rammichael.com/downloads/7tt_setup.exe***
xxxx://lolaail.bplaced.net/4rw4w.exe***
xxxx://lolaail.bplaced.net/4rw5wdecryptor.exe***
xxxx://rammichael.com/ 
xxxx://lupa-romana.de/blog/tag/marcus-antonius/ 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LightningCrypt)
 Write-up, Topic
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Thor

Thor Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название: Thor. Фальш-копирайт: Hewlett-Packard 2017.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое добавляется не добавляется.

Активность этого крипто-вымогателя пришлась на вторую половину мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.
В качество обоев рабочего стола встает изображение из фильма "Тор" с Крисом Хемсвортом в роли Тора. 

Содержание записки о выкупе:
You Personal Files have been Encrypted
Your important files were encrypted on this computer: photos, videos, documents, etc.
To decrypt files, you need to obtain private key
To retrieve the private key. you need to pay 0.5 bitcoins

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы
Ваши важные файлы зашифрованные на этом компьютере: фото, видео, документы и т.д.
Чтобы расшифровать файлы, вам необходимо получить личный ключ
Получить личный ключ. Вам нужно заплатить 0.5 биткойна.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Thor Ransomware.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

4rw5w

4rw5w Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем использует DES для шифрования ключа AES. Требует выкуп в $30 в BTC, чтобы вернуть файлы. Оригинальные названия: 4rw4w и 4rw5wDecryptor. Среда разработки: Visual Studio 2015. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .4rwcry4w

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
4rw5wDecryptor
WARNING
we have encrypted your files with 4rw5w crypt virus !
Your important files : photos, videos, documents, etc, were encrypt with our 4rw5w crypt virus.
The only way to get your files back is to pay us 30$ in Bitcoins. Otherwise, your files will be lost.
Caution: Removing of 4rw5w crypt virus will not restore access to your encrypted files.
[+] What happened To my files?
Understanding the issue
[+] How can i Get my files back?
The only way Is To pay For the decryption key !
[+] What should i Do Next?
Buy the decryption Key for 30$ worth in Bitcoins !
Bitcoin Adress to buy the decryption key :  16K81jbUkCcUbwjtmW7Lvywp3CJcg2HKoG
Encrypted Files: 0
Decrypted Files: 0
button [Decrypt]

Перевод записки на русский язык:
4rw5wDecryptor
ПРЕДУПРЕЖДЕНИЕ
Мы зашифровали ваши файлы с помощью криптовируса 4rw5w!
Ваши важные файлы: фотографии, видео, документы и т. д. были зашифрованы с помощью нашего криптовируса 4rw5w.
Единственный способ вернуть ваши файлы - это заплатить нам 30$ в биткойнах. В противном случае ваши файлы будут потеряны.
Внимание. Удаление криптовируса 4rw5w не приведет к восстановлению доступа к зашифрованным файлам.
[+] Что случилось с моими файлами?
Понимание проблемы
[+] Как я могу вернуть свои файлы?
Единственный способ - заплатить за ключ дешифровки!
[+] Что мне делать дальше?
Купите ключ дешифровки за 30 долларов в биткойнах!
Биткойн-адрес для покупки ключа дешифрования: 16K81jbUkCcUbwjtmW7Lvywp3CJcg2HKoG
Зашифрованные файлы: 0
Расшифрованные файлы: 0
Кнопка [Расшифровать]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

В чем-то хочет подражает WanaCry: имеет kill switch, похожие имена файлов ключей.

Список файловых расширений, подвергающихся шифрованию:
.avi, .dll, .DOC, .DOCX, .DOT, .DOTM, .exe, .jpg, .lnk, .mp3, .mp4, .NEF, .ODT, .PDF, .pif, .png, .png, .rar, .txt, .url, .wav, .zip (22 расширения). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
4rw4w.exe
4rw5wDecryptor.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***f5t6f090z5f5hf5h.com - kill switch
***www.ftthf5t6f090z5f5hf5h.com - kill switch
***placed.net/aaw8dh2na99h87a.txt

***www.lolaail.bpl
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as 4rw5w)
 Write-up, Topic
 Video review

 Thanks: 
 BleepingComputer‏ 
 Michael Gillespie
 GrujaRS
 Alex Svirid
 

© Amigo-A (Andrew Ivanov): All blog articles.