понедельник, 30 мая 2016 г.

LeChiffre

LeChiffre Ransomware


  Этот криптовымогатель шифрует данные с помощью алгоритма Blowfish, а затем требует выкуп, чтобы вернуть файлы обратно. Название происходит от французского слова "шифр".  Известен с июня 2015 года.

К зашифрованным данным добавляется расширение .lechiffre

  Устанавливается вручную на взломанных с помощью удаленного рабочего стола или служб терминалов серверах. После взлома сервера хакеры вручную запускают исполняемый файл LeChiffre.exe для шифрования данных, а затем, после выхода, удаляют все следы своей программы. 

  Записка с требованием выкупа называется _How to decrypt LeChiffre files.html и размещается в папках с зашифрованными файлами. 

  В записке о выкупе указан email-адрес decrypt.my.files@gmail.com, который нужен для связи с вымогателями, чтобы получить инструкции по оплате. Примечательно, что если жертва не нуждается в своих файлах сейчас или нет денег на выкуп, то можно подождать 6 месяцев и получить файлы обратно бесплатно. 

  Инсталлятором является файл LeChiffre.exe с известной для Рунета иконкой программы 1С.
После его запуска открывается следующее окно с русскоязычными надписями. 
Работа по шифрованию начинается с нажатия кнопки Пуск — шифровальщик запускается, сканирует все доступные диски и шифрует файлы с заданными расширениями. 

Список файловых расширений, подвергающихся шифрованию: 
.001, .900, ... .db, .doc, .docx, ... .jpeg, .jpg, .pdf, ... .rar, ... .xls, .xls, .zip

Файлы, связанные с этим Ransomware: 
_How to decrypt LeChiffre files.html
LeChiffre.exe
LeChiffreDecrypt.exe

Обновление от 1 июня 2016: 
Пост в Твиттере >>
Email: lechiffre@india.com и lechiffre@mailchuck.com
Записка: _how to decode[PC-NAME].txt

<< Текст см. на скриншоте  




Статьи по LeChiffre:
Write-up by McAfee 

Степень распространенности: средняя.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер.

суббота, 28 мая 2016 г.

Gomasom

Gomasom Ransonware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы обратно. Название "Gomasom" получено путем сложения начальных букв словосочетания GOogle MAil ranSOM. Зашифрованные файлы в добавление к оригинальному имени получают расширение, созданное по схеме "originalfilename.extension" + !___*email*@gmail.com__.crypt, где под *email* скрывается логин вымогателя в почте Gmail. Например, crydhellsek, т.е. в результате к файлам прибавится расширение !___crydhellsek@gmail.com__.crypt . Данный адрес служит для связи между жертвой и злоумышленниками.

Пример зашифрованного файла: Tulips.jpg!___prosschiff@gmail.com_.crypt

Адреса email вымогателей:
crydhellsek@gmail.com
cryphelp963@gmail.com
helpsend369@gmail.com
panerai794@gmail.com
prosschiff@gmail.com

  Записки о выкупе носят имена: de_crypt_readme.txt, de_crypt_readme.html, а также файлы изображений de_crypt_readme .bmp или de_crypt_readme.png

  После установки Gomasom создаёт вредоносный исполняемый файла со случайным именем в C:\Users\User\AppData\Local\Microsoft Help\ и прописывается в Автозагрузку Windows. Далее он шифрует не только пользовательские, но и исполняемые файлы, из-за чего многие приложения становятся недоступными. 

Файлы, созданные Gomasom:
%LocalAppData%\Microsoft Help\<random>.exe

Записи реестра, созданные Gomasom:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ "C:\Users\User\AppData\Local\Microsoft Help\<random>.exe"
HKCU\Software\<random>

  Одним из признаков того, что есть заражение ПК этим видом вымогателя, может являться неожиданное уведомление Windows о том, что имеются файлы для записи на диск. 

Это произойдет из-за того, что Windows обнаружит, что содержимое папки, используемой для записи файлов изменилось. Даже если там нет ничего, кроме скрытого системного файла desktop.ini, который был зашифрован, то появится уведомление о том, что файлы должны быть записаны, как на картинке ниже. 

Такое поведение замечено исследователем безопасности Лоуренсом Адамсом при проведении тестов с Gomasom, TeslaCrypt, Chimera и Fulba Ransomware. 

Степень распространенности: средняя.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер.

пятница, 27 мая 2016 г.

Bitmessage

Bitmessage (Ungluk) Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2,5 BTC, чтобы вернуть файлы обратно. Зашифрованные файлы получают расширения: .bleep, .1999, .0x0, .H3LL, .fu*k

Цели шифрования: базы данных, документы, PDF, музыка, видео, общие сетевые папки и пр. По завершении шифрования криптовымогатель удаляет теневые копии файлов. Пик атак пришелся на декабрь 2015 г.

Файлы, связанные с Bitmessage Ransomware:
FILESAREGONE.TXT - записка с требованием выкупа "Файлы исчезли";
READTHISNOW !!!. TXT  - записка с требованием выкупа "Прочти сейчас";
IHAVEYOURSECRET.KEY  - специальный файл с ключом;
Secret.key, Secret.key2 - специальные файлы. 

Содержание записки FILESAREGONE.TXT: 
Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance. If you want to get 
your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you. If you are ready to pay, then get in touch with 
us using a secure and anonymous p2p messenger. We have to use a messenger, because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.
Go to http://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your 
personal address, you need to do this just once). Then click Send tab. 

TO: BM-NByDti9xJ9NcFShLaBfExxxxxxxxxx
SUBJECT: name of your PC or your IP address or both. 
MESSAGE:  Hi, I am ready to pay.
Click Send button.
You are done.

To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки FILESAREGONE.TXT на русский язык:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. Если вы хотите вернуть файлы, то должны заплатить за них. Если вы разорены и бедны, извините, мы не поможем. Если вы готовы платить, то свяжитесь с нами через безопасный и анонимный p2p-мессенджер. Мы его используем, т.к. обычные email блокируются, а если мы не получим ответ, то ваши файлы будут утеряны.
Перейти к http://bitmessage.org, скачать и запустить Bitmessage. Нажать на Identities > New > кнопку ОК (будет генерирован ваш личный адрес, это делается только один раз). Затем клик на Send.

TO: BM-NByDti9xJ9NcFShLaBfExxxxxxxxxx
SUBJECT: имя вашего ПК или IP-адрес, или оба.
MESSAGE: Привет, я готов платить.
Нажмите кнопку Send .
Вы это сделали.

Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.

Содержание записки READTHISNOW !!!.TXT:
Hello. 
All your files have been encrypted using our private key. There is no way to recover them without our assistance. 
If you want to get your files back you must be ready to pay for them. If you are ready to pay then follow the instructions: 
1) Create an archive (rar or zip) with 3 files inside: Secret.key + Secret.key2 (should be on your desktop) + Any encrypted file of a small size. It can be a .doc or .pdf or .xls or whatever you have. 5 mb max. Note that this file should have this extention: .0x0; please don’t put more than one file in the archive, one file is enough. If you can’t find Secret.key2, that’s OK. It will take just a little bit more time to restore your files, so you shouldn’t worry. 
2) Upload this archive to any file sharing site. Dropbox, Google Drive, sendspace.com etc. 
3) Go to http://bitmessage.org/ and download Bitmessage. 
4) Run Bitmessage. Select ‘Your Identities’ tab. Then click New. Then click OK. Then select ‘Send’ tab. 

TO: BM-%redacted% (this is our address)
SUBJECT: your PC name (Start -> Control Panel -> System) 
MESSAGE: Link to the archive with three files in it. Then click ‘Send’. 
You are done! 
To get the fastest reply from us with all further instructions, please keep Bitmessage running on your computer all the time, if possible. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки READTHISNOW !!!.TXT на русский язык:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. 
Если хотите вернуть файлы, то должны заплатить за них.  Если вы готовы платить, следуйте инструкциям:
1) Создайте архив (RAR или ZIP) с 3-мя файлами внутри: Secret.key + Secret.key2 (должны быть на вашем рабочем столе) + любой зашифрованный файл небольшого размера. Это может быть .doc, .pdf, .xls или что у вас есть. 5 Мб макс. 
Обратите внимание, что этот файл должен иметь расширение .0x0; пожалуйста, не помещайте более одного файла в архиве... 
Если не можете найти Secret.key2, это ОК. Понадобится больше времени, чтобы восстановить ваши файлы, так что вы не должны беспокоиться.
2) Вы можете отправить этот архив на любой сайт для обмена файлами. Dropbox, Google Drive, sendspace.com и т.д.
3) Перейти к http://bitmessage.org/ и скачать Bitmessage.
4) Установить Bitmessage. Выбрать Your Identities > New  кнопку OK > Send.

TO: BM-адрес
SUBJECT: имя вашего ПК (Пуск > Панель управления > Система)
MESSAGE: Ссылка на архив с тремя файлами в нем. Затем нажмите кнопку "Отправить". 
Вы это сделали! 
Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.

Список файловых расширений, подвергающихся шифрованию:
.113 .1cd .3dm .3ds .3fr .3g2 .3gp .3pr .73b .7z .a3d .ab4 .abf .abk .ac2 .accdb .accde .accdr .accdt .acr .adb .aep .agd1 .ach .ai .ait .al .apj .apk .ark .arw .as4 .asf .asm .asp .asset .asvx .asx .ate .ati .avi .awg .azw .azw4 .b1 .bac .back .backup .backupdb .bak .bakx .bar .bay .bb .bc6 .bc7 .bck .bcm .bdb .bgt .big .bik .bin .bkf .bkp .blend .blob .bpw .bsa .c .cab .cas .cb7 .cbr .cbt .ccd .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cf .cfp .cfr .cgm .cib .cls .cmt .con .cpi .cpp .cpt .cr2 .craw .crt .crw .cs .csh .csl .css .csv .ctb .d3dbsp .dac .das .dat .data .db .db0 .db3 .dba .dbf .dc2 .dc3 .dcr .dcs .ddrw .dds .der .des .desc .design .dgb .dgc .dicom .divx .djvu .dmg .dmp .dng .doc .docm .docx .dot .dotm .dotx .drf .drw .dt .dta .dtaus .dtd .dwfx .dwg .dxb .dxf .dxg .edi .eml .emlx .epk .eps .epub .erbsql .erf .esm .exf .fb2 .fbf .fbk .fbw .fbx .fdb .ffd .fff .fh .fhd .fla .flac .flv .forge .fos .fpk .fpx .fsh .fxg .gbk .gdb .gho .gif .gpx .gray .grey .gros .gry .h .hbk .hkdb .hkx .hplg .hpp .htm .html .hvpl .hxi .hxq .hxr .hxs .hxw .chi .chm .chq .chw .ibank .ibd .ibz .icxs .idx .iff .img .inc .incpas .iso .itdb .itl .itm .iv2i .iwd .iwi .jar .java .jpe .jpeg .jpg .js .kc2 .kdb .kdbx .kdc .key .keystore .keystore .kf .kpdx .layout .lbf .ldf .lic .lit .litemod .lrf .ltx .lua .lvl .m .m2 .m2v .m3d .m3u .m4a .m4v .map .max .mcmeta .mdb .mdbackup .mdc .mddata .mdf .mds .mef .menu .mfw .mkv .mlx .mmw .mobi .model .moneywell .mos .mov .mp3 .mp4 .mpeg-1 .mpeg-2 .mpeg-4 .mpg .mpg .mpq .mpqge .mrw .mrwref .msg .myd .nbd .ncf .nd .ndd .nef .netcdf .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .ntl .nwb .nx1 .nx2 .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pak .pas .pat .pcd .pct .pdb .pdb .pdd .pdf .pef .pem .pfx .php .pkpass .pl .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .prf .prproj .ps .psafe3 .psd .psk .pst .ptx .pub .pwm .py .pz3 .qba .qbb .qbm .qbo .qbr .qbw .qbx .qby .qdf .qfx .qic .qif .qt .qvw .s3db .sav .sb .sbs .sd0 .sd1 .sda .sdf .sdxf .shtm .shtml .sid .sidd .sidn .sie .sis .sldasm .sldm .sldprt .sldx .slm .sln .sn1 .sna .snx .spf .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stw .stx .sub .sum .suo .svg .swf .swm .sxc .sxd .sxg .sxi .sxm .sxw .t12 .t13 .tar .tax .tbl .tex .tga .tib .tis .tlg .trn .txt .upk .vcf .vdf .vfs0 .vob .vob .vpk .vpp_pc .vtf .w3x .wab .wallet .wav .wbb .wbcat .wdb .wif .wim .win .wma .wmo .wmv .wpd .wps .x3f .xar .xf .xla .xlam .xlk .xll .xlm .xlr .xls .xlsb .xlsk .xlsm .xlsx .xlt .xltm .xltx .xlw .xmi .xml .ycbcra .yuv .z .zip .ztmp (501 расширение). 

Степень распространенности: низкая.
Подробные сведения собираются. 

среда, 25 мая 2016 г.

DMA Locker 4.0

DMA Locker 4.0 Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (режим ECB, RSA-2048 ключ; ключ генерируется случайным образом для каждого файла, шифруется RSA и сохраняется в файле), а затем требует выкуп в 1-2 (~$ 440 за 1 BTC на 24 мая 2016 г.), чтобы вернуть файлы обратно. C 25 мая уже 3 BTC, с 26 мая - 4 BTC. Аппетиты вымогателей ужасающе растут. 

  К зашифрованным файлам никакое специальное расширение не добавляется, но вместо этого добавляется префикс !DMALOCK4.0 в заголовок зашифрованного файла. В остальном имя файла остается прежним. Можно проверить файл в шестнадцатеричном редакторе и первые 9 байт будут содержать строку !DMALOCK4. По этому признаку можно опознать "работу" криптовымогателя. Шифруются почти все системные и пользовательские файлы на всех локальных, внешних и сетевых дисках. 

  Текстовый вариант записки о выкупе называется cryptinfo.txt, он сохраняется в папке Program Data и отображается при загрузке Windows. Экран блокировки (файл cryptinfo.png) см. ниже. Он ставится в качестве обоев Рабочего стола. 
 

  Email вымогателя, указанный на экране блокировки и в записках, dma4004@zerobit.en 

  Распространяется с помощью email-спама и вредоносных вложений, фишинг-рассылок и ссылок на зараженные эксплойтами сайты, через вредоносный JavaScript, поддельные обновления Adobe Flash Player. А также при помощи набора эксплойтов Neutrino, который эксплуатирует уязвимости в компонентах Java Runtime Environment Oracle. 

  При целевых атаках на организации сумма выкупа может быть гораздо выше и уже в долларах. Такое многообразное распространение и поддержка уже 4-й версии может говорить только о развертывании широкомасштабных и целенаправленных атак. Потому степень распространенности с учетом этих показателей — высокая.  

  Запустившись в первый раз на ПК, DMA Locker 4.0 проверяет какие процессы и приложения используются для резервного копирования данных и восстановление системы, и завершает их работу. Теневые копии файлов удаляются. 

  DMA Locker 4.0 получил веб-сайт, где объясняется, как заплатить выкуп. Примечательно, что сумма выкупа на этом сайте может отличаться от затребованной.  

 В программном плане исследователями замечены некоторые недостатки в работе этого вымогательского ПО и его декриптера, что может говорить о том, что создатели вредоноса работают на скорую руку. В связи с этим, в скором времени следует ожидать появления 5-й версии вымогателя, где недостатки 4-й версии будут, наверняка, исправлены. Мы намеренно их не озвучиваем, чтобы не помогать вымогателям делать своё черное дело. 

Степень распространенности: перспективно высокая.
Подробные сведения собираются. 


ECLR

ECLR Ransomware

(шифровальщик-вымогатель)


 Этот криптовымогатель шифрует данные пользователей, а затем требует выкуп в 100 биткоинов. Это может быть показателем ориентированности криптовымогателя на организации и коммерческий сектор. Зашифрованные файлы получают расширение .eclr.

После того, как файлы будут зашифрованы, ECLR Ransomware удаляет теневые копии файлов и отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, и требует перевести деньги в Bitcoin. На уплату выкупа даётся всего 48 часов. Торг неуместен. В каждой папке с зашифрованными файлами размещается записка о выкупе README_IMPORTANT.txt и специальный файл secret.key

Содержание записки о выкупе:
YOUR FILES ARE FULLY ENCRYPTED
MAKE THE PAYMENT OF 100 BITCOINS TO THE BTC ADDRESS BELOW
3KHkWFDX9PDsaFRtrDKBGYd41HZWTu2L21
AFTER WE RECEIVE THE PAYMENT THE DECRYPTION PROGRAM AND KEY WILL BE SENT TO YOUR EMAIL
THE DECRYPTION PROGRAM WILL RESTORE YOUR FILES BACK TO NORMAL.
7399@sigaint.org
TO ASSURE YOU WE CAN RESTORE YOUR FILES, WE WILL DECRYPT A SINGLE FILE YOU SEND US.
## YOU HAVE 48 HOURS TO SAVE YOUR FILES ##
CONTACT US ONLY AFTER MAKING THE PAYMENT,
ALL PRICE NEGOTIATIONS WILL BE IGNORED
THE ABOVE EMAIL ADDRESS WILL EXPIRE AFTERWARDS AND NO COMMUNICATIONS WILL BE AVAILABLE

Перевод на русский язык:
Ваши файлы зашифрованы
Сделайте оплату 100 Bitcoins на Bitcoin-адрес
3khkwfdx9pdsafrtrdkbgyd41hzwtu2l21
По получения компенсации дешифровщик и ключ придут на ваш email
Дешифровщик восстановит ваши файлы обратно в норму.
7399@sigaint.org
Для гарантии, что файлы можно вернуть, мы дешифруем 1 ваш файл.
## У вас 48 часов для возврата файлов ##
Контакт с нами только после оплаты,
Все попытки торга проигнорируются
Вышеуказанный email-адрес после этого будет недоступен

Этот вымогатель шифрует множество типов файлов, среди них, разумеется, изображения, фотографии, аудио, видео и документы. 

Степень распространенности: неизвестна.
Подробные сведения собираются. 

вторник, 24 мая 2016 г.

RemindMe

RemindMe Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей, а затем требует выкуп в 2 биткоина. Файлы могут быть расшифрованы только при помощи секретного ключа, который хранится на C&C-серверах RemindMe. На оплату выкупа даётся 5 дней, а если он не уплачен в срок, секретный ключ будет удален. Зашифрованные файлы получают расширение .remind или .xcrypt. Название вымогателя придумано его создателями: "RemindMe" переводится с английского как "Напомни мне". 

Распространяется RemindMe с помощью email-спама, фишинг-рассылок, эксплойтов на зараженных сайтах. 

 После того, как файлы будут зашифрованы, RemindMe удаляет теневые копии файлов и отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, даёт инструкции о том, как перевести деньги в Bitcoin, как потом произвести оплату на Bitcoin Wallet вымогателей и получить декриптер для дешифровки файлов.  

Записки с требованием выкупа и инструкциями называются: decypt_your_files.html и decypt_your_files.txt 

Содержание записки о выкупе:
All your files have been encrypted with the RemindMe Ransomware
Your unique GUID for decrypt: -
Send me some 2 bitcoin on address: -
After confirming the payment, all your files can be decrypted. If you do not make payment within 5 days, you will lose the ability to decrypt them AND ALL YOUR FILES HAVE BEEN DELETED. 
Make your Bitcoin Wallet in hxxps://www.coinbase.com/ or hxxp://blockchain.info
How to buy/sell and send Bitcoin:
1) hxxps://support.coinbase.com/customer/en/portal/topics/796521-payment-method-vertification/articles
2) hxxps://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
3) hxxps://support.coinbase.com/customer/en/portal/topics/60112-sending-receiving-bitcoin/articles

After the payment, snd the wallet from which paid and you uniq ID to mail: [email protected]
After receiving the payment, we will contact and give you decryption tools and faq how to decrypt your files.

Перевод на русский язык:
Все ваши файлы были зашифрованы RemindMe Ransomware
Ваш уникальный GUID для дешифровки: ----- 
Отправьте мне 2 биткоина по адресу: ----- 
После подтверждения оплаты, все файлы могут быть расшифрованы. Если вы не платите 5 дней, то лишаетесь возможности расшифровывать их И ВСЕ ВАШИ ФАЙЛЫ БУДУТ УДАЛЕНЫ. 
Сделайте Bitcoin-кошелек в hxxps: //www.coinbase.com/ или hxxp: //blockchain.info
Как купить/продать и отправить Bitcoin:
1) hxxps://support.coinbase.com...
2) hxxps://support.coinbase.com...
3) hxxps://support.coinbase.com...

После оплаты, пришлите номер кошелька, из которого вы платили и ID на почту: -----
Получив оплату, мы свяжемся с вами, дадим декриптер и FAQ, как дешифровать файлы.

Этот вымогатель шифрует множество типов файлов, среди них, разумеется, изображения, фотографии, аудио, видео и документы. 

Список файловых расширений, подвергающихся шифрованию:
.adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .csv, .doc, .docx, .dwf, .jpg, .html, .msg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .qbb, .rpt, .sldprt, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений). 

Степень распространенности: низкая.
Подробные сведения собираются. 

ZCrypt

ZCrypt Ransomware


   Этот крипто-вымогатель шифрует данные с помощью алгоритма RSA-2048, а затем требует выкуп в 1.2 биткоина. Если выкуп не уплачивается в течение 4-х дней, то сумма возрастает до 5 биткоинов. Зашифрованные файлы получают расширение .zcryptЗаписка с требованием выкупа называется How to decrypt files.html (Как расшифровать файлы). 

Перевод записки на русский язык:
ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши данные (фотографии, документы, базы данных...) были зашифрованы с уникальным ключом, сгенерированным для этого ПК. Это означает, что вы не сможете получить доступ к файлам, пока они зашифрованы. Секретный ключ хранится на наших серверах, и единственный способ получить ключ дешифрования, это сделать оплату.
Платеж должен быть сделан в Bitcoin на уникальный адрес, который мы сгенерировали для вас, Bitcoin является виртуальной валютой для онлайн-платежей. Если вы не знаете, как получить биткоины, ищите в Google "Как купить Bitcoins" и следуйте инструкциям.
У ВАС ЕСТЬ ТОЛЬКО 4 ДНЯ, ЧТО ЗАПЛАТИТЬ! Когда это время закончится, сумма выкупа увеличится до 5 Bitcoin. Если вы не платите 7 дней, ваш уникальный ключ будет уничтожен, и вы уже не сможете восстановить файлы.
Чтобы вернуть файлы и разблокировать ПК, вы должны прислать 1.2 Bitcoin ($ 500) на следующий Bitcoin-адрес:
Нажмите здесь, чтобы показать Bitcoin-адрес
ПРЕДУПРЕЖДЕНИЕ!
НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ САМОСТОЯТЕЛЬНО. ЛЮБОЕ ДЕЙСТВИЕ ПРИВЕДЕТ К УНИЧТОЖЕНИЮ КЛЮЧА ДЕШИФРОВАНИЯ. ВЫ ПОТЕРЯЕТЕ ВАШИ ФАЙЛЫ НАВСЕГДА. ЕСТЬ ТОЛЬКО ОДИН СПОСОБ СОХРАНИТЬ ФАЙЛЫ — СЛЕДОВАТЬ ИНСТРУКЦИЯМ.
...
Неполный список файловых расширений, подвергающихся шифрованию:
.docm, .docx, .doc, .pdf, .odb, .odc, .odm, .odp, .ods, .odt. pptm, .pptx, .ppt, . pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls,.xlsb, .xlsm, .xlsx, .xls, .zip, .png, .jpeg, .txt, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb,.p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .sql, .wps, .emlx (195 расширений). 

Сначала сообщалось о 88 файловых расширений, которые атакует этот шифровальщик, потом их уже насчитывалось 125, а в нашем списке их уже 195. Это не предел, т.к. создатели ZCryptor продолжают расширять количество расширений.

Сбор информации по форумам показал, что ранее, в марте этого года, ZCrypt использовался для атак на русскоязычных пользователей, при этом был другой вариант записки с требованием выкупа на русском и английском языках. В папках с зашифрованными файлами была более краткая записка на русском языке под названием !ИНСТРУКЦИЯ!.html

Записка с требованием выкупа:
ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! 
Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов. 
Попытки самостоятельной расшифровки могут привести к безвозвратной порче данных! 
В письме укажите также ваш ID - 30325B37732E383xxxxx|01|V1"

  Распространяется ZCrypt с помощью email-спама, макросов-загрузчиков в документах MS Office, фишинг-рассылок, эксплойтов на зараженных сайтах, выдаёт себя за загрузчики популярных программ и фальшивые обновления для Flash Player. Вполне возможно его распространение и с помощью сетей общего доступа, кейгенов, активаторов и краков. Пик пострадавших от ранней версии в Рунете пришелся на март 2016 года, добавляемые к зашифрованным файлам расширения могли различаться. Новая майская версия ориентирована на гораздо больший захват ПК во всем мире. 

  Наиболее комфортная работа ZCrypt установлена в Windows 7, тогда как в Windows XP что-то может вообще не работать. Это объясняется тем, что в более старых операционных системах не существует нужная шифровальщику системная функция. 

   Примечательно, что у нынешнего ZCrypt замечено поведение, схожее с сетевыми червями. Т.е. он может распространяться самостоятельно, заражая все доступные цели и копировать себя на портативные устройства. Аналитики Trend Micro тоже классифицировали ZCrypt как червя

  Таким образом, ZCryptor является одним из первых крипточервей и саморазмножающихся шифровальщиков, и потому крайне опасен. Ранее, год назад, как саморазмножающийся вирус-шифровальщик проявил себя VirLock

Степень распространённости: очень высокая
Подробные сведения собираются.

понедельник, 23 мая 2016 г.

ODCODC

ODCODC Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот криптовымогатель шифрует данные якобы с помощью алгоритма RSA-2048. На самом деле используется алгоритм XOR. Сумма выкупа называется индивидуально в ответном письме — 1 BTC или 25000 рублей. Зашифрованные файлы получают расширение .odcodc, которое дополняется почтовым адресом вымогателей.

Пример зашифрованного файла:
C-email-<email_address>-<original_filename>.odcodc
C-email-abennaki@india.com-Chrysanthemum.jpg.odcodc

Записка с требованием выкупа и с инструкциями для уплаты выкупа readthis.txt добавляется в каждую папку с зашифрованными файлами. 

Вот её буквальное содержание: 

Your personal files are encrypted!
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048. https://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you cant restore them.
What to do?
We can recover your files. You can trust us, for proof of this we can decrypt some your files for free.
How to contact you?
Write us to email: abennaki@india.com

Ваши персональные файлы зашифрованы!
Что случилось с файлами?
Все ваши файлы зашищены криптостойким алгоритмом RSA-2048. https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Что это значит?
Это значит, что структура и содержимое ваших файлов потерпили необратиме изменения, вы не можете с ними работать, читать или видеть, это тоже самое, что потерять их бесповоротно, но, с нашей помощью, вы можете их все восстановить.
Что мне делать?
Мы можем полностью восстановить доступ к вашим файлам. Вы можете нам доверять, доказать честность и серьезность наших намерений мы можем бесплатной расшифровкой нескольких файлов.
Как с вами связаться?
Напишите нам на почту: abennaki@india.com

Your PCID:: WIN-F9KR5MHB5C0706219416

Примечательно, что записка написана сразу на английском и русском, но в тексте есть фразы, корявость которых среди остального теста выглядит довольно подозрительно. Например, слово "зашищены" и фраза "потерпили необратиме изменения". Другой email, встречающийся в других записках - transcript@india.com. При этом потерпевшие сообщали, что у них записка о выкупе была только на английском языке. 

Ответ от abennaki@india.com пострадавшему от шифрования:
Здравствуйте. Розшифровка файлов 25000 руб. для гарантии могу розшифровать пару файлов.

Вывод: Вымогатели, создавшие вредонос — украинцы, т.к. используют слова "розшифровка" и "розшифровать" вперемежку с русскими. 

В других регионах записка о выкупе есть также на других языках, в том числе на английском и китайском, в последнем сделанная системой автоматического перевода Google. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, в том числе под видом инсталлятора VMware Workstation.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .7z, .accdb, .accdc, .accde, .accdr, .accdt, .act, .adp, .ai, .arw, .asf, .asm, .asp, .asx, .avi, .backup, .bak, .bay, .bdb, .bik, .blend, .bmp, .c, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cfg, .cgm, .ckp, .class, .cpp, .cr2, .cs, .csv, .db, .db3, .dbf, .dc2, .dcs, .ddoc, .dds, .design, .dgc, .djvu, .doc, .docm, .docx, .dot, .dotx, .drw, .dt, .dwg, .dxb, .dxf, .eps, .erf, .fdb, .flac, .fpx, .h, .hbk, .hpp, .iiq, .indd, .java, .jpe, .jpeg, .jpg .kdc, .key, .m4v, .max, .mdb, .mdf, .mos, .mov, .mp3, .mp4, .mpg, .myd, .nrw, .ns2, .ns3, .ns4, .nyf, .obj, .odb, .ods, .odt, .orf, .otg, .ott, .pages, .pas, .pcd, .pct, .pdb, .pdd, .pdf, .pfx, .php, .pl, .pps, .ppt, .pptm, .pptx, .ps, .psd, .ptx, .py, .r3d, .rar, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .sdf, .sql, .sqlite, .sqlilte3, .sqlitedb, .sr2, .srw, .stw, .stx, .svg, .swf, .sxd, .sxg, .sxw, .tex, .tga, .thm, .txt, .vdb, .veg, .wmv, .wpd, .wps, .x3f, .xls, .xlsm, .xlsx, .zip (152 расширения). 

Новый список (от 30 августа 2016):
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accdc, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfp, .cgm, .cib, .ckp, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db, .db_journal, .db3, .dbf, .dbf, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotx, .drf, .drw, .dt, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fpx, .ful, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jpe, .jpeg, .jpg, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .obj, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .plc, .plus_muhd, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tc, .tex, .tga, .thm, .tib, .tis, .tlg, .trn, .txt, .vbox, .vdb, .veg, .vob, .vob, .wallet, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv, .zip (322 расширения). 

Файлы, связанные с этим Ransomware
%UserProfile%\Application Data\cript.bat
%UserProfile%\Application Data\cript.exe
%UserProfile%\Application Data\<random_name>.exe
[Path_to_encrypted_file]\readthis.txt
<Email-attachment_Cyrillic-name>.docx.exe

Ключи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Crr1" = "[PATH TO TROJAN]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Crr2" = "[PATH TO TROJAN]"

Сетевые подключения:
inststats.com

Результаты анализов:
VirusTotal анализ >>
Symantec: Ransom.ODCODC >>

Степень распространённости: средняя.
Подробные сведения собираются. 


 Внимание!!! 
Для зашифрованных файлов есть дешифровщик. 
Скачать ODCODC Decoder


Обновление от 27 декабря 2016:
Записка: HOW_TO_RESTORE_FILES.txt
Расширение: .odcodc
Шаблон зашифрованного файла: C-email-[email_address]-[original_filename].odcodc
Результаты анализов: VT


BadBlock

BadBlock Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256 (CBC-режим, RSA-2048 ключ), а затем требует 2 биткоина (~$900) за расшифровку. К зашифрованным файлам никакое специальное расширение не добавляется. 

  Записки о выкупе называются Help Decrypt.html и Help_Decrypt.txt и размещаются в каждой папке с зашифрованными файлами. В качестве обоев рабочего стола ставится изображение Help_Decrypt.png с аналогичным содержанием и таким же яркокрасным дизайном. 

Содержание записки о выкупе:
BadBlock is on the block!
This machine was infected with ransomware BadBlock. Many of your files are encrypted using RSA algorithm, and
the key to decrypt this files is with us on our server.
- What this means?
It means that to decrypt and recover your files, you will need to pay a ransom, in bitcoins. The actual ransom for your machine is 2 bitcoins (USD -900.00).
If you are not interested in pay this ransom, you can easily format this machine, or even remove BadBlock (it's not that hard), but all your files will become unrecoverable!
- How do I pay?
You simply buy bitcoins. and transfer them to this account: l9zvMSm7qSQgFXCckXBJstdVdbT99ZuWBP
The amount is 2 bitcoins. like we talked earlier... You can use this link or this link to help you out on how to buy the bitcoins.
- What happens after the payment?
BadBlock still running on your computer right now. and waiting to detect one payment of 2 BTC on the address mentioned above. Once it detects, it will start to decrypt all the encrypted files. The process to detect the payment can take up to 2 hours, and only after this it will start decrypting your files. So after payment leave this machine powered.
For this reason, we strongly recommend you to not try to remove BadBlock. and disable your anti-virus for a while, until you pay and the payment gets processed, to BadBlock start decrypting. If your anti-virus gets updated and remove BadBlock automatically, even if you pay the ransom, it will not be able to recover your files!
- How do I know that you will really decrypt my files after payment?
You don't You have only one choice to recover your files: pay the ransom. We have no interest in keeping your files locked for any reason. So right now. just rely on us and everything will be fine.

Перевод записки на русский язык:
BadBlock в действии! (Буквально "в на блоке")
Эта машина инфицирована вымогателем BadBlock. Многие ваши файлы зашифрованы с помощью алгоритма RSA, а ключ дешифровки хранится на нашем сервере.
- Что это значит?
Это значит, что для дешифровки и восстановления файлов вам нужно заплатить выкуп в биткоинах. Он составляет 2 BTC или $900.
Если вы не желаете платить выкуп, то можете легко отформатировать диск, или даже удалить BadBlock (это нетрудно), но все ваши файлы будут утеряны!
- Как уплатить выкуп?
Нужно купить биткойны и передать их на этот счет: l9zvMSm7qSQgFXCckXBJstdVdbT99ZuWBP
Всего 2 биткоина, как мы говорили ранее. Вы можете использовать эту или эту ссылку, чтобы узнать, как купить биткоины.
- Что будет после уплаты выкупа?
BadBlock будет работать на вашем ПК и ждать информации о поступлении 2 BTC на указанный адрес. После получения этой информацию, он начнет дешифровку всех зашифрованных файлов. Ожидание платежа длится до 2-х часов, и только после этого начнется дешифровка файлов. Поэтому, после оплаты оставьте ПК включенным.
Потому, мы рекомендуем не пытаться удалять BadBlock и отключить на время антивирус, пока вы платите, платеж обрабатывается, BadBlock ждёт, чтобы начать дешифровку. Если ваш антивирус обновится и автоматом удалит BadBlock, то, даже если вы платили выкуп, он не сможет восстановить ваши файлы!
- Как я узнаю, что вы расшифруете мои файлы после уплаты?
Нет другого способа, чтобы восстановить файлы: только уплата выкупа. Мы по-любому не хотим хранить заблокированные файлы. Так что, просто доверьтесь нам и все будет хорошо.

  Распространяется с помощью email-спама и вредоносных вложений, фишинг-рассылок и ссылок на зараженные эксплойтами сайты, через вредоносный JavaScript, поддельные обновления Adobe Flash Player и другими способами. 

  Впервые запустившись на компьютере BadBlock создаёт исполняемый файл со случайным именем в директориях %AppData% и %LocalAppData%. Этот исполняемый файл запускается и начинает сканирование всех дисков (от C до Z) на компьютере в поисках целевых данных для шифрования. 

Список файловых расширений, подвергающихся шифрованию:
.png, .jpeg, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .pptm, .pptx, .ppt, .xlsb, .xlsm, .xlsx, .xls, .zip, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .lbf, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .sql,  .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb,  .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb,  .xlk,  .wps...

Примечательно, что Windows 10 также подвержена атаке этого шифровальщика. 

Важные особенности BadBlock:
1) В отличие от почти всех других вымогателей инфекций, BadBlock не только шифрует свои файлы, но также шифрует исполняемые файлы на вашем ПК, в том числе важные системные файлы Windows. Это значит, когда вы перезагрузите ПК после шифрования BadBlock-а, то обнаружите, что система больше не запускается из-за того, что важные исполняемые файлы были зашифрованы, как показано на картинке ниже.

2) Большинство криптовымогателей не любят раньше времени, пока шифрование не завершено, демонстрировать свое присутствие. BadBlock же наоборот, открыто говорит жертве, что он делает в то самое время, когда это делает. см. скриншот ниже. 

 3) Так как пользователь уже будет знать, что BadBlock шифрует его файлы, то может в диспетчере задач завершить процесс badransom.exe, чтобы прервать шифрование. 

Степень распространенности: высокая.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер.

Crypt0L0cker

Crypt0L0cker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью AES-256, а затем требует 2 биткоина за расшифровку. Не путайте его с CryptoLocker, т.к. у нового криптовымогателя буквы "o" в названии заменены нулями. Это название дано самими разработчиками-вымогателями. К зашифрованным файлам добавляется расширение .encrypted. С августа 2016 новое расширение .enc

  Специалисты считают Crypt0L0cker обновленной версией более раннего вымогателя TorrentLocker. Впервые замечен в конце апреля 2015 в странах Европы, Азии и в Австралии. 

© Генеалогия: TorrentLocker > Crypt0L0cker 

  Crypt0L0cker прописывается в автозагрузку, запрещает браузеру Internet Explorer использование антифишингового фильтра, создает папки и файлы со случайными именами в системных и программных директориях. Теневые копии файлов удаляются, повреждаются или инфицируются. 

Записки о выкупе называются:
DECRYPT_INSTRUCTIONS.HTML
DECRYPT_INSTRUCTIONS.TXT
HTML-вариант записки о выкупе 

TXT-вариант записки о выкупе

Crypt0L0cker распространяется по email, как уведомление от австралийской федеральной полиции (AFP) за нарушения ПДД и превышения скорости. 

Первоначально был ориентирован на Австралию и сопредельные страны Азии, но на деле атакует практически все страны, кроме США. Компьютеры, использующие IP-адрес США пока не инфицируются. C&C-сервера находятся в зоне .RU, но в данный момент эти домены свободны и не делегированы.

Список файловых расширений, НЕ подвергающихся шифрованию:
avi, wav, mp3, gif, ico, png, bmp, txt, html, inf, manifest, chm, ini, tmp, log, url, lnk, cmd, bat, scr, msi, sys, dll, exe

Обновление от 12 августа 2016
Новая спам-кампания по распространению Crypt0L0cker использует email-спам, приходящий якобы от итальянской энергетической компании Enel. Письма содержат вложения под названием ENEL_BOLLETA.zip, в котором находится JS-файл ENEL_BOLLETA.js

Если этот файл будет запущен на выполнение, то он загрузит исполняемый файл TorrentLocker, сохранит его в папке %Temp% и запустит. После выполнения, он будет шифровать файлы пользователя и добавлять к ним расширение .enc. Затем будет создана со случайным именем записка с требованием выкупа, содержащая инструкции о том, как получить доступ к платежному сайту Crypt0L0cker. Ориентирован на итальяноязычных пользователей. 

Детект на VirusTotal >>


HTML-вариант записки о выкупе (август 2016)

Содержание записки на итальянском: 
ATTENZIONE
abbiamo criptato vostri file con il virus Crypt0L0cker
I vostri file importanti (compresi quelli sui dischi di rete, USB, ecc): foto, video, documenti, ecc sono stati criptati con il nostro virus Crypt0L0cker.
L'unico modo per ripristinare i file è quello di pagare noi. In caso contrario, i file verranno persi.
Attenzione: La rimozione di Crypt0L0cker non ripristinare l'accesso ai file crittografati.
Per recuperare i file si deve pagare
Al fine di ripristinare i file aperti nostro sito http://vrvmpoqs5ra34nfo.toi-vievv.pl/tutu6a.php7*** e seguire le istruzioni.
Se il sito non è disponibile si prega di attenersi alla seguente procedura:
1. Scaricare e installare TOR-browser da questo link: https://www.torproject.org/download/dovvnload-easv.html.en
2. Dopo l'installazione eseguire il browser e digitare l'indirizzo: http://vrympoqs5ra34nfo.omon/tutu6a.php?user_code***
3. Seguire le istruzioni sul sito.

Перевод на русский:
ВНИМАНИЕ!
Мы зашифровали файлы вирусом Crypt0L0cker
Ваши важные файлы (также файлы на сетевых дисках, USB и т.д.): фото, видео, документы и пр. зашифрованы с помощью нашего вируса Crypt0L0cker.
Единственный способ вернуть файлы, это платить нам. Иначе файлы будут потеряны.
Знайте: Удаление Crypt0L0cker не вернёт доступ к зашифрованным файлам.
Как мне вернуть файлы, которые нужно оплатить
Для восстановления файлов, откройте наш веб-сайт http://vrvmpoqs5ra34nfo.toi-vievv.pl/tutu6a.php7*** и следуйте инструкции.
Если сайт недоступен, пожалуйста, выполните следующие действия:
1. Скачайте и установите TOR-браузер по этой ссылке: https://www.torproject.org/download/dovvnload-easv.html.en
2. После установки, запустите браузер и введите адрес: HTTP: //vrympoqs5ra34nfo.omon/tutu6a.php User_code ***
3. Следуйте инструкциям на сайте.


Степень распространённости: высокая. 
Подробные сведения собираются.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *