вторник, 31 мая 2016 г.

TorrentLocker

TorrentLocker Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES (CBC режим), а с помощью 2048-битного ключа RSA шифрует ключ AES, а затем требует 4.081 биткоинов за расшифровку. 

© Генеалогия: TorrentLocker > Crypt0L0cker 

  Название TorrentLocker взято из имени раздела реестра HKEY_CURRENT_USER\Software\Bit Torrent Application\Configuration, который ранее использовался вредоносом для хранения своей конфигурации. Поздние модификации больше не использовали этот раздел реестра. 

  Создатели же назвали свой проект Racketeer (буквально "Рекетир"). Некоторые названия функций в коде вредоносной программы начинаются с префикса «rack», например, rack_init, rack_encrypt_pc. Имена файлов скриптов на C&C-сервере также начинаются с этого префикса, например, rack_cfg.php, rack_admin.php. Racketeer оправдывает свое название, т.к. заставляет покупать у злоумышленников дешифровщик. Первые версии TorrentLocker были зафиксированы в начале 2014 года, но к концу года уже было 5 известных модификаций. 

  Версии 1-3 содержали уязвимость, которая позволила специалистам ЛК создать RannohDecryptor. Но начиная с 4-й версии создатели вредоноса исправили уязвимость и дешифрование стало невозможным. Текущие версии этой вредоносной программы требуют выкупа в Bitcoin и размещают веб-страницы для уплаты выкупа в сети Tor.

  Распространяется TorrentLocker с помощью email-спама и вредоносных вложений, фишинг-рассылок со ссылками на архивы с вредоносным содержимым, или на зараженные эксплойтами сайты. Исполняемый файл из вложения обычно замаскирован под документ MS Office (счет, штраф, извещение, уведомление и пр.) и представляет собой дроппер вредоносной программы. Фишинговые сообщения распространяли TorrentLocker с августа 2014 г. Если вредоносное вложение не использовалось, то письмо содержало URL-ссылку на загрузку вредоносного архива, для получения которого нужно было пройти специальную капчу. 

  При использовании фишинговых рассылок с URL-ссылками специальные веб-страницы откроются только для пользователей из определенной страны (проверка по IP-адресу). Если на такую веб-страницу попадает пользователь из другой страны, то он перенаправляется на страницу Google-поиска. Пользователям мобильных устройств предлагается открыть страницу с ПК. Во вложениях также используются doc-файлы со сценариями на VBA, которые нужны для загрузки и запуска дроппера TorrentLocker. 

  Во всех случаях, текст сообщений написан на языке страны получателя. В их числе были: Австралия, Австрия, Великобритания, Германия, Голландия, Ирландия, Испания, Италия, Канада, Новая Зеландия, Турция, Франция, Чехия. Кроме этого, злоумышленники покупали и использовали в фишинг-рассылках специальные поддельные домены, очень похожие на легитимные аналоги, принадлежащие некой частной или государственной организации. 

  Когда TorrentLocker запускается на зараженном ПК, то он запрашивает у C&C-сервера веб-страницу с требованием выкупа, которая сообщает пользователю о том, что файлы зашифрованы и нужно заплатить выкуп за дешифровку. Если эта операция успешна, то TorrentLocker генерирует специальный 256-битный AES-ключ, который шифруется с помощью публичного 2048-битного ключа RSA, жестко зашитого в теле вредоноса. 

Ключ отправляется на удаленный C&C-сервер. Далее вредоносная программа инициирует процесс шифрования файлов определённого типа с использованием этого AES-ключа. 

Список файловых расширений, подвергающихся шифрованию:
.3ds, .3fr, .3pr, .7z, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .awg, .backup, .backupdb, .bak, .bdb, .bgt, .bik, .bkp, .blend, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .rar, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .zip (236 расширений).

Сейчас уже известно, что TorrentLocker шифрует только первые 2MB файла, чтобы сделать файл полностью неработоспособным или непригодным для использования. В конец каждого зашифрованного файла вредоносная программа добавляет три специальных поля определенного формата.

  По окончании шифрования TorrentLocker уничтожает в памяти ключ вызовом memset(aes_key, 0, aes_key_size), чтобы сделать невозможным получение ключа из памяти при его отладке. Этот memset выполняется для каждой копии ключа. После этого TorrentLocker отображает пользователю полученную ранее веб-страницу. Веб-страница с требованием выкупа содержит ссылку на страницу оплаты, размещенную на домене .onion. Этот домен также фигурирует в качестве одного из C&C-серверов, к которому обращается код TorrentLocker. На скриншоте ниже упоминается другой шифровальщик – CryptoLocker. Этот ход используется для того, чтобы ввести жертву в заблуждение.
  Из-за того, что разработчики TorrentLocker стали использовать режим CBC симметричного алгоритма шифрования AES, вместо ранее используемого CTR, расшифровка возможна только в случае получения закрытого ключа RSA от злоумышленников, с помощью которого можно расшифровать AES ключ. Этот зашифрованный публичным RSA ключом AES ключ хранится в конце зашифрованного файла и используется для непосредственной расшифровки файла (или его первых двух мегабайт). Публичный RSA ключ находится в теле вредоносной программы.

 TorrentLocker для Швеции
  В мае 2016 обнаружена новая кампания, в которой TorrentLocker ориентирован на Швецию. Как и более ранние кампании, этот криптовымогатель доставляется с помощью email-спама и ссылок на заражённый эксплойтами сайт. Предлагается загрузить фальшивый счет от фирмы международной связи Telia со штаб-квартирой в Стокгольме (Швеция), имеющий миллионы клиентов по всему миру. Если потенциальная жертва переходит по ссылке на веб-сайт, выглядящий как реальный сайт Telia, то натыкается на вредоносный код Captcha, который загружает вымогателя TorrentLocker, но при условии, что IP-адрес жертвы находится в Швеции. Если IP-адрес не находится в Швеции, пользователь будет перенаправлен на Google. 
  TorrentLocker пытается украсть данные жертвы, прежде чем начнёт шифрование. Он внедряется в память explorer.exe перед удалением основного компонента с произвольным именем, а затем собирает на ПК все имеющиеся сертификаты и контакты пользователей. Они отправляются на C&C-сервер и хранятся там для использования в будущих вредоносных кампаниях.
  При запуске шифрования, эта шведоориентированная версия TorrentLocker пытается зашифровать все доступные файлы данных на локальном и подключенных дисках. По завершении шифрования записка о выкупе предлагает потерпевшему купить дешифровщик за 1,153 Bitcoins (около 4099 крон, 441 евро или $ 500). Если выкуп не выплачивается в течение нескольких дней, стоимость дешифровки удваивается. Новая версия оснащена специальной функцией "сна" (временного бездействия), когда вымогатель не проявляет никакой активности, чтобы избежать обнаружения и противодействовать песочным (sandbox) и поведенческим (HIPS) технологиям защиты. 
  "Лучший уровень защиты против криптовымогателей, внедряющихся в систему в виде полезных нагрузок, это поведенческая технология защиты (так называемый HIPS). Статические проверки VirusTotal не могут контролировать поведение, поэтому не дают полноценного анализа на основе детекта или недетекта конкретного AV для проверяемых вредоносов. Поэтому криптовымогатель всегда будет делать то, что он делает", — сказал Шон Салливан, советник по безопасности F-Secure.
  "Функция сна" у нового TorrentLocker предназначена для противодействия такому поведенческому анализу и песочным технологиям. Злоумышленники предприняли контрмеры, чтобы сохранить своего вредоноса бездействующим на период поведенческого анализа.

  В перспективе злоумышленники могут легко менять вектор атаки, ориентируя атакующий вымогатель на потенциальные жертвы из любой другой страны.

Получил отдельное развитие вариант TorrentLocker под названием Crypt0L0cker
Это наследование записывается так:
© Генеалогия: TorrentLocker > Crypt0L0cker 

Степень распространённости: перспективно высокая. 
Подробные сведения собираются.

воскресенье, 29 мая 2016 г.

LeChiffre

LeChiffre Ransomware


  Этот криптовымогатель шифрует данные с помощью алгоритма Blowfish, а затем требует выкуп, чтобы вернуть файлы обратно. Название происходит от французского слова "шифр".  Известен с июня 2015 года.

К зашифрованным данным добавляется расширение .lechiffre

  Устанавливается вручную на взломанных с помощью удаленного рабочего стола или служб терминалов серверах. После взлома сервера хакеры вручную запускают исполняемый файл LeChiffre.exe для шифрования данных, а затем, после выхода, удаляют все следы своей программы. 

  Записка с требованием выкупа называется _How to decrypt LeChiffre files.html и размещается в папках с зашифрованными файлами. 

  В записке о выкупе указан email-адрес decrypt.my.files@gmail.com, который нужен для связи с вымогателями, чтобы получить инструкции по оплате. Примечательно, что если жертва не нуждается в своих файлах сейчас или нет денег на выкуп, то можно подождать 6 месяцев и получить файлы обратно бесплатно. 

  Инсталлятором является файл LeChiffre.exe с известной для Рунета иконкой программы 1С.
После его запуска открывается следующее окно с русскоязычными надписями. 
Работа по шифрованию начинается с нажатия кнопки Пуск — шифровальщик запускается, сканирует все доступные диски и шифрует файлы с заданными расширениями. 

Список файловых расширений, подвергающихся шифрованию: 
.001, .900, ... .db, .doc, .docx, ... .jpeg, .jpg, .pdf, ... .rar, ... .xls, .xls, .zip

Файлы, связанные с этим Ransomware: 
_How to decrypt LeChiffre files.html
LeChiffre.exe
LeChiffreDecrypt.exe

Обновление от 1 июня 2016: 
Пост в Твиттере >>
Email: lechiffre@india.com и lechiffre@mailchuck.com
Записка: _how to decode[PC-NAME].txt

<< Текст см. на скриншоте  




Статьи по LeChiffre:
Write-up by McAfee 

Степень распространенности: средняя.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер.

суббота, 28 мая 2016 г.

Gomasom

Gomasom Ransonware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей, а затем требует выкуп, чтобы вернуть файлы обратно. Название "Gomasom" получено путем сложения начальных букв словосочетания GOogle MAil ranSOM. Зашифрованные файлы в добавление к оригинальному имени получают расширение, созданное по схеме "originalfilename.extension" + !___*email*@gmail.com__.crypt, где под *email* скрывается логин вымогателя в почте Gmail. Например, crydhellsek, т.е. в результате к файлам прибавится расширение !___crydhellsek@gmail.com__.crypt . Данный адрес служит для связи между жертвой и злоумышленниками.

Пример зашифрованного файла: Tulips.jpg!___prosschiff@gmail.com_.crypt

Адреса email вымогателей:
crydhellsek@gmail.com
cryphelp963@gmail.com
helpsend369@gmail.com
panerai794@gmail.com
prosschiff@gmail.com

  Записки о выкупе носят имена: de_crypt_readme.txt, de_crypt_readme.html, а также файлы изображений de_crypt_readme .bmp или de_crypt_readme.png

  После установки Gomasom создаёт вредоносный исполняемый файла со случайным именем в C:\Users\User\AppData\Local\Microsoft Help\ и прописывается в Автозагрузку Windows. Далее он шифрует не только пользовательские, но и исполняемые файлы, из-за чего многие приложения становятся недоступными. 

Файлы, созданные Gomasom:
%LocalAppData%\Microsoft Help\<random>.exe

Записи реестра, созданные Gomasom:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ "C:\Users\User\AppData\Local\Microsoft Help\<random>.exe"
HKCU\Software\<random>

  Одним из признаков того, что есть заражение ПК этим видом вымогателя, может являться неожиданное уведомление Windows о том, что имеются файлы для записи на диск. 

Это произойдет из-за того, что Windows обнаружит, что содержимое папки, используемой для записи файлов изменилось. Даже если там нет ничего, кроме скрытого системного файла desktop.ini, который был зашифрован, то появится уведомление о том, что файлы должны быть записаны, как на картинке ниже. 

Такое поведение замечено исследователем безопасности Лоуренсом Адамсом при проведении тестов с Gomasom, TeslaCrypt, Chimera и Fulba Ransomware. 

Степень распространенности: средняя.
Подробные сведения собираются. 


Внимание!!! 
Для зашифрованных файлов есть декриптер.

пятница, 27 мая 2016 г.

Bitmessage

Bitmessage (Ungluk) Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 2,5 BTC, чтобы вернуть файлы обратно. Зашифрованные файлы получают расширения: bleep, .1999, .0x0, H3LL .fu*k. Цели шифрования: базы данных, документы, PDF, музыка, видео, общие сетевые папки и пр. По завершении шифрования криптовымогатель удаляет теневые копии файлов. Пик атак пришелся на декабрь 2015 г.

Файлы, связанные с Bitmessage Ransomware:
FILESAREGONE.TXT - записка с требованием выкупа "Файлы исчезли";
READTHISNOW !!!. TXT  - записка с требованием выкупа "Прочти сейчас";
IHAVEYOURSECRET.KEY  - специальный файл с ключом;
Secret.key, Secret.key2 - специальные файлы. 

Содержание записки FILESAREGONE.TXT: 
Hello.
All your files have been encrypted using our extremely strong private key. There is no way to recover them without our assistance. If you want to get 
your files back, you must be ready to pay for them. If you are broke and poor, sorry, we cannot help you. If you are ready to pay, then get in touch with 
us using a secure and anonymous p2p messenger. We have to use a messenger, because standard emails get blocked quickly and if our email gets blocked your files will be lost forever.
Go to http://bitmessage.org/, download and run Bitmessage. Click Your Identities tab > then click New > then click OK (this will generate your 
personal address, you need to do this just once). Then click Send tab. 

TO: BM-NByDti9xJ9NcFShLaBfExxxxxxxxxx
SUBJECT: name of your PC or your IP address or both. 
MESSAGE:  Hi, I am ready to pay.
Click Send button.
You are done.

To get the fastest reply from us with all further instructions, please keep your Bitmessage running on the computer at all times, if possible, or as often as you can, because Bitmessage is a bit slow and it takes time to send and get messages. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки FILESAREGONE.TXT на русский язык:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. Если вы хотите вернуть файлы, то должны заплатить за них. Если вы разорены и бедны, извините, мы не поможем. Если вы готовы платить, то свяжитесь с нами через безопасный и анонимный p2p-мессенджер. Мы его используем, т.к. обычные email блокируются, а если мы не получим ответ, то ваши файлы будут утеряны.
Перейти к http://bitmessage.org, скачать и запустить Bitmessage. Нажать на Identities > New > кнопку ОК (будет генерирован ваш личный адрес, это делается только один раз). Затем клик на Send.

TO: BM-NByDti9xJ9NcFShLaBfExxxxxxxxxx
SUBJECT: имя вашего ПК или IP-адрес, или оба.
MESSAGE: Привет, я готов платить.
Нажмите кнопку Send .
Вы это сделали.

Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.

Содержание записки READTHISNOW !!!.TXT:
Hello. 
All your files have been encrypted using our private key. There is no way to recover them without our assistance. 
If you want to get your files back you must be ready to pay for them. If you are ready to pay then follow the instructions: 
1) Create an archive (rar or zip) with 3 files inside: Secret.key + Secret.key2 (should be on your desktop) + Any encrypted file of a small size. It can be a .doc or .pdf or .xls or whatever you have. 5 mb max. Note that this file should have this extention: .0x0; please don’t put more than one file in the archive, one file is enough. If you can’t find Secret.key2, that’s OK. It will take just a little bit more time to restore your files, so you shouldn’t worry. 
2) Upload this archive to any file sharing site. Dropbox, Google Drive, sendspace.com etc. 
3) Go to http://bitmessage.org/ and download Bitmessage. 
4) Run Bitmessage. Select ‘Your Identities’ tab. Then click New. Then click OK. Then select ‘Send’ tab. 

TO: BM-%redacted% (this is our address)
SUBJECT: your PC name (Start -> Control Panel -> System) 
MESSAGE: Link to the archive with three files in it. Then click ‘Send’. 
You are done! 
To get the fastest reply from us with all further instructions, please keep Bitmessage running on your computer all the time, if possible. If you cooperate and follow the instructions, you will get all your files back intact and very, very soon. Thank you.

Перевод записки READTHISNOW !!!.TXT на русский язык:
Привет.
Все ваши файлы зашифрованы с нашим очень сильным закрытым ключом. Нет способов вернуть их без нашей помощи. 
Если хотите вернуть файлы, то должны заплатить за них.  Если вы готовы платить, следуйте инструкциям:
1) Создайте архив (RAR или ZIP) с 3-мя файлами внутри: Secret.key + Secret.key2 (должны быть на вашем рабочем столе) + любой зашифрованный файл небольшого размера. Это может быть .doc, .pdf, .xls или что у вас есть. 5 Мб макс. 
Обратите внимание, что этот файл должен иметь расширение .0x0; пожалуйста, не помещайте более одного файла в архиве... 
Если не можете найти Secret.key2, это ОК. Понадобится больше времени, чтобы восстановить ваши файлы, так что вы не должны беспокоиться.
2) Вы можете отправить этот архив на любой сайт для обмена файлами. Dropbox, Google Drive, sendspace.com и т.д.
3) Перейти к http://bitmessage.org/ и скачать Bitmessage.
4) Установить Bitmessage. Выбрать Your Identities > New  кнопку OK > Send.

TO: BM-адрес
SUBJECT: имя вашего ПК (Пуск > Панель управления > Система)
MESSAGE: Ссылка на архив с тремя файлами в нем. Затем нажмите кнопку "Отправить". 
Вы это сделали! 
Для быстрого получения нашего ответа с инструкциями, пожалуйста, оставьте Bitmessage работающим на ПК, если возможно, или чаще включайте, т.к. Bitmessage небыстр, и нужно время для отправки и получения сообщений. Если будете следовать инструкциям, то получите все ваши файлы обратно и очень скоро. Спасибо.

Список файловых расширений, подвергающихся шифрованию:
.113 .1cd .3dm .3ds .3fr .3g2 .3gp .3pr .73b .7z .a3d .ab4 .abf .abk .ac2 .accdb .accde .accdr .accdt .acr .adb .aep .agd1 .ach .ai .ait .al .apj .apk .ark .arw .as4 .asf .asm .asp .asset .asvx .asx .ate .ati .avi .awg .azw .azw4 .b1 .bac .back .backup .backupdb .bak .bakx .bar .bay .bb .bc6 .bc7 .bck .bcm .bdb .bgt .big .bik .bin .bkf .bkp .blend .blob .bpw .bsa .c .cab .cas .cb7 .cbr .cbt .ccd .cdf .cdr .cdr3 .cdr4 .cdr5 .cdr6 .cdrw .cdx .ce1 .ce2 .cer .cf .cfp .cfr .cgm .cib .cls .cmt .con .cpi .cpp .cpt .cr2 .craw .crt .crw .cs .csh .csl .css .csv .ctb .d3dbsp .dac .das .dat .data .db .db0 .db3 .dba .dbf .dc2 .dc3 .dcr .dcs .ddrw .dds .der .des .desc .design .dgb .dgc .dicom .divx .djvu .dmg .dmp .dng .doc .docm .docx .dot .dotm .dotx .drf .drw .dt .dta .dtaus .dtd .dwfx .dwg .dxb .dxf .dxg .edi .eml .emlx .epk .eps .epub .erbsql .erf .esm .exf .fb2 .fbf .fbk .fbw .fbx .fdb .ffd .fff .fh .fhd .fla .flac .flv .forge .fos .fpk .fpx .fsh .fxg .gbk .gdb .gho .gif .gpx .gray .grey .gros .gry .h .hbk .hkdb .hkx .hplg .hpp .htm .html .hvpl .hxi .hxq .hxr .hxs .hxw .chi .chm .chq .chw .ibank .ibd .ibz .icxs .idx .iff .img .inc .incpas .iso .itdb .itl .itm .iv2i .iwd .iwi .jar .java .jpe .jpeg .jpg .js .kc2 .kdb .kdbx .kdc .key .keystore .keystore .kf .kpdx .layout .lbf .ldf .lic .lit .litemod .lrf .ltx .lua .lvl .m .m2 .m2v .m3d .m3u .m4a .m4v .map .max .mcmeta .mdb .mdbackup .mdc .mddata .mdf .mds .mef .menu .mfw .mkv .mlx .mmw .mobi .model .moneywell .mos .mov .mp3 .mp4 .mpeg-1 .mpeg-2 .mpeg-4 .mpg .mpg .mpq .mpqge .mrw .mrwref .msg .myd .nbd .ncf .nd .ndd .nef .netcdf .nk2 .nop .nrw .ns2 .ns3 .ns4 .nsd .nsf .nsg .nsh .ntl .nwb .nx1 .nx2 .nyf .oab .obj .odb .odc .odf .odg .odm .odp .ods .odt .orf .ost .otg .oth .otp .ots .ott .p12 .p7b .p7c .pab .pak .pas .pat .pcd .pct .pdb .pdb .pdd .pdf .pef .pem .pfx .php .pkpass .pl .png .pot .potm .potx .ppam .pps .ppsm .ppsx .ppt .pptm .pptx .prf .prproj .ps .psafe3 .psd .psk .pst .ptx .pub .pwm .py .pz3 .qba .qbb .qbm .qbo .qbr .qbw .qbx .qby .qdf .qfx .qic .qif .qt .qvw .s3db .sav .sb .sbs .sd0 .sd1 .sda .sdf .sdxf .shtm .shtml .sid .sidd .sidn .sie .sis .sldasm .sldm .sldprt .sldx .slm .sln .sn1 .sna .snx .spf .sql .sqlite .sqlite3 .sqlitedb .sr2 .srf .srt .srw .st4 .st5 .st6 .st7 .st8 .stc .std .sti .stw .stx .sub .sum .suo .svg .swf .swm .sxc .sxd .sxg .sxi .sxm .sxw .t12 .t13 .tar .tax .tbl .tex .tga .tib .tis .tlg .trn .txt .upk .vcf .vdf .vfs0 .vob .vob .vpk .vpp_pc .vtf .w3x .wab .wallet .wav .wbb .wbcat .wdb .wif .wim .win .wma .wmo .wmv .wpd .wps .x3f .xar .xf .xla .xlam .xlk .xll .xlm .xlr .xls .xlsb .xlsk .xlsm .xlsx .xlt .xltm .xltx .xlw .xmi .xml .ycbcra .yuv .z .zip .ztmp (501 расширение). 

Степень распространенности: низкая.
Подробные сведения собираются. 

среда, 25 мая 2016 г.

DMA Locker 4.0

DMA Locker 4.0 Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (режим ECB, RSA-2048 ключ; ключ генерируется случайным образом для каждого файла, шифруется RSA и сохраняется в файле), а затем требует выкуп в 1-2 (~$ 440 за 1 BTC на 24 мая 2016 г.), чтобы вернуть файлы обратно. C 25 мая уже 3 BTC, с 26 мая - 4 BTC. Аппетиты вымогателей ужасающе растут. 

  К зашифрованным файлам никакое специальное расширение не добавляется, но вместо этого добавляется префикс !DMALOCK4.0 в заголовок зашифрованного файла. В остальном имя файла остается прежним. Можно проверить файл в шестнадцатеричном редакторе и первые 9 байт будут содержать строку !DMALOCK4. По этому признаку можно опознать "работу" криптовымогателя. Шифруются почти все системные и пользовательские файлы на всех локальных, внешних и сетевых дисках. 

  Текстовый вариант записки о выкупе называется cryptinfo.txt, он сохраняется в папке Program Data и отображается при загрузке Windows. Экран блокировки (файл cryptinfo.png) см. ниже. Он ставится в качестве обоев Рабочего стола. 
 

  Email вымогателя, указанный на экране блокировки и в записках, dma4004@zerobit.en 

  Распространяется с помощью email-спама и вредоносных вложений, фишинг-рассылок и ссылок на зараженные эксплойтами сайты, через вредоносный JavaScript, поддельные обновления Adobe Flash Player. А также при помощи набора эксплойтов Neutrino, который эксплуатирует уязвимости в компонентах Java Runtime Environment Oracle. 

  При целевых атаках на организации сумма выкупа может быть гораздо выше и уже в долларах. Такое многообразное распространение и поддержка уже 4-й версии может говорить только о развертывании широкомасштабных и целенаправленных атак. Потому степень распространенности с учетом этих показателей — высокая.  

  Запустившись в первый раз на ПК, DMA Locker 4.0 проверяет какие процессы и приложения используются для резервного копирования данных и восстановление системы, и завершает их работу. Теневые копии файлов удаляются. 

  DMA Locker 4.0 получил веб-сайт, где объясняется, как заплатить выкуп. Примечательно, что сумма выкупа на этом сайте может отличаться от затребованной.  

 В программном плане исследователями замечены некоторые недостатки в работе этого вымогательского ПО и его декриптера, что может говорить о том, что создатели вредоноса работают на скорую руку. В связи с этим, в скором времени следует ожидать появления 5-й версии вымогателя, где недостатки 4-й версии будут, наверняка, исправлены. Мы намеренно их не озвучиваем, чтобы не помогать вымогателям делать своё черное дело. 

Степень распространенности: перспективно высокая.
Подробные сведения собираются. 


ECLR

ECLR Ransomware

(шифровальщик-вымогатель)


 Этот криптовымогатель шифрует данные пользователей, а затем требует выкуп в 100 биткоинов. Это может быть показателем ориентированности криптовымогателя на организации и коммерческий сектор. Зашифрованные файлы получают расширение .eclr.

После того, как файлы будут зашифрованы, ECLR Ransomware удаляет теневые копии файлов и отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, и требует перевести деньги в Bitcoin. На уплату выкупа даётся всего 48 часов. Торг неуместен. В каждой папке с зашифрованными файлами размещается записка о выкупе README_IMPORTANT.txt и специальный файл secret.key

Содержание записки о выкупе:
YOUR FILES ARE FULLY ENCRYPTED
MAKE THE PAYMENT OF 100 BITCOINS TO THE BTC ADDRESS BELOW
3KHkWFDX9PDsaFRtrDKBGYd41HZWTu2L21
AFTER WE RECEIVE THE PAYMENT THE DECRYPTION PROGRAM AND KEY WILL BE SENT TO YOUR EMAIL
THE DECRYPTION PROGRAM WILL RESTORE YOUR FILES BACK TO NORMAL.
7399@sigaint.org
TO ASSURE YOU WE CAN RESTORE YOUR FILES, WE WILL DECRYPT A SINGLE FILE YOU SEND US.
## YOU HAVE 48 HOURS TO SAVE YOUR FILES ##
CONTACT US ONLY AFTER MAKING THE PAYMENT,
ALL PRICE NEGOTIATIONS WILL BE IGNORED
THE ABOVE EMAIL ADDRESS WILL EXPIRE AFTERWARDS AND NO COMMUNICATIONS WILL BE AVAILABLE

Перевод на русский язык:
Ваши файлы зашифрованы
Сделайте оплату 100 Bitcoins на Bitcoin-адрес
3khkwfdx9pdsafrtrdkbgyd41hzwtu2l21
По получения компенсации дешифровщик и ключ придут на ваш email
Дешифровщик восстановит ваши файлы обратно в норму.
7399@sigaint.org
Для гарантии, что файлы можно вернуть, мы дешифруем 1 ваш файл.
## У вас 48 часов для возврата файлов ##
Контакт с нами только после оплаты,
Все попытки торга проигнорируются
Вышеуказанный email-адрес после этого будет недоступен

Этот вымогатель шифрует множество типов файлов, среди них, разумеется, изображения, фотографии, аудио, видео и документы. 

Степень распространенности: неизвестна.
Подробные сведения собираются. 

вторник, 24 мая 2016 г.

RemindMe

RemindMe Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные пользователей, а затем требует выкуп в 2 биткоина. Файлы могут быть расшифрованы только при помощи секретного ключа, который хранится на C&C-серверах RemindMe. На оплату выкупа даётся 5 дней, а если он не уплачен в срок, секретный ключ будет удален. Зашифрованные файлы получают расширение .remind или .xcrypt. Название вымогателя придумано его создателями: "RemindMe" переводится с английского как "Напомни мне". 

Распространяется RemindMe с помощью email-спама, фишинг-рассылок, эксплойтов на зараженных сайтах. 

 После того, как файлы будут зашифрованы, RemindMe удаляет теневые копии файлов и отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, даёт инструкции о том, как перевести деньги в Bitcoin, как потом произвести оплату на Bitcoin Wallet вымогателей и получить декриптер для дешифровки файлов.  

Записки с требованием выкупа и инструкциями называются: decypt_your_files.html и decypt_your_files.txt 

Содержание записки о выкупе:
All your files have been encrypted with the RemindMe Ransomware
Your unique GUID for decrypt: -
Send me some 2 bitcoin on address: -
After confirming the payment, all your files can be decrypted. If you do not make payment within 5 days, you will lose the ability to decrypt them AND ALL YOUR FILES HAVE BEEN DELETED. 
Make your Bitcoin Wallet in hxxps://www.coinbase.com/ or hxxp://blockchain.info
How to buy/sell and send Bitcoin:
1) hxxps://support.coinbase.com/customer/en/portal/topics/796521-payment-method-vertification/articles
2) hxxps://support.coinbase.com/customer/en/portal/topics/601090-buying-selling-bitcoin/articles
3) hxxps://support.coinbase.com/customer/en/portal/topics/60112-sending-receiving-bitcoin/articles

After the payment, snd the wallet from which paid and you uniq ID to mail: [email protected]
After receiving the payment, we will contact and give you decryption tools and faq how to decrypt your files.

Перевод на русский язык:
Все ваши файлы были зашифрованы RemindMe Ransomware
Ваш уникальный GUID для дешифровки: ----- 
Отправьте мне 2 биткоина по адресу: ----- 
После подтверждения оплаты, все файлы могут быть расшифрованы. Если вы не платите 5 дней, то лишаетесь возможности расшифровывать их И ВСЕ ВАШИ ФАЙЛЫ БУДУТ УДАЛЕНЫ. 
Сделайте Bitcoin-кошелек в hxxps: //www.coinbase.com/ или hxxp: //blockchain.info
Как купить/продать и отправить Bitcoin:
1) hxxps://support.coinbase.com...
2) hxxps://support.coinbase.com...
3) hxxps://support.coinbase.com...

После оплаты, пришлите номер кошелька, из которого вы платили и ID на почту: -----
Получив оплату, мы свяжемся с вами, дадим декриптер и FAQ, как дешифровать файлы.

Этот вымогатель шифрует множество типов файлов, среди них, разумеется, изображения, фотографии, аудио, видео и документы. 

Список файловых расширений, подвергающихся шифрованию:
.adi, .adt, .altr, .arw, .asmx, .asp, .aspx, .csv, .doc, .docx, .dwf, .jpg, .html, .msg, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .qbb, .rpt, .sldprt, .sln, .sql, .txt, .xls, .xlsx, .xml (20 расширений). 

Степень распространенности: низкая.
Подробные сведения собираются. 

ZCrypt

ZCrypt Ransomware


   Этот крипто-вымогатель шифрует данные с помощью алгоритма RSA-2048, а затем требует выкуп в 1.2 биткоина. Если выкуп не уплачивается в течение 4-х дней, то сумма возрастает до 5 биткоинов. Зашифрованные файлы получают расширение .zcryptЗаписка с требованием выкупа называется How to decrypt files.html (Как расшифровать файлы). 

Перевод записки на русский язык:
ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши данные (фотографии, документы, базы данных...) были зашифрованы с уникальным ключом, сгенерированным для этого ПК. Это означает, что вы не сможете получить доступ к файлам, пока они зашифрованы. Секретный ключ хранится на наших серверах, и единственный способ получить ключ дешифрования, это сделать оплату.
Платеж должен быть сделан в Bitcoin на уникальный адрес, который мы сгенерировали для вас, Bitcoin является виртуальной валютой для онлайн-платежей. Если вы не знаете, как получить биткоины, ищите в Google "Как купить Bitcoins" и следуйте инструкциям.
У ВАС ЕСТЬ ТОЛЬКО 4 ДНЯ, ЧТО ЗАПЛАТИТЬ! Когда это время закончится, сумма выкупа увеличится до 5 Bitcoin. Если вы не платите 7 дней, ваш уникальный ключ будет уничтожен, и вы уже не сможете восстановить файлы.
Чтобы вернуть файлы и разблокировать ПК, вы должны прислать 1.2 Bitcoin ($ 500) на следующий Bitcoin-адрес:
Нажмите здесь, чтобы показать Bitcoin-адрес
ПРЕДУПРЕЖДЕНИЕ!
НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ САМОСТОЯТЕЛЬНО. ЛЮБОЕ ДЕЙСТВИЕ ПРИВЕДЕТ К УНИЧТОЖЕНИЮ КЛЮЧА ДЕШИФРОВАНИЯ. ВЫ ПОТЕРЯЕТЕ ВАШИ ФАЙЛЫ НАВСЕГДА. ЕСТЬ ТОЛЬКО ОДИН СПОСОБ СОХРАНИТЬ ФАЙЛЫ — СЛЕДОВАТЬ ИНСТРУКЦИЯМ.
...
Неполный список файловых расширений, подвергающихся шифрованию:
.docm, .docx, .doc, .pdf, .odb, .odc, .odm, .odp, .ods, .odt. pptm, .pptx, .ppt, . pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls,.xlsb, .xlsm, .xlsx, .xls, .zip, .png, .jpeg, .txt, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb,.p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .sql, .wps, .emlx (195 расширений). 

Сначала сообщалось о 88 файловых расширений, которые атакует этот шифровальщик, потом их уже насчитывалось 125, а в нашем списке их уже 195. Это не предел, т.к. создатели ZCryptor продолжают расширять количество расширений.

Сбор информации по форумам показал, что ранее, в марте этого года, ZCrypt использовался для атак на русскоязычных пользователей, при этом был другой вариант записки с требованием выкупа на русском и английском языках. В папках с зашифрованными файлами была более краткая записка на русском языке под названием !ИНСТРУКЦИЯ!.html

Записка с требованием выкупа:
ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! 
Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов. 
Попытки самостоятельной расшифровки могут привести к безвозвратной порче данных! 
В письме укажите также ваш ID - 30325B37732E383xxxxx|01|V1"

  Распространяется ZCrypt с помощью email-спама, макросов-загрузчиков в документах MS Office, фишинг-рассылок, эксплойтов на зараженных сайтах, выдаёт себя за загрузчики популярных программ и фальшивые обновления для Flash Player. Вполне возможно его распространение и с помощью сетей общего доступа, кейгенов, активаторов и краков. Пик пострадавших от ранней версии в Рунете пришелся на март 2016 года, добавляемые к зашифрованным файлам расширения могли различаться. Новая майская версия ориентирована на гораздо больший захват ПК во всем мире. 

  Наиболее комфортная работа ZCrypt установлена в Windows 7, тогда как в Windows XP что-то может вообще не работать. Это объясняется тем, что в более старых операционных системах не существует нужная шифровальщику системная функция. 

   Примечательно, что у нынешнего ZCrypt замечено поведение, схожее с сетевыми червями. Т.е. он может распространяться самостоятельно, заражая все доступные цели и копировать себя на портативные устройства. Аналитики Trend Micro тоже классифицировали ZCrypt как червя

  Таким образом, ZCryptor является одним из первых крипточервей и саморазмножающихся шифровальщиков, и потому крайне опасен. Ранее, год назад, как саморазмножающийся вирус-шифровальщик проявил себя VirLock

Степень распространённости: очень высокая
Подробные сведения собираются.

Chimera

Chimera Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует все файлы, которые находит на всех подключенных дисках, а затем требует 0,939 биткоинов, чтобы вернуть файлы обратно. Зашифрованные файлы получают расширение .crypt

  После того, как файлы будут зашифрованы, Chimera отображает записку с требованием выкупа, в которой объясняет, что случилось с файлами, даёт инструкции о том, как произвести оплату и получить ссылку на декриптер, который нужно запустить для расшифровки файлов, когда платеж будет сделал и вымогатель получит подтверждение. 
  Записки о выкупе называются YOUR_FILES_ARE_ENCRYPTED.HTML и YOUR_FILES_ARE_ENCRYPTED.TXT

  На обои ставится изображением с именем <random>.gif
  Внизу html-сообщения можно видеть, что Chimera также набирает новых аффилиатов в партнерскую программу по распространению самой себя. 

Список файловых расширений, подвергающихся шифрованию:
.jpg, .jpeg, .vmx, .txt, .xml, .xsl, .wps, .cmf, .vbs, .accdb, .ini, .cdr, .svg, .conf, .cfg, .config, .wb2, .msg, .azw, .azw1, .azw3, .azw4, .lit, .apnx, .mobi, .p12, .p7b, .p7c, .pfx, .pem, .cer, .key, .der, .mdb, .htm, .html, .class, .java, .cs, .asp, .aspx, .cgi, .h, .cpp, .php, .jsp, .bak, .dat, .pst, .eml, .xps, .sqllite, .sql, .js, .jar, .py, .wpd, .crt, .csv, .prf, .cnf, .indd, .number, .pages, .lnk, .po, .dcu, .pas, .dfm, .directory, .pbk, .yml, .dtd, .rll, .lib, .cert, .p12, .cat, .inf, .mui, .props, .idl, .result, .localstorage, .ost, .default, .json, .db, .sqlite, .log, .bat, .ico, .dll, .exe, .x3f, .srw, .pef, .raf, .orf, .nrw, .nef, .mrw, .mef, .kdc, .dcr, .crw, .eip, .fff, .iiq, .k25, .crwl, .bay, .sr2, .ari, .srf, .arw, .cr2, .raw, .rwl, .rw2, .r3d, .3fr, .ai, .eps, .pdd, .dng, .dxf, .dwg, .psd, .ps, .png, .jpe, .bmp, .gif, .tiff, .gfx, .jge, .tga, .jfif, .emf, .3dm, .3ds, .max, .obj, .a2c, .dds, .pspimage, .yuv, .zip, .rar, .gzip, .vmdk, .mdf, .iso, .bin, .cue, .dbf, .erf, .dmg, .toast, .vcd, .ccd, .disc, .nrg, .nri, .cdi, .ptx, .ape, .aif, .wav, .ram, .ra, .m3u, .movie, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpv2, .rpf, .vlc, .m4a, .aac, .aa, .aa3, .amr, .mkv, .dvd, .mts, .qt, .vob, .3ga, .ts, .m4v, .rm, .srt, .aepx, .camproj, .dash, .txt, .doc, .docx, .docm, .odt, .ods, .odp, .odf, .odc, .odm, .odb, .rtf, .xlsm, .xlsb, .xlk, .xls, .xlsx, .pps, .ppt, .pptm, .pptx, .pub, .epub, .pdf (226 расширений). 

 Распространяется через email-спам, содержащий ссылки на веб-страницу Dropbox. В отличие от других вымогателей Chimera не использует Tor-сайт для управления платежами и загрузки декриптера. Вместо этого в качестве способа связи с разработчиком вымогателя используется Bitmessage, криптографический мессенджер для обмена сообщениями, использующий децентрализованную P2P-сеть. Bitmessage, как нельзя лучше подходит для обмена данными между компьютером жертвы и сервером управления вредоносного ПО разработчика. Преимущество Bitmessage в том, то его сеть работает по принципу шифрования всех входящих и исходящих сообщений каждого пользователя, используя сильные алгоритмы шифрования таким образом, что только получатель сообщения способен его расшифровать.

  Когда Chimera заражает ПК жертвы, он использует встроенное приложение PyBitmessage, чтобы отправить разработчику сообщение, содержащее следующую информацию: секретный ключ жертвы, ID "железа" машины и Bitcoin-адрес для оплаты. 

  Декриптер от вымогателей поставляется как msi-установщик. Он имеет понятный интерфейс и направляет жертву через весь процесс дешифровки файлов. 

  Когда пользователь загружает и устанавливает декриптер в папку C:\Program Files (x86)\Chimera Decrypter, вместе с ним ставится Bitmessage. После запуска Bitmessage работает в режиме ожидания поступления платежа на указанный Bitcoin-адрес. Подробности работы приложения и метод получения ключа от вымогателей опускаем. Желающие могут ознакомиться с ними самостоятельно в статье Лоуренса Абрамса.

Детект на VirusTotal >>>

Дополнение
Имеются сведения, что теперь расширение, добавляемое после шифрования, может иметь вид .[4 random characters] — случайный четырехбуквенный разнорегистровый код, например, MnDf, PzZs, RThY. 

Степень распространенности: низкая.
Подробные сведения собираются. 

понедельник, 23 мая 2016 г.

ODCODC

ODCODC Ransomware

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"


Информация о шифровальщике


   Этот криптовымогатель шифрует данные якобы с помощью алгоритма RSA-2048. На самом деле используется алгоритм XOR. Сумма выкупа называется индивидуально в ответном письме — 1 BTC или 25000 рублей. Зашифрованные файлы получают расширение .odcodc, которое дополняется почтовым адресом вымогателей.

Пример зашифрованного файла:
C-email-<email_address>-<original_filename>.odcodc
C-email-abennaki@india.com-Chrysanthemum.jpg.odcodc

Записка с требованием выкупа и с инструкциями для уплаты выкупа readthis.txt добавляется в каждую папку с зашифрованными файлами. 

Вот её буквальное содержание: 

Your personal files are encrypted!
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048. https://en.wikipedia.org/wiki/RSA_(cryptosystem)
What does this mean?
This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them, it is the same thing as losing them forever, but with our help, you cant restore them.
What to do?
We can recover your files. You can trust us, for proof of this we can decrypt some your files for free.
How to contact you?
Write us to email: abennaki@india.com

Ваши персональные файлы зашифрованы!
Что случилось с файлами?
Все ваши файлы зашищены криптостойким алгоритмом RSA-2048. https://en.wikipedia.org/wiki/RSA_(cryptosystem)
Что это значит?
Это значит, что структура и содержимое ваших файлов потерпили необратиме изменения, вы не можете с ними работать, читать или видеть, это тоже самое, что потерять их бесповоротно, но, с нашей помощью, вы можете их все восстановить.
Что мне делать?
Мы можем полностью восстановить доступ к вашим файлам. Вы можете нам доверять, доказать честность и серьезность наших намерений мы можем бесплатной расшифровкой нескольких файлов.
Как с вами связаться?
Напишите нам на почту: abennaki@india.com

Your PCID:: WIN-F9KR5MHB5C0706219416

Примечательно, что записка написана сразу на английском и русском, но в тексте есть фразы, корявость которых среди остального теста выглядит довольно подозрительно. Например, слово "зашищены" и фраза "потерпили необратиме изменения". Другой email, встречающийся в других записках - transcript@india.com. При этом потерпевшие сообщали, что у них записка о выкупе была только на английском языке. 

Ответ от abennaki@india.com пострадавшему от шифрования:
Здравствуйте. Розшифровка файлов 25000 руб. для гарантии могу розшифровать пару файлов.

Вывод: Вымогатели, создавшие вредонос — украинцы, т.к. используют слова "розшифровка" и "розшифровать" вперемежку с русскими. 

В других регионах записка о выкупе есть также на других языках, в том числе на английском и китайском, в последнем сделанная системой автоматического перевода Google. 

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов, в том числе под видом инсталлятора VMware Workstation.

Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .7z, .accdb, .accdc, .accde, .accdr, .accdt, .act, .adp, .ai, .arw, .asf, .asm, .asp, .asx, .avi, .backup, .bak, .bay, .bdb, .bik, .blend, .bmp, .c, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cfg, .cgm, .ckp, .class, .cpp, .cr2, .cs, .csv, .db, .db3, .dbf, .dc2, .dcs, .ddoc, .dds, .design, .dgc, .djvu, .doc, .docm, .docx, .dot, .dotx, .drw, .dt, .dwg, .dxb, .dxf, .eps, .erf, .fdb, .flac, .fpx, .h, .hbk, .hpp, .iiq, .indd, .java, .jpe, .jpeg, .jpg .kdc, .key, .m4v, .max, .mdb, .mdf, .mos, .mov, .mp3, .mp4, .mpg, .myd, .nrw, .ns2, .ns3, .ns4, .nyf, .obj, .odb, .ods, .odt, .orf, .otg, .ott, .pages, .pas, .pcd, .pct, .pdb, .pdd, .pdf, .pfx, .php, .pl, .pps, .ppt, .pptm, .pptx, .ps, .psd, .ptx, .py, .r3d, .rar, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .sdf, .sql, .sqlite, .sqlilte3, .sqlitedb, .sr2, .srw, .stw, .stx, .svg, .swf, .sxd, .sxg, .sxw, .tex, .tga, .thm, .txt, .vdb, .veg, .wmv, .wpd, .wps, .x3f, .xls, .xlsm, .xlsx, .zip (152 расширения). 

Новый список (от 30 августа 2016):
.1cd, .3dm, .3ds, .3fr, .3g2, .3gp, .3pr, .7z, .ab4, .accdb, .accdc, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .agdl, .ai, .ait, .al, .apj, .arw, .asf, .asm, .asp, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bay, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfg, .cfp, .cgm, .cib, .ckp, .class, .cls, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .csv, .dac, .db, .db, .db_journal, .db3, .dbf, .dbf, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotx, .drf, .drw, .dt, .dtd, .dwg, .dxb, .dxf, .dxg, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fla, .flac, .flv, .fpx, .ful, .fxg, .gray, .grey, .gry, .h, .hbk, .hpp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .java, .jpe, .jpeg, .jpg, .kc2, .kdbx, .kdc, .key, .kpdx, .lua, .m, .m4v, .max, .mdb, .mdc, .mdf, .mef, .mfw, .mmw, .moneywell, .mos, .mov, .mp3, .mp4, .mpg, .mrw, .myd, .nd, .ndd, .nef, .nk2, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx2, .nxl, .nyf, .obj, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .oil, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pages, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .plc, .plus_muhd, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .ps, .psafe3, .psd, .pspimage, .ptx, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .r3d, .raf, .rar, .rat, .raw, .rdb, .rm, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .say, .sd0, .sda, .sdf, .sldm, .sldx, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srt, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tc, .tex, .tga, .thm, .tib, .tis, .tlg, .trn, .txt, .vbox, .vdb, .veg, .vob, .vob, .wallet, .wb2, .wmv, .wpd, .wps, .x11, .x3f, .xis, .xla, .xlam, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .ycbcra, .yuv, .zip (322 расширения). 

Файлы, связанные с этим Ransomware
%UserProfile%\Application Data\cript.bat
%UserProfile%\Application Data\cript.exe
%UserProfile%\Application Data\<random_name>.exe
[Path_to_encrypted_file]\readthis.txt
<Email-attachment_Cyrillic-name>.docx.exe

Ключи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Crr1" = "[PATH TO TROJAN]"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Crr2" = "[PATH TO TROJAN]"

Сетевые подключения:
inststats.com

Результаты анализов:
VirusTotal анализ >>
Symantec: Ransom.ODCODC >>

Степень распространённости: средняя.
Подробные сведения собираются. 


 Внимание!!! 
Для зашифрованных файлов есть дешифровщик. 
Скачать ODCODC Decoder


Обновление от 27 декабря 2016:
Записка: HOW_TO_RESTORE_FILES.txt
Расширение: .odcodc
Шаблон зашифрованного файла: C-email-[email_address]-[original_filename].odcodc
Результаты анализов: VT


Форма для связи / Contact

Имя

Электронная почта *

Сообщение *