HydraCrypt

HydraCrypt Ransomware

(шифровальщик-вымогатель)

  Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (режим CBC, ключ RSA-2048), а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Срок уплаты выкупа - 72 часа. Если пользователь не платит в течение этого времени, сумма выкупа возрастает. Цели шифрования: базы данных, документы, PDF, фотографии, музыка, видео, общие сетевые папки и пр. HydraCrypt относится к семейству криптовымогателей CrypBoss. Очень похож на UmbreCrypt. 

  Зашифрованные файлы получают расширение .hydracrypt_ID_[8 случайных знаков ID]. 

 Для каждой папки, в которой были зашифрованы файлы, HydraCrypt также создаёт текстовую записку с требованием выкупа под названием 
README_DECRYPT_HYRDA_ID_ [victim_id].txt. По окончании шифрования данных будет отображён экран блокировки с требованием выкупа, который сообщает о том, что произошло с файлами жертвы. 

Записки о выкупе называются:
README_DECRYPT_HYRDA_ID_[victim_id].txt
README_DECRYPT_HYRDA_ID_[victim_id].jpg

Для связи с вымогателями предлагаются email-адреса:
xhelper@dr.com
ahelper@dr.com

  При установке HydraCrypt сканирует диски C, D, E, F, G и Н на компьютере для поиска файлов, которые соответствуют нужным ему расширением. При обнаружении целевого расширения шифрует файлы с помощью AES и добавляет окончание hydracrypt_ID_ [victim_id] к зашифрованному файлу. Таким образом, файл Chrysanthemum.jpg после шифрования станет Chrysanthemum.jpg.hydracrypt_ID_d2vak123 .

Список файловых расширений, подвергающихся шифрованию:
 .$db, .__a, .__b, .~cw .001, .002, .003, .113, .3fr, .73b, .7z, .ab, .aba, .abbu, .abf, .abk, .accdb, .acp, .acr, .adi, .aea,.afi, .ai, .apk, .arc, .arch00, .arw, .as4, .asd, .ashbak, .asset, .asv, .asvx, .ate, .ati, .avi, .bac, .backup, .backupdb, .bak~, .bak2, .bak3, .bakx, .bar, .bay, .bbb, .bbz, .bc6, .bc7, .bck, .bckp, .bcm, .bd, .bdb, .bff, .bif, .bifx, .big, .bik, .bk1, .bkc, .bkf, .bkp, .bkup, .bkz, .blend1, .blend2, .blob, .bm3, .bmk, .bmp, .bpa, .bpb, .bpm, .bpn, .bps, .bsa, .bup, .caa, .cas, .cbk, .cbs, .cbu, .cdr, .cer, .cfr, .ck9, .cmf, .cr2, .crds, .crt, .crw, .csd, .csm, .css, .csv, .d3dbsp, .da0, .das, .dash, .dat, .dazip, .db0, .dba, .dbf, .dbk, .dcr, .der, .desc, .dim, .diy, .dmp, .dna, .dng, .doc, .dot, .dov, .dpb, .dsb, .dwg, .dx, .dxg, .epk, .eps, .erf, .esm, .fbc, .fbf, .fbk, .fbu, .fbw, .ff, .fh, .fhf, .flka, .flkb, .flv, .forge, .fos, .fpk, .fpsx, .fsh, .ftmb, .ful, .fwbackup, .fza, .fzb, .gb1, .gb2, .gbp, .gdb, .gho, .ghs, .hkdb, .hkx, .hplg, .hvpl, .ibk, .icbu, .icf, .icxs, .indd, .ini.$$$, .inprogress, .ipd, .itdb, .itl, .itm, .iv2i, .iwd, .iwi, .jbk, .jdc, .jpe, .jpg, .js, .kb2, .kdb, .kdc, .kf, .layout, .lbf, .lcb, .litemod, .llx, .lrf, .ltx, .lvl, .m2, .m3u, .m4a, .map, .mbf, .mbk, .mbw, .mcmeta, .mdb, .mdbackup, .mddata, .mdf, .mdinfo, .mef, .mem, .menu, .mig, .mkv, .mlx, .mov, .mp4, .mpb, .mpqge, .mrw, .mrwref, .mv_, .nb7, .nba, .nbak, .nbd, .nbf, .nbi, .nbk, .nbs, .nbu, .ncf, .nco, .nda, .nef, .nfb, .nfc, .npf, .nps, .nrbak, .nrs, .nrw, .ntl, .nwbak, .obk, .odb, .odc, .odm, .odp, .ods, .odt, .oeb, .old, .onepkg, .orf, .ori, .orig, .oyx, .p12, .p7b, .p7c, .pak, .paq, .pba, .pbb, .pbd, .pbf, .pbj, .pbx5script, .pbxscript, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .pkpass, .png, .pps, .ppt, .pqb, .pqb-backup, .prv, .psa, .psd, .psk, .pst, .ptb, .ptx, .pvc, .pvhd, .qba, .qbb, .qbk, .qbm, .qbmb, .qbmd, .qbw, .qbx, .qdf, .qic, .qic, .qsf, .qualsoftcode, .quicken2015backup, .quickenbackup, .qv~, .r3d, .raf, .rar, .raw, .rb, .rbc, .rbf, .rbk, .rbs, .rdb, .re4, .rgmb, .rgss3a, .rim, .rmbak, .rofl, .rrr, .rtf, .rw2, .rwl, .sav, .sav, .sb, .sbb, .sbs, .sbu, .scan, .sdc, .sid, .sidd, .sidn, .sie, .sim, .sis, .skb, .slm, .sme, .sn1, .sn2, .sna, .sns, .snx, .spf, .spg, .spi, .sps, .sqb,.sql, .sr2, .srf, .srr, .srw, .stg, .sum, .sv$, .sv2i, .svg, .syncdb, .t12, .t13, .tar.gz, .tax, .tbk, .tdb, .tibkp, .tiff, .tig, .tis, .tlg, .tmp, .tmr, .tor, .trn, .ttbk, .txt, .uci, .unrec, .upk, .v2i, .vbk, .vbm, .vbox-prev, .vcf, .vdf, .vfs0, .vpcbackup, .vpk, .vpp_pc, .vrb, .vtf, .w3x, .wallet, .wb2, .wbb, .wbcat, .wbk, .win, .wjf, .wma, .wmo, .wmv, .wotreplay, .wpb, .wpd, .wps, .wspak, .x3f, .xbk, .xf, .xlk, .xlk, .xls, .xml, .xxx, .yrcbck, .zip, .ztmp (415 расширений). 

Как известно HydraCrypt распространяется с помощью набора экспллойтов Angler EK, но может, как и UmbreCrupt, быть установлен вручную при взломе терминальных служб или удаленного рабочего стола. Если ПК был инфицирован этим вымогателем, то нужно проверить журналы событий Windows на предмет неудачных попыток входа, и тем самым определить учётную запись, которая была скомпрометирована.

HydraCrypt пропускает шифрование файлов, находящихся в директориях:
Windows, WINDOWS, Program Files, PROGRAM FILES, Program Files (x86), PROGRAM FILES (x86), ProgramData

Степень распространенности: средняя.
Подробные сведения собираются. 

DMA Locker 1-2-3

DMA Locker 1-2 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES (режим ECB), а затем требует выкуп в 4 BTC, чтобы вернуть файлы. Самые ранние, польский и английский варианты вымогателя просили от 1 до 2 BTC в качестве выкупа. Оригинальное название: DMA Locker.

© Генеалогия: DMA Locker 1.0, 2.0, 3.0 > DMA Locker 4.0 > DMALocker NextGen  

К зашифрованным файлам добавляется не расширение, а специальный идентификатор. 

Активность этого крипто-вымогателя пришлась на декабрь 2015 и январь-февраль-март 2016 г. Ориентирован на англоязычных и иноязычных пользователей, что не мешает распространять его по всему миру. 

Текстовая информация содержится в файле cryptinfo.txt

Основной запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
All your personal files are LOCKED!
WHAT’S HAPPENED?
* All your important files(including hard disks, network disks, flash, USB) are encrypted.
* All of files are locked with asymetric algorithm using AES-256 and then RSA-2048 cipher.
* You are not possible to unlock your files because all your backups are removed.
* Only way to unlock your files is to pay us 1072 GBP in Bitcoin currency ( 4.0 BTC ).
After payment we will send you decryption key automatically, which allow you to unlock files .
---
HOW TO PAY US AND UNLOCK YOUR FILES?
1. To pay us, you have to use Bitcoin currency. You can easily buy Bitcoins at following sites:
* https://www.coinfloor.co.uk
* https://www.coinbase.com/
* https://www.bitstamp.net/
2. If you already have Bitcoins, pay us 4.0 BTC (1072 GBP) on following Bitcoin address:
1BA48s9Eeh77vwWiEgh5Vt29G3YJN1PRoR
3. After payment, necessarily contact with us to get your decryption key:
january0060@gmx.com . In mail title write your unigue ID:
DMALOCK 41:55:16:13:51:76:67:99
4. We will automatically send you decryption key after bitcoin transfer .
When you receive your decryption key, copy and paste it to "DECRYPTION KEY" field
Then, press the DECRYPT button to UNLOCK ALL YOUR FILES.
---
IF FILES UNLOCKING PROCEDURE IS ALREADY WORKING, YOU CAN EASILY TURN OFF YOUR
COMPUTER AND CONTINUE FILES UNLOCKING AFTER NEXT STARTUP. TO CONTINUE HEALING
YOUR FILES, COPY AND PASTE THE SAME DECRYPTION KEY TO THE "DECRYPTION KEY" FIELD
AND PRESS "DECRYPT" BUTTON. THE FILES RECOVERING WILL BE CONTINUED!
---
"DECRYPTION KEY" [...] [DECRYPT]
---
* You have 96 hours to pay us!
* After this time all your files will be lost!
* Your decryption key will destroy on:
10/2/2016 18:31

Перевод записки на русский язык:
Все ваши личные файлы БЛОКИРОВАНЫ!
ЧТО СЛУЧИЛОСЬ?
* Все ваши важные файлы (включая жёсткие диски, сетевые диски, флеш, USB) зашифрованы.
* Все файлы блокированы с асимметричным алгоритмом AES-256, а затем зашифрованы RSA-2048.
* Вы не можете разблокировать свои файлы, потому что все ваши резервные копии удалены.
* Только один способ разблокировать ваши файлы - заплатить нам 1072 фунтов стерлингов в валюте биткойнов (4.0 BTC).
После оплаты мы автоматически вышлем вам ключ дешифрования, что позволит вам разблокировать файлы.
---
КАК ПЛАТИТЬ В США И РАЗБЛОКИРОВАТЬ ВАШИ ФАЙЛЫ?
1. Чтобы заплатить нам, вам нужно использовать биткоин-валюту. Вы можете легко купить биткоины на следующих сайтах:
* https://www.coinfloor.co.uk
* https://www.coinbase.com/
* https://www.bitstamp.net/
2. Если у вас уже есть биткоины, заплатите нам 4.0 BTC (1072 GBP) на следующий биткоин-адрес:
1BA48s9Eeh77vwWiEgh5Vt29G3YJN1PRoR
3. После оплаты обязательно свяжитесь с нами, чтобы получить ключ дешифрования:
january0060@gmx.com. В заголовке письма напишите свой уникальный идентификатор:
DMALOCK 41:55:16:13:51:76:67:99
4. Мы автоматически отправим вам ключ дешифрования после передачи биткоина.
Когда вы получите ключ дешифрования, скопируйте и вставьте его в поле «DECRYPTION KEY»
Затем нажмите кнопку DECRYPT, чтобы РАЗБЛОКИРОВАТЬ ВСЕ ВАШИ ФАЙЛЫ.
---
Если процедура разблокировки файлов уже работает, вы можете легко отключить компьютер и продолжить разблокировку файлов после следующего запуска. Чтобы продолжить исцеление ваших файлов, скопируйте и вставьте тот же ключ дешифрования в поле "DECRYPTION KEY" и нажмите кнопку [DECRYPT]. Восстановление файлов будет продолжено!
---
"DECRYPTION KEY" [...] [DECRYPT]
---
* У вас есть 96 часов, чтобы заплатить нам!
* По истечении этого времени все ваши файлы будут потеряны!
* Ваш ключ дешифрования уничтожится:
10.2.2016 18:31


DMA Locker имеет встроенный дешифровщик. Он доступен из самого экрана блокировки. Если пользователь вводит ключ (длиной 32 символа) в текстовое поле и нажимает кнопку "DECRYPT", то программа переключается в режим дешифрования, используя поставляемый ключ. 

На момент публикации статьи выкуп на BTC-адрес 1BA48s9Eeh77vwWiEgh5Vt29G3YJN1PRoR был уплачен пятью жертвами данного вымогателя-шифровальщика. Позже их стало 12 (в январе, феврале, марте 2016 г.). 

Таким образом вымогатели на этот BTC-адрес получили 27.1346 BTC, которые позже перевели на свой другой счет. 

Технические детали

Атаки происходят со взломанной учетной записи администратора домена, через уязвимый RDP с неизвестного внешнего IP-адреса. DMALocker шифруются все данные на сервере, а затем удаляются все локальные резервных копий, а которые хранятся на внутреннем NAS. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

DMA Locker имеет некоторые интересные функции, включая шифрование данных на удаленных несвязанных общих сетевых ресурсах (Unmapped Network Share) и направленность на любой файл, который не находится в определённой папке или не имеет конкретных расширений.

Возможно, что шифрование несвязанных общих сетевых ресурсов (Unmapped Network Share) вскоре могут взять на вооружение другие вымогатели, потому уже сейчас системные администраторы должны убедиться в том, что все сетевые ресурсы работают под ограниченными правами доступа к файлам, находящимся в их окружении.

DMA Locker шифруя данные, не выполняет поиск целевых расширений для шифрования, как большинство вымогателей, а использует белый список папок и расширений, которые он не будет шифровать. Таким образом, этот вымогатель будет шифровать почти все несистемные и неисполняемые связанные файлы, которые находится в системе.

Белый список папок и файлов, которые DMA Locker пропускает:
Windows, Program Files, Program Files (x86), Games, Temp, Sample Pictures, Sample Music, cache
.bat, .cmd,  .com, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys (14 расширений). 

DMA Locker не добавляет расширения к зашифрованным файлам. Вместо этого, DMA Locker добавляет специальный идентификатор в заголовок каждого зашифрованного файла, чтобы потом самому идентифицировать его как зашифрованный файл (например, ID 41:55:16:13:51:76:67:99 или 41:42:43:58:59:5A:31:31). Каждый зашифрованный файл имеет префикс ABCXYZ11 - магическое значение, используемое Ransomware для распознавания зашифрованных файлов (было введено в обновлённой версии). 

Пример зашифрованного файла (идентификатор и префикс выделены)

По окончании шифрования DMA Locker показывает экран блокировки, где содержатся инструкции по оплате выкупа и дешифровке файлов. Они также сохраняются в C:\ProgramData\cryptinfo.txt и показываются пострадавшей стороне каждый раз при включении ПК.

Более ранние версии имели дефект в программе, позволивший Фабиану Восару создать дешифровщик Decrypt_DMA_Locker, но в обновлённой версии этот баг исправили. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ntserver.exe или <random>.exe
fakturax.exe или <random>.exe
cryptinfo.txt - содержит текст о выкупе
date_1.txt - содержит дату шифрования
decrypting.txt
start.txt

Расположения:
C:\ProgramData\ntserver.exe или <random>.exe
C:\ProgramData\fakturax.exe или <random>.exe
C:\ProgramData\cryptinfo.txt
C:\ProgramData\date_1.txt
C:\ProgramData\decrypting.txt
C:\ProgramData\start.txt
C:\Documents and Settings\All Users\decrypting.txt
C:\Documents and Settings\All Users\start.txt

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cryptedinfo notepad c:\ProgramData\cryptinfo.txt
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\cssys    C:\ProgramData\ntserver.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: january0060@gmx.com (в английской версии)

styczen0020@interia.pl (в польской версии)
BTC: 1BA48s9Eeh77vwWiEgh5Vt29G3YJN1PRoR
и другие см. ниже в "Предыстории"
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ (January 2016, Polish) >>
VirusTotal (January 2016, Polish) >>
VirusTotal анализ (January 2016, English) >> 
VT + HA
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

Предыстория:
Самые ранние, польский и английский варианты вымогателя просили от 1 до 2 BTC в качестве выкупа. 

На скриншотах это 2 BTC (536 GBR) и 1.3 BTC (2000 PLN) в польской версии (справа). 
BTC английского варианта: 1KXw7aJR4THWAxtnxZYzmysdLXVhLfa97n
BTC польского варианта: 18mfoGHSfe9h145e8djHK5rChDTnGfPDU9
Email: january0060@gmx.com (в английской версии)
styczen0020@interia.pl (в польской версии)

---

В некоторых случаях файлы можно расшифрвоать: 

Emsisoft Decryptor for DMALocker >>

Emsisoft Decryptor for DMALocker2 >>

 Read to links: 
 ID Ransomware (ID as DMA Locker, DMA Locker 3.0, DMA Locker 4.0)
 Write-up-1, Write-up-2, Topic of Support

 Thanks: 
 Hasherezade, Lawrence Abrams
 Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

JohnyCryptor

JohnyCryptor Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (CBC-режим) + RSA1024, а затем требует написать на email вымогателей, чтобы дешифровать файлы. Название придумано вымогателями. Известен с января-февраля 2016, новый виток был в мае 2016 и продолжился летом. Ориентирован на англоязычных пользователей. По данным исследователей, вероятно, является одним из ранних вариантов CrySiS Ransomware. JohnyCryptor и CrySiS созданы и распространялись из Украины. Программным приемником CrySiS Ransomware является вымогательский проект Dharma Ransomware и некоторые другие. 

© Генеалогия: CrySiS <=> JohnyCryptor

К зашифрованным файлам добавляется составное расширение по шаблон:
.id-[ID_victim]-johnycryptor@aol.com.xtbl
.id-[ID_victim].johnycryptor@hackermail.com.xtbl. 

Записка о выкупе How to decrypt your files.txt предельно кратка: 
DECRYPT FILES EMAIL Johnycryptor@aol.com or Johnycryptor@india.com

Содержание текста со скринлока с почтой JohnyCryptor@aol.com
Attention!
Your computer has been encrypted by cryptographically strong algorithm. All your files are now encrypted. You have only one way to get them back safely – using original decryption tool. Using another tools could corrupt your files, use it on your own risk.
To get original decryptor contact us with email.
JohnyCryptor@aol.com
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we won’t keep your decryption keys at our servers more than one week in interest of our security.
PS. only in case you do not receive a response from the first email address within 48 hours, please use this alternative email address
JohnyCryptor@india.com

В августе 2016 в связи с выходом новой версии скринлок был обновлен.

Содержание текста со скринлока с почтой JohnyCryptor@hackermail.com
Attention! 
Your computer has been encrypted by cryptographically strong algorithm. 
All your files are now encrypted. You have only one way to get them back safely - using original decryption tool. Using another tools (back-ups, recovery soft and others) could corrupt your files, in case of using third-party software we don’t give guarantees that full recovery is possible, so use it on your own risk.
To get original decryptor contact us with email. 
In subject line write your ID, which you can find in name of every files, also attach to email 3 crypted files. (files have to be less that 2MB). 
JohnyCryptor@hackermail.com 
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we won’t keep your decryption keys at our servers more than one week in interest of our security. 
P.S. only in case you don’t receive a response from the first email address within 24 hours, please use this alternative email address. 
JohnyCryptor@india.com
Also you can contact us with questions about our old builds:...

На скринлоках, встающих обоями рабочего стола, сумма выкупа нигде не указывается. Видимо, вымогатели нарочно скрывают ее, а потом в ответном письме заламывают цену неимоверно. 

Вот содержание ответа вымогателей: 

Hello!

We can decrypt your data, here is price:

– 6 Bitcoins in 20 hours without any stupid questions and test decryption.

– 8 Bitcoins if you need more than 20 hours to pay us, but less than 48 hours.

– 10 Bitcoins if you need more than 48 hours to pay us.

Pay us and send payment’s screenshot in attachment.

In this way after you pay we will send you decryptor tool with instructions.

TIME = MONEY.

If you don’t believe in our service and you want to see a proof, you can ask about test decryption.

Test decryption costs 1 Bitcoin.

About test decryption:

You have to send us 1 crypted file.

Use sendspace.com and Win-Rar to send file for test decryptions.

File have to be less than 5 MB.

We will decrypt and send you your decrypted files back.

Also, if you don’t wanna pay you can try to bruteforce cryptokey, but it will take about 400+ days if you have powerful enough machine. Answer us with your decision.

Time limit starts from this email. Here is our bitcoin wallet:

1GDviucuUdDAiPAKrpqq1Y46wra3gb1FrG

We can recommend easy bitcoin exchange service – localbitcons.com

or you can google any service you want.

Johny Cryptor

johnycryptor@aol.com

second email – johnycryptor@india.com

Перевод ответа на русский: 

Привет!

Мы можем расшифровать ваши данные, вот прайс:

- 6 биткоинов за 20 часов без любых глупых вопросов и тест-дешифровки.

- 8 биткоинов, если вам нужно больше 20 часов для оплаты нам, но менее 48 часов.

- 10 биткоинов, если вам нужно больше 48 часов для оплаты нам.

Заплатите и пришлите скриншот платежки вложением.

После вашей оплаты мы вышлем вам декриптор с инструкциями.

ВРЕМЯ = ДЕНЬГИ.

Если вы не верите в наш сервис и хотите видеть доказательство, то закажите тест-дешифровку.

Тест-дешифровка стоит 1 биткоин.

О тест-дешифровке:

Вы должны прислать 1 зашифрованный файл.

Используйте sendspace.com и Win-Rar для отправки файл на тест-дешифровку.

Файл должен быть меньше 5 МБ.

Мы дешифруем и вернём вам дешифрованные файлы.

Если вы не хотите платить, то можете поптаться взломать CryptoKey, но это уйдёт 400+ дней, если у вас есть мощная машина. Сообщите нам о своём решении.

Лимит времени начался с этого email. Вот наш Bitcoin-кошелек:

1GDviucuUdDAiPAKrpqq1Y46wra3gb1FrG

Мы рекомендуем удобный сервис обмена Bitcoin - localbitcons.com

или сами нагуглите любой сервис на выбор.

Johny Cryptor

johnycryptor@aol.com

второй email – johnycryptor@india.com

 Список файловых расширений, подвергающихся шифрованию: 
.3fr, .3gp, .7z, .ai3, .ai4, .ai5, .ai6, .arw, .as, .asa, .ascx, .asmx, .asp, .aspx, .asr, .avi, .bak, .bay, .bmp, .bz2, .c, .cdr, .cer, .cfc, .cfn, .cfnl, .cin, .chm, .class, .config, .cpp, .crt, .cs, .css, .csv, .cub, .dae, .db, .dc3, .dcm, .der, .dic, .dif, .divx, .djvu, .dl, .doc, .docm, .docx, .docxml, .dot, .dotm, .dotx, .dpx, .dqy, .dtd, .dwg, .dx, .dxf, .dsn, .dwt, .eps, .exr, .fido, .frm, .gif, .gz, .h, .hpp, .hta, .htc, .htm, .html, .icb, .ics, .iff, .inc, .ind, .ini, .iqy, .j2c, .i2k, .java, .jp2, .jpc, .jpf, .jpg, .jpg2, .jpx, .js, .jso, .json, .kmz, .lbi, .m4v, .mdb, .mdf, .mef, .mht, .mhtml, .mkv, .mov, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .obj, .odb, .odc, .odm, .ods, .oft, .one, .onepkg, .onetoc2, .opt, .oqy, .p7b, .p7c, .pcx, .pdd, .pdf, .pdp, .pem, .pfx, .php, .php3, .php4, .php5, .phtml, .pl, .pm, .png, .pot, .potm, .potx, .pps, .ppsn, .ppt, .pptm, .pptx, .prn, .pst, .ptx, .pxr, .py, .r3d, .rar, .rdf, .rle, .rqy, .rss, .rtf, .rw2, .rwl, .sct, .sdpx, .shtm, .shtml, .slk, .sln, .sql, .srw, .ssi, .stn, .svg, .svg2, .swf, .tar, .tdi, .tga, .tld, .txt, .u3d, .udl, .uxdc, .vcs, .vda, .wbm, .wbmp, .xlk, .xlm, .xlmv, .xls, .xlsm, .xlsx, .xltx, .xlw, .xml, .xsd, .xsl, .xsc, .xslt, .xz, .wb2, .wim, .wmv, .zip (200 расширений). 

 Файлы, связанные с Ransomware: 
%AppData%/johny.exe

Сетевые подключения и связи: 
Email: johnycryptor@aol.com, johnycryptor@india.com
BTC: 1GDviucuUdDAiPAKrpqq1Y46wra3gb1FrG

Степень распространённости: высокая. 
Подробные сведения собираются.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

JohnyCryptor Ransomware
CrySiS Ransomware
Crysis XTBL Ransomware
Dharma Ransomware

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщики! 
*
1) Скачать RakhniDecryptor для CrySiS >>
2) Скачать Avast Decryptor для CrySiS >>
3) Скачать ESET Crysis decryptor для CrySiS >>
*

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as CrySiS)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, BleepingComputer
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Hi Buddy!

Hi Buddy! Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует 0.77756467 биткоинов за расшифровку. Зашифрованные файлы получают расширение .cry. 

 © Генеалогия: Hidden Tear >> Hi Buddy!

  После запуска в системе вымогатель сканирует все пользовательские директории (MyMusic, Desktop, MyPictures и Personal) в поисках целевых расширений файлов. Записка с требованием выкупа READ_ME.txt создается во всех папках. Другая имеет расширение HTML.

Содержание записки о выкупе:
Hi Buddy!
Hello Buddy! if you see this message all your important files are been crypted :)
What can you do? You can pay with bit coin and wait 10 min for decryption!
It's very easy! Dont you know how to purchase bitcoin"? www.localbitcoins.com it's your place!
If Antivirus block the crypter, youII be unable to decrypt ...
If is this your case, go to : http://www.***.onion.to
1) click on "Download for specific btc adress"
2) Insert the btc addressm, download, pay and wait:)
Thank you
Your btc address is : ***

Перевод на русский язык:
Привет дружище!
Привет дружище! если ты видишь это сообщение все твои файлы зашифрованы :)
Что делать? Ты можешь заплатить биткоин и ждать 10 минут для дешифрования!
Это очень легко! Не знаешь, как купить Bitcoin? www.localbitcoins.com это тут!
Если антивирус заблокирует Crypter, ты не сможет дешифровать ...
Если это твой случай, перейди на: http://www.***.onion.to
1) нажми кнопку "Download for specific btc adress"
2) Вставь BTC-адрес, скачай, оплати и жди :)
спасибо
Твой BTC-адрес: ***

Список расширений, подвергающихся шифрованию:

.asp, .aspx, .csv, .doc, .docx, .html, .jpg, .js, .mdb,.mp3, .odt, .pdf, .php, .png, .ppt, .pptx, .psd, .sln, .sql, .txt, .xls, .xlsx, .xml (23 расширения). 

Файлы, связанные с этим Ransomware:
READ_ME.txt 
ransom.exe
t11.exe
sec_check.scr.exe

Hi Buddy! атакует следующие разделы реестра, чтобы закрепиться в системе:
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion
» SOFTWARE\Microsoft\Cryptography\\MachineGuid
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\ProductName
» SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\CSDVersion

Hi Buddy! создает следующие ключи реестра, чтобы запускаться при каждом старте системы:
» SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Microsoft 

Сетевые соединения и связи:
24fkxhnr3cdtvwmy.onion.to/help.php

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Hi Buddi!)
 Write-up, Topic
 Threat Landscape Dashboard

 Thanks: 
 Mosh
 Michael Gillespie
 McAfee
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

NanoLocker

NanoLocker Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует данные пользователей с помощью AES-256 (ключ RSA), а затем требует выкуп в 0,1 Bitcoin (~$43), чтобы вернуть файлы обратно. Активность вымогателя пришлась на конец января - начало февраля 2016 г. 

  Информация о выкупе содержится в файле ATTENTION.RTF и в экране блокировке, который работает как центр управления платежами и дешифровкой. 

Экран блокировки и управления

  Способ распространения: email-спам и фишинговые письма с вредоносным вложением, маскирующимся под PDF-документ. При его открытии выходит сообщение об ошибке, но на самом деле в фоновом режиме начинается процесс сканирования и шифрования файлов. После шифрования никакого специального расширения к файлам не добавляется. Имена зашифрованных файлом и их местонахождение записываются в специальном файле %LocalAppData%\lansrv.ini

  По окончании шифрования и после перезагрузки ПК NanoLocker продолжает работать и демонстрирует экран блокировки, в котором сообщается, что случилось с файлами, какова сумма выкупа, как получить биткоины, как и их вывести и оплатить выкуп, и как использовать экран блокировки для ввода ключа и расшифровки файлов.

Список файловых расширений, подвергающихся шифрованию:
.aaf, .accdb, .aep, .aepx, .aet, .aif, .arw, .asf, .asp, .asx, .avi, .bay, .bmp, .cdr, .cer, .class, .cpp, .crt, .crw, .csv, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .game, .grle, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg,.jpg, .kdc, .max, .mdb, .mdf, .mef, .mid, .mlx, .mov, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .psd, .pst, .ptx, .raf, .rar, .raw, .rtf, .rwl, .sav, .sdf, .sldm, .sldx, .slot, .spv, .sql, .srf, .srw, .svg, .swf, .tif, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (138 расширений).

  NanoLocker использует уникальный способ оплаты и передачи ключей извлеченных при оплате выкупа. Для этого в экране блокировке пострадавший должен вставить строку в кодировке Base64 в поле Public Note, когда посылает оплату. Код Public Note привязывается к сделке в Bitcoin и может быть прочитан с помощью программа разработчика-вымогателя. Когда оплата будет получена, он отправит через микро-транзакцию другой код с ключом дешифрования.  

  Жертва должна вставить полученный ключ в самое нижнее поле в программе, чтобы расшифровать свои файлы, нажав кнопку "Decrypt files". 

 Из-за особенностей процесса шифрования, имеется возможность дешифровки файлов без уплаты выкупа. Здесь мы опускаем эти подробности, а желающие могут ознакомиться с ними самостоятельно. 

Файлы, связанные с NanoLocker:
C:\Users\User\AppData\Local\lansrv.exe
C:\Users\User\AppData\Local\lansrv.ini
C:\Users\User\Desktop\ATTENTION.RTF

Записи реестра, связанные с NanoLocker:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\LanmanServer    C:\Users\User\AppData\Local\lansrv.exe

Степень распространённости: очень низкая. 
Подробные сведения собираются.

7ev3n

7ev3n Ransomware 

(шифровальщик-вымогатель)

 Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 13 биткоинов, чтобы вернуть файлы обратно. Название происходит от видоизмененного английского слова "seven" (семь). 

© Генеалогия: 7ev3n > 7ev3n-HONE$T

К зашифрованным файлам добавляется расширение .R5A или, в единичных случаях, .R4A. Активность этого крипто-вымогателя пришлась на январь 2016 г. 

 Записка с требованием выкупа называется: FILES_BACK.txt

К ней добавляется экран блокировки. 

 Содержание записки о выкупе: 
YOUR PERSONAL INFORMATION ARE ENCRYPTED by 7ev3n
All your documents, photos, databases, office projects and other important files have been encrypted with strongest encryption algorithm and unique key, original files have been overwritten, recovery tools and software will not help. Private key is stored on a server and nobody can decrypt your files until you pay and obtain the private key.
You have only 96 hours to make a payment. If you do not send money within provided time, private key will be destroyed, and all your files will be lost. Follow the instructions:
1. Pay amount of 13 bitcoin (approximately 4980 USD) to address: bitcoin address, this unique address generated only for you.
2. Transaction will take about 50 minutes to accept and confirm the payment, decryption and uninstalling of this software will start automatically. For correct key and decryption, DO NOT: power off computer, disable Internet connection, run antivirus program. Usually decryption will take about 1-3 hours, average decrypt speed 21gb per hour.
Bitcoin is a digital currently that you can buy on ‘eBay.com’, ‘localbitcoins.com’, ‘anxpro.com’, ‘cued.com’ and many other online and physical exchangers through credit card, bank account, using PayPal and many other payment methods.
Warning, do not try to get rid of this program, any action taken will result in decryption key being destroyed, you will lose your files forever, one way to get you files os to follow that instructions. In case of non-payment reserve the right to publicly publish all encrypted files.

 Перевод записки на русский язык: 
Ваша личная информация зашифрована 7ev3n
Все ваши документы, фото, базы данных, офисные проекты и другие важные файлы были зашифрованы с сильным алгоритмом шифрования и уникальным ключом, оригинальные файлы перезаписаны, инструменты восстановления и программы не помогут. Секретный ключ хранится на сервере, и никто не расшифрует файлы, пока не платите и получите секретный ключ.
У вас есть только 96 часов для оплаты. Если не отправите деньги за это время, закрытый ключ будет уничтожен, и все ваши файлы будут потеряны. Следуй инструкциям:
1. Выплати сумму 13 Bitcoin (около $4980 США) по адресу: Bitcoin-адрес, уникальный адрес генерируется только для вас.
2. Сделка займет около 50 минут, чтобы принять и подтвердить платеж, дешифровка и удаление этой программы начнется автоматически. Для правильного ключа и дешифрования, НЕ отключайте питание компьютера, не отключайте подключение к Интернету, не запускайте антивирусную программу. Обычно дешифровка идет 1-3 часа, средняя скорость декрипта 21 Гб в час.
Bitcoin представляет собой современную цифровую валюту, вы можете купить на eBay.com, localbitcoins.com, anxpro.com, cued.com и на мн. др. онлайн и физических обменниках через кредитную карту, банковский счет, используя PayPal и мн. др. способов оплаты.
Внимание, не пытайтесь избавиться от этой программы, любые действия приведут к уничтожению ключа дешифрования, а вы потеряете ваши файлы навсегда, один из способов, чтобы заставить вас вернуть файлы системы, это следовать этой инструкции. В случае неуплаты оставляем за собой право публично выложить все зашифрованные файлы.

 Распространяется с помощью email-спама и вредоносных вложений. 

Запустившись в первый раз в системе шифровальщик сканирует побуквенно все диски в поисках определенных файловых расширений и, зашифровав файлы, переименовывает их согласно цифровому порядку, добавляя расширение .R5A. Например, если папка содержит 10 разных файлов, то они будут переименованы в 1.R5A, 2.R5A, 3.R5A ... 10.R5A.

Закончив шифрование, 7ev3n отображает окно с требованием выкупа и указанием Bitcoin-адреса, на который нужно его отправить. После того, как 7ev3n эффективно заблокирует все возможные варианты восстановления, обойдя экран UAC, он вносит изменения в реестр, отключающие комбинации клавиш, которые обычно используются для устранения проблем Windows, например, такие как Alt + Tab, переключающие между активными процессами. А также меняет специальное значение в реестре, отключающее клавиши: F1, F10, F3, F4, Enter, Escape, левый Alt, Ctrl, Левый Windows, Num Lock, правый Alt, правый Ctrl, правый Shift, правый Windows и Tab. 

Это значение реестра показано ниже.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"

Кроме того, вредонос создает задачу Windows, которая выполняет эти команды каждый раз, когда пользователь входит в систему.

Список файловых расширений, подвергающихся шифрованию: 
 .accdb, .arw, .dbf, .doc, .docm, .docx, .jpe, .jpeg, .jpg, .mdb, .mdf, .odb, .odm, .odp, .ods, .pdf, .rar, .sql, .txt, .xlsb, .xlsm, .xlsx, .zip (23 расширения). 

Файлы, связанные с 7ev3n Ransomware: 
%LocalAppData%\bcd.bat - пакетный файл с разными BCDedit-командами, отключающих варианты восстановления загрузки системы.
%LocalAppData%\del.bat - пакетный файл-чистильщик, зачищающий файлы вымогателя;
%LocalAppData%\system.exe - основной исполняемый файл вымогателя, шифрующий данные и отображающий требование выкупа;
%LocalAppData%\time.e - файл, содержащий временную отметку с началом инфекции;
%LocalAppData%\uac.exe - исполняемый файл, позволяющий компонентам вымогателя работать с повышенными правами без отображения контроля учетных записей;
C:\Windows\System32\Tasks\uac
C:\Windows\System32\elsext.dll

Записи реестра, связанные с 7ev3n Ransomware: 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{62EC9C46-634C-4957-8A5C-4566462D0CE6}
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\uac
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "C:\Users\[login_name]\AppData\Local\system.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" /v "crypted"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout" "Scancode Map" = "00000000 00000000 17000000 00003800 000038e0 00005be0 00005ce0 00003600 00001d00 
00001de000000f000000010000001c0000003e0000003b00000044000000450000003d0000005de000000000"
HKEY_CURRENT_USER\Control Panel\Accessibility\StickyKeys "Flags"  = 506
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" "System"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" "rgd_bcd_condition"  = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" "EnableLUA"  = 0

Степень распространённости: низкая. 
Подробные сведения собираются.