Jigsaw

Jigsaw Ransomware

(шифровальщик-вымогатель)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в  $150 USD или 0.4 BTC, чтобы вернуть файлы. Оригинальное название: JigsawRansomware, BitcoinBlackmailer. На файле написано: BitcoinBlackmailer.exe 

© Генеалогия: Jigsaw. Начало > CryptoHitman

Этимология названия: 
Вымогатель получил свое название в честь культового персонажа из фильма ужасов "Пила". на экране показывается эпатажное изображение "куклы Билли" из этого фильма.

К зашифрованным файлам добавляется расширение .fun
Другие расширения, использованные этим крипто-вымогателем в течении ближайших дней: 
.btc - от 12 апреля 2016
.kkk - от 12 апреля 2016
.gws - от 13 апреля 2016

Позже Jigsaw стал использовать следующие расширения:
.porno
.payransom
.payms
.paymst
.AFD
.paybtcs
.epic
.xyz - от 29 июля 2016
.encrypted
.hush
.paytounlock
.uk-dealer@sigaint.org
.gefickt
.nemo-hacks.at.sigaint.org

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных, португалоязычных, испаноязычных, немецкоязычных и пр. пр. пользователей, что помогает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Начальная и конечная части эпатажного требования о выкупе

Анимированное изображение всего процесса

Содержание текста может различаться не только в зависимости от версии или страны распространения, но и от того, где пострадавший подцепил эту штуку. 

Содержание текста о выкупе (1-й вариант): 
Your computer files have been encrypted. Your photos, videos, documents, etc....
But, don't worry! I have not deleted them, yet.
You have 24 hours to pay 150 USD in Bitcoins to get the decryption key.
Every hour files will be deleted. Increasing in amount every time.
After 72 hours all that are left will be deleted.
If you do not have bitcoins Google the website localbitcoins.
Purchase 150 American Dollars worth of Bitcoins or .4 BTC. The system will accept either one.
Send to the Bitcoins address specified.
Within two minutes of receiving your payment your computer will receive the decryption key and return to normal.
Try anything funny and the computer has several safety measures to delete your files.
As soon as the payment is received the crypted files will be returned to normal.
       Thank you

Перевод текста на русский язык: 
Твои компьютерные файлы были зашифрованы. Твои фотографии, видео, документы и т.д....
Но, не волнуйся! Я ещё не удалил их.
У тебя есть 24 часа, чтобы заплатить 150$ в биткоинах, чтобы получить ключ дешифрования.
Каждый час файлы будут удаляться. Количество увеличится каждый раз.
Через 72 часа все оставшиеся будут удалены.
Если у тебя нет биткоинов гугли сайт localbitcoins.
Купи на 150$ США биткоины или 0.4 BTC. Система примет любой из них.
Отправь на указанный биткоин-адрес.
В течение двух минут после получения платежа твой компьютер получит ключ дешифрования и вернётся в нормальное состояние.
Попробуешь что-то смешное и на компьютере есть несколько способов для удаления твоих файлов.
Как только будет получен платеж, зашифрованные файлы будут возвращены в нормальное состояние.
       Cпасибо
======

Содержание текста о выкупе (2-й вариант): 
I want to play a game with you. Let me explain the rules:
All your files are being deleted. Your photos, videos, documents, etc...
But, don't worry! It will only happen if you don't comply.
However I've already encrypted your personal files, so you cannot access them.
Every hour I select some of them to delete permanently,
therefore I won't be able to access them, either.
Are you familiar with the concept of exponential growth? Let me help you out.
It starts out slowly then increases rapidly.
During the first 24 hour you will only lose a few files,
the second day a few hundred, the third day a few thousand, and so on.
If you turn off your computer or try to close me, when I start next time
you will get 1000 files deleted as a punishment.
Yes you will want me to start next time, since I am the only one that
is capable to decrypt your personal data for you.
Now, let's start and enjoy our little game together!  

Перевод текста на русский язык: 
Я хочу сыграть с тобой. Позволь мне объяснить правила:
Все твои файлы удаляются. Твои фотографии, видео, документы и т.д.
Но, не волнуйся! Это произойдет, только если ты откажешься.
Однако я уже зашифровал твои личные файлы, поэтому ты не сможешь получить к ним доступ.
Каждый час я выбираю некоторые из них для удаления навсегда,
поэтому я не смогу получить к ним доступ.
Ты знаком с концепцией экспоненциального роста? Позвольте мне помочь вам.
Она медленно начинается, а затем быстро увеличивается.
В течение первых 24 часов ты потеряешь только несколько файлов,
на второй день - несколько сотен, на третий день - несколько тысяч и т.д.
Если ты выключишь компьютер или попытаешься закрыть меня, то когда я запущусь в следующий раз, то ты потеряешь 1000 файлов, удалённых в наказание.
Да, ты сам захочешь, чтобы я запустился в следующий раз, т.к. я единственный, кто может расшифровать твои личные данные для тебя.
Теперь давай начнём и насладимся нашей маленькой игрой вместе!
======

Содержание текста о выкупе (3-й вариант):
Eu quero jogar um jogo. Deixe-me explicar as regras:
Todos os seus arquivos serao deletados. Fotos, vídeos, documentos, etc.
Mas nao se preocupe! Só vai acontecer se voce nao cooperar.
Porém, eu já encriptei seus arquivos, entao voce nao consegue mais acessá-los.
A cada hora eu seleciono algum deles para ser excluído permanentemente,
Voce conhece o conceito de crescimento exponencial? Funciona assim:
Começa devagar e acelera depressa
Nas primeiras 24h voce só perderá alguns arquivos
No segundo dia, algumas centenas, no teceiro, milhares, e assim vai
Se voce desligar seu computador ou tentar me fechar
1.000 (MIL) arquivos serao deletados como puniçao
E voce vai querer que eu continue aqui, 
já que sou o único que pode devolver seus arquivos
Agora, vamos jogar!
Envie 50 dólares (aproximadamente R$200) em bitcoins para o endereço abaixo 
(Se voce nao sabe comprar e enviar bitcoins, procure no Google. É fácil)

Перевод текста на русский язык: 
Я хочу сыграть в игру. Позволь мне объяснить правила:
Все твои файлы будут удалены. Фотографии, видео, документы и т.д.
Но не волнуйся! Это произойдет, только если ты не будешь сотрудничать.
Тем не менее, я уже зашифровал твои файлы, поэтому ты не сможешь их получить.
Каждый час я выбираю некоторые из них, чтобы удалить навсегда.
Ты знаешь концепцию экспоненциального роста? Она работает так:
Медленно начинается и быстро ускоряется.
В первые 24 часа ты потеряешь только некоторые файлы.
На второй день - несколько сотен, на третий - тысячи и так далее.
Если ты выключишь компьютер или попробуешь закрыть меня, то в наказание будут удалены 1000 файлов.
И ты захочешь, чтобы я остался здесь, т.к. я единственный, кто может вернуть твои файлы
Теперь давай играть!
Отправь 50$ (приблизительно 200 R$) в биткоинах по адресу ниже
(Если ты не знаешь, как покупать и отправлять биткоины, или в Google).
---
200 R$ - это 200 бразильских реалов. 

Сообщения и изображение призваны запугать пользователя, заставляя заплатить выкуп. Если выкуп не поступает в течении часа, часть файлов удаляется и через час отсчет времени начинается заново. Исследователи выяснили, что удаляется первая тысяча файлов, затем вторая...

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Когда Jigsaw запускается в первый раз, то он сканирует диски жертвы для поиска определенных расширений файлов, затем шифрует их с использованием алгоритма AES, и добавляет расширение .fun (или одно из новых) к имени файла.

При шифровании файлов вредонос:
- добавляет имя файла в список зашифрованных файлов EncryptedFileList, расположенный в директории \System32Work\EncryptedFileList.txt ;
- назначает адрес Bitcoin для уплаты выкупа за файлы и сохраняет его в файл %UserProfile%\AppData\Roaming\System32Work\Address.txt ;
- прописывается в автозапуск, чтобы запускаться с Windows.
Более того, при каждом запуске системы Jigsaw удаляет 1000 зашифрованных файлов.

Если в назначенный час количество поступивших на биткоин-адрес вымогателя биткоинов равно или больше требуемой суммы, то вымогатель будет автоматически расшифровывать файлы.

Список файловых расширений, подвергающихся шифрованию:
.1pa, .3dm, .3g2, .3gp, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .cal, .cdr, .cdt, .cdx, .cgn, .class, .clk, .cmx, .cnt, .cpp, .cpt, .cpx, .cs, .csl, .csv, .cur, .dat, .db, .dbf, .des, .des, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drw, .ds4, .dsf, .dwg, .dwg.eps, .dxf, .efx, .eps, .fim, .fla, .flv, .fmv, .fpx, .fx0, .fx1, .fxr, .gem, .gif, .h, .idml, .iff, .iif, .img, .indb, .indd, .indl, .indt, .ini, .inx, .jar, .java, .jpeg, .jpg, .js, .lgb, .m3u, .m3u8, .m4u, .mac, .max, .mdb, .met, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .mx0, .nap, .nd, .pat, .pcd, .pct, .pcx, .pdb, .pdf, .pfb, .php, .pic, .plb, .plt, .pmd, .png, .pot, .potm, .potx, .pp4, .pp5, .ppam, .ppf, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prn, .prn, .prproj, .ps, .psd, .psp, .ptb, .py, .qba, .qbb, .qbi, .qbm, .qbo, .qbp, .qbr, .qbw, .qbx, .qby, .qpd, .qsm, .qss, .qst, .qwc, .ra, .rar, .raw, .rb, .rif, .rtf, .rtp, .sct, .sdf, .ses, .set, .shw, .sldm, .sldx, .sql, .svg, .swf, .tga, .tif, .tiff, .tlg, .tlg, .ttf, .txt, .v30, .vcf, .vob, .vsd, .wav, .wi, .wk3, .wk4, .wma, .wmf, .wmv, .wpd, .wpg, .wps, .xcf, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xpm, .xqx, .zip (206 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BitcoinBlackmailer.exe
firefox.exe
drpbx.exe
Address.txt
EncryptedFileList.txt

Расположения:

C:\Users\User\AppData\Roaming\Frfx\firefox.exe - копия исп. файла

C:\Users\User\AppData\Local\Drpbx\drpbx.exe - копия исп. файла

%UserProfile%\AppData\Roaming\Frfx\
%UserProfile%\AppData\Roaming\Frfx\firefox.exe - копия исп. файла
%UserProfile%\AppData\Local\Drpbx\
%UserProfile%\AppData\Local\Drpbx\drpbx.exe - копия исп. файла
%UserProfile%\AppData\Roaming\System32Work\
%UserProfile%\AppData\Roaming\System32Work\dr
%UserProfile%\AppData\Roaming\System32Work\Address.txt
%UserProfile%\AppData\Roaming\System32Work\EncryptedFileList.txt

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe    %UserProfile%\AppData\Roaming\Frfx\firefox.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
1fichier.com***
btc.blockr.io***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  HA+>>
VirusTotal анализ >>

Степень распространённости: средняя, но и перспективно высокая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 11 мая 2016:
См. статью CryptoHitman Ransomware

Обновление от...
См. статью...

Обновлённый список используемых расширений (по алфавиту):
.afc, .AFD, 

.beep, .btc, 
.Contact_TarineOZA@Gmail.com_, .crypte, .Crypto, 
.die, 
.encrypted, .epic, 
.fun, 
.game, .gefickt, .getrekt, .ghost, .gws, 
.hush, 
.ice, .ini, .I'WANT MONEY, 
.jey, 
.kill, .kkk, .korea, 
.lckd, .locked, .Locked, .lost, 
.nemo-hacks.at.sigaint.org, 
.pabluk300CrYpT!, .pablukCRYPT, .pabluklocker, .PAY, .paybtcs, .paym, .paymds, .paymrss, .paymrts, .payms, .paymst, .paymts, .payransom, .payrms, .payrmts, .pays, .paytounlock, .porno, .pornoransom, 
.R3K7M9, .ram, .rat, 
.sux, 
.tax, .To unlock your files send 0.15 Bitcoins to 1P67AghL2mNLbgxLM19oJYXgsJxyLfcYiz within 24 hours 0.20 after 24 hours, 
.uk-dealer@sigaint.org, 
.versiegelt, 
.xyz

Новые см. ниже.  

Jigsaw 2018-2021 Ransomware >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать JigsawDecrypter для дешифровки >>
Он регулярно обновляется под новые версии
***

 Read to links: 
 ID Ransomware (ID as Jigsaw)
 Write-up, Topic of Support, Mass media, Malekal's forum
 🎥 Video review

 Thanks: 
 Lawrence Abrams, Michael Gillespie
 MalwareHunterTeam 
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Kovter

Kovter Ransomware 

(фейк-шифровальщик)

   Этот вымогатель делает вид, что шифрует данные пользователей, а затем требует выкуп в 0,5 биткоинов, чтобы вернуть файлы обратно. 

К зашифрованным файлам добавляется расширение .crypted. Первая активность Kovter как вымогателя пришлась на март 2016 г., но продолжилась и после. 

Немного истории: 
В течение 2013 года Kovter прославился как "полицейский-вымогатель" (Police Ransomware), для чего использовался полиморфный исполняемый файл, выполнявший на заражённом ПК постоянный мониторинг действий пользователя, чтобы в случае загрузки пользователем каких-либо файлов, выдать "штраф" "нарушителю" закона. 
В 2014-2015 годах Kovter засветился в кликфрод-атаках с мошеннической рекламой, фиктивными обновлениями и использованием язвимостей в Adobe Flash Player, Internet Explorer, чтобы загрузить на ПК своих жертв другие вредоносные программы. 
В 2015 Kovter стал программой-невидимкой, использующей исполняемые файлы Windows, но работал в том же направлении — кликфрод и Scareware. 
За первые несколько месяцев 2016 года Kovter отличился как спутник Nemucod Ransomware. В июле 2016 бестелесный Kovter стал использовать поддельное обновление для браузера Firefox и сертификат, выпущенный Comodo. После выполнения в системе жертвы вредонос записывал зашифрованный скрипт в разные места реестра Windows и использовал PowerShell для других вредоносных действий. 

Детект на VirusTotal >>
Описание от Symantec >>

  Во всех своих новых вариациях Kovter сохраняет и свои старые возможности, включая прослушивание трафика пользователей и похищение персональной информации. С каждой новой вариацией его становится труднее обнаруживать. На данный момент Kovter изменился как в целях, так и в методах, которые он теперь использует.

  В качестве сегодняшнего вымогателя Kovter вкладывает усилия в быстрое получение выкупа, а не в само шифрование. Обфусцируя только первую часть файла, Kovter наскоро "шифрует" большинство файлов, которые находит интересными (текстовые документы, презентации, архивы и пр.), добавляя расширение .crypted. Из-за того, что первые байты файла зашифрованы, невозможно открыть файл, как обычно (см. Рис.1-2 ниже). Но ключ шифрования у него не отсылается на C&C-сервер, а хранится локально на инфицированном устройстве, потому доступ к зашифрованным файлам можно восстановить.

Открытый PDF-файл до и после обфускации

Kovter изменяет только начало файла

  При помощи утилиты для сравнения текста WinDiff можно увидеть, что было изменено только начало файла. Красная часть на скриншоте является исходным файлом, жёлтая — обфусцированным. Далее файлы одинаковы.

  Распространяется с помощью email-спама и вредоносных вложений, с помощью поддельных обновлений для Adobe Flash, для браузеров Internet Explorer и Mozilla Firefox, с помощью Nemucod TrojanDownloader и атак drive-by-download. 

Подробности используемого Kovter метода вымогательства см. в блоге исследователей. 

  Файлы, подвергающиеся шифрованию: 
Большинство файлов, которые Kovter находит интересными (документы, презентации, архивы и пр.). 

 Файлы, связанные с Ransomware: 
***
 Записи реестра, связанные с Ransomware: 
***

Т.к. файлы всё же не шифруются, то Kovter Ransomware я отношу к фейк-шифровальщикам. 

 Степень распространённости: средняя. 
 Подробные сведения собираются.

© Amigo-A (Andrew Ivanov): All blog articles.

HelpMe

HelpMe Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей, а затем требует платы за услуги дешифровки, чтобы восстановить файлы. В ответном письме может быть указана любая сумма в биткоинах: 1, 2, 3... Название получил от первой части адреса вымогателей. 

© Генеалогия: ***

К зашифрованным файлам добавляется составное расширение по шаблону .id-4126721512_helpme@freespeechmail.org. То есть файл wallpaper.jpg станет wallpaper.jpg.id-4126721512_helpme@freespeechmail.org у жертвы с ID 4126721512. 

Активность этого криптовымогателя пришлась на ноябрь 2015 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: Recovery.bmp

Вымогательский текст и условия написана на скринлоке, встающем обоями рабочего стола. 

Содержание текста о выкупе:
Attention! Your computer has been attacked by a virus-encoder!
All your files are now encrypted using cryptographically strong algorithm.
Without the original key recovery is impossible.
To get the decoder and the original key, you need to email us at helpme@freespeechmail.org
Our assistance is not free, so expect to pay a reasonable price for our decrypting services. No exceptions will be made.
In the subject line of your email include the id number, which can be found in the file name of all encrypted files.
It is in your interest to respond as soon as possible to ensure the restoration of your files.
P.S. only in case you do not receive a response from the first email address within 48 hours, please use this alternative email address:
helping@openmailbox.org

Перевод текста на русский язык:
Внимание! Ваш компьютер был атакован вирусом-энкодером!
Все ваши файлы зашифрованы с криптографически стойким алгоритмом.
Без оригинального ключа восстановление невозможно.
Для получения декодера и оригинального ключа вам надо написать нам на helpme@freespeechmail.org
Наша помощь небесплатна, потому нужно заплатить разумную цену за наши услуги расшифровки. Исключений не будет.
В теме вашего email-письма включите ID номер, который можно найти в имени файла всех зашифрованных файлов.
Это в ваших интересах ответить как можно скорее, чтобы восстановить файлы.
P.S. только в случае, если вы не получили ответ от первого email-адреса за 48 часов, пожалуйста, используйте этот альтернативный адрес:
helping@openmailbox.org

Пример ответного письма вымогателей:
Hello
If you wish to get all your files back, you need to pay 3 BTC.
How to get bitcoins?
1. google bitcoin ATMs
2. google localbitcoins dot com
3. google: buy bitcoins
This is the only way to get your files back.
There’s no way to decrypt them without the original key.
The price is non-negotiable.
After paying 3 BTC and emailing the confirmation of payment you will be provided with a decoder.
If you don’t trust me, you can email one of your files, I will decode it and send it back to you.
However, if the file you’re requesting to decode is valuable, I will send you either a quote from it or a screenshot.
I apologise for any inconvenience caused.
Let me know if you want to proceed.
Thank you for cooperation.

Перевод на русский язык:
Привет
Если хотите получить все ваши файлы обратно, то вам нужно оплатить 3 BTC.
Как получить биткойны?
1. гугли bitcoin ATMs
2. гугли localbitcoins dot com
3. гугли: buy bitcoins
Это единственный способ получить файлы обратно.
Никакого способа расшифровать их без оригинального ключа.
Цена не является предметом переговоров.
После оплаты 3 BTC и отправки по email подтверждение об оплате вам будет предоставлен декодер.
Если вы не доверяете мне, то пришлите по email один из ваших файлов, я декодирую его и пришлю его вам обратно.
Тем не менее, если файл запрашенный для дешифровки очень ценный, я пошлю вам либо цитату из него или скриншот.
Прошу прощения за возможные неудобства.
Дайте мне знать, если хотите продолжить.
Благодарим за сотрудничество.

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
doc, docx, pdf, xls, xlsx, jpg, jpeg и другие.

Файлы, связанные с HelpMe Ransomware:
Recovery.bmp

Записи реестра, связанные с HelpMe Ransomware:
***

Email вымогателей:
helpme@freespeechmail.org
helping@openmailbox.org

Позже, в начале 2016 года, были замечены другие адреса вымогателей:
email_info@cryptedfiles.biz и другие. 

Сетевые подключения:
***

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>

Степень распространённости: высокая (по семейству).
Подробные сведения собираются.

Внимание! 

Для зашифрованных файлов есть декриптор

Скачать RakhniDecryptor от ЛК >>

Инструкция для работы с утилитой >> 

 Read to links: 
 Writeup on BC
 RakhniDecryptor 
 *

 Thanks: 
 Lawrence Abrams
 Kaspersky Lab
 *
 

CryptoMix

CryptoMix Ransomware 

(шифровальщик-вымогатель) 

Translation into English

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в 5 биткоинов, чтобы вернуть файлы обратно. Чтобы оправдать такую завышенную сумму, вымогатели придумали сказку о том, что деньги пойдут на благотворительность. 

© Генеалогия: CryptoMix > CryptFIle2
© Генеалогия: CryptoMix > Lesli
© Генеалогия: CryptoMix > RDMK
© Генеалогия: CryptoMix > CryptoShield 1.0 > CryptoShield 2.0
© Генеалогия: CryptoMix > Mole > Mole 2.0
© Генеалогия: CryptoMix > Revenge
© Генеалогия: CryptoMix > Wallet

© CryptoMix Revenge generation
© CryptoMix Revenge поколение:
Azer, Noob, Exte, Pirate, CK, Zayka, Zero, DG - июль 2017
Ogonia, Error, Empty, Arena - август 2017
Shark  - сентябрь 2017
x1881, Coban - октябрь 2017
XZZX, 0000, Test - ноябрь 2017
WORK, FILE, Tastylock - декабрь 2017
SERVER, System - январь 2018
MOLE66 - март 2018
Backup - май 2018
SYS - июнь-август, декабрь 2018
DAT (WINDAT) - январь 2019
DLL - апрель 2019

Этимология названия:
Название связано с тем, что этот крипто-вымогатель представляет собой мешанину (mix) из других криптовымогателей: CryptoWall 3.0, CryptoWall 4.0 и CryptXXX. Иногда его ещё называют CryptMix. Активность этого крипто-вымогателя (оригинальной версии) пришлась на март-апрель-май 2016 г. 

К зашифрованным файлам добавляется расширение .code, составленное по шаблону (FILE_NAME.EXTENSION).id_(ID_MACHINE)_email_xoomx@dr.com_.code. 

Пример имени зашифрованного файла: photo.jpg.id_4cef26603863_email_xoomx@dr.com_.code

Записки с требованием выкупа помещаются во всех папках с файлами, а называются:
HELP_YOUR_FILES.html — название взято от CryptXXX
HELP_YOUR_FILES.txt — взято от Cryptowall 3.0, 4.0

Содержание записки о выкупе:
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files?
All of your files were protected by a strong encryption with RSA-2048.
More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia.org/wiki/rsa_(cryptosystem)
How did this happen ?
!!! Specially for your PC was generated personal RSAj-2048 key, both public and private.
!!! ALL YOUR files were encrypted with the public key, which has been transferred to your computer via the Internet.
!!! Decrypting of your files is only possible with tne help of the private key and decrypt program, which is on our Secret Server
What do I do ?
So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining bitcoin now! , and restore your data easy way. 
If you have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.
For more specific instructions:
Contact us by email only, send us an email along with your ID number and wait for further instructions. Our specialist will contact you within 12 hours.
For you to be sure, that we can decrypt your files - you can send us a single encrypted file and we will send you back it in a decrypted form. This will be your guarantee.
E-MAIL1: xoomx@dr.com
E-MAIL2: xoomx@usa.com
YOUR_ID: 4cef26603863

Перевод записки на русский язык:
НЕ ТВОЙ ЯЗЫК? ИСПОЛЬЗУЙ https://translate.google.com
Что случилось с файлами?
Все ваши файлы были защищены сильным шифрованием RSA-2048.
Более подробную информацию о ключах шифрования с RSA-2048 можно найти здесь: http://en.wikipedia.org/wiki/rsa_(cryptosystem)
Как это произошло ?
!!! Специально для вашего ПК был создан персональный RSA-2048 ключ, и открытый и секретный.
!!! Все ваши файлы зашифрованы с помощью открытого ключа, переданного с компьютера через Интернет.
!!! Дешифрование файлов возможно только с помощью секретного ключа и декриптера, который находится на нашем секретном сервере.
Что мне делать?
Есть два способа, которые вы можете выбрать: ждать чуда и увеличить цену в 2 раза, или начать получать Bitcoin прямо сейчас! , И восстановить данные легким путём. 
Если у вас есть действительно ценные данные, то лучше не тратить свое время, т.к. нет никакого другого пути получить ваши файлы, кроме как совершить платеж.
Подробные инструкции:
Свяжитесь с нами по email, пришлите ваш ID номер и ждите дальнейших указаний. Наш специалист свяжется с Вами за 12 часов.
Для подтверждения, что мы можем расшифровать ваши файлы - вы можете прислать нам 1 зашифрованный файл, и мы вернем вам его в расшифрованном виде. Это будет ваша гарантия.
E-Mail1: xoomx@dr.com
E-Mail2: xoomx@usa.com
Your_ID: 4cef26603863

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, письма содержат ссылки на вредоносные веб-сайты, зараженные набором эксплойтов, которые используют уязвимости в браузерах пользователей и их плагинов для доставки и установки CryptoMix. 

Попав на ПК жертвы, CryptoMix автоматически запускает сканирование и поиск 864 различных типов файлов. Потом CryptoMix пытается связаться со своим C&C-сервером, чтобы установить ключ для шифрования файлов (с алгоритмом AES-256). Если сервер недоступен или нет интернет-подключения, то CryptoMix будет шифровать файлы с одним из его основных ключей "в автономном режиме".

После завершения процесса шифрования, CryptoMix размешает записку с требованием выкупа, заимствуя HTML-записку у к/в CryptXXX, а TXT-записку — у CryptoWall.

Вымогатели, назвавшиеся Charity Team, предлагают вместе с уникальным ключом защиту ПК и бесплатную техническую поддержку для решения любых проблем с ПК в течение 3 лет. Деньги якобы будут потрачены на благотворительность, некие дети получат подарки и медицинскую помощь, а имя заплатившего 5 биткоинов будет в этом благотворительном списке. Через 24 часа сумма выкупа удвоится.

После шифрования теневые копии файлов удаляются. 

Список файловых расширений, подвергающихся шифрованию:
.0, .1, .1st, .2bp, .3dm, .3ds, .3fr, .3g2, .3gp, .4db, .73i, .7z, .9png, .a3d, .abm, .abs, .abw, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .accft, .act, .adn, .adp, .af3, .aft, .afx, .agif, .agp, .ai, .aic, .aif, .aim, .albm, .alf, .ani, .ans, .apd, .apm, .apng, .aps, .apt, .apx, .ar, .arc, .art, .artwork, .arw, .as, .asc, .ascii, .ase, .asf, .ask, .asm, .asp, .asw, .asx, .asy, .at, .aty, .avatar, .awdb, .awp, .awt, .aww, .azz, .ba, .backup, .bad, .bak, .bay, .bbs, .bdb, .bdp, .bdr, .bean, .bib, .bik, .blend, .blkrt, .bm2, .bmp, .bmx, .bmz, .bna, .bnd, .boc, .bok, .brk, .brn, .brt, .bss, .btd, .bti, .btr, .byu, .bz, .bza, .bzabw, .c, .c4, .c4d, .cal, .cals, .can, .cd5, .cdb, .cdc, .cdg, .cdmm, .cdmt, .cdmtz, .cdmz, .cdr, .cdr3, .cdr4, .cdr6, .cdrw, .cdt, .cf, .cfg, .cfu, .cgm, .chart, .chord, .cin, .cit, .ckp, .class, .clkw, .cma, .cmx, .cnm, .cnv, .cp, .cpc, .cpd, .cpg, .cpp, .cps, .cpt, .cpx, .cr2, .crd, .crwl, .cs, .css, .csv, .csy, .ct, .cv5, .cvg, .cvi, .cvs, .cvx, .cwt, .cxf, .cyi, .daconnections, .dacpac, .dad, .dadiagrams, .daf, .daschema, .dat, .db, .db-shm, .db2, .db3, .dbc, .dbf, .dbk, .dbs, .dbt, .dbv, .dbx, .dc2, .dca, .dcb, .dcs, .dct, .dcx, .dd, .ddl, .ddoc, .dds, .ded, .design, .dgc, .dgn, .dgs, .dgt, .dhs, .dib, .dicom, .diz, .djv, .djvu, .dm3, .dmo, .dmp, .dnc, .dne, .doc, .docm, .docx, .docxml, .docz, .dot, .dotm, .dotx, .dpp, .dpx, .drw, .drz, .dsk, .dsn, .dsv, .dt, .dt2, .dta, .dts, .dtsx, .dtw, .dv, .dvi, .dwg, .dx, .dxb, .dxf, .ecw, .ecx, .edb, .efd, .egc, .eio, .eip, .eit, .email, .emd, .emf, .emlx, .ep, .epf, .epp, .eps, .epsf, .eql, .erf, .err, .etf, .euc, .exr, .f, .fadein, .fal, .faq, .fax, .fb2, .fb3, .fbl, .fbx, .fcd, .fcf, .fdb, .fdf, .fdr, .fds, .fdt, .fdx, .fdxt, .fes, .fh3, .fh4, .fh5, .fh6, .fh7, .fh8, .fi, .fic, .fid, .fif, .fig, .fil, .flac, .fli, .fodt, .fol, .fountain, .fp3, .fp4, .fp5, .fp7, .fpt, .fpx, .ft7, .ft8, .ft9, .ftn, .fwdn, .fzb, .fzv, .g3, .gcdp, .gdb, .gdoc, .gdraw, .gem, .geo, .gfb, .gfie, .ggr, .gho, .gif, .gim, .gio, .gl, .glox, .gmbck, .gmspr, .gpd, .gpn, .gro, .grs, .gsd, .gthr, .gtp, .gv, .gwi, .gz, .h, .hbk, .hdb, .hdp, .hdr, .hht, .his, .hpg, .hpgl, .hpi, .hpl, .hpp, .hs, .htm, .html, .hwp, .hz, .i3d, .ib, .icn, .icon, .icpr, .idc, .idea, .igt, .igx, .ihx, .iiq, .imd, .indd, .info, .ink, .int, .ipx, .it, .itc2, .itdb, .itw, .iwi, .j, .j2c, .j2k, .jas, .java, .jb2, .jbig, .jbig2, .jbmp, .jbr, .jis, .jng, .joe, .jp2, .jpe, .jpeg, .jpg, .jpg2, .jps, .jpx, .js, .jtx, .jxr, .kdb, .kdc, .kdi, .kdk, .key, .kic, .knt, .kon, .kpg, .kwd, .latex, .lay, .layout, .lbm, .lbt, .lgc, .lit, .ljp, .log, .ltr, .ltx, .lue, .lws, .lyt, .lyx, .m3d, .m3u, .m4v, .ma, .mac, .maf, .man, .map, .maq, .mat, .max, .mb, .mbm, .mbox, .md5, .mdb, .mdf, .mdn, .mdt, .me, .mft, .mgcb, .mgmx, .mgt, .min, .mkv, .mmat, .mng, .mnt, .mob, .mobi, .mos, .mov, .movie, .mp3, .mp4, .mpf, .mpg, .mrg, .mrxs, .msg, .mt9, .mud, .mwb, .mwp, .mxl, .myd, .myl, .ncr, .nct, .ndf, .nfo, .njx, .nlm, .notes, .now, .nrw, .ns2, .ns3, .ns4, .nwctxt, .nyf, .nzb, .obj, .oc3, .oc4, .oc5, .oce, .ocr, .odb, .odo, .ods, .odt, .of, .oft, .openbsd, .oplc, .oqy, .ora, .orf, .ort, .orx, .ota, .otg, .oti, .ott, .ovp, .ow, .owc, .owg, .oyx, .oz, .ozb, .ozj, .p7s, .p96, .p97, .pages, .pal, .pano, .pap, .pas, .pbm, .pc3, .pcd, .pcs, .pct, .pcx, .pdb, .pdd, .pdf, .pdm, .pdn, .pe4, .pf, .pfd, .pff, .pfs, .pfx, .pgf, .pgm, .phm, .php, .pi3, .pic, .pict, .pix, .pjpeg, .pjpg, .pjt, .pl, .plantuml, .plt, .pm, .pmg, .png, .pni, .pnm, .pntg, .pnz, .pobj, .pop, .pp4, .pp5, .ppm, .pps, .ppt, .pptm, .pptx, .prw, .ps, .psd, .psdx, .pse, .psid, .psp, .pspbrush, .psw, .ptg, .pth, .ptx, .pu, .puz, .pvj, .pvm, .pvr, .pwa, .pwi, .pwr, .px, .pxr, .py, .pz3, .pza, .pzp, .pzs, .qdl, .qmg, .qpx, .qvd, .r3d, .ra, .rad, .rar, .ras, .raw, .rb, .rctd, .rcu, .rdb, .rdl, .readme, .rgb, .rib, .ris, .rl, .rle, .rli, .rm, .rp, .rpd, .rpt, .rs, .rsb, .rsd, .rsr, .rst, .rt, .rtd, .rtf, .run, .rw2, .rwl, .rzk, .rzn, .s2mv, .s3m, .saf, .safetext, .sai, .sam, .sav, .save, .sbf, .scad, .scc, .sci, .scm, .scriv, .scrivx, .sct, .scv, .scw, .sdb, .sdf, .sdm, .sdoc, .sdw, .sep, .sfc, .sfera, .sfw, .sgm, .sig, .sk2, .skcard, .skm, .sla, .slagz, .sld, .sldasm, .slddrt, .sldprt, .sls, .smf, .smi, .smil, .sms, .snagitstamps, .snagstyles, .sob, .spa, .spe, .sph, .spj, .spp, .spq, .spr, .sqb, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srw, .ssa, .ssk, .st, .ste, .stm, .stn, .stp, .str, .strings, .stw, .stx, .sty, .sub, .sumo, .sva, .svf, .svg, .svgz, .swf, .sxd, .sxg, .sxw, .t2b, .tab, .tar, .tb0, .tbn, .tcx, .tdf, .tdt, .teacher, .tex, .text, .tfc, .tg, .tg4, .tga, .thm, .thp, .thumb, .tif, .tiff, .tm, .tm2, .tmd, .tmp, .tmv, .tmx, .to, .tp, .tpc, .tpi, .trelby, .trm, .tvj, .txt, .u3d, .u3i, .udb, .ufo, .uga, .unauth, .unity, .unx, .upd, .usertile-ms, .usr, .utf8, .utxt, .v12, .vault, .vb, .vbr, .vc, .vct, .vda, .vdb, .vec, .vml, .vnt, .vpd, .vrml, .vrp, .vsd, .vsdm, .vsdx, .vsm, .vst, .vstm, .vstx, .vw, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw (864 расширения). 

Копия исходного файла имеет в названии идентификатор инфицированного ПК:
C:\Users\pc\AppData\Roaming\AdobeFlashPlayer_4cef26603863.exe (AdobeFlashPlayer_(MACHINE_ID).exe)

Данные о зашифрованных файлах отправляются на C&C-сервер, расположенный на IP-адресах, приписанных к Украине. Ключи шифрования управляются и сохраняются с помощью компонента ola.php. Маршруты хранятся и управляются с помощью компонента d1.php со следующей структурой: /fs/l/d1.php?id=(ID_MAQUINA)&log=(PATH_TO_FILE). Первая жертва шифровальщика отмечена 24 апреля.

Используются и модифицируются следующие ключи реестра:
HKLM\Software\Microsoft\Cryptography\Defaults\Provider\Microsoft Enhanced RSA and AES Cryptographic Provider
HKLM\Software\Microsoft\Cryptography\DESHashSessionKeyBackward
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader UpdateSoftWare
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*Adobe Reader Update32
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\AdobeFlashPlayerSoftWare
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\*AdobeFlashPlayers32
HKCU\Software\Adobe Reader LicensionSoftWare\AdobeFirstVersionSoftWare
HKCU\Software\Adobe Reader LicensionSoftWare\AdobeLicensionSoftWare

Email вымогателей: 
xoomx@dr.com и xoomx@usa.com

Результаты анализов: 
Гибридный анализ >>
VirusTotal анализ >>


Степень распространённости: высокая, включая новые итерации.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Смотрите в начале статьи. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 14 декабря 2016:
Пост в Твиттере >>
Файлы: radEF352.tmp.exe
Фальш-имя: Microsoft Decode Ransomware
Расширение: .lesli
Шаблон: .email[supl0@post.com]id[\[[a-z0-9]{16}\]].lesli
Записка: INSTRUCTION RESTORE FILE.TXT
Email: supl0@post.com, supl0@oath.com
Результаты анализов: VT, HA

Обновление от 9 января 2017:
Пост в Твиттере >>
Файл: MS SecurityFiles.exe
Фальш-имя: MS SecurityFiles.
Расширение: .lesli
Шаблон: .email[supl@post.com]id[\[[a-z0-9]{16}\]].lesli
Записка: INSTRUCTION RESTORE FILE.TXT
Email: supl@post.com, supl@oath.com
Результаты анализов: VT, HA

Обновление от 23 января 2017:
Пост в Твиттере >>
Файлы: Microsoft Decryptor Ransomware.exe
Фальш-имя: Security SoftWare Shield
Расширение: .email_id.rdmk или .email[email_ransom]_id[id_ransom].rdmk
Пример зашифр. файла: *filename*.email[*email*]_id[*id*].rdmk
Записка: INSTRUCTION RESTORE FILE.txt
Email: supls@post.com, supls@oath.com
Результаты анализов: VT

Обновление 31 января 2017:
CryptoMix > CryptoShield 1.0

Обновление 14 февраля 2017:
CryptoMix > CryptoShield 2.0

Обновление 14 февраля 2017:

CryptoMix > MOLE
Пост в Твиттере >>
Записка: INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT
<< Скриншот записки
Расширение .MOLE
Email: oceanm@engineer.com, oceanm@india.com
Шаблон зашифрованного и переименованного файла: <random_hex [0-9, A_Z] {32}>.MOLE
Пример зашифрованного и переименованного файла: 0AB5F30F23AB8B8AC537A07123C45066.MOLE
Аналогичная схема присвоения имен и поддельные оповещения как у CryptoMix.

Обновление от 17 июля 2017: 
Пост в Твиттере >>
Файлы: <random>.exe
Фальш-имя: InfoVxtreme
Расширение: .CK
Записка: _HELP_INSTRUCTION.TXT
Email: ck01@techmail.info, ck02@decoymail.com, ck03@protonmail.com
Результаты анализов: VT
См. статью CK Ransomware >>

Обновление от 28 июля 2017:
Пост в Твиттере >>
Расширение: .ZERO
Записка: _HELP_INSTRUCTION.TXT
Email: zero@hook.work
Результаты анализов: HA+VT, +VT

Обновление от 28 июля 2017:
Пост в Твиттере >>
Расширение: .DG
Файл: Labs.exe
Записка: _HELP_INSTRUCTION.TXT
Результаты анализов: VT
Hello!
Содержание записки: 
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your id number:
dg01@msgden.net
dg02@armormail.net
dg01@protonmail.com
We will help you as soon as possible!
DECRYPT-ID-********** number

Обновление от 24 августа 2017: 
Пост в Твиттере >>
Расширение: .EMPTY
На файле написано: RacePostings
Результаты анализов: VT
<< Скриншот записки
См. статью CryptoMix-Empty Ransomware >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для некоторых оффлайн вариантов CryptoMix есть дешифровщик
Поддериваются варианты с расширениями: .CRYPTOSHIELD, .rdmk, .lesli, .scl, .code, .rmd, .rscl, .MOLE
Скачайте дешифровщик от Avast по этой ссылке >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CryptoMix, CryptoMix Wallet, CryptoMix Revenge)
 Write-up, Topic of Support
 * 

 Thanks: 
 Marcelo Rivero, BleepingComputer
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.