Если вы не видите здесь изображений, то используйте VPN.

понедельник, 3 апреля 2017 г.

Fluffy-TAR

Fluffy-TAR Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0,039 BTC, чтобы вернуть файлы. Оригинальное название Fluffy или Fluffy-TAR. Среда разработки: Visual Studio 2015. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.
Картинка принадлежит шифровальщику (найдено в exe-файле)

К зашифрованным файлам добавляется окончание lock75

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа выступают экраны блокировки:

Содержание основного текста о выкупе:
What's happening?
Oh no! Fuffy-TAR has encrypted some of your files! It means they are not lost, but cannot be used until decrypted.
They are "locked", you could say. If you see a file which name ends with "lock75", it means this file is encrypted. The process iseasily reversible but requires a key.
What do I do?
To get your files back, you must buy the decryption key. This payment must be done in Bitcoins, a cryptographic currency. Bitcoin is becoming more and more acessible and nowadays, it is really easy to use bitcoins. See the online interface (button below) for a more detailed introduction to bitcoins. 
To get your files back, please send exactly (or more if you want) 0.039 Bitcoins to this address, BEFORE the countdown below ends:
[1D4yXNh45nur1KVNqnPZ5T7nep5Y1KDbwx]
Uppercase/lowercase matter! Make sure you send to the right address! (you can scan the QR code to copy it)
After sending the payment, wait an hour then click the "Retrieve key automatically" button below.
The software will then receive the key and decrypt ALL encrypted files.
Without the key, it is impossible to decrypt your files. Without the proper payment, it is impossible to get the key.
When the countdown reaches zero, you will lose all encrypted documents.
Please note: If you have an antivirus, disable it now if you don't want to lose your data.
[Decrypt one file for free] [Francais]
[Detailed info and manual key retrieving] [Retrieve key automatically]

Перевод основного текста на русский язык:
Что произошло?
О нет! Fuffy-TAR зашифровал некоторые ваши файлы! Это значит, что они не потеряны, но не могут использоваться, пока не расшифрованы.
Можно сказать, что они "заперты". Если вы видите файл, имя которого заканчивается на «lock75», это означит, что он зашифрован. Этот процесс легко обратим, но требует ключ.
Что мне делать?
Чтобы вернуть свои файлы, вы должны купить ключ дешифрования. Этот платеж нужно сделать в биткойнах - криптовалюте. Биткойн становится все более доступным, и в наши дни очень легко использовать биткойны. См. Онлайн-интерфейс (кнопка ниже) для подробного введения в биткойны.
Чтобы вернуть ваши файлы, отправьте ровно (или больше, если хотите) 0.039 биткойнов по этому адресу, ПРЕЖДЕ, чем закончится обратный отсчет:
[1D4yXNh45nur1KVNqnPZ5T7nep5Y1KDbwx]
Прописные/строчные буквы! Убедитесь, что вы отправили на правильный адрес! (Вы можете сканировать QR-код)
После отправки платежа подождите один час и нажмите кнопку "Retrieve key automatically" ниже.
Затем программа получит ключ и расшифрует ВСЕ зашифрованные файлы.
Без ключа невозможно расшифровать ваши файлы. Без надлежащей оплаты невозможно получить ключ.
Когда обратный отсчет достигнет нуля, вы потеряете все зашифрованные документы.
Обратите внимание: если у вас есть антивирус, отключите его сейчас, если не хотите потерять свои данные.
[Расшифровать один файл бесплатно] [По-французски]
[Подробная информация и извлечение ключей] [Получить ключ автоматически]

 Страницы tor-сайта вымогателей

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3fr, .7z, .abu, .accdb, .ai, .arp, .arw, .asp, .aspx, .ass, .asset, .ava, .avi,.bas, .bay, .bdcr, .bdcu, .bdd, .bdp, .bds, .bikey, .blend, .bmp, .bpdr, .bpdu, .bsdr, .bsdu, .c, .cc,.cd, .cdr, .cer, .class, .com, .config, .cpp, .cr2, .crt, .crw, .cs, .csv, .cxx, .db, .dbf, .dbx,.dcr, .dd, .dds, .der, .dng, .doc, .docm, .docx, .DTD, .dwg, .dxf, .dxg, .eps, .erf, .fdb, .forge, .gdb,.gif, .groups, .gsd, .gsf, .h, .hpp, .htm, .html, .ims, .indd, .iss, .jar, .java, .jpe, .jpeg, .jpg,.js, .jsp, .kdc, .key, .kwm, .lua, .m, .md, .mdb, .mdf, .mef, .mp3, .mpg, .mrw, .msg, .nef,.nrw, .oab, .obj, .odb, .odm, .odp, .ods, .odt, .orf, .ost, .p12, .p7b, .p7c, .pab, .PAS, .pas, .pdb,.pdd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .ppk, .ppt, .pptm, .pptx, .ps, .psd, .pst, .psw,  .ptx, .pwm, .py, .r3d, .raf, .rar, .RAW, .raw, .rgx, .rik, .rm, .rtf, .rw2, .rwl, .safe, .sav, .sln,.sql, .srf, .srw, .swf, .swift, .tex, .txt, .vcf, .vsd, .wb2, .wpd, .wps, .xcf, .xlk, .xls, .xlsb,.xlsm, .xlsx, .xml, .zip (163 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Fluffy.exe
fluffy.png

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://3qsp4lc4ajyk4ccb.onion
xxxx://3qsp4lc4ajyk4ccb.onion.cab/
xxxx://3qsp4lc4ajyk4ccb.onion.to/
xxxx://3qsp4lc4ajyk4ccb.onion.to/c.php
xxxx://3qsp4lc4ajyk4ccb.onion.to/w.php
xxxxs://3qsp4lc4ajyk4ccb.onion.casa/
xxxxs://paxful.com/
xxxxs://www.bitpanda.com
xxxxs://www.coinmama.com/
185.100.85.150:80 (Румыния)
192.36.27.5:80 (Швеция)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 GrujaRS
 Thyrex
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FinalRansomware

FinalRansomware Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует заплатить $28 и прислать на email идентификатор, вернуть файлы. Оригинальное название. Разработчик: Ocra.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: GX40 > FinalRansomware

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются:

Содержание записки о выкупе:
YOUR FILE HAS BEEN ENCRYPTED
All of your important files has been encrypted by Ransomware
Your must pay 28 USD to get KEY for restore your files. 
Contact me to make payment and make sure to attach yor identifier 
geekhax@amail.com
IDENTIFIER: *****
button [COPY]
button [RESTORE]

Перевод записки на русский язык:
ВАШ ФАЙЛ БЫЛ ЗАШИФРОВАН
Все ваши важные файлы были зашифрованы Ransomware
Вы должны заплатить 28 дол. за КЛЮЧ и возврат файлов. 
Контакт со мной для оплаты и приложите свой идентификатор
geekhax@amail.com
ИДЕНТИФИКАТОР: *****
Кн. [COPY]
Кн. [RESTORE]

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
FinalRansomware.exe
AppleFinal.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Karsten Hahn‏ 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Rijndael

Rijndael Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0,5 биткоина, чтобы вернуть файлы. Оригинальное название: Rijndael. Другое указано на файле: EncryptRansombyhumanpuff69. Разработчик: humanpuff69. Фальш-имя: BitcoinMiner. Фальш-копирайт: Microsoft 2016. Код разблокировки: 83KYG9NW-3K39V-2T3HJ-93F3Q-GT.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: DN Ransomware (Ransom by humanpuff69) > Rijndael

К зашифрованным файлам добавляется расширение .fucked

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает уже знакомый нам экран

Содержание записки о выкупе:
Your Computer files is encrypted all files is encrypted with extremely powerfull new RIDNDAEL encryption that no one can break except you have a private string and IVs
To Decrypt Your File You Should Pay Me 0.5 BTC (864.98 USD)
Contact Me : Riptours01@gmail.com
insert your code here:

Перевод записки на русский язык:
Ваши компьютерные файлы зашифрованы, все файлы зашифрованы с помощью очень мощного нового шифрования RIDNDAEL, которое никто не может взломать, кроме того, что у вас есть приватная строка и IVs
Для расшифровки файла вы должны заплатить мне 0,5 BTC (864,98 долларов США)
Контакт со мной: Riptours01@gmail.com
Вставьте свой код здесь:

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BitcoinMiner.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Riptours01@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
Инструкция прилагается.
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

GX40

GX40 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,07214 биткоинов, чтобы вернуть файлы. Оригинальное название: GX40. Другое указано на файле: Ransomeware. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .encrypted

Находится в разработке. Образец этого крипто-вымогателя обнаружен в начале апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записками с требованием выкупа выступают два экрана, где описаны требования вымогателя. 

Содержание записок о выкупе ("грамота оригинала"):
(1)
YOUR FILE HAS ENCRYPTE GX40
All of your important files has been encrypted by Ransomware
OPEN NOTICE
GX40 Ransomeware
Contact me to make payment and make sure to attach yor identifier
GX40@YAHOO.COM
IDENTIFIER: c12f6c75d1acd04225966711646a2d5d 
'COPY'
'RESTORE'

(2)
NOTICE 
by : GX40
All Your Personal Files Are Encrypted
All your data (photos, documents, and other files) have been encrypted with a private and unique key generated fot this computer. It means that yout will not be able to access your files anymore until they're decrypted. The private key is stored in our servers and the only way to receive your key to decrypt your files is making a payment.
The payment has to be done in Bitcoint to a unique address that we generated for you. Bitcoins are a virtual currency to make online payments. IF you don't know to get Bitcoins, you can google "HOW TO BUY BITCINS" and follow the instructions.
YOU ONLY HAVE 2 DAYS TO SUBMIT THE PAYMENT! When the provided time ends, the payment will increase to $80. Also, if you dont pay in 7 days, your unique key wil be destroyed and you wont be able to recover your files anymore.
To recover your files and unlock your computer, you mush send 0.07214 BTC or 80 USD, to the next Bitcoin address : 12EN79yZyZpEvfnQPHUqyhEtrWU4W3UrDn
WARNING!
DO NOT TRY GET RID OF THIS PROGRAM YOURSELF. ANY ACTION TAKEN WILL RESULT IN DECRYPTION KEY BEING DESTROYED. YOU WILL LOSE YOUR FILES FOREVER. ONLY WAY TO KEEP YOUR FILES IS TO FOLLOW THE INSTRUCTIONS. 

Перевод записок на русский язык:
(1)
ТВОЙ ФАЙЛ ЗАШИФРОВАН GX40
Все твои важные файлы зашифрованы Ransomware
ОТКРЫТЬ СООБЩЕНИЕ
GX40 Ransomeware
Контакт со мной для платежа и не забудь добавить свой идентификатор
GX40@YAHOO.COM
IDENTIFIER: c12f6c75d1acd04225966711646a2d5d 
'COPY'
'RESTORE'

(2) 
УВЕДОМЛЕНИЕ
от: GX40
Все ваши личные файлы зашифрованы
Все ваши данные (фото, документы и другие файлы) были зашифрованы с помощью открытого и уникального ключа, созданного на этом компьютере. Это означает, что вы больше не сможете получить доступ к своим файлам, пока они не будут расшифрованы. Закрытый ключ хранится на наших серверах и единственный способ получить ключ для расшифровки ваших файлов - сделать платеж.
Платеж должен быть выполнен в Bitcoint по уникальному адресу, который мы создали для вас. Биткоины - это виртуальная валюта для онлайн-платежей. Если вы не знаете, как получить биткоины, вы можете найти "HOW TO BUY BITCINS" и следуйте инструкциям.
У ВАС ЕСТЬ ТОЛЬКО 2 ДНЯ, ЧТОБЫ ЗАПЛАТИТЬ! Когда указанное время закончится, платеж будет увеличен до $80. Кроме того, если вы не заплатите за 7 дней, ваш уникальный ключ будет уничтожен, и вы больше не сможете восстановить свои файлы.
Чтобы восстановить файлы и разблокировать компьютер отправьте 0.07214 BTC или 80 USD на следующий биткойн-адрес:
12EN79yZyZpEvfnQPHUqyhEtrWU4W3UrDn
ПРЕДУПРЕЖДЕНИЕ!
НЕ ПЫТАЙТЕСЬ ОСВОБОДИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ. ЛЮБЫЕ ДЕЙСТВИЯ, ПРИНЯТЫЕ ДЛЯ ЭТОГО, ПРИВЕДУТ К УНИЧТОЖЕНИЮ КЛЮЧА ДЕШИФРОВАНИЯ. ВЫ ПОТЕРЯЕТЕ ВАШИ ФАЙЛЫ НАВСЕГДА. СОХРАНИТ ВАШИ ФАЙЛЫ ТОЛЬКО СЛЕДОВАНИЕ ИНСТРУКЦИЯМ.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифруются только файлы на рабочем столе. 
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, фотографии, музыка, видео, архивы и пр.

Файлы, связанные с этим Ransomware:
GX40 - PayPal Validator.exe
GX40.exe
GX40 - Ransomeware Builder.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://www.academyx40.com/
GX40@YAHOO.COM
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Обновление от 8 апреля 2017:
Крипто-строитель (крипто-конструктор) GX40
Пост в Твиттере >>
Файл: GX40 - Ransomeware Builder.exe
Расширение для файлов: .encrypted
Результаты анализов: VT
<< Скриншот



Обновление от 19 апреля 2017:
Версия: 2.1
Результаты анализов: VT

Обновление от 1 мая 2017:
Пост в Твиттере >>
Файл: System.exe
Фальш-копирайт: Microsoft
Сумма выкупа: 0.1 BTC
Email: ACADEMYX40@YAHOO.COM
Результаты анализов: VT


Степень распространённости: средняя.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as GX40)
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Michael Gillespie
 Jakub Kroustek
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Salsa

Salsa Ransomware

Salsa222 Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью XOR с чем-то ещё, а затем требует выкуп в $500 в BTC, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .salsa222

Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: READ TO UNLOCK FILES.salsa.<lang>.html
Где <lang>  — это идентификатор языка. 

Записки находятся в папке CLICK HERE TO UNLOCK YOUR FILES SALSA222, которая располагается в папках с зашифрованными файлами.

Весь список записок:
READ TO UNLOCK FILES.salsa.french.html
READ TO UNLOCK FILES.salsa.spanish.html
READ TO UNLOCK FILES.salsa.english.html
READ TO UNLOCK FILES.salsa.dutch.html
READ TO UNLOCK FILES.salsa.bosnian.html
READ TO UNLOCK FILES.salsa.portuguese.html
READ TO UNLOCK FILES.salsa.czech.html
READ TO UNLOCK FILES.salsa.serbian.html
READ TO UNLOCK FILES.salsa.danish.html
READ TO UNLOCK FILES.salsa.german.html
READ TO UNLOCK FILES.salsa.estonian.html
READ TO UNLOCK FILES.salsa.croatian.html
READ TO UNLOCK FILES.salsa.indonesian.html
READ TO UNLOCK FILES.salsa.icelandic.html
READ TO UNLOCK FILES.salsa.italian.html
READ TO UNLOCK FILES.salsa.latvian.html
READ TO UNLOCK FILES.salsa.lithuanian.html
READ TO UNLOCK FILES.salsa.hungarian.html
READ TO UNLOCK FILES.salsa.norwegian.html
READ TO UNLOCK FILES.salsa.polish.html
READ TO UNLOCK FILES.salsa.romanian.html
READ TO UNLOCK FILES.salsa.slovenian.html
READ TO UNLOCK FILES.salsa.slovak.html
READ TO UNLOCK FILES.salsa.serbian.html
READ TO UNLOCK FILES.salsa.finnish.html
READ TO UNLOCK FILES.salsa.swedish.html
READ TO UNLOCK FILES.salsa.turkish.html
READ TO UNLOCK FILES.salsa.vietnamese.html
READ TO UNLOCK FILES.salsa.greek.html
READ TO UNLOCK FILES.salsa.belarusian.html
READ TO UNLOCK FILES.salsa.bulgarian.html
READ TO UNLOCK FILES.salsa.russian.html
READ TO UNLOCK FILES.salsa.ukrainian.html
READ TO UNLOCK FILES.salsa.hebrew.html
READ TO UNLOCK FILES.salsa.arabic.html
READ TO UNLOCK FILES.salsa.thai.html
READ TO UNLOCK FILES.salsa.korean.html
READ TO UNLOCK FILES.salsa.schinese.html
READ TO UNLOCK FILES.salsa.tchinese.html
READ TO UNLOCK FILES.salsa.japanese.html

Таким образом, в информировании жертв используются 40 разных записок на следующих языках: French, Spanish, English, Dutch, Bosnian, Portuguese, Czech, Serbian, Danish, German, Estonian, Croatian, Indonesian, Icelandic, Italian, Latvian, Lithuanian, Hungarian, Norwegian, Polish, Romanian, Slovenian, Slovak, Serbian, Finnish, Swedish, Turkish, Vietnamese, Greek, Belarusian, Bulgarian, Russian, Ukrainian, Hebrew, Arabic, Thai, Korean, Simplified Chinese, Traditional Chinese, Japanese. 
Как можно заметить, среди них два китайских (упрощенный и традиционный). 

На рабочем столе также появляются обои (файл bg222salsa.jpg) с чёрным фоном и надписью:
SALSA 
PERSONAL FILES ENCRYPTED



 Скриншоты записки на английском языке

Содержание записки о выкупе:
YOUR PERSONAL FILES HAVE BEEN ENCRYPTED/DAMAGED (USB, NETWORK, STORAGE, ...)!
READ CAREFULLY IF YOU WANT YOUR FILES BACK!
IF YOU DO NOT PAY IN TIME, THE PRICE WILL DOUBLE. OR WORST, YOUR FILES WILL BE DELETED FOREVER!
Date (FILES WILL BE DELETED FOREVER): Thu Apr 6 21:14:41 2017 
Date (PRICE WILL DOUBLE): Mon Apr 3 21:14:41 2017 
Disable your Anti Virus now! If this program is deleted by your Anti Virus, you lose your files forever because it is impossible to decrypt your files!
PRICE: $500 in Bitcoins
We only accept bitcoins! Follow the steps below to decrypt your files:
1.Send exactly 0.465112 [BTC,BITCOINS] to this bitcoin address: 1AY2tmQff1PYNM78B5VJaB4U6g7sGBY42y
2.After you send the payment, wait a few minutes...your files will be automatically decrypted and repaired. Your computer/files will be back to normal.
You can also use this QR CODE to send payment
How to Send Bitcoins?
Step 1
Click one of the following links to Register a Bitcoin Wallet: Blockchain.info, CoinBase.com, StrongCoin.com
Step 2
Click one of the following links to Purchase Bitcoins: LocalBitcoins.com (CASH, WESTERN UNION, PAYPAL, ...), CoinATMRadar.com (CASH, ATM), CoinBase.com (BANK ACCOUNT, CREDIT CARD), CoinMama.com (CREDIT CARD, WESTERN UNION...)
Step 3
Send exactly 0.465112 [BTC,BITCOINS] to this bitcoin address: 1AY2tmQff1PYNM78B5VJaB4U6g7sGBY42y
Paid, and not seeing your files yet?
• Verify that you paid the correct amount
• Make sure your computer is connected to the internet
• Reconnect all infected drives/usb/devices to your computer
If nothing worked, restart your computer, disable your anti-virus and re-download the salsa decryptor from one of these links: 
Download Server 1, Download Server 2, Download Server 3, Download Server 4, Download Server 5 

Перевод записки на русский язык:
ВАШИ ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ / ПОВРЕЖДЕНЫ (USB, СЕТЬ, НАКОПИТЕЛИ, ...)!
ПРОЧИТАЙТЕ ВНИМАТЕЛЬНО, ЕСЛИ ВЫ ХОТИТЕ ВАШИ ФАЙЛЫ НАЗАД!
ЕСЛИ ВЫ НЕ ПЛАТИТЕ ВО ВРЕМЯ, ЦЕНА БУДЕТ ДВОЙНОЙ. ИЛИ ХУЖЕ, ВАШИ ФАЙЛЫ БУДУТ УДАЛЕНЫ НАВСЕГДА!
Срок (ФАЙЛЫ БУДУТ УДАЛЕНЫ НАВСЕГДА): Чт 6 апреля 21:14:41 2017
Срок (ЦЕНА БУДЕТ ДВОЙНОЙ): Пн. 3 апр. 21:14:41 2017
Отключите свой антивирус сейчас! Если эта программа будет удалена вашим Антивирусом, вы потеряете свои файлы навсегда, т.к. невозможно будет расшифровать ваши файлы!
ЦЕНА: $500 в биткойнах
Мы принимаем биткойны! Чтобы расшифровать файлы, выполните следующие действия:
1. Отправьте точно 0.465112 [BTC, BITCOINS] на этот биткойн-адрес: 1AY2tmQff1PYNM78B5VJaB4U6g7sGBY42y
2. После того, как вы отправите платеж, ждите несколько минут ... ваши файлы будут автоматически расшифрованы и восстановлены. Ваш компьютер / файлы вернутся к нормальной работе.
Вы также можете использовать этот QR-код для отправки платежа
Как отправить биткойны?
Шаг 1
Нажмите одну из следующих ссылок, чтобы зарегистрировать биткойн-кошелек: Blockchain.info, CoinBase.com, StrongCoin.com
Шаг 2
Щелкните одну из следующих ссылок для покупки биткойнов: LocalBitcoins.com (CASH, WESTERN UNION, PAYPAL, ...), CoinATMRadar.com (CASH, ATM), CoinBase.com (БАНКОВСКИЙ СЧЕТ, КРЕДИТНАЯ КАРТА), CoinMama.com ( КРЕДИТНАЯ КАРТОЧКА, WESTERN UNION...)
Шаг 3
Отправьте точно 0.465112 [BTC, BITCOINS] на этот биткойн-адрес: 1AY2tmQff1PYNM78B5VJaB4U6g7sGBY42y
Вы заплатили, но пока не видите свои файлы?
• Убедитесь, что вы заплатили правильную сумму
• Убедитесь, что ваш компьютер подключен к Интернету
• Подключите к компьютеру все зараженные диски / usb / устройства.
Если ничего не помогло, перезагрузите компьютер, отключите антивирус и повторно загрузите salsa decryptor из одной из этих ссылок:
Download Server 1, Download Server 2, Download Server 3, Download Server 4, Download Server 5 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Теневые копи файлов удаляются командами:
cmd.exe /C vssadmin.exe Delete Shadows /All /Quiet
vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Salsa222.exe
SalsaDownload.exe
SalsaDecryptor.exe
<random>.exe
bg222salsa.jpg - изображение для обоев рабочего стола
READ TO UNLOCK FILES.salsa.<lang>.html - 40 штук
папка CLICK HERE TO UNLOCK YOUR FILES SALSA222
папка LANGUAGE FILES
большой список записок на разных яхыках (см. выше). 

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://wikisend.com/download/772288/SalsaDownload.exe***
***xxxx://www.megafileupload.com/3sakC/SalsaDownload.exe***
***xxxx://s000.tinyupload.com/
***xxxx://www.yourfilelink.com/
***xxxxs://files.fm/u/vwvn7xc5
***xxxx://www.yourfilelink.com/get.php?fid=1340921
***api.blockcypher.com (52.21.132.24, США)
***hellothere1948.biz (86.110.118.184, Россия)
***hellothere1949.us
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>  Ещё >>
VirusTotal анализ >>  Ещё >>  Ещё >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Salsa)
 Video Review
 * 
 Thanks: 
 Michael Gillespie
 GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

AngryKite

AngryKite Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует позвонить по телефону 1-855-455-6800 (в США), чтобы вернуть файлы. Оригинальное название: angryKite_v3. Фальш-копирайт: Microsoft 2016. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: KRider > AngryKite 


К зашифрованным файлам добавляется расширение .NumberDot
Зашифрованные файлы переименовываются случайными именами. Файлы могут быть дешифрованы. 
Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки "Warning":

Содержание текста о выкупе:
WARNING: SYSTEM MAY HAVE FOUND
anonymous encryption on your computer. You would not be able to access the files on your computer
Your System May have Found (2) Malicious Viruses Rootkit.Encypt & Trojan.Spyware
Your Personal & Fincancial information MAY NOT BE SAFE
Your system has encryption ransomware
which may permanently encrypt your data
Please call immediately to avoid further damage
Toll free 1-855-545-6800
Your UID
17347841

Перевод текста на русский язык:
ПРЕДУПРЕЖДЕНИЕ: СИСТЕМА ОБНАРУЖИЛА
анонимное шифрование на вашем компьютере. Вы не сможете открывать файлы на своем компьютере
Ваша система обнаружила (2) вредоносных вируса Rootkit.Encypt & Trojan.Spyware
Ваша личная и финансовая информация В ОПАСНОСТИ
Ваша система зашифрована ransomware
способный навсегда зашифровать ваши данные
Позвоните срочно, во избежание дальнейшего ущерба
Бесплатный звонок 1-855-545-6800
Your UID
17347841

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .c, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .html, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .log, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd,.png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sln, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .txt, .vcf, .vob, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (166 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
angryKite_v3.exe
KRider.exe
StatLevel.exe

Расположения: 
AppData\Roaming\QKYS\angryKite_v3.exe
AppData\Roaming\QKYS\KRider.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\adr
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://ourdareshare.club/***
***xxxx://databaseosfixissue7823.online/***
***xxxx://www.top5z.com/***
***xxxx://technobend.com/***
***xxxx://www.coastalenvironment.org/***
166.62.10.143:80 (США)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Thyrex
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *