Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

вторник, 27 июня 2017 г.

Shifr RaaS, Gojdue

Shifr RaaS Ransomware

Gojdue, ShurL0ckr, Cypher

(шифровальщик-вымогатель, RaaS)

Этот крипто-вымогатель распространяется как RaaS и шифрует данные пользователей с помощью AES, а затем требует выкуп от 0.01 до 1 BTC, чтобы вернуть файлы. Оригинальное название: Simple ransomware. Написан на языке Go.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Windows_Security (WS Go) > Shifr RaaS (Gojdue, ShurL0ckr, Cypher)

К зашифрованным файлам добавляется расширение .shifr
Ранняя активность этого крипто-вымогателя пришлась на конец июня 2017 г. Потом продолжилась в связи с распространением вымогателя как RaaS. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_DECRYPT_FILES.html

Содержание записки о выкупе:
Your files have been encrypted.
To decrypt your files, follow instructions here.

Перевод записки на русский язык:
Ваши файлы были зашифрованы.
Для дешифровки файлов следуйте инструкциям.

Сообщение на форуме:
Simple ransomware - no reg, 10% commision
This is ransomware. Once launched on the computer it will encrypt files and demand ransom. Other features of the service:
- No registration required.
- Ransom from 0.01 BTC to 1 BTC.
- Automatic payouts.

Страница после включения VPN

Та же страница из кэша поисковой системы

Технические детали

Распространяется как RaaS на форумах Даркнета. После попадания в другие руки может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.accdb, .arw, .bay, .cdr .cr2, .crw, .csv, .dcr, .dng, .doc, .docx, .dwg, .dxf, .erf, .jpeg, .jpg, .kdc, .mef, .mrw, .nef, .nrw, .orf, .pdf, .pef, .png, .ppt, .pptx, .psd, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .svg, .tiff, .txt, .xls, .xlsx (42 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, и пр. файлы.

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_FILES.html
<random>.exe
decrypter.exe
encryption_key
lock_file
uuid_file

Расположения:
\AppData\Roaming\uuid_file
\AppData\Roaming\lock_file
\AppData\Roaming\encryption_key
\Desktop\HOW_TO_DECRYPT_FILES.html

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://sinister.ly/Thread-RAAS-Simple-ransomware-no-reg-10-commision
xxxx://v5t5z6a55ksmt3oh.onion.to/decrypt/f2f6d2aa-06e0-43f9-9ebd-853af768e29e
xxxx://v5t5z6a55ksmt3oh.onion.to/new_c/
xxxx://v5t5z6a55ksmt3oh.onion.to/
xxxx://v5t5z6a55ksmt3oh.onion/
***download.windowsupdate.com
Email: simple_ransomware@xmpp.jp
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> Ещё >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7-8 февраля и видеообзор от 20 февраля:
🎥 Видеообзор от CyberSecurity GrujaRS >>
Посты в Твиттере: MalwareHunterTeam‏ + GrujaRS
Новые названия: ShurL0ckr Ransomware и Cypher Ransomware
Новое расширение: .cypher
Файл: encryption_key
Расположение: %APPDATA%\encryption_key
Ориентация на Windows x64.
Список целевых расширений: .arw, .bay, .cdr, .cr2, .crw, .csv, .dcr, .dng, .doc, .dwg, .dxf, .erf, .jpg, .kdc, .mef, .mrw, .nef, .nrw, .orf, .pdf, .pef, .png, .ppt, .psd, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .sr2, .srf, .srw, .svg, .txt, .xls (37 расширений).
➤ ShurL0ckr обходит механизмы обнаружения облачных платформ. Инфицированные ShurL0ckr-ом файлы пропускаются антивирусной защитой, загружаются в облако, а затем распространяются на другие компьютеры.
➤ ShurL0ckr продаётся RaaS другим преступникам, получающим комиссию от каждого выкупа. Сумма выкупа на местах: от 0.01 BTC до 1 BTC
➤ Исследователи провели анализ и выяснили, что у четырех популярных приложений, глобально представляющих технологию облачного харанения - OneDrive, Google Drive, Box и Dropbox - был самый высокий уровень заражения.
- Microsoft OneDrive- 55%;
- Google Drive - 43%;
- Dropbox и Box - по 33%.
👉 Отсюда можно сделать выводы, что облачные приложения становятся всё более привлекательным механизмом распространения вредоносного ПО, а большинство провайдеров облачных хранилищ не обеспечивают защиту от вредоносных программ и угроз нулевого дня. Стоит ли им доверять? Выбор за вами.
Результаты анализов: HA + VT + HA + VT + HA + VT
Новая статья от McAfee >> (добавлена 16 февраля)
URL: kdvm5fd6tn6jsbwh.onion.to (185.100.85.150:443 Румыния)---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Shifr)
 Write-up, Topic of Support
 🎥 Video review by CyberSecurity GrujaRS >>

 Thanks: 
 BleepingComputer, Catalin Cimpanu
 Michael Gillespie
 MalwareHunterTeam
 CyberSecurity GrujaRS

ViACrypt

ViACrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-1024, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название написано на файле: crawl. Среда разработки: Visual Studio 2015

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .via

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Сайт вымогателей относится к доменной зоне Латвии.

Записка с требованием выкупа называется: your system has been encrypted! please read further instruction!.txt

Содержание записки о выкупе:
Your system files has been encrypted and only way to recover them is by purchasing unlocking key.
Steps to gain access for files:
1) Please follow this page: xxxx://sigmalab.lv/other/crypt/payment_request.php
2) Upload your public encryption key
3) Download decryption key
4) Drag and drop key on crawl.exe
5) Wait for files to be unlocked in background

Перевод записки на русский язык:
Ваши системные файлы зашифрованы и способ их восстановления - только покупка ключа разблокировки.
Получить доступ к файлам:
1) Проследуйте на эту страницу: xxxx://sigmalab.lv/other/crypt/payment_request.php
2) Загрузите открытый ключ шифрования
3) Скачать ключ дешифрования
4) Перетащите ключ на crawl.exe
5) Подождать, пока файлы разблокируются в фоновом режиме

Сайт вымогателей

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
crawl.exe
your system has been encrypted! please read further instruction!.txt
your_encryption_public_key.rkf

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://sigmalab.lv/other/crypt/***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as ViACrypt)
 Write-up, Topic of Support
 *

 Thanks: 
 Michael Gillespie
 *
 *
 *

Bubble

Bubble Ransomware

Preventivo Ransomware

CryptoBubble Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью DES и 8-ю случайными байтами, а затем требует связаться по email, чтобы вернуть файлы. Оригинальное название: Preventivo. На файле написано: preventivo.pdf. Среда разработки: Visual Studio 2015. Фальш-вендор: Termoidraulica Pasotti.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .bubble
Оригинальное имя файла не меняется.

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа выступает диалоговое окно с заголовком preventivo.pdf.

Содержание записки о выкупе:
Hello, I am Bob, do you remember the game? Unfortunately, the world has changed and I have changed too: once spit bubbles, today i encode your file! :)
Well, if you want to recover your files, please contact us at 'br5wf@notsharingmy.info' and we will find a solution and will promptly send you the unlock key to retrieve all your files... Good Lucky

Перевод записки на русский язык:
Привет, я Боб, ты помнишь игру? Увы, мир изменился, и я тоже изменился: когда лопнут пузыри, сегодня я закодирую ваш файл! :)
Ну, если вы хотите восстановить свои файлы, свяжитесь с нами на br5wf@notsharingmy.info, и мы найдем решение и сразу отправим вам ключ разблокировки, чтобы вернуть все ваши файлы ... Удачи

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Проверяет наличие 64-разрядной системы.

Удалив исходный файл, выполняет для освободившегося места на диске заполнение следующим содержимым:
bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble...
bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble...
bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble... bubble bobble...

Список файловых расширений, подвергающихся шифрованию:
.3gp, .ac3, .accdb, .accdt, .avi, .bmp, .cdr, .csv, .DivX, .doc, .docm, .docx, .dwg, .jpeg, .jpg, .mid, .mov, .mp3, .mp4, .mpeg, .mpg, .odb, .odf, .odg, .odp, .ods, .odt, .ogg, .ogv, .otg, .otp, .ott, .pdf, .png, .rar, .tiff, .txt, .wav, .xls, .xlsm, .xlsx, .zip (42 расширения).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
preventivo.pdf.exe

Записи реестра, связанные с этим Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[preventivo.pdf] = %path%\preventivo.pdf.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: br5wf@notsharingmy.info
Пересылка данных: от bubble.lck@gmail.com к bubble_lck@hmamail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Bubble)
 Write-up, Topic of Support
 *

 Thanks: 
 Gianfranco Tonello 
 Michael Gillespie
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

Karo

Karo Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Karo. На файле написано: karo.exe.

© Генеалогия: EDA2 >> Karo

К зашифрованным файлам добавляется расширение .ipygh
Сами файлы не переименовываются.

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadMe.html

Содержание записки о выкупе:
YOU HAVE BEEN INFECTED WITH RANSOMWARE
What has happened?
You have been infected with ransomware. All of your files have been encrypted. Which means, you wont be able to open them or view them properly. It does NOT mean they are damaged.
Solution
You will need to decrypt the files, and only we can decrypt your files. So you need to pay us money if you want your files back. Once payment is made, you will be given a special file to run, and once you run that file, everything will get back to normal. All of your files will be unlocked and this ransomware will get removed from your PC.
Payment procedure
Download a special browser called "TOR browser" and then open the given below link. Steps for the same are -
1. Go to https://wwv.torproject.org/download/download-easy.html.en to download the "TOR Browser".
2. Click the purple button which says "Download TOR Browser"
3. Run the downloaded file, and install it.
4. Once installation is completed, run the TOR browser by clicking the icon on Desktop.
5. Now click "Connect button", wait a few seconds, and the TOR browser will open.
6. Copy and paste the below link in the address bar of the TOR browser.
DATAYYYY
Now HIT "Enter"'
7. Wait a few seconds, and site will open
If you have problems dining installation or use of Tor Browser, please, visit Youtube and search for "Install Tor Browser Windows" and you will find a lot of videos.
Pay before its loo late

Перевод записки на русский язык:
ВЫ БЫЛИ ИНФИЦИРОВАНЫ RANSOMWARE
Что произошло?
Вы инфицированы вымогателем. Все ваши файлы зашифрованы. Это значит, что вы не сможете их открыть или просмотреть. Это НЕ означает, что они повреждены.
Решение
Вам нужно расшифровать файлы, и только мы сможем расшифровать ваши файлы. Поэтому вам нужно заплатить нам деньги, если вы хотите вернуть свои файлы. После проведения платежа вам будет предоставлен специальный файл для запуска, и после запуска этого файла всё вернется к норме. Все ваши файлы будут разблокированы, а этот вымогатель будет удален с вашего ПК.
Порядок оплаты
Загрузите специальный браузер TOR-браузер, а затем откройте приведенную ниже ссылку. Шаги для этого -
1. Перейдите на страницу https://www.torproject.org/download/download-easy.html.en, чтобы загрузить TOR-браузер.
2. Нажмите фиолетовую кнопку, в которой говорится: "Загрузите TOR-браузер",
3. Запустите загруженный файл и установите его.
4. После завершения установки запустите TOR-браузер, щелкнув значок на рабочем столе.
5. Теперь нажмите кнопку "Подключить", подождите несколько секунд и TOR-браузер откроется.
6. Скопируйте и вставьте приведённую ниже ссылку в адресную строку TOR-браузера.
DATAYYYY
Теперь HIT "Enter"
7. Подождите несколько секунд и сайт откроется
Если у вас возникли проблемы с установкой или использованием TOR-браузера, посетите Youtube и найдите "Install Tor Browser Windows", и вы найдете много видео.
Оплатить это позднее

Изображение с Tor-сайта

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
karo.exe
svchost.exe
ReadMe.html
wall.png

Расположения:
%APPDATA%\aes

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://ibvmcu4eayyxjc4j.onion/***
xxxx://ibvmcu4eayyxjc4j.onion/control.php?uid=
xxxx://ibvmcu4eayyxjc4j.onion/controller.php?uid=
xxxx://ibvmcu4eayyxjc4j.onion/total.php?uid=
xxxx://ibvmcu4eayyxjc4j.onion/wall.png
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Karo)
 Write-up, Topic of Support
 *

 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 *
 *

понедельник, 26 июня 2017 г.

DarkKomet

DarkKomet Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название. На файле написано: MSRSAAPP.

© Генеалогия: HiddenTear >> DarkKomet

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_ME.txt
***

Другим информатором жертвы является изображение для обоев рабочего стола, загружаемое с сайта picofile.com (на персидском языке).

Содержание записки о выкупе:
Ooops! Your files have been encrypted!!!

Перевод записки на русский язык:
Упс! Ваши файлы были зашифрованы!!!

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Имеет функционал RAT (Remote Administration Tool), хотя подаётся как Remote Service Application.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MSRSAAP.EXE
READ_ME.txt

Расположения:
\Desktop\READ_ME.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://s9.picofile.com/file/8298574100/virus.jpg
xxxx://myserverformoney.000webhostapp.com/myserverformoney/Ransom.php?info=
Email: alihacker8001@gmail.com
BTC: 1Q5VprvKoBmPBncC7yZLURkcQ7FG9xnMKv
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 *

 Thanks: 
 Karsten Hahn
 *
 *
 *

пятница, 23 июня 2017 г.

Kryptonite Snake

Kryptonite Snake Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей возможно с помощью AES/RSA, а затем требует выкуп в $500 BTC, чтобы вернуть файлы. Оригинальное название: Kryptonite. На файле написано: snake-game.

Образец этого крипто-вымогателя был найден в конце июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Ransom Note.txt
Обнаружено три разных варианта записки, различие в некоторых деталях.

Содержание записки о выкупе:
1)
Kryptonite RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public - key stored on your PC.
There is only one way to restore your files : Contact with us, Pay 500$ and get your files back.
To Do that you must have a connection to the internet and disable your firewall.
Run getMyId.exe to get your ID, then go to xxxx://adsgoogle.eastus2.cloudapp.azure.com:27030/
This is a secured web-site for monetary transactions.
After a successful transaction, disable your Anti-Virus and Firewall and run decryptMyFiles.exe as administrator.
2)
Kryptonite RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public - key stored on your PC.
There is only one way to restore your files : Contact with us, Pay 500$ and get your files back.
To pay us go to http://adsgoogle.eastus2.cloudapp.azure.com:27030/
This is a secured web-site for monetary transactions.
In order to make the transactions you will need the below ID.
After a successful transaction, disable your Anti-Virus and Firewall and run decryptMyFiles.exe as administrator.
You can download the Decryptor from xxxxs://s3.amazonaws.com/adsgoogle/Decrypt/decryptor.exe
Your ID: ***
3)
Kryptonite RANSOMWARE
All your important files are encrypted
Your files has been encrypted using RSA2048 algorithm with unique public - key stored on your PC.
There is only one way to restore your files : Contact with us, Pay 500$ and get your files back.
To pay us go to http://adsgoogle.eastus2.cloudapp.azure.com:27030/
This is a secured web-site for monetary transactions.
In order to make the transactions you will need the below ID.
After a successful transaction, disable your Anti-Virus and Firewall and run decryptMyFiles.exe as administrator.
Your ID:

Перевод записки на русский язык:
1)
Kryptonite RANSOMWARE
Все ваши важные файлы зашифрованы
Ваши файлы были зашифрованы с алгоритмом RSA2048 с уникальным открытым ключом, хранящимся на вашем ПК. Существует только один способ восстановить ваши файлы: Свяжитесь с нами, заплатите 500$ и верните свои файлы.
Для этого вам надо подключиться к Интернету и отключить брандмауэр.
Запустите getMyId.exe чтобы получить свой ID, затем перейдите на xxxx://adsgoogle.eastus2.cloudapp.azure.com:27030/
Это защищенный веб-сайт для денежных операций.
После успешной транзакции отключите Антивирус и брандмауэр и запустите decryptMyFiles.exe как администратор.

Другим информатором жертвы выступает скринлок, встающий обоями рабочего стола.

Содержание текста о выкупе с обоев:
ATTENTION
All your files, images, vidoes and databases have been encrypted with an RSA-2048 private and unique key generated for this computer stored on a secret server.
Original files have been over written, recovery tools will not help.
Don't worry!! We could help you restore your files but it will cost you 500$
Follow the instructions on 'Ransome Note.txt' file on your desktop.
After payment is confirmed, use the Decryptor program to restore yor files.
If you care about your files, DO NOT TRY TO GET RID OF THIS PROGRAM!!
Any actions to do so will result in decryption key being destroyed, and you will loose your files forever!

Перевод текста с обоев на русский язык:
ВНИМАНИЕ
Все ваши файлы, изображения, видео и базы данных зашифрованы с закрытым и уникальным ключом RSA-2048, созданного для этого компьютера, сохранённого на секретном сервере.
Исходные файлы уже перезаписаны, инструменты восстановления не помогут.
Не волнуйся! Мы можем помочь вам восстановить ваши файлы, но это будет стоить вам 500$
Следуйте инструкциям в файле 'Ransome Note.txt' на рабочем столе.
После подтверждения оплаты используйте программу Decryptor для восстановления ваших файлов.
Если вы заботитесь о своих файлах, НЕ ПЫТАЙТЕСЬ ИЗБАВИТЬСЯ ОТ ЭТОЙ ПРОГРАММЫ!
Любые действия для этого приведут к уничтожению ключа дешифрования, а вы потеряете свои файлы навсегда!

Пока недоработан и находится в разработке, но после релиза может начать распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует игру Snake, чтобы проникнуть на ПК и зашифровать файлы. В эту фейк-игру можно даже играть, а ход шифрования можно видеть в окне командной строки.

Данные для оплаты выкупа предлагается ввести на специальной странице.

Страница для оплаты выкупа

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
cad.exe - файл вымогателя
snake-game.exe - файл вымогателя
getMyId.exe - файл для получения ID
decryptor.exe - декриптор
decryptMyFiles.exe - декриптор
Ransom Note.txt - записка о выкупе
1.jpeg - изображение на обои

Расположения:
\Desktop\Ransom Note.txt
%APPDATA%\1.jpeg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://adsgoogle.eastus2.cloudapp.azure.com:27030/*** - страница для оплаты выкупа
***xxxxs://s3.amazonaws.com/adsgoogle/Decrypt/decryptor.exe***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 *

 Thanks: 
 Leo
 Lawrence Abrams
 *
 *

EyLamo

EyLamo Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

© Генеалогия: HiddenTear >> EyLamo

К зашифрованным файлам добавляется расширение .lamo

Активность этого крипто-вымогателя пришлась на конец июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ_IT.txt

Содержание записки о выкупе:
This computer has been hacked
Your personal files have been ecrypted. Send me BTC or kebab to get decryption passcode.
After that, you'll be able to see your beloved files again.
With love... EyLamo : ')
Bitcoin: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Перевод записки на русский язык:
Этот компьютер взломан
Ваши личные файлы зашифрованы. Пошлите мне BTC или кебаб, чтобы получить код доступа к расшифровке.
После этого вы сможете снова увидеть свои любимые файлы.
С любовью ... EyLamo : ')
Биткоин: 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

Другим информатором жертвы выступает изображение, догружаемое онлайн.

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
EyLamo.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://www.eylamo.ct8.pl/write.php***
xxxx://i.imgur.com/HHK0Htq.png***
xxxx://www.eylamo.ct8.pl/***
151.101.36.193:80
136.243.156.120:80
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 *

 Thanks: 
 VistaFan12‏
 Lawrence Abrams
 *
 *

Шифровальщики-вымогатели The Digest "Crypto-Ransomware"

вторник, 27 июня 2017 г.

Shifr RaaS, Gojdue

Shifr RaaS Ransomware

Gojdue, ShurL0ckr, Cypher

(шифровальщик-вымогатель, RaaS)

ViACrypt

ViACrypt Ransomware

(шифровальщик-вымогатель)

Bubble

Bubble Ransomware

Preventivo Ransomware

CryptoBubble Ransomware

(шифровальщик-вымогатель)

Karo

Karo Ransomware

(шифровальщик-вымогатель)

понедельник, 26 июня 2017 г.

DarkKomet

DarkKomet Ransomware

(шифровальщик-вымогатель)

пятница, 23 июня 2017 г.

Kryptonite Snake

Kryptonite Snake Ransomware

(шифровальщик-вымогатель)

EyLamo

EyLamo Ransomware

(шифровальщик-вымогатель)

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

вторник, 27 июня 2017 г.

Shifr RaaS Ransomware

Gojdue, ShurL0ckr, Cypher

(шифровальщик-вымогатель, RaaS)

ViACrypt Ransomware

(шифровальщик-вымогатель)

Bubble Ransomware

Preventivo Ransomware

CryptoBubble Ransomware

(шифровальщик-вымогатель)

Karo Ransomware

(шифровальщик-вымогатель)

понедельник, 26 июня 2017 г.

DarkKomet Ransomware

(шифровальщик-вымогатель)

пятница, 23 июня 2017 г.

Kryptonite Snake Ransomware

(шифровальщик-вымогатель)

EyLamo Ransomware

(шифровальщик-вымогатель)

Постоянные читатели

My tweet feed

My profile on BC

Форма для связи / Contact

вторник, 27 июня 2017 г.

понедельник, 26 июня 2017 г.

пятница, 23 июня 2017 г.