InsaneCrypt

InsaneCrypt Ransomware

desuCrypt, DeusCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью RC4 + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. Название проекта: desuCrypt.pdb. Среда разработки: Visual Studio 2008. Статус: Файлы можно дешифровать!

© Генеалогия: desuCrypt (пробная версия) > InsaneCrypt

К зашифрованным файлам добавляется расширение .insane
Фактически используется составное расширение .[insane@airmail.cc].insane

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How_decrypt_files.txt

Содержание записки о выкупе:
Hello!
If you want restore your files write on email - insane@airmail.cc

Перевод записки на русский язык:
Привет!
Если хотите вернуть свои файлы, пишите на email - insane@airmail.cc

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Используется встроенный открытый ключ RSA-2048 для шифрования ключа для каждого файла.

Выполняет деструктивные команды:
cmd.exe / c vssadmin delete shadows / all / quiet & wmic shadowcopy delete & bcdedit / set{ default } bootstatuspolicy ignoreallfailures & bcdedit / set{ default } recoveryenabled no & wbadmin delete catalog - quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_decrypt_files.txt
desuCrypt.exe

Расположения:
%APPDATA%\How_decrypt_files.txt
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: insane@airmail.cc
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ на вариант DeusCrypt >>
VirusTotal анализ на вариант InsaneCrypt >>
Intezer анализ на вариант InsaneCrypt >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Предыстория:
В декабре 2017 года был ранний проект desuCrypt.
Оригинальное название: desuCrypt или DeusCrypt:
Расширения: .DEUSCRYPT и .deuscrypt
Составное расширение: .[rememberggg@tutanota.com].DEUSCRYPT
Email: rememberggg@tutanota.com
Записка: note.txt
Содержание записки: 
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail rememberggg@tutanota.com.You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
2b1be0***
Результаты анализов: HA + VT

Обновление от 12 февраля 2018:
Пост в Твиттере >>
Расширение: .Tornado
Составное расширение: .[<email>].Tornado
Записка: key.txt
Email-1: helpcrypt@airmail.cc, supphelp@cock.li
Email-2: dongeswas@tutanota.com, dongeswas@cock.li
Содержание записки:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: helpcrypt@airmail.cc.You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.In case of no answer in 48 hours write us to theese e-mails: supphelp@cock.li
[KEY *** 512 hex]
---
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: dongeswas@tutanota.com.You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.In case of no answer in 48 hours write us to theese e-mails: dongeswas@cock.li
[KEY *** 512 hex]
Результаты анализов: HA + VT
Статус: Дешифруется!


Обновление от 15 февраля 2018:
Пост в Твиттере >>
Расширение: .twist
Составное расширение: .[<email>].twist
Email: twist@airmail.cc
Содержание записки / Contents of note: 

Статус: Дешифруется!


Обновление от 24 февраля 2018:
Расширение: .Tornado
Составное расширение: .[aidcompany@tutanota.com].Tornado
Email: aidcompany@tutanota.com
Целевая система: x64
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптер
Скачать InsaneCryptDecrypter для дешифровки >> *
Поддерживаемые расширения:
.[<email>].insane
.[<email>].DEUSCRYPT
.[<email>].deuscrypt
.[<email>].Tornado
.[<email>].twist
*

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as InsaneCrypt)
 Write-up, Topic of Support
  🎥 Video review + Tweet

 This video review provided by CyberSecurity GrujaRS

Added later: 
Write-up (added on January 22, 2018)
Topic of Support

 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov
 GrujaRS
 Lawrence Abrams
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

KillBot_Virus

KillBot_Virus Ransomware
KillBot.Prime Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик)

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: KillBot Virus с вариациями. На exe-файле в данный момент написано: KILLBOT.PRIME.exe

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: KillBot_Virus > KillBot.Prime

К незашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на середину января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
Пока имеет недоработанный функционал и ничего не шифрует, только пугает.  

Запиской с требованием выкупа выступает следующий скриншот, вероятно, экран блокировки или его часть.

Содержание записки о выкупе:
Oops your important data was encrypted with an AES encryption algorithm!!
<Killbot Virus>
If you see this banner then all of your important files have been encrypted and the executable format files were infected
What is this?
Killbot is a virus that encrypts files and data and infects them
As you became it's victim please make sure to read all the info below.
WARNING!: THIS IS NOT SOME JOKES EVERYTHING IS REAL!
ALSO DO NOT TRY TO CLOSE OR EVEN DELETE THE SOFTWARE IF YOU DO YOUR PC WILL BE DESTROYED!
Your files cannot be restored, however there are some steps to follow if you donft want it on your computer.
Step 1: Please get a windows reinstallation CD and reinstall windows on your computer.
Step 2: Get a powerful antivirus software and update it to the latest version.
Please do everything as it was written if you want to get your PC back
</Killbot Virus>

Перевод записки на русский язык:
Увы, ваши важные данные зашифрованы с алгоритмом шифрования AES!
<Killbot Virus>
Если вы видите этот баннер, то все ваши важные файлы зашифрованы, а исполняемые файлы заражены
Что это?
Killbot - это вирус, который шифрует файлы и данные и заражает их
Раз вы стали жертвой, обязательно прочитайте всю информацию ниже.
ПРЕДУПРЕЖДЕНИЕ!: ЭТО НЕ ШУТКА, ВСЕ РЕАЛЬНО!
ТАКЖЕ НЕ ПЫТАЙТЕСЬ ЗАКРЫТЬ ИЛИ ЖЕ УДАЛИТЬ ПРОГРАММУ, ЕСЛИ ВЫ ЭТО СДЕЛАЕТЕ, ТО ВАШ ПК ПОСТРАДАЕТ!
Ваши файлы не могут быть восстановлены, но можно предпринять некоторые шаги, если вы не хотите этого на своем компьютере.
Шаг 1. Загрузите CD с Windows и переустановите Windows на своем компьютере.
Шаг 2. Получите мощную антивирусную программу и обновите её до последней версии.
Пожалуйста, сделайте все, как было написано, если вы хотите вернуть свой компьютер
</Killbot Virus>

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KILLBOT.PRIME.exe
<image>

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓥ VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BigEyes

BigEyes Ransomware

LimeDecryptor Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $100 в BTC, чтобы вернуть файлы. Оригинальное название: Hsociety и BigEyes. На файле проекта написано: BigEyes.pdb.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Lime

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком #Lime Decryptor:

Информатором жертвы также выступает изображение, встающее обои Рабочего стола.  

Содержание записки о выкупе:
All your files have been encrypted
But You can still recover your files
Just send us 100$ Bitcoin, And we will give you your files back
After you pay us, send us email r3vo@protonmail.com
include your transaction number
This is Ransomware, It's not a joke
Thanks
Bye

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Но вы можете вернуть свои файлы
Просто отправьте нам 100$ в биткоинах, и мы вернем вам ваши файлы
После того, как вы заплатите нам, пришлите нам email на r3vo@protonmail.com
укажите номер транзакции
Это Ransomware, это не шутка
Спасибо
Пока

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crypt.exe
#BackGround.png
#Decryptor.exe
BigEyes.exe
leamon.exe
\hash\ - скрытая папка с AES-ключом

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\Microsoft\hash
\Desktop\#BackGround.png
\Desktop\#Decryptor.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: r3vo@protonmail.com
BTC: 1PNh6dmaUtv96C7ezTdUqVvfWBUYuCBbUM
www.youtube.com/watch?v=Ji9IwPId5Uk
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ на Crypt.exe >>
VirusTotal анализ на BigEyes.exe >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo, SDK
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Velso

Velso Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Velso. На файле написано, что попало.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .velso

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: get_my_files.txt

Содержание записки о выкупе:
Hello. If you want to return files, write me to e-mail MerlinVelso@protonmail.com
Your userkey: obxIwowrpiP2AU13qwlHXj7wDvOFIBL4NlGRd/6r0IlZudy0QbygCw==

Перевод записки на русский язык:
Привет. Если хотите вернуть файлы, пишите мне на email MerlinVelso@protonmail.com
Ваш ключ: obxIwowrpiP2AU13qwlHXj7wDvOFIBL4NlGRd/6r0IlZudy0QbygCw==

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Идентификатор ключа и жертвы генерируется CryptGenRandom (), используя AES-256 OpenSSL в режиме ECB.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
get_my_files.txt
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: MerlinVelso@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 февраля 2018:
Пост в Твиттере >>
Расширение: .david
Email: davidfreemon2@aol.com
Записка: get_my_files.txt
Содержание записки:
*** ALL YOUR WORK AND PERSONAL FILES HAVE BEEN ENCRYPTED ***
To decrypt your files you need to buy the special software
You can find out the details / buy decryptor + key / ask questions by contact for communication (email): davidfreemon2@aol.com
Your userkey: *****
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Demonslay335 >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Demonslay335 >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Velso)
 Write-up, Topic of Support
 * 

Added later:
Write-up on BC (added January 26, 2018)
*

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KillDisk-Dimens

KillDisk-Dimens Ransomware

(фейк-шифровальщик, деструктор)

Этот крипто-вымогатель не шифрует данные на дисках пользователей и даже пока не требует выкуп, чтобы вернуть файлы. Файлы перезаписываются нулями и удаляются. Оригинальное название: не указано. 

© Генеалогия: KillDisk >> KillDisk-Dimens

К фейк-зашифрованным файлам никакое расширение не добавляется. Файлы затираются нулевыми байтами. 

Активность этого крипто-вымогателя пришлась на вторую половину января 2018 г. Ориентирован на финансовые организации латиноамериканских стран, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: отсутствует.
Также не выдвигается никаких требований о выкупе. Возможно, требования будут выдвинуты позже, когда причинённый ущерб станет масштабнее. 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

По мнению исследователей из TrendMicro, вредонос KillDisk-Dimens, попав на компьютер, загрузится в память, удалит файлы с диска и переименует себя. Затем он перезапишет первые 20 секторов MBR каждого запоминающего устройства с 0x00 байтами.

После этого он перепишет первые 2800 байт каждого файла с теми же 0x00 байтами на каждом фиксированном и съемном накопителе. Единственными оставленными файлами являются файлы и папки, найденные в следующих каталогах Windows:
WINNT
Users
Windows
Program Files
Program Files (x86)
ProgramData
Recovery (case-sensitive check)
$Recycle.Bin
System Volume Information
old
PerfLogs

Таким образом содержимое файлов сначала перезаписывается нулевыми байтами, фактически — затирается, а потом файлы удаляются. 

Потом KillDisk запускает таймер на 15 минут, а затем завершает следующие процессы: 
Client/server run-time subsystem (csrss.exe)
Windows Start-Up Application (wininit.exe)
Windows Logon Application (winlogon.exe)
Local Security Authority Subsystem Service (lsass.exe)


Т.к. это критические процессы ОС, то компьютер либо войдет в BSOD, либо будет принудительно перезагружен без опции пользователя.

Специалисты TrendMicro нарисовали схему работы этой версии вредоноса.

Список файловых расширений, подвергающихся шифрованию:
файлы не шифруются, а перезаписываются нулями и потом удаляются.

Файлы, связанные с этим Ransomware:
dimens.exe
<random>.exe

Расположения:
C:\Windows\dimens.exe
C:\Windows\0123456789
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Write-up, Topic of Support
 * 

 Thanks: 
 TrendMicro
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

MoneroPay, SpriteCoin

MoneroPay Ransomware
SpriteCoin Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью Salsa20, а затем требует выкуп в 0.3 Monero, чтобы вернуть файлы. Оригинальное название: MoneroPay. На файле написано: MoneroPayAgent.exe и spritecoind.exe. Статус: Файлы можно дешифровать!

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .encrypted

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста о выкупе:
Your files are encrypted
If you close this window, you can always restart and it should appear again.
All your files have been encrypted by us. This means you will be unable to access or use them. In order to retrieve them, you must send 0.3 monero (about $120 USD) to:
46FXmRvyffu59N***
Make sure you include your payment ID:
Use CTRL +C to copy both
IF YOU DO NOT INCLUDE YOUR PAYMENT ID, YOUR FILES CANNOT BE DECRYPTED. Do not waste your time — only we can decrypt your files.
If you have paid, click on the DECRYPT button to return your files to normal. Don't worry, we'll give you your files back if you pay.
[DECRYPT]
FAQ
• What is monero?
   Monero is a cryptocurrency, like bitcoin.
• How do I get monero?
   You can buy monero in many of the same places you can get bitcoin. [More info]
• What happens if I don't pay?
***

Перевод текста на русский язык:
Ваши файлы зашифрованы
Если вы закроете это окно, то всегда сможете перезапустить его, и он должен появиться снова.
Все ваши файлы были зашифрованы нами. Это значит, что вы не сможете получить к ним доступ или использовать их. Чтобы получить их, вы должны отправить 0.3 monero (около 120$ США) на:
46FXmRvyffu59N ***
Убедитесь, что вы указали свой идентификатор платежа:
Используйте CTRL + C, чтобы скопировать оба
ЕСЛИ ВЫ НЕ ВКЛЮЧИТЕ ВАШ PAYMENT ID, ВАШИ ФАЙЛЫ НЕ БУДУТ ДЕШИФРОВАНЫ. Не тратьте свое время - только мы можем расшифровать ваши файлы.
Если вы заплатили, нажмите кнопку DECRYPT, чтобы вернуть файлы в нормальное состояние. Не беспокойтесь, мы вернем вам ваши файлы, если вы заплатите.
[DECRYPT]
Вопросы-Ответы
• Что такое monero?
    Monero - это криптовалюта, как биткоин.
• Как получить monero?
    Вы можете купить monero во многих местах, где можете получить биткоин. [Больше информации]
• Что будет, если я не заплачу?
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Распространяется в составе дистрибутива для генерации вымышленной крипто-монеты SpriteCoin. Под видом его установки, когда SpriteCoin якобы загружает и синхронизирует blockchain, запускается шифровальщик. 

   

 Скриншоты "установщика"

Сообщения о фальшивой криптовалюте

По окончании фальшивой синхронизация поддельного блокчейна появится экран блокировки MoneroPay и отобразится экран с требованиями о выкупе. 

Список файловых расширений, подвергающихся шифрованию:
.7z, .apk, .cc, .cgi, .class, .cpp, .css, .doc, .docx, .eps,  .go, .gz, .h, .hpp, .htm, .html, .id_rsa, .img, .iso, .jar, .java, .jpeg, .jpg, .js, .key, .lua, .mkv, .mp4, .ogv, .one, .pem, .pl, .png, .ppt, .pptx, .ps1, .psd, .psf, .py, .pyw, .rar, .rtf, .tcl, .txt, .vbs, .webm, .work, .xls, .xlsx, .zip (50 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, архивы, файлы образов, файлы wallet.dat и пр.

Файлы, связанные с этим Ransomware:
spritecoind.exe
spritecoinwallet.exe
MoneroPayAgent.exe
<random>.exe
\spritecoin\
Сбрасывает 1510 файлов

Расположения:
%APPDATA%\MoneroPayAgent.exe
%TEMP%\<random>.exe
\spritecoin\boost.dll
\spritecoin\cryptonight.dll
\spritecoin\spritecoind.exe
\spritecoin\spritecoinwallet.exe
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /F /t REG_SZ /V "MoneroPay" /D "%APPDATA%\MoneroPayAgent.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "MoneroPay" "MoneroPayAgent.exe"
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 
xxxx://jmqapf3nflatei35.onion.link (103.198.0.2:80 Сингапур) - C2
xxxx://papyrefb2tdk6czd.onion.link/***
xxxx://p27dokhpz2n7nvgr.onion.link/***
См. ниже результаты анализов.

Результаты анализов:
Ⓥ VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Статус: Дешифруется!

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть декриптор
Скачать MoneroPayDecryptor для дешифровки >>
Подробная инструкция на английском >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

Added later:
Write-up by Fortinet (added on 24 January, 2018)
*

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 Alexander Adamov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.