вторник, 21 ноября 2017 г.

Katafrack

Katafrack Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.02 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Ordinal > Katafrack

Фактически переработанная версия Ordinal Ransomware. Отличается визуальными признаками, контактами и адресами.

К зашифрованным файлам добавляется расширение *нет данных*
Не шифрует файлы, если определяет, что запущен на виртуальной машине.

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ-ME-TO-GET-YOUR-FILES-BACK.txt

Содержание записки о выкупе:
Your files have been encrypted by Ordinal Ransomware
Below is the information you will need to decrypt your files
After that, you'll be able to see your beloved files again.
Email: OrdinalScale@protonmail.com
BTC Address: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
ETH Address 0x06394880c86383eccFbf27788D578C46ed562526
Amount To Send: 0.02 BTC
Identification:ED5E41963F4264302747C645290BA858

Перевод записки на русский язык:
Ваши файлы были зашифрованы Ordinal Ransomware
Ниже приведена информация, необходимая для дешифрования файлов.
После этого вы снова сможете увидеть свои любимые файлы.
Email: OrdinalScale@protonmail.com
BTC адрес: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
ETH адрес 0x06394880c86383eccFbf27788D578C46ed562526
Сумма для отправки: 0.02 BTC
Идентификация: ED5E41963F4264302747C645290BA858

Другим информатором жертвы выступает экран блокировки с красным или с зелёным фоном. Ниже приведены оба варианта. 


Содержание записки о выкупе:
KATAFRACK RANSOMWARE
Follow the instructions to unlock your data
YOU FILES ARE ENCRYPTED
All your files have been encrypted with AES-256 Military Grade Encryption
INSTRUCTIONS
Your files have been encrypted, the only way to recover your files is to pay the fee.
Once you have paid the fee all your files will be decrypted and return to normal.
Send the required fee (found below) to the Bitcoin address (found below). Once you have sent the required fee to the Bitcoin address send an email with your Identification key (without this we cant help you). It may take 12-24 hours for us to respond. You will recive a Decryption Program + Decryption Key. Ethereum is also accepted.
WHAT NOT TO DO
DO NOT RESTARTAURN OFF YOUR COMPUTER
DO NOT ATTEMPT TO RECOVER THE FILES YOUR SELF
DO NOT CLOSE THIS PROGRAM
DECRYPTION KEY WILL BE DELETED FROM OUR SERVERS IN 7 DAYS FROM TODAY
Bitcoin Address: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
Ethereum Address: 0x06394880c86383eccFbf27788D578C46ed562526
Identification: F45EFF1799E2293l6485xxxxxxxxxx
Amount To Send: 0.02 BTC
Contact: OrdinalScale@protonmoil.com
Check Desktop For READ-ME-TO-GET-YOUR-FILES-BACK.txt File


Перевод записки на русский язык:
KATAFRACK RANSOMWARE
Следуйте инструкциям, чтобы разблокировать данные
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ
Все ваши файлы были зашифрованы с помощью шифрования военного класса AES-256
ИНСТРУКЦИИ
Ваши файлы были зашифрованы, единственный способ восстановить ваши файлы - заплатить выкуп.
После того, как вы заплатите, все ваши файлы будут расшифрованы и вернутся в нормальный вид.
Отправьте требуемую плату (см. ниже) на Bitcoin-адрес (см. ниже). После  отправки требуемой платы на Bitcoin-адрес, отправьте email с вашим идентификационным ключом (без этого мы не сможем вам помочь). Нам  может потребоваться 12-24 часа. Вы получите программу дешифровки + ключ дешифрования. Ethereum также принимается.
ЧТО НЕ ДЕЛАТЬ
НЕ ПЕРЕЗАГРУЖАТЬ СВОЙ КОМПЬЮТЕР
НЕ ПОПЫТАТЬСЯ САМОМУ ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ
НЕ ЗАКРЫВАТЬ ЭТУ ПРОГРАММУ
КЛЮЧ ДЕШИФРОВАНИЯ БУДЕТ УДАЛЕН С НАШИХ СЕРВЕРОВ ЧЕРЕЗ 7 ДНЕЙ
Bitcoin-адрес: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
Ethereum-адрес: 0x06394880c86383eccFbf27788D578C46ed562526
Идентификация: F45EFF1799E2293l6485xxxxxxxxxx
Сумма для отправки: 0.02 BTC
Контакт: OrdinalScale@protonmoil.com
Проверьте на Рабочем столе файл READ-ME-TO-GET-YOUR-FILES-BACK.txt 




Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LiteHTTP.exe или ETH Wallet.245Z.exe
<random>.exe
READ-ME-TO-GET-YOUR-FILES-BACK.txt
94308059B57B3142E455B38A6EB92015
<random>.txt
Cab<random>.tmp
Tar<random>.tmp

Расположения:
\Desktop\READ-ME-TO-GET-YOUR-FILES-BACK.txt
%LOCALAPPDATA%\ow\Microsoft\CryptnetUrlCache\MetaData\94308059B57B3142E455B38A6EB92015
%TEMP%\CabB3B.tmp
%TEMP%\CabDCDC.tmp
%TEMP%\TarB3C.tmp
%TEMP%\TarDCDD.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Связывается с Ordinal Control Center.
Email: OrdinalScale@protonmail.com
BTC Address: 1HMnuFLBUex2ykPMFtVs7cnP8aENbwyGjJ
ETH Address 0x06394880c86383eccFbf27788D578C46ed562526
dontmindme.tk (144.208.125.95, США) 
144.208.125.95:80 (США)
172.217.16.196:443 (США)
172.217.16.195:443 (США)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 GrujaRS
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 17 ноября 2017 г.

WannaDie

WannaDie (WanaDie) Ransomware

WannaCry Imposter Ransomware

Wanna_die_decrypt0r Ransomware

(шифровальщик-вымогатель, подражатель, деструктор)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+SHA-256, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Wana die decrypt0r (Wanna die decrypt0r) и Wana_Decrypt0r. На файле написано: wndi и wndi.exe. Начальное название проекта: CryptoWall. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: WannaCry > fake! > WannaCry Imposter 


Изображение принадлежит шифровальщику

Этимология названия:
Как видно из представленных выше названий, сам разработчик вымогателя так и не определился с названием, т.к. сначала он назвал его CryptoWall, желая создать творение, подобное ему. Потом по миру нашумел вымогатель WannaCry, и разработчик захотел творить в эту сторону, но и этот шифровальщик заглох в эфире. Тогда разработчику WannaDie совсем некому стало подражать (ну не BadRabbit-у же, который и дня не продержался!) и он решил выплеснуть накопившуюся энергию в нечто сумбурное. Уж тогда бы лучше назвал свое творение просто WannaMoney. Оно пока не занято другими вымогателями. 😉

К зашифрованным файлам добавляется расширение .wndie

Исследователи также сообщают о неудачных случаях шифрования. Видимо, пока в разработке, или имеет скрытый функционал. 

Активность этого крипто-вымогателя обнаружена в середине ноября 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступают экран блокировки и изображение, заменяющее обои рабочего стола, на котором написан другой текст на русском языке и небольшой текстовый файл с надписью на английском.
Комбинированное изображение требований

Окно экрана блокировки
Требования на обоях на Рабочего стола и файлы

Содержание текста о выкупе из окна экрана блокировки:
Файлы зашифрованы, что делать?
ЧТО СЛУЧИЛОСЬ С МОИМ КОМПЬЮТЕРОМ ?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фотографий, видео, баз данных и других файлов больше недоступны, поскольку они были зашифрованы. Возможно, вы заняты поиском способа восстановления ваших файлов, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.
МОЖНО ЛИ ВОССТАНОВИТЬ ФАЙЛЫ ?
Конечно Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы. Но у нас не так много времени.
Вы можете расшифровать некоторые свои файлы бесплатно. Попробуйте нажать "Расшифровать".
Но если вы хотите расшифровать все свои файлы, вам нужно заплатить.
Каждую минуту мы будем уничтожать по одному нужному вам файлу, чтобы ускорить процесс (оплата-дешифровка).
У вас есть только 3 дня, чтобы отправить платеж. После этого цена будет удвоена.
Кроме того, если вы не заплатите в течении 7 дней, вы не сможете восстановить файлы навсегда.
У нас будут бесплатные мороприятия для пользователей, которые настолько бедны, что не смогут заплатить за 6 дней.
КАК МНЕ ОПЛАТИТЬ  ?
Оплата принимается только в биткоинах. Для дополнительной информации нажмите "Что такое биткоин?".
Пожалуйста, проверьте текущую цену биткоинов и переведите биткоины на указанную сумму. Для перевода средств нажмите "Перечислить биткоины".
И отправьте правильную сумму на адрес, указанный в этом окне. 
После перевода свяжитесь с консультантом и передайте чек с оплатой.
Как только оплата будет проверена, вы можете сразу начать дешифрование файлов.
Мы настоятельно рекомендуем вам не удалять это программное обеспечение и некоторое время отключать антивирус, пока вы не заплатите и не обработаете платеж.
Если ваш антивирус обновится и автоматически удалит это программное обеспечение, он не сможет восстановить ваши файлы, даже если вы заплатите!
С уважением, Wana Die
---
[1Dowv8DTWhRk6xQmuWrEDipgCc83VTKbYT] [Копировать]
[Введите ключ расшифровки]
[Расшифровать]
---
Оплата будет повышена
Времени осталось
02:7:38:43
---
Ваши файлы будут утеряны
Времени осталось
06:22:45:23
---
Утеря важного файла
Времени осталось
00:0:01:03
---
Что такое биткоин?
Перечислить биткоины
Связаться с помощью
---

Красным выделены ошибки и неправильные речевые обороты, неприсущие правильной русской речи. 😄

Содержание текста о выкупе с изображения на экране:
Ууупс, ваши важные файлы зашифрованы.
Если вы читаете этот текст, но не видите окно "Wanna die decrypt0r", то тогда ваш антивирус удалил дешифратор. Отключите антивирусное программное обеспечение или удалите его с вашего компьютера.
Если вам нужны ваши файлы, вы должны запустить дешифратор программу.
Пожалуйста, найдите файл приложения с именем "@WannaDecrypt0r.exe" в любой папке или восстановите из антивирусного карантина.
Запустите и следуйте инструкциям!

Дополнение
Нижний блок "Утеря важного файла" сообщает об удалении первого стоящего файла. И это не пустые угрозы, файлы действительно удаляются по одному. Таким образом данный вымогатель ещё и выполняет деструктивные действия. 



Технические детали

Судя по глупым ошибкам в тексте о выкупе данный вымогатель или ещё находится в разработке или настолько плохо сделан. Хотя, намеренные ошибки и баги вполне могут быть отвлекающим манёвром, чтобы под прикрытием вымогательства воровать необходимую информацию. 

Вполне может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Использует Windows-программу wscript.exe для запуска инфекции. 

При алгоритме AES как ключ шифрования используется SHA256-хэш, которой берётся от исходного пароля, от строки из 8 символов. 

Кажется интересуется содержимым файлов со следующими расширениями:
.dotx, .html, .keychain, .pptx, .tax2014, .tax2015, .xlsb, .xlsm, .xlsx, .xltm, .xltx.  

Из них примечателен интерес к файлам типа .keychain (Mac OS X Keychain File) и .tax2014, .tax2015 (TurboTax). 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .csv, .dat, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dt, .DT, .dt, .ged, .hbk, .hbk, .htm, .html, .key, .keychain, .md, .pps, .ppt, .pptx, .sdf, .tar, .tax2014, .tax2015, .txt, .vcf, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml (41 расширение).
Это документы и шаблоны MS Office, файлы 1С, текстовые файлы, веб-страницы, базы данных, файлы специализированных программ и пр.

Файлы, связанные с этим Ransomware:
wndi.exe
ReadMe.txt
@WannaDecrypt0r.exe 
Wana_Decrypt0r.exe
@WannaDecrypt0r.png
proc.bat
pros.vbs
perfc.dat
perfd.dat
index.dat
ms.lnk
a.wndi
d.wndi
t.wndi

Расположения:
\Desktop\ ->
\User_folders\ ->
C:\proc.bat
C:\pros.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1Dowv8DTWhRk6xQmuWrEDipgCc83VTKbYT
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> или VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as WannaDie)
 Write-up, Topic of Support
 🎥 Video review
 Thanks: 
 Leo (primary example and images)
 Alex Svirid (extensions and consultation)
 Michael Gillespie (identification in IDR)
 GrujaRS (video review, full ransom text and desktop)
 

© Amigo-A (Andrew Ivanov): All blog articles.

BASS-FES

BASS-FES Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> BASS-FES

Этимология названия:
BASS-FES — сокращение от BitchASS File Encryption System, см. содержание записки о выкупе.  

К зашифрованным файлам добавляется расширение .basslock

Активность этого крипто-вымогателя пришлась на середину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: BASS File Encryption Service Notice.txt

Содержание записки о выкупе:
File Recovery Notice by BitchASS File Encryption System (BASS-FES)
Your files have been successfully encrypted and backuped in the cloud storage by BASS File Encryption System.
If you want to recover your files, please send 1 BTC to the following adress:
18Cgi9ADqH9NsG6zqW2xEh7wl6dQM6Rvix
If you sent 1 BTC to the adress, email at bitchasshole@protonmail.com with your Bitcoin adress.

Перевод записки на русский язык:
Уведомление о восстановлении файлов с помощью системы шифрования файлов BitchASS (BASS-FES)
Ваши файлы были успешно зашифрованы и сохранены в облачное хранилище с помощью BASS File Encryption System.
Если вы хотите восстановить свои файлы, отправьте 1 BTC по следующему адресу:
18Cgi9ADqH9NsG6zqW2xEh7wl6dQM6Rvix
Если вы отправили 1 BTC на адрес, напишите на bitchasshole@protonmail.com свой биткоин-адрес.


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe
BASS File Encryption Service Notice.txt

Расположения:
\Desktop\BASS File Encryption Service Notice.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bitchasshole@protonmail.com
BTC: 18Cgi9ADqH9NsG6zqW2xEh7wl6dQM6Rvix
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Lawrence Abrams
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CorruptCrypt

CorruptCrypt Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название проекта: Crypt
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляются расширения
.acryhjccbb@protonmail.com
.corrupt 

Активность этого крипто-вымогателя пришлась на середину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: *нет данных*
Вместо записки на файлах стоит расширение с email вымогателей. 

Содержание записки о выкупе:
acryhjccbb@protonmail.com

Перевод записки на русский язык:
acryhjccbb@protonmail.com



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

После шифрования заполняет мусором свободное место дисков. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Crypt.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: acryhjccbb@protonmail.com
См. ниже результаты анализов.

Связанные публичные ключи:
-----BEGIN RSA PUBLIC KEY-----
MIGJAoGBAJ/pgAk5IFg+97WOlgPOr7D77xhWgBMj9gKL9EplpCT6XZl+hRCDSqtit+TN6g5r+p3lUuNNO8cSDBeeUNcx+j69KDGixTEM5lcxMGokY5WK/krZAG+TwDXCLiTy26j/s5bJrb0e9x9q9STdhdpXZgV7xXqyxpmM1xVaYN2Oo2RfAgMBAAE=
-----END RSA PUBLIC KEY-----

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as CorruptCrypt)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam 
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 16 ноября 2017 г.

Rastakhiz

Rastakhiz Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> Rastakhiz

К зашифрованным файлам добавляется расширение .RASTAKHIZ 

Активность этого крипто-вымогателя пришлась на середину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется:
Запиской с требованием выкупа выступает экран блокировки:
Экран блокировки
Текст из ресурса экрана блокировки

Содержание текста о выкупе из экрана блокировки:
I have encrypted all your precious files including images, videos, songs, text files, word files and e.t.c. So long story short, you are screwed ... but you are lucky in a way. 
Why is that ?? I am ransomware that leave you an unlimited amount of time to gather the money
to pay me. I am not gonna go somewhere, neither do your encrypted files.
FAQ:
1. Can i get ray precious files back?
Answer: Ofcourse you can. There is just a Minor detail. You have to pay to get them back.
2. Ok, how i am gonna get them back?
Answer: You have to pay 256 USD in bitcoin.
3. There isn't any other way to get back my files?
Answer: No.
4. Ok, what i have to do then?
Answer: Simply, you will have to pay 250 USD to this bitcoin address: [bitcoin address] . When time comes to send me the money, make sure to include your e-mail and your personal lD(you can see it bellow) in the extra information box (it may apper also as 'Extra Mote" or 'optional message') in order to get your personal decryption key. It may take up to 6-8 hours to take your personal decryption key.
5. What the heck bitcoin is?
Answer: Bitcoin is a cryptocurrency and a digital payment system. I recommend to use 'Bitcoin wallet' as a bitcoin wallet, if you are new to the bitcoin-wallet. Ofcourse you can pay me from whatever bitcoin wallet you want, it deosn't really matter.
6. Is there any chance to unclock my files for free?
Answer: Not really. After 1-2 or max 3 years there is propably gonna be released a free decryptor. So if you want to wait ... it's fine.
As i said, i am not gonna go somewhere.
7. What i have to do after getting my decryption key?
Answer: simple. Just press the decryption button bellow. Enter your decryption key you received, and wait until the decryption process is done.
8. How can i trust?
Answer: Don't worry about decryption, we will decrypt your files surely because nobody will trust us if we cheat users.
Attention:
Do not change the name of the crypto files or extensions!
Your personal ID : [ID]
Bitcoin address : [bitcoin address]
-----
Info
Bitcoin Address: 1Q5VprvKoBmPBncC7yZLURkcQ7FG9xnMKv
About Bitcoin
Buy Bitcoin
---
[Copy Personal ID]
[Copy The Bitcoin Address]
[DECRYPT]
TIME TO LOSE YOUR KEYS : 2017.11.18. 20:24:01

Перевод текста на русский язык:
Я зашифровал все ваши драгоценные файлы, включая изображения, видео, песни, текстовые файлы, Word-файлы и пр. Короче говоря, вы взломаны ... но вам повезло.
Почему это ?? Я - выкуп, который дает вам неограниченное количество времени, чтобы собрать деньги заплатить мне. Я не пойду куда-то с вашими зашифрованными файлами.
ВОПРОСЫ-ОТВЕТЫ:
1. Могу ли я вернуть драгоценные файлы Ray?
Ответ: Конечно, вы можете. Есть только незначительная деталь. Вы должны заплатить, чтобы вернуть их.
2. Хорошо, как я их верну?
Ответ: Вы должны заплатить 256 долларов в биткойне.
3. Нет другого способа вернуть мои файлы?
Ответ: Нет.
4. Хорошо, что я должен сделать тогда?
Ответ: Просто вам придется заплатить 250 долларов на этот биткойн-адрес: [биткойн адрес]. Когда придет время отправить мне деньги, не забудьте включить свой email и свой личный lD (вы можете увидеть его ниже) в дополнительное информационное окно (он может также быть включен как 'Extra Mote' или 'optional message') в чтобы получить свой личный ключ дешифрования. Для получения вашего личного ключа дешифрования может потребоваться до 6-8 часов.
5. Что такое биткоин?
Ответ: Биткоин - это криптовалюта и цифровая платежная система. Я рекомендую использовать «Биткоин-кошелек» как кошелек с биткоинами, если вы новичок в биткоин-кошельке. Конечно, вы можете заплатить мне с любого биткоин-кошелька, который вы хотите, это действительно неважно.
6. Есть ли шанс разблокировать мои файлы бесплатно?
Ответ: Не совсем. После 1-2 или максимум 3 лет можно получить бесплатный дешифратор. Поэтому, если вы хотите подождать ... все в порядке.
Как я уже сказал, я никуда не уйду.
7. Что мне нужно сделать после получения ключа дешифрования?
Ответ: простой. Просто нажмите кнопку дешифрования ниже. Введите полученный ключ дешифрования и дождитесь завершения процесса дешифрования.
8. Могу ли я доверять?
Ответ. Не волнуйтесь о расшифровке, мы обязательно расшифруем ваши файлы, потому что никто не будет доверять нам, если мы будем обманывать пользователей.
Внимание:
Не изменяйте имена зашифрованных файлов или расширений!
Ваш личный ID: [ID]
Биткоин-адрес: [биткоин-адрес]
***


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
hidden-tear.exe - исполняемый файл вымогателя
DoNotDelete.RASTAKHIZ - файл, необходимый для работы декриптера
RASTAKHIZ Decrypt0r.exe - файл декриптера

Расположения:
%AppData%\DoNotDelete.RASTAKHIZ

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1Q5VprvKoBmPBncC7yZLURkcQ7FG9xnMKv
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >> + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID under HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 Karsten Hahn
 

© Amigo-A (Andrew Ivanov): All blog articles.

WannaSmile

WannaSmile Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные предприятий и организаций с помощью AES/RSA, а затем требует выкуп в 20 BTC, чтобы вернуть файлы. Оригинальное рабочее название проекта: MyEncrypter2Mod3Window_V1.1 и MyEncrypter2. На файле написано: WannaSmile.exe
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: ZCrypt >> WannaSmile

К зашифрованным файлам добавляется расширение .WSmile

Активность этого крипто-вымогателя пришлась на середину  ноября 2017 г. Ориентирован на предприятия и организации Ирана, ираноязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: How to decrypt files.html

Содержание записки о выкупе (реконструкция текста от автора блога):
WARNING!
سیستم شما به ویروس و باج افزارWannaSmile آلوده شده است؛ تمامی فایل های مهم شما از جمله دیتابیس ها
فایل های بک آپ و ... توسط الگوریتم های پیچیده رمزنگاری شده است؛
بنابراین شما امکان دسترسی به فایل ها را نخواهید داشت زیرا الگوریتم رمزنگاری مورد نظر تنها توسط ما قابل رمزگشایی
درصورتیکه طی مدت حداکثر 5 روز پس از آلوده شدن مبلغ مورد نظر به حساب بیت کوین ما واریز نشود، روزانه مبلغ 1 بیت کوین به مبلغ اصلی (20 بیت کوین) اضافه میگردد.
تو ی باشد. شما می بایست برای رمزگشایی فایلهای خود مبلغ 20 بیت کوین را به آدرس زیر ارسال کنید:
1KvmWVRxqw8HeFpR2tHBaoTJiTczU7PRzw
و به محض پرداخت موفقیت آ 05;یز بیت کوین حتما از طریق ایمیل wannasmile@tuta.io به ما اعلام کنید تا یک فایل برای شما ارسال گردد که توسط آن می توانید کل فایل ها و سیستم های آلوده را به حالت اولیه باز گردانید.
 جهت خرید بیت کوین می توانید از طریق یکی از صرافی های زیر اقدام نمایید
www.exchanging ir
www.payment24.ir
www.farhadexchange.net
www.digiarz.com

Дословный перевод записки на русский язык сделан автором блога:
WARNING! 
Ваша система заражена вирусом WannaSmile Ransomware, все ваши важные файлы, включая базы данных и резервные копии зашифрованы сложными алгоритмами шифрования, поэтому вы не сможете получить доступ к файлам, только мы можем расшифровать.
В случае, если мы не получаем плату на наш биткоин-кошелек максимум за 5 дней после заражения, то ежедневно к первоначальной сумме (20 биткоин) будет добавляться по 1 биткоину.
Вы должны заплатить сумму в 20 биткоинов, чтобы расшифровать ваши файлы, по следующему адресу:
1KvmWVRxqw8HeFpR2tHBaoTJiTczU7PRzw
И как только вы заплатите, не забудьте отправить нам письмо по адресу wannasmile@tuta.io, чтобы мы отправили вам файл, с котором вы сможете восстановить все файлы и зараженные системы в исходное состояние. 
Вы можете купить биткоины на одном из следующих обменников валюты:
www.exchanging.ir
www.payment24.ir
www.farhadexchange.net
www.digiarz.com


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How to decrypt files.html
WannaSmile.exe или client.exe
WannaSmile.lnk

Расположения:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\How to decrypt files.html
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\WannaSmile.lnk
%APPDATA%\WannaSmile.exe
%APPDATA%\public.key

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: wannasmile@tuta.io
BTC: 1KvmWVRxqw8HeFpR2tHBaoTJiTczU7PRzw
URL: www.exchanging.ir
www.payment24.ir
www.farhadexchange.net
www.digiarz.com

См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as WannaSmile)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam‏ 
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton