0kilobypt

0kilobypt Ransomware

(фейк-шифровальщик, вымогатель-стиратель, деструктор)

Translation into English

Этот крипто-вымогатель якобы шифрует данные пользователей, серверов и сетевых устройств, а затем требует выкуп, чтобы вернуть файлы. Вымогатели используют свой email, добавляемый в записку или вместо расширения. Оригинальное название: в записках не указано. На файле написано: нет данных. Эта статья первый и единственный источник информации об этом вымогательстве. Уплата выкупа бесполезна! 

© Генеалогия: ранние версии вымогателей-стирателей >> 0kilobypt и другие модификации, включая похожие по ВИД. 

Этимология названия:
0 kilobytes + crypt = 0kilobypt

К фейк-зашифрованным файлам никакое расширение не добавляется. Информация в файлах стирается. Размер файлов становится равным: 0 килобайт или 0 байт. Впрочем, с течением времени всё и этот размер в том числе может поменяться. По прошествии лет к файлам стало добавляться расширение, чтобы выдавать их за зашифрованные. На самом деле файлы также продолжают затираться нулями. Уплата выкупа бесполезна! 

Для данной операции используются легитимные или хакерские утилиты. После проведенной атаки производится зачистка от использованных файлов. 

---
✋ Оригинальные файлы могут быть предварительно украдены (скачаны) злоумышленниками. Некоторые пострадавшие сообщают, что получили свои файлы после уплаты выкупа. Но так ли это на самом деле, мы не знаем. В любом случае, если вы хотите заплатить выкуп, не тяните время и потребуйте доказательства, что расшифровка возможна. Например, пусть пришлют несколько файлов фотографий, которые вы опознаете как свои. 
---


Внимание! Новые версии, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность была замечена с марта 2016 г. Ориентирован на русскоязычных пользователей (страны Восточной Европы и Россия) или совсем не использует записок о выкупе, что не мешает распространять его по всему миру. С 2021 стали появляться записки на английском языке. 

Записка с требованием выкупа может называться по-разному, примеры ниже и в блоке обновлений:

Для получения доступа пишите на 
<email_ransom>

ПРОЧИТАТЬ!!!.txt

ЕСЛИ ВАМ НУЖНЫ ФАЙЛЫ ПИШИТЕ__
<email_ransom>

ЕСЛИ ЧТО-ТО СЛУЧИЛОСЬ С ВАШИМИ ФАЙЛАМИ ПИШИТЕ СЮДА____
<email_ransom>

ЕСЛИ_ВАМ_НУЖНЫ_ФАЙЛЫ_ПИШИТЕ_НА_(<email_ransom>)

README.txt

!!!ДОСТУП_К_ФАЙЛАМ_ПИШИТЕ__(Iyieg9eB@secmail.pro).txt

Список известных <email_ransom> см. в конце статьи.

Содержание записки о выкупе обычно на русском языке, при этом дублируется название записки или совсем отсутствует. 


Вот несколько примеров текста с разных форумов. 

1) ссылка >>
ваши файлы зашифрованы. 
Для получения доступа пишите на 
tikitakbum@rambler.ru

2) ссылка >>
Для получения доступа к файлам пишите нa thorntitini1979@danwin1210.me

3) ссылка >>
ЕСЛИ ВАМ НУЖНЫ ФАЙЛЫ ПИШИТЕ__
postal.surgut@danwin1210.me

4) ссылка >>
ЕСЛИ ЧТО-ТО СЛУЧИЛОСЬ С ВАШИМИ ФАЙЛАМИ ПИШИТЕ СЮДА____
dizelmon@danwin1210.me

5) ссылка >>
Текст отсутствует

6) ссылка >>
ЕСЛИ_ВАМ_НУЖНЫ_ФАЙЛЫ_ПИШИТЕ_НА_(eed8Aeta@danwin1210.me) 

7) ссылка >>
ЕСЛИ_ВАМ_НУЖНЫ_ФАЙЛЫ_ПИШИТЕ_НА_(chaiRo7u@danwin1210.me)

Технические детали

В большинстве случает распространяется путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


!!! Затертые нулями файлы невозможно восстановить никакими доступными средствами. Возможно также используется руткит, перехватывающий функции копирования и переноса файлов. Уплата выкупа кажется бесполезной....  

Как оказалось позднее, вымогатели могут расшифровать файлы, которые не были забиты нулями. В таком случае собирать файлы для анализа и получения помощи нужно в безопасном режиме системы (SafeMode) и без поддержки сети. 

Список файловых расширений, подвергающихся шифрованию:
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Текстовые файлы с разными названиями (см. выше). 
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: tikitakbum@rambler.ru
thorntitini1979@danwin1210.me
postal.surgut@danwin1210.me
dizelmon@danwin1210.me
eR8iech5@danwin1210.me
eed8Aeta@danwin1210.me
chaiRo7u@danwin1210.me
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя, но продолжается несколько лет.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Активность замечена с марта 2016 г. Возможно, была и раньше. 
Принцип действия повторяется с годами — оригинальные файлы затираются  нулями. 
Модификации могут принадлежать как тем же, так и другим группам вымогателей. Здесь мы просто суммируем некоторые случаи. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 4-10 декабря 2018:
Топик на форуме >>
Топик на форуме >>
Расширение: .CRYPT
Записка (оригинал): !!!ДОСТУП_К_ФАЙЛАМ_ПИШИТЕ__(Iyieg9eB@secmail.pro).txt
Якобы зашифрованный файл: 
!!!ДОСТУП_К_ФАЙЛАМ_ПИШИТЕ__(Iyieg9eB@secmail.pro).txt.Iyieg9eB@secmail.pro.rar 
 9905_01873.jpg.[Iyieg9eB@secmail.pro].CRYPT 
Email: Iyieg9eB@secmail.pro

Обновление от 13 декабря 2018: 
Пост в Твиттере >>
Расширение: .CRYPT
Составное расширение: .[Ux3oe7ae@secmail.pro].CRYPT
Записка (оригинал): !!!ТЕХ_ПОДДЕРЖКА_(Ux3oe7ae@secmail.pro).txt
Записка с расширением: !!!ТЕХ_ПОДДЕРЖКА_(Ux3oe7ae@secmail.pro).txt.[Ux3oe7ae@secmail.pro].CRYPT
Email: Ux3oe7ae@secmail.pro
Записка с расширением пустая.
Оригинальные файлы затерты нулями.

Обновление от 11 марта 2019: 
Тема на форуме >>
Расширение: .cr
Составное расширение: .[Xieth8ie@secmail.pro].cr
Записка (оригинал): !!!ТЕХ_ПОДДЕРЖКА_(Xieth8ie@secmail.pro).txt
Записка с расширением: !!!ТЕХ_ПОДДЕРЖКА_(Xieth8ie@secmail.pro).txt.[Xieth8ie@secmail.pro].cr
Email: Xieth8ie@secmail.pro
Записка с расширением пустая. Что было в оригинальной, пока неизвестно. 
Оригинальные файлы затерты нулями. Скриншоты прилагаются. 

 

Обновление от 12 марта 2019, если его можно так назвать. 
Скорее это некое изменение предыдущего вымогательства. 
Возможно, что это даже не совсем "родня". 
Пост в Твиттере >>
Записка: WHERE ARE YOUR FILES READ ME (ГДЕ ТВОИ ФАЙЛЫ, ПРОЧИТАЙ МЕНЯ).txt
Файлу сопутствует некий бинарный файл ELF с названием _AW7IV~D (VT)

Email: ghjujy@tuta.io
BTC: 1NkamFHQcacdjAW6Ka7WMgtVMzruqsJjyC

➤ Содержание записки (английский, немецкий, русский текст):
ID [redacted IP]
Congratulations!
Your files have been successfully transferred to the online store, where they will be stored for 14 days.
After the expiration of 14 days, your files will be deleted from the online store.
To access the files
1) Send your ID to email ghjujy@tuta.io
2) Pay 0,07 bitcoin ==== >> 1NkamFHQcacdjAW6Ka7WMgtVMzruqsJjyC
3) After payment, you will receive instructions on how to retrieve your files back
your ID [redacted IP]
---
Herzlichen Gluckwunsch!
Ihre Dateien wurden erfolgreich in den Online-Shop ubertragen, wo sie fur 14 Tage gespeichert werden.
Nach Ablauf von 14 Tagen werden Ihre Dateien aus dem Online-Shop geloscht.
Um auf die Dateien zuzugreifen
1) Senden Sie Ihre ID an ghjujy@tuta.io
2) Bezahle 0,07 Bitcoin ==== >> 1NkamFHQcacdjAW6Ka7WMgtVMzruqsJjyC
3) Nach der Bezahlung erhalten Sie Anweisungen, wie Sie Ihre Dateien zuruckholen konnen
deine ID [redacted IP]
---
Поздравляем!
Ваши файлы успешно перенесены в онлайн хранилище, где они будут хранится в течении 14 дней.
После истечении 14 дневного срока ваши файлы будут удалены с онлайн хранилеща.
Для получения доступа к файлам
1) Отправить свой ID на email ghjujy@tuta.io
2) Оплатить 0,07  bitcoin ====>> 1NkamFHQcacdjAW6Ka7WMgtVMzruqsJjyC
3) После оплаты вы получите инструкцию как получить свои файлы обратно
ваш ID  [redacted IP]



Обновление от 4 апреля 2019:
Топик на форуме >>
Расширение: .cr
Составное расширение: .[Aeghie6u@secmail.pro].cr
Записка с требованием выкупа не найдена. 
Оригинальные файлы затерты нулями.

Обновление от 7 мая 2019:
Расширение (шаблон): .[<email_ransom>].CRYPT
Расширение: .[rekoh4th@secmail.pro].CRYPT
Email: rekoh4th@secmail.pro
Записка: !!!ПОМОЖЕМ_С_ФАЙЛАМИ_(rekoh4th@secmail.pro).txt
Текст отсутствует. Видимо, его там и не было. 

Оригинальные файлы затерты нулями.

Обновление от 31 мая 2019:
Топик на форуме>> 
Расширение: .[uroo7ohM@secmail.pro].val
Расширение (шаблон): .[<email_ransom>].val
Записка: отсутствует
Email: uroo7ohM@secmail.pro
Оригинальные файлы затерты нулями.

Вариант от 10 августа 2019:
Топик на форуме >> 
Расширение: .[ivanmalahov@protonmail.com].Eivoh1na
Расширение (шаблон): .[<email_ransom>].<random>
Записка: отсутствует
Email: ivanmalahov@protonmail.com
Оригинальные файлы затерты нулями.

Вариант от 26 октября 2019:
Топик на форуме >>
Расширение: .[ooosferaplus@protonmail.com].nae2iNg6
Записка: отсутствует
Email: ooosferaplus@protonmail.com
Оригинальные файлы затерты нулями.

Вариант от 25 ноября 2019:
Топик на форуме >> 
Расширение: .[rusoftfond@protonmail.com].Aebaih6i
Расширение (шаблон): .[<email_ransom>].<random>
Записка: отсутствует
Email: rusoftfond@protonmail.com
Оригинальные файлы затерты нулями. 

Вариант от 20 января 2020:
Топик на форуме >>
Пост в Твиттере >>
Расширение: .[andrey.taranov@protonmail.com].Iexei8bo
Расширение (шаблон): .[<email_ransom>].<random>
Записка: отсутствует
Email: andrey.taranov@protonmail.com
Оригинальные файлы затерты нулями.

Вариант от 1 апреля 2020:
Топик на форуме >>
Топик на форуме >>
Топик на форуме >>
Расширение (пример): .[g.kulahmet@protonmail.com].Ith2eelu
Расширение (шаблон): .[<email_ransom>].<random>
Примеры фейк-зашифрованных файлов с random-расширениями: 
1Cv8.dt.[g.kulahmet@protonmail.com].Ith2eelu
1Cv8.dt.[g.kulahmet@protonmail.com].UwajooB0
1Cv8.dt.[g.kulahmet@protonmail.com].uB4Yiela
Оригинальные файлы затерты нулями.

Email: g.kulahmet@secmail.pro, g.kulahmet@protonmail.com
Записки: !!!ПРОЧИТАТЬ!!!.txt и README.txt

➤ Содержание записок:
Revert files. Write to
Для получения доступа к файлам пишите на 
g.kulahmet@secmail.pro    g.kulahmet@protonmail.com


Вариант от 20 июля 2020:
Пост в Твиттере >>
Расширение-1: .[soft.russian@protonmail.com].mechu4Po
Расширение-2: .[soft.russian@protonmail.com].Ieph0uxo
Расширение (шаблон): .[<email_ransom>].<random>
Записки: !!!ПРОЧИТАТЬ!!!.txt и README.txt
Email: soft.russian@protonmail.com
Оригинальные файлы затерты нулями.
➤ Содержание записок:
Revert files. Write to
Для получения доступа к файлам пишите на 
soft.russian@secmail.pro    soft.russian@protonmail.com


*** пропущенные варианты ***

Вариант от 3 сентября 2020:

Топик на форуме >>

Расширение: .[karapooz@cock.li].ooGei9fa

Записка: !!!ПРОЧИТАТЬ!!!.txt

Email: karapooz@secmail.pro, karapooz@cock.li 

Вариант от 17 сентября 2020:

Топик на форуме >>

Топик на форуме >>

Расширение: .[mishacat@cock.li].uiMosh0i

Email: mishacat@cock.li, mishacat@secmail.pro

Записки: ВЕРНУТЬ ВАШИ ФАЙЛЫ.txt 

RECOVER YOUR FILES.txt 

➤ Содержание записок одинаково: 

Все ваши файлы были зашифрованы () из-за проблем с безопасностью вашего ПК. 

Если вы хотите восстановить их, напишите нам письмо и 

прикрепите один из зашифрованных файлов (до 1 МБ): mishacat@secmail.pro

или отправьте сообщение на нашу почту: mishacat@cock.li 

# ВНИМАНИЕ !!!

НЕ ПЕРЕИМЕНОВАТЬ И НЕ ПЕРЕМИЩАТЬ ФАЙЛЫ. 

Вариант от 22 октября 2020 или раньше:

Расширение (шаблон): .[bichkova@cock.li].<random{8}>

Расширения (примеры): 

.[bichkova@cock.li].Uu7Iexi8

.[bichkova@cock.li].Phoh4ing

Записки: ВЕРНУТЬ ВАШИ ФАЙЛЫ.txt

RECOVER YOUR FILES.txt

Email: bichkova@cock.li, bichkova@secmail.pro

➤ Содержание записки:

Все ваши файлы были зашифрованы () из-за проблем с безопасностью вашего ПК. 

Если вы хотите восстановить их, напишите нам письмо и прикрепите один из зашифрованных файлов (до 1 МБ): bichkova@secmail.pro и отправьте сообщение на нашу почту: bichkova@cock.li 

Вариант от 20 декабря: 

Расширение: .[vankosa@rape.lol].wu4vae1I

Топик на форуме >>

Записка HTA: RECOVERY.hta - заголовок в коде RussiaLock. 

Записка TXT: RECOVERY.txt - текст на русском языке. 

Email: vankosa@secmail.pro, vankosa@rape.lol

➤ Содержание HTA-записки: 

ВНИМАНИЕ

Ваши файлы зашифрованы... Ваши файлы зашифрованы

Выши ключи удалятся через!!!Нужен доступ к файлам? Пишите на почту: vankosa@secmail.pro 

Ваш ID [KLK6253SD-J7d8233] [copy] 

Пишите на vankosa@rape.lol [copy] 

---

➤ Содержание TXT-записки: 

Пишите на почту vankosa@secmail.pro  

Пришлите зашифрованый файл до 1мб на почту vankosa@rape.lol

---

Поврежденные файлы двух типов:

Договор1.jpg - файл нулевого размера (0 Kb), затертый;

Договор1.jpg.[vankosa@rape.lol].wu4vae1I - файл с неким размером, но забитый нулями.

=== 2021 ===

Вариант от 30 января - 4 февраля 2021:

Сообщение >>

Расширение: .[roterbro@cock.li].Egh9E

Email: roterbro@cock.li, roterbro@secmail.pro

Записка: RECOVERY.txt

Вариант от 12 февраля 2021:

Расширение: .[rahidproject@secmail.pro].Ox6ne

Email: rahidproject@cock.li, rahidproject@secmail.pro

Записка: RECOVERY.hta  - заголовок в коде MarsCRYPT. 

➤ Содержание записки: 

Your files have been encrypted... Price is raised!

Last chance to decrypt your files!Last chance to decrypt your files!

Decrypt files? Write to this 

mails: rahidproject@cock.li or rahidproject@secmail.pro. 

You unique ID [jeiloapaeNga9ieGhahng7yuc] [copy] 

Write to rahidproject@cock.li [copy]

---

logo-1.png - файл нулевого размера (0 Kb), затертый;

logo-1.png.[rahidproject@secmail.pro].Ox6ne - файл с неким размером, но забитый нулями.

Вариант от 28 марта 2021: 

Расширение: .[sportdieago@cock.li].Aht8u

Записка: RECOVERY.txt

Email: sportdieago@cock.li, sportdieago@secmail.pro

Вариант от 7 апреля 2021:

Сообщение >>

Сообщение >>

Расширение: .[padredelicato@secmail.pro].aeQu2

Записки: RECOVERY.txt, RECOVERY.hta

Email: padredelicato@secmail.pro, padredelicato@cock.li

Вариант от 25 апреля 2021: 

Топик на форуме >>

Расширение: .[pskovmama@cock.li].Uxi9S

Записка: RECOVERY.txt

Email: pskovmama@secmail.pro, pskovmama@cock.li

Вариант от 27 сентября 2021: 

Сообщение на форуме >>

Расширение: .[schusterboss@dnmx.org].EefieK1z

Записка: RECOVERY.txt

Email: schusterboss@dnmx.org, schusterboss@cock.li

 

Вариант от 27 августа 2021: 

Сообщение >>

Расширение: .[carnovaleimpres@dnmx.org].wah9Ahko

Записка: RECOVERY.hta

Email: carnovaleimpres@dnmx.org, carnovaleimpres@cock.li

*** пропущенные варианты ***

Вариант от 25 декабря 2021:

Расширение: .[numbermskpiter@dnmx.org].eit9OoRe

Вариант от 28 декабря 2021:

Расширение: .[sieldedamorger@dnmx.org].Eicu0aav

=== 2022 ===

Я не отслеживал новые варианты, публикую только то, что присылают. 

Вариант от 18 июля 2022:

Сообщение на форуме >>

Расширение: .[kameliapayplay@dnmx.org].nu9phuiL

Записка: RECOVERY.txt

Email: kameliapayplay@dnmx.org, kameliapayplay@secmail.pro

Вариант от 20 июля 2022:

Сообщение на форуме >>

Расширение: .[bereznikdown@firemail.cc].xei8Chae

Email: bereznikdown@firemail.cc

Вариант от 28 сентября 2022: 

Сообщение на форуме >>

Расширение: .[belgorod8712kozos@airmail.cc].Zee7teiy

Записка: RECOVERY.hta

Email: belgorod8712kozos@airmail.cc, belgorod8712kozos@dnmx.org 

Вариант от 10 января 2023: 

Сообщение на форуме >>

Расширение: .[tempbarzonaappcode@aaathats3as.com].ru4OhW4i

Записка: RECOVERY.txt

Email: tempbarzonaappcode@aaathats3as.com, tempbarzonaappcode@dnmx.org 

Вариант от 4 сентября или раньше:

Сообщение на форуме >>

Расширение: ***.Ahyoz1ra

Записка: RECOVERY.txt

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as 0kilobypt, added on March 14, 2019)
 Write-up, Topic of Support
 * 

 Thanks: 
 to the victims who sent the samples
 Andrew Ivanov (article author), Alex Svirid, Sandor, 
 Michael Gillespie, Emmanuel_ADC-Soft 
 
 

© Amigo-A (Andrew Ivanov): All blog articles.

Coverton

Coverton Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. Активность этого крипто-вымогателя пришлась на март 2016 г. Распространялось несколько вариантов вымогателя. 

В зависимости от того, каким вариантом Coverton компьютер был заражен, зашифрованные файлы получали расширения .coverton, .enigma, .czvxce. 

Так, например, файл test.jpg становился файлом test.jpg.coverton, test.jpg.enigma или test.jpg.czvxce. 

  Некоторые жертвы, пострадавшие от атаки этого вредоноса, поспешили выплатить выкуп, но после получения дешифровщика оказалось, что он не может дешифровать зашифрованные файлы. 

  Записки с требованием выкупа называются:  !!!-WARNING-!!!.html и !!!-WARNING-!!!.txt. 

Они размещаются в каждой папке с зашифрованными файлами. В них есть инструкция о том, как получить доступ к TOR-сайту вымогателей для дешифрования и проведения оплаты.

HTML-записка с требованием выкупа

TXT-записка с требованием выкупа

 Содержание записки о выкупе: 
Warning! 
What happened to your computer?
All your files on hard drives, removable media and network files were encrypted by a cryptographically strong algorithm AES-256 with encryption key RSA-2048. The expansion of encrypted files is.
For the time the decryption of AES-256 is impossible.

What have you to do?
To receive a pair of keys for decrypting your files you have to go through the following steps:
Simple variant: click to {custom URL for the infected user} and follow the instructions OR complex variant:
1. Download TOR Browser: ***link delete***
2. Open link in TOR Browser: ***link delete***
3. Follow the instructions.

We recommend you not to disconnect your computer from the electrical supply.
We recommend you not to disconnect your computer from the Internet.
We recommend you not to extract the encrypted electronic data carriers.

Danger!
Do not try to cheat the system, do not attempt to edit encrypted files, do not attempt to remove the program.
Such actions can easily bring to the inability to recover your files and data, so we can not help.
The key to decrypt your files is stored on our remote server.

 Перевод записки на русский язык: 
Внимание!
Что случилось с вашим компьютером?
Все ваши файлы на жестких дисках, сменных носителях и сетевые файлы были зашифрованы с помощью криптостойкого алгоритма AES-256 с ключом шифрования RSA-2048. Расширение у зашифрованных файлов... Сегодня дешифровать AES-256 невозможно. 

Что вам делать?
Для получения пары ключей для дешифровки файлов вы должны сделать следующие шаги:
Простой вариант: кликнуть тут {скрыт URL для зараженного пользователя} и по инструкции или сложным вариант:
1. Скачать TOR Browser: *** ссылка удалена ***
2. Открыть ссылку в Tor-браузере *** ссылка удалена ***
3. Следовать инструкциям.

Мы рекомендуем не отключать компьютер от электросети.
Мы не рекомендуем отключать компьютер от сети Интернет.
Мы не рекомендуем извлекать зашифрованные носители информации.

Опасно!
Не пытайтесь обмануть систему, не пытайтесь редактировать зашифрованные файлы, не пытайтесь удалить программу.
Такие действия могут легко привести к невозможности восстановления файлов и данных, потому мы не сможем помочь.
Ключ для дешифровки файлов хранится на нашем удаленном сервере.

Технические детали

 Распространяется с помощью email-спама и вредоносных вложений. Запустившись в первый раз в системе Coverton копирует себя в %UserProfile%\userlog.exe и настраивает автозагрузку вместе с Windows. Сканируя файлы на компьютере, он ищет файлы с целевыми расширениями и шифрует их. 

 Список файловых расширений, подвергающихся шифрованию: 
1cd, 1st, 2bp, 3dm, 3ds, 3fr, 4db, 4dl, 4mp, 73i, 787, 7z, 7z001, 7z002, 8xi, 980, 9png, a00, a01, a02, a3d, abm, abs, abw, accdb, accdc, accde, accdr, accdt, accdw, accft, ace, act, adn, adp, af2, af3, aft, afx, agg, agif, agp, ahd, ai, aic, aim, ain, albm, alf, alz, ani, ans, apd, apm, apng, aps, apt, apx, apz, ar, arc, arh, ari, arj, ark, art, artwork, arw, asc, ascii, ase, ask, asp, aspx, asw, asy, aty, avatar, awdb, awp, awt, aww, axx, azz, b1, b64, ba, backup, bad, bak, bay, bbs, bdb, bdp, bdr, bean, bh, bhx, bib, blend, blkrt, bm2, bmp, bmx, bmz, bna, bnd, bndl, boc, bok, boo, brk, brn, brt, bss, btd, bti, btr, bz, bz2, bza, bzabw, bzip, bzip2, c00, c01, c02, c10, c4, c4d, cal, cals, can, car, cb7, cba, cbr, cbz, cd5, cdb, cdc, cdg, cdmm, cdmt, cdmtz, cdmz, cdr, cdr3, cdr4, cdr6, cdrw, cdt, cdz, cf, cfu, cgm, chart, chord, cimg, cin, cit, ckp, clkw, cma, cmx, cnm, cnv, colz, cp9, cpc, cpd, cpg, cps, cpt, cpx, cr2, crd, crwl, css, csv, csy, ct, cv5, cvg, cvi, cvs, cvx, cwt, cxf, cyi, czip, daconnections, dacpac, dad, dadiagrams, daf, daschema, db, db2, db3, dbc, dbf, dbk, dbs, dbt, dbv, dbx, dc2, dca, dcb, dcr, dcs, dct, dcx, dd, ddl, ddoc, dds, deb, ded, design, df1, dgc, dgn, dgs, dgt, dhs, dib, dicom, dist, diz, djv, djvu, dm3, dmi, dmo, dnc, dne, doc, docm, docx, docxml, docz, dot, dotm, dotx, dp1, dpp, dpx, dqy, drw, drz, dsk, dsn, dsv, dt, dt2, dta, dtsx, dtw, dvi, dvl, dwg, dx, dxb, dxf, dxl, dz, eco, ecs, ecw, ecx, edb, efd, efw, egc, eio, eip, eit, email, emd, emf, emlx, ep, epf, epi, epp, eps, epsf, eql, erf, err, etf, etx, euc, exr, f, fadein, fal, faq, fax, fb2, fb3, fbl, fbx, fcd, fcf, fdb, fdf, fdp, fdr, fds, fdt, fdx, fdxt, fes, fft, fh10, fh11, fh3, fh4, fh5, fh6, fh7, fh8, fic, fid, fif, fig, fil, flc, fli, flr, fm5, fmp, fmp12, fmpsl, fmv, fodt, fol, fountain, fp3, fp4, fp5, fp7, fp8, fpos, fpt, fpx, frt, ft10, ft11, ft7, ft8, ft9, ftn, fwdn, fxc, fxg, fzb, fzv, g3, gca, gcdp, gdb, gdoc, gdraw, gem, geo, gfb, gfie, ggr, gif, gih, gim, gio, glox, gmbck, gmspr, gmz, gpd, gpn, gro, grob, grs, gsd, gthr, gtp, gv, gwi, gz, gz2, gza, gzi, gzip, ha, hbc, hbc2, hbe, hbk, hdb, hdp, hdr, hht, his, hki, hki1, hki2, hpg, hpgl, hpi, hpl, hs, htc, html, hwp, hz, i3d, ib, icn, icon, icpr, idc, idea, idx, igt, igx, ihx, iil, iiq, imd, info, ink, int, ipf, ipx, itc2, itdb, itw, iwi, j, j2c, j2k, jarvis, jas, jb2, jbig, jbig2, jbmp, jbr, jfif, jia, jis, jng, joe, jp1, jp2, jpe, jpeg, jpg, jpg2, jps, jpx, jrtf, jtf, jtx, jwl, jxr, kdb, kdbx, kdc, kdi, kdk, kes, kic, klg, knt, kon, kpg, kwd, latex, lbm, lbt, lgc, lis, lit, ljp, lmk, lnt, lp2, lrc, lst, ltr, ltx, lue, luf, lwo, lwp, lws, lxfml, lyt, lyx, m3d, ma, mac, maf, man, map, maq, mat, max, mb, mbm, mbox, md5txt, mdb, mdbhtml, mdf, mdn, mdt, me, mef, mell, mft, mgcb, mgmf, mgmt, mgmx, mgtx, mhtml, min, mmat, mng, mnr, mnt, mobi, mos, mpf, mpo, mrg, mrxs, msg, mt9, mud, mwb, mwp, mxl, myd, myl, ncr, nct, ndf, nfo, njx, nlm, notes, now, nrw, ns2, ns3, ns4, nsf, nv2, nwctxt, nyf, nzb, obj, oc3, oc4, oc5, oce, oci, ocr, odb, odm, odo, ods, odt, ofl, oft, omf, openbsd, oplc, oqy, ora, orf, ort, orx, ota, otg, oti, ott, ovp, ovr, owc, owg, oyx, ozb, ozj, ozt, p7s, p96, p97, pages, pal, pan, pano, pap, pbm, pc1, pc2, pc3, pcd, pcs, pcx, pdb, pdd, pdf, pdm, pdn, pe4, pef, pfd, pff, pfi, pfs, pfv, pfx, pgf, pgm, phm, php, pi1, pi2, pi3, pic, pict, pix, pjpeg, pjpg, pjt, pl, plantuml, plt, pm, pmg, png, pni, pnm, pntg, pnz, pobj, pop, pp4, pp5, ppm, ppt, pptm, pptx, prt, prw, ps, psd, psdx, pse, psid, psp, pspbrush, psw, ptg, pth, ptx, pu, pvj, pvm, pvr, pwa, pwi, pwr, px, pxr, pz3, pza, pzp, pzs, qdl, qmg, qpx, qry, qvd, ras, raw, rctd, rcu, rdb, rdl, readme, rft, rgb, rgf, rib, ric, riff, ris, rix, rle, rli, rng, rpd, rpf, rpt, rri, rs, rsb, rsd, rsr, rst, rt, rtd, rtf, rtx, run, rw2, rwl, rzk, rzn, s2mv, s3m, saf, safetext, sai, sam, save, sbf, scad, scc, sci, scm, scriv, scrivx, sct, scv, scw, sdb, sdf, sdm, sdoc, sdw, sep, sfc, sfera, sfw, sgm, sig, sk1, sk2, skcard, skm, sla, slagz, sld, sldasm, slddrt, sldprt, sls, smf, smil, sms, snagitstamps, snagstyles, sob, spa, spe, sph, spj, spp, spq, spr, sqb, sql, sqlite, sqlite3, sqlitedb, sr2, srw, ssa, ssfn, ssk, st, ste, stm, stn, stp, str, strings, stw, sty, sub, sumo, sva, svf, svg, svgz, swf, sxd, sxg, sxw, t2b, tab, tb0, tbn, tcx, tdf, tdt, te, teacher, tex, text, tfc, tg4, tga, thm, thp, thumb, tid, tif, tiff, tivo, tix, tjp, tlb, tlc, tlx, .tlzma, tm, tm2, tmd, tmv, tmx, tn, tne, tpc, tpi, trelby, trm, tvj, txt, u3d, u3i, udb, ufo, ufr, uga, unauth, unity, unx, uof, uot, upd, usr, utf8, utxt, v12, vault, vbr, vct, vda, vdb, vec, vff, vml, vnt, vpd, vpe, vrml, vrp, vsd, vsdm, vsdx, vsm, vst, vstm, vstx, vue, vw, wb1, wbc, wbd, wbk, wbm, wbmp, wbz, wcf, wdb, wdp, webdoc, webp, wgz, wire, wlmp, wmdb, wmf, wn, wp, wp4, wp5, wp6, wp7, wpa, wpb, wpd, wpe, wpg, wpl, wps, wpt, wpw, wri, wsc, wsd, wsh, wtx, wvl, x, x3d, x3f, xar, xbdoc, xbplate, xdb, xdl, xef, xej, xel, xesc, xez, xfl, xhtml, xld, xlf, xlgc, xlmv, xls, xlsm, xlsx, xm, xmcdz, xmind, xmmap, xmv, xpi, xpm, xps, xvid, xwp, xx, xy3, xyp, xyw, xz, y, yal, ybk, yml, ysp, yz, yz1, z, z01, z02, z03, z04, z3d, zabw, zap, zdb, zdc, zfsendtotarget, zi, zif, zip, zipx, zix, zl, zoo, zpi, zw, zz (988 расширений). 
На сайте Symantec указано ещё больше — 1479 расширений. 

   Coverton также удаляет теневые копии файлов и точки восстановления, чтобы их нельзя было использовать для восстановления зашифрованных файлов. Затем передаёт информацию о проделанной работе (начало работы, начало шифрования, окончание шифрования, количество зашифрованных файлов, общий размер зашифрованных файлов и пр.) на C&C-сервер. Эта информация будет использована на TOR-сайте вымогателей при отображении статистики.

TOR-сайт вымогателей называется Corveton Decryptor. Здесь жертва будет видеть информацию о том, сколько на компьютере было зашифровано файлов и каков их общий размер. Каждой жертве присваивается уникальный Bitcoin-адрес, который требуется для отправки выкупа в 1 Bitcoin.

Внешний вид Corveton Decryptor

Сайт Corveton Decryptor

  После уплаты выкупа в 1 Bitcoin эта страница отобразит ссылку для загрузки дешифратора. Но как показал опыт заплативших, выкуп бесполезен, т.к. дешифратор некорректно дешифрует все зашифрованные файлы. Таким образом, оплачивая выкуп, пострадавшие рискуют потерять не только файлы, но и деньги.

 Файлы Coverton Ransomware (копии себя): 
%System%\crrss.exe
%UserProfile%\userlog.exe

Файлы, связанные с Coverton Ransomware Family:
%UserProfile%\userlog.exe
%UserProfile%\Desktop\!!!-WARNING-!!!.html
%UserProfile%\Desktop\!!!-WARNING-!!!.txt
%UserProfile%\Desktop\old

Записи реестра, связанные с Coverton Ransomware Family:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\userlog    %UserProfile%\userlog.exe

Записи реестра для автозапуска Coverton Ransomware: 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"crrss" = "%System%\crrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"userlog" = "%UserProfile%\userlog.exe”

Другие записи реестра Coverton Ransomware:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = 
"%System%\userinit.exe,%System%\crrss.exe"
HKEY_CURRENT_USER\Software\Microsoft\CharMap\"Guid" = "[BINARY DATA]"

Описание детекта на сайте Symantec >>>

Write-up on BC >>
Тема поддержки на форуме BC >>

 Степень распространённости: средняя. 
 Подробные сведения собираются.