Kryptonite RBY

Kryptonite RBY Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Kryptonite. На файле написано: Kryptonite.exe и Copyright RBY.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение с надписями на русском и английском.

Содержание записки о выкупе:
ВНИМАНИЕ!
В этой фотографии скрывается флаг.

ATTENTION!
All the files on your disk were encrypted.



Translation of the first phrase into English:
ATTENTION!
In this photo the flag is hidden.

Перевод второй фразы на русский язык:
ВНИМАНИЕ!
Все файлы на вашем диске были зашифрованы.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Kryptonite.exe
<image>

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Mystic

Mystic Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 1.01 BTC, чтобы вернуть файлы. Оригинальное название: Mystic. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется. Маркер файлов не используется. 

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ransom.txt

Содержание записки о выкупе:
Your computer has been hacked and your files have been locked.
You have 5 days left to recover your files so quickly follow recovery process below.
Recovery Process in 3 easy steps (Automated System. No human intervention. Works 24/365):
1) Buy 1.01 BitCoin Approx 280$. (Easiest buying option is www.localbitcoins.com) and goto the following website:
xxxx://qgpkqxybsm6hk72j.onion.cab/pay/Yf8*****==
2) Send payment of 1.01 Bitcoin to the address in the website given above.
3) In approx 15 minutes after making the payment to the bitcoin address, Go back to the above website. If payment is successful then you will receive unlock instructions.
Don't delete or modify this ransom file till recovery of files as no recovery is possible without this file. This file is on your desktop for future use.
 List of files which have been locked are given below.
-- MYSTIC

Перевод записки на русский язык:
Ваш компьютер взломан, а ваши файлы заблокированы.
У вас осталось 5 дней для восстановления файлов, следуйте за быстрым процессом восстановления ниже.
Процесс восстановления в 3 простых шага (автоматическая система без вмешательства человека. Работает 24/365):
1) Купить 1.01 BitCoin около 280$. (Самый простой вариант покупки - www.localbitcoins.com) и перейти на следующий веб-сайт:
хххх://qgpkqxybsm6hk72j.onion.cab/pay/Yf8*****==
2) Отправить платеж в размере 1.01 биткойн на адрес указанного выше веб-сайта.
3) Примерно через 15 минут после внесения платежа в биткоин-адрес вернитесь к вышеуказанному веб-сайту. Если платеж будет успешным, вы получите инструкции по разблокировке.
Не удаляйте и не изменяйте этот файл выкупа до восстановления файлов, т.к. без этого файла восстановление невозможно. Этот файл находится на вашем рабочем столе для будущего использования.
  Список блокированных файлов приведен ниже.
-- MYSTIC

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransom.txt - содержит список зашифрованных файлов на компьютере жертвы

Расположения:
\Desktop\ransom.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://adtracker.tk***
xxxx://qgpkqxybsm6hk72j.onion.cab/pay/***
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Mystic)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 MalwareHunterTeam
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

RestoLocker

RestoLocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: restolocker. На файле написано: restolocker.exe и WpfApplication1. Разработчик: Phantom.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> RestoLocker

К зашифрованным файлам добавляется расширение .HeroesOftheStorm

Изображение относится к игре

Активность этого крипто-вымогателя пришлась на середину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: What is it?.txt

Содержание записки о выкупе:
Hi. I encrypted your personal files. 
Heroes Of The Storm is the god game. But, people don't know that.
So, I made this program that make people to play Heroes Of The Storm.
To dectrypt your files, follow this procedure. First, You have to install Heroes Of The Storm. Second, Play Heroes Of The Storm 24hours. (Only Play Time Will Be Recorded)
NOW, Let's play the King God Emperor General Chungmoogong Majesty Game HEROES OF THE STORM
*Warning* Do NOT KILL This Program and Computer.


Имеется надпись:
Play Heroes Of The Storm and decrypt your files

Перевод на русский: 

Играй в "Герои Шторма" и расшифруешь свои файлы


Перевод записки на русский язык:
Привет. Я зашифровал твои личные файлы.
"Герои Шторма" - божественная игра. Но люди этого не знают.
Итак, я сделал эту программу, которая заставит людей играть в "Герои Шторма".
Чтобы дешифровать твои файлы, выполни следующую процедуру. Во-первых, тебе нужно установить Heroes Of The Storm. Во-вторых, играй в Heroes Of The Storm 24 часа. (Будет записано только время игры)
ТЕПЕРЬ, Давай сыграем в Короля-Бога-Императора-Генерала-Чунгмуганга-Величество-Игру "ГЕРОИ ШТОРМА"
* Предупреждение * НЕ ВЫРУБАЙТЕ эту программу и компьютер.


Запиской с требованием выкупа также выступает экран блокировки:

Содержание текста с экрана:
Play Heroes Of The Storm!
Your personal files are encrypted
The King God Game Ever

Перевод на русский:
Играй в "Герои Шторма"
Твои личные файлы зашифрованы
Это Король-Бог-Игра

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Воспроизводит звуковой файл hiosu.wav из ресурсов WpfApplication1. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
restolocker.exe
What is it?.txt
\hiosu.wav
\test\

Расположения:
\Desktop\test\What is it?.txt
User_name\Documents\Visual Studio 2013\Projects\WpfApplication1\WpfApplication1\Resources\hiosu.wav

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: xxxxs://172.30.1.28/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  + VT >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 марта 2018:
Пост в Твиттере >>
Выглядит как ранний образец.
Результаты анализов: VB + VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Karsten Hahn
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Blackhat

Blackhat Ransomware

Blackhat H.F.D Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в $200 в BTC, чтобы вернуть файлы. Оригинальное название: Blackhat. На файле написано: MoWare H.F.D и Blackbat. Основан на MoWare H.F.D Ransomware.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> MoWare H.F.D > Blackhat H.F.D

К зашифрованным файлам добавляется расширение .H_F_D_locked

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
Your Personal Files has been Encrypted and Locked
Your documents, photos, databases and other important files have been encrypted with strongest encryption and locked with unique key, generated for this computer.
Private decryption key is stored on a secret Internet server and nobody can decrypt your files until you pay and obtain the private key.
Caution: Removing of Blackhat will not restore access to your encrypted files.
Frequently Asked Questions
What happened to my files ? understanding the issue
How can i get my files back ? the only way to restore your files
What should i do next ? Buy decryption key
Now you have the last chance to decrypt your files.
1. Buy Bitcoin (https://blockchain.info)
2. Send amount of 200 dollar to address: to 1LZnKJDsiygvLuYpbSJr1iyT6bav7VyWM5
3. Transaction will take about 15-30 minutes to confirm.
4. When transaction is confirmed, send email to us at blackhatdarkmatrix@gmail.com
Click here to restore and recovery your files

Перевод записки на русский язык:
Ваши личные файлы были зашифрованы и блокированы
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы с использованием самого сильного шифрования и защищены ключом, созданным для этого компьютера.
Частный ключ дешифрования хранится на секретном интернет-сервере, и никто не может расшифровать ваши файлы, пока вы не заплатите и не получите закрытый ключ.
Предупреждение: Удаление Blackhat не восстановит доступ к вашим зашифрованным файлам.
Часто задаваемые вопросы
Что случилось с моими файлами? понимание проблемы
Как я могу вернуть свои файлы? только способ восстановить ваши файлы
Что я должен делать дальше ? Купить ключ дешифрования
Теперь у вас есть последний шанс для расшифровки файлов.
1. Купить биткоин (https://blockchain.info)
2. Отправить сумму в 200 долларов США на адрес: 1LZnKJDsiygvLuYpbSJr1iyT6bav7VyWM5
3. Для подтверждения транзакции требуется около 15-30 минут.
4. Когда транзакция подтвердится, отправьте нам письмо на blackhatdarkmatrix@gmail.com.
Нажмите здесь, чтобы восстановить и вернуть ваши файлы

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Пока шифрует только тестовую папку на рабочем столе и извлекает ключ XOR из локальный веб-сервера. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Blackbat.exe
\test\

Расположения:
\Desktop\test\

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: blackhatdarkmatrix@gmail.com
BTC: 1LZnKJDsiygvLuYpbSJr1iyT6bav7VyWM5
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Crypto_Lab, CryptoLab-16

Crypto_Lab Ransomware

CryptoLab-16 Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателей, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле записки написано Crypto_Lab.

© Генеалогия: Plague17 (2014-2016) > AMBA > Crypto_Lab > Russenger > Dont_Worry > Plague17 (2018-2019)

К зашифрованным файлам добавляется составное расширение по шаблону .<email_ransom>-<random_ID{16}>

На данный момент так: .cde@onionmail.info-<random_ID{16}>

Примеры зашифрованных файлов:
document.doc.cde@onionmail.info-549d9d95435daeab
document.html.cde@onionmail.info-306afa0d68ca9dc3

Активность этого крипто-вымогателя пришлась на первую и вторую половину сентября 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Crypto_Lab.txt
Разбрасывается по всем папкам с зашифрованными файлами. 

Содержание записки о выкупе:
Вся Ваша информация на этом компьютере была зашифрована.
Для расшифровки обратитесь по нижеуказанным контактам.
------------------------------------------------------------
e-mail: cde@onionmail.info
Ваш код для разблокировки: 34567890
-----------------------------------
Если Вам приходит ответ, что почтовый адрес не существует:
1. Попробуйте написать нам с других емеил, mail.ru, yandex.ru;
2. Попробуйте написать через время.
Так же можете создать тему на форумах антивируса, например на xxxxs://virus.info/forumdisplay.php?f=46 ,
укажите свою почту и мы с Вами свяжемся.
------------------------------------------------------------
Все инструкции вы получите в ответном письме.
------------------------------------------------------------

Перевод записки на английский язык (in English):
All your information on this computer has been encrypted.
To decrypt refer to the contacts listed below.
------------------------------------------------------------
e-mail: cde@onionmail.info
Your code for unlock: 34567890
-----------------------------------
If you receive an answer that the mailing address does not exist:
1. Try to write to us from other emil, mail.ru, yandex.ru;
2. Try to write via the time.
You can also create a topic on anti-virus forums, for example on xxxxs://virus.info/forumdisplay.php?f=46 ,
specify your mail and we will contact you.
------------------------------------------------------------
You will receive all instructions in the reply letter.
------------------------------------------------------------

Примечательно, что адрес форума на VirusInfo в записке указан неправильный - virus.info.
Правильный адрес: www.virusinfo.info/forumdisplay.php?f=46

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Все файлы, возможно, кроме .dll, .exe.
Это наверняка документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, бэкапы и пр.

Файлы, связанные с этим Ransomware:
Crypto_Lab.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: cde@onionmail.info
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

AMBA Family (семейство AMBA):
AMBA Ransomware - июнь, сентябрь 2016
Crypto_Lab Ransomware - сентябрь 2017
Russenger Ransomware - февраль 2018
Dont_Worry Ransomware - март-апрель 2018
Plague17 Ransomware - август 2019

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov (author)
 victims of the attack ransomware
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Incanto

Incanto Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано. 

© Генеалогия: Incanto > Craftul 

К зашифрованным файлам добавляется расширение .INCANTO

Активность этого крипто-вымогателя пришлась на первую половину октября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: !!!GetBackData!!!.txt

Содержание записки о выкупе:
All your important files were encrypted on this PC.
All files with .INCANTO extension are encrypted.
Encryption was produced using unique private key RSA-1024 generated for this computer.
To decrypt your files, you need to obtain private key + decrypt software.
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet.
To retrieve the private key, you need to contact us by email incantofiles@bitmessage.ch send us an email your !!!GetBackData!!!.txt file and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a 1-2 not very big encrypted files and we will send you back it in a decrypted form free.
To send files you can use hxxx://dropmefiles.com/
Your personal id:
[redacted]
E-mail address to contact us:
incantofiles@bitmessage.ch
Reserve email address to contact us:
incantofiles@india.com

Перевод записки на русский язык:
Все ваши важные файлы были зашифрованы на этом ПК.
Все файлы с расширением .INCANTO зашифрованы.
Шифрование было создано с использованием уникального секретного ключа RSA-1024, созданного для этого компьютера.
Чтобы расшифровать ваши файлы, вам надо получить секретный ключ + программу дешифрования.
Единственная копия закрытого ключа, позволяющая расшифровать файлы, находится на секретном сервере в Интернете.
Чтобы получить секретный ключ, вам нужно связаться с нами по email incantofiles@bitmessage.ch, присылать нам в письме ваш файл !!!GetBackData!!!.txt и дождаться дальнейших инструкций.
Чтобы вы были уверены, что мы можем расшифровать ваши файлы, вы можете отправить нам 1-2 не очень больших зашифрованных файла, и мы пришлём вам их в дешифрованном виде бесплатно.
Для отправки файлов вы можете использовать hxxx://dropmefiles.com/
Ваш личный ID:
Email-адрес для связи:
incantofiles@bitmessage.ch
Резервный email-адрес для связи с нами:
incantofiles@india.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!GetBackData!!!.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: incantofiles@bitmessage.ch
incantofiles@india.com
См. ниже результаты анализов.

Результаты анализов:  НЕТ ОБРАЗЦА!!! / NO SAMPLE !!!
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Новая статья: Graftul Ransomware >>

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Incanto)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

SoFucked

SoFucked Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .fff

Активность этого крипто-вымогателя пришлась на первую половину сентября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READTHISHIT.txt
Другим информатором жертвы выступает изображение, встающее обоями рабочего стола.

Содержание записки о выкупе:
ok, your files are gone, sort of. they are all encrypted,
you cannot fix them, av companies won't help you. if you really
want to get them back you need to pay for them.
email me: sofucked@freespeechmail.org

Перевод записки на русский язык:
ок, ваши файлы пришли в негодность. все они зашифрованы,
вы не сможете их исправить, а АВ-компании не помогут. если вы точно 
хотите вернуть их, вам нужно заплатить за них.
мыльте мне: sofucked@freespeechmail.org

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
secret.key
READTHISHIT.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

*

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as SoFucked)
 Write-up, Topic of Support
 * 

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.