Если вы не видите здесь изображений, то используйте VPN.

понедельник, 1 мая 2017 г.

Maykolin

Maykolin Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES/RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название неизвестно.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение 
.[maykolin1234@aol.com]

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.maykolin1234@aol.com.txt и ещё в html или hta с тем же текстовым содержанием. 

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC.If you want to restore them, write us to the e-mail maykolinl234@aol.com
Your ID number is *** Write your ID number in e-mail and send us.
You have to pay for decryption in Bitcoins.The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee
Before paying you can send to us up to 3 files for free decryption.Please note that files must NOT contain valuable information and their total size must be less than 10Mb.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buv-bitcoins/
Attention!
• Do not rename encrypted files.
• Do not try to decrypt your data using third party software, it may cause permanent data loss.
• Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью на вашем ПК. Если вы хотите их восстановить, напишите нам на email maykolinl234@aol.com
Ваш ID: *** Напишите ваш ID в email и отправьте нам.
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы напишете нам. После оплаты мы вышлем вам инструмент дешифровки, который расшифрует все ваши файлы.
Бесплатное дешифрование в качестве гарантии
Перед оплатой вы можете отправить нам до 3-х файлов для бесплатной дешифровки. Обратите внимание, что файлы НЕ должны содержать ценную информацию, и их общий размер должен быть меньше 10 МБ.
Как получить биткоины
Самый простой способ купить биткойны - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для новичков здесь:
http://www.coindesk.com/information/how-can-i-buv-bitcoins/
Внимание!
• Не переименовывайте зашифрованные файлы.
• Не пытайтесь расшифровать свои данные с помощью сторонних программ, это может привести к полной потере данных.
• Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют их к нашим), или вы можете стать жертвой мошенничества.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Это крипто-вымогатель генерирует уникальный AES-ключ для каждого файла, используя первые 65 байтов файла, затем шифрует первые 300 байт с помощью RSA-4096, а потом использует этот ключ AES для шифрования остальной части файла. Нет способа восстановить байты, которые производят ключ. Даже, если при наличии оригинального файла сгенерировать ключ для расшифровки большей части файла, то первые 300 байт всё равно останутся надёжно зашифрованы. Так как, это возможно только при наличии оригинального файла, то вряд ли возможно дешифровать все файлы. Ведь если бы все они имели копии, то и дешифровка была бы не нужна. (Подробности от Майкл Джиллеспи).

Файлы, связанные с этим Ransomware:
README.maykolin1234@aol.com.txt
crypt.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: maykolin1234@aol.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 февраля 2018:
Топик на форуме >>
Расширение: .[fuga139gh@dr.com]
Email: fuga139gh@dr.com
Записка: README.fuga139gh@dr.com.txt
Содержание записки: 
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC.If you want to restore them, write us to the e-mail fuga139gh@dr.com
Your ID number is [redacted]. Write your ID number in e-mail and send us.
You have to pay for decryption in Bitcoins.The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 
Free decryption as guarantee
Before paying you can send to us up to 3 files for free decryption.Please note that files must NOT contain valuable information and their total size must be less than 10Mb. 
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/ 
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price(they add their fee to our) or you can become a victim of a scam. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Maykolin)
 Write-up, Topic
 * 
 Thanks: 
 SecPanda
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Extractor

Extractor Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателя, чтобы вернуть файлы. Оригинальное название. Написан на Delphi.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .xxx

Активность этого крипто-вымогателя пришлась на конец апреля - начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: ReadMe_XXX.txt

Содержание записки о выкупе:
Hello,
I crypted all your important data
I stored the crypted data in your hard disk.
If you want to become your data back, send me an email containing your computer Number.
Your computer Number: 125
e-mail : serverrecovery@mail.ru

Перевод записки на русский язык:
Привет,
Я зашифровал все ваши важные данные
Я сохранил зашифрованные данные на вашем жёстком диске.
Если вы хотите вернуть свои данные, пришлите мне на email номер вашего компьютера.
Номер вашего компьютера: 125
Email : serverrecovery@mail.ru

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadMe_XXX.txt
ip topoloji.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: serverrecovery@mail.ru
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Extractor)
 Write-up, Topic
 * 
 Thanks: 
 xXToffeeXx
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Freshdesk

Freshdesk Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .www

Активность этого крипто-вымогателя пришлась на конец апреля - начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: restore_files.html

Содержание записки о выкупе:
Your files are Encrypted!
For data recovery needs decryptor.
To buy the decryptor, you must pay the cost of: 0.5 Bitcoin
button [Buy Decryptor] 
Free decryption as guarantee.
Before paying you can send us 1 file for free decryption.
To send a message or file use this form:
*****
Freshdesk form

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Для восстановления данных нужен декриптер.
Чтобы купить декриптер, вы должны заплатить: 0,5 биткойн
кнопка [Купить Декриптер]
Бесплатная дешифровка как гарантия.
Перед оплатой вы можете отправить нам 1 файл для бесплатной дешифровки.
Для отправки сообщения или файла используйте эту форму:
****
Форма Freshdesk

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
restore_files.html
<random>.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 Michael Gillespie
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Stupid

Stupid Ransomware

(OSR, группа шифровальщиков)


Это группа шифровальщиков-вымогателей и фейк-шифровальщиков, относящихся к условному семейству Stupid-based Ransomware, т.н. барахольных вымогателей, созданных на основе Stupid Ransomware, проекта с открытым исходным кодом (англ. open-source junk code), размещенным на GitHub. Они используют статические ключи шифрования и, следовательно, их легко расшифровать. 

Проекты на основе OSR Stupid Ransomware обычно используются малоопытными разработчиками, и многие из них используют темы, основанные на фильмах, поп-культуре или притворяются правоохранительными органами. 
Сокращение OSR (от англ. open-source ransomware) введено и используется на этом сайте. 

Вот скриншот одного из вариантов Stupid Ransomware.

Название Stupid (англ. "дурацкий, тупой") дано расширяемой группе вымогателей, для которых Майкл Джиллеспи регулярно обновляет свой специальный дешифровщик Stupid Decryptor.

Другое известное название этого семейства: FTSCoder. В эту группу разработчик дешифровщика включил следующих вымогателей (названия даны по алфавиту):

AnDROid Ransomware - расширение .android - добавлено 28.03.2017
Annabelle Ransomware - расширение .ANNABELLEдобавлено 19.02.2018
BlackSheep Ransomware - расширение .666 - добавлено 29.05.2017
Crypt0 Ransomware - расширение _crypt0 - добавлено 04.02.2017
Crypto-Blocker Ransomware - расширение .corrupted - добавлено 07.05.2017
CryptoDevil Ransomware - расширение .devil - добавлено 20.03.2017
CryptoLocker by NTK - расширение .powned - добавлено 17.02.2017
CryptoSomware Ransomware - расширение .FailedAccess - добавлено 24.04.2017
DeriaLock Ransomware - расширение .deria - добавлено 04.02.2017
DoNotOpen Ransomware - расширение .killedXXX - добавлено 04.02.2017
Dragnea Ransomware - расширение .dragnea - добавлено 31.07.2018
EnkripsiPC Ransomware - расширение .fucked - добавлено 04.02.2017
Eternity Ransomware - расширение .eTeRnIty - добавлено 02.12.2017
FuckTheSystem Ransomware - расширение .anon - добавлено 01.05.2017
H34rtBl33d Ransomware - расширение .H34rtBl33d  - добавлено 30.03.2018
Harzhuangzi Ransomware (tw) - расширение .Harzhuangzi - добавлено 10.02.2017
Haters Ransomware - расширение .haters - добавлено 02.05.2017
Hitler Ransomware - расширение .Nazi - добавлено 04.02.2017
IGotYou Ransomware  - расширение .iGotYou  - добавлено 22.11.2017
JeepersCrypt Ransomware - расширение .jeepers - добавлено 22.04.2017
Madafakah Ransomware - расширение .fucking - добавлено 26.05.2017
Manifestus Ransomware - расширение .fucked - добавлено 04.02.2017
Mikoyan Ransomware - расширение .MIKOYAN - добавлено 01.05.2017
Mr403Forbidden Ransomware - расширение .alosiaдобавлено 17.07.2017
NIBIRU (Hackers Invasion) Ransomware - расширение .Doxes добавлено 17.09.2017
NoCry Ransomware - расширение .Cry  - добавлено 23.04.2021
NullByte Ransomware - расширение _nullbyte - добавлено 04.02.2017
SecretSystem Ransomware - расширение .slvpawned - добавлено 13.05.2017
SnakeEye Ransomware (tw) - расширение .SnakeEye - добавлено 17.04.2017
TeslaWare Ransomware - расширение .Tesla - добавлено после 21.06.2017
Try2Cry Ransomware  - расширение .Try2Cry - добавлено 03.07.20
WanaDie Ransomware (tw) - расширение .WINDIE - добавлено после 26.05.2017
WhyCry Ransomware - расширение .whycry - добавлено. 13.06.2017
XmdXtazX Ransomware - расширение .XmdXtazX добавлено 17.09.2017
Xncrypt Ransomware - расширение .xncrypt - добавлено 02.05.2017
Zyka Ransomware - расширение .lock - добавлено 04.02.2017

А также другие вымогатели, использующие расширения для зашифрованных или заблокированных файлов (отсутствующие в списке выше):
.adam
.anon
.bycicle
.crypted
.encrypt
.fun
и другие.

Возможно, что родство некоторых из них сомнительное, но дешифровщик для них один и это главное. 

Этот список регулярно дополняется. 

Степень распространённости: средняя.
Подробные сведения регулярно дополняются.


Внимание!
Для зашифрованных файлов есть общий декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 ID Ransomware (ID as Stupid Ransomware)
 Дешифровщики-файлов
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 BleepingComputer
 and other volunteers

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoBoss

CryptoBoss Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы заплатить выкуп и вернуть файлы. Оригинальное название: CryptoBoss. Написан на Delphi. Содержание записки о выкупе вымогатели заимствовали у Globe3. Второй проект разработчиков-вымогателей, создавших Amnesia Ransomware. Следы вымогателей прямиком ведут в Украину. 

© Генеалогия: Globe Family > Amnesia ⇔ CryptoBoss

К зашифрованным файлам добавляется расширение .CRYPTOBOSS
Оригинальные имена файлов изменяются до неузнаваемости. 

Пример зашифрованного файла:
8g000000003d7joOJplTwwPtp8oxyU8TntyYwPC0USaK2afms3SnPuG9NDW-BQUXDvgOiedOiss.CRYPTOBOSS

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
All your files have been encrypted
Your ID:
7948013710631*****
All your files have been encrypted
If you want to restore them, write us to the e-mail: admin-amnesia@protonmail.com or admin-amnesia@bigmir.net
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
FREE DECRYPTION AS GUARANTEE
Before paying you can send to us up to 1 files for free decryption.
Please note that files must NOT contain valuable information and their total size must be less than 1Mb
Attention!
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 3 days - your key has been deleted and you cant decrypt your files.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы
Ваш ID:
7948013710631 *****
Все ваши файлы были зашифрованы
Если хотите вернуть файлы, пришлите email на адрес электронной почты: admin-amnesia@protonmail.com или admin-amnesia@bigmir.net
Вы должны заплатить за дешифровку в биткоинах. Цена зависит от того, как быстро вы нам напишете.
После оплаты мы вышлем вам инструмент дешифровки, который дешифрует все ваши файлы.
БЕСПЛАТНАЯ ДЕШИФРОВКА КАК ГАРАНТИЯ
До оплаты вы можете прислать нам 1 файл на бесплатную дешифровку.
Заметьте, что файлы НЕ должны содержать ценную информацию и их общий размер должен быть меньше 1 МБ
Внимание!
Не переименовывайте зашифрованные файлы
Не пытайтесь расшифровать свои данные сторонними программами, это может привести к потере данных
Если вы не напишете на email за 3 дня - ваш ключ был удален, и вы не сможете расшифровать свои файлы.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: admin-amnesia@protonmail.com
admin-amnesia@bigmir.net
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

Ruby

Ruby Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название: ruby. Разработчик: Hayzam Sherif. Фальш-копирайт: rg-adguard 2017.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .ruby 

Активность этого крипто-вымогателя пришлась на начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: rubyLeza.html

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Другим информатором жертвы выступает экран блокировки. 
Собственно окно блокировщика
Диалог при клике на 1-ю кнопку
Диалог при клике на 2-ю кнопку

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
rubyLeza.html
ruby.exe

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Ruby)
 Write-up, Topic
 * 
 Thanks: 
 ​​MalwareHunterTeam
 Michael Gillespie 
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Mikoyan

Mikoyan Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: MIKOYAN и MIKOYAN ENCRYPTOR. Среда разработки: Visual Studio 2012. Разработчик: rucku. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .MIKOYAN

Активность этого крипто-вымогателя пришлась на конец апреля - начало мая 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком: MIKOYAN ENCRYPTOR.

Содержание записки о выкупе:
Warning!
Your downloaded files had been encrypted with a AES-256 enciyption key.
If you want your files back send 1 Btcoins in the adress below.
BITCOIN ADDRESS: 3Cnd77qB88NOiCoChUu4F3exV8CKGH4Ce
Need help? contact me.
EMAIL ADDRESS : mikoyan.ironsight@outlook.com
Good luck before it gets encrypted with RSA-4096
ENTER DECRYPTION KEY
button [DECRYPT!!!]

Перевод записки на русский язык:
Предупреждение!
Твои загруженные файлы зашифрованы c ключом шифрования AES-256.
Если хочешь вернуть свои файлы, отправь 1 Btcoins на адрес ниже.
BITCOIN-АДРЕС: 3Cnd77qB88NOiCoChUu4F3exV8CKGH4Ce
Нужна помощь? свяжитесь со мной.
EMAIL-АДРЕС: mikoyan.ironsight@outlook.com
Удачи, прежде чем зашифрован с RSA-4096
ВВЕДИТЕ КЛЮЧ ДЕШИФРОВАНИЯ
Кнопка [DECRYPT!!!]

Похоже, что шифруются только загруженные файлы в пользовательской папке "Загрузки".

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
MIKOYAN.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mikoyan.ironsight@outlook.com
BTC: 3Cnd77qB88NOiCoChUu4F3exV8CKGH4Ce
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DeadSec-Crypto

DeadSec-Crypto Ransomware

(фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей, а затем требует выкуп в 0,05 BTC, чтобы вернуть файлы. Оригинальное название: DeadSec-Crypto v2.1. Другое, указанное на исполняемом файле: WindowsApplication1. 
Замечено, что такое же второе название использовалось в других крипто-вымогателях, описанных в этом дайджесте (M4N1F3STOFakeWUCryptoSomware и др.)
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Зашифрованные файлы должны получать расширение .locked

Активность этого крипто-вымогателя пришлась на конец апреля 2017 г. Ориентирован на бразильских и португалоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста с экрана:
Porque recebi isso?
Você foi vitma de um ransomware e todos seus dados foram roubados e criptografados pela DeadSec todos arquivos estao com extensão .locked e com a hash SHA256SUM praticamente impossível de recuperar nos temos todos seus dados inclusive senhas, documentos e arquivos dentre outras coisas pessoais como Cartões e etc.
O que fazer?
Você precisara doar uma quantia de 0.05 Bitcoins que em Reais=R$100.00 para o Endereço abaixo, para doar a quantia você precisa comprar Bitcoins com dinheiro real em: https://blockchain.info/wallet/#/signup após enviar os bitcoins para o endereço, confirmaremos a transação e enviaremos uma chave para seu email e você tera seus arquivos e senhas
Você tem o prazo de: thecrackerOday@gmail.com
Chave: [...]
Endereço: 1Mx4Zgz5nYmFPPSUS6TbF2SfVP4xfcghBu
Caso nao envie a quantia em 1 Semana, vazaremos todos seus dados.
[Confirmar]
Link Label 1

Ошибка в тексте:
vitma - должно быть vitima (жертва), может стать характерным признаком для идентификации в будущем. 

Перевод записки на русский язык:
Почему я получил это?
Вы стали жертвой вымогателя и все ваши данные были украдены и зашифрованы DeadSec всех файлы с расширением .locked и хэш SHA256SUM. практически невозможно восстановить. У нас есть все данные, включая пароли, документы и файлы из других личных вещей, таких как банковские карты и и т.д.
Что делать?
Вам нужно перевести сумму в размере 0,05 Bitcoins, что в реалах = R $100,00 по указанному ниже адресу, чтобы заплатить сумму, на которую нужно купить биткоины за реальные деньги: https://blockchain.info/wallet/#/signup после отправки биткоинов в адрес, мы подтвердим транзакцию и отправим вам ключ на ваш email, и вы будете иметь ваши файлы и пароли
Для контакта: thecrackerOday@gmail.com
Ключ: [...]
Адрес: 1Mx4Zgz5nYmFPPSUS6TbF2SfVP4xfcghBu
Если не отправитt эту сумму в течение одной недели, потеряете все ваши данные.
[Подтверждение]
Link Label 1

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это должны были быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. Но на самом деле применяется только тестовое шифрование файлов в специальной папке. Фактически только пугает. 

Файлы, связанные с этим Ransomware:
WindowsApplication1.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
thecracker0day@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *