Frog

Frog Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: frog. На файле написано.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Frog

К зашифрованным файлам добавляется расширение .frog

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на вьетнамских пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Đọctôi.txt
Запиской с требованием выкупа выступает экран блокировки:
нет данных

Содержание записки о выкупе:
Các tệp của bạn đã được mã hóa.
Để trả lại các tệp của bạn, bạn cần phải trả tiền cho tôi.

Перевод записки на русский язык:
Ваши файлы зашифрованы.
Чтобы вернуть свои файлы, вы должны заплатить мне.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Đọctôi.txt
dw20.exe
frog.exe - файл шифрования
frog.txt
defrog.exe - файл дешифрования
Cab<random>.tmp
Tar<random>.tmp

Расположения:
\Desktop\ ->
\User_folders\ ->
%TEMP%\Cab6724.tmp
%TEMP%\Cab7B37.tmp
%TEMP%\Cab910D.tmp
%TEMP%\Tar6725.tmp
%TEMP%\Tar7B38.tmp
%TEMP%\Tar910E.tmp

%TEMP%\Tar7B38.tmp

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: ruamylove.28@gmail.ru
См. ниже результаты анализов.

Результаты анализов:
Ⓥ VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn‏
 Lawrence Abrams
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DeathNote

DeathNote Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES из WinRar, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Death Note (Death-Note). На файле написано: hit.exe или что-то иное. Название проекта: SilentCMD.pdb. 

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам никакое расширение не добавляется.

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает диалоговое окно с текстом (note.vbs).

Содержание текста о выкупе:
Death Note encrypted your files... go to hitler.uphero.com and get unlock password for after attack, and unlock files.. Your files are safe if you pay
Death note have no mercy on YOU

Перевод текста на русский язык:
Death Note зашифровал ваши файлы ... идите на hitler.uphero.com и получите пароль разблокировки после атаки и разблокируйте файлы. Ваши файлы безопасны, если вы платите
Death Note не пощадит ВАС

В другом (WARNING.vbs) запрограммирован следующий текст:
"Death NOte gives you a chance. Death NOte will restart and if you exit again.. you are gone",0=0,"Death note HAD A MERCY ON YOU"
Вероятно, он должен воспроизводиться звуковым файлом с помощью команды:
start cmd /k %appdata%\hitler\mp3play.exe %appdata%\hitler\bg.mp3 

Также запрограммировано окно командной строки, в которое нужно ввести ключ (код) разблокировки. 

Содержание текста о выкупе:
DEATH-NOTE
=== INSTRUCTION TO GET KEY /===
1> Goto heatler.uphero.com and complete the payment or you can get it by contacting cocbkup@gmail.com email option may take long process.. If you want your data back complete payment now or close pc complete payment then only turn it on Else you will need to pay 2x of charge
***

Перевод текста на русский язык:
DEATH-NOTE
=== ИНСТРУКЦИЯ ПОЛУЧИТЬ КЛЮЧ /===
1> Идите на сайт heatler.uphero.com и сделайте оплату или вы можете сделать это контактируя по email cocbkup@gmail.com, процесс может идти дольше. Если хотите вернуть ваши данные, сделайте оплату сейчас или выключите ПК, а затем включите его. Только потом вам нужно будет заплатить в 2 раза больше.
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Управляется файлами с расширениями .vbs и .bat в папке "hitler". Использует AES-шифрование из WinRar. Создаёт много процессов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
\afolder\
\batches\
\hitler\
\hitler\regen\
\ytmp\
windows defender.bat
note.vbs
WARNING.vbs
deathnote.bat
deathnote.exe
timemon.exe
bg.mp3
mp3play.exe
Rar.exe
и другие

Расположения:
\Temp\ ->
\Desktop\ ->
\User_folders\ ->
\Temp\afolder\
\Temp\afolder\windows defender.bat
\Temp\afolder\Rar.exe
\Temp\afolder\death.bat
\Temp\afolder\cmdc.exe
%AppData%\hitler\note.vbs
%AppData%\hitler\deathnote.bat
\hitler\processmon.exe
\hitler\wget.exe
\hitler\Rar.exe
\hitler\regen\DeathNote.exe
\hitler\regen\New Folder.exe
\hitler\WARNING.vbs
\hitler\bg.mp3
\hitler\mp3play.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
URL: xxxx://hitler.uphero.com
xxxx://files.000webhost.com/public_html/hitler.exe***
xxxxs://www.stephan-brenner.com"

xxxx://upx.tsx.org"
Email: cocbkup@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓥ VirusBuy образец >>
Гибридный анализ >>
VirusTotal анализ >>

ANY.RUN анализ и обзор >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 ANY.RUN
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

LongTermMemoryLoss

LTML Ransomware 

LongTermMemoryLoss Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: LongTermMemoryLoss. На файле написано: LongTermMemoryLoss.exe. Разработчик: Asmcx15. Среда разработки: Visual Studio 2017. 

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .LTML

Образец этого крипто-вымогателя обнаружен в начале января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Пока находится в разработке. 

Запиской с требованием выкупа выступает экран блокировки с заголовком ATTENTION!

Содержание текста о выкупе:
ATTENTION!
***

Перевод текста на русский язык:
ВНИМАНИЕ!
***

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
LongTermMemoryLoss.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓥ VirusBuy анализ >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as LongTermMemoryLoss)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

KoreanLocker

KoreanLocker Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 BTC, чтобы вернуть файлы. Оригинальное название: koreanLocker Ransomware. На файле написано: KoreanLocker.exe. Разработчик: Korean Ransomware Team.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> KoreanLocker 

Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение .locked

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
------------------ koreanLocker Ransomware ------------------
당신의 컴퓨터가 랜섬웨어에 감염되었습니다
당신의 개인적 파일, 예를들어 사진, 문서, 비디오 외 다른 중요한 문서들이 RSA-2048이란 강력한 암호화 알고림즘을 이용하여 암호화 되었습니다
당신의 개인키는 우리의 서버에 생성되어 저장되었습니다
 그렇게되면 그 누구도 당신의 파일을 영원히 복호화 할 수 없습니다
그리고 장담하건데 개인키가 없이는 절대 복호화가 이루어지지 않습니다
다시한번 말하지만 비트코인을 지불하는것 외해 복호화 할 수 있는 방법은 존재하지 않습니다
당신에게 할당된 비트코인 주소를 반드시 확인하세요. 한글자라도 틀리게 입력하여 보내시면 복구가 되지 않고 당신의 비트코인은 사라지게됩니다
당신은 '24시간'안에 지불하셔야합니다
당신의 개인ID(personal ID)를 반드시 확인하세요
만약 그 시간안에 지불하지 않으면 당신의 개인키는 자동적으로 우리의 서버에서 지워지게됩니다
명심하세요
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
비트코인 지갑을 생성하시고 우리의 비트코인 주소로 1비트코인(1BTC)를 보내주시면 됩니다.
세가지 스텝을 따라 당신의 파일을 복구하세요
시간을 낭비하시지 마세요
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
암호화된 파일들이 속한 폴더에서 파일 복원에 관한 설명 문서 (.txt)를 보실 수 있습니다
우리는 착한사람들은 아닙니다. 하지만 이야기한 부분에 있어서는 반드시 지킵니다
최악의 상황은 이미 발생했으며 앞으로 파일들의 운명은 귀하의 판단과 빠른 조치에 달려있음을 명심하시기 바랍니다
추가정보:
1).지불은 비트코인 만으로만 가능합니다. 따라서 1비트코인(1BTC)를 비트코인 거래소를 통하여 구매하세요. 그 후 화면(랜섬노트)비트코인 주소(Bitcoin Address)로 1비트코인(1BTC)를 송금하세요
2).당신의 개인 ID(Personal ID)를 아래의 공식 메일주소로 보내주세요
3).지불을 완료하시고 메일을 보내시주시면 당일의 메일로 복호화툴과 개인키를 보내드립니다
4) 비트코인을 송금하시고 메일로 개인ID(Personal ID)를 코리아 공식메일 주소로 보내주세요
***
개인키(Private Key)는 당신의 파일을 복호화하여 복구하는데 아주 중요한 키 입니다
공개키(Public key)는 당신의 파일을 암호화하는데 사용되었습니다
공식주소: www.bithumb.com
공식주소: www.coinone.com
공식주소: www.localbitcoins.com
암호화된 파일들이 속한 폴더 안의 설명 문서 (.txt)는 바이러스가 아닙니다 설명 문서 (.txt)가 파일들의 암호 해독을 도와드릴 것입니다.
비트코인 주소:1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
Officail Mail: powerhacker03@hotmail.com
***
Best Regards
Korean Ransomware Team
------------------ koreanLocker Ransomware ------------------

Перевод записки на русский язык:
------------------ koreanLocker Ransomware ------------------
Ваш компьютер заражен Ransomware
Ваши личные файлы, такие как фотографии, документы, видео и другие важные документы, зашифровываны с использованием сильных алгоритмов шифрования, называемых RSA-2048
Ваш закрытый ключ создается и хранится на нашем сервере
Никто никогда не сможет расшифровать ваши файлы.
И я гарантирую, что вы никогда не сможете расшифровать без закрытого ключа.
Опять же, нет способа заплатить за небольшую монету и декодировать ее
Обязательно проверьте присвоенный вам биткоин-адрес. Если вы ошибетесь, он не будет восстановлен и ваши биткоины пропадут
Вы должны заплатить в течение 24 часов,
Если вы не заплатите за это время, ваш закрытый ключ будет автоматически удален с нашего сервера
Пожалуйста, имейте в виду
Обязательно проверьте свой персональный ID
Биткоин-адрес: 1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
Создайте немного монет на кошельке и отправьте нам немного монет (1BTC) на наш биткоин.
Выполните три шага, чтобы восстановить файлы
Не тратьте свое время.
Пояснительный документ (.txt) в папке, в которой находятся зашифрованные файлы, не является вирусом. Пояснительный документ (.txt) поможет вам расшифровать файлы.
Вы можете увидеть документ (.txt) о восстановлении файлов в папке, где находятся зашифрованные файлы
Мы не хорошие люди. Но лишь отчасти.
Обратите внимание, что худшее уже произошло, и судьба файлов будет зависеть от вашего решения и быстрых действий.
1) Оплата возможна только в биткоинах. Поэтому купите 1 биткоин (1BTC) через BTC. Затем переведите 1 биткоин (1BTC) на биткоин-адрес на экране. 
2). Отправьте ваш персональный ID на официальный email-адрес, указанный ниже.
3). Пожалуйста, сделайте оплату и отправьте нам email, а мы отправим ваш инструмент дешифрования и закрытый ключ по email в течение дня
4) Пожалуйста, отправьте немного монетки и отправьте свой персональный идентификатор на официальный адрес электронной почты в Корее.
Дополнительная информация:
Частный ключ - это ключ к расшифровке и восстановлению файлов
Открытый ключ использовался для шифрования вашего файла
Официальный адрес: www.bithumb.com
Официальный адрес: www.coinone.com
Официальный адрес: www.localbitcoins.com
Официальная почта: powerhacker03@hotmail.com
***
С наилучшими пожеланиями
Команда Korean Ransomware
------------------ koreanLocker Ransomware ------------------

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KoreanLocker.exe (hidden-tear.exe)
<random>.exe
README.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: powerhacker03@hotmail.com
BTC: 1HB5XMLmzFVj8ALj6mfBsbifRoD4miY36v
xxxx://10.0.2.15/Ransom.php?info=
xxxxs://namu.wiki/w/RSA%20암호화
См. ниже результаты анализов.

Результаты анализов:
Ⓥ VirusBay анализ >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Krypton

Krypton Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $158 в BTC, чтобы вернуть файлы. Оригинальное название: Krypton Ransomware и KryptonRansom. На файле написано: Krypton.exe

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Krypton

К зашифрованным файлам добавляется расширение .kryptonite

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: KRYPTON_RANSOMWARE.txt
Вероятно, тот же текст дублируется в изображении, заменяющим обои. 

Содержание записки о выкупе:
All your files have been encrypted by Krypton Ransomware
Please pay 158$ USD in Bitcoin to us and we will decrypt your files.
Not paying after 1 week (168 hours) will result in a loss of all your files.

Перевод записки на русский язык:
Все ваши файлы зашифрованы Krypton Ransomware
Заплатите 158$ США в биткоинах и мы расшифруем ваши файлы.
Неплатеж за 1 неделю (168 часов) приведет к потере всех ваших файлов.

Другим информатором выступает экран блокировки или некое диалоговое окно, которое можно закрыть, где указана информация по оплате и биткоин-адрес. 

Технические детали

Пока тестовая версия, шифрует только файл в специальной папке на Рабочем столе. После релиза может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
KRYPTON_RANSOMWARE.txt
Krypton.exe

Расположения:
\Desktop\test.Krypton

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1364J1RCXfW3gNrGQXP481661MhaNi7Nqq
См. ниже результаты анализов.

Результаты анализов:
Ⓥ VirusBuy анализ >>
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Tk

Tk Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: возможно, Tk. На файле проекта написано: _tkinter.pdb.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Активность этого крипто-вымогателя пришлась на начало января 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
1198
your files have been encrypted
send 1 BTC to 1F1tAaz5x1HUXrCNLbtMDqcw6o5GN7xX7

Перевод записки на русский язык:
1198
ваши файлы зашифрованы
отправь 1 BTC to 1F1tAaz5x1HUXrCNLbtMDqcw6o5GN7xX7

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
svchost.exe
evb(random{4}>.tmp (evb582E.tmp, evb579D.tmp, evb5858.tmp и др.)
encrypted 1.exe - encrypted 9.exe, encrypted 0.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
BTC: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GN7xX7См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as tk)
 Write-up, Topic of Support
 * 

 Thanks: 
 JAMESWT‏
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoMix-System

CryptoMix-System Ransomware

CryptoMix-SYSTEM Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: не указано.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: CryptoMix >> CryptoMix-Revenge > CryptoMix-System, CryptoMix-SYSTEM  

К зашифрованным файлам добавляются расширения .System или .SYSTEM
Эти расширения встречались раздельно, вероятно, это разные варианты. 

Активность этого крипто-вымогателя пришлась на начало января 2018 г. и продолжилась в феврале. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: _HELP_INSTRUCTION.TXT

Содержание записки о выкупе:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
systempc1@keemail.me
systempc18x@protonmail.com
hashby@yandex.com
ashbyh@yandex.com
helen.a@iname.com
Please send email to all email addresses! We will help You as soon as possible!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-dcd3c0a1-6659-4b92-950a-7a6e2f39bec9 number

Перевод записки на русский язык:
Hello!
Внимание! Все ваши данные зашифрованы!
Для конкретной информации, пришлите нам email с вашим ID номером:
systempc1@keemail.me
systempc18x@protonmail.com
hashby@yandex.com
ashbyh@yandex.com
helen.a@iname.com
Пожалуйста, отправьте письмо на все email-адреса! Мы поможем вам как можно скорее!
ВАЖНО: НЕ ИСПОЛЬЗУЙТЕ ВСЯКИЙ ПУБЛИЧНЫЙ СОФТ! ЭТО МОЖЕТ НАВСЕГДА ПОВРЕДИТЬ ВАШИ ДАННЫЕ!
DECRYPT-ID-dcd3c0a1-6659-4b92-950a-7a6e2f39bec9 number

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов и публичного софта. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Выполняет деструктивные команды:
sc stop VVS
sc stop wscsvc
sc stop WinDefend
sc stop wuauserv
sc stop BITS
sc stop ERSvc
sc stop WerSvc
cmd.exe /C bcdedit /set {default} recoveryenabled No
cmd.exe /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
C:\Windows\System32\cmd.exe" /C vssadmin.exe Delete Shadows /All /Quiet

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_HELP_INSTRUCTION.TXT
<random>.exe

Расположения:
C:\ProgramData\<random>.exe
%USERPROFILE%\Downloads\_HELP_INSTRUCTION.TXT
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: systempc1@keemail.me
systempc18x@protonmail.com
hashby@yandex.com
ashbyh@yandex.com
helen.a@iname.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

© CryptoMix Revenge generation (поколение Revenge)
Azer, Noob, Exte, Pirate, CK, Zayka, Zero, DG - июль 2017
Ogonia, Error, Empty, Arena - август 2017
Shark  - сентябрь 2017
x1881, Coban - октябрь 2017
XZZX, 0000, Test - ноябрь 2017
WORK, FILE, Tastylock - декабрь 2017
SERVER, System - январь 2018
MOLE66 - март 2018
Backup - май 2018
SYS - июнь-август, декабрь 2018
DAT (WINDAT) - январь 2019
DLL - апрель 2019

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 31 января 2018:
Расширение: .SYSTEM
Примеры зашифрованных файлов: 
0D0A516824060636C21EC8BC280FEA12.SYSTEM
1E916DB63E0ACAF8BA46C2E14068AEAC.SYSTEM
28B0C4303AC580100F06CA073D3763C4.SYSTEM
Записка: _HELP_INSTRUCTION.txt



Результаты анализов: VT 
BTC: 1JzKzrm9sAcRyNgcR3x4xcftpwxW8ZafEy Сумма выкупа: 0.35 или другая
Email: systemwall@keemail.me
systemwall@protonmail.com
systemwall@yandex.com
systemwall1@yandex.com

Содержание записки:
Hello!
Attention! All Your data was encrypted!
For specific informartion, please send us an email with Your ID number:
systemwall@keemail.me
systemwall@protonmail.com
systemwall@yandex.com
systemwall1@yandex.com
xxxx.x@dr.com (this email appears to be unique based on a name from the client address book)
Please send email to all email addresses! We will help You as soon as possible!
IMPORTANT: DO NOT USE ANY PUBLIC SOFTWARE! IT MAY DAMAGE YOUR DATA FOREVER!
DECRYPT-ID-af717ca2-a4ef-48ca-8bc1-8851bad1f877 number

Пример темы >>

Содержание ответного письма (из email):
Hello!
We are glad to hear You! And We will be happy to help You!
Here is Your personal instruction:
https://onetimesecret.com/secret/sng3c7hizuxszz8rfvgnz7bp4nXXX
Password:  035unit
Please read it carefully! After that just follow Your instruction and You will solve this problem very quickly!
Our kind regards,
name from client address book
Support Manager
Worldwide Children Charity Community
Her diagnosis:  Acute Lymphoblastic Leukemia (ALL)
Need for medical help:  $120k
Already contributed: 81k

Содержание ответа вымогателей (размещено на сайте onetimesecret.com):
Hello!
to decrypt your files You will need a special software with your special unique private key. 
Price of software with your private key is JUST a 0.35 bitcoins. With this product you can decrypt all your files and protect Your system!!! Protect!!! Your system will work without any vulnerability.
Also You will have a FREE tech support for solving any PC troubles for 3 years!
You can buy bitcoins through this bitcoin web site     https://localbitcoins.com/
or www.bitquick.co - fast way to buy bitcoin with cash
or www.coinatmradar.com - it`s a Bitcoin ATM (very simple and fast)
or www.paxful.com
Register there and find a nearest Bitcoin seller. It`s easy! Choose more comfortable payment method for buying Bitcoin!
After that You should send bitcoins to the charity bitcoin wallet address:
1JzKzrm9sAcRyNgcR3x4xcftpwxW8ZafEy
All this process is very easy! It`s like a simple money transfer.
And now most important information:
We are the International Children Charity Organisation! Your money will be spent for the children charity. So that is mean that You will get a participation in this process too. Many children will receive presents and medical help!
And We trust that you are kind and honest person! Thank You very much! We wish You all the best! Your name will be in the main donors list and will stay in the charity history!
Remember You can save many children destinies! Money for You is just a paper (You will earn money again in the next month), but for many children is a real chance to change their life!
Also ONLY WE can give to our customers very important benefits:
1) You will restore all Your data immediately
2) Your network vulnerabilities will be closed
3) You will protect Your system from the main attack in the future! It`s a very important option!
   Only our community can give You this opportunity! All other anti-malware companies just promise it, but in fact they cannot    protect You! It`s very terrible!
4) Main idea - many children will receive a donation and medical help from Your name!
5) You will have a free tech support for solving any PC troubles! Just ask a support and support will help You! 
P.S> When your payment will be delivered you will receive your software with private key IMMEDIATELY!
P.P.S> In the next 24 hours your price may be doubled by the Main Server automatically.
       So now you have a chance to restore your PC at low price!
Best regards,
Charity Team 

---

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under CryptoMix Revenge)
 Write-up (n/a), Topic of Support
 * 

Added later:
Write-up on BC (February 2. 2018)
*

 Thanks: 
 BleepingComputer, Michael Gillespie
 Andrew Ivanov (author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.