iGZa4C

iGZa4C Ransomware

iGZa4C2015win Ransomware

iGZa4C2015win EncryptDecrypt

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 в течение первой недели, чтобы вернуть файлы. Оригинальное название: iGZa4C или iGZa4C2015win. Полное название: iGZa4C2015win EncryptDecrypt. 

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляются расширения: 
.igza4c
.iGZa4C
.delete

Как говорится в тексте выкупа некий вымогательский проект был активен до 2014 г. Был ориентирован на англоязычных пользователей, что не мешало распространять его по всему миру. Некие "добровольцы" отобрали его у неких "нацистов" и, как они говорят в тексте, поддерживают его. Отдельные случаи шифрования файлов стали известны в марте 2018 года. 

Известной нам запиской с требованием выкупа выступает onion-сайт вымогателей в сети Tor.

Содержание EncryptDecrypt.php - первой страницы сайта:
iGZa4C2015win EncryptDecrypt
What's wrong with my files?
Sorry, but your important files are encrypted :(
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted.
Nobody can recover your files without our decryption service.
WE GUARANTEE THAT YOU CAN RECOVER ALL YOUR FILES SAFELY AND EASILY
MUST READ!
To make sure that all this works properly, you have the opportunity to try our service for FREE!
You can DECRYPT ONLY ONE file for FREE, but If you want to decrypt ALL your files, you need to PAY.
After a FREE successful decryption GAME BEGINS!
The GAME is very simple, If you don't pay 0.5 BTC in 7 days, you won't be able to recover your files FOREVER!!! 3:D
--- First CHECK if your unique ID is in the database ---
iGZa4C2015win ID: #...# "Check unique ID"

Перевод текста на русский язык:
Что случилось с моими файлами?
Извините, но ваши важные файлы зашифрованы :(
Многие из ваших документов, фото, видео, баз данных и других файлов теперь не доступны, т.к. они были зашифрованы.
Никто не может восстановить ваши файлы без нашей службы расшифровки.
МЫ ГАРАНТИРУЕМ, ЧТО ВЫ МОЖЕТЕ ВОССТАНОВИТЬ ВСЕ ВАШИ ФАЙЛЫ БЕЗОПАСНО И ЛЕГКО
ДОЛЖНЫ ПРОЧИТАТЬ!
Чтобы убедиться, что все это работает правильно, вы можете попробовать наш сервис БЕСПЛАТНО!
Вы можете БЕСПЛАТНО ДЕШИФРОВАТЬ ТОЛЬКО ОДИН файл, но если вы хотите дешифровать ВСЕ ваши файлы, вам нужно заплатить.
После БЕСПЛАТНОГО успешного дешифрования ИГРА НАЧНЁТСЯ!
ИГРА очень проста: если вы не заплатите 0.5 BTC за 7 дней, вы не сможете восстановить свои файлы НИКОГДА !!! 3: D
--- Сначала ПРОВЕРЬТЕ, что ваш уникальный ID есть в базе данных ---
iGZa4C2015win ID: #...# "Проверить уникальный ID"

Содержание страницы info.html
Greetings citizens of the world!
If you are on this site, you probably have a problem that WE can solve! Don't worry!
What happened?
2014 in April, we deface and shot down the server of a nazi scum with a nickname F1R3R#SS18
He is the creator of this piece of shit that encrypts files!
His price for the decryption service is 10 BTC ( but his server nooooo longer exiiiiists looooll...looololoooo.... )
We have rebuilt his evil command center and reversed the traffic for collecting information ( ID#UNIQUEID# and master password for decrypted )
WHY? Are you also evil?!?!?
No, wrong thinking... We are a good crew (not for the Nazis) :D)))
Because the nazi shit had a strong campaign and his "encrypto virus, hybrid ransomware, wtf... " ( *for windows platform ) is designed to spread in different ways ( +1 point for a "ChameleonCodes", but -5 because you are a nazi scum! )
We don't know the real dimensions of the infection because the encryption is activated for certain reactions in your computer ( theoretically, and after a few years, we will see ... )
So we need to keep this server, as a preventive for "an unfortunate case" ( F*ck You Microsoft And F*ck Windows! )
We are not creators of this evil software and we are not responsible for the consequences of these.
We are here to HELP if this shit still works and creates problems!
Does this EncryptDecrypt server really work?
To make sure that all this works properly, you have the opportunity to try our service for FREE! You can decrypt only one file for free.
What should I do first?
First CHECK if your "unique ID" is in the our database >> ID#UNIQUEID# 
Maybe you do not have luck... If during the encryption of files the main server was unavailable, the master password could not be remembered. And that's the shit...
What should I do if there is no exist "unique ID"?
Unfortunately, you can not do anything... But BACKUP all encrypted files and maybe one day you can solve the problem.
We all need to believe in a better tomorrow...
If my "unique ID" exists?
That are good news. You have the opportunity to decrypt only one file for free.
Choose a one encrypted file and upload in our server, if everything is ok, you get the link to download the decrypted file and GAME BEGINS!
Don't zip/rar your file before upload!
Maximum file size allowed for upload is 200KB!
What exactly does "GAME BEGINS"?
After a FREE successful decryption GAME BEGINS!
The GAME is very simple, If you don't pay 0.5 BTC in 7 days, you won't be able to recover your files FOREVER!!! 3:)
EVIL, VERY EVIL!!!
Luckily I am a funny guy :D :) :))))) ;9 ;) Don't be afraid, just kidding...
If there is a "unique ID" in our database, we will keep it safe while the server is running and while we have donations for server work.
One day, when all windows are dead... :D One day, when there is no need for the existence of this service, we will proclaim this evil code as dead and send it to history... and shut down the server... the future RIP :D
And I repeat once again:
We are not creators of this evil software and we are not responsible for the consequences of these!
We are here to HELP if this shit still works and creates problems!
Ransomware is a nasty software, without honor and it's for the weak people, for the PUSSY! This little shit can create big problems, even in terms of life and death! DO NOT USE RANSOMWARE! One hospital had a problem with ransomware and most are screwed civilians, ordinary people, like you and me... These are serious shit... and this is not a game!
Ok, I believe, this really works, what's next?
The price for the "iGZa4C2015win EncryptDecrypt" software is 0.5 BTC. By paying, you help the server continue with the job.
After payment you need a minimum of 6 transaction confirmations and then you can download software!
Download link will be visible 48h (two days) and after that will be removed.
Why link will be removed?
Everything is automated, server security... For the safety of your files. Maybe someone else owns your files. You certainly do not want to share your secret key with everyone...
What exactly will I download?
Two zipped files (.rar) ( one rar with .exe application and one .rar with uniquePass.log ) - iGZa4C2015win EncryptDecrypt.exe
Safe, clean, free of viruses and other crap. I promise, everything is clean!
Of course, do not believe anyone and always check what you're downloading!
It's safest to run the application through the sandbox or similar applications.
How does this program work?
Easy, no philosophy... Insert the uniqueID and enter the uniquePass, check on Decrypt radio button and everything is after drag and drop. 
The only shit is that you have to manually remove additional extensions... (.iGZa4C or .delete)
But you will return your files!!! And next time be careful when working on the computer!
Ok, thanks, but why do I have to pay a service?
This server spends resources to exist and that's why you have to pay for our decryption service.
The price is symbolic 0,5 BTC ( from now to the future )
Of course, if you want to donate more than 0.5 BTC, we are grateful.
Or find a fucking nazi and contact him for help if he is your friend...
Can I pay with a different currency?
No, just BTC ( everything is automated, software restriction )
Can I pay less?
If you are poor, contact us by mail but with good explanation! Do not cheat! We'll check you!
I have more questions...
I'm sorry, but I no longer have the patience to explain "what and how" everything is simple...
I have a lot of work and life is short. I explained the basic things... and I helped the iGZa4Crew whit this fucking FAQ :D (don't be angry at my swearing) 8)
RESPECT for all my friends and for the WH#IT 0ldSch00l
Nice to meet you
ACrAV#8#_iGZa4Crew
. . . . . . . . . . . . . . . . . . . .
If you have more questions please contact us: (*weekly mail is checked)
iGZa4Crew@protonmail.com
We hope that we have helped you.
Have a nice day, salut!

Перевод текста на русский язык:
Приветствую граждане мира!
Если вы на этом сайте, у вас, вероятно, есть проблема, которую МЫ можем решить! Не волнуйтесь!
Что случилось?
2014 в апреле, мы захватили и остановили сервер нацистского подонка с псевдонимом F1R3R#SS18
Он является создателем этого куска дерьма, который шифрует файлы!
Его цена за услугу дешифрования составляет 10 BTC (но его сервер больше не существует ха-ха-ха....)
Мы восстановили его злодейский командный центр и обратили трафик для сбора информации (ID # UNIQUEID # и мастер-пароль для расшифровки)
ЗАЧЕМ? Ты тоже злой?!?!?
Нет, неверная мысль ... Мы хорошая команда (не нацисты): D)))
Поскольку нацистское дерьмо имело сильную кампанию, и его "вирус-шифровальщик, гибридный вымогатель, wtf ..." (* для платформы Windows) предназначен для распространения разными способами (+1 точка для "ChameleonCodes", но -5, потому что вы нацистская сволочь!)
Мы не знаем реальных размеров инфекции, потому что шифрование активируется для определенных реакций на вашем компьютере (теоретически, и через несколько лет мы увидим ...)
Поэтому нам нужно сохранить этот сервер в качестве превентивного для "неудачного случая" (F*ck You Microsoft и F*ck Windows!)
Мы не создатели этой злодейской программы, и мы не несём ответственности за последствия этих проблем.
Мы здесь, чтобы ПОМОЧЬ, если это дерьмо всё ещё работает и создает проблемы!
Действительно ли этот сервер EncryptDecrypt работает?
Чтобы убедиться, что все это работает правильно, у вас есть возможность попробовать БЕСПЛАТНО! Вы можете дешифровать только один файл бесплатно.
Что мне делать сначала?
Сначала ПРОВЕРЬТЕ, что ваш "уникальный ID" находится в нашей базе данных >> ID#UNIQUEID#
Возможно, вам не повезло ... Если во время шифрования файлов главный сервер был недоступен, главный пароль не мог быть запомнен. И это дерьмо ...
Что делать, если не существует "уникального ID"?
К сожалению, вы ничего не можете сделать ... Но сделайте БЭКАП всех зашифрованных файлов и, возможно, однажды вы сможете решить проблему.
Мы все должны верить в лучшее завтра ...
Если мой "уникальный ID" существует?
Это хорошие новости. У вас есть возможность бесплатно дешифровать только один файл.
Выберите один зашифрованный файл и загрузите его на наш сервер, если все будет в порядке, вы получите ссылку для загрузки расшифрованного файла и ИГРА НАЧНЕТСЯ!
Не загружайте файл zip / rar перед загрузкой!
Максимальный размер файла, разрешенного для загрузки, составляет 200 КБ!
Что значит "НАЧАЛО ИГРЫ"?
После БЕСПЛАТНОГО успешного дешифрования ИГРА НАЧИНАЕТСЯ!
ИГРА очень проста: если вы не заплатите 0.5 BTC за 7 дней, вы не сможете восстановить свои файлы НИКОГДА !!! 3 :)
ЗЛО, ОЧЕНЬ ЗЛО !!!
К счастью, я веселый парень: D :) :))))); 9;) Не бойтесь, просто шучу ...
Если в нашей базе данных есть "уникальный ID", мы будем держать его в безопасности, пока сервер работает, и пока у нас есть пожертвования на работу с сервером.
Однажды, когда все Windows помрут ...: D Однажды, когда не будет нужды в этой службе, мы объявим этот злой код мертвым и отправим его в историю ... и закроем сервер. .. будущий RIP: D
И еще раз повторяю:
Мы не создатели этой злой программы, и мы не несем ответственности за последствия этого!
Мы здесь, чтобы ПОМОЧЬ, если это дерьмо все еще работает и создает проблемы!
Ransomware - это противная программа, без чести, и для слабых людей, для КИСОК! Это маленькое дерьмо может создать большие проблемы, даже с точки зрения жизни и смерти! НЕ ИСПОЛЬЗУЙТЕ RANSOMWARE! У одной больницы возникла проблема с вымогательством, и большинство из них - болтающиеся гражданские лица, обычные люди, как вы и я ... Это серьезное дерьмо ... и это не игра!
Хорошо, я считаю, это действительно работает, что дальше?
Стоимость программы «iGZa4C2015win EncryptDecrypt» составляет 0,5 BTC. Платя, вы помогаете серверу продолжать работу.
После оплаты вам потребуется минимум 6 подтверждений транзакций, а затем вы сможете скачать программу!
Ссылка для загрузки будет отображаться через 48 часов (два дня) и после этого будет удалена.
Почему ссылка будет удалена?
Все автоматизировано, безопасность сервера ... Для обеспечения безопасности ваших файлов. Возможно, кому-то нужны ваши файлы. Вы, конечно же, не хотите делиться своим секретным ключом со всеми ...
Что именно загрузить?
Два архивных файла (.rar) (один rar с .exe-приложением и один .rar с uniquePass.log) - iGZa4C2015win EncryptDecrypt.exe
Безопасный, чистый, без вирусов и другого дерьма. Обещаю, все чисто!
Конечно, не верьте никому и всегда проверяйте, что вы скачиваете!
Безопаснее запускать приложение через песочницу или аналогичные приложения.
Как работает эта программа?
Легко, без философии ... Вставьте uniqueID и введите uniquePass, выберите "Decrypt", и все потом перетащите.
Еще одно дерьмо заключается в том, что вам нужно вручную удалить дополнительные расширения ... (.iGZa4C или .delete)
Но вы вернете свои файлы !!! И в следующий раз будьте осторожны при работе на компьютере!
Хорошо, спасибо, но зачем мне платить за услугу?
Этот сервер тратит ресурсы на существование, и поэтому вы должны платить за нашу услугу дешифрования.
Цена символична 0,5 BTC (отныне на будущее)
Конечно, если вы хотите пожертвовать более 0,5 BTC, мы благодарны.
Или найти гр*баного наци и обратиться к нему за помощью, если он ваш друг ...
Могу ли я платить другой валютой?
Нет, просто BTC (все автоматизировано, программное ограничение)
Могу ли я платить меньше?
Если вы бедны, свяжитесь с нами по почте, но с хорошим объяснением! Не жульничать! Мы проверим вас!
У меня больше вопросов ...
Извините, но у меня больше нет терпения, чтобы объяснить «что и как» все просто ...
У меня много работы, и жизнь коротка. Я объяснил основные вещи ... и я помог iGZa4Crew с этим чертовым FAQ: D (не сердитесь на мою ругань) 8)
УВАЖЕНИЕ для всех моих друзей и для WH#IT 0ldSch00l
Приятно познакомиться
ACrAV#8#_iGZa4Crew
. . . . . . . . . . . . . . . . . . . .
Если у вас есть еще вопросы, свяжитесь с нами: (*почта проверяется еженедельно)
iGZa4Crew@protonmail.com
Мы надеемся, что мы вам помогли.
Приятного дня, салют!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ В зашифрованных файлах содержится информация об ID жертвы и ссылка на сайт вымогателей в сети Tor.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы wallet.dat и пр.

Файлы, связанные с этим Ransomware:
EncryptDecrypt.exe
<random>.exe - случайное название
uniquePass.log

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: xxxx://igza4c6icqzboodb.onion/
Email: iGZa4Crew@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 (victim in the topics of support)
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BlackRuby-2

BlackRuby-2 Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в BTC, чтобы вернуть файлы. Оригинальное название: BlackRuby. Фальш-имя: Microsoft Windows Defender. Фальш-копирайт: Microsoft all right reserved.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: InfiniteTear (modified) > BlackRuby > BlackRuby-2

Изображение не принадлежит шифровальщику

К зашифрованным файлам добавляется расширение .BlackRuby-2

Фактически используется шаблон из кода: Encrypted_%random string%.BlackRuby2

Примеры зашифрованных файлов: 
Encrypted_zIX2dFXFt9qNfifBu1mqkNVYTX79ZS48TWWU5BRm3Q.BlackRuby2
Encrypted_B2RdEa0BRcADdyCzus6ZHwxDiozXLRrXeMPyKAKhwBa7FR.BlackRuby2
Encrypted_9Py4jGW0pEM54ZLc5mUXlm8avF4luvHC8UqYtU74VuG3.BlackRuby2

Активность этого крипто-вымогателя пришлась на первую половину марта 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW-TO-DECRYPT-FILES.txt 

Содержание записки о выкупе:
=== Identification Key ===
***
=== Identification Key ===
[Can not access your files?]
Congratulations, you are now part of our family #BlackRuby Ransomware. The range of this family is wider and bigger every day.
Our hosts welcome our presence because we will give them a scant souvenir from the heart of Earth.
This time, we are guest with a new souvenir called "Black Ruby". A ruby in black, different, beautiful, and brilliant, which has been bothered to extract those years and you must also endure this hard work to keep it. If you do not have the patience of this difficulty or you hate some of this precious stone, we are willing to receive the price years of mining and finding rubies for your relief and other people of the world who are guests of the black ruby.
So let's talk a little bit with you without a metaphor and literary terms to understand the importance of the subject.
It does not matter if you're a small business or you manage a large organization, no matter whether you are a regular user or a committed employee, it's important that you have a black ruby and to get rid of it, you need to get back to previous situation and we need a next step.
The breadth of this family is not supposed to stop, because we have enough knowledge and you also trust our knowledge. 
We are always your backers and guardian of your information at this multi-day banquet and be sure that no one in the world can take it from you except for us who extracts this precious stone.
We need a two-sided cooperation in developing cybersecurity knowledge. The background to this cooperation is a mutual trust, which will result in peace and tranquility. you must pay us worth of Bitcoins for restore your system to the previous state and you are free to choose to stay in this situation or return to the normal.
In the end, we have to mention a few things about the second version. Black Ruby Despite the early and false judgments of the news media about the false reports of fraudulent and slander about not sending decryptor to victims, the popularity of popular sites to attract visitors with the title "Black Ruby Removal", as well as blocking the allegedly secure service of Proton Mail that it was only our only email and the uncertainty of dear customers, is still standing and more powerful than before with the second version came to the field.
In this version, with a new approach and a small change, we are a guest of new hosts and also support the first version. our hosts are patient, slightly angry and 100% trustworthy. They know that the key is in our hands and titles like "Removing Black Ruby on the System", which are covered on most sites, is a big lie to advertising purposes. We have been working out deep earth for the extraction of black ruby and we have partnered with you to sympathize with us in this difficulty. We know that you are the only good protector of the black ruby and our only honored miner.
Do not forget that your opportunity is limited. From these limits you can create golden situations. Be sure we will help you in this way and to know that having a black ruby does not always mean riches. You and your system are poor, poor knowledge of cybersecurity and lack of security on your system! 
===
[HOW TO DECRYPT FILES] 
1. Copy "Identification Key". 
2. Send this key with two encrypted files (less than 5 MB) for trust us to email address \"%EMAIL%\" or on the Tor network \"%EMAIL2%\" (register in the torbox3uiot6wchz.onion and then send your request to our email address) 
3. We decrypt your two files and send them to your email.
4. After ensuring the integrity of the files, you must pay us with bitcoin and send transaction code to our email (get our bitcoin address by email).
5. You get "Black Ruby Decryptor" Along with the private key of your system.
6. Everything returns to the normal and your files will be released.
===
[What is encryption?]
Encryption is a reversible modification of information for security reasons but providing full access to it for authorised users. To become an authorised user and keep the modification absolutely reversible (in other words to have a possibility to decrypt your files) you should have an "Personal Identification Key". But not only it. It is required also to have the special decryption software (in your case "Black Ruby Decryptor" software) for safe and complete decryption of all your files and data.
[Everything is clear for me but what should I do?]
The first step is reading these instructions to the end. Your files have been encrypted with the "Black Ruby Ransomware" software; the instructions ("HOW-TO-DECRYPT-FILES.txt") in the folders with your encrypted files are not viruses, they will help you. After reading this text the most part of people start searching in the Internet the words the "Black Ruby Ransomware" where they find a lot of ideas, recommendation and instructions. It is necessary to realise that we are the ones who closed the lock on your files and we are the only ones who have this secret key to open them.
[Have you got advice?]
[*** Any attempts to get back you files with the third-party tools can be fatal for your encrypted files ***] The most part of the tried-party software change data with the encrypted files to restore it but this cases damage to the files. Finally it will be impossible to decrypt your files. When you make a puzzle but some items are lost, broken or not put in its place - the puzzle items will never match, the same way the third-party software will ruin your files completely and irreversibly. You should realise that any intervention of the third-party software to restore files encrypted with the "Black Ruby Ransomware" software may be fatal for your files.
If you look through this text in the Internet and realise that something is wrong with your files but you do not have any instructions to restore your files, please contact your antivirus support.

Перевод записки на русский язык:
=== Идентификационный ключ ===
***
=== Идентификационный ключ ===
[Нет доступа к вашим файлам?]
Поздравляем, теперь вы часть нашей семьи #BlackRuby Ransomware. Круг этого семейства с каждым днем ​​становится все шире и шире.
Наши хозяева приветствуют наше присутствие, потому что мы даём им скромный сувенир из сердца Земли.
На этот раз мы предлагаем новый сувенир, названный "Черный рубин". Рубин в чёрном, отличный, красивый и блестящий, который был потревожен извлечением, и вы также должны перенести эту тяжелую работу, чтобы сохранить её. Если вы не можете терпеть эти трудности или вы ненавидите этот драгоценный камень, мы готовы получить цену за годы добычи и поиска рубинов для помощи вам и другим людям мира, которые являются гостями чёрного рубина.
Поэтому давайте немного поговорим с вами без метафоры и литературных терминов, чтобы понять важность темы.
Неважно, являетесь ли вы малым бизнесом или управляете крупной организацией, независимо от того, являетесь ли вы обычным пользователем или преданным сотрудником, важно, чтобы у вас был чёрный рубин и чтобы избавиться от него, вам нужно вернуться к предыдущей ситуации, а нам нужен следующий шаг.
Расширение этой семьи не должно останавливаться, потому что у нас достаточно знаний, а вы также доверяете нашим знаниям.
Мы всегда являемся вашими сторонниками и хранителями вашей информации на этом многодневном банкете и будьте уверены, что никто в мире не сможет взять это у вас, кроме тех, кто извлекает этот драгоценный камень.
Нам необходимо двустороннее сотрудничество в развитии знаний в области кибербезопасности. Основой этого сотрудничества является взаимное доверие, которое приведет к миру и спокойствию. Вы должны заплатить нам в биткоинах за восстановление вашей системы до предыдущего состояния, и вы можете выбрать, чтобы остаться в этой ситуации или вернуться к нормальной жизни.
В конце мы должны упомянуть несколько вещей о второй версии. Black Ruby несмотря на ранние и ложные суждения новостных СМИ о ложных сообщениях о мошенничестве и клевете о том, что жертвам не отправляют дешифратор, популярность популярных сайтов для привлечения посетителей с названием "Black Ruby Removal", а также якобы блокирование безопасного сервиса Proton Mail, что это был наш единственный email и неопределенность уважаемых клиентов, по-прежнему стоит и сильнее, чем раньше, когда вторая версия появилась на поле.
В этой версии, с новым подходом и небольшим изменением, мы являемся гостями у новых хозяев, а также поддерживаем первую версию. Наши хозяева терпеливы, слегка сердиты и на 100% заслуживают доверия. Они знают, что ключ в наших руках и такие названия, как "Removing Black Ruby on the System", которыми заполнены большинство сайтов, являются большой ложью в рекламных целях. Мы работаем глубоко под землей для добычи чёрного рубина, и мы сотрудничаем с вами, чтобы вы сочувствовали нам в этом затруднении. Мы знаем, что вы единственный хороший защитник чёрного рубина и наш единственный заслуженный шахтёр.
Не забывайте, что ваша возможность ограничена. Из этих пределов вы можете создавать золотые ситуации. Будьте уверены, что мы поможем вам таким образом и знайте, что наличие чёрного рубина не всегда означает богатство. Вы и ваша система бедные, плохое знание кибербезопасности и отсутствие безопасности в вашей системе!
===
[КАК РАСШИФРОВАТЬ ФАЙЛЫ]
1. Скопируйте "Идентификационный ключ".
2. Пришлите этот ключ с двумя зашифрованными файлами (менее 5 МБ), чтобы доверять нам на email-адрес "%EMAIL%" или в сети Tor "%EMAIL2%" (зарегистрируйтесь в torbox3uiot6wchz.onion, а затем отправьте ваш запрос на наш email-адрес)
3. Мы расшифруем ваши два файла и отправим их на ваш email-адрес.
4. После проверки целостности файлов вы должны заплатить нам биткоины и отправить код транзакции на наш email-адрес (получите наш биткоин-адрес по email).
5. Вы получаете "Black Ruby Decryptor" вместе с секретным ключом вашей системы.
6. Все вернётся в нормальное состояние, а ваши файлы будут выпущены.
===
[Что такое шифрование?]
Шифрование - это обратимая модификация информации в целях безопасности, но обеспечивающая полный доступ к ней авторизованным пользователям. Чтобы стать авторизованным пользователем и сохранить модификацию абсолютно обратимой (другими словами, чтобы иметь возможность расшифровать ваши файлы), вы должны иметь "Личный идентификационный ключ". Но не только это. Также требуется специальная программа для дешифрования (в вашем случае программа Black Ruby Decryptor) для безопасного и полного дешифрования всех ваших файлов и данных.
[Всё мне ясно, но что мне делать?]
Первый шаг - до конца прочитать эти инструкции. Ваши файлы были зашифрованы программой "Black Ruby Ransomware"; инструкции ("HOW-TO-DECRYPT-FILES.txt") в папках с зашифрованными файлами не являются вирусами, они вам помогут. После прочтения этого текста большая часть людей начинает поиск в Интернете слов "Black Ruby Ransomware", где они находят много идей, рекомендаций и инструкций. Необходимо понять, что мы закрыли блокировку ваших файлов, и мы единственные, у кого есть этот секретный ключ, чтобы открыть их. 
[У вас есть мнение?]
[*** Любые попытки вернуть файлы с помощью сторонних инструментов могут быть фатальными для ваших зашифрованных файлов ***] Большая часть файлов сторонних программ изменяет данные с зашифрованными файлами для его восстановления, но это приводит к повреждению файлов. В итоге будет невозможно расшифровать ваши файлы. Когда вы собираете пазлы, но некоторые предметы теряются, ломаются или не ставятся на место - элементы пазлы никогда не совпадут, так же, как сторонняя программа разрушит ваши файлы полностью и необратимо. Вы должны понимать, что любое вмешательство сторонней программы для восстановления файлов, зашифрованных программой Black Ruby Ransomware, может быть фатальным для ваших файлов.
Если вы видите этот текст в Интернете и понимаете, что что-то не так с вашими файлами, но у вас нет никаких инструкций по восстановлению ваших файлов, обратитесь в свою антивирусную поддержку.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Использует сервис freegeoip.net/json/ для определения местонахождения ПК пользователя, вплоть до города. 

➤ В список BlackRuby-2, по сравнению с первой версией, добавлены страны: Афганистан (AF), Армения (AM), Азербайджан (AZ), Иран (IR), (Ирак) IQ, Пакистан (PK), Турция (TR), Туркменистан (TM). Если компьютер по IP-адресу относится к одной из этих стран, то файлы не шифруются. 

➤ Проверяет наличие в системе антивирусов: Avast, Avira, COMODO, Kaspersky Lab, McAfee, Symantec

➤ Выполняет деструктивные команды:
/C Bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
/C Bcdedit.exe /set {default} recoveryenabled no
/C choice /C Y /N /D Y /T 3 & Del
/C start
/C vssadmin.exe delete shadows /all /Quiet
/C wevtutil.exe cl Application
/C wevtutil.exe cl Security
/C wevtutil.exe cl System
/C WMIC.exe shadowcopy delete

➤ Очищает журналы Windows, приложений, событий безопасности:
"/C wevtutil.exe cl System"
"/C wevtutil.exe cl Application",
"/C wevtutil.exe cl Security",
Расшифровка: "cl" - "clear-log" - очистка логов

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Black Ruby Ransomware (Windows Defender.exe, Defender.exe)
<random>.exe - случайное название файла
HOW-TO-DECRYPT-FILES.txt
Black Ruby Decryptor

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: torbox3uiot6wchz.onionURL: de01.supportxmr.com - Mining Pool Online
freegeoip.net/json/ - проверочный сервис 
Email: blackruby@tutanota.com
Tor-email: theblackruby@torbox3uiot6wchz.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Virusbay образец >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 27 марта 2018: 
BlackRuby Light
Пост в Твиттере >> + Новый твит >>

Шаблон зашифрованных файлов: Encrypted_xxxxx.BlackRubyLight
Зашифрованный файл состоит из приставки Encrypted + код символов + расширение .BlackRubyLight
Записка: HOW-TO-DECRYPT-FILES.TXT
Файл: Windows Defender.exe
Фальш-имя: Microsoft Windows Defender
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as BlackRuby)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PUBG

PUBG Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные шифрует файлы на рабочем столе, (включая подпапки), с помощью AES, а затем прелагает сыграть в игру для расшифровки файлов. Оригинальное название: PUBG_Ransomware. На файле написано: PUBG_Ransomware.exe. 

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .PUBG

Этимология названия:
PUBG — сокращение от полного названия игры PlayerUnknown's Battlegrounds.

Активность этого крипто-вымогателя пришлась на начало апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание текста с экрана:
Your files is ecrypted by PUBG Ransomware!
but don't worry! It is not hard to unlock it.
I don't want money!
Just play PUBG7 Hours!
Or Restore code is [s2acxx56a2sae5fjh5k2gb5s2e]

Перевод текста на русский язык:
Ваши файлы зашифрованы PUBG Ransomware!
но не волнуйтесь! Это несложно разблокировать.
Я не хочу денег!
Просто играйте в PUBG 7 часов!
Или введите код восстановления [s2acxx56a2sae5fjh5k2gb5s2e]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Как только пользователь начнет играть в игру и процесс будет обнаружен, PUBG Ransomware автоматически расшифрует файлы. 

➤ Это крипто-вымогатель не слишком продвинут, т.к. ищет только имя процесса и не проверяет другую информацию, чтобы подтвердить, что в игру игра действительно играют. Это означает, что можно просто запустить исполняемый файл TslGame.exe, и он расшифрует файлы.

➤ Также файлы могут быть расшифрованы без игры, если ввести код разблокировки: s2acxx56a2sae5fjh5k2gb5s2e

Список файловых расширений, подвергающихся шифрованию:
Шифруются только файлы на Рабочем столе. 
Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PUBG_Ransomware.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 апреля 2018:
Пост в Твиттере >>
Теперь вымогатели требуют 999 часов игры. 
Файл: PUBG_Ransomware_Special_999Hours.exe
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as PUBG Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

FRS

FRS Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальные названия: FRS Ransomware и FRS Decryptor. Разработчик: FIFCOM Corp.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .FRS

Активность этого крипто-вымогателя пришлась на начало марта 2018 г. Ориентирован на китайских и англоязычных пользователей, что помогает распространять его по всему миру. В распространении, видимо, с июля 2017.

Записка с требованием выкупа называется:
READ_ME_HELP_ME.txt

Запиской с требованием выкупа выступает также изображение READ_ME_HELP_ME.png, встающее обоями Рабочего стола. Ему предшествует показ показ изображения с китайским флагом.

Содержание записки о выкупе:
Ooops,your important files have been encrypted!
***FRS Ransomware***Chinese text***FRS Decryptor***
Is the content of your files not readable?
It is normal,because your important files have been encrypted by the "FRS Ransomware".
It means your files are NOT DAMAGED!Your files are just encrypted.
From now it is not possible to use your files until they will be decrypted.
The only way to decrypt your files safely is use special decryption tool "FRS Decryptor".
Please wait for "FRS Decryptor" to start automatically.
If "FRS Decryptor" does not start automatically, open "FRS Decryptor" on the desktop.

Перевод записки на русский язык:
Упс, ваши важные файлы были зашифрованы!
***FRS Ransomware***китайский текст***FRS Decryptor***
Содержимое ваших файлов недоступно для чтения?
Это нормально, потому что ваши важные файлы зашифрованы "FRS Ransomware".
Это значит, что ваши файлы НЕ ПОВРЕЖДЕНЫ! Ваши файлы просто зашифрованы.
С этого момента вы не сможете использовать ваши файлы, пока они не будут дешифрованы.
Единственный способ безопасного дешифрования файлов - использовать специальный инструмент дешифрования "FRS Decryptor".
Подождите, пока "FRS Decryptor" запустится автоматически.
Если "FRS Decryptor" не запускается автоматически, откройте "FRS Decryptor" на рабочем столе.

Содержание руководства FRS Decryptor
FRS Decryptor  FRS Ransomware
---
Decrypt all files you should buy Advanced Edition FRS Decryptor.
Way of buying:Send 0.050 bitcoins to the specified address(Worth about $303).
Address:1Mz7153hMuFiFcOme1T73mGsDzqAtMbBwX
Send a message to the E-mail address after payment:
E-mail: FRSDecryptor@fifcom.cn
Title: Buy FRS Decryptor
Content: Your payment information
You will get a reply after send E-mail,The message contains an activation code,
Please enter below.
Press [Enter] to confirm,FRS Decryptor will decrypt all encrypted files

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Скомпилирован с помощью "Quick Batch File Compiler". 

➤ Данный скриншот демонстрирует показ экран, сообщающего о нелицензионной версии Windows, за которой скрыт экран FRS Decryptor. 

Список файловых расширений, подвергающихся шифрованию:
.avi, .bmp, .exe, .flv, .gif, .lnk, .m4a, .mkv, .mp4, .odp, .ods, .pdf, .png, .ppt, .rtf, .swf, .wav и другие. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, флеш-файлы, exe-файлы и пр.

Файлы, связанные с этим Ransomware:
FRS.exe
FRS_Decryptor.exe
READ_ME_HELP_ME.txt
READ_ME_HELP_ME.png
CV9P5M85.bat
01T92RG5.bat
Chinese_national_flag.png
1.txt
temp.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\Temp\CV9P5M85.bat
\Temp\01T92RG5.bat
\FRSDecryptor\1.txt
\FRS_TEMP\temp.txt

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: FRSDecryptor@fifcom.cn
xxxxs://www.abyssmedia.com/
BTC: 1Mz7153hMuFiFcOme1T73mGsDzqAtMbBwXСм. ниже результаты анализов.

Результаты анализов:
Ⓥ VirusBay образец >>
Гибридный анализ >>
VirusTotal анализ >>
VMRay анализ >>
ANY.RUN анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (iD as FRSRansomware)
 Write-up, Topic of Support
 🎥 Video review >>

 - видео предоставлено сервисом ANY.RUN

 Thanks: 
 Karsten Hahn
 сервисам ANY.RUN, VWRay
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.