четверг, 21 июня 2018 г.

KingOuroboros

KingOuroboros Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Название дали вымогатели. Написан на AutoIt. Фальш-имя: Java Update Scheduler. На файле написано: jusched.exe
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: CryptoWire >> KingOuroboros
Изображение Короля-Уробороса. Это логотип статьи.

К зашифрованным файлам добавляется расширение .king_ouroboros, но не к концу файла, а между оригинальным именем и оригинальным расширением файла по шаблону original_file_name.king_ouroboros.original_file_extension. 
Пример зашифрованного файла: Chrysanthemum.king_ouroboros.jpg


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает блокировщик экрана с заголовком Delta.

Содержание текста с экрана:
Your files has been safely encrypted
---
Encrypted files: 276
**********
---
[Buy Bitcoins] [Decrypt Files] (Decryptionkey)
---
The only way you can recover your files is to buy a decryption key
The payment method is: Bitcoin. The price is: $50 = Bitcoins
After buying the amount of bitcoins send an email
to king.ouroboros@protonmail.com Your ID: *****
We will provide you with payment address and your decryption key.
You have 72 Hours to complete the payment otherwise your key will be deleted.

Перевод текста с экрана на русский язык:
Ваши файлы были безопасно зашифрованы
---
Зашифрованных файлов: 276
**********
---
[Купить биткойны] [Расшифровать файлы] (Ключ дешифрования)
---
Единственный способ восстановить ваши файлы - купить ключ дешифрования
Способ оплаты: биткоин. Цена: $50 в биткоинах
После покупки количества биткоинов отправьте email
на king.ouroboros@protonmail.com Ваш ID: *****
Мы предоставим вам платежный адрес и ключ дешифрования.
У вас есть 72 часа для завершения платежа, иначе ваш ключ будет удален.



Технические детали

При распространении выдаёт себя за Java Update Scheduler, что, разумеется, неправда.  
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
jusched.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: king.ouroboros@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >> VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===


 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as CryptoWire)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 19 июня 2018 г.

JungleSec

JungleSec Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.3 BTC, чтобы вернуть файлы. Оригинальное название: JungleSec (указано в заголовке записки о выкупе). Вероятно, что предназначен только для Linux-систем. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.
Изображение не принадлежит шифровальщику. Это логотип статьи. 

К зашифрованным файлам добавляется расширение: .jungle@anonymousspechcom


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ENCRYPTED.md 

Содержание записки о выкупе:
───────────────────────────────────────────────────
JUNGLESEC
───────────────────────────────────────────────────
What happen to my data ?
-----------------------
Your data are encrypted. If you try to bruteforce, change the path, the name or do anything that can alterate a single byte of a file(s) will result
to a fail of the recovery process, meaning your file(s) will be loss for good. 
How can I retrieve them ?
-------------------------
- To known the process, you must first send 0.3 bitcoin to the following address : 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
- Once the payment made, send your email address to junglesec@anonymousspeech.com, do not forget to mention the IP of server/computer
Will you send the process recovery once payment is made ?
--------------------------------------------------------
- We have no interest to not send you the recovery process if payment was made.
- Once the payment is made, you should receive the recovery process to decrypt your data in less 24 hours
By Jungle_Sec

Перевод записки на русский язык:
Что случилось с моими данными?
-----------------------
Ваши данные зашифрованы. Если вы попытаетесь выполнить команду brutforce, измените путь, имя или сделайте всё, что может изменить один байт файла (ов), это приведёт к сбою процесса восстановления, что означает, что ваш файл (ы) будет потерян для хорошего.
Как я могу их получить?
-------------------------
- Чтобы узнать о процессе, вы должны сначала отправить 0.3 биткойна на следующий адрес: 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
- После внесения платежа отправьте свой email-адрес на junglesec@anonymousspeech.com, не забудьте указать IP-адрес сервера / компьютера
Вы отправите процесс восстановления после того, как будет произведен платеж?
-------------------------------------------------- ------
- У нас нет интереса не отправлять вам процесс восстановления, если оплата была произведена.
- После того, как платеж будет произведён, вы должны получить процесс восстановления для дешифрования своих данных менее чем за 24 часа
Jungle_Sec



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ENCRYPTED.md 
key.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: junglesec@anonymousspeech.comBTC: 1Jj129L3SYjMs9X2F9xMSYZicCPbKrAZmC
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as JungleSec)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BtcKING

BtcKING Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .BtcKING

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: How To Decode Files.txt
 Скриншот записки целиков и частями

Содержание записки о выкупе:
<<-----ALL DATA ON THIS PC HAS BEEN ENCRYPTED.----->
To recover data you need decryptor.
To get the decryptor you should:
Send 1 test image or text file to BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch.
In the letter include your personal ID (look at the beginning of this document).
Attach the file with the location c:\Windows\YOUR KEY.KEY
We will give you the decrypted file and say price for decryption all files
After we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
Attention!
Only BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch can decrypt your files
Do not trust anyone BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch
Do not attempt to remove the program or run the anti-virus tools. You can loss your data
Attempts to self-decrypting files will result in the loss of your data
Decoders for other IDs are not compatible with your ID data, because each user's unique encryption key
Your  ID  b-DdocMTJy62  
@@@@@@@@@@
***************

Перевод записки на русский язык:
<< ----- ВСЕ ДАННЫЕ НА ЭТОМ ПК БЫЛИ ЗАШИФРОВАНЫ .----->
Для восстановления данных необходим дешифратор.
Чтобы получить дешифратор, вы должны:
Отправить 1 тестовое изображение или текстовый файл на BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch.
В письме укажите свой личный идентификатор (посмотрите на начало этого документа).
Прикрепите файл из места c:\Windows\YOUR KEY.KEY
Мы дадим вам расшифрованный файл и скажем цену за  дешифрования всех файлов
После того, как мы отправим вам инструкцию по оплате дешифрования и после оплаты, вы получите дешифратор и инструкции. Мы можем дешифровать один файл в доказательство того, что у нас есть декодер.
Внимание!
Только BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch может расшифровать ваши файлы
Не верьте никому BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch
Не пытайтесь удалить программу или запустить антивирусные средства. Вы можете потерять свои данные
Попытки самодешифрования файлов приведут к потере ваших данных
Декодеры для других ID несовместимы с вашими ID данными, поскольку уникальный ключ шифрования у каждого пользователя
Your  ID  b-DdocMTJy62  
@@@@@@@@@@
***************


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How To Decode Files.txt
YOUR KEY.KEY
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Bitmessage: BM-2cTAPjtTkqiW2twtykGm5mtocFAz7g5FZc@bitmessage.ch
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 18 июня 2018 г.

Scarab-Bomber

Scarab-Bomber Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы.  Оригинальное название: не указано. Написан на Delphi. 
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия / Genealogy: Scarab >> Scarab Family > Scarab-OskScarab-Bomber


Это изображение не принадлежит шифровальщику. Это логотип статьи. 

К зашифрованным файлам добавляется расширение / Appends to encrypted files the extensions:  .bomber

Файлы переименовываются до неузнаваемости с помощью Base64. Files are renamed beyond recognition with Base64.
Пример зашифрованного файла / Sample of encrypted file:
3gMHTQY3zqxKPOqLwdIr4rktCv4hMcGKYn5G0Bhyk=wJA.bomber


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется / Name of ransom note:  
КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT

Содержание записки о выкупе Contents of ransom note:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный идентификатор
6A02000000000000***242FB01
Ваши документы, фотографии, базы данных и другие важные данные были зашифрованы.
Для восстановления данных необходим дешифровщик.
Чтобы получить дешифровщик, следует отправить письмо на электронный адрес soft2018@tutanota.com (soft2018@mail.ee, newsoft2018@yandex.by)
В письме укажите Ваш личный идентификатор (см. в начале данного документа).
Если связаться через почту не получается
 * Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cWp6BhKATEHEyfi1CGG4k3RuquXjaGJXB с указанием Вашей почты и
личного идентификатора
Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес
Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.
Если у Вас нет биткойнов
 * Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
 * Приобретите криптовалюту Bitcoin:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
 * Отправьте требуемое количество BTC на указанный в письме адрес
Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Гарантия расшифровки файлов.
Перед оплатой вы можете отправить нам до 3х файлов для бесплатной расшифровки. 
Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования

Перевод записки на русский язык:
уже сделан. 



Технические детали Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для удаленного проникновения злоумышленниками используются приложения Windows, а также скомпрометированные (пропатченные злоумышленниками) приложения LiteManager, Ammy Admin, RAdmin, TeamViewer и портативные версии других легитимных или свободно распространяемых программ (7-ZipPortable, Chrome Portable, Opera Portable, Skype Portable). Не доверяйте сайтам, которые предлагают скачать портативные версии программ, особенно тех, которые в обычной версии небесплатны!!! Изучите мою статью Бесплатные программы и майнинг криптовалюты. Там есть подробное объяснение и предлагает надежное решение для тех, кто не может или не хочет покупать программы за их полную стоимость. 

Чтобы надёжно определять вектор проникновения в компьютерную сеть предприятий и организаций, а также впредь исключить возможность такого проникновения, необходимо использовать документированный список программного обеспечения. По большому счёту необходимо изучить и применить в дело Комплекс мероприятий для защиты от Ransomware

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Это версия активно прикрывается легитимными файлами и использует их названия для создания ярлыков на запуск вредоноса. 
Вредонос прописывается в Автозагрузку Windows, отставляя на Рабочем столе ярлыки на якобы легитимные файлы, вроде HQ-Realtek АС 3.9.4.738.lnk или Windows Update Manager.lnk

Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Большинство файлов. Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware / Files of Rw:
КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
osk.exe
update_w32.exe
<random>.exe - случайное название
<legitimate_program>.lnk - ярлык на вредонос
<random>.dll

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User_name\AppData\Roaming\SysplanNT\update_w32.exe
C:\Windows\System32\<random>.dll
\%AppData%\Roaming\<random>.dll
\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HQ-Realtek АС 3.9.4.738.lnk
\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk
C:\Windows\System32\config\systemprofile\AppData\Roaming\osk.exe
C:\Windows\System32\<random>.exe

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OYTfqa'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'URaog'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'regsvr'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vkaivgnecj'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Mfyegadub'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'update_w32.exe'
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email: soft2018@tutanota.com
soft2018@mail.ee
newsoft2018@yandex.by
Bitmessage: BM-2cWp6BhKATEHEyfi1CGG4k3RuquXjaGJXB
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Bomber - июнь 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


См. выше Историю семейства. 

Предыстория от 18 июня 2018:
Сначала (в седьмом часу) был обнаружен тестовый вариант, который уже шифровал файлы. Образцы на сервис ID Ransomware пришли из Испании.
Расширение: .bomber_test_build
Email: test_bomber_test@test.test (видимо фиктивный)
Примеры зашифрованных файлов: 
HM8oT6r5bxcnL+BGnGEBbxb08DEkfw3M+S.bomber_test_build
LsKeUV2o=H7q00KmQ3=BebISqUrUAXMtsSZcFx5cZ07Lr.bomber_test_build

Записка: !!! HOW TO RECOVER ENCRYPTED FILES !!!.TXT
Содержание записки:
TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST
TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST
TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST
Your files are now encrypted!
Your personal identifier:
6A02000000000000CB58B19F2592871184300C045B52D6A9FFC67ECD330C38E08B78F4744770DFEEB68D77B98F5BE6B0E251711A0BAFB4A8BE9D0A4DBB5A91612ED95EDDF82867753777B55E521EA03E3B667155593EBDC5134CD3CD96AD4F4A7371AD4B**********************************************************************************************************************************************************************************************************************************************************
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: test_bomber_test@test.test

Обновление от 18 по 19 июня 2018:
Вечером 18-го июня и позже компьютеры русскоязычных пользователей, предприятий и организаций были массово атакованы Scarab-Bomber Ransomware. Пик интенсивности был с вечера 18-го, в ночь на 19 июня 2018. Количество пострадавших 19-го июня утром было уже массовым. 
Прилагаю скриншот с сайта forum.kasperskyclub.ru 
Здесь видно, что форум сегодня завален просьбами о помощи. 

👉 К сожалению силами хелперов и консультантов по лечению ПК в данном случае не расшифровать файлы. Можно только зачистить систему от оставшихся вредоносных файлов и попутного мусора. Часто на ПК при чистке могут быть найдены еще другие вредоносы и даже другие шифровальщики, которые прошлись по файлам, зашифрованным другим шифровальщиком. 
Потому, в любом случае, нужно избавиться от такого хлама. Также необходимо собрать зашифрованные файлы и записки о выкупе. В них обычно имеется вся необходимая для дешифрования информация. 
Не удаляйте все записки о выкупе, чтобы вам не советовали!!! Оставьте хотя бы одну, если все они одинаковые и содержат один и тот же ID, ключ или что-то ещё.   




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
*
*
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 (victims in the topics of support)
 Alex Svirid, Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton