пятница, 18 января 2019 г.

James

James Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 + RSA-2048, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .JAMES


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в середине января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Возможно, пока находится в разработке. 

Записка с требованием выкупа называется: нет данных 

Содержание записки о выкупе:
***

Перевод записки на русский язык:
***



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск. 

➤ Шифрует файлы без разбору, в том числе exe и dll-файлы, после чего система вряд ли запустится. 

Список файловых расширений, подвергающихся шифрованию:
.cab, .chm, .dll, .doc, .exe, .msi, .MST, .xml, .xrm-ms 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ransom_poc.exe
<random>.exe - случайное название
JAMES\
EncryptedKey
james_flag
Encrypted_Files.txt  
KeyHash

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\JAMES\EncryptedKey
C:\Windows\JAMES\james_flag
C:\Windows\JAMES\Encrypted_Files.txt
C:\Windows\JAMES\KeyHash

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as James)
 Write-up, Topic of Support
 * 
 Thanks: 
 Leo, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 17 января 2019 г.

XCry

XCry Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .xcry7684


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW_TO_DECRYPT_FILES.html

Содержание записки о выкупе:
Your files have been encrypted.
To decrypt your files, follow instructions
Open your explorer, in the pathbar, enter %appdata%
Find the file encryption key and send it to email: funnybtc@ainnaiLcc
Await payment instructions.

Перевод записки на русский язык:
Ваши файлы были зашифрованы.
Чтобы расшифровать ваши файлы, следуйте инструкциям
Откройте ваш проводник, в строке пути введите %appdata%
Найдите ключ шифрования и пошлите его на email: funnybtc@ainnaiLcc
Ждите платежные инструкции.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Выполняет команду: 
cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v eebbce283db34c /d C:\Documents and Settings\<USER>\Application Data\e45bfa.exe

Список файловых расширений, подвергающихся шифрованию:
.7z, .bat, .c, .cpp, .cs, .css, .doc, .dpr, .h, .hpp, .html, .j, .jav, .java, .jpg, .js, .jsp, .lua, .pas, .php, .php4, .php5, .pl, .pm, .pod, .ppt, .py, .rar, .rb, .rtf, .t, .tar, .tar.gz, .tcl, .txt, .vb, .xls, .xml, .zip и другие.
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Из шифрования исключаются директории: 
APPDATA
Program Files (x86)
Program Files
Windows

Файлы, связанные с этим Ransomware:
HOW_TO_DECRYPT_FILES.html
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: funnybtc@airmail.cc
BTC: 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as XCry)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

среда, 16 января 2019 г.

Anatova

Anatova Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 10 Dash, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: CallOfCthulhu.exe
Целевые системы: Windows x64. 

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам никакое расширение не добавляется. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину января 2019 г. Штамп времени: 1 января 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ANATOVA.txt
Основной фрагмент записки
Полный вариант записки
Второй вариант записки

Содержание записки о выкупе:
All your files are crypted. Only us can decrypt your files, you need pay 10 DASH in the address:
XpRvUwSjSeHfJqLePsRfQtCKa1VMwaXh12
After the payment send us the address used to make the payment to one of these mail addresses:
anatova2@tutanota. com
anatoday@tutanota.com
Later wait for our reply with your decryptor. If you want can send us ONE JPG FILE ONLY max 200kb to decrypt per free before of payment.
Dont try fuck us, in this case you NEVER will recover your files. Nothing personal, only business.
Send this file untouched with your payment or/and free file!
123
--- KEY ---
72fUWB2sMz8Nm3Une4s3vc4X9fnNKDPEPoJu2Uh1ha2J543g1BJD75KjoJFsGIJs
JYganumWnmZhFIurs7Ssygt4YQVV0w/iqs+rkmuZ8yS/9QYdIWypjtWSUv/Ox4WBo9niSEWd4su/KOaVF1Kt8re4es7QlKQWBzzXhFWyWLElvFwCyUdl8TERH4/i7PTn
***
---KEY---

Содержание другого варианта записки (другой Dash-кошелек и один другой email): 
All your files are crypted. Only us can decrypt your files, you need pay 10 DASH in the address:
XktLWbv68EU9XhYBuvrAGtbZHronyJDt1L
After the payment send us the address used to make the payment to one of these mail addresses:
anatova2@tutanota.com
anatova1@tutanota.com
Later wait for our reply with your decryptor. If you want can send us ONE JPG FILE ONLY max 200kb to decrypt per free before of payment.
Dont try fuck us, in this case you NEVER will recover your files. Nothing personal, only business.
Send this file untouched with your payment or/and free file!
123
---KEY---
DxluVqavPXoNM+nQChaDIdr1yawj/joowBIGfH73D8aCKNp+nlgtTHulzVTGeWhv
zxDAqXpcm0PCijdAujDzEGmN7b9IfVJxmUAuhbB8psDBcLqiaYJcFV5XLD54IpmY
***
---KEY---

Перевод записки на русский язык:
Все ваши файлы зашифрованы. Только мы можем расшифровать ваши файлы, вам нужно заплатить 10 DASH на адресу:
XpRvUwSjSeHfJqLePsRfQtCKa1VMwaXh12
После оплаты отправьте нам адрес, используемый для оплаты, на один из этих почтовых адресов:
anatova2@tutanota. com
anatoday@tutanota.com
Потом дождитесь нашего ответа с вашим дешифратором. Если вы хотите, можете отправить нам ОДИН ФАЙЛ JPG ТОЛЬКО 200 КБ для расшифровки бесплатно до оплаты.
Не пытайтесь обмануть нас, в этом случае вы НИКОГДА не восстановите ваши файлы. Ничего личного, только бизнес.
Отправьте этот файл нетронутым с вашей оплатой или / и бесплатным файлом!
222
---KEY---
72fUWB2sMz8Nm3Une4s3vc4X9fnNKDPEPoJu2Uh1ha2J543g1BJD75KjoJFsGIJs
JYganumWnmZhFIurs7Ssygt4YQVV0w/iqs+rkmuZ8yS/9QYdIWypjtWSUv/Ox4WBo9niSEWd4su/KOaVF1Kt8re4es7QlKQWBzzXhFWyWLElvFwCyUdl8TERH4/i7PTn
***
---KEY---



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск. 

 Использует файловый маркер с ID жертвы, за которым следует 0x005BDD4B14 в конце файлов. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ANATOVA.txt
CallOfCthulhu.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email-1: anatova2@tutanota.com, anatoday@tutanota.com
Email-1: anatova2@tutanota.com, anatova1@tutanota.com
Dash-1: XpRvUwSjSeHfJqLePsRfQtCKa1VMwaXh12
Dash-2: XktLWbv68EU9XhYBuvrAGtbZHronyJDt1L
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>  VT>> VT>> VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as Anatova)
 Write-up, Topic of Support
 * 
 Thanks: 
 Valthek, Tamas Boczan, Michael Gillespie, operations6
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

вторник, 15 января 2019 г.

BigBobRoss

BigBobRoss Ransomware

Obfuscated Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .obfuscated


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в середине января 2019 г. Штамп времени 12 января 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые пострадавшие из Молдовы. 

Записка с требованием выкупа называется: Read Me.txt

Содержание записки о выкупе:
Hello, dear friend!
=================================================
1-   [All your files have been ENCRYPTED!]
Your files are NOT damaged! Your files are modified only.
The only way to decrypt your files is to receive the decryption program.
your files can not be decrypted without the special program we made it for your computer.
=================================================
2-  [ HOW TO RETURN FILES? ]
To receive the decryption program Write to our email "BigBobRoss@computer4u.com"
and tell us your unique ID
=================================================
3-  [ FREE DECRYPTION! ]
Free decryption as guarantee.
We guarantee the receipt of the decryption program after payment.
To believe, you can give us 1 file that must be less than 1MB and we decrypt it for free.
File should not be important to you! databases, backups, large excel sheets, etc.
=================================================
4-  [ Instruction ]
the easiest way to buy bitcoins is LocalBitcoins site. you have to register, click "buy bitcoins"
and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
=================================================
CAUTION!
please do not change the name of files or file extension if your files are important to you!
Your unique ID : *** [8 uppercase hex]

Перевод записки на русский язык:
Привет, дорогой друг!
=================================================
1- [Все ваши файлы зашифрованы!]
Ваши файлы НЕ повреждены! Ваши файлы только изменены.
Единственный способ расшифровать ваши файлы - это получить программу расшифровки.
Ваши файлы не могут быть расшифрованы без специальной программы, которую мы сделали для вашего компьютера.
=================================================
2- [КАК ВЕРНУТЬ ФАЙЛЫ? ]
Чтобы получить программу дешифрования, напишите на наш email "BigBobRoss@computer4u.com"
и сообщите нам свой уникальный ID
=================================================
3- [БЕСПЛАТНОЕ ДЕШИФРОВАНИЕ! ]
Бесплатная расшифровка как гарантия.
Мы гарантируем получение программы расшифровки после оплаты.
Чтобы поверить, вы можете дать нам 1 файл, который должен быть менее 1 МБ, и мы расшифруем его бесплатно.
Файл не должен быть важен для вас! базы данных, резервные копии, таблицы Excel и т.д.
=================================================
4- [Инструкция]
Самый простой способ купить биткоины - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать "buy bitcoins"
и выберите продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
=================================================
ВНИМАНИЕ!
пожалуйста, не меняйте имя файла или расширение файла, если ваши файлы важны для вас!
Ваш уникальный ID [8 знаков hex]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read Me.txt
test.exe, bedoneupx.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: BigBobRoss@computer4u.com
BTC: ***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >> VT>> VT>>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie, Jakub Kroustek
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 14 января 2019 г.

Scarab-Zzz

Scarab-Zzz Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в ~1 BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. Написан на Delphi. 

© Генеалогия: Scarab >> другие Scarab-варианты > Scarab-ZZZ
Это изображение — логотип статьи. Изображает скарабея с Zzz.
This image is the logo of the article. It depicts a scarab with Zzz.

К зашифрованным файлам добавляется расширение: .zzzzzzzz
Сами файлы переименовываются с помощью Base64. 

Пример зашифрованного файла: 
7dmdXPFuP4Ld0NHo1XDt5mzldFSRli5Pv5I6j+Uj3xCAoeYDgv=I5ybqWfun+OeU05BYOEi3wDOi6OlXD9k5X6pAP1Ta6w530hKZUVv4.zzzzzzzz

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
---= ^_^ Your files are now encrypted!! ^_^ =--- 
Attention!   
All your files, documents, photos, databases and other important files are encrypted 
The only method of recovering files is to purchase an unique private decryptor. Only we can give you this decryptor and only we can recover your files.
IN ORDER TO PREVENT DATA DAMAGE:
 * DO NOT MODIFY ENCRYPTED FILES
 * DO NOT CHANGE DATA BELOW
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.
Now you should send us email with your key identifier and version.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins or Dash. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
If the payment isn't made with in 5 days the cost of decrypting files will be doubled 
We can give you free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 100kb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
You can contact us in these email address: ----- rohitramses@protonmail.com ---or--- rohitramses@tutanota.com ------
If you don't get a reply or if the email dies, then contact us using Bitmessage.
Download it form here: https://bitmessage.org/wiki/Main_Page
Run it, click New Identity and then send us a message at BM-2cSzfawmdGKeT8ny99qtMeiGb27TcVBJXz
I don't have Bitcoin (BTC) or DASH (DSH). How can I make the payment?
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price: 
   https://localbitcoins.com/buy_bitcoins 
 * Also you can find other places to buy Bitcoins and beginners guide here:   
   http://www.coindesk.com/information/how-can-i-buy-bitcoins 
 * https://buy.bitcoin.com/
 * https://coinmonitor.io/en/
 * https://coinmama.com/
 * https://changelly.com/
 * https://payeer.com/
 * https://cex.io/
Version: 1.1
Your Key Indentifier:
+4IAAAAAAACqJ***29gER3Q

Перевод записки на русский язык:
--- = ^ _ ^ Ваши файлы теперь зашифрованы !! ^ _ ^ = ---
Внимание!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы
Единственный способ восстановления файлов - это покупка уникального частного дешифровщика. Только мы можем дать вам этот дешифровщик, и только мы можем восстановить ваши файлы.
Для того, чтобы предотвратить повреждение данных:
 * НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ
 * НЕ ИЗМЕНЯЙТЕ ДАННЫЕ НИЖЕ
 * Не переименовывайте зашифрованные файлы.
 * Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
 * Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены
   (они добавляют свой гонорар к нашему), или вы можете стать жертвой мошенничества.
Теперь вы должны отправить нам email с вашим ключом идентификатором и версией.
Это письмо будет подтверждением того, что вы готовы заплатить за ключ дешифровки.
Вы должны заплатить за дешифрование в Биткоинах или Dash. Цена зависит от того, как быстро вы напишите нам.
После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
Если оплата не будет произведена в течение 5 дней, стоимость дешифровки файлов будет удвоена
Мы можем дать вам бесплатное дешифрование в качестве гарантии!
Перед оплатой вы можете отправить нам до 3 файлов для бесплатной дешифровки.
Общий размер файлов должен быть менее 100 КБ (не в архиве), и файлы не должны содержать ценную информацию (базы данных, резервные копии, большие таблицы Excel и т. д.).
Вы можете связаться с нами по этому адресу email: ----- rohitramses@protonmail.com --- или --- rohitramses@tutanota.com ------
Если вы не получили ответа или письмо не работает, свяжитесь с нами, используя Bitmessage.
Загрузите отсюда: https://bitmessage.org/wiki/Main_Page
Запустите его, нажмите New Identity и отправьте нам сообщение по адресу BM-2cSzfawmdGKeT8ny99qtMeiGb27TcVBJXz
У меня нет биткоинов (BTC) или DASH (DSH). Как я могу сделать платеж?
 * Самый простой способ купить биткоины - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажмите 'Buy bitcoins' и выберите продавца по способу оплаты и цене:
   https://localbitcoins.com/buy_bitcoins
 * Также вы можете найти другие места, чтобы купить биткоины и руководство для начинающих здесь:
   http://www.coindesk.com/information/how-can-i-buy-bitcoins
 * https://buy.bitcoin.com/
 * https://coinmonitor.io/en/
 * https://coinmama.com/
 * https://changelly.com/
 * https://payeer.com/
 * https://cex.io/
Версия: 1.1
Ваш ключ идентификатор:
+ 4IAAAAAAACqJ *** 29gER3Q



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: rohitramses@protonmail.com
rohitramses@tutanota.com
BM-2cSzfawmdGKeT8ny99qtMeiGb27TcVBJXz
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
Scarab-Enter - ноябрь 2018
Scarab-Aztec (Pizza) - декабь 2018
Scarab-Zzz - январь 2019
и другие...


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + myTweet
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support, General Topic of Support
 * 
 Thanks: 
 Emmanuel_ADC-Soft, quietman7, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton