понедельник, 12 июня 2017 г.

Scarab

Scarab Ransomware

ScarabLocker Ransomware

resque help-mails mich78 Jackie7 suupport Support56 

helper023 decrypts anticrypto westlan decry1 decry2

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Scarab и ScarabLocker. См. видео-обзор Scarab Ransomware по ссылке. Некоторые версии Scarab уже можно дешифровать!!! 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Scarab > ScorpioJackieScarabeyDecrypts, Crypto, Amnesia, Please, XTBL, Oblivion, Horsia, Walker, Osk, RebusDiskDoctorDanger

К зашифрованным файлам добавляется расширение .scarab
В более поздних вариантах используются шаблоны для расширений:
.[email].scarab
.[email]
и другие, в том числе без email. 

👉 Другие расширения смотрите по ссылкам на каждую новую итерацию в "Генеалогия" (см. выше). 

Сами файлы переименовываются с помощью Base64. 
Изображение не принадлежит шифровальщику
Логотип разработан на этом сайте ID-Ransomware.RU
На нём изображен скарабей с комком, типа глобуса.

Активность первых версий этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT

Содержание записки о выкупе:
*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
**************************************
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: qa458@yandex.ru
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 5Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins? 
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price: 
https://localbitcoins.com/buy_bitcoins 
* Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins 
Attention!
* Do not rename encrypted files. 
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
*** ЕСЛИ ВЫ ХОТИТЕ ВЕРНУТЬ ВСЕ ВАШИ ФАЙЛЫ, ТО ПРОЧТИТЕ ЭТО ***
Теперь ваши файлы зашифрованы!
----- НАЧАЛО ПЕРСОНАЛЬНОГО ИДЕНТИФИКАТОРА -----
**************************************
----- КОНЕЦ ПЕРСОНАЛЬНОГО ИДЕНТИФИКАТОРА -----
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК.
Теперь вы должны отправить нам email с вашим личным идентификатором.
Это письмо будет подтверждением, что вы готовы заплатить за ключ дешифрования.
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Свяжитесь с нами, используя этот адрес электронной почты: qa458@yandex.ru
Бесплатное дешифрование в качестве гарантии!
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Общий размер файлов должен быть меньше 5 Мб (не архив), а файлы не должны содержать ценную информацию (базы данных, резервные копии, большие листы Excel и т.д.).
Как получить биткоины?
* Самый простой способ купить биткоины - сайт LocalBitcoins. Вы должны зарегистрироваться, щелкнуть
"Buy bitcoins" и выберите продавца по способу оплаты и цене:
https://localbitcoins.com/buy_bitcoins
* Также вы можете найти другие места для покупки биткоинов и руководства для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Внимание!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровывать свои данные чужими программами, это может привести к безвозвратной потере данных.
* Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Также может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, точки восстановления системы, отключает исправление загрузки Windows и следующими командами:
%WINDIR%\system32\cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP
 wbadmin.exe wbadmin DELETE SYSTEMSTATEBACKUP
%WINDIR%\system32\cmd.exe /c wmic SHADOWCOPY DELETE
 WMIC.exe wmic SHADOWCOPY DELETE
%WINDIR%\system32\cmd.exe /c vssadmin Delete Shadows /All /Quiet
 vssadmin.exe vssadmin Delete Shadows /All /Quiet
%WINDIR%\system32\cmd.exe /c bcdedit /set {default} recoveryenabled No
 bcdedit.exe bcdedit /set {default} recoveryenabled No
%WINDIR%\system32\cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
 bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:
.$efs, .0, .00, .000, .0001, .0002, .0003, .0004, .0005, .0006, .0007, .0008, .0009, .001, .0010, .0011, .0012, .0013, .0014, .0015, .0016, .0017, .0018, .0019, .002, .0020, .0021, .0022, .0023, .0024, .0025, .0026, .0027, .0028, .0029, .003, .0030, .004, .005, .006, .007, .008, .009, .00a, .00b, .00c, .00d, .00e, .00f, .00g, .00h, .00i, .00j, .00k, .00l, .00m, .00n, .00o, .00p, .00q, .00r, .00s, .00t, .00u, .00v, .00w, .00x, .00y, .00z, .010, .011, .012, .013, .014, .015, .016, .017, .018, .019, .020, .021, .022, .023, .024, .025, .026, .027, .028, .029, .030, .031, .032, .033, .034, .035, .036, .037, .038, .039, .040, .041, .042, .043, .044, .045, .046, .047, .048, .049, .050, .051, .052, .053, .054, .055, .056, .057, .058, .059, .060, .061, .062, .063, .064, .065, .066, .067, .068, .069, .070, .071, .072, .073, .074, .075, .076, .077, .078, .079, .080, .081, .082, .083, .084, .085, .086, .087, .088, .089, .090, .091, .092, .093, .094, .095, .096, .097, .098, .099, .0r8, .1, .10, .100, .101, .103, .108, .11, .110, .111, .123, .128, .1cd, .1sp, .1st, .2, .200, .22, .222, .264, .2q0, .2qm, .3, .30, .300, .33, .333, .3c, .3d, .3d4, .3dd, .3df, .3df8, .3dm, .3dr, .3ds, .3dxml, .3fr, .3g2, .3ga, .3gp, .3gp2, .3mm, .3pr, .3w, .4, .400, .44, .444, .4dd, .4w7, .5, .500, .55, .555, .6, .600, .602, .66, .666, .7, .700, .73i87a, .77, .777, .7z, .7zip, .8, .800, .806dy, .88, .888, .89t, .89y, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .8svx, .8xt, .9, .900, .99, .999, .9xt, .9xy, .a$v, .a, .a2c, .a5zfn, .a90, .aa, .aa3, .aaa, .aac, .aaf, .aah, .aaui, .ab4, .ab65, .abc, .abf, .abk, .abt, .abw, .ac2, .ac3, .ac5, .acc, .accdb, .accde, .accdr, .accdt, .ace, .acf, .ach, .acl, .acp, .acr, .acrobatsecuritysettings, .acrodata, .acroplugin, .acrypt, .acsi, .acsm, .act, .act3d, .ad, .ad3, .ada, .adb, .adc, .add, .ade, .adf, .adi, .adl, .adm, .adml, .admx, .adoc, .ados, .adox, .adp, .adpb, .adr, .ads, .adt, .aea, .aec, .aep, .aepx, .aes, .aet, .afdesign, .aff, .afm, .afp, .agd1, .agdl, .age3rec, .age3sav, .age3scn, .age3xrec, .age3xsav, .age3xscn, .age3yrec, .age3ysav, .age3yscn, .ahf, .ahi, .ahstore, .ai, .aif, .aiff, .aim, .aip, .ais, .ait, .ak, .al, .al8, .ala, .alb3, .alb4, .alb5, .alb6, .ald, .alf, .ali, .allet, .alm, .alt, .alt3, .alt5, .aly, .am, .amf, .aml, .amr, .amt, .amu, .amx, .amxx, .anekspakiet, .aneksskrypt, .anl, .ann, .ans, .ansr, .anx, .aod, .aoi, .ap, .apa, .apd, .ape, .apf, .api, .apj, .apk, .apnx, .apo, .app, .approj, .apr, .apt, .apw, .apxl, .arc, .arch00, .ard, .arf, .arff, .ari, .arj, .aro, .arr, .ars, .art, .arv, .arw, .as$, .as, .as3, .asa, .asc, .ascm, .ascx, .asd, .ase, .asf, .ashx, .ask, .asl, .asm, .asmx, .asn, .asnd, .asp, .aspx, .asr, .asset, .ast, .asv, .asvx, .asx, .ath, .atl, .atomsvc, .atw, .auc, .automaticdestinations-ms, .aux, .av, .avd, .avdata, .avhd, .avhdx, .avi, .avn, .avs, .awd, .awe, .awg, .awp, .aws, .awt, .aww, .awwp, .ax, .axc, .axmodelstore, .axx, .azf, .azs, .azw, .azw1, .azw3, .azw4, .b, .b27, .b2a, .b5i, .ba0, .ba1, .ba10, .ba2, .ba3, .ba4, .ba5, .ba6, .ba7, .ba8, .ba9, .bac, .back, .backup, .backup0, .backup1, .backup2, .backup3, .backup4, .backup5, .backup6, .backup7, .backup8, .backup9, .backupdb, .bad, .bak, .bak~, .bak1, .bak2, .bak3, .bak4, .bal, .bamboopaper, .bank, .bar, .bas, .bat, .bau, .bax, .bay, .bbcd, .bbl, .bbprojectd, .bbs, .bbxt, .bc5, .bc6, .bc7, .bcd, .bck, .bco, .bcp, .bda, .bdb, .bdb2, .bdp, .bdr, .bdt, .bdt2, .bdt3, .bean, .benchmark, .bfa, .bgt, .bgv, .bi8, .bib, .bibtex, .bic, .big, .bik, .bil, .bin, .bina, .bitstak, .bizdocument, .bjl, .bk!, .bk, .bk1, .bk2, .bk3, .bk4, .bk5, .bk6, .bk7, .bk8, .bk9, .bkf, .bkg, .bkp, .bks, .bkup, .bld, .blend, .blend2, .blg, .blk, .blm, .blob, .blp, .bmc, .bmf, .bmk, .bml, .bmm, .bmml, .bmp, .bmpr, .bna, .bnd, .boc, .book, .bop, .bp1, .bp2, .bp3, .bpdx, .bpf, .bpk, .bpl, .bpm, .bpmc, .bps, .bpw, .brd, .breaking_bad, .brh, .brl, .brs, .brx, .bsa, .bsk, .bso, .bsp, .bst, .bt, .btc, .btd, .btf, .btoa, .btw, .btx, .bup, .burn, .burntheme, .bus, .bvd, .bwd, .bwf, .bwp, .bxx, .bzabw, .c, .c2d, .c2e, .c6, .cab, .cache, .cad, .cadoc, .cae, .cag, .calca, .cam, .camproj, .camrec, .cap, .capt, .car, .caro, .cas, .cat, .catdrawing, .catpart, .catproduct, .cawr, .cba, .cbf, .cbor, .cbr, .cbu, .cbz, .cc, .ccc, .cccrrrppp, .ccd, .ccf, .cch, .ccitt, .cd, .cd1, .cd2, .cdc, .cdd, .cddz, .cdf, .cdi, .cdk, .cdl, .cdm, .cdml, .cdmm, .cdmz, .cdn, .cdpz, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cds, .cdt, .cdtx, .cdu, .cdx, .cdxml, .ce1, .ce2, .cef, .cer, .cerber, .cerber2, .cerber3, .cert, .cf, .cf5, .cfd, .cfg, .cfp, .cfr, .cfs, .cfu, .cfx, .cgf, .cgfiletypetest, .cgi, .cgm, .cgp, .chi, .chk, .chm, .chml, .chmprj, .chp, .chpscrap, .cht, .chtml, .ci, .cib, .cida, .cif, .cipo, .civ4worldbuildersave, .civbeyondswordsave, .cl2arc, .cl2doc, .clam, .clarify, .class, .clb, .clkd, .clkt, .clp, .clr, .cls, .clx, .cly, .cmake, .cmd, .cmf, .cml, .cmp, .cms, .cmt, .cmu, .cnf, .cng, .cnt, .cnv, .cod, .col, .com, .comicdoc, .comiclife, .compositionmodel, .compositiontemplate, .con, .conf, .config, .contact, .converterx, .coverton, .cp, .cpbdf, .cpc, .cpd, .cpdt, .cphd, .cpi, .cpio, .cpp, .cps, .cpy, .cr2, .crashed, .craw, .crb, .crd, .creole, .cri, .crinf, .crjoker, .crl, .crptrgr, .crs, .crs3, .crt, .crtr, .crw, .crwl, .cry, .cryp1, .crypt, .crypted, .cryptolocker, .cryptowall, .cryptra, .crypz, .crysis, .cs, .cs8, .csa, .cse, .csh, .cshtml, .csi, .csl, .cso, .csp, .csproj, .csr, .css, .cst, .csv, .csw, .ctb, .ctbl, .ctd, .cte, .ctf, .ctl, .ctt, .ctxt, .cty, .cuc, .cue, .current, .cvj, .cvl, .cvw, .cw3, .cwf, .cwk, .cwn, .cwr, .cws, .cwwp, .cyi, .cys, .czs, .czvxce, .d, .d2s, .d3dbsp, .dac, .dadx, .dag, .dal, .dap, .dar, .darkness, .das, .dash, .dat, .dat_bak, .data, .database, .datx, .dav, .dayzprofile, .dazip, .db, .db_journal, .db0, .db3, .dba, .dbb, .dbc, .dbd, .dbf, .dbfv, .db-journal, .dbk, .dbr, .dbs, .dbx, .dc2, .dc4, .dca, .dcd, .dcf, .dch, .dcl, .dcm, .dco, .dcp, .dcr, .dcs, .dct, .dct5, .dcu, .ddc, .ddcx, .ddd, .ddf, .ddif, .ddoc, .ddrw, .dds, .deb, .debian, .dec, .decryptional, .ded, .def, .default, .del, .dem, .deploy, .der, .des, .desc, .description, .design, .desklink, .deskthemepack, .det, .deu, .dev, .dex, .dfb, .dfe, .dfl, .dfm, .dft, .dfti, .dgc, .dgm, .dgpd, .dgr, .dgrh, .dgs, .dharma, .dhe, .dia, .dic, .did, .dif, .dii, .dim, .dime, .dip, .dir, .directory, .disc, .disco, .disk, .dit, .divx, .dix, .diz, .djbz, .djv, .djvu, .dk, .dk@p, .dl5, .dlc, .dlg, .dll, .dlm, .dmbk, .dmg, .dmp, .dmp1, .dmp2, .dmp3, .dmp4, .dmp5, .dmp6, .dmp7, .dmp8, .dmp9, .dmt, .dmtemplate, .dmv, .dmx, .dna, .dng, .dnl, .dob, .doc#, .doc, .docb, .doce, .docenx, .dochtml, .docl, .docm, .docmhtml, .docs, .docset, .docstates, .doct, .documentrevisions-v100, .docx, .docxl, .docxml, .dof, .dok, .dot, .dothtml, .dotm, .dotmenx, .dotx, .dotxenx, .dox, .doxy, .doz, .dp, .dpd, .dpf, .dpi, .dpk, .dpl, .dpp, .dpr, .dr, .drd, .dream, .drf, .drm, .drmx, .drmz, .drv, .drw, .dsc, .dsd, .dsdic, .dsf, .dsg, .dsh, .dsk, .dsl, .dsn, .dsp, .dsy, .dt, .dtd, .dtddb, .dtm, .dtml, .dtp, .dtpage, .dtrestore, .dtsx, .dtx, .dtxl, .dump, .dvb, .dvd, .dvi, .dvr, .dvs, .dvsdrw, .dvx, .dvz, .dwd, .dwdoc, .dwf, .dwfx, .dwg, .dwlibrary, .dwp, .dwt, .dxb, .dxd, .dxe, .dxf, .dxg, .dxn, .dxr, .dxstudio, .dzp, .e, .e3s, .e4a, .easmx, .ebk, .ebs, .ec4, .ecc, .eco, .ecr, .edb, .edd, .edf, .edi, .edl, .edml, .edn, .edoc, .edrwx, .edt, .edz, .efa, .efax, .efd, .eff, .efi, .efl, .efm, .efr, .eftx, .efu, .efx, .egg, .egr, .egt, .ehp, .eif, .eip, .ekm, .el6, .eld, .elf, .elfo, .eln, .elo, .email, .emc, .emf, .eml, .emlxpart, .emm, .enc, .enciphered, .encrypt, .encrypted, .enfpack, .enigma, .ent, .env, .enx, .enyd, .eob, .eot, .ep, .epdf, .epf, .epk, .epp, .eprtx, .eps, .epsf, .ept, .epub, .epx, .eql, .erbsql, .erd, .ere, .erf, .erl, .err, .es, .es3, .esc, .esd, .esf, .esm, .esp, .esql, .ess, .est, .esv, .et, .ete, .etng, .etnt, .ets, .etx, .euc, .evn, .evo, .evtx, .evy, .ewl, .ex, .exc, .exd, .exe, .exf, .exif, .exprwdhtml, .exprwdxml, .exss, .exx, .eye, .ez, .ezc, .ezm, .ezs, .ezz, .f, .f4v, .f90, .f96, .fac, .fadein, .fae, .fantom, .faq, .fax, .fbd, .fbk, .fbp6, .fbs, .fcd, .fcf, .fcstd, .fd, .fdb, .fdf, .fdoc, .fdr, .fds, .fdseq, .fdw, .fdx, .fed, .feed-ms, .feedsdb-ms, .ff, .ff2, .ffa, .ffd, .ffdata, .fff, .ffl, .ffo, .fft, .ffx, .fh, .fhd, .fig, .fin, .fk, .fkc, .fkx, .fl, .fla, .flac, .flag, .flat, .flf, .flib, .flk, .flka, .flkb, .flm, .flp, .fls, .flt, .fltr, .flv, .flvv, .fly, .fm, .fm3, .fmc, .fmd, .fmf, .fml, .fmp, .fmp3, .fmt, .fmx, .fnc, .fnf, .fo, .fob, .fodg, .fodp, .fods, .fodt, .folio, .for, .forge, .fos, .fountain, .fp, .fp7, .fpage, .fpdoclib, .fpenc, .fphomeop, .fpk, .fplinkbar, .fpp, .fpt, .fpx, .fra, .frag, .frdat, .frdoc, .freepp, .frelf, .frf, .frm, .frx, .fs, .fsc, .fsd, .fsf, .fsh, .fsp, .fss, .ft10, .ft11, .ft7, .ft8, .ft9, .ftil, .ftr, .ful, .fun, .fwk, .fwtemplate, .fxd, .fxg, .fxo, .fxp, .fxr, .fzh, .fzip, .g, .g32, .ga3, .gam, .gan, .gbk, .gbkk, .gcsx, .gct, .gdb, .gdbindexes, .gdbtable, .gdbtablx, .gdc, .gdoc, .ged, .gem, .geo, .gev, .gevl, .gfe, .gform, .gfx, .ggb, .ghe, .gho, .gif, .gil, .giw, .glink, .glk, .glo, .globe, .glos, .gly, .gm, .gml, .gmp, .gmu, .gmx, .gnd, .gno, .gofin, .good, .gp4, .gpc, .gpd, .gpf, .gpg, .gpn, .gpx, .gpz, .gr, .gra, .grade, .gray, .grey, .grf, .grk, .grle, .groups, .grs, .grx, .gry, .gs, .gsa, .gsf, .gsheet, .gslides, .gsm, .gthr, .guess, .gui, .gul, .gvi, .gxk, .gxl, .gz, .gzig, .gzip, .h, .h1q, .h1s, .h1w, .h2o, .h3m, .h4r, .ha3, .haml, .hbk, .hbl, .hbx, .hcl, .hcw, .hda, .hdb, .hdd, .hdl, .hds, .hdt, .hdx, .hed, .help, .helpindex, .herbst, .hex, .hfd, .hfmx, .hft, .hgt, .hhs, .hightex, .his, .hive, .hkdb, .hkx, .hld, .hlf, .hlp, .hlx, .hlx2, .hlz, .hm2, .hmskin, .hnd, .hoi4, .hot, .hp2, .hpd, .hpj, .hplg, .hpo, .hpp, .hps, .hpt, .hpw, .hqx, .hrx, .hs, .hsm, .hsx, .hta, .htm, .htm~, .html, .htmls, .htmlz, .htms, .htpasswd, .htz5, .hur, .hvpl, .hw3, .hwp, .hwpml, .hwt, .hxe, .hxi, .hxq, .hxr, .hxs, .hyp, .hype, .i, .i00, .i01, .i02, .i03, .i04, .i05, .iab, .iaf, .ial, .iam, .iar, .ib, .ibank, .ibcd, .ibd, .ibk, .ibu, .ibz, .icalevent, .icaltodo, .icc, .icm, .icml, .icmt, .ico, .ics, .icst, .icxs, .idap, .idc, .idd, .idl, .idml, .idp, .idw, .idx, .ie5, .ie6, .ie7, .ie8, .ie9, .ienc, .iff, .ifp, .ign, .igr, .igs, .ihf, .ihp, .iif, .iiq, .iks, .ila, .ildoc, .img, .imp, .imr, .incp, .incpas, .ind, .indb, .indd, .index, .indl, .indp, .indt, .inf, .info, .inform, .inform_connected, .ini, .ink, .inld, .inlk, .inp, .inprogress, .inrs, .inss, .installhelper, .installstate, .insx, .int, .internetconnect, .inv, .inx, .ioca, .iof, .ipa, .ipe, .ipf, .ipr, .ipt, .iqd, .irx, .ish1, .ish2, .ish3, .iso, .ispx, .isu, .isz, .itc2, .itdb, .ite, .itl, .itm, .itmz, .itp, .its, .iv2i, .iva, .ivt, .iw44, .iwa, .iwd, .iwi, .iwprj, .iwtpl, .ix, .ixv, .j, .jac, .jar, .jav, .java, .jb2, .jbc, .jbig, .jbig2, .jc, .jdd, .jfif, .jge, .jgz, .jhd, .jiaf, .jias, .jif, .jiff, .jnt, .job, .joe, .jp1, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpgx, .jpm, .jpw, .jrc, .jrf, .jrl, .jrprint, .jrs, .js, .jsd, .json, .jsp, .jspa, .jspx, .jtd, .jtdc, .jtt, .jtv, .jtx, .just, .jw, .jwl, .jww, .k, .k25, .kbd, .kbf, .kc2, .kdb, .kdbx, .kdc, .kde, .kdf, .kdx, .kernel_complete, .kernel_pid, .kernel_time, .kes, .key, .keybtc@inbox_com, .keynote, .key-tef, .kf, .kfm, .kfp, .kgb, .khi, .khstore, .kid, .kimcilware, .kkk, .klp, .klq, .klw, .kmz, .knf, .knt, .kod, .kom, .kos, .kpdx, .kpr, .kpxe, .kraken, .kratos, .ksb, .ksb2, .ksd, .ksp, .kss, .ksw, .kuip, .kum, .kwd, .kwm, .kwp, .l, .laccdb, .lastlogin, .lat, .latex, .lax, .lay, .lay6, .layout, .lbf, .lbi, .lbl, .lcd, .lcf, .lck, .lcn, .lct, .ldb, .ldc, .ldf, .ldm, .lechiffre, .legion, .len, .lfe, .lgd, .lgf, .lgp, .lhd, .lib, .lic, .lid, .lit, .litemod, .ll3, .llv, .lmd, .lng, .lngttarch2, .lnk, .localstorage, .lock, .locked, .locky, .loe, .log, .logonxp, .lok, .lol!, .lot, .lp, .lp2, .lp7, .lpa, .lpc, .lpd, .lpdf, .lpx, .lrf, .lrg, .ls5, .lsf, .lst, .lstore, .ltcx, .ltm, .ltr, .ltx, .lua, .lvd, .lvivt, .lvl, .lvw, .lwd, .lwl, .lwo, .lwp, .lyr, .lyx, .lz, .lzf, .lzx, .m, .m13, .m14, .m2, .m2ts, .m3u, .m3u8, .m4, .m4a, .m4l, .m4p, .m4t, .m4u, .m4v, .m7g, .m7p, .ma0, .ma1, .mac, .maca, .mag, .magic, .maker, .maml, .man, .manifest, .manu, .map, .mapimail, .marc, .mark, .markdn, .mars, .mass, .max, .maxfr, .maxm, .mbbk, .mbox, .mbx, .mc9, .mcd, .mcdx, .mcf, .mcgame, .mcmac, .mcmeta, .mcp, .mcrp, .mcw, .md, .md0, .md1, .md2, .md3, .md5, .mda, .mdb, .mdbackup, .mdbhtml, .mdc, .mdccache, .mddata, .mde, .mdf, .mdg, .mdi, .mdk, .mdl, .mdn, .mds, .mdt, .mecontact, .med, .mef, .meh, .mell, .mellel, .menu, .meo, .met, .metadata_never_index, .mf, .mfa, .mfp, .mfw, .mga, .mgj, .mgmt, .mgourmet, .mgourmet3, .mhp, .mht, .mhtenx, .mhtml, .mhtmlenx, .mi, .mic, .micro, .mid, .mif, .mig, .mim, .mime, .mindnode, .mip, .mission, .mix, .mjd, .mjdoc, .mkd, .mke, .mkr, .mks, .mkv, .mla, .mlb, .mlj, .mlm, .mlo, .mls, .mlsxml, .mlx, .mm, .mm2se, .mm6, .mm7, .mm8, .mmap, .mmc, .mmd, .mme, .mmjs, .mml, .mmo, .mmsw, .mmw, .mnu, .mny, .mo, .mobi, .mod, .moneywell, .mos, .mov, .movie, .moz, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpf, .mpg, .mph, .mpj, .mpp, .mpq, .mpqge, .mpr, .mpt, .mpv, .mpv2, .mrd, .mrimg, .mrk, .mrom, .mru, .mrw, .mrwref, .ms, .msb, .msd, .mse, .msg, .mshc, .msi, .msie, .msl, .mso, .msor, .msp, .msq, .mst, .ms-tnef, .msu, .msw, .mswd, .mta, .mtdd, .mtml, .mto, .mtp, .mts, .mtx, .mua, .mug, .mui, .mvd, .mvdx, .mvex, .mwd, .mwii, .mwpd, .mwpp, .mws, .mxd, .mxg, .mxl, .mxp, .myapp, .myd, .mydocs, .myi, .myo, .mz, .n, .n3, .nar, .narrative, .nav, .navmap, .nb, .nba, .nbak, .nbf, .nbp, .nbu, .ncc, .ncd, .ncf, .nd, .ndd, .ndf, .ndl, .ndr, .nds, .ne0, .ne1, .ne3, .nef, .nfo, .nfs11save, .ng, .nit, .njx, .nk2, .nmbtemplate, .nmu, .nokogiri, .nom, .nop, .note, .now, .npd, .npdf, .npp, .npt, .nrbak, .nrg, .nrg, .nri, .nrl, .nrmlib, .nrw, .ns, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nst, .ntf, .ntl, .ntp, .nts, .ntx, .number, .numbers, .nup, .nvd, .nvdl, .nvram, .nwb, .nwbak, .nwcab, .nwcp, .nwd, .nx^d, .nx__, .nx1, .nx2, .nxl, .nyf, .nzb, .o, .oa2, .oa3, .oab, .oad, .oas, .obd, .obj, .obr, .obt, .obx, .obz, .ocdc, .ocr, .ocs, .ocx, .oda, .odb, .odc, .odccubefile, .odcodc, .odf, .odg, .odh, .odi, .odif, .odm, .odo, .odp, .ods, .odt#, .odt, .odttf, .odz, .officeui, .ofn, .oft, .oga, .ogc, .ogg, .oil, .ojz, .okm, .old, .ole, .ole2, .olf, .olv, .oly, .omg, .omlog, .omp, .onb, .one, .oos, .oot, .opal, .opax, .opd, .opf, .opj, .oplx, .opn, .opt, .opx, .opxs, .orf, .org, .ort, .osd, .osdx, .osf, .ost, .ostore, .otc, .otf, .otg, .oth, .oti, .otn, .otp, .ots, .ott, .otw, .out, .ova, .ovd, .ovr, .owl, .oxf, .oxps, .oxt, .p, .p10, .p12, .p2s, .p3, .p3x, .p5tkjw, .p65, .p7b, .p7c, .p7m, .p7z, .pab, .pack, .pad, .padcrypt, .pages, .pages-tef, .pak, .paq, .par, .partial, .pas, .pat, .paux, .paym, .paymrss, .payms, .paymst, .paymts, .payrms, .pays, .pbd, .pbf, .pbk, .pbp, .pbr, .pbs, .pbx5script, .pbxscript, .pcd, .pcf, .pcj, .pct, .pcv, .pcw, .pd, .pdb, .pdc, .pdcr, .pdd, .pdf, .pdf_, .pdf_profile, .pdf_tsid, .pdfa, .pdfe, .pdfenx, .pdfl, .pdfua, .pdfvt, .pdfx, .pdfxml, .pdfz, .pdg, .pdj, .pdl, .pdp, .pdz, .peb, .pef, .pem, .pez, .pf, .pfc, .pfd, .pfl, .pfm, .pfp, .pfr, .pfsx, .pft, .pfx, .pg, .pgs, .php, .phr, .phs, .pif, .pih, .pixexp, .pj2, .pj4, .pj5, .pk, .pkb, .pkey, .pkg, .pkh, .pkpass, .pl, .plan, .plb, .plc, .pld, .pli, .pln, .pls, .plt, .plus_muhd, .ply, .pm, .pm3, .pm4, .pm5, .pm6, .pm7, .pmd, .pmt, .pmv, .pmx, .png, .pnm, .pnu, .po, .poar2w, .pod, .poi, .pool, .pot, .pothtml, .potm, .potx, .pp3, .ppam, .ppd, .ppdf, .ppf, .ppj, .ppk, .ppl, .ppp, .ppr, .pps, .ppsenx, .ppsm, .ppsx, .ppt, .ppte, .pptf, .ppthtml, .pptl, .pptm, .pptmhtml, .pptt, .pptx, .ppws, .ppx, .prc, .prd, .pre, .pref, .prel, .prf, .prj, .prn, .pro, .pro4, .pro4dvd, .pro5, .pro5dvd, .pro5plx, .pro5x, .proc, .proofingtool, .props, .proqc, .prproj, .prr, .prs, .prt, .prtc, .prv, .prz, .ps, .ps1, .ps2, .ps3, .psa, .psafe3, .psb, .psd, .pse8db, .psf, .psg, .psi2, .psip, .psk, .psm, .psm1, .psmd, .pspimage, .pst, .psw, .psw6, .pswx, .psz, .pt3, .pt6, .ptb, .ptc, .ptf, .pth, .ptk, .ptn, .ptn2, .ptr, .pts, .ptx, .pub, .pubf, .pubhtml, .pubmhtml, .pubx, .purge, .puz, .pvc, .pvd, .pve, .pvf, .pw, .pwd, .pwe, .pwf, .pwi, .pwm, .pwp, .pwre, .pxd, .pxl, .pxp, .py, .pyd, .pyi, .pys, .pzc, .pzdc, .pzf, .pzt, .q, .qba, .qbb, .qbl, .qbm, .qbr, .qbw, .qbx, .qby, .qch, .qcow, .qcow2, .qct, .qdf, .qed, .qel, .qfl, .qfxx, .qhp, .qht, .qhtm, .qic, .qif, .qlgenerator, .qm, .qnr, .qpm, .qpx, .qr2, .qr3, .qrt, .qsd, .qt, .qtq, .qtr, .qtw, .qtx, .quox, .qvw, .qwd, .qwt, .qxb, .qxd, .qxl, .qxp, .qxt, .r, .r00, .r01, .r02, .r03, .r0f, .r0z, .r3d, .r5a, .ra, .ra2, .raf, .ram, .ramd, .rap, .rar, .rat, .raw, .razy, .rb, .rbc, .rc, .rcb, .rd, .rd1, .rdb, .rdf, .rdfs, .rdi, .rdl, .rdlc, .rdm, .rdo, .rdoc, .rdoc_options, .rdp, .rdz, .re4, .rec, .reg, .rekt, .rels, .rep, .res, .resbuild, .rest, .result, .resx, .rev, .rf, .rf1, .rft, .rgn, .rgo, .rgss3a, .rha, .rhif, .rhu, .rim, .rit, .rlf, .rll, .rm, .rm5, .rmd, .rmf, .rmh, .rna, .rng, .rnt, .rnw, .ro3, .rofl, .roi, .rokku, .rom, .ros, .rov, .row, .rox, .rpf, .rph, .rpt, .rptr, .rqm, .rrd, .rrk, .rrl, .rrpa, .rrt, .rrx, .rs, .rsdf, .rsdoc, .rsds, .rsm, .rsp, .rsrc, .rst, .rsw, .rt, .rt_, .rtdf, .rte, .rtf, .rtf_, .rtfd, .rtk, .rtm, .rtpi, .rts, .rtsl, .rtsx, .rtx, .rum, .run, .rv, .rvf, .rvt, .rw2, .rwl, .rwlibrary, .rwz, .rxdoc, .rxl, .rzk, .rzx, .s, .s1, .s10, .s11, .s12, .s13, .s14, .s15, .s16, .s17, .s18, .s19, .s2, .s20, .s21, .s22, .s23, .s24, .s25, .s26, .s27, .s28, .s29, .s3, .s3db, .s4, .s5, .s6, .s7, .s8, .s8bn, .s9, .sa5, .sa7, .sa8, .saas, .sad, .saf, .safe, .safetext, .sai, .sal, .sam, .sas7bdat, .sav, .save, .say, .sb, .sbb, .sbl, .sbn, .sbo, .sbpf, .sbsc, .sbst, .sbx, .sc2save, .scd, .scdoc, .sce, .sch, .scm, .scmt, .scn, .scp, .scr, .scriv, .scrivx, .scs, .scspack, .scssc, .sct, .scu, .scw, .scx, .sd, .sd0, .sd1, .sda, .sdb, .sdbz, .sdc, .sdd, .sddraft, .sdf, .sdi, .sdl, .sdmdocument, .sdn, .sdo, .sdoc, .sdp, .sdr, .sds, .sdt, .sdv, .sdw, .search-ms, .secure, .securecrypted, .sef, .sel, .sen, .seq, .sequ, .server, .ses, .set, .setup, .sev, .sf, .sff, .sfs, .sft, .sfx, .sgf, .sgi, .sgl, .sgm, .sgml, .sgz, .sh, .sh6, .shar, .shb, .shd, .show, .shp, .shr, .shs, .shtml, .shw, .shx, .shy, .si1, .sic, .sid, .sidd, .sidn, .sie, .sik, .sis, .skb, .skp, .sky, .sla, .sldasm, .slddrw, .sldm, .sldprt, .sldx, .slf, .slk, .slm, .sls, .slt, .slz, .sm, .smd, .sme, .smf, .smh, .smlx, .smn, .smp, .sms, .smwt, .smx, .smz, .sn1, .sn10, .sn11, .sn12, .sn13, .sn14, .sn15, .sn16, .sn17, .sn18, .sn19, .sn2, .sn20, .sn21, .sn22, .sn23, .sn24, .sn25, .sn26, .sn27, .sn28, .sn29, .sn3, .sn30, .sn4, .sn5, .sn6, .sn7, .sn8, .sn9, .sna, .snb, .snf, .sng, .snk, .snp, .snt, .snx, .so, .soa, .soi, .sp, .spb, .spd, .spdf, .spk, .spl, .spm, .spml, .sppt, .spr, .sprt, .sprz, .spx, .sql, .sql1, .sql2, .sqlite, .sqlite3, .sqlitedb, .sqllite, .sqx, .sqz, .sr2, .src, .srf, .srfl, .srs, .srt, .srw, .ssa, .ssh, .ssi, .ssiw, .ssm, .sso, .ssx, .st4, .st5, .st6, .st7, .st8, .sta, .stbox, .stc, .std, .step, .sti, .stm, .stp, .stpz, .struct, .stt, .stw, .stx, .stxt, .sty, .sud, .suf, .sum, .suo, .surf, .surprise, .sv2i, .svb, .svd, .svdl, .svg, .svi, .svm, .svn, .svp, .svr, .svs, .swd, .swdoc, .sweb, .swf, .switch, .swp, .sxc, .sxd, .sxe, .sxg, .sxi, .sxl, .sxm, .sxml, .sxw, .sym, .syn, .syncdb, .sys, .szf, .t, .t01, .t03, .t05, .t10, .t12, .t13, .t14, .t2, .t2k, .t2t, .t4g, .t80, .ta1, .ta2, .ta9, .tab, .tabula-doc, .tabula-docstyle, .tah, .tar, .tax, .tax2009, .tax2013, .tax2014, .tb, .tbb, .tbd, .tbk, .tbkx, .tbl, .tbz2, .tcd, .tch, .tck, .tcx, .tdg, .tdl, .tdoc, .tdr, .te1, .template, .tested, .tex, .texi, .texinfo, .text, .textclipping, .textile, .tfd, .tfm, .tfr, .tfrd, .tfz, .tg, .tga, .tgz, .thm, .thml, .thmx, .thr, .tib, .tif, .tiff, .tjp, .tk3, .tkf, .tlb, .tld, .tlg, .tlt, .tlx, .tlz, .tm, .tm3, .tmb, .tmd, .tml, .tmlanguage, .tmp, .tmpl, .tmv, .tmz, .tns, .tnsp, .toast, .toc, .topx, .tor, .torrent, .totalslayout, .tp, .tpl, .tpo, .tpsdb, .tpu, .tpx, .trash, .trashinfo, .trc, .trdp, .trdx, .tre, .trif, .trn, .trp, .ts, .tsc, .tsf, .tt11, .tt2, .ttax, .ttf, .ttt, .ttxt, .tu, .tur, .tvd, .twdi, .twdx, .tww, .tx, .txd, .txe, .txf, .txm, .txn, .txt, .txtrpt, .typ, .u, .u3d, .uax, .ubz, .ucd, .udb, .udf, .udl, .uea, .ufi, .uhtml, .ukr, .ulf, .uli, .ulys, .ump, .umv, .umx, .unf, .unity3d, .unr, .unx, .uof, .uop, .uos, .uot, .upc, .updating, .updf, .upg, .upk, .upoi, .upp, .urd-journal, .urf, .url, .urp, .usa, .user, .usr, .usx, .ut2, .ut3, .utc, .utd, .ute, .utf8, .uti, .utm, .uts, .utx, .uu, .uud, .uue, .uvx, .uxx, .v, .v2i, .v2t, .val, .var, .vault, .vb, .vbadoc, .vbd, .vbk, .vbm, .vbox, .vbox-prev, .vbp, .vbs, .vc, .vc4, .vc6, .vc7, .vc8, .vcal, .vcd, .vce, .vcf, .vdf, .vdi, .vdo, .vdoc, .vdproj, .vdt, .venusf, .ver, .vf, .vfs0, .vgd, .vhd, .vhdx, .vib, .view, .vip, .vis, .viz, .vlc, .vlt, .vmb, .vmbx, .vmdk, .vmem, .vmf, .vmg, .vml, .vmm, .vmsd, .vmsg, .vmt, .vmx, .vmxf, .vnsdf, .vob, .voprefs, .vor, .vos, .vox, .vp, .vpk, .vpl, .vpp_pc, .vrb, .vs, .vsd, .vsdx, .vsf, .vsi, .vspolicy, .vst, .vstx, .vsv, .vtf, .vthought, .vtv, .vtx, .vvv, .vw, .vw3, .vwd, .w, .w2p, .w3g, .w3x, .w51, .w52, .w60, .w61, .w6bn, .w6w, .w8bn, .w8tn, .wab, .wad, .waff, .wallet, .war, .wav, .wave, .waw, .wb, .wb2, .wb3, .wbcat, .wbd, .wbk, .wbt, .wbxml, .wbz, .wcf, .wcl, .wcn, .wcp, .wcst, .wd, .wd0, .wd1, .wd2, .wdbn, .wdgt, .wdl, .wdn, .wdoc, .wds, .wdt, .wdx, .wdx9, .web, .webdoc, .webpart, .wep, .wfa, .wflx, .wht, .wid, .wim, .windata8s, .windows10, .wiz, .wk!, .wk1, .wk3, .wk4, .wkb, .wki, .wkl, .wks, .wlb, .wld, .wll, .wls, .wlxml, .wm, .wma, .wmd, .wmdb, .wmf, .wmga, .wmk, .wml, .wmlc, .wmmp, .wmo, .wms, .wmv, .wmx, .wn, .wolf, .word, .wordlist, .wotreplay, .wow, .wp, .wp42, .wp5, .wp50, .wp6, .wp7, .wpa, .wpc2, .wpd, .wpd0, .wpd1, .wpd2, .wpd3, .wpe, .wpf, .wpk, .wpl, .wpost, .wps, .wpt, .wpw, .wr1, .wrf, .wri, .wrk, .wrl, .wrlk, .ws, .ws1, .ws2, .ws3, .ws4, .ws5, .ws6, .ws7, .wsd, .wsf, .wsh, .wsp, .wtbn, .wtd, .wtf, .wtmp, .wtp, .wtr, .wts, .wtt, .wtv, .wtx, .wvw, .wvx, .wwcx, .wwi, .wwl, .wws, .wwt, .wxmx, .wxp, .wyn, .wzn, .wzs, .x, .x11, .x16, .x32, .x3f, .x3g, .xal, .xamlx, .xar, .xav, .xbd, .xbrl, .xci, .xda, .xdc, .xdf, .xdi, .xdo, .xdoc, .xdw, .xel, .xf, .xfd, .xfdf, .xfi, .xfl, .xfn, .xfo, .xfp, .xfx, .xgml, .xht, .xhtm, .xhtml, .xif, .xig, .xis, .xjf, .xl, .xla, .xlam, .xlb, .xlc, .xle, .xlf, .xline, .xlist, .xlk, .xll, .xlm, .xlnk, .xlr, .xls, .xlsb, .xlse, .xlshtml, .xlsl, .xlsm, .xlst, .xlsx, .xlsxl, .xlt, .xlthtml, .xltm, .xltx, .xlv, .xlw, .xlwx, .xma, .xmdf, .xml, .xmmap, .xmn, .xmp, .xms, .xmt_bin, .xmta, .xpc, .xpd, .xpi, .xpm, .xpo, .xps, .xpse, .xpt, .xpwe, .xqm, .xqr, .xqx, .xrdml, .xsc, .xsd, .xsig, .xsl, .xslt, .xsn, .xtbl, .xtd, .xtg, .xtml, .xtps, .xtrl, .xv0, .xv2, .xv3, .xva, .xvg, .xvid, .xvl, .xwd, .xweb3htm, .xweb3html, .xweb4stm, .xweb4xml, .xwf, .xwp, .xxe, .xxx, .xy, .xy3, .xy4v, .xyd, .xyz, .y, .y3t1, .y79x0, .yab, .ycbcra, .yenc, .yml, .ync, .yps, .yuv, .z, .z0, .z02, .z04, .z1, .z10, .z11, .z12, .z13, .z14, .z15, .z16, .z2, .z3, .z4, .z5, .z6, .z7, .z8, .z9, .zap, .zbi, .zcrypt, .zda, .zepto, .zfo, .zi0, .zi1, .zi2, .zi3, .zi4, .zi5, .zib, .zip, .zipx, .zm2, .zoo, .zps, .ztmp, .ztp, .zyklon, .zzz (3514 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ, файлы, зашифрованные множеством других шифровальщиков и пр.пр.пр.

Файлы, связанные с этим Ransomware:
IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT
Scarab.exe
sevnz.exe
<random>.exe

Расположения:
%APPDATA%\<random>.exe

Расположения записки о выкупе:
\User\Desktop\ ->
\User\Downloads\ ->
\User\Documents\ ->
\User\ ->
\Users\Public\ ->
\User\Desktop\ ->
\Users\Public\Downloads\ ->
\Users\Public\Documents\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
uSjBVNE = "%Application Data%\sevnz.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
qa458@yandex.ru
Новые см. в "Блоке обновлений" ниже. 
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== Дешифровщик === Decrypter ===

Файл оригинального декриптера
Окно оригинального декриптера



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 17 июня 2017:
Пост в Твиттере >>
Расширение: .scarab
Составное расширение: .[resque@plague.desi].scarab
Email: resque@plague.desi
URL: iplogger.info (88.99.66.31:80 Германия) >> yip.su
Файл: %APPDATA%\sevnz.exe
Записка: IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT
Результаты анализов: HA + VT


Обновление от 10 июля 2017:
См. статью Scorpio Ransomware >>
Email: help-mails@ya.ru и alexous@bk.ru
Составное расширение: .[Help-Mails@Ya.Ru].Scorpio 
Записка: IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT


Обновление от 18 июля 2017:
Пост в Твиттере >>
Тема поддержки >>
Расширение: .[mich78@usa.com]
Email: mich78@usa.com и michael78@india.com 
Записка: Instruction for file recovery.txt
Результаты анализов: HA + VT
Примеры зашифрованных файлов:
+29XnHyq820v7SFjNBu44yFizNko***.[mich78@usa.com]
0aeq3TWP9ye2fja1qjhLuj=pQIYbK***.[mich78@usa.com]
2culANew=cPtlJPVOnCG9eWf=bcpk***.[mich78@usa.com]



Обновление от 8-15 августа 2017:
Расширение: .scarab
Записка о выкупе: IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.txt
BitMessage-Email: BM-2cu7jispwyc8ttpjfw26clfk3v3mrvsbj7@bitmessage.ch
Посты на форуме: 8 августа, 15 августа

Обновление от 31 августа 2017:
Расширение: .scarab
Составное расширение: .[decrypt@hellokittyy.top].scarab
Email: decrypt@hellokittyy.top
BitMessage-Email: BM-2cu7jispwyc8ttpjfw26clfk3v3mrvsbj7@bitmessage.ch

Примеры зашифрованных файлов:
FVvrFbOhdIOGEe4q3MOQPXrJGIJL7.[decrypt@hellokittyy.top].scarab
AgWnzG53pJJ87DRECiTO=ZHVpLtSmW.[decrypt@hellokittyy.top].scarab
2SRBjJqf+is7rNpLMyxZNAfM8aO0dC4qBQKrs.[decrypt@hellokittyy.top].scarab
Записка о выкупе: IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
➤ Содержание записки:
---
*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
---
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
+4IAAAAAAA***HhQeIcP
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: decrypt@hellokittyy.top
If you don't get a reply or if the email dies, then contact us using Bitmessage.
Download it form here: https://bitmessage.org/wiki/Main_Page
Run it, click New Identity and then send us a message at bm-2cu7jispwyc8ttpjfw26clfk3v3mrvsbj7@bitmessage.ch
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
--- 
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
---
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
---
Пост на форуме >>


Обновление 31 октября 2017:
См. отдельную статью Scarab-Jackie Ransomware >>
Расширение: .[Jackie7@Asia.Com] согласно шаблону .[email]
Записка: INSTRUCTION FOR DATA RECOVERY.TXT
Email: Jackie7@asia.com and Jchan@india.com
Файлы: Manager_Agent.exe, Manager_Agent.old.exe
Результаты анализов: HA + VT + JSB/PDF 

Обновление от 23 ноября 2017:
🎥 Video review
Пост в Твиттере >>
Пост в Твиттере >>
Новая вредоносная кампания! 
Распространение: ботнет Necurs, вредоносный email-спам.
Расширение: .scarab
Составное расширение: .[suupport@protonmail.com].scarab
Целевые расширения: 3514 штук (см. список в статье).
Записка: IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
Email: suupport@protonmail.com
Email-spam: copier@victimsdomain.com и другие
BM: BM-2cTu8prUGDS6XmXqPrZiYXXeqyFw5dXEba
URL: xxxx://hard-grooves.com/JHgd476
 - xxxx://pamplonarecados.com/JHgd476
 - xxxx://miamirecyclecenters.com/JHgd476
Файл: sevnz.exe
Ключ реестра: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
uSjBVNE = "%Application Data%\sevnz.exe
Аттачменты: 
  Scanned from Lexmark.7z.{VBS}
  Scanned from HP.7z.{VBS}
  Scanned from Canon.7z.{VBS}
  Scanned from Epson.7z.{VBS}
  Scanned....7z.{VBS}
  image2017-11-22-5864621.7z.{VBS}
  image2017-11-22-9035134.7z.{VBS}
  image2017-11-23-xxxxxxx.7z.{VBS}
  image2017-11-24-xxxxxxx.7z.{VBS}
Деструктивные действия:
  cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
  cmd.exe /c wmic SHADOWCOPY DELETE
  cmd.exe /c vssadmin Delete Shadows /All /Quiet
  cmd.exe /c bcdedit /set {default} recoveryenabled No
  cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
Результаты анализов: 
1) HA + VT + Anyrun Beta + Joe Sandbox Cloud 
2) HA + VT + VT
3) VT + IA (Intezer Analyze)


Обновление от 8 мая 2018:
Расширение: .scarab
Составное расширение: namefile.pdf.[help@wizrac.com].scarab
Записка о выкупе: IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
Email: help@wizrac.com
Статус: файлы можно дешифровать!
Содержание записки о выкупе:
 ---
*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
---
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
+QIAAAAAAA***0F3pAQ
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: help@wizrac.com 
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
---
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
* Also you can find other places to buy Bitcoins and beginners guide here:
---
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
---
Пост на форуме >>

Обновление от 16 мая 2018:
Расширение: .scarab
Составное расширение: .[CORDAZIUS@PROTONMAIL.COM].scarab
Email: CORDAZIUS@PROTONMAIL.COM
Записка: IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT 
Файлы: item.dat, <random>.exe
Топик на форуме >>






=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Некоторые версии Scarab уже можно дешифровать!!! 
Scarab Ransomware, Scarab-Amnesia, Scarab-Decrypts 
Scarab-Horsia, Scarab-Walker, Scarab-Crypto 
Scarab-XTBL, Scarab-Oblivion 
*
*
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Michael Gillespie
 Andrew Ivanov, Alex Svirid
 Emmanuel_ADC-Soft
 and victims in the topics of support
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton