вторник, 17 июля 2018 г.

GameOver

GameOver Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Project.GameOver.X. На файле написано: Project.GameOver.X.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .gameover

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с полноэкранным GUI. 

Содержание текста о выкупе:
<GameOver Virus>
If you see this banner then all of your files on your harddisk have been encrypted with a very powerful algorithm.
WARNING!: THIS IS NOT SOME STUPID JOKES, EVERYTHING IS REAL ! !
You cannot restore your data by youself and especially decrypt it if you do so you can corrupt and destroy all of your data or even more, also if you try to delete the software your OS will be corrupted.
But if you want to retore at least your PC, you need to do this:
1: Reinstall windows or other OS on your computer
2: Get a better version of your antivirus or get a more powerful antivirus software.
If you want to get back your device do everything as it has been written.
<\GameOver Virus>

Перевод текста на русский язык:
<GameOver Virus>
Если вы видите этот баннер, то все ваши файлы на вашем жестком диске зашифрованы с очень мощным алгоритмом.
ПРЕДУПРЕЖДЕНИЕ! ЭТО НЕ КАКАЯ-ТО ТУПАЯ ШУТКА, ВСЕ РЕАЛЬНО! !
Вы не сможете сами восстановить свои данные и расшифровать их, если вы это сделаете, вы можете повредить и уничтожить все свои данные или даже больше, также если вы попытаетесь удалить программу, ваша ОС будет повреждена.
Но если вы хотите восстановить хотя бы ваш ПК, вам нужно сделать это:
1: Переустановить Windows или другую ОС на вашем компьютере
2: Получить лучшую версию своего антивируса или получите более мощную антивирусную программу.
Если вы хотите вернуть свое устройство, сделайте все, как было написано.
<\GameOver Virus>


Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1



➤ В рассматриваемом примере файлы не были зашифрованы, т.к. не был установлен ключ шифрования. В реальности файлы будут зашифрованы.

➤ Также не было показано никаких контактных и платёжных данных. 

Список файловых расширений, подвергающихся шифрованию:
.3g2, .3gp, .7z, .accdb, .aes, .ARC, .asc, .asf, .asm, .asx, .avi, .backup, .bak, .bat, .brd, .bundle, .c, .cgm, .cmd, .cpp, .crt, .cs, .csproj, .csr, .csv, .db, .dbf, .dch, .der, .dip, .djvu, .doc, .docb, .docm, .docx, .dot, .dotx, .dwg, .edb, .eml, .flv, .frm, .gif, .gpg, .gz, .htm, .html, .hwp, .Iay6, .ibd, .iso, .jar, .jpeg, .jpg, .js, .jse, .key, .lay, .lbd, .log, .m2ts, .max, .mdf, .mdp, .mid, .midi, .mkv, .mml, .mov, .mp3, .mp4, .mpeg, .mpg, .msg, .myd, .myi, .nef, .ocx, .odg, .odp, .odp, .ods, .odt, .onetoc2, .ost, .otg, .otp, .ott, .PAQ, .pas, .pdf, .pern, .pfx, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .pst, .pub, .py, .pyc, .pyd, .pyo, .rar, .raw, .rm, .rpa, .sb2, .sch, .sh, .sin, .sldm, .sldx, .slk, .snt, .sql, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .suo, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar, .tbk, .tiff, .txt, .uop, .uot, .vb, .vbe, .vbproj, .vbs, .vcd, .vdi, .vdmk, .vmx, .vob, .vsd, .vsdx, .wks, .wma, .wncry, .wrav, .xdata, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .zip (173 расширения). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Project.GameOver.X.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

пятница, 13 июля 2018 г.

Predator

Predator Ransomware
Predator The Cipher v1.0

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Оригинальное название: Predator The Cipher v1.0. На файле написано: нет данных.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .predator

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
Your files were encrypted with Predator The Cipher!
Predator The Cipher v1.0
To decrypt your files:
1. Send 100$ to this bitcoin wallet: 1Pe9zG5uZFj4bGxPs98VbReXrnFayuoGf.
2. Send us email with your machine ID (XXXXXXXXXX) and bitcoin wallet ID: nadwkjk@protonmail.com
Then we would send you back our decipher tool.
ATTENTION!
DO NOT TRY TO DECRYPT OR DELETE YOUR FILES. YOU WILL ONLY MAKE IT WORSE!

Перевод записки на русский язык:
Ваши файлы были зашифрованы с помощью Predator The Cipher!
Predator The Cipher v1.0
Чтобы расшифровать ваши файлы:
1. Отправьте 100$ на этот биткотн-кошелек: 1Pe9zG5uZFj4bGxPs98VbReXrnFayuoGf.
2. Отправьте нам письмо с ID вашей машины (XXXXXXXXXX) и ID биткоин-кошелька: nadwkjk@protonmail.com
Затем мы отправим вам наш инструмент расшифровки.
ВНИМАНИЕ!
НЕ ПРОБУЙТЕ ДЕШИФРОВАТЬ ИЛИ УДАЛИТЬ ВАШИ ФАЙЛЫ. ВЫ СДЕЛАЕТЕ ТОЛЬКО ХУЖЕ!



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nadwkjk@protonmail.com
BTC: 1Pe9zG5uZFj4bGxPs98VbReXrnFayuoGf
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Возможно, файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
***
Attention!
Probably, files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Predator)
 Write-up, Topic of Support
 * 
 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

четверг, 12 июля 2018 г.

CryptoLite

CryptoLite Ransomware

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CryptoLite. На файле написано: CryptoLite.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
ALL YOUR FILES HAVE BEEN ENCRYPTED!!!
There's no way to decrypt these files without the decryption key.
To retrieve the deceryption key a payment of 0.5 BC will need to be paid.
INSTRUCTIONS:
*Purchase the bitcoins from https://localbitcoins.com/.
*Transfer the bitcoins to a https://blockchain.info/ Wallet.
*From https://blockchain.info/ transfer the bitcoins to the below address.
*Add a message to the transaction with the following format:
{MAC-ADDRESS_EMAIL} <- ENSURE THIS IS CORRECT
Example:
00:A0:C9:14:C8:29_pwned@gmail.com
Following payment the key will be emailed to you after confimation.
IF YOU MESS UP YOUR MESSAGE FROMAT, YOU WILL NOT RECEIVE THE KEY!
BitCoin Address: [1aa5cmqmvQq8YQTEqcTmW7dfBNuFwgdCD]
Decryption Key: [***][DECRYPT]

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ !!!
Невозможно расшифровать эти файлы без ключа дешифрования.
Чтобы получить ключ дешифрования, надо заплатить 0.5 BC.
ИНСТРУКЦИИ:
* Купите биткоины с https://localbitcoins.com/.
* Перенесите биткоины в https://blockchain.info/Wallet.
* C https://blockchain.info/ передайте биткоины по указанному ниже адресу.
* Добавьте сообщение в транзакцию в следующем формате:
{MAC-ADDRESS_EMAIL} <- ОБЕСПЕЧИТЬ ЭТО ПРАВИЛЬНО
Пример:
00:A0:С9:14:С8: 29_pwned@gmail.com
После оплаты ключ будет отправлен вам по email после подтверждения.
ЕСЛИ ВЫ СООБЩИТЕ СООБЩЕНИЕ FROMAT, ВЫ НЕ ПОЛУЧИТЕ КЛЮЧ!
Адрес BitCoin: [1aa5cmqmvQq8YQTEqcTmW7dfBNuFwgdCD]
Ключ дешифрования: [***] [DECRYPT]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoLite.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 00:A0:C9:14:C8:29_pwned@gmail.com - пример в тексте
BTC: 1aa5cmqmvQq8YQTEqcTmW7dfBNuFwgdCD - ранее известен по мошенническим схемам
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Пример дешифрования файлов
Ключ дешифрования:
GuBlZEpxPFqDAtjNh7c6mKs4Iy9Mrfw2UYvn3ei5HTgaO1dCbz8QXLJk0RVoW
Ссылка на пример в Твиттере >>




=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать.
Смотрите информацию по этой ссылке >>
*
*
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam, Fly
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

XeroWare

XeroWare Ransomware

XeroWare Ransom 1.2

(шифровальщик-вымогатель)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: XeroWare Ransom 1.2. На файле написано: XeroWare.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> XeroWare

К зашифрованным файлам добавляется расширение: .XERO

  Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: XeroWare_ReadME.txt

Содержание записки о выкупе:
Your files have been encrypted and your computer has been infected with XeroWare Ransom 1.2.
Q&A:
1) What Should I do?
A: Pay the specific amount we are asking from you in order to decrypt your files.
2) Can i try to remove the malware?
A: If you try anything your files will be removed, YOU have been WARNED.
3) How can i pay in order to decrypt my files ?
A: Copy the provided btc address and send the money.
4) How do i verify my payment?
A: You provide the payment transaction ID and you click confirm transaction.
5) What will happen if the payment transaction is not valid?
A: If you try to provide anything alike to fake or not valid your files will be destroyed permanetly.
6) I have paid and verified my transaction how do i decrypt my files?
A: If you have paid and verified your transaction just simply click the decrypt button and everything will revert back to normal.
You have 96 hours in order to complete that task, otherwise your files will be destroyed.
Time has already started...

Перевод записки на русский язык:
Ваши файлы были зашифрованы и ваш компьютер был заражен XeroWare Ransom 1.2.
Вопрос & Ответ:
1) Что мне делать?
О: Оплатите определенную сумму, которую мы просим у вас, чтобы расшифровать ваши файлы.
2) Могу ли я попытаться удалить вредоносное ПО?
A: Если вы попробуете что-то, ваши файлы будут удалены, Вы были ПРЕДУПРЕЖДЕНЫ.
3) Как я могу заплатить, чтобы расшифровать мои файлы?
A: Скопируйте предоставленный адрес btc и отправьте деньги.
4) Как я могу подтвердить свой платеж?
A: Вы предоставляете ID транзакции платежа и вы нажимаете подтверждение транзакции.
5) Что произойдет, если транзакция платежа недействительна?
A: Если вы пытаетесь предоставить что-то типа поддельное или недействительное, ваши файлы будут уничтожены навсегда
6) Я оплатил и подтвердил свою транзакцию, как я могу расшифровать мои файлы?
A: Если вы оплатили и подтвердили свою транзакцию, просто нажмите кнопку дешифрования, и все вернется в нормальное русло.
У вас есть 96 часов, чтобы выполнить эту задачу, иначе ваши файлы будут уничтожены.
Время уже пошло...



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
XeroWare_ReadME.txt
XeroWare.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

понедельник, 9 июля 2018 г.

Scarab-Recovery

Scarab-Recovery Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Написан на Delphi.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Scarab >> Scarab Family > {update encryptor} > Scarab-Recovery
Это изображение — логотип статьи. Изображает скарабея с диском и глобусом.
This image is the logo of the article. It depicts a scarab with a disk recovery and a globe.

К зашифрованным файлам добавляется расширение: .BD.Recovery

Файлы не переименовываются. Пример зашифрованных файлов:
Instruct.xml.BD.Recovery
My_documents.doc.BD.Recovery


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER  FILES.TXT

Содержание записки о выкупе:
=======================================================================
                         All your files are encrypted!!!!!!
=======================================================================
Your documents, photos, databases and other important data were encrypted.
Data recovery requires a decryptor.
To receive the decryptor, you should send an email to the email address:
bd.recovery@aol.com or bd.recovery@india.com
In the letter, indicate your personal identifier (see at the end of the document).
Then you will receive further instructions
Attention!
  * Do not attempt to uninstall the program or run antivirus software
  * Attempts to self-decrypt files will result in the loss of your data
=======================================================================
----------------------------------------------------------------------------------
6A02000000000000***95EA03
----------------------------------------------------------------------------------

Перевод записки на русский язык:
=======================================================================
Все ваши файлы зашифрованы !!!!!!
=======================================================================
Ваши документы, фото, базы данных и другие важные данные были зашифрованы.
Для восстановления данных требуется дешифратор.
Чтобы получить дешифратор, вы должны отправить email на email-адрес:
bd.recovery@aol.com или bd.recovery@india.com
В письме укажите свой личный идентификатор (см. в конце документа).
Затем вы получите дополнительные инструкции
Внимание!
   * Не пытайтесь удалить программу или запустить антивирусную программу
   * Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
=======================================================================
----------------------------------------------------------------------------------
6A02000000000000***95EA03
----------------------------------------------------------------------------------



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER  FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bd.recovery@aol.com
bd.recovery@india.com

См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

➤ См. выше Историю семейства. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
Или прочтите инфу по ссылке. Мой перевод рядом. 
Or ask for help using this link. My translation beside.
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 (victims in the topics of support)
 Andrew Ivanov, Emmanuel_ADC-Soft
 Michael Gillespie, Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton