понедельник, 18 июня 2018 г.

Scarab-Bomber

Scarab-Bomber Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256-CBC, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. Написан на Delphi. На файле написано: Where Million. Разработчики подписались как DataArt. 

© Генеалогия / Genealogy: Scarab >> Scarab Family > Scarabey > Scarab-Osk{update encryptor} > Scarab-Bomber, Scarab-Bomber-Deep, Scarab-Bomber-Ukrain, Scarab-Bomber-SDK
Scarab-Bomber Ransomware
Это изображение — логотип статьи. На нём скарабей с бомбой.
This image is the logo of the article. It depicts a scarab with bomb.

К зашифрованным файлам добавляется расширение / Appends to encrypted files the extensions:  .bomber

Файлы вместе с расширениями переименовываются до неузнаваемости с помощью Base64. Files with extensions are renamed beyond recognition with Base64.
Пример зашифрованного файла / Sample of encrypted file:
3gMHTQY3zqxKPOqLwdIr4rktCv4hMcGKYn5G0Bhyk=wJA.bomber


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру. Эта вредоносная кампания началась вечером 18 июня около 22 часов. 
Позже, в июле, была запущена вредоносная кампания против остального мира, записка стала англоязычной. Смотрите информацию ниже статьи, в блоке обновлений. 

Записка с требованием выкупа называется / Name of ransom note:  
КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
Scarab-Bomber Ransomware note

Содержание записки о выкупе Contents of ransom note:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный идентификатор
6A02000000000000***242FB01
Ваши документы, фотографии, базы данных и другие важные данные были зашифрованы.
Для восстановления данных необходим дешифровщик.
Чтобы получить дешифровщик, следует отправить письмо на электронный адрес soft2018@tutanota.com (soft2018@mail.ee, newsoft2018@yandex.by)
В письме укажите Ваш личный идентификатор (см. в начале данного документа).
Если связаться через почту не получается
 * Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cWp6BhKATEHEyfi1CGG4k3RuquXjaGJXB с указанием Вашей почты и
личного идентификатора
Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес
Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.
Если у Вас нет биткойнов
 * Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
 * Приобретите криптовалюту Bitcoin:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
 * Отправьте требуемое количество BTC на указанный в письме адрес
Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Гарантия расшифровки файлов.
Перед оплатой вы можете отправить нам до 3х файлов для бесплатной расшифровки. 
Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования

Перевод записки на русский язык:
уже сделан. 



Технические детали Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (например, о быстром обогащении, увеличении прибыли или продаж и пр.), обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений (Adobe и пр.), перепакованных и заражённых инсталляторов. В частности используется известный приём использования компонентов легитимного и вредоносного ПО (TeamViewer и TeamBot/TeamSpy). Файл также может маскироваться под Acrobat Reader DC. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Для удаленного проникновения злоумышленниками используются приложения Windows, а также пропатченное злоумышленниками ПО TeamViewer (в основном, "древняя" 6-я версия), а также LiteManager, Ammy Admin, RAdmin. Причем функционал этих программ может быть использован злоумышленниками особым способом. Описание в статье от 7 июня 2017 года о TeamSpy
Также портативные версии других легитимных или свободно распространяемых программ (7-ZipPortable, Chrome Portable, Opera Portable, Skype Portable) могут содержать вредоносные файлы, выполняющие главные или вспомогательные функции.  На скриншоте ниже показано, что файл cryptbase.dll в составе 7-ZipPortable является вредоносным и используется злоумышленниками для вредоносных действий. 

cryptbase.dll в составе 7-ZipPortable
Пример вредоносного файла в комплекте 7-ZipPortable. Результаты анализа.

Не доверяйте сайтам, которые предлагают скачать портативные версии программ, особенно тех, которые в обычной версии небесплатны!!! 
Изучите мою статью Бесплатные программы и майнинг криптовалюты. Там есть подробное объяснение и предлагает надежное решение для тех, кто не может или не хочет покупать программы за их полную стоимость. 

Чтобы надёжно определять вектор проникновения в компьютерную сеть предприятий и организаций, а также впредь исключить возможность такого проникновения, необходимо использовать документированный список программного обеспечения. По большому счёту необходимо изучить и применить в дело Комплекс мероприятий для защиты от Ransomware


Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Это версия активно прикрывается легитимными файлами и использует их названия для создания ярлыков на запуск вредоноса. 
Вредонос прописывается в Автозагрузку Windows, отставляя на Рабочем столе ярлыки на якобы легитимные файлы, вроде HQ-Realtek АС 3.9.4.738.lnk или Windows Update Manager.lnk

➤ UAC не обходит. Теневые копии файлов удаляются, если UAC отключен. 



Подробности о проникновении и захвате управления ПК

  Загружаемый файл троянца TeamBot — это самораспаковывающийся RAR-архив. Из него в директорию %TEMP%\UeIqC\ извлекаются компоненты ПО TeamViewer (устаревшая 6-я версия), вредоносная библиотека TV.dll и конфигурационный файл config.bin. После распаковки архива происходит автоматически запускается TeamViewer.exe, а вредоносная библиотека TV.dll методом DLL hijacking получает управление. Далее она расшифровывает конфигурационный файл config.bin и извлекает из него адрес C&C-сервера и параметр "comment", использующийся злоумышленниками, как идентификатор вредоносной кампании.



Подробности о шифровании файлов

При запуске шифровальщика на ПК генерируется пара сессионных ключей RSA, приватный сессионный ключ шифруется содержащимся в теле зловреда публичным ключом RSA злоумышленников. Данная информация затем записывается в файл с требованиями злоумышленников.

Файлы шифруются по алгоритму AES-256-CBC. Ключ и вектор AES для каждого файла генерируются перед шифрованием, шифруются сессионным публичным ключом RSA и записываются в конец зашифрованного файла. 

В зависимости от указанной конфигурации, шифровальщики семейства Scarab также могут шифровать имена файлов, но в некторых итерациях имена не шифруются. 

Scarab-Bomber шифрует имя файла алгоритмом RC4, используя в качестве ключа строку, содержащую зашифрованные ключ и вектор AES. Полученный буфер будет закодирован алгоритмом Base64 с нестандартным алфавитом.


Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Большинство файлов. Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware / Files of Rw:
КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
osk.exe
update_w32.exe
<random>.exe - случайное название
<legitimate_program>.lnk - ярлык на вредонос
<random>.dll
taskhostjf.exe
msoobe.exe - переименованный файл TeamViewer

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%APPDATA%\osk.exe
C:\Users\Administrator\AppData\Roaming\osk.exe
C:\Users\User_name\AppData\Roaming\SysplanNT\update_w32.exe
C:\Windows\System32\<random>.dll
\%AppData%\Roaming\<random>.dll
\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HQ-Realtek АС 3.9.4.738.lnk
\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk
C:\Windows\System32\config\systemprofile\AppData\Roaming\osk.exe
C:\Windows\System32\<random>.exe

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OYTfqa'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'URaog'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'regsvr'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vkaivgnecj'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Mfyegadub'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'update_w32.exe'
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email: soft2018@tutanota.com
soft2018@mail.ee
newsoft2018@yandex.by
Bitmessage: BM-2cWp6BhKATEHEyfi1CGG4k3RuquXjaGJXB
См. ниже результаты анализов.
Так выглядит файл шифровальщика

Результаты анализов / Online-analysis:
Hybrid анализ на файл osk.exe >>
𝚺  VirusTotal анализ на файл osk.exe >>
ᕒ  ANY.RUN анализ на файл osk.exe >> + admin-rights >>
🐞 Intezer анализ на файл osk.exe >>
VirusBay образец файла osk.exe >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
и другие...


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


См. выше Историю семейства. 

Предыстория от 18 июня 2018:
Сначала (в седьмом часу) был обнаружен тестовый вариант, который уже шифровал файлы. Образцы на сервис ID Ransomware пришли из Испании.
Расширение: .bomber_test_build
Email: test_bomber_test@test.test (видимо фиктивный)
Примеры зашифрованных файлов: 
HM8oT6r5bxcnL+BGnGEBbxb08DEkfw3M+S.bomber_test_build
LsKeUV2o=H7q00KmQ3=BebISqUrUAXMtsSZcFx5cZ07Lr.bomber_test_build
Записка: !!! HOW TO RECOVER ENCRYPTED FILES !!!.TXT
➤ Содержание записки:
TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST
TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST
TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST
Your files are now encrypted!
Your personal identifier:
6A02000000000000CB58B19F2592871184300C045B52D6A9FFC67ECD330C38E08B78F4744770DFEEB68D77B98F5BE6B0E251711A0BAFB4A8BE9D0A4DBB5A91612ED95EDDF82867753777B55E521EA03E3B667155593EBDC5134CD3CD96AD4F4A7371AD4B**********************************************************************************************************************************************************************************************************************************************************
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: test_bomber_test@test.test



Обновление от 18 по 19 июня 2018:
Вечером 18-го июня (около 22 часов) и позже компьютеры русскоязычных пользователей, предприятий и организаций были массово атакованы Scarab-Bomber Ransomware. Пик интенсивности был с вечера 18-го, в ночь на 19 июня 2018. Количество пострадавших 19-го июня утром было уже массовым. 
Прилагаю скриншот с сайта forum.kasperskyclub.ru 
Здесь видно, что форум сегодня завален просьбами о помощи. 

👉 К сожалению силами хелперов и консультантов по лечению ПК в данном случае не расшифровать файлы. Можно только зачистить систему от оставшихся вредоносных файлов и попутного мусора. Часто на ПК при чистке могут быть найдены еще другие вредоносы и даже другие шифровальщики, которые прошлись по файлам, зашифрованным другим шифровальщиком. 
Потому, в любом случае, нужно избавиться от такого хлама. Также необходимо собрать зашифрованные файлы и записки о выкупе. В них обычно имеется вся необходимая для дешифрования информация. 
Не удаляйте все записки о выкупе, чтобы вам не советовали!!! Оставьте хотя бы одну, если все они одинаковые и содержат один и тот же ID, ключ или что-то ещё. Если попадаются с разным текстом или разными ID, то соберите все разные, не поленитесь, это в ваших же интересах. 


Обновление от 19-20 июня 2018:
В июне 2018 злоумышленники, распространяющие шифровальщики семейства Scarab, обновили основной крипто-конструктор. 
В предыдущих версиях Scarab-шифровальщиков был Trojan.Encoder.18000 (по классификации Dr.Web). Файлы можно было дешифровать. 
В новых версиях файл шифровальщика детектируется уже как  Trojan.Encoder.25574 (по классификации Dr.Web). Файлы пока не дешифруются. 


Обновление от 11 июля 2018:
Расширение: .bomber
Email: dexcrypt@protonmail.com
Записка: HOW TO RECOVER ENCRYPTED FILES.txt
➤ Содержание записки:
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
6902000000000000***A75B7C
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: dexcrypt@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
  How to obtain Bitcoins?
 * Create a Bitcoin purse: https://blockchain.info/wallet/new
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
   'Buy bitcoins', and select the seller by payment method and price:
   https://localbitcoins.com/buy_bitcoins   (Visa/MasterCard, Perfect Money, WU etc.)
 * Also you can find other places to buy Bitcoins and beginners guide here: 
    http://www.coindesk.com/information/how-can-i-buy-bitcoins
 Attention! 
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price 
   (they add their fee to our) or you can become a victim of a scam. 

Обновление от 12 июля: 
По некоторым данным с этим вымогателем работают люди, участвующие в распространении Dharma Ransomware. Вторая половина записки о выкупе скопирована из сообщений Dharma ransomware, используемых с 2018 года. 

Обновление от 16 июля 2018:
Рост в Твиттере >>
Расширение: .deep
Email: mrdeep@protonmail.com
Согласно сообщению Майкла Джиллеспи, адрес mrdeep@protonmail.com известен по вымогательской кампании Dharma Ransomware.
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***XB81D7D
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: mrdeep@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins? 
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 
   'Buy bitcoins', and select the seller by payment method and price: 
   https://localbitcoins.com/buy_bitcoins 
 * Also you can find other places to buy Bitcoins and beginners guide here:   
   http://www.coindesk.com/information/how-can-i-buy-bitcoins 
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.
Обои Рабочего стола заменяются изображением от вымогателей.
Файл: deep.exe
Расположение: %APPDATA%\deep.exe
Результаты анализов: VT + VT + HA + IA + AR
🎥 Видеообзор этого Scarab-Bomber-Deep Ransomware >>


Обновление от 24 июля 2018:
Расширение: .ukrain
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: cr64@keemail.me, cr64@mail.ee
Файл с вредоносным вложением: реквизиты июль.gz
➤ Содержание записки:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный идентификатор
6A02000000000000***27EC07
Ваши документы, фотографии, базы данных и другие важные данные были зашифрованы.
Для восстановления данных необходим дешифровщик.
Чтобы получить дешифровщик, следует отправить письмо на электронный адрес cr64@keemail.me (cr64@mail.ee)
В письме укажите Ваш личный идентификатор (см. в начале данного документа).
Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес
Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.
Если у Вас нет биткойнов
 * Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
 * Приобретите криптовалюту Bitcoin:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
 * Отправьте требуемое количество BTC на указанный в письме адрес
Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Гарантия расшифровки файлов.
Перед оплатой вы можете отправить нам до 3х файлов для бесплатной расшифровки. 
Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования



Обновление от 25 июля 2018:
Расширение: .bomber
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: gardengarden@cock.li
➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***10387F
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: gardengarden@cock.li
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam. 


Обновление от 26 июля 2018:
Расширение: .sdk
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: servicedeskpay@protonmail.com
➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***F2223F
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: servicedeskpay@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins? 
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 
   'Buy bitcoins', and select the seller by payment method and price: 
   https://localbitcoins.com/buy_bitcoins 
 * Also you can find other places to buy Bitcoins and beginners guide here:   
   http://www.coindesk.com/information/how-can-i-buy-bitcoins 
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam. 



Обновление от 21 августа 2018: 
Расширение: .glutton
Записка: !!!HOW TO RECOVER ENCRYPTED FILES!!!.TXT
Email: gluttonBD@protonmail.com
➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***E41700F
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: gluttonBD@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.  


Обновление от 10 сентября 2018:
Пост в Твиттере >>
Расширение: .hitler
Примеры зашифрованных файлов: 
6MZ+AXwlzaw8X2H5MC5OrqEBdu6K7FfCbOw.hitler
Joqzovi8Z8=HJL0ckt9wTelSOzzC9uXiuS8.hitler
NcfzN9f5oRjbMed5QILQNdJGjlxARAJJCNg.hitler
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Emails: s29js31@tutamail.com, s29js31@mail.ee
Распространяемый файл: Сентябрь.scr 
Исполняемый файл: Abandon.exe, sevnz.exe
 Результаты анализов загрузчика: HA + VT + IA

Обновление от 14 сентября 2018:
Пост в Твиттере >>
Расширение: .bomber
Примеры зашифрованных файлов: 
RmhIsoxoP6+MlVODBgOE9TyDLoNuD3YkBpouhr38sk.bomber
EhpxobDodMzo1vusd+85UhN3DiZzLeZGZPHxQzC5Y9Ac.bomber
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: mark.support@protonmail.com

➤ Содержание записки:
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
6A02000000000000***357E1F
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: mark.support@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
  How to obtain Bitcoins?                                                                         
 * Create a Bitcoin purse: https://blockchain.info/wallet/new                                          
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click             
   'Buy bitcoins', and select the seller by payment method and price:                             
   https://localbitcoins.com/buy_bitcoins   (Visa/MasterCard, Perfect Money, WU etc.)     
 * Also you can find other places to buy Bitcoins and beginners guide here:                       
    http://www.coindesk.com/information/how-can-i-buy-bitcoins                                  
 Attention! 
 * Do not rename encrypted files.                                                                 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam. 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
Или прочтите инфу по ссылке. Мой перевод рядом. 
Or ask for help using this link. My translation beside.
 - видеообзор сделан с помощью сервиса ANY.RUN
Запуск с правами администратора: 
командная строка: runas /user:Administrator osk.exe 
Записка о выкупе не поддерживает Unicode, потому русский текст в виде символов.
Правильный текст записки смотри в начале статьи. 
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
Added later: *
Write-up by Avast (on July 7, 2017)
Write-up by KasperskyLab (on June 22, 2018)
(added only details on encryption)
 Thanks: 
 (victims in the topics of support)
 Alex Svirid, Andrew Ivanov
 Michael Gillespie, GrujaRS
 ANY.RUN, Emmanuel_ADC-Soft
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton