Если вы не видите здесь изображений, то используйте VPN.

вторник, 17 июля 2018 г.

Scarab-Turkish

Scarab-Turkish Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Написан на Delphi.

© Генеалогия: Scarab >> Scarab Family > {update encryptor} >  Scarab-Turkish
Это изображение — логотип статьи. Изображает скарабея и флаг Турции.
This image is the logo of the article. It depicts a scarab with a flag of Turkey.

К зашифрованным файлам добавляется расширение: .[firmabilgileri@bk.ru]

Используется шаблон для расширения: .[email]

Файлы не переименовываются. Пример зашифрованных файлов:
Instruct.xml.[firmabilgileri@bk.ru]
My_documents.doc.[firmabilgileri@bk.ru]


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на турецких пользователей, но они вряд ли поймут текст, в котором турецкие буквы заменены на английские. 

Вымогатели по ошибке пропустили текст через блокнот Windows, в которой не было поддержки турецкого языка. В результате этого специальные турецкие буквы были заменены английскими. Корректно перевести эту мешанину непросто. Там нет никаких данных, только рассуждения. 

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT
Содержание записки о выкупе:
SISTEMINIZDEKI DEGER GORULEN VERILERIN TUMU TARAFIMCA SIFRELENMISTIR.
VERILERINIZI GERI ALMAK ICIN ASAGIDA SIZE YAZDIGIM MAIL ADRESINDEN BANA ULASABILIRSINIZ.
BANA MAIL ADRESINIZDE IP ADRESINIZI GONDERMEYI UNUTMAYIN. 
firmabilgileri@bk.ru
BUNUN YANINDA;
GENELDE SERVERINA GIRDIGIMIZ MUSTERILERIN TEREDDUTLERI ODEME YAPTIKTAN SONRA DOSYALARIMIZ GELMESSE KOMSUMUZ HACKLENDI DOSYALARI ACILMADI
EKSIK ACILDI VS. VS. VS. MALESEF SON ZAMANLARDA BU YAPTIGIMIZ ISIN TRENDLESMESI SONUCU BU TARZ SEREFSIZLIKLER YAPAN VAR PEKI BANA NASIL GUVENECEKSINIZ
SU SEKILDE BELIRTEYIM DAHA ONCE HACKLEDIGIM BIR FIRMAYI REFERANS AMACLI SOYLEYEBILIRIM ARAR SORARSINIZ 
BIR DIGER KONUYA GELIRSEK
YAPTIGIMIZ SIFRELEMEYI BIZDEN BASKA ACABILEN YOK SAGA SOLA GONDERIYORSUNUZ SERVERLARI ADAMLAR SIZDEN ALACAGIMIZ RAKAMINDA USTUNE RAKAM EKLEYEREK
KENDILERI SIFRELERI COZMUS GIBI ISINIZI GORUYORLAR BIRCOK VERI KURTARMA FIRMASIYLADA CALISYORUZ, CALISYORUZ DERKEN ORTAKLIK VS. DEGIL SIZIN ONLARA GONDERDIGINIZ
SERVERLARIN SIFRELERINI SIZE DEGIL AYNI RAKAMA ONLARA VERIYORUZ ONLARDA KARLARINI EKLEYEREK SIZE VERI KURTARMA HIZMETINI VERMIS OLUYOR
BIR DIGER KONU LUTFEN SAAT 10:00'A KADAR DONMUS OLUN BUNUN NEDENLERINE GELIRSEK
GERCEKTEN COK YOGUN BIR TEMPO ILE CALISYORUZ BIZIM ICIN VAKIT SIZIN YAPACAGINIZ ODEMEDENDE ONEMLI BIR SONRAKI GUNUN SERVERLARININ HAZIRLANMASI SIFRELENMESI
BIZDE NETICEDE INSANIZ UYKU YEMEK SOSYAL AKTIVITELER DERKEN VAKTIMIZ KALMIYOR ELIMIZDE ONLARCA IS VARKEN GERIYE DONUP 1 ISLE UGRASAMIYORUZ SIFRELEDIGIMIZ VERILERIN
SIFRELERI 1234 KOYACAK KADAR AMATOR DEGILIZ YADA DATALARI RECOVERY PROGRAMLARI, SHADOW EXPLORER ILE KURTARACAGINIZ BIR SEKILDE BIRAKMIYORUZ YANI OYALANMANIN SAGA SOLA
SORMANIN BIR MANASI YOK VAKITLICE DONUN HERKES VAKITLICE ISINI YAPSIN 
BIR DIGER KONU SAVCILIGA GIDECEK ARKADASLAR ICIN BU KISIM 
BANKA HESAP NUMARASI ISTEYIP DURMAYN CUNKU BANKA HESABI KULLANMIYOR ODEMELERI BITCOIN ILE ALIYORUZ.
BIR DIGER KONU NE OLUR BU ISI 3 GUNDUR YAPIYORUM MUAMELESI YAPMAYIN BANA 5 YILDIR BU ISI YAPIYORUM 5 YILDIR KIMSE YAKALAYAMADI
SENMI YAKALAYACAKSIN BIR AKILLI SENMISIN ? HA YINE ISTEDIGIN KADAR UGRASABILIRSINIZ AMA LUTFEN BUNU BENI MESGUL EDEREK YAPMAYIN...
ODEMEDEN SONRA VERILECEK HIZMETLER
+SIFRELI DOSYALARI COZME
+ACIKLARINIZ HAKKINDA BILGILENDIRME (DISARDA FIZIKSEL YEDEGI OLUP ACIGI OGRENMEK ICIN YAZAN ARKADASLAR ODEME ALMDAN ANLATMIYORUZ)
DIPNOT: VAKIT VAKIT VAKIT EN ONEMLI SEY VAKIT SAAT 10 DEN ONCE DONUN.
Your personal identifier:
6A02000000000000***F5DED3F
firmabilgileri@bk.ru

Перевод записки на русский язык:
ВСЕ ВАШИ ЦЕННЫЕ ДАННЫЕ В ВАШЕЙ СИСТЕМЕ ЗАШИФРОВАНЫ МНОЙ.
ЧТОБЫ ВЕРНУТЬ ДАННЫЕ, ВЫ МОЖЕТЕ СВЯЗАТЬСЯ СО МНОЙ ПО EMAIL-АДРЕСУ, КОТОРЫЙ Я ВАМ НАПИСАЛ.
НЕ ЗАБУДЬТЕ ОТПРАВИТЬ МНЕ ВАШ IP-АДРЕС НА МОЙ EMAIL-АДРЕС 
firmabilgileri@bk.ru
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Your personal identifier:
6A02000000000000***F5DED3F
firmabilgileri@bk.ru



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: firmabilgileri@bk.ru
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===


Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
и другие варианты. 



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

➤ См. выше Историю семейства. 


Обновление от 27 сентября 2018:
Расширение: .firmabilgileri
Записка: benioku.txt
Email: datastore2018@mail.ru
➤ Содержание записки:
Tum Dosyalariniz Sifrelenmistir!
Serverinizde bulunan bir guvenlik acigindan faydalanarak serverinize girdim ve kayda deger buldugum bilgilerinizi Sifrelemis Bulunmaktayim!
Verilerinizi geriye buldugum sekilde koymami isterseniz bunun sartlari konusunda anlasmak uzere bana datastore2018@mail.ru adresine saat 10:00 a kadar serverinizin ip numarasini da iceren bir mail atiniz kosullar 
konusunda anlasalim. Saat 10:00 dan sonra donuslerle ilgilenmiyorum!!!!
+ Para Verseniz Daha Acmazlar Diyen Bilgisayarcilara ( Ozellikle Bu Aciga Neden Olmalarina Ragmen piskin piskin 300 500 TL Format ve Programlarin Kurulum Parasi isterler) ve ya Parani Alir Dosyalarini Vermez 
Diyen Etrafinizdaki insanlara inanmayin! 
 Dikkatinizi Cekmek Istedigimiz Bazi Hususlar Var!
+ Size Guven Verecek Yeterli Referansa Sahibim Daha Цnce Hackledi?im Bir Firmayy Arayarak Dosyalari Aзip Aзmadigimi Sorabilirsiniz
+ Aciklarinizi Kapatarak Bir Daha B?yle Bir Olay Yasamamaniz icin Gerekli Guvenlik Tedbirlerini Anlatirim. 
+ Sizi tanimiyorum, dolayisi ile size karsi kotu duygular beslememin size kotuluk yapmamin bir anlami da yok, amacim sadece bu isten bir gelir elde etmek. 
Yaptiginiz odeme sonrasinda en kisa zamanda verilerinizi eski haline getirmek icin sunucunuza baglanacagim. 
+ Benimle iletisime gecmek icin asagidaki email adresini kullanin, datastore2018@mail.ru
=> Eger odeme yaparsaniz dosyalarinizi otomoatik olarak cozecek bir yazilim gonderecegim.
=> Eger odeme yapmazsaniz dosyalariniz sonsuza dek sifreli kalacak.
=> Asagidaki hususlara dikkat edin! <=
Internette buldugunuz ucretsiz araclari denemeyin, dosyalarinizi tamamen bozabilirsiniz. 
Lutfen dosyalariniza bilincsiz mudahalelerde bulunmayin ve bilgisi olmayan kimseye bilgisayarinizi vermeyin. 
Her kullanicinin benzersiz bir sifreleme anahtari oldugu icin diger kullanicilarin sifre cozuculeri verilerinizle uyumlu degildir. 
6A020000000000000***ADFEF0F 





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
*
*
 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 Emmanuel_ADC-Soft, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *