Scrabber Ransomware
(шифровальщик-не-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 или AES-128, а затем заявляет, что файлы можно вернуть бесплатно. Оригинальное название: Scrabber Ransomware. На файле написано: medvedeg.exe
© Генеалогия: HiddenTear >> Scrabber, EnybenyCrypt, SnowPicnic, SymmyWare
К зашифрованным файлам добавляется расширение: .junked
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на первую половину октября 2018 г. Ориентирован на русскоязычных и англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с текстом на двух языках называются:
ПРОЧИТАЙ БЛЭТ!.txt
READ BLET.txt
Содержание текстовой записки:
--- RUSSIAN ---
Все ваши файлы зашифрованы в надежном алгоритме шифрования AES-2 56
и теперь имеют уровень сверх секретности. Не спешите закрывать данное
окно так как Вы больше его не увидите. Выполните дальнейшие указания,
но не спешите ведь мы должны рассказать две простых вещей:
1. Мы не мошшеники и не обманщики, мы за Вас и поможем с рашифровкой
ваших драгоценных файлов
2. Шифрование - это обратимое криптографическое действие которая
изменяет кодировку файла на свою собственную (от этого видны в здесь
иероглифы но Мы как из первого пункта поможем вам с дешифровкой)
Мы действуем по принципу: Зашифровались а мы Вам файлы бесплатно,
нам не надо биткойны полученные разменом или долгим трудом с вашим
майнингом. Обратитесь нам на почты:
decriptscrabber@mail. ru
Если же наша основная почта будет заблокирована по причине жалобы,то
советуем обратится по почте:
trinskert@bk. ru.
Снова повторяем: НЕ ЗАКРЫВАЙТЕ данное окно, так как Вы БОЛЬШЕ НЕ
УВИДИТЕ ЕГО ПРИ ПЕРЕЗАГРУЗКЕ.
Удачной расшифровки, ах да что мы забыли!
Для получения ключа отправьте имя ПК и пользователя нам, полученный
пароль введите и нажмите на расшифовку. Чтобы узнать список зашифро-
ванных файлов нажмите на кнопку: Encrypted files"
Теперь удачной точно расшифровки!
--- END RUSSIAN ---
--- ENGLISH ---
All your files are encrypted in a secure AES-2 56 encryption algorithm
and now have a level of over-secrecy. Do not rush to close this
the window because you won't see it again. Follow the instructions below,
but do not rush because we have to tell two simple things:
1. We do not mosheniki not liars, we are behind You and will help with rasshifrovka
Your precious files
2. Encryption is a reversible cryptographic action that
changes the encoding of the file on its own (this is visible in here
the characters but we the first paragraph will help you with deciphering)
We operate on the principle: Encrypted and we give you the files for free,
we do not need bitcoins received by exchange or long work with your
mining, contact us at mail:
decriptscrabber@mail. ru
If our main mail is blocked because of a complaint,
we advise you to contact by mail:
trinskert@bk.ru.
Again, we repeat: do NOT CLOSE this window because You NO LONGER
WILL SEE IT WHEN YOU REBOOT.
A successful decryption, oh yeah we forgot!
To obtain the key, send the PC and user name to us, received
enter the password and click on decryption. To find out the list of encrypted files click on the button: "Encrypted files"
Now successful accurately decoding!
--- END ENGLISH ---
Другими информаторами жертв выступают экран блокировки и изображение, заменяющее обои Рабочего стола:
Также есть тексты в коде, которые отличаются от текстового варианта.
Содержание этого текста:
Здрасте! Файлы зашифрованы в AES-256 и теперь они имеют уровень сверх секретности!"
Это модифицированный НТеаг но с фичами:
1. Теперь шифруются все диски!!!
Для расшифровки обратитесь по почте decriptscrabber@mail.ru или trinskert@bk.ru
Мы уникальны тем что не надо деньги!
Просто отправьте имя ПК и пользователя а мы Вам ключ. Все!
Не в коем случае это не удалять! ПЖ!
Мы не мошшеники и не преследуем цели сбирания денег, не подавайте на нас жалобу, пожалуйста.
Не верите в то что мы работаем бесплатно? Попробуйте; Мы стараемся Вас не подводить!
Перевод текста на русский язык:
Hello! Files are encrypted in AES-256 and now they have a level of over-secrecy!
"This is a modified HTear but with features:
1. Now all drives are encrypted!!!
For decrypt contact to mail decriptscrabber@mail.ru or trinskert@bk.ru
We are unique in that we do not need money!
Dust send the PC and user name and we Will give you the key. Okay!
In no case do not remove it! Please!
We are not scammers and do not pursue the purpose of collecting money, do not file a complaint against us, please.
Do not believe that we work for free? Try it; we try not to let you down!
Как можно видеть, русский текст в текстовой записке и на скриншотах очень плохой (масса разнообразных ошибок!). Это даже не безграмотность, а просто очень сильно ломаные фразы. Так иногда изъясняются иностранцы. Но, конечно же, такой плохой русский можно легко сымитировать. Несколько слов указывают именно на это. При этом расхождения слов русского текста с английским в одной записке говорят о том, что текст правили умышленно.
Технические детали
По сообщениям разработчика: никогда не распространялся через RDP.
Возможно, что в будущем может начать распространяться другими способами: с помощью фальшивых обновлений, перепакованных и заражённых инсталляторов, email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
ПРОЧИТАЙ БЛЭТ!.txt
READ BLET.txt
happy_birtday.js
medvedeg.exe
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: decriptscrabber@mail.ru, trinskert@bk.ru
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: единичные случаи.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Scrabber Ransomware
EnybenyCrypt Ransomware
SnowPicnic Ransomware
SymmyWare Ransomware
GrujaRSorium Ransomware
Epoblockl Ransomware
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление (модификация) от 15 ноября 2018:
Пост в Твиттере >>
Email: decryptscrabber@mail.ru
Записка: fuck.txt
➤ Содержание записки:
All files have been encrypted with AES-128 Optimised edition!
Contact to decryptscrabber@mail.ru
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware ( n/a ) Write-up, Topic of Support *
Thanks: MalwareHunterTeam Andrew Ivanov * *
© Amigo-A (Andrew Ivanov): All blog articles.
