Scarab-Artemy Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: osk.exe. Вымогатель оставил подпись: Артемий.
© Генеалогия: Scarab >> Scarabey, Osk, Bomber > Scarab-Artemy
Это изображение — логотип статьи. Изображает скарабея с ARTEMY.
This image is the logo of the article. It depicts a scarab with ARTEMY.
К зашифрованным файлам добавляется расширение: .ARTEMY
Примеры зашифрованных файлов:
AAX_C8gU9L634eU5eMPxSJ5zQH2D17jz.ARTEMY
yNgqMYzbaz4zmkiYpCJ8OwUYiyjGJRnX.ARTEMY
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на конец февраля 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
Содержание записки о выкупе:
ПРИНОШУ ИСКРЕННИЕ ИЗВИНЕНИЯ ЗА ДОСТАВЛЕННЫЕ НЕУДОБСТВА! БЕЗРАБОТИЦА В МОЕМ РЕГИОНЕ ВЫНУДИЛА ЗАШИФРОВАТЬ ВАШИ ФАЙЛЫ!
Это не мошенничество, а вынужденная мера. В случае соблюдения рекомендаций, Ваши файлы будут гарантированно расшифрованы (см. пункт "ГАРАНТИЯ РАСШИФРОВКИ ФАЙЛОВ")
Ваш личный идентификатор
6A02000000000000***353BA3E
Для восстановления Ваших документов, баз данных, фотографий, и других важных данных необходимо приобрести дешифровщик.
Для этого отправьте письмо на email:
artemy75@protonmail.com
Если ответа не поступило в течении 3х часов, продублируйте письмо на следующие адреса:
artemy75@cock.li
artemy75@tutanota.com
В письме укажите Ваш личный идентификатор (см. в начале данного документа).
Если связаться через почту не получается:
* Скачайте и установите чат Tox (https://en.wikipedia.org/wiki/Tox_(protocol) официальный сайт разработчиков: https://tox.chat/download.html )
* Напишите сообщение на адрес (Tox ID):
E38E615F269782866CF4CA99414CF8C09DAC3DFC350EE326DD69511E1E785535C44E20616C4C
с указанием Вашей почты и личного идентификатора.
Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес
Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.
Предусмотрены скидки до 80% для следующих категорий граждан:
Безработные (Справка с центра занятости)
Малоимущие (Справка о признании гражданина (семьи) малоимущим)
Беременные (Справка из женской консультации о сроке беременности)
Инвалиды 1 и 2 группы (Справка об инвалидности)
В каждом из случаев требуется предоставить фото с паспортом и справкой.
Если у Вас нет биткойнов:
* Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
* Приобретите криптовалюту Bitcoin:
https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
* Отправьте требуемое количество BTC на указанный в письме адрес
В случае возникновения сложностей с приобретением биткойнов, я обязательно помогу разобраться, обращайтесь на почту.
Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
ГАРАНТИЯ РАСШИФРОВКИ ФАЙЛОВ:
Перед оплатой вы можете отправить мне до 3х файлов для бесплатной расшифровки. Это основная гарантия наличия у меня дешифровщика.
Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.
Мне нет смысла врать (отправить дешифровщик занимает 30 секунд времени), после подтверждения оплаты Вы в течении нескольких минут получите дешифровщик. И гарантированно расшифруете ВСЕ свои файлы.
Внимание!
* Не пытайтесь удалить программу или запускать антивирусные средства это приведет к потере Ваших данных.
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных.
* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования.
С наилучшими пожеланиями, Артемий!
Перевод записки на русский язык:
уже сделан
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет системные бэкапы файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
/c bcdedit /set {default} bootstatuspolicy ignoreallfailures
/c bcdedit /set {default} recoveryenabled No
/c copy /y "C:\27.02.2019.scr.exe" "%APPDATA%\osk.exe"
/c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT - записка в русской системе
ÊÀÊ ÂÎÑÑÒÀÍÎÂÈÒÜ ÇÀØÈÔÐÎÂÀÍÍÛÅ ÔÀÉËÛ.TXT - записка в нерусской системе
osk.exe
27.02.2019.scr.exe
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\admin\AppData\Roaming\osk.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: artemy75@protonmail.com
artemy75@cock.li
artemy75@tutanota.com
BTC:
Tox: E38E615F269782866CF4CA99414CF8C09DAC3DFC350EE326DD69511E1E785535C44E20616C4C
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺 VirusTotal analysis >>
🐞 Intezer analysis >>
ⴵ VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
ᕒ ANY.RUN analysis >> AR >> {Re-run > Add 60s+}
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
Scarab-Enter - ноябрь 2018
Scarab-Aztec (Pizza) - декабрь 2018
Scarab-Zzz - январь 2019
Scarab-Crash - январь 2019
Scarab-Gefest - январь 2019
Scarab-Artemy - февраль 2019
Scarab-Kitty - март 2019
Scarab-Monster - апрель 2019
и другие...
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы можно дешифровать! Рекомендую обратиться по этой ссылке к Emmanuel_ADC-Soft >> --- Attention! Files can be decrypted! I recommend getting help with this link to Emmanuel_ADC-Soft >>
Read to links: Tweet on Twitter + myTweet ID Ransomware (ID as Scarab) Write-up, Topic of Support *
- видео начального момента
Thanks: CyberSecurity GrujaRS, Michael Gillespie Andrew Ivanov (author) ANY.RUN to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.