Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 3 декабря 2017 г.

Crypt0 HT

Crypt0 HT Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: Crypt0 Ransomware (написано в записке о выкупе и сайте вымогателей). На файле написано: BankInformation.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> Crypt0 HT

Этимология названия:
Название Crypt0 Ransomware уже занято! Оно используется с 12 сентября 2016 г. Поэтому к нынешнему добавлено HT — сокращение от HiddenTear. 

Статья о прошлогоднем Crypt0 Ransomware >>

К зашифрованным файлам добавляется случайное расширение <random>

Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Образцы, которыми располагают исследователи на данный момент, не производят шифрование. 

Записка с требованием выкупа называется: READ_IT.html

Содержание записки о выкупе:
You have been victim of Crypt0 Ransomware
All your important files, photos, videos, documents, databases, have been encrypted with AES-256 and AES-128
A file called "READ_IT.html" will be dropped on your Desktop follow the instructions on how to make the payment
You Have 6 days to make the payment or else all of your files will be lost!
Hurry up! 

Перевод записки на русский язык:
Вы стали жертвой Crypt0 Ransomware
Все ваши важные файлы, фото, видео, документы, базы данных были зашифрованы с помощью AES-256 и AES-128
Файл с именем "READ_IT.html" будет скинут на ваш рабочий стол, следуйте инструкциям о том, как сделать платеж
У вас есть 6 дней для оплаты, иначе все ваши файлы будут потеряны!
Поторопитесь!

Дополнительным информатором жертвы является веб-страница на сайте вымогателей.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
READ_IT.html
BankInformation.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Lawrence Abrams, BleepingComputer
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

суббота, 2 декабря 2017 г.

Payment

Payment Ransomware

(шифровальщик-вымогатель, фейк-шифровальщик)


Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название проекта: PAYMENT. На файле написано: PAYMENT.exe или что-то другое. Среда разработки: Visual Studio 2010.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*. 
Пока находится в разработке и не шифрует файлы. 

Образец этого крипто-вымогателя был найден в начале декабря 2017 г. Ориентирован на испаноязычных пользователей, что не мешает распространять его по всему миру. Пока, судя по сообщениям исследователей, файлы не шифруются. 

Запиской с требованием выкупа выступает экран блокировки с заголовком PAYMENT:

Содержание записки о выкупе:
¡TODOS TUS DATOS HAN SIDO ENCRIPTADOS!
¡NO REINICIES EL SISTEMA O NO PODRÁS RECUPERARLOS!
¡CUALQUIER MOVIMIENTO QUE LLEVES A CABO PODRÍA
SUPONER LA PÉRDIDA TOTAL DE TUS DATOS!
----------------------------------------
SITUACIÓN ACTUAL
----------------------------------------
Lamentablemente has sido víctima de un *Ransomware*; un malware (virus) que priva, de forma absoluta, al usuario del acceso a la información contenida en las unidades de almacenamiento conectadas al sistema; esto significa:
*Documentos*, *Imágenes*, *Vídeos*.... ENCRIPTADOS (INSERVIBLES) por medio de un código de cifrado que únicamente el desarrollador del malware conoce, siendo, por ende, el único capáz de restaurar los archivos a su estado original.
Se solicita a la víctima un ingreso en BitCoins (Moneda no rastreable) vía internet a cambio del código de cifrado, necesario para la recuperación de sus datos.
----------------------------------------
CONDICIONES DE RECUPERACIÓN
----------------------------------------
Una vez comprendida la situación y su gravedad, procederé a explicarte las sencillas condiciones que has de seguir para RECUPERAR TU INFORMACIÓN ENCRIPTADA:
> DEBERÁS LLEVAR A CABO UN INGRESO BANCARIO, VÍA INTERNET, ANTES DE LAS 06:00 AM [+01:00 UTC]. Lo cual podrás realizar mediante las intrucciones facilitadas más abajo, donde también se especifica la cantidad a ingresar; no es relevante desde dónde se realice el ingreso, puede ser en este sistema o en cualquier otro.
> NO INTENTES ACCEDER A TU SISTEMA DE NINGUNA FORMA
Cualquier movimiento sospechoso; como apagar/reiniciar el sistema, cerrar sesión, intentar acceder al administrador de tareas o al command prompt. etc; será interpretado como un ...
---
BitCoin Wallet
BUY BitCoins
BitCoin Address
ENTER CODE


Перевод записки на русский язык:
Все ваши данные зашифрованы!
Не перезагружайте систему, или вы не сможете их восстановить!
Любые действия, которое вы сделаете, могут привести к полной потере ваших данных!
----------------------------------------
ТЕКУЩАЯ СИТУАЦИЯ
----------------------------------------
К сожалению, вы стали жертвой *Ransomware*; вредоносной программы (вирус), которая абсолютно лишает пользователя доступа к информации, содержащейся в блоках хранения, подключенных к системе; это означает:
*Documents*, *Images*, *Videos* .... ЗАШИФРОВАНЫ (БЕСПОЛЕЗНЫ) с помощью кода шифрования, который знает только разработчик вредоносного ПО, поэтому это единственная возможность восстановить файлы в исходное состояние.
Пользователю предлагается перевести BitCoins (неотслеживаемая валюта) через Интернет в обмен на код шифрования, необходимый для восстановления его данных.
----------------------------------------
УСЛОВИЯ ВОССТАНОВЛЕНИЯ
----------------------------------------
Как только ситуация и её серьезность будут поняты, я приступлю к объяснению простых условий, которые вы должны соблюдать, чтобы ВОССТАНОВИТЬ ВАШУ ЗАШИФРОВАННУЮ ИНФОРМАЦИЮ:
> ВЫ ДОЛЖНЫ СДЕЛАТЬ БАНКОВСКИЙ ПЕРЕВОД, В ИНТЕРНЕТЕ, ДО 06:00 [+01: 00 UTC]. Это вы можете сделать с помощью приведённых ниже инструкций, где также указывается сумма для перевода; не имеет значения, откуда производится перевод, он может быть в этой системе или в любой другой.
> НЕ ПОПЫТАЙТЕСЬ ПОЛУЧИТЬ ДОСТУП К ВАШЕЙ СИСТЕМЕ ЛЮБЫМ ПУТЁМ
Любое подозрительное движение; как выключение / перезапуск систему, выход из системы, попытка получить доступ к диспетчеру задач или командной строке, и т.д. будут интерпретироваться как ...
---
BitCoin Wallet
BUY BitCoins
BitCoin Address
ENTER CODE



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PAYMENT.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 13 декабря 2017:
Пост в Твиттере >>
Код разблокировки: 1029384756
Файлы:  svchost.exe, frdom.exe
Фальш-имя: Svchost
Фальш-копирайт: Microsoft
IP: 216.58.205.238:80 (США)
Результаты анализов: VB + VT + AR
Пока также не шифрует. 


***




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo
 Andrew Ivanov
 Karsten Hahn
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

RansomMine

RansomMine Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: RansomMine. На файле написано: RansomMine.exe.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: HiddenTear >> RansomMine

К зашифрованным файлам добавляется расширение .RansomMine

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на корейских пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
경고
답스외 파일이 모두 암호화되었습니다.
1. 이게 무슨 소리야?
당신외 동영상, 사진, 문서, 등이 암호화가 되었습니다. 이 프로그램은 갑력한 알고리즘을 사용함으로 이 프로그램이 없으면 복구할수 없습니다.
2. 그럼 어떻게 히I야합니까?
아주간단합니다. 마인크래프트를 1시간이상욺 플레이해야합니다.(단 1.11.2버전으로해야하며 그니다.) 그러면 자동으로 복호화틀 진 합니다.
그리고 목호화키는 고정이니 련선웨어처럼 꺼도 복구가 8가능하는 것은 아닙니다!
[암호화된 파일 리스르]
-상타l-
마인크래프트가 실행도이 있지 않음
---
'프로그은오직 장난용으로만뚤었으며 이 프로그임을다른사&01게 사용체서 발생한문제들은책임지지 않

Перевод записки на русский язык:
Предупреждение
Все ваши файлы были зашифрованы.
1. Что это?
Ваши видео, фотографии, документы и т. д. также были зашифрованы. Эта программа использует стойкий алгоритм шифрования и восстановление без этой программы невозможно.
2. Что мне делать?
Это очень просто. Вы должны играть в Minecraft не менее 1 часа (при условии, что у вас есть версия 1.11.2), и они будут автоматически декодироваться.
И ключ фиксирован, но это не значит, что его можно восстановить, даже если он выключен, как аппаратный корабль!
[Список зашифрованных файлов]
- другая фаза -
MineCraft не запускается
---
* Программа предназначена только для шуток и не несет ответственности за любые проблемы, возникающие с другими программами.


Получается, что RansomMine сначала ради шутки зашифровывает, а потом, если поиграешь в Minecraft версии 1.11.2, то бесплатно расшифровывает файлы. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
RansomMine.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  VT>>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Eternity

Eternity Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Eternity Ransomware. На файле написано: eTeRnItY-RaNsOmWaRe. Фальш-копирайт: Microsoft 2017. Разработчик: Sameera-Madushan-Perera (Шри-Ланка).

© Генеалогия: Stupid / FTSCoder >> Eternity

К зашифрованным файлам добавляется расширение .eTeRnItY

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, в работе которого имеются ошибки.



Содержание текста о выкупе:
AlL yOuR fIlEs HaVe BeEn EnCrYpTeD bY eTeRnItY RaNsOmWaRe
yOu aRe uNdEr cOnTrOl oF EtErNiTy rAnSoMwArE
AlL YoUr vIdEoS, pHoToS, dAtAbAsEs aNd iMpOrTaNt fIlEs
hAvE BeEn eNcRyPtEd bY A StRoNg eNcRyPtIoN MeThOd.
If yOu nEeD ThE DeCrYpTiOn kEy tO DeCrYpT YoUr fIlEs 
pAy $1000 tO ThE FoLlOwInG BiTcOiN AdDrEsS.
BTC Address - 3a6dd5ad74e5sdsd25as656w4
Contact US For More Details
Enter Your Decryption Key Here and Click On the Skull to Decrypt Your Files...
[  ...  ]

Перевод текста на русский язык:
Все ваши файлы были зашифрованы Eternity Ransomware
Вы под контролем Eternity Ransomware
Все ваши видео, фото, базы данных и важные файлы
Зашифрованы методом надежного шифрования.
Если вам нужен ключ дешифрования для расшифровки ваших файлов
Платите 1000 долларов на следующий биткоин-адрес.
BTC-адрес - 3a6dd5ad74e5sdsd25as656w4
Свяжитесь с нами для подробной информации
Введите свой ключ дешифрования здесь и кликните на "Череп", чтобы расшифровать ваши файлы ...
[  ...  ]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Eternity Ransomware.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Ключ шифрования: sameeraperera
Код разблокировки: 1234567890

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 26 мая 2022:
Расширение: .ecrp
Результаты анализов: VT + TG + IA




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>
 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Stupid Ransomware)
 Write-up, Topic of Support
 * 
 Thanks: 
 Karsten Hahn
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Blind-Napoleon

Blind 2 Ransomware
Blind-Napoleon Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: NAPOLEON DECRYPTER. На файле написано.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Blind Original > Blind-2 (Blind-Napoleon)


Картинка с портретом Наполеона, императора Франции

К зашифрованным файлам добавляется расширение .napoleon
Фактически используется составное расширение .[supp01@airmail.cc].napoleon

Шаблон можно записать так: .[email].napoleon

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

🚩 У любых более новых версий Blind имеется новый длинный ключ, поэтому он идентифицируется Blind-2 и пока не дешифруется. 

Записка с требованием выкупа называется: How_Decrypt_Files.hta
Требования о выкупе, полученные в Windows 7

Требования о выкупе, полученные в Windows XP


Содержание записки о выкупе:
Attention!
Your documents, photos, databases and other important files have been encrypted cryptographically strong, without the original key recovery is impossible! To decrypt your files you need to buy the special software - NAPOLEON DECRYPTER Using another tools could corrupt your files, in case of using third party software we dont give guarantees that full recovery is possible so use it on your own risk.
If you want to restore files, write us to the e-mail: supp01@airmail.cc In subject line write encryption and attach your ID in body of your message also attach to email 3 crypted files, (files have to be less than 2 MB)
It is in your interest to respond as soon as possible to ensure the restoration of your files, because we wont keep your decryption keys at our server more than one week in interest of our security.
Only in case you do not receive a response from the first email address withit 48 hours, please use this alternative email adress: supportdecrypt2@cock.li
Your personal identification number:
622DE26A502745BA55278CF3359F0*****

Перевод записки на русский язык:
Внимание!
Ваши документы, фотографии, базы данных и другие важные файлы были криптографически сильно зашифрованы, без оригинального ключа восстановление невозможно! Чтобы расшифровать ваши файлы, вам нужно купить специальную программу - NAPOLEON DECRYPTER. Использование других инструментов может повредить ваши файлы, в случае использования сторонних программ мы не даем гарантий полного восстановления, поэтому используйте их на свой страх и риск.
Если вы хотите восстановить файлы, напишите нам на email-адрес: supp01@airmail.cc В строке темы пишите "encryption" (шифрование) и вставьте свой идентификатор в тело сообщения, а также приложите к email-письму 3 зашифрованных файла (файлы должны быть меньше 2 Мб)
В ваших интересах ответить как можно скорее, чтобы обеспечить восстановление ваших файлов, потому что мы не будем хранить ваши ключи дешифрования на нашем сервере более одной недели в интересах нашей безопасности.
Только в том случае, если вы не получите ответ с первого email-адреса за 48 часов, используйте этот альтернативный email-адрес: supportdecrypt2@cock.li
Ваш личный идентификационный номер:
622DE26A502745BA55278CF3359F0 *****



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

По сравнению c версией Blind Original данная версия Blind-Napoleon имеет новоизменения. 
- Blind-Napoleon удаляет теневые копии, получив необходимые привилегии.
Затем он завершает процессы, связанные с базами данных - Oracle и SQL Server. Затем он проходит через все диски и шифрует найденные файлы. После шифрования появляется всплывающая HTA-записка о выкупе. 
- Blind-Napoleon атакует как стационарные (DRIVE_FIXED), так и удалённые диски (DRIVE_REMOTE)
- Email-адрес, используемая в расширении, жестко закодирована в коде вымогателя.

Подробности о ключах шифрования
- Открытый ключ RSA используется для шифрования случайного ключа, созданного для каждой конкретной жертвы. Случайным ключом является тот, который используется для шифрования файлов, после его использования и уничтожения зашифрованная версия этого ключа сохраняется в идентификаторе жертвы, отображаемом в записке о выкупе. Только нападающие, имеющие закрытый ключ RSA, способны его восстановить.
- Случайный ключ AES (32-бит) генерируется функцией, предоставляемой библиотекой Crypto ++. Он используется под защищенным случайным генератором: CryptGenRandom. Все файлы зашифрованы одним и тем же ключом, однако для каждого из них используется разный вектор инициализации.
- В конце каждого файла находится уникальный 384-ти значный блок буквенно-цифровых символов. Это всего 192 байта, записанные в шестнадцатеричном виде. Скорее всего, этот блок является зашифрованным вектором инициализации для конкретного файла.
Подробнее о шифровании в Blind-Napoleon см. в статье MalwareBytesLabs

Список файловых расширений, подвергающихся шифрованию:
Шифруются ВСЕ ФАЙЛЫ, кроме уже зашифрованных с расширением .napoleon и собственных записок о выкупе.
Это, разумеется, будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
How_Decrypt_Files.hta
<random>.exe

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: supp01@airmail.cc и supportdecrypt2@cock.li
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusBuy анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 13 декабря 2017:
Пост в Твиттере >>
Тема на форуме >>
Зашифрованный файл имеет в конце 1920-байтный ASCII-код, вероятно, зашифрованный ключ.
Расширение: .skeleton
Составное расширение: .[skeleton@rape.lol].skeleton
Email: skeleton@rape.lol
Файлы: skeleton.exe
Результаты анализов: VT
Записка: How_Decrypt_Files.txt
Содержание записки: 
Hello !
All your files have been encrypted !
If you want restore your files write on email - skeleton@rape.lol
In the subject write - ID-3A7D96F8

Обновление от 25 декабря 2017:
Пост в Твиттере >>
Расширение: .blind2
Составное расширение: .[blind@airmail.cc].blind2
Шаблон расширения: .[<email>].blind2
Email: blind@airmail.cc
Записка: How_Decrypt_Files.txt
Содержание записки: 
Hello !
All your files have been encrypted !
If you want restore your files write on email - blind@airmail.cc
In the subject write - ID-xxxxxxxx




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Blind 2)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Jakub Kroustek‏ 
 Michael Gillespie
 MalwareBytesLabs
 GrujaRS
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarabey

Scarabey Ransomware

Scarab-Scarabey Ransomware

Scarab-Russian Ransomware

(шифровальщик-вымогатель, деструктор)

(первоисточник)



Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Scarabey. Написан на Delphi без упаковки в C++ которая используется в оригинальном Scarab. 

Для вас подготовлен видеообзор одной из версий >>

© Генеалогия: Scarab > Scarabey

К зашифрованным файлам добавляется расширение .scarab
Позже стали добавляться расширения .oneway, .omerta, .rent, .mvp и другие. Цель: запутать идентификацию и исследователей. 
Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU
Стилизация выполнена в виде скарабея, держащего глобус с Россией.

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа написана на русском языке и называется: Инструкция по расшифровке.TXT

Содержание записки о выкупе:
Добрый день. Ваш компьютер подвергся заражению Scarabey. Все данные зашифрованы уникальным ключем, который находится только у нас. 
Без уникального ключа - файлы восстановить невозможно.
Каждые 24 часа удаляются 24 файла. (их копии есть у нас)
Если не запустить программу дешифратор в течении 72 часов, все файлы на компьютере удаляются полностью, без возможности восстановления.

Прочтите Внимательно инструкции, как восстановить все зашифрованные данные.
Scarabey
----------------------------------------------------------
Востановить файлы Вы сможете так:
1. связаться с нами по e-mail:  support7@cock.li
 - высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.
   Мы их расшифровываем, в доказательство возможности расшифровки.
   также получаете инструкцию по оплате. (оплата будет в bitcoin)
 - сообщите Ваш ID и мы выключим произвольное удаление файлов 
   (если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет
   удаляться по 24 файла. Если сообщите ID- мы выключим это)
2. оплачиваете и подтверждаете оплату.
3. после оплаты получаете дешифратор. Который восстановит ваши данные и выключит функцию удаления файлов.
----------------------------------------------------------
У Вас есть 48 часов на оплату.
Если не успеете за 48 часов оплатить, то цена расшифровки увеличивается в 2 раза.
Чтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 48 часов.
За подробными инструкциями обращайтесь e-mail: support7@cock.li
 - После запуска дешифратор, файлы расшифровываются в течении часа.
 - Если будете пытаться сканировать или расшифровать данные самостоятельно - можете потерять Ваши файлы навсегда.
 - Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
==============================
Ваш идентификатор. 
+4IAAAAAAAAagIUuHZLHEQAl***lwAxNEiDVrkUqanFasK=hC212=ky

------------------ P.S. ---------------------------------
Если у Вас нет биткойнов
 * Здесь вы можете обменять любые эллектронные деньги - https://bestchange.ru
   это список обменников.
 * Приобретите криптовалюту Bitcoin удобным способом:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
 - Не имеет смысла устраивать панику. 
 - Каждое нецензурное слово в наш адрес равняется + 50$ к оплате.
 - Жалобами заблокировав e-mail, Вы лишаете возможность остальных, расшифровать свои компьютеры.
   Остальных, у кого также зашифрованы компьютеры Вы лишаете ЕДИНСТВЕННОЙ НАДЕЖДЫ расшифровать. НАВСЕГДА.
 - Просто войдите с нами в контакт, оговорим условия расшифровки файлов и доступной оплаты, 
   в дружественной обстановке.
---------------------------------------------------------
Ваш идентификатор. 
+4IAAAAAAAAagIUuHZLHEQAl***lwAxNEiDVrkUqanFasK=hC212=ky


Перевод записки на русский язык:
Уже сделан вымогателями. Примечательно, что кроме банальной ошибки в слове "ключем" в тексте немало других ошибок, что говорит не в пользу грамотности составителей вымогательского текста. Да, похоже, что их было несколько, кто-то добавлял текст, кто-то удалял слова. Отсюда множественные ошибки с пунктуацией и лексикой. 



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Также может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами: 
cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
cmd.exe /c wmic SHADOWCOPY DELETE
cmd.exe /c vssadmin Delete Shadows /All /Quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures

Особенности:
- По названию записка о выкупе аналогична тем, что использовались в обновлениях крипто-вымогателей Amnesia и Amnesia-2. Но по детекту это одна из разновидностей Scarab Ransomware, ориентированная на русскоязычных пользователей.  
- Кроме шифрования файлов также производится их выборочное удаление, отсюда вторая характеристика — деструктор. 
- Scarabey ориентирован на российских пользователей и распространяется через RDP и ручную установку на серверы и системы.

Список файловых расширений, подвергающихся шифрованию:
Большинство типов файлов, кроме тех, что нужны для работы системы. 
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Инструкция по расшифровке.TXT
sevnz.exe
svhosts.exe
<random>.exe

Расположения:
\Desktop\ -> Инструкция по расшифровке.TXT
\Downloads\ -> Инструкция по расшифровке.TXT
\Documents\ -> Инструкция по расшифровке.TXT
\User_folders\ -> Инструкция по расшифровке.TXT
C:\Windows\HhSm\svhosts.exe
\%APPDATA%\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
uSjBVNE = "%Application Data%\sevnz.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: support7@cock.li
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.





=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018




=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 23 декабря 2017:
Оригинальное название: Scarabey
Расширение: .scarab
Записка: Инструкция по расшифровке.TXT (текст аналогичен, email новый)
Email: Support56@cock.li
Файл: sevnz.exe
Те же деструктивные функции. Смотрите видеообзор в блоке ссылок ниже. 
Результаты анализов: HA + VT

Обновление от 25 января 2018:
Расширение: .scarab
Записка: Инструкция по расшифровке.TXT
Email: helper023@cock.li

Обновление от 25 апреля 2018: 
Расширение: .scarab
Email: decrypt014@cock.li
Записка: Инструкция по расшифровке файлов.TXT
Скриншот записки о выкупе >>
Топик на форуме >>


Обновление от 4 июня 2018:
Расширение: .scarab
Самоназвание: Scarabey
Email: locker87@cock.li
ID содержит 431 знак. 
Записка: Как расшифровать файлы.TXT
➤ Содержание записки: 
locker87@cock.li
Добрый день. Ваш компьютер подвергся заражению Scarabey. Все данные зашифрованы уникальным ключем, который находится только у нас. 
Без уникального ключа - файлы восстановить невозможно.
Каждые 24 часа удаляются 24 файла. (их копии есть у нас)
Если не запустить программу дешифратор в течении 72 часов, все файлы на компьютере удаляются полностью, без возможности восстановления.
Прочтите Внимательно инструкции, как восстановить все зашифрованные данные.
Scarabey
----------------------------------------------------------
Восстановить файлы Вы сможете так:
1. связаться с нами по e-mail:  locker87@cock.li
 - высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.
   Мы их расшифровываем, в доказательство возможности расшифровки.
   также получаете инструкцию по оплате. (оплата будет в bitcoin)
 - сообщите Ваш ID и мы выключим произвольное удаление файлов 
   (если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет
   удаляться по 24 файла. Если сообщите ID- мы выключим это)
2. оплачиваете и подтверждаете оплату.
3. после оплаты получаете дешифратор. Который восстановит ваши данные и выключит функцию удаления файлов.
----------------------------------------------------------
У Вас есть 48 часов на оплату.
Если не успеете за 48 часов оплатить, то цена расшифровки увеличивается в 2 раза.
Чтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 48 часов.
За подробными инструкциями обращайтесь e-mail: locker87@cock.li
 - После запуска дешифратор, файлы расшифровываются в течении часа.
 - Если будете пытаться сканировать или расшифровать данные самостоятельно - можете потерять Ваши файлы навсегда.
 - Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
==========================================================
Ваш идентификатор. 
+4IAAAAAAACA3z8gH***nlxkOlw
------------------ P.S. ---------------------------------
Если у Вас нет биткойнов
 * Здесь вы можете обменять любые электронные деньги - https://bestchange.ru
   это список обменников.
 * Приобретите криптовалюту Bitcoin удобным способом:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
 - Не имеет смысла устраивать панику. 
 - Каждое нецензурное слово в наш адрес равняется + 50$ к оплате.
 - Жалобами заблокировав e-mail, Вы лишаете возможность остальных, расшифровать свои компьютеры.
   Остальных, у кого также зашифрованы компьютеры Вы лишаете ЕДИНСТВЕННОЙ НАДЕЖДЫ расшифровать. НАВСЕГДА.
 - Просто войдите с нами в контакт, оговорим условия расшифровки файлов и доступной оплаты, 
   в дружественной обстановке.
---------------------------------------------------------
Ваш идентификатор. 
+4IAAAAAAACA3z8gH***nlxkOlw


Обновление от 16 июня 2018:
Расширение: .scarab
Самоназвание: криптолокер Scarabey
Email:  Scarab@horsefucker.org
Записка: Как расшифровать файлы.TXT
➤ Содержание записки:
Scarab@horsefucker.org
Добрый день. 
Нет, Ваши файлы не удалены, они зашифрованы криптолокером Scarabey. Все данные зашифрованы уникальным ключем, который находится только у нас. 
Без уникального ключа - файлы восстановить невозможно. 
Каждые 24 часа удаляются 24 файла. (их копии есть у нас)
Если не запустить программу дешифратор в течении 72 часов, все файлы на компьютере удаляются полностью, без возможности восстановления.
Прочтите Внимательно инструкции, как восстановить все зашифрованные данные.
Scarab
----------------------------------------------------------
Восстановить файлы Вы сможете так:
1. связаться с нами по e-mail:  Scarab@horsefucker.org
 - высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.
   Мы их расшифровываем, в доказательство возможности расшифровки.
   также получаете инструкцию по оплате. (оплата будет в bitcoin)
 - сообщите Ваш ID и мы выключим произвольное удаление файлов 
   (если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет
   удаляться по 24 файла. Если сообщите ID- мы выключим это)
2. оплачиваете и подтверждаете оплату.
3. после оплаты получаете дешифратор. Который восстановит ваши данные и выключит функцию удаления файлов.
----------------------------------------------------------
У Вас есть 48 часов на оплату.
Если не успеете за 48 часов оплатить, то цена расшифровки увеличивается в 2 раза.
Чтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 48 часов.
За подробными инструкциями обращайтесь e-mail: Scarab@horsefucker.org
 - После запуска дешифратор, файлы расшифровываются в течении часа.
 - Если будете пытаться сканировать или расшифровать данные самостоятельно - можете потерять Ваши файлы навсегда.
 - Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
==========================================================
Ваш идентификатор. 
+4IAAAAAAACp0O7oHZ***7xN=gHyM3XqjucXdDk


Обновление от 18 июня 2018:
Расширение: .oneway
Email: ibm15@horsefucker.org
Записки могут называться: Как расшифровать файлы oneway.TXT
или Инструкция по расшифровке файлов oneway.TXT
Статус: Файлы можно дешифровать. 
➤ Содержание записки:
Напишите на почту - ibm15@horsefucker.org
========================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный идентификатор
+4IAAAAAAAASDeOZHZ***5YTVClk5rnLn7aBk
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - ibm15@horsefucker.org
 *В письме указать Ваш личный идентификатор
 *Прикрепите 2 файла до 1 мб для тестовой расшифровки. 
  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.
 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
 -Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования
 * Не пытайтись найти решение на стороне, это 100% развод. Никто кроме нас расшифровать не может.
========================================
Если связаться через почту не получается
 * Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB с указанием Вашей почты и личного идентификатора
Ваш личный идентификатор
+4IAAAAAAAASDeOZHZ***5YTVClk5rnLn7aBk



Обновление от 19-20 июня 2018:
Файлы можно было дешифровать, если они были зашифрованы до 18 июня 2018 года.
В июне 2018 злоумышленники, распространяющие шифровальщики семейства Scarab, обновили основной крипто-конструктор. 
В предыдущих версиях Scarab-шифровальщиков был Trojan.Encoder.18000 (по классификации Dr.Web). Файлы можно было дешифровать. 
В новых версиях файл шифровальщика детектируется уже как Trojan.Encoder.25574 (по классификации Dr.Web). Зашифрованные им файлы пока не дешифруются. 

Обновления, которые касаются вариантов Scarab-Scarabey смотрите ниже. На каждом будет указана статус дешифрования. 

Обновление от 20 июня 2018:
Расширение: .oneway
Email: ibm15@horsefucker.org
Записка: Как расшифровать файлы oneway.TXT
Обновленный шифровальщик. 
Статус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.
Скриншот нового варианта записки о выкупе. 

Обновление от 6 августа 2018:
Расширение: .omerta
Email: ibm15@horsefucker.org
BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB
Записка: Инструкция по расшифровке файлов.TXT
Может пересекаться с Scarab-Omerta Ransomware, но по сути вымоагтели с прежними контактами, просто стали добавлять новое расширение. 
Обновленный шифровальщик. 
Статус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.
➤ Содержание записки:
Напишите на почту - ibm15@horsefucker.org
=============================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный идентификатор
;AQAAAAAAACccD.`TeTHDhNADA***A}U&Aj)kl
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - ibm15@horsefucker.org
 *В письме указать Ваш личный идентификатор
 *Прикрепите 2 файла до 1 мб для тестовой расшифровки. 
  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.
 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
 -Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
 * Не пытайтись найти решение на стороне, это 100% развод. Никто кроме нас расшифровать не может.
=============================
Если связаться через почту не получается
 * Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB с указанием Вашей почты и
личного идентификатора
Ваш личный идентификатор
;AQAAAAAAACccD.`TeTHDhNADA***A}U&Aj)kl


Обновление от 16 августа 2018:
Расширение: .rent
Записка: Инструкция по расшифровке файлов Rent.TXT
Email: diven@cock.li или другой
Bitmessage: BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB
Статус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.
➤ Содержание записки:
Напишите на почту - diven@cock.li
================================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный идентификатор
+4IAAAAAAADv7HAE***oRTWlw
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - diven@cock.li
 *В письме указать Ваш личный идентификатор
 *Прикрепите 2 файла до 1 мб для тестовой расшифровки. 
  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.
 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
 -Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
 * Не пытайтись найти решение на стороне, это 100% развод. Никто кроме нас расшифровать не может.
================================================
Если связаться через почту не получается
 * Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB с указанием Вашей почты и
личного идентификатора
Ваш личный идентификатор
+4IAAAAAAADv7HAE***oRTWlw

Обновление от 23 августа 2018:
Расширение: .omerta
Email: xvalera228@protonmail.com
Топик на форуме >>
Статус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.

Обновление от 10 сентября 2018:
Пост в Твиттере >>
Расширение: .mvp
Файлы переименовываются.
Пример заш-файла: 3oIoZu+32IciG9rHroIoFpy3rN1ICT5DHxSHTZCU7M9xXkWzydDXCq+M.mvp
Записка: Как расшифровать файлы.TXT
Email: thermal@lock.li
Файлы: scan document.pdf.exe, systems.exe
Mutex: STOPSCARABSTOPSCARABSTOPSCARABSTOPSCARABSTOPSCARAB
На файле написано: Globalwebdatasample Ten
Фальш-имя: T668f Authentication
Фальш-копирайт: IBM (c) 2015 Company
Результаты анализов: VT

Статус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.

Обновление от 23 сентября 2018:
Расширение: .omerta
Файлы переименованы. 
Записка: Инструкция по расшифровки omerta.TXT
Email: thermal@cock.li
Статус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.
➤ Содержание записки:
Напишите на почту - thermal@cock.li
===============================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный идентификатор
;AQAAAAAAACgrkr-Le***PeA~jn)+#aI~[P
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - thermal@cock.li
 *В письме указать Ваш личный идентификатор
 *Прикрепите 2 файла до 1 мб для тестовой расшифровки. 
  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.
 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
 -Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования
 * Не пытайтись найти решение на стороне, это 100% развод. Никто кроме нас расшифровать не может.
===============================
Ваш личный идентификатор
;AQAAAAAAACgrkr-Le***PeA~jn)+#aI~[P

Обновление от 17 декабря 2018:
Пост на форуме >>
Расширение: .omerta
Email: alices@mail2tor.com
Другие email вымогателей (февраль 2019):  alices@cock.li, bin420@cock.li
BM-2cTx9M1bfonGRN31Rw3F7h7MFYomEWoGJ1
Записка: Инструкция по расшифровке файлов.txt
➤ Содержание записки:
Напишите на почту - alices@mail2tor.com
=========================================================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный идентификатор
pAQAAAAAAABpG9LdH***SnX=cteKU0RY3
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы.
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - alices@mail2tor.com
 *В письме указать Ваш личный идентификатор
 *Прикрепите 2 файла до 1 мб для тестовой расшифровки.
  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.
 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
 -Написав нам на почту вы получите дальнейшие инструкции по оплате.
 Если связаться через почту не получается
* Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)
 * Напишите письмо на адрес BM-2cTx9M1bfonGRN31Rw3F7h7MFYomEWoGJ1 с указанием Вашей почты и
личного идентификатора
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
=========================================================================
Ваш личный идентификатор
pAQAAAAAAABpG9LdH***SnX=cteKU0RY3

Обновление от 1 февраля 2019:
Расширение: .secure
Записка: Расшифровать файлы и работать дальше.TXT
Расшифровать файлы и работать дальше.TXT.secure
Особенность: Записка о выкупе тоже получает расширение .secure
Email: secure32@cock.li
Файл EXE: osk.exe
➤ Содержание записки: 
Напишите на почту - secure32@cock.li 
=========================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный идентификатор pAQAAAAAAACazRP***Shoh+8DfAk 
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию. 
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется) 
Для расшифровки данных: 
Напишите на почту - secure32@cock.li 
*В письме указать Ваш личный идентификатор 
*Прикрепите 2 файла до 1 мб для тестовой расшифровки. мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать. 
-Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов. 
-Написав нам на почту вы получите дальнейшие инструкции по оплате. 
В ответном письме Вы получите программу для расшифровки. 
Запустите инструмент на вашем компьютере и безопасно расшифруйте все ваши данные. 
Мы гарантируем: 100% успешное восстановление всех ваших файлов 100% гарантию соответствия 100% безопасный и надежный сервис 
Внимание! 
* Не пытайтесь удалить программу или запускать антивирусные средства 
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных 
* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования =========================================
Ваш личный идентификатор pAQAAAAAAACazRP***Shoh+8DfAk 









=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
Или прочтите инфу по ссылке. Мой перевод рядом. 
Or ask for help using this link. My translation beside.
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Scarab)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Andrew Ivanov, Alex Svirid
 GrujaRS, Michael Gillespie, S!Ri, Emmanuel_ADC-Soft
 ANY.RUN, Intezer Analyze
 всем пострадавшим из топиков поддержки на англоязычных и русскоязычных форумах
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *