Scarab-Osk

Scarab-Osk Ransomware

Scarab-Osk-Cosmos Ransomware

Scarab-Osk-Frogo Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256-CBC, а затем требует выкуп в 0.013 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия / Genealogy: Scarab > Scarab Family > Scarab-Amnesia > Scarab-Walker > Scarab-Osk > Scarab-Bomber

Это изображение — логотип статьи. Изображает скарабея с комком "OSK".

This image is the logo of the article. It depicts a scarab with clod (ball) "OSK".

К зашифрованным файлам добавляется расширение / Appends to encrypted files the extension:
.osk

Сами файлы переименовываются с помощью Base64. 

Примеры зашифрованных файлов / Examples of encrypted files:
2wHNr2=iP509GBmqO50aTPAu2mNNRi4fA2soVFTkoC4FJUQNMiYgc.osk
3avEeSVb4WcWOrIQVNHq5IFjxkNTXBjmi1JINs3KaFjfOVLs+=QP1qKt.osk
PW1pPHAVFbrkMqn9NLG66yItgFrHi+6G3FzCGobKH=d5IQW+jD2o+odLnf.osk

Активность этого крипто-вымогателя пришлась на вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется / Name of ransom note: 
HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе / Contents of ransom note:
YOUR FILES ARE CRYPTED!
Your personal identifier
6A02000000000000***46D93F
Your documents, photos, databases, saving in games and other important data were encrypted.
Data recovery requires a decryptor.
To receive the decryptor, you should send an e-mail to translatos@protonmail.com
In the letter, indicate your personal identifier (see At the beginning of this document).
If I can not connect through the mail, I can not
* Register on the site http://bitmsg.me (online delivery service Bitmessage)
* Send an email to BM-2cUvL7bCPmMZc7QonNfrdLQesmpxX9Sr53  with your email and ID of the identifier
Next, you pay the cost of the decryptor. In the reply letter you will receive the address Bitcoin-purse, for which it is necessary to perform the transfer of money in the amount of 0,013 bitcoin ( 0,013 BTC ~ 100 $ ).
If you do not have bitocoins
* Create a Bitcoin purse: https://blockchain.info/en/wallet/new
* Acquire the Bitcoin crypto currency:
https://localbitcoins.com/buy_bitcoins (Visa / MasterCard, etc.)
https://www.bitcoin.it/wiki (instruction for beginners)
* Send 0,013 BTC to the address in the email address
When the money transfer is confirmed, you will receive a file decryption for your computer.
After starting the decryption program, all your files will be restored.
Attention!
* Do not attempt to uninstall the program or run antivirus software
* Attempts to self-decrypt files will result in the loss of your data
* Decoders of other users are incompatible with your data, as each user unique encryption key

Перевод записки на русский язык:
ВАШИ ФАЙЛЫ ШИФРОВАНЫ!
Ваш личный идентификатор
6A02000000000000 *** 46D93F
Ваши документы, фотографии, базы данных, сохранения в играх и другие важные данные были зашифрованы.
Для восстановления данных требуется декриптор.
Чтобы получить декриптор, вы должны отправить email на адрес translatos@protonmail.com.
В письме укажите свой личный идентификатор (см. На начало этого документа).
Если я не могу подключиться к почте, я не могу
* Регистрируйтесь на сайте http://bitmsg.me (услуга онлайн-передачи Bitmessage)
* Отправьте email на BM-2cUvL7bCPmMZc7QonNfrdLQesmpxX9Sr53 с вашим email и ID идентификатора
Затем вы оплатите стоимость декриптора. В ответном письме вы получите адрес биткоин-кошелька, на который надо сделать перевод денег в размере 0,013 биткоина (0,013 BTC ~ 100 USD).
Если у вас нет биткоинов
* Создайте биткоин-кошелек: https://blockchain.info/ru/wallet/new
* Приобретите криптовалюту Биткоин:
https://localbitcoins.com/buy_bitcoins (Visa / MasterCard и т. д.)
https://www.bitcoin.it/wiki (инструкция для новичков)
* Отправьте 0,013 BTC по адресу в email
Когда денежный перевод будет подтвержден, вы получите дешифровку файла для вашего компьютера.
После запуска программы дешифрования все ваши файлы будут восстановлены.
Внимание!
* Не пытайтесь удалить программу или запустить антивирусную программу
* Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
* Декодеры других пользователей несовместимы с вашими данными, так как каждый пользователь уникальный ключ шифрования

---
✋ Вымогатели, распространяющие новые версии Scarab, каждый раз переписывают текст записок в требованиями выкупа, переставляя слова, в том числе добавляя слова с ошибками, порой даже берут из предыдущих версий и записок других вымогателей, а также меняют контакты и способы связи. Это уже стало их традицией и их "идентификационной карточкой". Впрочем, скарабей в природе действует тоже также, собирая в комок всё, что найдет на своём пути...

Технические детали / Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ ID в этом варианте содержит 646 знаков. 

Подробности шифрования файлов

При запуске шифровальщика на ПК генерируется пара сессионных ключей RSA, приватный сессионный ключ шифруется содержащимся в теле зловреда публичным ключом RSA злоумышленников. Данная информация затем записывается в файл с требованиями злоумышленников.
Файлы шифруются по алгоритму AES-256-CBC. Ключ и вектор AES для каждого файла генерируются перед шифрованием, шифруются сессионным публичным ключом RSA и записываются в конец зашифрованного файла. 
В зависимости от указанной конфигурации, шифровальщики семейства Scarab также могут шифровать имена файлов, но в некторых итерациях имена не шифруются. 
Scarab-Osk шифрует имя файла алгоритмом RC4, используя в качестве ключа строку, содержащую зашифрованные ключ и вектор AES. Полученный буфер будет закодирован алгоритмом Base64 с нестандартным алфавитом.

Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware / Files of Rw:
HOW TO RECOVER ENCRYPTED FILES.TXT
osk.exe
<random>.exe - случайное название

Расположения / Files locations:
\Desktop\ ->
\User_folders\ ->
\%AppData%\Roaming\osk.exe
C:\Windows\System32\config\systemprofile\AppData\Roaming\osk.exe

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email: translatos@protonmail.com
BM: BM-2cUvL7bCPmMZc7QonNfrdLQesmpxX9Sr53
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
и другие...

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 15 июня 2018:
Расширение: .cosmos
Файлы переименовываются. 
Пример зашифрованных файлов:
LQABNZyeSJwYLh7itPaVPM6ynIVbMATrGpt0E55NJ=G4wJ3mx8zL0dMY=971mk.cosmos
BHv98Xi6gcQ4b8dVdqWNGnyAnGLpIk%2BfWyEi7ZPkPN524nRP4%2Bl7BB78cP9zphWiLhGaO%3DKevHSfkhOb0yqpQ4.cosmos
8zNgqArm1YHvMnZMVGHipXZdmDkpuqKTVzFCsxKJI6iIk6rVPBZInAPMheDqNpqZdH%2B%3DcIMnSEPWReSd.cosmos
Email: mark.support@protonmail.com
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT

➤ Содержание записки:
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
6A02000000000000***E3DD0F
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: mark.support@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
  How to obtain Bitcoins?                                                                         
 * Create a Bitcoin purse: https://blockchain.info/wallet/new 
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click             
   'Buy bitcoins', and select the seller by payment method and price:                             
   https://localbitcoins.com/buy_bitcoins   (Visa/MasterCard, Perfect Money, WU etc.)
 * Also you can find other places to buy Bitcoins and beginners guide here:                       
    http://www.coindesk.com/information/how-can-i-buy-bitcoins                                  
 Attention!                                                                                       
 * Do not rename encrypted files.                                                                 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price            
   (they add their fee to our) or you can become a victim of a scam. 

Статус: Файлы можно дешифровать. 

Обновление от 19-20 июня 2018:
В июне 2018 злоумышленники, распространяющие шифровальщики семейства Scarab, обновили основной крипто-конструктор. 
В предыдущих версиях Scarab-шифровальщиков был Trojan.Encoder.18000 (по классификации Dr.Web). Файлы можно было дешифровать. 
В новых версиях файл шифровальщика детектируется уже как Trojan.Encoder.25574 (по классификации Dr.Web). 
Статус: Файлы не дешифруются при тех же условиях. 

Внимание! Файлы зашифрованные новые версиями шифровальщика могут быть расшифрованы, если шифрование было прервано. Продолжением Scarab-Osk являются Scarab-Bomber и некоторые последующие версии. См. выше "Историю семейства". 



Обновление от 14 января 2019:
Топик на форуме >>
Расширение: .frogo
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
BTC: 1HyasSC2VifTZo7YkUNn33udnWXw3Ffq7T
Email: frogo_my_frends@india.com
BM-2cVYzZcdhqApxNtp9te4N5jKHraYAmG7vv

➤ Содержание записки:
=============FROGO_RANSOMWARE=============
YOUR FILES ENCRYPTED!
Your personal id
6A02000000000000***A5FB00
Your documents, photos, databases, save games and other important data were encrypted.
Data recovery requires a decryptor.
To receive the decryptor, you should send an email to the email address frogo_my_frends@india.com.
In the letter, enter your personal ID (See at the beginning of this document).
If within 48 hours there will be no payment your files start to be deleted without a return of the not recovery !! 
2-6 files will be deleted!!! 
If within 90 hours there will be no payment all your data will be irretrievably removed !!
If I can not connect through the mail, I can not
 * Register on the site http://bitmsg.me (Online sending service Bitmessage)
 * Write an email to BM-2cVYzZcdhqApxNtp9te4N5jKHraYAmG7vv With your e-mail and
Personal id
Next, you pay the cost of the decryptor.price check write on mail frogo_my_frends@india.com .
If you do not have bitocoins
 * Create a wallet Bitcoin: https://blockchain.info/ru/wallet/new
 * Get Crypto Currency Bitcoin:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard)
   https://en.bitcoin.it/wiki/Bitcoin (What is bitcoin)
 *= wallet 1HyasSC2VifTZo7YkUNn33udnWXw3Ffq7T
When the money transfer is confirmed, you will receive a file decryption for your computer.
After starting the decryption program all your files will be restored.
Attention!
 * Do not try to uninstall the program or run antivirus software
 * Attempts to self-decrypt the files will lead to the loss of your data
 * Decoders of other users are incompatible with your data, since each user
Unique encryption key
=======================================

Обновление от 28 мая 2019:
Расширение: .frogo
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: frogo_my_frend@protonmail.com
BTC: 1HyasSC2VifTZo7YkUNn33udnWXw3Ffq7T

➤ Содержание записки:
=============================FROGO_RANSOMWARE=============================
YOUR FILES ENCRYPTED!
Your personal id
6A02000000000000***AEC003
Your documents, photos, databases, save games and other important data were encrypted.
Data recovery requires a decryptor.
To receive the decryptor, you should send personal ID an email to the email address frogo_my_frend@protonmail.com
In the letter, enter your personal ID (See at the beginning of this document).
If within 48 hours there will be no payment your files start to be deleted without a return of the not recovery !! 
2-6 files will be deleted!!! 
If within 90 hours there will be no payment all your data will be irretrievably removed !!
* With your e-mail  frogo_my_frend@protonmail.com
Personal id
If you do not have bitocoins
 * Create a wallet Bitcoin: https://blockchain.info/ru/wallet/new
 * Get Crypto Currency Bitcoin:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard)
   https://en.bitcoin.it/wiki/Bitcoin (What is bitcoin)
 * wallet 1HyasSC2VifTZo7YkUNn33udnWXw3Ffq7T
When the money transfer is confirmed, you will receive a file decryption for your computer.
After starting the decryption program all your files will be restored.
Attention!
 * Do not try to uninstall the program or run antivirus software
 * Attempts to self-decrypt the files will lead to the loss of your data
 * Decoders of other users are incompatible with your data, since each user
Unique encryption key
=============================================================================

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
Или прочтите инфу по ссылке. Мой перевод рядом. 
Or ask for help using this link. My translation beside.

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 

 Thanks: 
 Emmanuel_ADC-Soft
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Magician

Magician Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.033 BTC, чтобы вернуть файлы. Оригинальное название: Magician и Magician RSWware. На файле написано x1609y.exe. Разработчик подписался как: The Magician

© Генеалогия: EDA2 >> Stolich >> Magician

К зашифрованным файлам добавляется расширение .magic

Активность этого крипто-вымогателя пришлась на вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
You have been attacked by the Magician RSWare, your Personal Identifier is ***  if you lose it - any chance of getting your data is flushed in the toilet

Перевод записки на русский язык:
Вы были атакованы Magician RSWare, ваш персональный идентификатор *** если вы его потеряли - шанс вернуть ваши данные смыт в туалете



Имеется также некая записка в отдельном сообщении.

Содержание сообщения:
"gold is 1 part mercury and 3 parts sulfur", "msil.jabir by alcopaul"

Перевод на русский язык:
"золото - 1 часть ртути и 3 части серы", "msil.jabir by alcopaul"


Подробная информация есть на веб-страницах вымогателей: 

Содержание текста со скриншотов: 
Feel the Wrath of the Magician
Now make me rich!
Send 0.033 BTC to 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
Use any service for sending the bitcoin
Also, please email me after your have completed payment with your bitcoin address: magicman22@protonmail.ch
---
Now, Here are the steps to getting your data back!
1. Send 0.033 Bitcoin to the following bitcoin address:
2. Once you have sent the payment send an email to magicman22@protonmail.ch with the following: This Code: WIN30I and your bitcoin address
3. Have your files unlocked within the same hour!
If you should have any trouble making payment please send us an email to magicman22@protonmail.ch any begging to unlock files without payment will be ignored.
A SERIOUS WARNING!! ALL FILES WILL BE AUTOMATICALLY LOST FOREVER IF PAYMENT IS NOT MADE WITHIN 24 HOURS!!
How to buy Bitcoin if you never have before!
1. Create a bitcoin wallet with any provider (free) - blockchain.info is the best one
2. Buy bitcoin from any exchange or from bitcoin.com.au if you are in Australia. - once the bitcoin is sent to your wallet, you
will be able to send it to the address provided. 
Here are some helpful links for buying bitcoin or just google it!
xxxx://fortune.com/2018/01/03/bitcoin-buy-how-to-cryptocurrency/
xxxxs://bitcoin.com.au/
The FBI says to just pay the ransom! Google It!
I use use santization to prevent XSS attacks to servers
I reset the dates to 1st January 1999 of all the files
I use RSA 4096 and AES 256 (okay, doesn't matter but still
I also cause much more crypting (encrypting D:, E: and F:)
Regards,
The Magician
---
Welcome!
This is where the Magician Ransomware has been hosted :)
If you are a victim, click here

Перевод текста на русский язык: 
Почувствуйте Гнев Мага
Теперь сделайте меня богатым!
Отправьте 0.033 BTC на 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
Используйте любой сервис для отправки биткоина
Кроме того, напишите мне на email после того, как вы завершили оплату сj своего биткоин-адреса: magicman22@protonmail.ch
---
Теперь, вот шаги по возврату ваших данных!
1. Отправьте 0.033 биткоина на следующий биткоин-адрес:
2. После того как вы отправили платеж, отправьте email по адресу magicman22@protonmail.ch со следующим: Этот код: WIN30I и ваш биткоин-адрес
3. Разблокируйте файлы в течение одного часа!
Если у вас возникнут какие-то проблемы с оплатой, отправьте нам письмо по адресу magicman22@protonmail.ch. Просьба разблокировать файлы без оплаты будет проигнорирована.
СЕРЬЕЗНОЕ ПРЕДУПРЕЖДЕНИЕ! ВСЕ ФАЙЛЫ БУДУТ АВТОМАТИЧЕСКИ ПОТЕРЯНЫ НАВСЕГДА, ЕСЛИ ОПЛАТА НЕ СДЕЛАНА ЗА 24 ЧАСА !!
Как купить биткоин, если у вас никогда не было раньше!
1. Создайте биткоин-кошелек с любым провайдером (бесплатно) - blockchain.info - лучший
2. Купите биткоин с любого обмена или с bitcoin.com.au, если вы находитесь в Австралии. - как только биткоин отправится на ваш кошелек, вы
сможет отправить его на указанный адрес.
Вот некоторые полезные ссылки для покупки биткоина или погуглите!
xxxx://fortune.com/2018/01/03/bitcoin-buy-how-to-cryptocurrency/
xxxxs://bitcoin.com.au/
ФБР говорит, что просто заплатите выкуп! Погуглите это!
Я использую санитизацию для предотвращения XSS-атак на серверы
Я возвращаю даты до 1 января 1999 года на всех файлов
Я использую RSA 4096 и AES 256 (ок, не имеет значения, но все равно
Я также делаю большее шифрование (шифрование D:, E: и F :)
С Уважением,
Маг
---
Добро пожаловать!
Именно здесь был запущен Magician Ransomware :)
Если вы жертва, нажмите здесь

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt
x1609y.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
C2: xxxxs://magicman22.co.nf/panel2020
Email: magicman22@protonmail.ch
BTC: 1F1tAaz5x1HUXrCNLbtMDqcw6o5GNn4xqX
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

JosepCrypt

JosepCrypt Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: нет данных. На файле написано: drweb32.exe. Среда разработки: Visual Studio 2015. Файл проекта называется: FullStart.pdb

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .josep

Активность этого крипто-вымогателя пришлась на конец апреля - вторую половину мая 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: RECOVERY.txt

Содержание записки о выкупе:
A l l   y o u r   f i l e s   a r e   e n c r y p t e d .   I f   y o u   w a n t   t o r e c o v e r t h e y ,   w r i t e   m e   t o   j o s e p n i v e r i t o @ a o l .   c o m  Y o u   h a v e   a   5   d a y s   Y O U R   K E Y :   *****
---
All your files are encrypted. If you want to recover they, write me to josepniverito@aol.com
You have a 5 days
YOUR KEY: *****

Перевод записки на русский язык:
Все ваши файлы зашифрованы. Если вы хотите восстановить их, напишите мне на josepniverito@aol.com
У вас есть 5 дней 
ВАШ КЛЮЧ: *****

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Добавляется в Автозагрузку Windows и показывает записку о выкупе RECOVERY.txt
Собирает информацию об установленных почтовых клиентах. 

Список файловых расширений, подвергающихся шифрованию:
.000, .001, .002, .acl, .aif, .aspx, .automaticDestinations-ms, .bin, .bla, .blf, .bmp, .cab, .chk, .contact, .Crwl, .cs, .csc, .css, .customDestinations-ms, .customUI, .DAT, .dat, .db, .decTest, .def, .DeskLink, .DIA, .DIC, .dll, .doc, .docx, .dotm, .dotx, .emf, .enc, .eps, .etl, .exe, .feed-ms, .feedsdb-ms, .fs, .fsc, .gif, .gthr, .h, .H1D, .H1H, .H1Q, .H1W, .hds, .htm, .html, .HxD, .HxH, .hxl, .hxn, .HxW, .icc, .icns, .ico, .inf, .ini, .jpg, .jrs, .js, .Lck, .lib, .library-ms, .lnk, .log, .lst, .MAPIMail, .mp3, .msg, .mydocs, .obi, .oeaccount, .one, .onecache, .onetoc2, .pat, .pbk, .pck, .pdf, .pem, .php, .png, .pst, .py, .pyc, .pyd, .pyo, .pyw, .regtrans-ms, .rtf, .sample, .sdf, .sdi, .searchconnector-ms, .sec, .sh, .Targets, .tcl, .terms, .theme, .tm, .tmp, .trx_dll, .txt, .url, .uue, .vbs, .vdm, .wer, .wim, .wma, .wmdb, .wmf, .wmv, .wpl, .wtv, .xbm, .xls, .xlsx, .xltx, .xml, .xpm, .ZFSendToTarget (128 расширений в этом списке) ...

Это документы и шаблоны MS Office, OpenOffice, PDF, текстовые файлы, базы данных, веб-страницы, фотографии, музыка, видео, файлы образов, архивы, файлы приложений Microsoft Windows, прочие файлы, в том числе файлы без расширений. 

Файлы, связанные с этим Ransomware:
RECOVERY.txt
drweb32.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: josepniverito@aol.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 мая 2018:
Пост на форуме >>
Пост в Твиттере >>
Расширение: .karne
Email: karnel.fikol@aol.com

Записка о выкупе: RECOVERY.txt
Содержание записки о выкупе: 
All your files are encrypted. If you want to recover they, write me to karnel.fikol@aol.com
You have a 5 days
YOUR KEY: AchTJSWQ78PhBCddNDf9PZtEdQvEcNf3s5pk7D***

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as JosepCrypt)
 Write-up, Topic of Support
 🎥 Video review

 - Видеообзор от CyberSecurity GrujaRS

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.