XeroWare

XeroWare Ransomware

XeroWare Ransom 1.2

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: XeroWare Ransom 1.2. На файле написано: XeroWare.exe.

© Генеалогия: HiddenTear >> XeroWare

К зашифрованным файлам добавляется расширение: .XERO

  Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: XeroWare_ReadME.txt

Содержание записки о выкупе:
Your files have been encrypted and your computer has been infected with XeroWare Ransom 1.2.
Q&A:
1) What Should I do?
A: Pay the specific amount we are asking from you in order to decrypt your files.
2) Can i try to remove the malware?
A: If you try anything your files will be removed, YOU have been WARNED.
3) How can i pay in order to decrypt my files ?
A: Copy the provided btc address and send the money.
4) How do i verify my payment?
A: You provide the payment transaction ID and you click confirm transaction.
5) What will happen if the payment transaction is not valid?
A: If you try to provide anything alike to fake or not valid your files will be destroyed permanetly.
6) I have paid and verified my transaction how do i decrypt my files?
A: If you have paid and verified your transaction just simply click the decrypt button and everything will revert back to normal.
You have 96 hours in order to complete that task, otherwise your files will be destroyed.
Time has already started...

Перевод записки на русский язык:
Ваши файлы были зашифрованы и ваш компьютер был заражен XeroWare Ransom 1.2.
Вопрос & Ответ:
1) Что мне делать?
О: Оплатите определенную сумму, которую мы просим у вас, чтобы расшифровать ваши файлы.
2) Могу ли я попытаться удалить вредоносное ПО?
A: Если вы попробуете что-то, ваши файлы будут удалены, Вы были ПРЕДУПРЕЖДЕНЫ.
3) Как я могу заплатить, чтобы расшифровать мои файлы?
A: Скопируйте предоставленный адрес btc и отправьте деньги.
4) Как я могу подтвердить свой платеж?
A: Вы предоставляете ID транзакции платежа и вы нажимаете подтверждение транзакции.
5) Что произойдет, если транзакция платежа недействительна?
A: Если вы пытаетесь предоставить что-то типа поддельное или недействительное, ваши файлы будут уничтожены навсегда
6) Я оплатил и подтвердил свою транзакцию, как я могу расшифровать мои файлы?
A: Если вы оплатили и подтвердили свою транзакцию, просто нажмите кнопку дешифрования, и все вернется в нормальное русло.
У вас есть 96 часов, чтобы выполнить эту задачу, иначе ваши файлы будут уничтожены.
Время уже пошло...

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
XeroWare_ReadME.txt
XeroWare.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab-Recovery

Scarab-Recovery Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Написан на Delphi.

© Генеалогия: Scarab >> Scarab Family > {update encryptor} > Scarab-Recovery

Это изображение — логотип статьи. Изображает скарабея с диском и глобусом.

This image is the logo of the article. It depicts a scarab with a disk recovery and a globe.

К зашифрованным файлам добавляется расширение: .BD.Recovery

Файлы не переименовываются. Пример зашифрованных файлов:
Instruct.xml.BD.Recovery
My_documents.doc.BD.Recovery


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER  FILES.TXT

Содержание записки о выкупе:
=======================================================================
                         All your files are encrypted!!!!!!
=======================================================================
Your documents, photos, databases and other important data were encrypted.
Data recovery requires a decryptor.
To receive the decryptor, you should send an email to the email address:
bd.recovery@aol.com or bd.recovery@india.com
In the letter, indicate your personal identifier (see at the end of the document).
Then you will receive further instructions
Attention!
  * Do not attempt to uninstall the program or run antivirus software
  * Attempts to self-decrypt files will result in the loss of your data
=======================================================================
----------------------------------------------------------------------------------
6A02000000000000***95EA03
----------------------------------------------------------------------------------

Перевод записки на русский язык:
=======================================================================
Все ваши файлы зашифрованы !!!!!!
=======================================================================
Ваши документы, фото, базы данных и другие важные данные были зашифрованы.
Для восстановления данных требуется дешифратор.
Чтобы получить дешифратор, вы должны отправить email на email-адрес:
bd.recovery@aol.com или bd.recovery@india.com
В письме укажите свой личный идентификатор (см. в конце документа).
Затем вы получите дополнительные инструкции
Внимание!
   * Не пытайтесь удалить программу или запустить антивирусную программу
   * Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
=======================================================================
----------------------------------------------------------------------------------
6A02000000000000***95EA03
----------------------------------------------------------------------------------

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bd.recovery@aol.com
bd.recovery@india.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 28 июля 2019:
Расширение: .rsalive
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: recoverysupp@aol.com
BTC: 12GFeyrq3RgeLfGSxs3qWn7RnUQW14Ndda
➤ Точно неизвестно, какая группа запустила этот вариант, но ключевым словом послужило слово "recovery" в тексте и логине email. 

➤ Содержание записки: 
******************************************************************************************
                          Your Files are Now Encrypted! 
******************************************************************************************
All your files have been encrypted due to a security problem with your PC.
Now you need to buy a Recovery Key! Recovery Key price is ~ $200 in Bitcoins.
If you are ready to buy a Recovery Key -> Send (0.025) Bitcoin Wallet.
Bitcoin Wallet -> 12GFeyrq3RgeLfGSxs3qWn7RnUQW14Ndda (0.025)
After that write to us on email address: recoverysupp@aol.com
After payment we will send you the decryption tool that will decrypt all your files. 
You should send us email with your Personal Identifier.
******************************************************************************************
                           Free Decryption as Guarantee!
******************************************************************************************
Free decryption as guarantee!
Before paying you can send us up to 1 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins? 
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 
   'Buy bitcoins', and select the seller by payment method and price: 
   https://localbitcoins.com/buy_bitcoins 
 * Also you can find other places to buy Bitcoins and beginners guide here:   
   http://www.coindesk.com/information/how-can-i-buy-bitcoins   
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.  
******************************************************************************************
Your Personal Identifier:
pAQAAAAAAAB***Eloj3skM
******************************************************************************************

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
Или прочтите инфу по ссылке. Мой перевод рядом. 
Or ask for help using this link. My translation beside.

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 

 Thanks: 
 (victims in the topics of support)
 Andrew Ivanov, Emmanuel_ADC-Soft
 Michael Gillespie, Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

BlackFireEye

BlackFireEye Ransomware

BlackRansomwareFireeye

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: BlackRansomwareFireeye. На файле написано: нет данных.

© Генеалогия: AresCrypt >> BlackFireEye, Cyspt Ransomware

К зашифрованным файлам добавляется расширение: .jes


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Содержание текста о выкупе:
What is happening?
Well, Your important files are encrypted by this Ransomware modified by Fireeye.
The documents more importants like photos, videos, databases, and other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recover your files, but do not waste your time. You will not be able to recover your files without our decryption service.
Is it possible to recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time. You can decrypt some of your
files for free.Try now by clicking <Decrypt>. But if you want to decrypt all your files, you need to pay. You only have 3 days to submit the payment. After that the price will be doubled. Also, if you don't pay in 7 days, you won't be able to recover your files forever.
How Do I Pay?
Payment is accepted in Bitcoin and ZCash only. For more information, click <About bitcoin>. Please check the current price of Bitcoin and buy some bitcoins. For more information, click <How to buy bitcoins>.
And send the correct amount to the address specified in this window. After your payent, click <Check Payment>. Once the payment is checked, you can start decrypting your files immediately.
Contact
If you need our assistance, send a message by clicking <Contact Us>. We strongly recommend you to not remove this software, and disable your anti-virus for a while, until you pay and the payment gets processed. If your anti-virus gets updated and removes this software automatically, it will not be able to recover your files even if you pay!

Перевод текста на русский язык:
Что происходит?
Ну, ваши важные файлы зашифрованы этим Ransomware, измененным Fireeye.
Документы, более важные, такие как фото, видео, базы данных и другие файлы, недоступны, т.к. они были зашифрованы.
Возможно, вы ищете способ восстановить свои файлы, но не тратьте свое время. Вы не сможете восстановить файлы без нашей службы расшифровки.
Можно ли восстановить Мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас мало времени. Вы можете расшифровать некоторые из своих файлы бесплатно. Попробуйте сейчас, нажав <Decrypt>. Но если вы хотите расшифровать все ваши файлы, вам нужно заплатить. У вас есть только 3 дня отправить платеж. После этого цена будет удвоена. Кроме того, если вы не платите за 7 дней, вы не сможете восстановить свои файлы никогда.
Как мне оплатить?
Оплата принимается только в биткоине и ZCash. Для получения дополнительной информации нажмите <About bitcoin>. Пожалуйста, проверьте текущую цену биткоина и купите несколько биткоинов. Для получения дополнительной информации нажмите <How to buy bitcoins>.
И отправьте правильную сумму по адресу, указанному в этом окне. После вашего платежа нажмите <Check Payment>. Как только платеж будет проверен, вы можете сразу начать дешифрование файлов.
Контакт
Если вам нужна наша помощь, отправьте сообщение, нажав <Contact Us>. Мы очень рекомендуем вам не удалять эту программу и на некоторое время отключить антивирус, пока вы не заплатите, и платеж не будет обработан. Если ваш антивирус обновится и автоматически удалит эту программу, она не сможет восстановить ваши файлы, даже если вы заплатите!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
BlackRansomwareFireeye.exe - файл вымогателя
CrackerSocialNetwork V3.5.exe - файл дроппера
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
https://ipinfo.io/ - сервис используется
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ дроппера >>
𝚺  VirusTotal анализ пейлоада >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as AresCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

PoisonFang

PoisonFang Ransomware

(шифровальщик-вымогатель, Eduware)

Translation into English

Этот крипто-вымогатель создан для исследовательских целей и может шифровать данные, а затем сообщить условные требования о том, как вернуть файлы. Оригинальное название: PoisonFang. На файле написано: Poisonfang - A C# Ransomware, Ransomware Project Spring 18 и PoisonfangDropper.exe. Для x64-систем Windows. Разработчики: Omer Kohen, Tal Porat (Израиль). 

© Генеалогия: выясняется.

Изображение из ресурсов (значок файла)

Этимология названия:
PoisonFang (англ.) — ядовитый зуб (клык). 

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Запиской с требованием выкупа выступает следующий экран.

Содержание текста со скриншота:
THIS SOFTWARE IS FOR ACADEMIC RESEARCH PURPOSES ONLY!
Poisonfang was developed as part of a ransomware project at the Technion Israel Institute of Technology

Перевод текста на русский язык:
ЭТА ПРОГРАММА ТОЛЬКО ДЛЯ АКАДЕМИЧЕСКИХ ИССЛЕДОВАНИЙ!
Poisonfang был разработан в рамках Ransomware-проекта в Технион, Израильском технологическом институте

Технические детали

Сообщается, что это некий академический (образовательный проект). 
После некоторой доработки может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. 

➤ Останавливает службу "Журнал событий" и очищает журналы. 
Останавливает также ряд системных служб Windows. 

➤ Прекращает работу ряда антивирусов (Avast, Microsoft, Panda, Immunet, ESET, F-PROT, Ikarus, ClamAV и др.). 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
PoisonfangDropper.pdb - файл проекта
\P0150N\ - папка с завуалированным словом "POISON"
PoisonfangDropper.exe
PoisonfangService.exe
PoisonfangService.InstallLog
PoisonfangService.InstallState
PoisonfangUI.exe
PoisonBrowserExtractor.exe
fang.ico
Poisondrop.zip
и другие

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Windows\P0150N\PoisonfangService.exe
C:\Windows\P0150N\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://poisonfangproject.azurewebsites.net/
xxxx://victimblob.blob.core.windows.net
xxxx://192.168.56.152:2869/upnphost/udhisapi.dll?content=uuid:4f8e1a2d-3fec-4a15-86de-6f8fafe83a56
xxxx://[fe80::c8c7:a44f:142b:cf30]:2869/upnphost/udhisapi.dll?content=uuid:4f8e1a2d-3fec-4a15-86de-6f8fafe83a56
xxxx://ocsp.msocsp.com0
xxxx://www.microsoft.com/pki/mscorp/cps0
xxxx://ocsp.digicert.com0
xxxx://crl3.digicert.com/Omniroot2025.crl0=
xxxxs://webcourse.cs.technion.ac.il/236499/Spring2018
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as PoisonFang)
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab-Bin

Scarab-Bin Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Написан на Delphi. Группа вымогателей, распространяющая эту версию, ранее распространяла RSAUtil Ransomware. Смотрите там записки в "Блоке обновлений" для сравнения. 

© Генеалогия: Scarab >> Scarab Family > {update encryptor} > Scarab-Bin

Это изображение — логотип статьи. Изображает скарабея с 010101.

This image is the logo of the article. It depicts a scarab with binary cloud.

К зашифрованным файлам добавляется расширение: .bin

Фактически используется составное расширение: .[mrbin775@gmx.de].bin

Файлы не переименовываются. Пример зашифрованных файлов:
SPECIFICATION.xlsx.[mrbin775@gmx.de].bin
СПЕЦИФИКАЦИЯ.xlsx.[mrbin775@gmx.de].bin


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***7DF100
For instructions for decrypting files, please write here:
mrbin775@gmx.de
mrbin775@protonmail.com
If you have not received an answer, write to me again!!

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш личный идентификатор:
6A02000000000000***7DF100
Для инструкций для дешифрования файлов, пишите сюда:
mrbin775@gmx.de
mrbin775@protonmail.com
Если вы не получили ответа, напишите мне снова!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mrbin775@gmx.de
mrbin775@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

➤ См. выше Историю семейства. 


Обновление от 11 июля 2018:
Пост в Твитере >>
Расширение: .lock
Составное расширение: .[Filesreturn247@gmx.de].lock
Email: Filesreturn247@gmx.de, Filesreturn247@protonmail.com, Filesreturn247@india.com
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT

➤ Содержание записки:
Hi friend...
    :)
For instructions on how to recovery the files, write to me:
Filesreturn247@gmx.de
Filesreturn247@protonmail.com
Filesreturn247@india.com
In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again.
Your personal ID
6A02000000000000******

Обновление от 21 июля 2018:
Расширение: .bin2
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: mrbin775@gmx.de, mrbin775@protonmail.com

➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***3FAA0F
For instructions for decrypting files, please write here:
mrbin775@gmx.de
mrbin775@protonmail.com
If you have not received an answer, write to me again!!
Топик на форуме >>


Обновление ** августа 2018:
Расширение: .danger
Составное расширение: .[Dangerbtc@gmx.de].danger
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: Dangerbtc@gmx.de
Dangerbtc@protonmail.com
Файлы не переименованы. 

Скриншот с файлами

Скриншот записки о выкупе

➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***022F603
For instructions for decrypting files, please write here:
Dangerbtc@gmx.de
Dangerbtc@protonmail.com
If you have not received an answer, write to me again!!
---
По ряду признаков, в том числе формату записки, этот вариант скорее всего относится именно к Scarab-Bin Ransomware. Но я добавил его также в статью Scarab-Danger, потому что они стали использовать расширение .danger и email со словом Danger. Но с другой стороны, нет никакой разницы для идентификации в ID Ransomware, где все варианты идентифицируются только как Scarab Ransomware. 😃

Возможно, что всё не так, как нам кажется, но уж извините, отпечатки пальцев не снимали и под микроскопом ДНК не рассматривали. Желающие называться собственным именем, пусть присылают визитные карточки с персональными данными. Оформим как полагается и поблагодарим.  

Обновление от 8 октября 2018:
Расширение: .crab
Составное расширение: .[crab7765@gmx.de].crab
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: crab7765@gmx.de

➤ Содержание записки:
Your files are now encrypted! 
Your personal identifier: 
6A02000000000000***3EBE807
For instructions for decrypting files, please write here: 
crab7765@gmx.de
crab7765@protonmail.com
If you have not received an answer, write to me again!!

Обновление от 16 октября 2018:
Расширение: .NEEDTOPAY
Записка: нет данных
Email: wannapay@airmail.cc
➤ Содержание записки:
Your files are now encrypted!
If you need your data, mail to :
wannapay@airmail.cc
Your personal ID:
6A02000000000000***35DFE00

Обновление от 11 января 2019:
Расширение: .krab
Составное расширение: .[[crab1917@gmx.de]].krab
Записка: !!! RETURN YOUR FILES !!!.TXT
Email: crab1917@gmx.de, crab1917@protonmail.com

➤ Содержание записки:
Hello Friend!
All your files are encrypted...
Your personal identifier:
6A02000000000000***78FA00
For instructions for decrypting files, please write here: 
crab1917@gmx.de
crab1917@protonmail.com
Be sure to include your identifier in the letter!
If you have not received an answer, write to me again!!


Обновление от 28 января 2019:
Топик на форуме >>
Расширение: .[decrypt2019@gmx.de].crypt
Записка: RECOVER ENCRYPTED FILES.TXT
Email: decrypt2019@gmx.de
decrypt2019@protonmail.com

➤ Содержание записки:
Hello!
Your files are now encrypted! 
Your personal identifier:
6A02000000000000***605C807
Need to recover all files? and do you need a guarantee?
Write here:
decrypt2019@gmx.de
decrypt2019@protonmail.com
If you have not received an answer, write to me again!!


Обновление от 25 февраля 2019:
Расширение: .[decrypt2019@gmx.de].crypt2019
Записка: RECOVER ALL FILES.TXT
Email: decrypt2019@gmx.de, decrypt2019@protonmail.com

➤ Содержание записки: 
Hello!
Your files are now encrypted! 
Your personal identifier:
+4IAAAAAAA***Jvs4l4l1lw
Need to recover all files? and do you need a guarantee?
Write here:
decrypt2019@gmx.de
decrypt2019@protonmail.com
If you have not received an answer, write to me again!!


Обновление от 6 марта 2019: 
Пост в Твиттере >>
Расширение: .[crab2727@gmx.de].gdcb
Топик на форуме >>
Записка: GDCB-DECRYPT.TXT
Email: crab2727@gmx.de

➤ Содержание записки: 
Hi..
Your files are now encrypted!
Your personal identifier:
+4IAAAAAAAA***TcvMZPuAM
Need to recover all files? and do you need a guarantee?
Write here:
crab2727@gmx.de
crab2727@protonmail.com
If you have not received an answer, write to me again!!

Обновление от 25 апреля 2019:
Пост на форуме >>
Топик на форуме >>
Расширение: .[zoro4747@gmx.de].zoro
Записка: !!! RESTORE DATA !!!.TXT
Email: zoro4747@gmx.de, zoro4747@protonmail.com

➤ Содержание записки: 
Hi..
Your files are now encrypted! 
Your personal identifier:
+4IAAAAAAA***7eyNyQA
Need to recover all files? and do you need a guarantee?
Write here:
zoro4747@gmx.de
zoro4747@protonmail.com
To get an answer - always write to two mails at the same time!!
If you have not received an answer, write to me again!!

Обновление от 5 мая 2019:
Расширение: .Navi
Записка: HOW TO RESTORE INFORMATION.TXT
Email: naviteam@airmail.cc, naviteam@aol.com

➤ Содержание записки:
Hello! To decrypt your files, send your personal ID to next e-mail addreses:
naviteam@airmail.cc
naviteam@aol.com
Do not try to decrypt files by yourself to avoid damage of files!!!
Your personal ID:
+4IAAAAAAAA***TXLSrh4Pk

Обновление от 14 мая 2019:
Топик на форуме >>
Расширение: .Oops
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: dec_helper@aol.com, datarecovery@airmail.cc
➤ Содержание записки:
All your files are encrypted!
To return the files, write to the mail:
dec_helper@aol.com
datarecovery@airmail.cc
In the letter, specify your ID and attach several files for decryption.
Attempts to recover files, destroy them forever!
Your personal ID:
+4IAAAAAAA***5JQs9Jls

Обновление от 19 июля 2019:
Расширение: .{Help557@cock.li}.exe
Записка: !!! RESTORE YOUR FILES !!!.TXT
Email: Help557@cock.li

➤ Содержание записки:
Hello friend ... =)
All your files do not work, because they are encrypted.
To decrypt the files write me a mails: 
Help557@cock.li
You must specify this personal identifier (ID):
6A02000000000000***54D951F
If you do not receive an answer, write to me again, write at the same time to three mails))


Обновление от 4 августа 2019:
Топик на форуме >>
Пост на форуме >>
Расширение: .{Help557@gmx.de}.exe
Записка: !!! RESTORE YOUR FILES !!!.TXT
Email: Help557@gmx.de
Help557@protonmail.com
Результаты анализов: VT + VMR

➤ Содержание записки: 
Hello my friend ... =)
All your files do not work, because they are encrypted.
To decrypt the files write me a mails:
Help557@gmx.de
Help557@protonmail.com
You must specify this personal identifier (ID):
+4IAAAAAAADDD***HBCNlw
If you do not receive an answer, write to me again, write at the same time to three mails))


Обновление от 24 ноября 2019:
Расширение: .[crypto7892@gmx.de].crypto
Записка: !!! RETURN YOUR FILES !!!.TXT
Email: crypto7892@gmx.de
crypto7892@protonmail.com

➤ Содержание записки: 
Hi..
Your files are now encrypted! 
Your personal identifier:
+4IAAAAAAA***
Need to recover all files? and do you need a guarantee?
Write here:
crypto7892@gmx.de
crypto7892@protonmail.com
To get an answer - always write to two mails at the same time!!
If you have not received an answer, write to me again!!

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
Или прочтите инфу по ссылке. Мой перевод рядом. 
Or ask for help using this link. My translation beside.

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 

 Thanks: 
 (victims in the topics of support)
 Andrew Ivanov, Alex Svirid
 Michael Gillespie, Emmanuel_ADC-Soft
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.