Scarab-DiskDoctor Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует связаться с вымогателями по email, чтобы узнать биткоин-адрес, на который нужно заплатить выкуп в # BTC, чтобы получить декодер и вернуть файлы. Оригинальное название: DiskDoctor (по расширению). На файле написано: Local Security Authority Process.exe или что-то другое. См. генеалогию ниже. Написан на Delphi. Зашифрованные до 18 июня 2018 года файлы можно дешифровать!
© Генеалогия / Genealogy: Scarab >> Scarab Family >> Scarab-DiskDoctor-1, Scarab-DiskDoctor-2
К зашифрованным файлам добавляется расширение / Appends to encrypted files the extension:
.DiskDoctor
Названия файлов остаются прежними, не переименовываются.
Это изображение — логотип статьи. На нём скарабей с диском и стетоскопом.
This image is the logo of the article. It depicts a scarab with disk and stethoscope.
This image is the logo of the article. It depicts a scarab with disk and stethoscope.
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на начало июня 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется / Name of ransom note:
HOW TO RECOVER ENCRYPTED FILES.TXT
Содержание записки о выкупе / Contents of ransom note:
Warning all your files are encrypted !!! \ \___ / |
/- _ `-/ '
To receive the decoder, you must send an email to (/\/ \ \ /\
the email address with your personal ID: / / | ` \
O O ) / |
DiskDoctor@protonmail.com `-^--'`< '
(_.) _ ) /
In response you will receive further instructions. `.___/` /
`-----' /
ATTENTION !!! <----. __ / __ \
* Do not attempt to uninstall the program or run <----|====O)))==) \) /====
antivirus software. <----' `--' `.__,' \
* Attempts to self-decrypt files will result in the | |
loss of your data. \ /
* Decoders of other users are incompatible with your ______( (_ / \______
data, as each user has a unique encryption key. ,' ,-----' | \
`--{__________) \/
Your personal identifier:
===========================================================================================
6A02000000000000***95611F
===========================================================================================
Содержание только текста (без рисунка):
Warning all your files are encrypted !!!
To receive the decoder, you must send an email to the email address with your personal ID:
DiskDoctor@protonmail.com
In response you will receive further instructions.
ATTENTION !!!
* Do not attempt to uninstall the program or run antivirus software.
* Attempts to self-decrypt files will result in the loss of your data.
* Decoders of other users are incompatible with your data, as each user has a unique encryption key.
Your personal identifier:
6A02000000000000***95611F
Перевод записки на русский язык:
Предупреждение, что все ваши файлы зашифрованы !!!
Чтобы получить декодер, вы должны отправить email на email-адрес с личным идентификатором:
DiskDoctor@protonmail.com
В ответ вы получите дальнейшие инструкции.
ВНИМАНИЕ !!!
* Не пытайтесь удалить программу или запустить антивирусную программу.
* Попытки самостоятельно дешифровать файлы приведут к потере ваших данных.
* Декодеры других пользователей несовместимы с вашими данными, так как каждый пользователь имеет уникальный ключ шифрования.
Ваш личный идентификатор:
6A02000000000000 *** 95611F
Технические детали / Technical details
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, вредоносной рекламы, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. ➤ UAC не обходит, требуется разрешение на запуск с правами администратора.
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:
cmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP
wbadmin.exe wbadmin DELETE SYSTEMSTATEBACKUP
cmd.exe /c wmic SHADOWCOPY DELETE
WMIC.exe wmic SHADOWCOPY DELETE
cmd.exe /c vssadmin Delete Shadows /All /Quiet
vssadmin.exe vssadmin Delete Shadows /All /Quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
bcdedit.exe bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures
➤ ID содержит от 642 до 652 знаков.
Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Большинство типов файлов. Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
В результатах анализа я смог разглядеть только следующие типы файлов:
.aapp, .bat, .bin, .cab, .CAT, .cer, .CHS, .CHT, .css, .CZE, .DAN, .DEU, .dll, .doc, .docx, .ESP, .EUQ, .exe, .fdb, .FRA, .gif, .HRV, .htm, .html, .HUN, .ini, .ITA, .jpg, .JPN, .js, .KOR, .kt1, .NLD, .NOR, .pak, .pdf, .png, .POL, .pst, .PTB, .RUM, .RUS, .SKY, .SLV, .SYO, .sys, .SVE, .tmp, .TUR, .txt, .UKR, .wmv, .zip и другие.
Целевые директории (файлы в папках):
Windows
intel, nvidia
System Volume Information
All Users, AppData, Application Data
Program Files, Program Files (x86)
$RECYCLE.BIN
Целями также являются следующие элементы:
XXXX, ANUBIS, WANNACRY, DELPHIN, GAGRA, FANNY
Файлы, связанные с этим Ransomware / Files of Rw:
HOW TO RECOVER ENCRYPTED FILES.TXT
LocalSecurityAuthorityProcess.bak.exe
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%APPDATA%\Local Security Authority Process.exe
Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
См. ниже результаты анализов.
Сетевые подключения и связи / URLs, contacts, payments:
Email: DiskDoctor@protonmail.com
См. ниже результаты анализов.
Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== Дешифровщик ===
Так выглядит оригинальный дешифровщик
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Обновление от 19 июня 2018:
Обновленная версия шифровальщика.
Статус: файлы не дешифруются старым способом.
Но: Файлы можно дешифровать, если процесс шифрования был прерван.
Расширение: .DiskDoctor
Email: DiskDoctor@protonmail.com
Записка: Проблема.txt
Обновление от 20 июня 2018:
В июне 2018 злоумышленники, распространяющие шифровальщики семейства Scarab, обновили основной крипто-конструктор.
В первых версиях Scarab-DiskDoctor был Trojan.Encoder.18000 (по классификации Dr.Web). Файлы можно было дешифровать.
В последующих версиях файл шифровальщика детектируется уже как Trojan.Encoder.25574 (по классификации Dr.Web). Файлы пока не дешифруются.
Обновление от 10 сентября 2018:
Пост в Твиттере >>
Статус: Файлы можно дешифровать, если процесс шифрования был прерван.
Расширение: .mammon
Файлы не переименовываются.
Записки: HOW TO RECOVER ENCRYPTED FILES.TXT
HOW TO RECOVER ENCRYPTED FILES1.TXT
HOW TO RECOVER ENCRYPTED FILES2.TXT
Email: mammon-decrypt@protonmail.com
Обновление от 13 октября 2018:
Расширение: .DD
Записка: HOW TO RETURN FILES.TXT
Email: decoder-help@protonmail.com
Warning all your files are encrypted !!!
To receive the decoder, you must send an email to
the email address with your personal ID:
decoder-help@protonmail.com
In response you will receive further instructions.
ATTENTION !!!
* Do not attempt to uninstall the program or run
antivirus software.
* Attempts to self-decrypt files will result in the
loss of your data.
* Decoders of other users are incompatible with your
data, as each user has a unique encryption key.
Your personal identifier:
================================================
6902000000000000***B3FD00
================================================
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы в некоторых случаях можно дешифровать! Изучите моё руководство в статье SCARAB DECODER * *
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID under Scarab) Write-up, Topic of Support *
Видеообзор работы Scarab-DiskDoctor
Thanks: victims of extortion Andrew Ivanov, Emmanuel_ADC-Soft Ben Hunter ANY.RUN
© Amigo-A (Andrew Ivanov): All blog articles.
Добрый день. Наткнулся на статью когда искал сведения о шифравальщике.
ОтветитьУдалитьНовая модификация была использована еще 13.10.2018, а не 15 октября 2018.
С уважением Мирослав
Спасибо. Исправлю. Мне прислали образец 15-го.
Удалитьdecoder-help@protonmail.com почту заблочиои, ишу уже неделю этого хакера и ваше безуспешно. ВОзможно у вас есть новая информация по нему ?
ОтветитьУдалитьНа данный момент нет обновлений.
Удалить