Scarab-Bin

Scarab-Bin Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Написан на Delphi. Группа вымогателей, распространяющая эту версию, ранее распространяла RSAUtil Ransomware. Смотрите там записки в "Блоке обновлений" для сравнения. 

© Генеалогия: Scarab >> Scarab Family > {update encryptor} > Scarab-Bin

Это изображение — логотип статьи. Изображает скарабея с 010101.

This image is the logo of the article. It depicts a scarab with binary cloud.

К зашифрованным файлам добавляется расширение: .bin

Фактически используется составное расширение: .[mrbin775@gmx.de].bin

Файлы не переименовываются. Пример зашифрованных файлов:
SPECIFICATION.xlsx.[mrbin775@gmx.de].bin
СПЕЦИФИКАЦИЯ.xlsx.[mrbin775@gmx.de].bin


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***7DF100
For instructions for decrypting files, please write here:
mrbin775@gmx.de
mrbin775@protonmail.com
If you have not received an answer, write to me again!!

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш личный идентификатор:
6A02000000000000***7DF100
Для инструкций для дешифрования файлов, пишите сюда:
mrbin775@gmx.de
mrbin775@protonmail.com
Если вы не получили ответа, напишите мне снова!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mrbin775@gmx.de
mrbin775@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

➤ См. выше Историю семейства. 


Обновление от 11 июля 2018:
Пост в Твитере >>
Расширение: .lock
Составное расширение: .[Filesreturn247@gmx.de].lock
Email: Filesreturn247@gmx.de, Filesreturn247@protonmail.com, Filesreturn247@india.com
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT

➤ Содержание записки:
Hi friend...
    :)
For instructions on how to recovery the files, write to me:
Filesreturn247@gmx.de
Filesreturn247@protonmail.com
Filesreturn247@india.com
In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again.
Your personal ID
6A02000000000000******

Обновление от 21 июля 2018:
Расширение: .bin2
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: mrbin775@gmx.de, mrbin775@protonmail.com

➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***3FAA0F
For instructions for decrypting files, please write here:
mrbin775@gmx.de
mrbin775@protonmail.com
If you have not received an answer, write to me again!!
Топик на форуме >>


Обновление ** августа 2018:
Расширение: .danger
Составное расширение: .[Dangerbtc@gmx.de].danger
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: Dangerbtc@gmx.de
Dangerbtc@protonmail.com
Файлы не переименованы. 

Скриншот с файлами

Скриншот записки о выкупе

➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***022F603
For instructions for decrypting files, please write here:
Dangerbtc@gmx.de
Dangerbtc@protonmail.com
If you have not received an answer, write to me again!!
---
По ряду признаков, в том числе формату записки, этот вариант скорее всего относится именно к Scarab-Bin Ransomware. Но я добавил его также в статью Scarab-Danger, потому что они стали использовать расширение .danger и email со словом Danger. Но с другой стороны, нет никакой разницы для идентификации в ID Ransomware, где все варианты идентифицируются только как Scarab Ransomware. 😃

Возможно, что всё не так, как нам кажется, но уж извините, отпечатки пальцев не снимали и под микроскопом ДНК не рассматривали. Желающие называться собственным именем, пусть присылают визитные карточки с персональными данными. Оформим как полагается и поблагодарим.  

Обновление от 8 октября 2018:
Расширение: .crab
Составное расширение: .[crab7765@gmx.de].crab
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: crab7765@gmx.de

➤ Содержание записки:
Your files are now encrypted! 
Your personal identifier: 
6A02000000000000***3EBE807
For instructions for decrypting files, please write here: 
crab7765@gmx.de
crab7765@protonmail.com
If you have not received an answer, write to me again!!

Обновление от 16 октября 2018:
Расширение: .NEEDTOPAY
Записка: нет данных
Email: wannapay@airmail.cc
➤ Содержание записки:
Your files are now encrypted!
If you need your data, mail to :
wannapay@airmail.cc
Your personal ID:
6A02000000000000***35DFE00

Обновление от 11 января 2019:
Расширение: .krab
Составное расширение: .[[crab1917@gmx.de]].krab
Записка: !!! RETURN YOUR FILES !!!.TXT
Email: crab1917@gmx.de, crab1917@protonmail.com

➤ Содержание записки:
Hello Friend!
All your files are encrypted...
Your personal identifier:
6A02000000000000***78FA00
For instructions for decrypting files, please write here: 
crab1917@gmx.de
crab1917@protonmail.com
Be sure to include your identifier in the letter!
If you have not received an answer, write to me again!!


Обновление от 28 января 2019:
Топик на форуме >>
Расширение: .[decrypt2019@gmx.de].crypt
Записка: RECOVER ENCRYPTED FILES.TXT
Email: decrypt2019@gmx.de
decrypt2019@protonmail.com

➤ Содержание записки:
Hello!
Your files are now encrypted! 
Your personal identifier:
6A02000000000000***605C807
Need to recover all files? and do you need a guarantee?
Write here:
decrypt2019@gmx.de
decrypt2019@protonmail.com
If you have not received an answer, write to me again!!


Обновление от 25 февраля 2019:
Расширение: .[decrypt2019@gmx.de].crypt2019
Записка: RECOVER ALL FILES.TXT
Email: decrypt2019@gmx.de, decrypt2019@protonmail.com

➤ Содержание записки: 
Hello!
Your files are now encrypted! 
Your personal identifier:
+4IAAAAAAA***Jvs4l4l1lw
Need to recover all files? and do you need a guarantee?
Write here:
decrypt2019@gmx.de
decrypt2019@protonmail.com
If you have not received an answer, write to me again!!


Обновление от 6 марта 2019: 
Пост в Твиттере >>
Расширение: .[crab2727@gmx.de].gdcb
Топик на форуме >>
Записка: GDCB-DECRYPT.TXT
Email: crab2727@gmx.de

➤ Содержание записки: 
Hi..
Your files are now encrypted!
Your personal identifier:
+4IAAAAAAAA***TcvMZPuAM
Need to recover all files? and do you need a guarantee?
Write here:
crab2727@gmx.de
crab2727@protonmail.com
If you have not received an answer, write to me again!!

Обновление от 25 апреля 2019:
Пост на форуме >>
Топик на форуме >>
Расширение: .[zoro4747@gmx.de].zoro
Записка: !!! RESTORE DATA !!!.TXT
Email: zoro4747@gmx.de, zoro4747@protonmail.com

➤ Содержание записки: 
Hi..
Your files are now encrypted! 
Your personal identifier:
+4IAAAAAAA***7eyNyQA
Need to recover all files? and do you need a guarantee?
Write here:
zoro4747@gmx.de
zoro4747@protonmail.com
To get an answer - always write to two mails at the same time!!
If you have not received an answer, write to me again!!

Обновление от 5 мая 2019:
Расширение: .Navi
Записка: HOW TO RESTORE INFORMATION.TXT
Email: naviteam@airmail.cc, naviteam@aol.com

➤ Содержание записки:
Hello! To decrypt your files, send your personal ID to next e-mail addreses:
naviteam@airmail.cc
naviteam@aol.com
Do not try to decrypt files by yourself to avoid damage of files!!!
Your personal ID:
+4IAAAAAAAA***TXLSrh4Pk

Обновление от 14 мая 2019:
Топик на форуме >>
Расширение: .Oops
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: dec_helper@aol.com, datarecovery@airmail.cc
➤ Содержание записки:
All your files are encrypted!
To return the files, write to the mail:
dec_helper@aol.com
datarecovery@airmail.cc
In the letter, specify your ID and attach several files for decryption.
Attempts to recover files, destroy them forever!
Your personal ID:
+4IAAAAAAA***5JQs9Jls

Обновление от 19 июля 2019:
Расширение: .{Help557@cock.li}.exe
Записка: !!! RESTORE YOUR FILES !!!.TXT
Email: Help557@cock.li

➤ Содержание записки:
Hello friend ... =)
All your files do not work, because they are encrypted.
To decrypt the files write me a mails: 
Help557@cock.li
You must specify this personal identifier (ID):
6A02000000000000***54D951F
If you do not receive an answer, write to me again, write at the same time to three mails))


Обновление от 4 августа 2019:
Топик на форуме >>
Пост на форуме >>
Расширение: .{Help557@gmx.de}.exe
Записка: !!! RESTORE YOUR FILES !!!.TXT
Email: Help557@gmx.de
Help557@protonmail.com
Результаты анализов: VT + VMR

➤ Содержание записки: 
Hello my friend ... =)
All your files do not work, because they are encrypted.
To decrypt the files write me a mails:
Help557@gmx.de
Help557@protonmail.com
You must specify this personal identifier (ID):
+4IAAAAAAADDD***HBCNlw
If you do not receive an answer, write to me again, write at the same time to three mails))


Обновление от 24 ноября 2019:
Расширение: .[crypto7892@gmx.de].crypto
Записка: !!! RETURN YOUR FILES !!!.TXT
Email: crypto7892@gmx.de
crypto7892@protonmail.com

➤ Содержание записки: 
Hi..
Your files are now encrypted! 
Your personal identifier:
+4IAAAAAAA***
Need to recover all files? and do you need a guarantee?
Write here:
crypto7892@gmx.de
crypto7892@protonmail.com
To get an answer - always write to two mails at the same time!!
If you have not received an answer, write to me again!!

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
Или прочтите инфу по ссылке. Мой перевод рядом. 
Or ask for help using this link. My translation beside.

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 

 Thanks: 
 (victims in the topics of support)
 Andrew Ivanov, Alex Svirid
 Michael Gillespie, Emmanuel_ADC-Soft
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.