Scarab-Bomber Ransomware
(шифровальщик-вымогатель) (первоисточник)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256-CBC, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. Написан на Delphi. На файле написано: Where Million. Разработчики подписались как DataArt.
Это изображение — логотип статьи. На нём скарабей с бомбой.
This image is the logo of the article. It depicts a scarab with bomb.
This image is the logo of the article. It depicts a scarab with bomb.
К зашифрованным файлам добавляется расширение / Appends to encrypted files the extensions: .bomber
Файлы вместе с расширениями переименовываются до неузнаваемости с помощью Base64. Files with extensions are renamed beyond recognition with Base64.
Пример зашифрованного файла / Sample of encrypted file:
3gMHTQY3zqxKPOqLwdIr4rktCv4hMcGKYn5G0Bhyk=wJA.bomber
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.
Активность этого крипто-вымогателя пришлась на середину июня 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру. Эта вредоносная кампания началась вечером 18 июня около 22 часов.
Позже, в июле, была запущена вредоносная кампания против остального мира, записка стала англоязычной. Смотрите информацию ниже статьи, в блоке обновлений.
Записка с требованием выкупа называется / Name of ransom note:
КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
Содержание записки о выкупе / Contents of ransom note:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный идентификатор
6A02000000000000***242FB01
Ваши документы, фотографии, базы данных и другие важные данные были зашифрованы.
Для восстановления данных необходим дешифровщик.
Чтобы получить дешифровщик, следует отправить письмо на электронный адрес soft2018@tutanota.com (soft2018@mail.ee, newsoft2018@yandex.by)
В письме укажите Ваш личный идентификатор (см. в начале данного документа).
Если связаться через почту не получается
* Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)
* Напишите письмо на адрес BM-2cWp6BhKATEHEyfi1CGG4k3RuquXjaGJXB с указанием Вашей почты и
личного идентификатора
Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес
Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.
Если у Вас нет биткойнов
* Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
* Приобретите криптовалюту Bitcoin:
https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
* Отправьте требуемое количество BTC на указанный в письме адрес
Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Гарантия расшифровки файлов.
Перед оплатой вы можете отправить нам до 3х файлов для бесплатной расшифровки.
Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.
Внимание!
* Не пытайтесь удалить программу или запускать антивирусные средства
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования
уже сделан.
Технические детали / Technical details
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений (например, о быстром обогащении, увеличении прибыли или продаж и пр.), обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений (Adobe и пр.), перепакованных и заражённых инсталляторов. В частности используется известный приём использования компонентов легитимного и вредоносного ПО (TeamViewer и TeamBot/TeamSpy). Файл также может маскироваться под Acrobat Reader DC. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
⛳ Для удаленного проникновения злоумышленниками используются приложения Windows, а также пропатченное злоумышленниками ПО TeamViewer (в основном, "древняя" 6-я версия), а также LiteManager, Ammy Admin, RAdmin. Причем функционал этих программ может быть использован злоумышленниками особым способом. Описание в статье от 7 июня 2017 года о TeamSpy.
Также портативные версии других легитимных или свободно распространяемых программ (7-ZipPortable, Chrome Portable, Opera Portable, Skype Portable) могут содержать вредоносные файлы, выполняющие главные или вспомогательные функции. На скриншоте ниже показано, что файл cryptbase.dll в составе 7-ZipPortable является вредоносным и используется злоумышленниками для вредоносных действий.
Пример вредоносного файла в комплекте 7-ZipPortable. Результаты анализа.
Не доверяйте сайтам, которые предлагают скачать портативные версии программ, особенно тех, которые в обычной версии небесплатны!!!
Изучите мою статью Бесплатные программы и майнинг криптовалюты. Там есть подробное объяснение и предлагает надежное решение для тех, кто не может или не хочет покупать программы за их полную стоимость.
✋ Чтобы надёжно определять вектор проникновения в компьютерную сеть предприятий и организаций, а также впредь исключить возможность такого проникновения, необходимо использовать документированный список программного обеспечения. По большому счёту необходимо изучить и применить в дело Комплекс мероприятий для защиты от Ransomware.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки, а затем выключает компьютер, используя команды:
cmd.exe/c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0
cmd.exe/c wmic SHADOWCOPY DELETE
cmd.exe/c vssadmin Delete Shadows /All /Quiet
cmd.exe/c bcdedit /set {default} recoveryenabled No
cmd.exe/c bcdedit /set {default} bootstatuspolicy ignoreallfailures
➤ Это версия активно прикрывается легитимными файлами и использует их названия для создания ярлыков на запуск вредоноса.
Вредонос прописывается в Автозагрузку Windows, отставляя на Рабочем столе ярлыки на якобы легитимные файлы, вроде HQ-Realtek АС 3.9.4.738.lnk или Windows Update Manager.lnk
➤ UAC не обходит. Теневые копии файлов удаляются, если UAC отключен.
Подробности о проникновении и захвате управления ПК
Загружаемый файл троянца TeamBot — это самораспаковывающийся RAR-архив. Из него в директорию %TEMP%\UeIqC\ извлекаются компоненты ПО TeamViewer (устаревшая 6-я версия), вредоносная библиотека TV.dll и конфигурационный файл config.bin. После распаковки архива происходит автоматически запускается TeamViewer.exe, а вредоносная библиотека TV.dll методом DLL hijacking получает управление. Далее она расшифровывает конфигурационный файл config.bin и извлекает из него адрес C&C-сервера и параметр "comment", использующийся злоумышленниками, как идентификатор вредоносной кампании.
Подробности о шифровании файлов
При запуске шифровальщика на ПК генерируется пара сессионных ключей RSA, приватный сессионный ключ шифруется содержащимся в теле зловреда публичным ключом RSA злоумышленников. Данная информация затем записывается в файл с требованиями злоумышленников.
Файлы шифруются по алгоритму AES-256-CBC. Ключ и вектор AES для каждого файла генерируются перед шифрованием, шифруются сессионным публичным ключом RSA и записываются в конец зашифрованного файла.
В зависимости от указанной конфигурации, шифровальщики семейства Scarab также могут шифровать имена файлов, но в некторых итерациях имена не шифруются.
Scarab-Bomber шифрует имя файла алгоритмом RC4, используя в качестве ключа строку, содержащую зашифрованные ключ и вектор AES. Полученный буфер будет закодирован алгоритмом Base64 с нестандартным алфавитом.
Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Большинство файлов. Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware / Files of Rw:
КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
osk.exe
update_w32.exe
<random>.exe - случайное название
<legitimate_program>.lnk - ярлык на вредонос
<random>.dll
taskhostjf.exe
msoobe.exe - переименованный файл TeamViewer
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
%APPDATA%\osk.exe
C:\Users\Administrator\AppData\Roaming\osk.exe
C:\Users\User_name\AppData\Roaming\SysplanNT\update_w32.exe
C:\Windows\System32\<random>.dll
\%AppData%\Roaming\<random>.dll
\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HQ-Realtek АС 3.9.4.738.lnk
\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Update Manager.lnk
C:\Windows\System32\config\systemprofile\AppData\Roaming\osk.exe
C:\Windows\System32\<random>.exe
Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OYTfqa'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'URaog'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'regsvr'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'vkaivgnecj'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Mfyegadub'
HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'update_w32.exe'
См. ниже результаты анализов.
Сетевые подключения и связи / URLs, contacts, payments:
Email: soft2018@tutanota.com
soft2018@mail.ee
newsoft2018@yandex.by
Bitmessage: BM-2cWp6BhKATEHEyfi1CGG4k3RuquXjaGJXB
См. ниже результаты анализов.
Так выглядит файл шифровальщика
Ⓗ Hybrid анализ на файл osk.exe >>
𝚺 VirusTotal анализ на файл osk.exe >>
ᕒ ANY.RUN анализ на файл osk.exe >> + admin-rights >>
🐞 Intezer анализ на файл osk.exe >>
Ⓥ VirusBay образец файла osk.exe >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
и другие...
=== КРИПТО-СТРОИТЕЛЬ === RANSOM BUILDER ===
Скриншот более ранней версии есть в статье про Globe Ransomware.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
См. выше Историю семейства.
Предыстория от 18 июня 2018:
Сначала (в седьмом часу) был обнаружен тестовый вариант, который уже шифровал файлы. Образцы на сервис ID Ransomware пришли из Испании.
Расширение: .bomber_test_build
Email: test_bomber_test@test.test (видимо фиктивный)
Примеры зашифрованных файлов:
HM8oT6r5bxcnL+BGnGEBbxb08DEkfw3M+S.bomber_test_build
LsKeUV2o=H7q00KmQ3=BebISqUrUAXMtsSZcFx5cZ07Lr.bomber_test_build
Записка: !!! HOW TO RECOVER ENCRYPTED FILES !!!.TXT
➤ Содержание записки:
TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST
TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST
TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST * TEST
Your files are now encrypted!
Your personal identifier:
6A02000000000000CB58B19F2592871184300C045B52D6A9FFC67ECD330C38E08B78F4744770DFEEB68D77B98F5BE6B0E251711A0BAFB4A8BE9D0A4DBB5A91612ED95EDDF82867753777B55E521EA03E3B667155593EBDC5134CD3CD96AD4F4A7371AD4B**********************************************************************************************************************************************************************************************************************************************************
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: test_bomber_test@test.test
Обновление от 18 по 19 июня 2018:
Вечером 18-го июня (около 22 часов) и позже компьютеры русскоязычных пользователей, предприятий и организаций были массово атакованы Scarab-Bomber Ransomware. Пик интенсивности был с вечера 18-го, в ночь на 19 июня 2018. Количество пострадавших 19-го июня утром было уже массовым.
Прилагаю скриншот с сайта forum.kasperskyclub.ru
Здесь видно, что форум сегодня завален просьбами о помощи.
👉 К сожалению силами хелперов и консультантов по лечению ПК в данном случае не расшифровать файлы. Можно только зачистить систему от оставшихся вредоносных файлов и попутного мусора. Часто на ПК при чистке могут быть найдены еще другие вредоносы и даже другие шифровальщики, которые прошлись по файлам, зашифрованным другим шифровальщиком.
Потому, в любом случае, нужно избавиться от такого хлама. Также необходимо собрать зашифрованные файлы и записки о выкупе. В них обычно имеется вся необходимая для дешифрования информация.
Не удаляйте все записки о выкупе, чтобы вам не советовали!!! Оставьте хотя бы одну, если все они одинаковые и содержат один и тот же ID, ключ или что-то ещё. Если попадаются с разным текстом или разными ID, то соберите все разные, не поленитесь, это в ваших же интересах.
Обновление от 19-20 июня 2018:
В июне 2018 злоумышленники, распространяющие шифровальщики семейства Scarab, обновили основной крипто-конструктор.
В предыдущих версиях Scarab-шифровальщиков был Trojan.Encoder.18000 (по классификации Dr.Web). Файлы можно было дешифровать.
В новых версиях файл шифровальщика детектируется уже как Trojan.Encoder.25574 (по классификации Dr.Web). Файлы пока не дешифруются.
Обновление от 11 июля 2018:
Расширение: .bomber
Email: dexcrypt@protonmail.com
Записка: HOW TO RECOVER ENCRYPTED FILES.txt
➤ Содержание записки:
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
6902000000000000***A75B7C
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: dexcrypt@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* Create a Bitcoin purse: https://blockchain.info/wallet/new
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins (Visa/MasterCard, Perfect Money, WU etc.)
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Обновление от 12 июля:
По некоторым данным с этим вымогателем работают люди, участвующие в распространении Dharma Ransomware. Вторая половина записки о выкупе скопирована из сообщений Dharma ransomware, используемых с 2018 года.
Обновление от 16 июля 2018:
Рост в Твиттере >>
Расширение: .deep
Email: mrdeep@protonmail.com
Согласно сообщению Майкла Джиллеспи, адрес mrdeep@protonmail.com известен по вымогательской кампании Dharma Ransomware.
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***XB81D7D
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: mrdeep@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Файл: deep.exe
Расположение: %APPDATA%\deep.exe
Результаты анализов: VT + VT + HA + IA + AR
🎥 Видеообзор этого Scarab-Bomber-Deep Ransomware >>
Обновление от 24 июля 2018:
Расширение: .ukrain
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: cr64@keemail.me, cr64@mail.ee
Файл с вредоносным вложением: реквизиты июль.gz
➤ Содержание записки:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный идентификатор
6A02000000000000***27EC07
Ваши документы, фотографии, базы данных и другие важные данные были зашифрованы.
Для восстановления данных необходим дешифровщик.
Чтобы получить дешифровщик, следует отправить письмо на электронный адрес cr64@keemail.me (cr64@mail.ee)
В письме укажите Ваш личный идентификатор (см. в начале данного документа).
Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес
Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.
Если у Вас нет биткоинов
* Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
* Приобретите криптовалюту Bitcoin:
https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
* Отправьте требуемое количество BTC на указанный в письме адрес
Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Гарантия расшифровки файлов.
Перед оплатой вы можете отправить нам до 3х файлов для бесплатной расшифровки.
Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.
Внимание!
* Не пытайтесь удалить программу или запускать антивирусные средства
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
Обновление от 25 июля 2018:
Расширение: .bomber
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: gardengarden@cock.li
➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***10387F
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: gardengarden@cock.li
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Обновление от 26 июля 2018:
Расширение: .sdk
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: servicedeskpay@protonmail.com
➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***F2223F
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: servicedeskpay@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Обновление от 21 августа 2018:
Расширение: .glutton
Записка: !!!HOW TO RECOVER ENCRYPTED FILES!!!.TXT
Email: gluttonBD@protonmail.com
➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***E41700F
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: gluttonBD@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Обновление от 10 сентября 2018:
Пост в Твиттере >>
Расширение: .hitler
Примеры зашифрованных файлов:
6MZ+AXwlzaw8X2H5MC5OrqEBdu6K7FfCbOw.hitler
Joqzovi8Z8=HJL0ckt9wTelSOzzC9uXiuS8.hitler
NcfzN9f5oRjbMed5QILQNdJGjlxARAJJCNg.hitler
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Emails: s29js31@tutamail.com, s29js31@mail.ee
Распространяемый файл: Сентябрь.scr
Исполняемый файл: Abandon.exe, sevnz.exe
Результаты анализов загрузчика: HA + VT + IA
Обновление от 14 сентября 2018:
Пост в Твиттере >>
Расширение: .bomber
Примеры зашифрованных файлов:
RmhIsoxoP6+MlVODBgOE9TyDLoNuD3YkBpouhr38sk.bomber
EhpxobDodMzo1vusd+85UhN3DiZzLeZGZPHxQzC5Y9Ac.bomber
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: mark.support@protonmail.com
➤ Содержание записки:
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
6A02000000000000***357E1F
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: mark.support@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* Create a Bitcoin purse: https://blockchain.info/wallet/new
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins (Visa/MasterCard, Perfect Money, WU etc.)
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Обновление от 26 сентября 2018:
Расширение: .iudgkwv
Зашифрованные файлы переименовываются, включая расширение.
В полученных образцах обнаружено, что файлы не зашифрованы: файлы можно открыть и прочитать содержимое, если правильно подставить к ним расширение.
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: f1220@tuta.io, f1220@mail.ee
Файлы: osk.exe, _.scr.exe, Initiatives.exe
Расположение вредоноса: %APPDATA%\Roaming\osk.exe
На файле написано: Different Brokerages Created Bump Errands Convenience. Copyright © 2016 All rights reserved. Abbott Laboratories
➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***1E1C3E
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: f1220@tuta.io, f1220@mail.ee
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Результаты анализов: HA + VT + VT + VT + IA
Обновление от 11 октября 2018:
Это также может относиться к другой версии Scarab, т.к. их сейчас много и они имитируют друг друга. Всё равно, ID-Ransomware имеет для всех общую идентификацию.
Расширение: .helpersmasters@airmail.cc
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: helpersmasters@airmail.cc
➤ Содержание записки:
==============================================================
YOUR FILES ARE ENCRYPTED NOW!
Your personal identifier:
6A02000000000000***1A3D7F
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
-----------------------------
Contact us using this email address: | helpersmasters@airmail.cc |
-----------------------------
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10 Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
==============================================================
Результаты анализов: VT
Обновление от 16 октября 2018:
Расширение: .yourhope@airmail.cc
Email: yourhope@airmail.cc
Pidgin: helpersmasters@xmpp.jp
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***1DFCE07
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: yourhope@airmail.cc
If you don't get a reply for 12 hours or if the email dies, then contact us using jabber(XMPP).
Download it form here: https://www.pidgin.im/ install it
Next download https://otr.cypherpunks.ca/ install it
Register here - https://www.xmpp.jp/signup?lang=en
In pidgin turn on module OTR
After write us in pidgin - helpersmasters@xmpp.jp (It is not a mail,xmpp)
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Обновление от 27 октября 2018:
Расширение: .wewillhelp@airmail.cc
Email: wewillhelp@airmail.cc
Pidgin: helpersmasters@xmpp.jp
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6902000000000000***E8DB3E
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: wewillhelp@airmail.cc
If you don't get a reply for 12 hours or if the email dies, then contact us using jabber(XMPP).
Download it form here: https://www.pidgin.im/ install it
Next download https://otr.cypherpunks.ca/ install it
Register here - https://www.xmpp.jp/signup?lang=en
In pidgin turn on module OTR
After write us in pidgin - helpersmasters@xmpp.jp (It is not a mail,xmpp)
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Расширение: .bomber
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: bomber.support@mail.bg
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
6A02000000000000***05EF1E
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: bomber.support@mail.bg
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* Create a Bitcoin purse: https://blockchain.info/wallet/new
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins (Visa/MasterCard, Perfect Money, WU etc.)
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Обновление от 25 ноября 2018:
Пост в Твиттере >>
Расширения: .lolita и .LOLITA
Записка: How to restore files.TXT
Email: lolitahelp@cock.li, lolitahelp@protonmail.com
Особенности: новый код персонального ID.
Страны, где есть первые пострадавшие: Израиль, Греция, Аргентина
Файл проекта: depend.pdb
Файл EXE: nero.exe
Расположение: %APPDATA%\roaming\nero.exe
Результаты анализов: VT + VT + HA + IA + AR + AR
Your files are now encrypted!
Your personal identifier:
pAQAAAAAAADVb14kHZTHF0***7x3Tq7s
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: lolitahelp@cock.li
If you don't get a reply or if the email dies, then contact us using this e-mail: lolitahelp@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 5Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Проверена возможность дешифрования.
Скриншот декриптора прилагается.
Обновление от 26 ноября 2018:
Пост в Твиттере >>
Расширение: .stevenseagal@airmail.cc
Зашифрованные файлы переименовываются.
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Особенности: новый код персонального ID
Email: stevenseagal@airmail.cc
Pidgin: helpersmasters@xmpp.jp
Результаты анализов: ---
➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
pAQAAAAAAACnBXzXHZRZFg***HwQaJEP
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: stevenseagal@airmail.cc
If you don't get a reply for 12 hours or if the email dies, then contact us using jabber(XMPP).
Download it form here: https://www.pidgin.im/ install it
Next download https://otr.cypherpunks.ca/ install it
Register here - https://www.xmpp.jp/signup?lang=en
In pidgin turn on module OTR
After write us in pidgin - helpersmasters@xmpp.jp (It is not a mail,xmpp)
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* We recommend - https://staff-obmen.com/en/ It is easy and secured payment with liquid pay
* Another good way - use https://www.coinmama.com
* You can try to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Another way - https://buy.bitcoin.com/
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* If you write us later then 3 days after encrypting price will be higher
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Обновление от 13 декабря 2018:
Расширение: .ironhead
Записка: How to restore encrypted files.txt
Email: fileisafe@tuta.io, fileisafe@protonmail.com
➤ Содержание записки:
Your files are now encrypted!Расширение: .ironhead
Записка: How to restore encrypted files.txt
Email: fileisafe@tuta.io, fileisafe@protonmail.com
➤ Содержание записки:
Your personal identifier:
pAQAAAAAAAAu+hL4HZT***EI+r43YB
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: fileisafe@tuta.io or fileisafe@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 5Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Обновление от 20 декабря 2018:
Пост на форуме >>
Расширение: .rap
Целевые страны: США, Ирак и другие.
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: rapid.supp@qq.com
В этом варианте записки о выкупе ID почему-то сдвинут далеко вниз.
➤ Содержание записки:
Your files are now encrypted!
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: rapid.supp@qq.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Your personal identifier:
+QIAAAAAAACH***
Обновление от 28 декабря 2018:
Пост в Твиттере >>
Расширение: .nano
Записка: RECOVER ENCRYPTED FILES.txt
Email: private-key@foxmail.com
➤ Содержание записки:
Your files are now encrypted!
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: private-key@foxmail.com
Free decryption as guarantee!
Before paying you can send us up to 1 *.JPG files for free decryption.
The total size of files must be less than 5Mb
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
Расширение: .moncrypt
Email: moncoin@protonmail.com, moncoin@india.com
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
+4IAAAAAAAAIqNV***XjLxD8Ts
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: moncoin@protonmail.com
Other email address: moncoin@india.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
If you are waiting for a message from us for more than 12 hours, check spam folder.
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
=== 2019 ===
Обновление от 5-14 февраля 2019:
Расширение: .aescrypt
Примеры зашифрованных файлов:
EGdLD6tqiKKiJqUZbp0RsX=l88YMf4.aescrypt
MIWpWNterJwoF1MVHtSur3JLwMydF4Ms.aescrypt
Записка: PLEASE READ.TXT
Email: GeorjeHalique@protonmail.com
Файл: svchoste.exe
Результаты анализов: VT + AR + IA + VB
Обновление от 18 февраля 2019:
Топик на форуме >>
Расширение: .aescrypt
Email: GeorjeHalique@protonmail.com
Записка (вероятно): HOW TO RECOVER ENCRYPTED FILES.TXT
➤ Содержание записки:
All your files have been encrypted due to a security problem with your PC.
For information on decoding, please write to the e-mail GeorjeHalique@protonmail.com
Your files are now encrypted!
Your personal identifier:
+4IAAAAAAA***nu9ecxPk
Now you should send us email with your personal identifier.
Contact us using this email address: GeorjeHalique@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 5Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Расширение: .crabs
Записка: HOW TO DECRYPT FILES.TXT
Email-1: crabs34@firemail.cc
Email-2: reserve34@firemail.cc
➤ Содержание записки:
Contact us using this email address: crabs34@firemail.cc
---
*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
---
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
pAQAAAAAAAA***qivPeTqBk
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: crabs34@firemail.cc
Free decryption as guarantee!
Before paying you can send us up to 2 files for free decryption.
The total size of files must be less than 2Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
---
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
---
---
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
---
reserve email - reserve34@firemail.cc
Обновление от 11 апреля 2019:
Расширение: .fuchsia
Записка: DECRYPT FILES.TXT
Email: HanzOttoschmidt@protonmail.com, GeorjeHalique@protonmail.com
➤ Содержание записки:
Hello.
All your files have been encrypted due to a security problem with your PC.
For information on decoding, please write to the e-mail HanzOttoschmidt@protonmail.com
Your files are now encrypted!
Your personal identifier:
+4IAAAAAAAC***JRf5w
Now you should send us email with your personal identifier.
Contact us using this email address: HanzOttoschmidt@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 5Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
GeorjeHalique@protonmail.com
Обновление от 28 апреля 2019:
Пост на форуме >>
Расширение: .kes$
Email: kesoma32@horsefucker.org, reserve34@firemail.cc
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
➤ Содержание записки:
Contact us using this email address: kesoma32@horsefucker.org
---
*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
---
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
o4QAAAAAAAA***7KtfAw
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: kesoma32@horsefucker.org
reserve email: reserve34@firemail.cc
Free decryption as guarantee!
Before paying you can send us up to 2 files for free decryption.
The total size of files must be less than 2 Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
---
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
---
---
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
---
Обновление от 4 мая 2019:
Расширение: .kes$
Email: kesoma32@horsefucker.org, reserve34@firemail.cc
Записка: Инструкция по расшифровке.TXT
➤ Содержание записки:
Напишите на почту - kesoma32@horsefucker.org
====================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный идентификатор
o4QAAAAAAAA***k6h0oQ0
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы.
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - kesoma32@horsefucker.org
*В письме указать Ваш личный идентификатор
*Прикрепите 2 файла до 1 мб для тестовой расшифровки.
мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.
-Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
-Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Мы гарантируем:
100% успешное восстановление всех ваших файлов
100% гарантию соответствия
100% безопасный и надежный сервис
Внимание!
* Не пытайтесь удалить программу или запускать антивирусные средства
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования
====================================
Ваш личный идентификатор
o4QAAAAAAAA***k6h0oQ0
Обновление от 16 июня 2019:
Топик на форуме >>
Расширение (предположительно): .harry Email: harry-help@foxmail.com, harry.helps@aol.com
➤ Содержание записки:
Your files are now encrypted!
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal ID.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address ->> harry-help@foxmail.com
If we do not answer you within 48 hours
Write here ->> harry.helps@aol.com
Free decryption as guarantee!
Before paying you can send us up to 1 *.JPG files for free decryption.
The total size of files must be less than 5Mb
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
----------- Your personal ID --------------
+QIAAAAAAA***1ym8z
-------------------------------------------
Обновление от 26 июня 2019:
Пост в Твиттере >>
Расширение: .alilibat
Пример заш-файла: JDSzI32F2SxEkgaZT1Sd85HLl6b.alilibat
Записка: DECRYPT.TXT
Email: AliMussafenLibat@protonmail.com, GeorjeHalique@protonmail.com
Результаты анализов: VT
➤ Содержание записки:
Hello.
All your files have been encrypted due to a security problem with your PC.
For information on decoding, please write to the e-mail AliMussafenLibat@protonmail.com
Your files are now encrypted!
Your personal identifier:
+4IAAAAAAAC***ZNRlDk
Now you should send us email with your personal identifier.
Contact us using this email address: AliMussafenLibat@protonmail.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 5Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
GeorjeHalique@protonmail.com
Обновление от 3 июля 2019:
Топик на форуме >>
Расширение: .o$l
Email: oslo178@cock.li
Записка: Инструкция по расшифровке o$l.TXT
➤ Содержание записки:
Напишите на почту - oslo178@cock.li
=============================================================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный идентификатор
pAQAAAAAAAA***7XEayAM
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы.
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - oslo178@cock.li
*В письме указать Ваш личный идентификатор
*Прикрепите 2 файла до 1 мб для тестовой расшифровки.
мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.
-Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
-Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Мы гарантируем:
100% успешное восстановление всех ваших файлов
100% гарантию соответствия
100% безопасный и надежный сервис
Внимание!
* Не пытайтесь удалить программу или запускать антивирусные средства
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
=============================================================================
Ваш личный идентификатор
pAQAAAAAAAA***7XEayAM
Обновление от 12-13 июля 2019:
Топик на форуме >>
Расширение: .sfs
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: sfshelpdesk@mail.ee, sfshelpdesk@airmail.cc
➤ Содержание записки:
HOW TO RECOVER ENCRYPTED FILES
Hello, my friend!
All your files have been encrypted.
>>> Your personal ID: >>>
pAQAAAAAAA***fzxAQ
If you want to recovery your files, send us e-mail with your personal ID and 1-2 test files (image or text,
non archived, total size of files must be less than 10Mb).
>>> Contacts: >>>
sfshelpdesk@mail.ee
sfshelpdesk@airmail.cc
Use please both e-mail addresses.
If your mail server doesn't send e-mail to our contacts, we recommended you to create
an e-mail on Protonmail.com (https://protonmail.com).
>>> ATTENTION! >>>
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
Обновление от 20 августа 2019:
Пост в Твиттере >>
Расширение: .lbiaf6c8 или случайное
Записка: КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT
Email: mailnitrom@protonmail.ch (mailnitrom@airmail.cc, mailnitrom@tutanota.com)
➤ Содержание записки:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
Ваш личный идентификатор
6A02000000000000***600793E
Ваши документы, фотографии, базы данных и другие важные данные были зашифрованы.
Для восстановления данных необходим дешифровщик.
Чтобы получить дешифровщик, следует отправить письмо на электронный адрес mailnitrom@protonmail.ch (mailnitrom@airmail.cc, mailnitrom@tutanota.com)
В письме укажите Ваш личный идентификатор (см. в начале данного документа).
Далее необходимо оплатить стоимость дешифровщика. В ответном письме Вы получите адрес
Bitcoin-кошелька, на который необходимо выполнить перевод денежных средств и сумму платежа.
Если у Вас нет биткойнов
* Создайте кошелек Bitcoin: https://blockchain.info/ru/wallet/new
* Приобретите криптовалюту Bitcoin:
https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
* Отправьте требуемое количество BTC на указанный в письме адрес
Когда денежный перевод будет подтвержден, Вы получите дешифровщик файлов для Вашего компьютера.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Гарантия расшифровки файлов.
Перед оплатой вы можете отправить нам до 3х файлов для бесплатной расшифровки.
Они не должны содержать важную информацию, общий размер файлов должен быть не более 10 мб.
Внимание!
* Не пытайтесь удалить программу или запускать антивирусные средства
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования
Пост в Твиттере >>
Расширение: .lbkut
Записка: ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
Содержание записки аналогично тому, что было 20 августа (см. выше).
Файлы: 29.08.2019.scr, asd.exe, dal.exe, LDP.exe
Email: mailnitrom@protonmail.ch (mailnitrom@airmail.cc, mailnitrom@tutanota.com)
Результаты анализов: VT + HA + AR + IA + VMR / VT + AR
DrWeb -> Trojan.Encoder.26375
Обновление от 12 октября 2019:
Пост в Твиттере >>
Расширение: .crabs
Записка: Инструкция по расшифровке файлов.TXT
Обновление от 25 января 2020:
Расширение: .moncrypt
Email: moncoin@protonmail.com, moncoin@india.com
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Результаты анализов: VT + VMR
➤ Обнаружения:
DrWeb -> Trojan.Encoder.26375
ALYac -> Trojan.Ransom.Scarab
BitDefender -> DeepScan:Generic.Ransom.Amnesia.*
Malwarebytes -> Ransom.Scarab
TrendMicro -> Mal_Purge
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Файлы в некоторых случаях можно дешифровать! Изучите моё руководство в статье SCARAB DECODER Или прочтите инфу по ссылке. Мой перевод рядом. Or ask for help using this link. My translation beside.
- видеообзор сделан с помощью сервиса ANY.RUN
Запуск с правами администратора:
командная строка: runas /user:Administrator osk.exe
Записка о выкупе не поддерживает Unicode, потому русский текст в виде символов.
Правильный текст записки смотри в начале статьи.
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as Scarab) Write-up, Topic of Support *
Added later: * Write-up by Avast (on July 7, 2017) Write-up by KasperskyLab (on June 22, 2018) (added only details on encryption)
Thanks to: Alex Svirid, Andrew Ivanov (author) Michael Gillespie, GrujaRS ANY.RUN, Emmanuel_ADC-Soft many volunteers and victims from the topics of support
© Amigo-A (Andrew Ivanov): All blog articles.