Scarab-Bin

Scarab-Bin Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Написан на Delphi. Группа вымогателей, распространяющая эту версию, ранее распространяла RSAUtil Ransomware. Смотрите там записки в "Блоке обновлений" для сравнения. 

© Генеалогия: Scarab >> Scarab Family > {update encryptor} > Scarab-Bin

Это изображение — логотип статьи. Изображает скарабея с 010101.

This image is the logo of the article. It depicts a scarab with binary cloud.

К зашифрованным файлам добавляется расширение: .bin

Фактически используется составное расширение: .[mrbin775@gmx.de].bin

Файлы не переименовываются. Пример зашифрованных файлов:
SPECIFICATION.xlsx.[mrbin775@gmx.de].bin
СПЕЦИФИКАЦИЯ.xlsx.[mrbin775@gmx.de].bin


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER ENCRYPTED FILES.TXT

Содержание записки о выкупе:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***7DF100
For instructions for decrypting files, please write here:
mrbin775@gmx.de
mrbin775@protonmail.com
If you have not received an answer, write to me again!!

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш личный идентификатор:
6A02000000000000***7DF100
Для инструкций для дешифрования файлов, пишите сюда:
mrbin775@gmx.de
mrbin775@protonmail.com
Если вы не получили ответа, напишите мне снова!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER ENCRYPTED FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: mrbin775@gmx.de
mrbin775@protonmail.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

➤ См. выше Историю семейства. 


Обновление от 11 июля 2018:
Пост в Твитере >>
Расширение: .lock
Составное расширение: .[Filesreturn247@gmx.de].lock
Email: Filesreturn247@gmx.de, Filesreturn247@protonmail.com, Filesreturn247@india.com
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT

➤ Содержание записки:
Hi friend...
    :)
For instructions on how to recovery the files, write to me:
Filesreturn247@gmx.de
Filesreturn247@protonmail.com
Filesreturn247@india.com
In the letter, indicate your personal ID (see the file format).
If you have not received an answer, write to me again.
Your personal ID
6A02000000000000******

Обновление от 21 июля 2018:
Расширение: .bin2
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: mrbin775@gmx.de, mrbin775@protonmail.com

➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***3FAA0F
For instructions for decrypting files, please write here:
mrbin775@gmx.de
mrbin775@protonmail.com
If you have not received an answer, write to me again!!
Топик на форуме >>


Обновление ** августа 2018:
Расширение: .danger
Составное расширение: .[Dangerbtc@gmx.de].danger
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: Dangerbtc@gmx.de
Dangerbtc@protonmail.com
Файлы не переименованы. 

Скриншот с файлами

Скриншот записки о выкупе

➤ Содержание записки:
Your files are now encrypted!
Your personal identifier:
6A02000000000000***022F603
For instructions for decrypting files, please write here:
Dangerbtc@gmx.de
Dangerbtc@protonmail.com
If you have not received an answer, write to me again!!
---
По ряду признаков, в том числе формату записки, этот вариант скорее всего относится именно к Scarab-Bin Ransomware. Но я добавил его также в статью Scarab-Danger, потому что они стали использовать расширение .danger и email со словом Danger. Но с другой стороны, нет никакой разницы для идентификации в ID Ransomware, где все варианты идентифицируются только как Scarab Ransomware. 😃

Возможно, что всё не так, как нам кажется, но уж извините, отпечатки пальцев не снимали и под микроскопом ДНК не рассматривали. Желающие называться собственным именем, пусть присылают визитные карточки с персональными данными. Оформим как полагается и поблагодарим.  

Обновление от 8 октября 2018:
Расширение: .crab
Составное расширение: .[crab7765@gmx.de].crab
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: crab7765@gmx.de

➤ Содержание записки:
Your files are now encrypted! 
Your personal identifier: 
6A02000000000000***3EBE807
For instructions for decrypting files, please write here: 
crab7765@gmx.de
crab7765@protonmail.com
If you have not received an answer, write to me again!!

Обновление от 16 октября 2018:
Расширение: .NEEDTOPAY
Записка: нет данных
Email: wannapay@airmail.cc
➤ Содержание записки:
Your files are now encrypted!
If you need your data, mail to :
wannapay@airmail.cc
Your personal ID:
6A02000000000000***35DFE00

Обновление от 11 января 2019:
Расширение: .krab
Составное расширение: .[[crab1917@gmx.de]].krab
Записка: !!! RETURN YOUR FILES !!!.TXT
Email: crab1917@gmx.de, crab1917@protonmail.com

➤ Содержание записки:
Hello Friend!
All your files are encrypted...
Your personal identifier:
6A02000000000000***78FA00
For instructions for decrypting files, please write here: 
crab1917@gmx.de
crab1917@protonmail.com
Be sure to include your identifier in the letter!
If you have not received an answer, write to me again!!


Обновление от 28 января 2019:
Топик на форуме >>
Расширение: .[decrypt2019@gmx.de].crypt
Записка: RECOVER ENCRYPTED FILES.TXT
Email: decrypt2019@gmx.de
decrypt2019@protonmail.com

➤ Содержание записки:
Hello!
Your files are now encrypted! 
Your personal identifier:
6A02000000000000***605C807
Need to recover all files? and do you need a guarantee?
Write here:
decrypt2019@gmx.de
decrypt2019@protonmail.com
If you have not received an answer, write to me again!!


Обновление от 25 февраля 2019:
Расширение: .[decrypt2019@gmx.de].crypt2019
Записка: RECOVER ALL FILES.TXT
Email: decrypt2019@gmx.de, decrypt2019@protonmail.com

➤ Содержание записки: 
Hello!
Your files are now encrypted! 
Your personal identifier:
+4IAAAAAAA***Jvs4l4l1lw
Need to recover all files? and do you need a guarantee?
Write here:
decrypt2019@gmx.de
decrypt2019@protonmail.com
If you have not received an answer, write to me again!!


Обновление от 6 марта 2019: 
Пост в Твиттере >>
Расширение: .[crab2727@gmx.de].gdcb
Топик на форуме >>
Записка: GDCB-DECRYPT.TXT
Email: crab2727@gmx.de

➤ Содержание записки: 
Hi..
Your files are now encrypted!
Your personal identifier:
+4IAAAAAAAA***TcvMZPuAM
Need to recover all files? and do you need a guarantee?
Write here:
crab2727@gmx.de
crab2727@protonmail.com
If you have not received an answer, write to me again!!

Обновление от 25 апреля 2019:
Пост на форуме >>
Топик на форуме >>
Расширение: .[zoro4747@gmx.de].zoro
Записка: !!! RESTORE DATA !!!.TXT
Email: zoro4747@gmx.de, zoro4747@protonmail.com

➤ Содержание записки: 
Hi..
Your files are now encrypted! 
Your personal identifier:
+4IAAAAAAA***7eyNyQA
Need to recover all files? and do you need a guarantee?
Write here:
zoro4747@gmx.de
zoro4747@protonmail.com
To get an answer - always write to two mails at the same time!!
If you have not received an answer, write to me again!!

Обновление от 5 мая 2019:
Расширение: .Navi
Записка: HOW TO RESTORE INFORMATION.TXT
Email: naviteam@airmail.cc, naviteam@aol.com

➤ Содержание записки:
Hello! To decrypt your files, send your personal ID to next e-mail addreses:
naviteam@airmail.cc
naviteam@aol.com
Do not try to decrypt files by yourself to avoid damage of files!!!
Your personal ID:
+4IAAAAAAAA***TXLSrh4Pk

Обновление от 14 мая 2019:
Топик на форуме >>
Расширение: .Oops
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: dec_helper@aol.com, datarecovery@airmail.cc
➤ Содержание записки:
All your files are encrypted!
To return the files, write to the mail:
dec_helper@aol.com
datarecovery@airmail.cc
In the letter, specify your ID and attach several files for decryption.
Attempts to recover files, destroy them forever!
Your personal ID:
+4IAAAAAAA***5JQs9Jls

Обновление от 19 июля 2019:
Расширение: .{Help557@cock.li}.exe
Записка: !!! RESTORE YOUR FILES !!!.TXT
Email: Help557@cock.li

➤ Содержание записки:
Hello friend ... =)
All your files do not work, because they are encrypted.
To decrypt the files write me a mails: 
Help557@cock.li
You must specify this personal identifier (ID):
6A02000000000000***54D951F
If you do not receive an answer, write to me again, write at the same time to three mails))


Обновление от 4 августа 2019:
Топик на форуме >>
Пост на форуме >>
Расширение: .{Help557@gmx.de}.exe
Записка: !!! RESTORE YOUR FILES !!!.TXT
Email: Help557@gmx.de
Help557@protonmail.com
Результаты анализов: VT + VMR

➤ Содержание записки: 
Hello my friend ... =)
All your files do not work, because they are encrypted.
To decrypt the files write me a mails:
Help557@gmx.de
Help557@protonmail.com
You must specify this personal identifier (ID):
+4IAAAAAAADDD***HBCNlw
If you do not receive an answer, write to me again, write at the same time to three mails))


Обновление от 24 ноября 2019:
Расширение: .[crypto7892@gmx.de].crypto
Записка: !!! RETURN YOUR FILES !!!.TXT
Email: crypto7892@gmx.de
crypto7892@protonmail.com

➤ Содержание записки: 
Hi..
Your files are now encrypted! 
Your personal identifier:
+4IAAAAAAA***
Need to recover all files? and do you need a guarantee?
Write here:
crypto7892@gmx.de
crypto7892@protonmail.com
To get an answer - always write to two mails at the same time!!
If you have not received an answer, write to me again!!

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
Или прочтите инфу по ссылке. Мой перевод рядом. 
Or ask for help using this link. My translation beside.

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 

 Thanks: 
 (victims in the topics of support)
 Andrew Ivanov, Alex Svirid
 Michael Gillespie, Emmanuel_ADC-Soft
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

24H

24H Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0.24 BTC, чтобы вернуть файлы. Оригинальное название: “24H” Ransomeware. На файле написано: нет данных.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .24H

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: ReadME-24H.txt

Содержание записки о выкупе:
Welcome to the “24H” Ransomeware! all your system information is encrypted. For receive the decryption program, transfer 0.24 bitcoins to 1FniWsB6T3n7GjBGs3UizspTshBvt9qFqR address and then send your request to the “24H@tutanota.com” and “24HDecryptor@Mail.ru” email addresses.  Your Personal KEY: *** [redacted 256 bytes in base64]

Перевод записки на русский язык:
Добро пожаловать в "24H" Ransomeware! вся ваша системная информация зашифрована. Для получения программы дешифрования переведите 0.24 биткоина на адрес 1FniWsB6T3n7GjBGs3UizspTshBvt9qFqR, а затем отправьте ваш запрос на email-адреса 24H@tutanota.com и 24HDecryptor@Mail.ru. Ваш персональный КЛЮЧ: *** [отредактировано 256 байт в base64]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
ReadME-24H.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 24H@tutanota.com, 24HDecryptor@Mail.ru
BTC: 1FniWsB6T3n7GjBGs3UizspTshBvt9qFqR
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as 24H Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Shrug, Shrug-2

Shrug Ransomware

Shrug-2 Ransomware

(шифровальщик-вымогатель, деструктор)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $50 в BTC, чтобы вернуть файлы. Оригинальное название: Shrug или Shruggie. На файле написано: Shrug.exe

© Генеалогия: выясняется.

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .SHRUG


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Этимология названия:
Shrug, Shrugging (англ. "пожимание плечами"), поэтому в окне экран аблоковки поставлен соотвествующий смайлик ¯\_(ツ)_/¯, имеющий то же значение. Первоначально ставший известен в Рунете как "Пожималкин", позже он стал популярным и на Западе, где его прозвали "Shruggie".

Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

 

Содержание записки о выкупе:
Oh shit waddup ¯\_(ツ)_/¯
---
I know what you're thinking. "What happened?"
Well, the answer is quite simple. Before I tell you, promise me you will not get mad. Okay. Your PC was victim of a Ransomware attack. 
That means every important file is now encrypted and you can't access them. Oh, and there is this screen locker too. You don't have access to your PC anymore.
What a shame, huh?
There is only one way to get your stuff back. $50. It isn't that much, cmon! I'll give you instructions on how to pay. Alright. To successfully pay the ransom and unlock all your sh*t, you will need Bitcoins. But wait, it is only 50 USD in Bitcoins, no worries. Nothing to worry about. You can buy it in the internet.
Oh, and don't even Google "how to remove a ransomware" because it will not help. When buying Bitcoins you will need a wallet. You can create one at a website called Blockchain. Now find a way to buy 50 USD in BTC. Google is your friend. 
Then you must send the Bitcoins to the wallet specified in the right of the screen. After that, write your wallet inside that text box and finally click the button "I paid!". Wait some time until I confirm your payment and fix your files.
- Martha
---
Your files will be destroyed in
2 days, 23 hours, 59 minutes, 51 seconds
if you don't pay.
1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx
(click to copy to clipboard)
[Your wallet goes here]
[I paid!]

Перевод записки на русский язык:
О, черт возьми ¯ \ _ (ツ) _ / ¯
---
Я знаю, о чем вы думаете. "Что случилось?"
Ну, ответ довольно прост. Прежде чем я скажу вам, пообещайте, что вы не сойдете с ума. Хорошо. Ваш компьютер жертва атаки Ransomware.
Это означает, что каждый важный файл теперь зашифрован, и вы не можете получить к нему доступ. О, и есть этот блокировщик экрана тоже. У вас больше нет доступа к компьютеру.
Какой позор, да?
Есть только один способ вернуть ваши вещи. $ 50. Это не так много, cmon! Я дам вам инструкции о том, как платить. Хорошо. Чтобы успешно заплатить выкуп и разблокировать всё ваше д*рьмо, вам понадобятся биткоины. Но подождите, это всего лишь 50$ в биткоbнах, не беспокойтесь. Не о чём беспокоиться. Вы можете купить его в Интернете.
О, и даже поиск в Гугле "how to remove a ransomware" не поможет. При покупке биткоинов вам понадобится кошелек. Вы можете создать его на веб-сайте Blockchain. Теперь найдите способ купить 50$ США в BTC. Google - ваш друг.
Затем вы должны отправить биткоины в кошелек, указанный в правой части экрана. После этого напишите свой кошелек внутри этого текстового поля и, наконец, нажмите кнопку "I paid!" (Я заплатил). Подождите некоторое время, пока я не подтвержу ваш платеж и не исправлю ваши файлы.
- Марта
---
Ваши файлы будут уничтожены через
2 дня, 23 часа, 59 минут, 51 секунда
если вы не заплатите.
1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx
(нажмите, чтобы скопировать в буфер)
[Ваш кошелек введите сюда]
[I paid!]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Shrug.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://tempacc11vl.000webhostapp.com/marthas_stuff/uploadhash.php
BTC: 1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Shrug Ransomware - июль 2018
Shrug-2 Ransomware - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 18 июля 2018:
Пост в Твиттере >>
Расширение: .SHRUG2
Сумма выкупа: $70
BTC: 1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx
Файл: ShrugTwo.exe
Самоназание: ShrugTwo
Скриншот экрана блокировки >>

Содержание текста о выкупе:
What happened? 
Your important files have been encrypted. Many of your documents, pictures, videos, databases, scripts, codes, presentations are no longer accessible because they have been encrypted. Maybe you're busy looking for a way to recover your stuff, but don't waste your time.
Nobody can do that without our decryption service.
Can I recover my files?
Of course! We guarantee that you can recover all your files safely and easily. But you don't have too much time. If you want to decrypt everything, you will need to pay. You only have 3 days to submit the payment, otherwise all your files will be PERMANENTLY deleted. Lost. Forever. 
How do I pay?
Payment is accepted in Bitcoin only. Use your favorite search engine (6oogle, DuckDuckGo, etc.) to learn more about Bitcoin. To send a payment, you will need a Bitcoin wallet. You can create one at Blockchain.com for free. After creating your wallet, buy some Bitcoins (amount is specified down below) and send the correct amount to the address specified in this window. After your payment, click [Check Payment]. The best time to check is around 8-10pm GMT. 
IMPORTANT: Disable or uninstall your anti-virus until your files are recovered (or gone). Antivirus might delete this window making it impossible to recover your stuff.
Результаты анализов: VT + HA

Обновление от 25 декабря 2019 (вариант из прошлого года, т.е. старый):
Пост в Твиттере >>
Расширение: .SHRUG2
BTC: 1Hr1grgH9ViEgUx73iRRJLVKH3PFjUteNx
Файл: ShrugTwo.exe
Самоназание: ShrugTwo
Образец из 2018 года, описанный выше. 
Результаты анализов: VT + AR

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Shrug, Shrug2)
 Write-up, Topic of Support
 🎥 Video review >>

 Thanks: 
 MalwareHunterTeam, Michael Gillespie
 Andrew Ivanov
 CyberSecurity GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.