WinUpdatesDisabler

WinUpdatesDisabler Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 0,5 BTC, чтобы вернуть файлы. Оригинальное название: WinUpdatesDisabler. На файле написано: Windows 10 Updates Disabler

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> WinUpdatesDisabler

К зашифрованным файлам добавляется расширение .zbt

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на пользователей, понимающих сербско-хорватский язык, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
Payment information for decryption.txt

Содержание записки о выкупе:
Ej sestriće, moraš da gi platiš.
Ako gi ne platiš, zaključani fajlovi nema da gi vratiš.

Перевод записки на русский язык:
Эй, сестра, требуется платить. 
Если не платить, блокированные файлы не вернуть.

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
WinUpdatesDisabler.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam 
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

CryptoSpider

CryptoSpider Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем оставляет надпись на изображении. Оригинальное название: CryptoSpider. На файле написано: CryptoSpider.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> CryptoSpider

К зашифрованным файлам добавляется расширение .Cspider

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает изображение на обоях (на экране блокировки?):

Содержание текста о выкупе:
HACKED BY ./Mr.Gh0s7_C47
./Mr.Gh0s7_C47
ARE YOU SAFE?

Перевод текста на русский язык:
ВЗЛОМАНО ./Mr.Gh0s7_C47
./Mr.Gh0s7_C47
ВЫ В БЕЗОПАСНОСТИ?

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoSpider.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

CryForMe

CryForMe Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 250€ в BTC, чтобы вернуть файлы. Оригинальное название: CryForMe. На файле написано: CryForMe. Разработчик: Marco.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: HiddenTear >> CryForMe

К зашифрованным файлам должно добавляться расширение .cfm
Но по данным исследователей шифрование пока не работает, т.к. CryForMe ещё находится в разработке. 

Образец этого крипто-вымогателя был найден в середине июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
 Your file have been ENCRYPTED !!!
-What Happened to My Computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
-Can I Recover My Files?
Sure. We guarantee that you can recover all your files safely and easily. But you have not so enough time.
If you want to decrypt all your files, you need to pay.
You only have 7 days to submit the payment. After that the price will be doubled.
Once the price doubled you have other 7 day for pay, otherside the price will be very high.
How Do I Pay?
Payment is accepted in Bitcoin only.
Please check the current price of Bitcoin and buy some bitcoins.
And send the correct amount to the address specified in this window.
In the payment description insert your name, your PC name, and your email (so we can send you the password.
-What happens after the payment?
After the payments we send you the password for the decrypt.
You have to click "Decrypt" button and insert the password; after this you have your files back.
PROMISE!
***
Send 250 € to this BITCOIN address:
19Roobh13zMQ9iNbN7GiaoSzbdkAiMRw7c [Copy]
PASSWORD HERE [Decrypt]

Перевод записки на русский язык:
Ваш файл был ЗАШИФРОВАН !!!
-Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов больше не доступны, т.к. они были зашифрованы. Возможно, вы заняты поиском способа восстановить свои файлы, но не тратьте свое время. Никто не сможет восстановить ваши файлы без нашей службы расшифровки.
-Я могу восстановить мои файлы?
Конечно. Мы гарантируем, что вы сможете восстановить все ваши файлы безопасно и легко. Но у вас недостаточно времени.
Если вы хотите расшифровать все ваши файлы, вам нужно заплатить.
У вас есть только 7 дней, чтобы отправить платеж. После этого цена будет удвоена.
После того, как цена удвоится, у вас есть ещё 7 дней для оплаты, иначе цена будет очень высокой.
Как мне заплатить?
Оплата принимается только в биткоинах.
Пожалуйста, проверьте текущую цену биткоина и купите несколько биткоинов.
И отправьте правильную сумму по адресу, указанному в этом окне.
В описании платежа укажите свое имя, имя вашего компьютера и адрес электронной почты (чтобы мы могли отправить вам пароль.
-Что будет после оплаты?
После оплаты мы отправим вам пароль для расшифровки.
Вы должны нажать кнопку "Decrypt" и вставить пароль; после этого ваши вернутся.
Обещаю!
Пошли 250 € на BITCOIN-адрес:
19Roobh13zMQ9iNbN7GiaoSzbdkAiMRw7c [Copy]
Пароль здесь [Decrypt]

Пока находится в разработке. После релиза вполне может начать распространяется путём взлома через незащищенную конфигурацию RDP или с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryForMe.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

WhyCry

WhyCry Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $300 в BTC, чтобы вернуть файлы. Оригинальное название: Why-Cry и WhyCry-Ransomware. Разработчик: Cyber-Ghost-Army.

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: Stupid (FTSCoder) >> WhyCry

К зашифрованным файлам добавляется расширение .whycry

AES-ключ шифрования YANGTGTDKYFWSBDAUWPMFNHBUGPFUCKYOU

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки, который появляется только после голубого экран а с окнами, в которых показаны директории пользователя. Примечательно, что такая демонстрация появилась впервые. 

На голубом фоне написано: 
Windows is working on updates, wait till complete.
Don't turn off you computer, this will take a while. 

Перевод на русский язык: 
Windows работает над обновлениями, ждите завершения
Не выключайте компьютер, это займёт немного времени.

На самом деле в это время выполняется шифрование файлов пользователя. Ближе к концу выявляется какой-то сбой, после чего шифрование продолжается. В итоге появляется сообщение о выполненном шифровании с требованиями выкупа. 

Содержание записки о выкупе:
Attention!!!
All Your Files are Encrypted by Why-Cry
Warning: Do not turn off your Computer!! You will loose all your files!
If you want to Decrypt your files follow these simple steps:
1.) Create BitcoinWallet here: https://blockchain.infb/
2.) Buy Bitcoins worth of $300.
3.) Send $300 in Bitcoin to Given Address Below!
4.) You will get your Decryption Key after you pay $300 in Bitcoin.
5.) The Decryption Key will pop up on the left side automatically. We are more advance than others.
6.) Enter it in Given Box and Click on Decrypt.
7.) After clicking on Decrypt the files will start decrypting in background.
BitCoin Address: 1NgnRmq7eYeMR5BRr7tVR3TC)JxmWwC6bVj /e itself.
9.) You will get all of your files safely.
Enter Decryption Key Here 
[...] button [Decrypt]
All files have been Encrypted by Why-Cry!
Don't dose the PC otherwise,
I wont be responsible if your files dont decrypt.
If you close your PC this screen will be removed.
And you will not be able to Decrypt files back!!!

--- после вода ключа ---

Wait!!!Files are being Decrypted!
Your Files Have Been Successfully Decrypted!!!

Перевод записки на русский язык:
Внимание!!!
Все ваши файлы зашифрованы Why-Cry
Предупреждение: не выключайте компьютер! Вы потеряете все свои файлы!
Если вы хотите расшифровать свои файлы, выполните следующие простые шаги:
1.) Создайте Bitcoin-кошелек здесь: https://blockchain.info/
2.) Купите биткоины стоимостью 300 долларов.
3.) Отправьте $ 300 в биткоинах на заданный адрес ниже!
4.) Вы получите свой ключ дешифрования после оплаты $300 в биткоинах.
5.) Ключ дешифрования автоматически появится на левой стороне. Мы больше других продвинулись вперед.
6.) Введите его в поле Given Box и нажмите Decrypt.
7.) После нажатия на Decrypt файлы начнут дешифрование в фоновом режиме.
8.) Как только файлы будут дешифрованы, этот экран удалит себя.
9.) Вы получите все свои файлы безопасно.
Введите ключ дешифрования здесь
[...] кнопка [Decrypt]
Все файлы были зашифрованы Why-Cry!
Не выключайте ПК, иначе я не в ответе за то, что ваши файлы не будут расшифровываться.
Если вы выключите свой ПК, этот экран будет удален.
И вы не сможете расшифровать файлы обратно !!!

--- после вода ключа ---
Подождите !!! Файлы расшифровываются!
Ваши файлы были успешно расшифрованы!

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.avi, .doc, .exe, .gif, .mp3, .pdf, .rar, .txt...
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Внимание!
Для зашифрованных файлов есть декриптер
Скачать StupidDecrypter для дешифровки >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 Video review 

 Thanks: 
 Michael Gillespie
 GrujaRS
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

PaySafeCard

PaySafeCard Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в $20, чтобы вернуть файлы. Оригинальное название. На файле написано: rnsmwre. Фальш-копирайт: HP. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .rnsmwre
✔ В расширении используется сокращенное слово: ransomware (без гласных букв).

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: @decrypt_your_files.txt

Содержание записки о выкупе:
Your files are encrypted!
There is only one way to get them back:
You need to send me a 20 USD PaySaveCard-Code [Write it into the Console Window!]

Перевод записки на русский язык:
Ваши файлы зашифрованы!
Есть только один способ вернуть их:
Вам нужно отправить мне 20 USD PaySaveCard-Code [вписать его в окно консоли!]

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
rnsmwre.exe
@decrypt_your_files.txt

Расположения:
***
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://duetro-proxy.lima-city.de/ (91.216.248.20:80)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 Karsten Hahn
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

ВНИМАНИЕ!
1) Ваши комментарии после статьи появятся только после проверки. Дублировать их не нужно.
2) В своём сообщение в форме обратной связи обязательно укажите название шифровальщика.

CA$HOUT

CA$HOUT Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в $100, чтобы вернуть файлы. Оригинальное название. На файле написано: WindowsApplication1. Разработчик: Johannes. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия:  выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.

Образец этого крипто-вымогателя был найден в начале июня 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 
На момент публикации статьи вымогатель был недоработан. 

Запиской с требованием выкупа выступает экран блокировки:

 

Содержание текста о выкупе (верхний скриншот):
YOUR COMPUTER IS LOCKED
To get a key to decrypt all files on your computer you have to pay $100
Possible kinds of payment
Enter Key: [***] button [Pay]
Your Mail adress: [***]
Your Key: [***] button [Copy]
CA$HOUT Ransomware

Перевод текста на русский язык:
ВАШ КОМПЬЮТЕР БЛОКИРОВАН
За ключ для дешифрования всех файлов на вашем ПК надо заплатить $100
Возможные виды оплаты
Enter Key: [***] кнопка [Pay]
Ваш Mail-адрес: [***]
Ваш ключ: [***] кнопка [Copy]
CA$HOUT Ransomware

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Info.exe
Temp.exe

Расположения:
***

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 BleepingComputer
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

7z Portuguese

7z Portuguese Ransomware

(шифровальщик-вымогатель, 7zip-вымогатель)

Этот крипто-вымогатель блокирует данные пользователей, а затем требует связаться по email с вымогателями, чтобы заплатить выкуп за то, чтобы вернуть файлы. Оригинальное название неизвестно. Для запирания файлов используются возможности архиватора 7-Zip, в их числе шифрование AES-256 и парольная защита. 

шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

Заблокированные файлы помещаются в архив с расширением .7z и паролем неизвестной длины. 

Активность этого крипто-вымогателя пришлась на начало июня 2017 г. Ориентирован на англоязычных и португалоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ ME.txt

Содержание записки о выкупе:
Hello I'm a System Expert I Hacked Your System But There Is No Frightening Situation
Encrypting your files in a way that your files will be retrieved
Your Data will Not Be Saved Absolutely And Will Not Be Returned To You
We Are Constraining 12 Hours To Get Your Crisis
If You Do not Have Your Files Encrypted We Are Destroying Ourself, We Are Working To Save
Your moment is not a situation other than the loss of time and I agree with you Enemy
If you have received your payment, you will be able to keep your time files encrypted and you can continue to work from now on
And Your System Will Tell You In The Openness I Will Help You Close Your Closure Something Else Will Never Come Home
For You To Be Last Submissive Mail Address And Reference Number You Must Tell Us Your Reference Number At Mail
Otherwise, it will not be answered absolutely and certainly in reference numbers without a good number of days
You send Mail 12 hours I am Waiting...
Mail Address:yedekveri258@gmail.com
yedekveri258@gmail.com
yedekveri258@gmail.com
Reference Number:61
-----
Olá eu sou uma condição para ter medo, mas eu já invadiu seu sistema, um sistema especialista Nenhum
E aproveitando os arquivos abertos em seu sistema voltar eu não consigo descobrir Encryption
Não há forma de recuperar dados em cima de verão definitivamente estará de volta e você Getirilmi a Time
Restrições podemos fazer para obter sua senha 12 horas 12 horas para o retorno de Vordur Egerer
Criptografar com seus arquivos na ausência de auto-destruição
Eu postei, sua recuperação logística
Compreender o Times Outra perda condição não é seu inimigo e I
Nós não temos os mesmos salários acordados
Evet sido dado tempo, se eu apresentar meu pagamento para continuar o seu trabalho de lugar para ficar se a senha
Como cortar o seu sistema e você Notifier I suplementares perto de se tornar um bem de novo para não vir à sua cabeça
Para, o último como vou dar Alta Número de Referência endereço de email e dizer-nos seu número de referência é necessário para dispor de correio
Caso contrário, se o número de referência Envie Response Absolutamente E, certamente, a Bons Dias
Nosso endereço de e-mail:yedekveri258@gmail.com
yedekveri258@gmail.com
yedekveri258@gmail.com
Número de referência:61

Перевод записки на русский язык:
(текст очень корявый и английский и португальский)
Привет, я системный эксперт. Я взломал вашу систему, но ситуация не пугающая. 
Шифрование файлов сделано таким образом, чтобы ваши файлы были извлечены.
Ваши данные не будут сохранены абсолютно и не будут возвращены вам.
Мы подождем 12 часов, чтобы получить ваш кризис (т.е. ваше решение).
Если у вас нет зашифрованных файлов, мы самоуничтожимся, наша работа для сохранения.
Ваш момент не является ситуацией, кроме потери времени, и я согласен с вами, неприятно. 
Если вы сделали платеж, вы сможете исправить ваши зашифрованные файлы и продолжить работать.
И ваша система останется открытой. Я могу помочь вам это закрыть. Что-нибудь ещё никогда не вернётся.
Вам в конце даны почтовый адрес и номер ссылки, вы должны сообщить нам свой номер ссылки по почте.
Иначе абсолютно не будет ответа и, безусловно, в ссылочных номерах без хорошего количества дней.
Вы отправляете почту 12 часов, я жду...
Почтовый адрес: yedekveri258@gmail.com
yedekveri258@gmail.com
yedekveri258@gmail.com
Номер ссылки: 61

Распространяется путём взлома через незащищенную конфигурацию RDP или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
c2.7z
Administrador1.7z

Расположения:
 C:\c2.7z
 C:\Administrador1.7z

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: yedekveri258@gmail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic of Support
 * 

 Thanks: 
 ssergiio (victim in the topic of support)
 *
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab

Scarab Ransomware 

ScarabLocker Ransomware

(шифровальщик-вымогатель)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Scarab и ScarabLocker. См. видео-обзор Scarab Ransomware по ссылке. 

Многие ранние версии Scarab можно дешифровать, но для этого нужно вычислить ключ дешифрования. См. информацию в конце статье, в блоке ссылок. 
---
© Генеалогия: Globe Family > Amnesia > Amnesia-2 > Scarab Family 

© Генеалогия: Scarab > Scorpio, Jackie, Scarabey, Decrypts, Crypto, Amnesia, Please, XTBL, Oblivion, Horsia, Walker, Osk, Rebus, DiskDoctor, Danger, Crypt000, Bitcoin, Bomber, Omerta, Bin, Recovery, Turkish, Barracuda, CyberGod, Enter, Aztec, Zzz, Crash, Gefest, Artemy, Kitty, Monster > Scarab 2019 > Scarab 2020 и далее

Это изображение — логотип статьи

This image is the logo of the article

К зашифрованным файлам добавляется расширение .scarab
В более поздних вариантах используются шаблоны для расширений:
.[email].scarab
.[email]
и другие, в том числе без email. 

👉 Другие расширения смотрите по ссылкам на каждую новую итерацию в "Генеалогия" (см. выше). 

Файлы переименовываются с помощью Base64. 

Активность первых версий этого крипто-вымогателя пришлась с середины мая 2017 - по начало июня 2017 г. Например, 16 мая ранний вариант уже был добавлен в антивирусную базу Dr.Web. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: 
IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT

Содержание записки о выкупе:
*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
**************************************
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: qa458@yandex.ru
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 5Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins? 
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price: 
hxxxs://localbitcoins.com/buy_bitcoins 
* Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins 
Attention!
* Do not rename encrypted files. 
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
*** ЕСЛИ ВЫ ХОТИТЕ ВЕРНУТЬ ВСЕ ВАШИ ФАЙЛЫ, ТО ПРОЧТИТЕ ЭТО ***
Теперь ваши файлы зашифрованы!
----- НАЧАЛО ПЕРСОНАЛЬНОГО ИДЕНТИФИКАТОРА -----
**************************************
----- КОНЕЦ ПЕРСОНАЛЬНОГО ИДЕНТИФИКАТОРА -----
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК.
Теперь вы должны отправить нам email с вашим личным идентификатором.
Это письмо будет подтверждением, что вы готовы заплатить за ключ дешифрования.
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы пишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Свяжитесь с нами, используя этот адрес электронной почты: qa458@yandex.ru
Бесплатное дешифрование в качестве гарантии!
Перед оплатой вы можете отправить нам до 3 файлов для бесплатного дешифрования.
Общий размер файлов должен быть меньше 5 Мб (не архив), а файлы не должны содержать ценную информацию (базы данных, резервные копии, большие листы Excel и т.д.).
Как получить биткоины?
* Самый простой способ купить биткоины - сайт LocalBitcoins. Вы должны зарегистрироваться, щелкнуть
"Buy bitcoins" и выберите продавца по способу оплаты и цене:
hxxxs://localbitcoins.com/buy_bitcoins
* Также вы можете найти другие места для покупки биткоинов и руководства для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
Внимание!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровывать свои данные чужими программами, это может привести к безвозвратной потере данных.
* Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.

Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Также может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Удаляет теневые копии файлов, точки восстановления системы, отключает исправление загрузки Windows и следующими командами:
 wbadmin.exe wbadmin DELETE SYSTEMSTATEBACKUP
 WMIC.exe wmic SHADOWCOPY DELETE
 vssadmin.exe vssadmin Delete Shadows /All /Quiet
 bcdedit.exe bcdedit /set {default} recoveryenabled No
 bcdedit.exe bcdedit /set {default} bootstatuspolicy ignoreallfailures

Список файловых расширений, подвергающихся шифрованию:

.$efs, .0, .00, .000, .0001, .0002, .0003, .0004, .0005, .0006, .0007, .0008, .0009, .001, .0010, .0011, .0012, .0013, .0014, .0015, .0016, .0017, .0018, .0019, .002, .0020, .0021, .0022, .0023, .0024, .0025, .0026, .0027, .0028, .0029, .003, .0030, .004, .005, .006, .007, .008, .009, .00a, .00b, .00c, .00d, .00e, .00f, .00g, .00h, .00i, .00j, .00k, .00l, .00m, .00n, .00o, .00p, .00q, .00r, .00s, .00t, .00u, .00v, .00w, .00x, .00y, .00z, .010, .011, .012, .013, .014, .015, .016, .017, .018, .019, .020, .021, .022, .023, .024, .025, .026, .027, .028, .029, .030, .031, .032, .033, .034, .035, .036, .037, .038, .039, .040, .041, .042, .043, .044, .045, .046, .047, .048, .049, .050, .051, .052, .053, .054, .055, .056, .057, .058, .059, .060, .061, .062, .063, .064, .065, .066, .067, .068, .069, .070, .071, .072, .073, .074, .075, .076, .077, .078, .079, .080, .081, .082, .083, .084, .085, .086, .087, .088, .089, .090, .091, .092, .093, .094, .095, .096, .097, .098, .099, .0r8, .1, .10, .100, .101, .103, .108, .11, .110, .111, .123, .128, .1cd, .1sp, .1st, .2, .200, .22, .222, .264, .2q0, .2qm, .3, .30, .300, .33, .333, .3c, .3d, .3d4, .3dd, .3df, .3df8, .3dm, .3dr, .3ds, .3dxml, .3fr, .3g2, .3ga, .3gp, .3gp2, .3mm, .3pr, .3w, .4, .400, .44, .444, .4dd, .4w7, .5, .500, .55, .555, .6, .600, .602, .66, .666, .7, .700, .73i87a, .77, .777, .7z, .7zip, .8, .800, .806dy, .88, .888, .89t, .89y, .8ba, .8bc, .8be, .8bf, .8bi8, .8bl, .8bs, .8bx, .8by, .8li, .8svx, .8xt, .9, .900, .99, .999, .9xt, .9xy, .a$v, .a, .a2c, .a5zfn, .a90, .aa, .aa3, .aaa, .aac, .aaf, .aah, .aaui, .ab4, .ab65, .abc, .abf, .abk, .abt, .abw, .ac2, .ac3, .ac5, .acc, .accdb, .accde, .accdr, .accdt, .ace, .acf, .ach, .acl, .acp, .acr, .acrobatsecuritysettings, .acrodata, .acroplugin, .acrypt, .acsi, .acsm, .act, .act3d, .ad, .ad3, .ada, .adb, .adc, .add, .ade, .adf, .adi, .adl, .adm, .adml, .admx, .adoc, .ados, .adox, .adp, .adpb, .adr, .ads, .adt, .aea, .aec, .aep, .aepx, .aes, .aet, .afdesign, .aff, .afm, .afp, .agd1, .agdl, .age3rec, .age3sav, .age3scn, .age3xrec, .age3xsav, .age3xscn, .age3yrec, .age3ysav, .age3yscn, .ahf, .ahi, .ahstore, .ai, .aif, .aiff, .aim, .aip, .ais, .ait, .ak, .al, .al8, .ala, .alb3, .alb4, .alb5, .alb6, .ald, .alf, .ali, .allet, .alm, .alt, .alt3, .alt5, .aly, .am, .amf, .aml, .amr, .amt, .amu, .amx, .amxx, .anekspakiet, .aneksskrypt, .anl, .ann, .ans, .ansr, .anx, .aod, .aoi, .ap, .apa, .apd, .ape, .apf, .api, .apj, .apk, .apnx, .apo, .app, .approj, .apr, .apt, .apw, .apxl, .arc, .arch00, .ard, .arf, .arff, .ari, .arj, .aro, .arr, .ars, .art, .arv, .arw, .as$, .as, .as3, .asa, .asc, .ascm, .ascx, .asd, .ase, .asf, .ashx, .ask, .asl, .asm, .asmx, .asn, .asnd, .asp, .aspx, .asr, .asset, .ast, .asv, .asvx, .asx, .ath, .atl, .atomsvc, .atw, .auc, .automaticdestinations-ms, .aux, .av, .avd, .avdata, .avhd, .avhdx, .avi, .avn, .avs, .awd, .awe, .awg, .awp, .aws, .awt, .aww, .awwp, .ax, .axc, .axmodelstore, .axx, .azf, .azs, .azw, .azw1, .azw3, .azw4, .b, .b27, .b2a, .b5i, .ba0, .ba1, .ba10, .ba2, .ba3, .ba4, .ba5, .ba6, .ba7, .ba8, .ba9, .bac, .back, .backup, .backup0, .backup1, .backup2, .backup3, .backup4, .backup5, .backup6, .backup7, .backup8, .backup9, .backupdb, .bad, .bak, .bak~, .bak1, .bak2, .bak3, .bak4, .bal, .bamboopaper, .bank, .bar, .bas, .bat, .bau, .bax, .bay, .bbcd, .bbl, .bbprojectd, .bbs, .bbxt, .bc5, .bc6, .bc7, .bcd, .bck, .bco, .bcp, .bda, .bdb, .bdb2, .bdp, .bdr, .bdt, .bdt2, .bdt3, .bean, .benchmark, .bfa, .bgt, .bgv, .bi8, .bib, .bibtex, .bic, .big, .bik, .bil, .bin, .bina, .bitstak, .bizdocument, .bjl, .bk!, .bk, .bk1, .bk2, .bk3, .bk4, .bk5, .bk6, .bk7, .bk8, .bk9, .bkf, .bkg, .bkp, .bks, .bkup, .bld, .blend, .blend2, .blg, .blk, .blm, .blob, .blp, .bmc, .bmf, .bmk, .bml, .bmm, .bmml, .bmp, .bmpr, .bna, .bnd, .boc, .book, .bop, .bp1, .bp2, .bp3, .bpdx, .bpf, .bpk, .bpl, .bpm, .bpmc, .bps, .bpw, .brd, .breaking_bad, .brh, .brl, .brs, .brx, .bsa, .bsk, .bso, .bsp, .bst, .bt, .btc, .btd, .btf, .btoa, .btw, .btx, .bup, .burn, .burntheme, .bus, .bvd, .bwd, .bwf, .bwp, .bxx, .bzabw, .c, .c2d, .c2e, .c6, .cab, .cache, .cad, .cadoc, .cae, .cag, .calca, .cam, .camproj, .camrec, .cap, .capt, .car, .caro, .cas, .cat, .catdrawing, .catpart, .catproduct, .cawr, .cba, .cbf, .cbor, .cbr, .cbu, .cbz, .cc, .ccc, .cccrrrppp, .ccd, .ccf, .cch, .ccitt, .cd, .cd1, .cd2, .cdc, .cdd, .cddz, .cdf, .cdi, .cdk, .cdl, .cdm, .cdml, .cdmm, .cdmz, .cdn, .cdpz, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cds, .cdt, .cdtx, .cdu, .cdx, .cdxml, .ce1, .ce2, .cef, .cer, .cerber, .cerber2, .cerber3, .cert, .cf, .cf5, .cfd, .cfg, .cfp, .cfr, .cfs, .cfu, .cfx, .cgf, .cgfiletypetest, .cgi, .cgm, .cgp, .chi, .chk, .chm, .chml, .chmprj, .chp, .chpscrap, .cht, .chtml, .ci, .cib, .cida, .cif, .cipo, .civ4worldbuildersave, .civbeyondswordsave, .cl2arc, .cl2doc, .clam, .clarify, .class, .clb, .clkd, .clkt, .clp, .clr, .cls, .clx, .cly, .cmake, .cmd, .cmf, .cml, .cmp, .cms, .cmt, .cmu, .cnf, .cng, .cnt, .cnv, .cod, .col, .com, .comicdoc, .comiclife, .compositionmodel, .compositiontemplate, .con, .conf, .config, .contact, .converterx, .coverton, .cp, .cpbdf, .cpc, .cpd, .cpdt, .cphd, .cpi, .cpio, .cpp, .cps, .cpy, .cr2, .crashed, .craw, .crb, .crd, .creole, .cri, .crinf, .crjoker, .crl, .crptrgr, .crs, .crs3, .crt, .crtr, .crw, .crwl, .cry, .cryp1, .crypt, .crypted, .cryptolocker, .cryptowall, .cryptra, .crypz, .crysis, .cs, .cs8, .csa, .cse, .csh, .cshtml, .csi, .csl, .cso, .csp, .csproj, .csr, .css, .cst, .csv, .csw, .ctb, .ctbl, .ctd, .cte, .ctf, .ctl, .ctt, .ctxt, .cty, .cuc, .cue, .current, .cvj, .cvl, .cvw, .cw3, .cwf, .cwk, .cwn, .cwr, .cws, .cwwp, .cyi, .cys, .czs, .czvxce, .d, .d2s, .d3dbsp, .dac, .dadx, .dag, .dal, .dap, .dar, .darkness, .das, .dash, .dat, .dat_bak, .data, .database, .datx, .dav, .dayzprofile, .dazip, .db, .db_journal, .db0, .db3, .dba, .dbb, .dbc, .dbd, .dbf, .dbfv, .db-journal, .dbk, .dbr, .dbs, .dbx, .dc2, .dc4, .dca, .dcd, .dcf, .dch, .dcl, .dcm, .dco, .dcp, .dcr, .dcs, .dct, .dct5, .dcu, .ddc, .ddcx, .ddd, .ddf, .ddif, .ddoc, .ddrw, .dds, .deb, .debian, .dec, .decryptional, .ded, .def, .default, .del, .dem, .deploy, .der, .des, .desc, .description, .design, .desklink, .deskthemepack, .det, .deu, .dev, .dex, .dfb, .dfe, .dfl, .dfm, .dft, .dfti, .dgc, .dgm, .dgpd, .dgr, .dgrh, .dgs, .dharma, .dhe, .dia, .dic, .did, .dif, .dii, .dim, .dime, .dip, .dir, .directory, .disc, .disco, .disk, .dit, .divx, .dix, .diz, .djbz, .djv, .djvu, .dk, .dk@p, .dl5, .dlc, .dlg, .dll, .dlm, .dmbk, .dmg, .dmp, .dmp1, .dmp2, .dmp3, .dmp4, .dmp5, .dmp6, .dmp7, .dmp8, .dmp9, .dmt, .dmtemplate, .dmv, .dmx, .dna, .dng, .dnl, .dob, .doc#, .doc, .docb, .doce, .docenx, .dochtml, .docl, .docm, .docmhtml, .docs, .docset, .docstates, .doct, .documentrevisions-v100, .docx, .docxl, .docxml, .dof, .dok, .dot, .dothtml, .dotm, .dotmenx, .dotx, .dotxenx, .dox, .doxy, .doz, .dp, .dpd, .dpf, .dpi, .dpk, .dpl, .dpp, .dpr, .dr, .drd, .dream, .drf, .drm, .drmx, .drmz, .drv, .drw, .dsc, .dsd, .dsdic, .dsf, .dsg, .dsh, .dsk, .dsl, .dsn, .dsp, .dsy, .dt, .dtd, .dtddb, .dtm, .dtml, .dtp, .dtpage, .dtrestore, .dtsx, .dtx, .dtxl, .dump, .dvb, .dvd, .dvi, .dvr, .dvs, .dvsdrw, .dvx, .dvz, .dwd, .dwdoc, .dwf, .dwfx, .dwg, .dwlibrary, .dwp, .dwt, .dxb, .dxd, .dxe, .dxf, .dxg, .dxn, .dxr, .dxstudio, .dzp, .e, .e3s, .e4a, .easmx, .ebk, .ebs, .ec4, .ecc, .eco, .ecr, .edb, .edd, .edf, .edi, .edl, .edml, .edn, .edoc, .edrwx, .edt, .edz, .efa, .efax, .efd, .eff, .efi, .efl, .efm, .efr, .eftx, .efu, .efx, .egg, .egr, .egt, .ehp, .eif, .eip, .ekm, .el6, .eld, .elf, .elfo, .eln, .elo, .email, .emc, .emf, .eml, .emlxpart, .emm, .enc, .enciphered, .encrypt, .encrypted, .enfpack, .enigma, .ent, .env, .enx, .enyd, .eob, .eot, .ep, .epdf, .epf, .epk, .epp, .eprtx, .eps, .epsf, .ept, .epub, .epx, .eql, .erbsql, .erd, .ere, .erf, .erl, .err, .es, .es3, .esc, .esd, .esf, .esm, .esp, .esql, .ess, .est, .esv, .et, .ete, .etng, .etnt, .ets, .etx, .euc, .evn, .evo, .evtx, .evy, .ewl, .ex, .exc, .exd, .exe, .exf, .exif, .exprwdhtml, .exprwdxml, .exss, .exx, .eye, .ez, .ezc, .ezm, .ezs, .ezz, .f, .f4v, .f90, .f96, .fac, .fadein, .fae, .fantom, .faq, .fax, .fbd, .fbk, .fbp6, .fbs, .fcd, .fcf, .fcstd, .fd, .fdb, .fdf, .fdoc, .fdr, .fds, .fdseq, .fdw, .fdx, .fed, .feed-ms, .feedsdb-ms, .ff, .ff2, .ffa, .ffd, .ffdata, .fff, .ffl, .ffo, .fft, .ffx, .fh, .fhd, .fig, .fin, .fk, .fkc, .fkx, .fl, .fla, .flac, .flag, .flat, .flf, .flib, .flk, .flka, .flkb, .flm, .flp, .fls, .flt, .fltr, .flv, .flvv, .fly, .fm, .fm3, .fmc, .fmd, .fmf, .fml, .fmp, .fmp3, .fmt, .fmx, .fnc, .fnf, .fo, .fob, .fodg, .fodp, .fods, .fodt, .folio, .for, .forge, .fos, .fountain, .fp, .fp7, .fpage, .fpdoclib, .fpenc, .fphomeop, .fpk, .fplinkbar, .fpp, .fpt, .fpx, .fra, .frag, .frdat, .frdoc, .freepp, .frelf, .frf, .frm, .frx, .fs, .fsc, .fsd, .fsf, .fsh, .fsp, .fss, .ft10, .ft11, .ft7, .ft8, .ft9, .ftil, .ftr, .ful, .fun, .fwk, .fwtemplate, .fxd, .fxg, .fxo, .fxp, .fxr, .fzh, .fzip, .g, .g32, .ga3, .gam, .gan, .gbk, .gbkk, .gcsx, .gct, .gdb, .gdbindexes, .gdbtable, .gdbtablx, .gdc, .gdoc, .ged, .gem, .geo, .gev, .gevl, .gfe, .gform, .gfx, .ggb, .ghe, .gho, .gif, .gil, .giw, .glink, .glk, .glo, .globe, .glos, .gly, .gm, .gml, .gmp, .gmu, .gmx, .gnd, .gno, .gofin, .good, .gp4, .gpc, .gpd, .gpf, .gpg, .gpn, .gpx, .gpz, .gr, .gra, .grade, .gray, .grey, .grf, .grk, .grle, .groups, .grs, .grx, .gry, .gs, .gsa, .gsf, .gsheet, .gslides, .gsm, .gthr, .guess, .gui, .gul, .gvi, .gxk, .gxl, .gz, .gzig, .gzip, .h, .h1q, .h1s, .h1w, .h2o, .h3m, .h4r, .ha3, .haml, .hbk, .hbl, .hbx, .hcl, .hcw, .hda, .hdb, .hdd, .hdl, .hds, .hdt, .hdx, .hed, .help, .helpindex, .herbst, .hex, .hfd, .hfmx, .hft, .hgt, .hhs, .hightex, .his, .hive, .hkdb, .hkx, .hld, .hlf, .hlp, .hlx, .hlx2, .hlz, .hm2, .hmskin, .hnd, .hoi4, .hot, .hp2, .hpd, .hpj, .hplg, .hpo, .hpp, .hps, .hpt, .hpw, .hqx, .hrx, .hs, .hsm, .hsx, .hta, .htm, .htm~, .html, .htmls, .htmlz, .htms, .htpasswd, .htz5, .hur, .hvpl, .hw3, .hwp, .hwpml, .hwt, .hxe, .hxi, .hxq, .hxr, .hxs, .hyp, .hype, .i, .i00, .i01, .i02, .i03, .i04, .i05, .iab, .iaf, .ial, .iam, .iar, .ib, .ibank, .ibcd, .ibd, .ibk, .ibu, .ibz, .icalevent, .icaltodo, .icc, .icm, .icml, .icmt, .ico, .ics, .icst, .icxs, .idap, .idc, .idd, .idl, .idml, .idp, .idw, .idx, .ie5, .ie6, .ie7, .ie8, .ie9, .ienc, .iff, .ifp, .ign, .igr, .igs, .ihf, .ihp, .iif, .iiq, .iks, .ila, .ildoc, .img, .imp, .imr, .incp, .incpas, .ind, .indb, .indd, .index, .indl, .indp, .indt, .inf, .info, .inform, .inform_connected, .ini, .ink, .inld, .inlk, .inp, .inprogress, .inrs, .inss, .installhelper, .installstate, .insx, .int, .internetconnect, .inv, .inx, .ioca, .iof, .ipa, .ipe, .ipf, .ipr, .ipt, .iqd, .irx, .ish1, .ish2, .ish3, .iso, .ispx, .isu, .isz, .itc2, .itdb, .ite, .itl, .itm, .itmz, .itp, .its, .iv2i, .iva, .ivt, .iw44, .iwa, .iwd, .iwi, .iwprj, .iwtpl, .ix, .ixv, .j, .jac, .jar, .jav, .java, .jb2, .jbc, .jbig, .jbig2, .jc, .jdd, .jfif, .jge, .jgz, .jhd, .jiaf, .jias, .jif, .jiff, .jnt, .job, .joe, .jp1, .jpc, .jpe, .jpeg, .jpf, .jpg, .jpgx, .jpm, .jpw, .jrc, .jrf, .jrl, .jrprint, .jrs, .js, .jsd, .json, .jsp, .jspa, .jspx, .jtd, .jtdc, .jtt, .jtv, .jtx, .just, .jw, .jwl, .jww, .k, .k25, .kbd, .kbf, .kc2, .kdb, .kdbx, .kdc, .kde, .kdf, .kdx, .kernel_complete, .kernel_pid, .kernel_time, .kes, .key, .keybtc@inbox_com, .keynote, .key-tef, .kf, .kfm, .kfp, .kgb, .khi, .khstore, .kid, .kimcilware, .kkk, .klp, .klq, .klw, .kmz, .knf, .knt, .kod, .kom, .kos, .kpdx, .kpr, .kpxe, .kraken, .kratos, .ksb, .ksb2, .ksd, .ksp, .kss, .ksw, .kuip, .kum, .kwd, .kwm, .kwp, .l, .laccdb, .lastlogin, .lat, .latex, .lax, .lay, .lay6, .layout, .lbf, .lbi, .lbl, .lcd, .lcf, .lck, .lcn, .lct, .ldb, .ldc, .ldf, .ldm, .lechiffre, .legion, .len, .lfe, .lgd, .lgf, .lgp, .lhd, .lib, .lic, .lid, .lit, .litemod, .ll3, .llv, .lmd, .lng, .lngttarch2, .lnk, .localstorage, .lock, .locked, .locky, .loe, .log, .logonxp, .lok, .lol!, .lot, .lp, .lp2, .lp7, .lpa, .lpc, .lpd, .lpdf, .lpx, .lrf, .lrg, .ls5, .lsf, .lst, .lstore, .ltcx, .ltm, .ltr, .ltx, .lua, .lvd, .lvivt, .lvl, .lvw, .lwd, .lwl, .lwo, .lwp, .lyr, .lyx, .lz, .lzf, .lzx, .m, .m13, .m14, .m2, .m2ts, .m3u, .m3u8, .m4, .m4a, .m4l, .m4p, .m4t, .m4u, .m4v, .m7g, .m7p, .ma0, .ma1, .mac, .maca, .mag, .magic, .maker, .maml, .man, .manifest, .manu, .map, .mapimail, .marc, .mark, .markdn, .mars, .mass, .max, .maxfr, .maxm, .mbbk, .mbox, .mbx, .mc9, .mcd, .mcdx, .mcf, .mcgame, .mcmac, .mcmeta, .mcp, .mcrp, .mcw, .md, .md0, .md1, .md2, .md3, .md5, .mda, .mdb, .mdbackup, .mdbhtml, .mdc, .mdccache, .mddata, .mde, .mdf, .mdg, .mdi, .mdk, .mdl, .mdn, .mds, .mdt, .mecontact, .med, .mef, .meh, .mell, .mellel, .menu, .meo, .met, .metadata_never_index, .mf, .mfa, .mfp, .mfw, .mga, .mgj, .mgmt, .mgourmet, .mgourmet3, .mhp, .mht, .mhtenx, .mhtml, .mhtmlenx, .mi, .mic, .micro, .mid, .mif, .mig, .mim, .mime, .mindnode, .mip, .mission, .mix, .mjd, .mjdoc, .mkd, .mke, .mkr, .mks, .mkv, .mla, .mlb, .mlj, .mlm, .mlo, .mls, .mlsxml, .mlx, .mm, .mm2se, .mm6, .mm7, .mm8, .mmap, .mmc, .mmd, .mme, .mmjs, .mml, .mmo, .mmsw, .mmw, .mnu, .mny, .mo, .mobi, .mod, .moneywell, .mos, .mov, .movie, .moz, .mp1, .mp2, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpf, .mpg, .mph, .mpj, .mpp, .mpq, .mpqge, .mpr, .mpt, .mpv, .mpv2, .mrd, .mrimg, .mrk, .mrom, .mru, .mrw, .mrwref, .ms, .msb, .msd, .mse, .msg, .mshc, .msi, .msie, .msl, .mso, .msor, .msp, .msq, .mst, .ms-tnef, .msu, .msw, .mswd, .mta, .mtdd, .mtml, .mto, .mtp, .mts, .mtx, .mua, .mug, .mui, .mvd, .mvdx, .mvex, .mwd, .mwii, .mwpd, .mwpp, .mws, .mxd, .mxg, .mxl, .mxp, .myapp, .myd, .mydocs, .myi, .myo, .mz, .n, .n3, .nar, .narrative, .nav, .navmap, .nb, .nba, .nbak, .nbf, .nbp, .nbu, .ncc, .ncd, .ncf, .nd, .ndd, .ndf, .ndl, .ndr, .nds, .ne0, .ne1, .ne3, .nef, .nfo, .nfs11save, .ng, .nit, .njx, .nk2, .nmbtemplate, .nmu, .nokogiri, .nom, .nop, .note, .now, .npd, .npdf, .npp, .npt, .nrbak, .nrg, .nrg, .nri, .nrl, .nrmlib, .nrw, .ns, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nst, .ntf, .ntl, .ntp, .nts, .ntx, .number, .numbers, .nup, .nvd, .nvdl, .nvram, .nwb, .nwbak, .nwcab, .nwcp, .nwd, .nx^d, .nx__, .nx1, .nx2, .nxl, .nyf, .nzb, .o, .oa2, .oa3, .oab, .oad, .oas, .obd, .obj, .obr, .obt, .obx, .obz, .ocdc, .ocr, .ocs, .ocx, .oda, .odb, .odc, .odccubefile, .odcodc, .odf, .odg, .odh, .odi, .odif, .odm, .odo, .odp, .ods, .odt#, .odt, .odttf, .odz, .officeui, .ofn, .oft, .oga, .ogc, .ogg, .oil, .ojz, .okm, .old, .ole, .ole2, .olf, .olv, .oly, .omg, .omlog, .omp, .onb, .one, .oos, .oot, .opal, .opax, .opd, .opf, .opj, .oplx, .opn, .opt, .opx, .opxs, .orf, .org, .ort, .osd, .osdx, .osf, .ost, .ostore, .otc, .otf, .otg, .oth, .oti, .otn, .otp, .ots, .ott, .otw, .out, .ova, .ovd, .ovr, .owl, .oxf, .oxps, .oxt, .p, .p10, .p12, .p2s, .p3, .p3x, .p5tkjw, .p65, .p7b, .p7c, .p7m, .p7z, .pab, .pack, .pad, .padcrypt, .pages, .pages-tef, .pak, .paq, .par, .partial, .pas, .pat, .paux, .paym, .paymrss, .payms, .paymst, .paymts, .payrms, .pays, .pbd, .pbf, .pbk, .pbp, .pbr, .pbs, .pbx5script, .pbxscript, .pcd, .pcf, .pcj, .pct, .pcv, .pcw, .pd, .pdb, .pdc, .pdcr, .pdd, .pdf, .pdf_, .pdf_profile, .pdf_tsid, .pdfa, .pdfe, .pdfenx, .pdfl, .pdfua, .pdfvt, .pdfx, .pdfxml, .pdfz, .pdg, .pdj, .pdl, .pdp, .pdz, .peb, .pef, .pem, .pez, .pf, .pfc, .pfd, .pfl, .pfm, .pfp, .pfr, .pfsx, .pft, .pfx, .pg, .pgs, .php, .phr, .phs, .pif, .pih, .pixexp, .pj2, .pj4, .pj5, .pk, .pkb, .pkey, .pkg, .pkh, .pkpass, .pl, .plan, .plb, .plc, .pld, .pli, .pln, .pls, .plt, .plus_muhd, .ply, .pm, .pm3, .pm4, .pm5, .pm6, .pm7, .pmd, .pmt, .pmv, .pmx, .png, .pnm, .pnu, .po, .poar2w, .pod, .poi, .pool, .pot, .pothtml, .potm, .potx, .pp3, .ppam, .ppd, .ppdf, .ppf, .ppj, .ppk, .ppl, .ppp, .ppr, .pps, .ppsenx, .ppsm, .ppsx, .ppt, .ppte, .pptf, .ppthtml, .pptl, .pptm, .pptmhtml, .pptt, .pptx, .ppws, .ppx, .prc, .prd, .pre, .pref, .prel, .prf, .prj, .prn, .pro, .pro4, .pro4dvd, .pro5, .pro5dvd, .pro5plx, .pro5x, .proc, .proofingtool, .props, .proqc, .prproj, .prr, .prs, .prt, .prtc, .prv, .prz, .ps, .ps1, .ps2, .ps3, .psa, .psafe3, .psb, .psd, .pse8db, .psf, .psg, .psi2, .psip, .psk, .psm, .psm1, .psmd, .pspimage, .pst, .psw, .psw6, .pswx, .psz, .pt3, .pt6, .ptb, .ptc, .ptf, .pth, .ptk, .ptn, .ptn2, .ptr, .pts, .ptx, .pub, .pubf, .pubhtml, .pubmhtml, .pubx, .purge, .puz, .pvc, .pvd, .pve, .pvf, .pw, .pwd, .pwe, .pwf, .pwi, .pwm, .pwp, .pwre, .pxd, .pxl, .pxp, .py, .pyd, .pyi, .pys, .pzc, .pzdc, .pzf, .pzt, .q, .qba, .qbb, .qbl, .qbm, .qbr, .qbw, .qbx, .qby, .qch, .qcow, .qcow2, .qct, .qdf, .qed, .qel, .qfl, .qfxx, .qhp, .qht, .qhtm, .qic, .qif, .qlgenerator, .qm, .qnr, .qpm, .qpx, .qr2, .qr3, .qrt, .qsd, .qt, .qtq, .qtr, .qtw, .qtx, .quox, .qvw, .qwd, .qwt, .qxb, .qxd, .qxl, .qxp, .qxt, .r, .r00, .r01, .r02, .r03, .r0f, .r0z, .r3d, .r5a, .ra, .ra2, .raf, .ram, .ramd, .rap, .rar, .rat, .raw, .razy, .rb, .rbc, .rc, .rcb, .rd, .rd1, .rdb, .rdf, .rdfs, .rdi, .rdl, .rdlc, .rdm, .rdo, .rdoc, .rdoc_options, .rdp, .rdz, .re4, .rec, .reg, .rekt, .rels, .rep, .res, .resbuild, .rest, .result, .resx, .rev, .rf, .rf1, .rft, .rgn, .rgo, .rgss3a, .rha, .rhif, .rhu, .rim, .rit, .rlf, .rll, .rm, .rm5, .rmd, .rmf, .rmh, .rna, .rng, .rnt, .rnw, .ro3, .rofl, .roi, .rokku, .rom, .ros, .rov, .row, .rox, .rpf, .rph, .rpt, .rptr, .rqm, .rrd, .rrk, .rrl, .rrpa, .rrt, .rrx, .rs, .rsdf, .rsdoc, .rsds, .rsm, .rsp, .rsrc, .rst, .rsw, .rt, .rt_, .rtdf, .rte, .rtf, .rtf_, .rtfd, .rtk, .rtm, .rtpi, .rts, .rtsl, .rtsx, .rtx, .rum, .run, .rv, .rvf, .rvt, .rw2, .rwl, .rwlibrary, .rwz, .rxdoc, .rxl, .rzk, .rzx, .s, .s1, .s10, .s11, .s12, .s13, .s14, .s15, .s16, .s17, .s18, .s19, .s2, .s20, .s21, .s22, .s23, .s24, .s25, .s26, .s27, .s28, .s29, .s3, .s3db, .s4, .s5, .s6, .s7, .s8, .s8bn, .s9, .sa5, .sa7, .sa8, .saas, .sad, .saf, .safe, .safetext, .sai, .sal, .sam, .sas7bdat, .sav, .save, .say, .sb, .sbb, .sbl, .sbn, .sbo, .sbpf, .sbsc, .sbst, .sbx, .sc2save, .scd, .scdoc, .sce, .sch, .scm, .scmt, .scn, .scp, .scr, .scriv, .scrivx, .scs, .scspack, .scssc, .sct, .scu, .scw, .scx, .sd, .sd0, .sd1, .sda, .sdb, .sdbz, .sdc, .sdd, .sddraft, .sdf, .sdi, .sdl, .sdmdocument, .sdn, .sdo, .sdoc, .sdp, .sdr, .sds, .sdt, .sdv, .sdw, .search-ms, .secure, .securecrypted, .sef, .sel, .sen, .seq, .sequ, .server, .ses, .set, .setup, .sev, .sf, .sff, .sfs, .sft, .sfx, .sgf, .sgi, .sgl, .sgm, .sgml, .sgz, .sh, .sh6, .shar, .shb, .shd, .show, .shp, .shr, .shs, .shtml, .shw, .shx, .shy, .si1, .sic, .sid, .sidd, .sidn, .sie, .sik, .sis, .skb, .skp, .sky, .sla, .sldasm, .slddrw, .sldm, .sldprt, .sldx, .slf, .slk, .slm, .sls, .slt, .slz, .sm, .smd, .sme, .smf, .smh, .smlx, .smn, .smp, .sms, .smwt, .smx, .smz, .sn1, .sn10, .sn11, .sn12, .sn13, .sn14, .sn15, .sn16, .sn17, .sn18, .sn19, .sn2, .sn20, .sn21, .sn22, .sn23, .sn24, .sn25, .sn26, .sn27, .sn28, .sn29, .sn3, .sn30, .sn4, .sn5, .sn6, .sn7, .sn8, .sn9, .sna, .snb, .snf, .sng, .snk, .snp, .snt, .snx, .so, .soa, .soi, .sp, .spb, .spd, .spdf, .spk, .spl, .spm, .spml, .sppt, .spr, .sprt, .sprz, .spx, .sql, .sql1, .sql2, .sqlite, .sqlite3, .sqlitedb, .sqllite, .sqx, .sqz, .sr2, .src, .srf, .srfl, .srs, .srt, .srw, .ssa, .ssh, .ssi, .ssiw, .ssm, .sso, .ssx, .st4, .st5, .st6, .st7, .st8, .sta, .stbox, .stc, .std, .step, .sti, .stm, .stp, .stpz, .struct, .stt, .stw, .stx, .stxt, .sty, .sud, .suf, .sum, .suo, .surf, .surprise, .sv2i, .svb, .svd, .svdl, .svg, .svi, .svm, .svn, .svp, .svr, .svs, .swd, .swdoc, .sweb, .swf, .switch, .swp, .sxc, .sxd, .sxe, .sxg, .sxi, .sxl, .sxm, .sxml, .sxw, .sym, .syn, .syncdb, .sys, .szf, .t, .t01, .t03, .t05, .t10, .t12, .t13, .t14, .t2, .t2k, .t2t, .t4g, .t80, .ta1, .ta2, .ta9, .tab, .tabula-doc, .tabula-docstyle, .tah, .tar, .tax, .tax2009, .tax2013, .tax2014, .tb, .tbb, .tbd, .tbk, .tbkx, .tbl, .tbz2, .tcd, .tch, .tck, .tcx, .tdg, .tdl, .tdoc, .tdr, .te1, .template, .tested, .tex, .texi, .texinfo, .text, .textclipping, .textile, .tfd, .tfm, .tfr, .tfrd, .tfz, .tg, .tga, .tgz, .thm, .thml, .thmx, .thr, .tib, .tif, .tiff, .tjp, .tk3, .tkf, .tlb, .tld, .tlg, .tlt, .tlx, .tlz, .tm, .tm3, .tmb, .tmd, .tml, .tmlanguage, .tmp, .tmpl, .tmv, .tmz, .tns, .tnsp, .toast, .toc, .topx, .tor, .torrent, .totalslayout, .tp, .tpl, .tpo, .tpsdb, .tpu, .tpx, .trash, .trashinfo, .trc, .trdp, .trdx, .tre, .trif, .trn, .trp, .ts, .tsc, .tsf, .tt11, .tt2, .ttax, .ttf, .ttt, .ttxt, .tu, .tur, .tvd, .twdi, .twdx, .tww, .tx, .txd, .txe, .txf, .txm, .txn, .txt, .txtrpt, .typ, .u, .u3d, .uax, .ubz, .ucd, .udb, .udf, .udl, .uea, .ufi, .uhtml, .ukr, .ulf, .uli, .ulys, .ump, .umv, .umx, .unf, .unity3d, .unr, .unx, .uof, .uop, .uos, .uot, .upc, .updating, .updf, .upg, .upk, .upoi, .upp, .urd-journal, .urf, .url, .urp, .usa, .user, .usr, .usx, .ut2, .ut3, .utc, .utd, .ute, .utf8, .uti, .utm, .uts, .utx, .uu, .uud, .uue, .uvx, .uxx, .v, .v2i, .v2t, .val, .var, .vault, .vb, .vbadoc, .vbd, .vbk, .vbm, .vbox, .vbox-prev, .vbp, .vbs, .vc, .vc4, .vc6, .vc7, .vc8, .vcal, .vcd, .vce, .vcf, .vdf, .vdi, .vdo, .vdoc, .vdproj, .vdt, .venusf, .ver, .vf, .vfs0, .vgd, .vhd, .vhdx, .vib, .view, .vip, .vis, .viz, .vlc, .vlt, .vmb, .vmbx, .vmdk, .vmem, .vmf, .vmg, .vml, .vmm, .vmsd, .vmsg, .vmt, .vmx, .vmxf, .vnsdf, .vob, .voprefs, .vor, .vos, .vox, .vp, .vpk, .vpl, .vpp_pc, .vrb, .vs, .vsd, .vsdx, .vsf, .vsi, .vspolicy, .vst, .vstx, .vsv, .vtf, .vthought, .vtv, .vtx, .vvv, .vw, .vw3, .vwd, .w, .w2p, .w3g, .w3x, .w51, .w52, .w60, .w61, .w6bn, .w6w, .w8bn, .w8tn, .wab, .wad, .waff, .wallet, .war, .wav, .wave, .waw, .wb, .wb2, .wb3, .wbcat, .wbd, .wbk, .wbt, .wbxml, .wbz, .wcf, .wcl, .wcn, .wcp, .wcst, .wd, .wd0, .wd1, .wd2, .wdbn, .wdgt, .wdl, .wdn, .wdoc, .wds, .wdt, .wdx, .wdx9, .web, .webdoc, .webpart, .wep, .wfa, .wflx, .wht, .wid, .wim, .windata8s, .windows10, .wiz, .wk!, .wk1, .wk3, .wk4, .wkb, .wki, .wkl, .wks, .wlb, .wld, .wll, .wls, .wlxml, .wm, .wma, .wmd, .wmdb, .wmf, .wmga, .wmk, .wml, .wmlc, .wmmp, .wmo, .wms, .wmv, .wmx, .wn, .wolf, .word, .wordlist, .wotreplay, .wow, .wp, .wp42, .wp5, .wp50, .wp6, .wp7, .wpa, .wpc2, .wpd, .wpd0, .wpd1, .wpd2, .wpd3, .wpe, .wpf, .wpk, .wpl, .wpost, .wps, .wpt, .wpw, .wr1, .wrf, .wri, .wrk, .wrl, .wrlk, .ws, .ws1, .ws2, .ws3, .ws4, .ws5, .ws6, .ws7, .wsd, .wsf, .wsh, .wsp, .wtbn, .wtd, .wtf, .wtmp, .wtp, .wtr, .wts, .wtt, .wtv, .wtx, .wvw, .wvx, .wwcx, .wwi, .wwl, .wws, .wwt, .wxmx, .wxp, .wyn, .wzn, .wzs, .x, .x11, .x16, .x32, .x3f, .x3g, .xal, .xamlx, .xar, .xav, .xbd, .xbrl, .xci, .xda, .xdc, .xdf, .xdi, .xdo, .xdoc, .xdw, .xel, .xf, .xfd, .xfdf, .xfi, .xfl, .xfn, .xfo, .xfp, .xfx, .xgml, .xht, .xhtm, .xhtml, .xif, .xig, .xis, .xjf, .xl, .xla, .xlam, .xlb, .xlc, .xle, .xlf, .xline, .xlist, .xlk, .xll, .xlm, .xlnk, .xlr, .xls, .xlsb, .xlse, .xlshtml, .xlsl, .xlsm, .xlst, .xlsx, .xlsxl, .xlt, .xlthtml, .xltm, .xltx, .xlv, .xlw, .xlwx, .xma, .xmdf, .xml, .xmmap, .xmn, .xmp, .xms, .xmt_bin, .xmta, .xpc, .xpd, .xpi, .xpm, .xpo, .xps, .xpse, .xpt, .xpwe, .xqm, .xqr, .xqx, .xrdml, .xsc, .xsd, .xsig, .xsl, .xslt, .xsn, .xtbl, .xtd, .xtg, .xtml, .xtps, .xtrl, .xv0, .xv2, .xv3, .xva, .xvg, .xvid, .xvl, .xwd, .xweb3htm, .xweb3html, .xweb4stm, .xweb4xml, .xwf, .xwp, .xxe, .xxx, .xy, .xy3, .xy4v, .xyd, .xyz, .y, .y3t1, .y79x0, .yab, .ycbcra, .yenc, .yml, .ync, .yps, .yuv, .z, .z0, .z02, .z04, .z1, .z10, .z11, .z12, .z13, .z14, .z15, .z16, .z2, .z3, .z4, .z5, .z6, .z7, .z8, .z9, .zap, .zbi, .zcrypt, .zda, .zepto, .zfo, .zi0, .zi1, .zi2, .zi3, .zi4, .zi5, .zib, .zip, .zipx, .zm2, .zoo, .zps, .ztmp, .ztp, .zyklon, .zzz (3514 расширений).

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы, файлы прикладных программ, файлы, зашифрованные множеством других шифровальщиков и пр.пр.пр.

Файлы, связанные с этим Ransomware:
IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT
Scarab.exe
sevnz.exe
<random>.exe

Расположения:
%APPDATA%\<random>.exe

Расположения записки о выкупе:
\User\Desktop\ ->
\User\Downloads\ ->
\User\Documents\ ->
\User\ ->
\Users\Public\ ->
\User\Desktop\ ->
\Users\Public\Downloads\ ->
\Users\Public\Documents\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
uSjBVNE = "%Application Data%\sevnz.exe
См. ниже результаты анализов.

Сетевые подключения и связи:
qa458@yandex.ru
Новые см. в разделе обновлений. 
См. там же результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая, с учётом всех вариантов.
Подробные сведения собираются регулярно.

---

=== Дешифровщик === Decrypter ===

Файл оригинального декриптера

Окно оригинального декриптера

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 17 июня 2017:
Пост в Твиттере >>
Расширение: .scarab
Составное расширение: .[resque@plague.desi].scarab
Email: resque@plague.desi
Файл: %APPDATA%\sevnz.exe
Записка: IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT
Результаты анализов: HA + VT


Обновление от 10 июля 2017:
См. статью Scorpio Ransomware >>
Email: help-mails@ya.ru и alexous@bk.ru
Составное расширение: .[Help-Mails@Ya.Ru].Scorpio 
Записка: IF_YOU_WANT_TO_GET_ALL_YOUR_FILES_BACK_PLEASE_READ_THIS.TXT


Обновление от 18 июля 2017:
Пост в Твиттере >>
Тема поддержки >>
Расширение: .[mich78@usa.com]
Email: mich78@usa.com и michael78@india.com 
Записка: Instruction for file recovery.txt
Результаты анализов: HA + VT
Примеры зашифрованных файлов:
+29XnHyq820v7SFjNBu44yFizNko***.[mich78@usa.com]
0aeq3TWP9ye2fja1qjhLuj=pQIYbK***.[mich78@usa.com]
2culANew=cPtlJPVOnCG9eWf=bcpk***.[mich78@usa.com]



Обновление от 8-15 августа 2017:
Посты на форуме: 8 августа, 15 августа

Расширение: .scarab
Записка о выкупе: IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.txt
BitMessage-Email: BM-2cu7jispwyc8ttpjfw26clfk3v3mrvsbj7@bitmessage.ch


Обновление от 31 августа 2017:
Расширение: .scarab
Составное расширение: .[decrypt@hellokittyy.top].scarab
Email: decrypt@hellokittyy.top
BitMessage-Email: BM-2cu7jispwyc8ttpjfw26clfk3v3mrvsbj7@bitmessage.ch
---
Пример зашифрованного файла:
FVvrFbOhdIOGEe4q3MOQPXrJGIJL7.[decrypt@hellokittyy.top].scarab
Записка о выкупе: IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT

➤ Содержание записки:
*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
+4IAAAAAAA***
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: decrypt@hellokittyy.top
If you don't get a reply or if the email dies, then contact us using Bitmessage.
Download it form here: xxxxs://bitmessage.org/wiki/Main_Page
Run it, click New Identity and then send us a message at bm-2cu7jispwyc8ttpjfw26clfk3v3mrvsbj7@bitmessage.ch
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
--- 
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins
---
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
---
Пост на форуме >>


Обновление 31 октября 2017:
См. отдельную статью Scarab-Jackie Ransomware >>
Расширение: .[Jackie7@Asia.Com] согласно шаблону .[email]
Записка: INSTRUCTION FOR DATA RECOVERY.TXT
Email: Jackie7@asia.com and Jchan@india.com
Файлы: Manager_Agent.exe, Manager_Agent.old.exe
Результаты анализов: HA + VT 


Обновление от 23 ноября 2017:
🎥 Video review
Пост в Твиттере >>
Пост в Твиттере >>
Новая вредоносная кампания! 
Распространение: ботнет Necurs, вредоносный email-спам.

Расширение: .scarab
Составное расширение: .[suupport@protonmail.com].scarab
Целевые расширения: 3514 штук (см. список в статье).
Записка: IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
Email: suupport@protonmail.com
Email-spam: copier@victimsdomain.com и другие
BM: BM-2cTu8prUGDS6XmXqPrZiYXXeqyFw5dXEba

URL: 

 

Файл: sevnz.exe
Ключ реестра: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
uSjBVNE = "%Application Data%\sevnz.exe
Деструктивные действия:
Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки. 
Результаты анализов: 
1) HA + VT + Anyrun 
2) HA + VT + VT
3) VT + IA (Intezer)


Обновление от 8 мая 2018:
Статус: файлы можно дешифровать!

Пост на форуме >>

Расширение: .scarab
Составное расширение: namefile.pdf.[help@wizrac.com].scarab
Записка о выкупе: IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
Email: help@wizrac.com
Содержание записки о выкупе:
*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
+QIAAAAAAA***
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
Contact us using this email address: help@wizrac.com 
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
---
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
'Buy bitcoins', and select the seller by payment method and price:
* Also you can find other places to buy Bitcoins and beginners guide here:
---
Attention!
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software, it may cause permanent data loss.
* Decryption of your files with the help of third parties may cause increased price
(they add their fee to our) or you can become a victim of a scam.
---

Обновление от 16 мая 2018:
Топик на форуме >>

Расширение: .scarab
Составное расширение: .[CORDAZIUS@PROTONMAIL.COM].scarab
Email: CORDAZIUS@PROTONMAIL.COM
Записка: IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT 
Файлы: item.dat, <random>.exe

Обновление 19-20 июня 2018:
В июне 2018 злоумышленники, распространявшие шифровальщик Scarab, обновили основной крипто-конструктор. 
В предыдущих версиях Scarab-шифровальщиков это был Trojan.Encoder.18000 (по классификации Dr.Web). Файлы можно было расшифровать. 
В новых версиях файл шифровальщика детектируется уже как Trojan.Encoder.25574 (по классификации Dr.Web) и файлы расшифровать не удается. 


Обновление от 5 июля 2018: 
Новые послеиюньские версии описаны в статье Scarab-Omerta Ransomware >>

=== 2019 ===

Обновление от 21 января:
Пост в Твиттере >>
Расширение: .[Traher@Dr.Com]
Email: traher@dr.com, mack_traher@india.com
Записка: Read me what to restore files.txt

➤ Содержание записки: 
Your files are now encrypted!
Your personal ID :
+4IAAAAAAACyq***
What happened?
Your important documents, databases, documents, network folders are encrypted for your PC security problems.
No data from your computer has been stolen or deleted.
Follow the instructions to restore the files.
How to get the automatic decryptor:
1) Contact us by e-mail: traher@dr.com. In the letter, indicate your personal identifier (look at the beginning of this document)
   and the external ip-address of the computer on which the encrypted files are located.
2) After answering your request, our operator will give you further instructions that will show what to do next (the answer you will receive as soon as possible)
** Second email address mack_traher@india.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10 Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins?
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
  'Buy bitcoins', and select the seller by payment method and price:
  https://localbitcoins.com/buy_bitcoins
* Also you can find other places to buy Bitcoins and beginners guide here:
  http://www.coindesk.com/information/how-can-i-buy-bitcoins

Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price
   (they add their fee to our) or you can become a victim of a scam.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
Scarab-Enter - ноябрь 2018
Scarab-Aztec (Pizza) - декабрь 2018
Scarab-Zzz - январь 2019
Scarab-Crash - январь 2019
Scarab-Gefest - январь 2019
Scarab-Artemy - февраль 2019
Scarab-Kitty - март 2019
Scarab-Monster - апрель 2019
и другие...

Возможно, что всё не так, как нам кажется, но уж извините, отпечатки пальцев не снимали и под микроскопом не рассматривали. 
Наша задача — суммировать информацию в одном месте, чтобы пользователи могли ее найти. 

---

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Многие версии Scarab можно дешифровать!!! 
Scarab Ransomware, Scarab-Amnesia, Scarab-Decrypts 
Scarab-Horsia, Scarab-Walker, Scarab-Crypto 
Scarab-XTBL, Scarab-Oblivion... 
Кроме тех, что были обновлены 18 июня 2018 года. 
С ними сложнее. См. информацию по ссылке на второй мой сайт. 

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support

 Thanks: 
 Michael Gillespie
 Andrew Ivanov, Alex Svirid
 Emmanuel_ADC-Soft
 and victims in the topics of support
 

© Amigo-A (Andrew Ivanov): All blog articles.