Exocrypt XTC

Exocrypt XTC Ransomware

Exocrypt XTC Ransomware 2.0

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в £50 (фунтов стерлингов) в BTC, чтобы вернуть файлы. Оригинальное название: Exocrypt и Exocrypt XTC. На файле 1-й версии написано: Exocrypt.exe. На файле 2-й версии написано: Exocrypt XTC v2.0.exe.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Exocrypt > Exocrypt XTC
Родство подтверждено сервисом IntezerAnalyze >>

К зашифрованным файлам добавляется расширение .xtc

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки:

Содержание записки о выкупе:
All your personal files have been encrypted, your photos, videos and documents are no longer accessible, don't cry yet because I have not deleted them... Yet...
In order for me to decrypt your files for you, you must pay a small fee to the following bitcoin address, payment will only be accepted in bitcoin to insure anonymity... Try anything funny and your files will be permanantly encrypted forever.
Good luck.
👀
24:00:00
£50 in BTC *** [Decrypt]

Перевод записки на русский язык:
Все ваши личные файлы зашифрованы, ваши фото, видео и документы теперь недоступны, не плачьте, потому что я их не удалил... Пока...
Чтобы я расшифровал ваши файлы, вы должны заплатить мне немного денег на следующий биткоин-адрес, оплата принимается только в биткоинах, в целях анонимности ... Попробуете что-то отчудить и ваши файлы останутся зашифрованными навсегда.
👀
24:00:00
£50 в BTC *** [Decrypt]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Exocrypt.exe
XTC Decrypt0r.exe
<random>.exe - случайное название
DO_NOT_DELETE
DO_NOT_DELETE.xtc

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Exocrypt XTC Ransomware
Exocrypt XTC Ransomware 2.0

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 23 апреля 2018:
Пост в Твиттере >>
Информационные сообщения >>

Обновление от 2 мая 2018:
Новая версия: Exocrypt XTC v2.0
Пост в Твиттере >>
Расширение: .xtc
Файлы: Exocrypt XTC v2.0.exe
DO_NOT_DELETE
DO_NOT_DELETE.xtc
XTCipher_Decrypt
XTCipher_Encrypt
XTCipher_Key
BTC: 14pwAhmcC4PLcLQuMTDaLMsc4ThzHZycxK

Содержание текста в экране блокировки:
Your Personal Files Are Encrypted!
!THIS RANSOMWARE WAS MADE FOR EDUCATIONAL PURPOSES, WE WILL NOT SEND OUT ANY COPIES OF THIS VIRUS, UNLESS IT IS FOR FORENSIC PURPOSES!
Q: What is happening to my computer?
A: All your personal files have been encrypted with a military grade encryption algorithm (AES-256 x2), basically all your files are inaccessible.
Q: How can I recover my files?
A: You can't, unless you pay the fee which is stated below.
Q: How can I trust you?
A: We can't make you trust us, but are you willing to take the risk? After all, It's your files that have been encrypted.
Q: How can I pay the fee?
A: Payment will only be accepted in bitcoin to ensure anomity. Once you have your bitcoin ready, send £50 worth of bitcoin address specified below. 
---
Содержание текста после расшифровки:
Your files have been decrypted, hope to see you soon ;)
Результаты анализов: HA + VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
---
Attention!
Files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Exocrypt XTC)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Greystars

Greystars Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные серверов с помощью AES+RSA, а затем требует выкуп в 0.08 BTC или больше, чтобы вернуть файлы. Оригинальное название: неизвестно. На файле написано: нет данных.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .greystars@protonmail.com

Шаблон расширения: .<email_ransom>

Активность этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Первые пострадавшие нашлись в Китае и Иордании. 

Записка с требованием выкупа называется: 
HOW-TO-RECOVER-YOUR-FILES.HTML
How-To-Recover-Your-Files.html

Содержание записки о выкупе:
All your files have been encrypted !
How to recover your files?
All your files have been encrypted by RSA and AES due to a security problem on your PC.You have to pay for decryption in Bitcoins.
If you want to restore them.You must send 0.08 bitcoin to my bitcoins address 1JnRP8UsTDLRjzCTaJXYPr5oYkKc7bLY2Q .
After payment we will send you the decryption tool that will decrypt all your files. 
Please write us to the email greystars@protonmail.com.
Your decrypt code is AAIAABAAAABB9vJD0HK/j+mI9hCzy9kk9GWSnb/1***
Please write the decrypt code in the title of your email message .And don't forgot to write the transfer accounts info.
How to obtain Bitcoins?
The easiest way to buy bitcoins is LocalBitcoins site.You have to register.Click "Buy bitcoins".And select the seller by payment method and price. 
The Web Site address is https://localbitcoins.com/,or other websites. 
Attention!
1.Do not rename encrypted files. 
2.Do not try to decrypt your data using third party software.It may cause permanent data loss. 

Перевод записки на русский язык:
Все ваши файлы зашифрованы!
Как восстановить файлы?
Все ваши файлы были зашифрованы RSA и AES из-за проблемы с безопасностью на вашем ПК. Вы должны заплатить за дешифрование в биткоинах.
Если вы хотите восстановить их. Вы должны отправить 0.08 биткоина на мой биткоин-адрес 1JnRP8UsTDLRjzCTaJXYPr5oYkKc7bLY2Q.
После оплаты мы пришлём вам инструмент дешифрования, который расшифрует все ваши файлы.
Пожалуйста, напишите нам на email greystars@protonmail.com.
Ваш код дешифрования: AAIAABAAAABB9vJD0HK/j + mI9hCzy9kk9GWSnb/1***
Пожалуйста, напишите код дешифрования в заголовке вашего email-сообщения. И не забудьте написать информацию о счете перевода.
Как получить биткоины?
Самый простой способ купить биткоины - сайт LocalBitcoins. Вам нужно зарегистрироваться. Нажате "Buy bitcoins". И выбрать продавца по способу оплаты и цене.
Адрес веб-сайта - https://localbitcoins.com/ или другие веб-сайты.
Внимание!
1. Не переименовывайте зашифрованные файлы.
2. Не пытайтесь расшифровывать свои данные с помощью сторонних программ. Это может привести к постоянной потере данных.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов и пр.

Пропускаются файлы с расширениями:
.conf, .json, .exe, .msi 

Файлы, связанные с этим Ransomware:
HOW-TO-RECOVER-YOUR-FILES.HTML
How-To-Recover-Your-Files.html
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: greystars@protonmail.com
BTC: 1JnRP8UsTDLRjzCTaJXYPr5oYkKc7bLY2Q
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 7 сентября 2019:
Пост в Твиттере >>
Расширение: .alanwalkergod@protonmail.com
Шаблон расширения: .<email_ransom>
Записка: How-To-Recover-Your-Files.html
Email: alanwalkergod@protonmail.com
BTC: 12ZgC96U4X3ytceFfAaTEH9p5YCcvypLcD

➤ Содержание записки: 
All your files have been encrypted !
How to recover your files?
All your files have been encrypted by RSA and AES due to a security problem on your PC.You have to pay for decryption by Bitcoin.
If you want to restore them.You must send 0.2 bitcoin to my bitcoin address : 12ZgC96U4X3ytceFfAaTEH9p5YCcvypLcD .
After payment we will send you the decryption tool that will decrypt all your files.
Please write us to the email : alanwalkergod@protonmail.com.
Your personal decrypt code is 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
Please write the personal decrypt code in the text of your email message .And don't forgot to write or paste the transfer accounts info.
How to obtain Bitcoins?
The easiest way to buy bitcoins is LocalBitcoins site.You have to register.Click "Buy bitcoins".And select the seller by payment method and price.
The Web Site address is https://localbitcoins.com/,or other websites.
Attention!
1.Do not rename encrypted files.
2.Do not try to decrypt your data using third party software.It may cause permanent data loss.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 (victim in the topics of support)
 Andrew Ivanov
 Michael Gillespie
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Satyr

Satyr Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует выкуп в 0.018 BTC, чтобы вернуть файлы. Оригинальное название: Satyr и SF. На файле написано: SF.exe. Написан на языке .NET. Разработчик: Javad или tony_montana. 

© Генеалогия: Общий крипто-строитель SF Ransomware >>  Spartacus, Satyr, BlackRouter, BlackHeart

К зашифрованным файлам добавляется расширение .Satyr

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ ME.txt

Содержание записки о выкупе:
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us the Telegram: https://t.me/tony_montana10928 or @tony_montana10928 and send personal ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***
For Decrypt Your Personal Files Send 0.018 BTC to this address:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
You have to pay for decryption in Bitcoins. The price depends on how you write to us. After payment we will send you the\r\ndecryption tool that will decrypt all your files.
Your personal ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***

Перевод записки на русский язык:
Советы по безопасности
Все ваши файлы зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, пишите нам Telegram: xxxxs://t.me/tony_montana10928 или @ tony_montana10928 и отправьте персональный ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***
Для расшифровки ваших личных файлов пришлите 0.018 BTC по этому адресу:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, когда вы напишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Ваш персональный ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***


Запиской с требованием выкупа также выступает экран блокировки, встающий поверх Рабочего стола:

Содержание текста о выкупе:
Security tips
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us the Telegram: xxxxs://t.me/tony_montana10928 or @tony_montana10928 and send personal ID KEY:
AbU2ZqRplR1wWLAuw9PL4A***
For Decrypt Your Personal Files Send 0.018 BTC to this address:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
You have to pay for decryption in Bitcoins. The price depends on how you write to us. After payment we will send you the decryption tool that will decrypt all your files.

Перевод текста на русский язык:
Советы по безопасности
Все ваши файлы зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их восстановить, пишите нам Telegram: xxxxs://t.me/tony_montana10928 или @ tony_montana10928 и отправьте персональный ID KEY:
AbU2ZqRplR1wWLAuw9PL4A ***
Для расшифровки ваших личных файлов пришлите 0.018 BTC по этому адресу:
19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, когда вы напишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов командами:
cmd.exe /c vssadmin.exe delete shadows /all /quiet
vssadmin.exe delete shadows /all /quiet

➤ Исследователи вредоносных программ подтвердили родство двух вредоносных программ: Spartacus и Satyr, которое я предположил, сравнив имеющиеся визуальные элементы этих двух вымогательств.  

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SF.exe
Satyr.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: tony_montana10928
BTC: 19VDobG8akrbtM3VRJAGREJbKqxKB3WvM2
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Общий крипто-строитель SF Ransomware - апрель 2018 или раньше

Spartacus Ransomware - 15 апреля 2018

Satyr Ransomware  - 18 апреля 2018

BlackRouter Ransomware  - 18 апреля 2018, январь 2019

BlackHeart Ransomware - 21 апреля 2018, июнь 2020

RansomAES Ransomware - 7 мая 2018

M@r1a Ransomware - 3 ноября 2018, май 2019

BlackHat Ransomware - 4 декабря 2018

Prodecryptor Ransomware - апрель 2019

Tor+ Ransomware - декабрь 2019

Tsar Ransomware - февраль 2020

Badboy Ransomware - июнь 2020

Alix1011RVA Ransomware - сентябрь 2020

Prodecryptor - январь 2021 или раньше

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Satyr)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie, MalwareHunterTeam
 Andrew Ivanov (article author)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab-XTBL

Scarab-XTBL Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Extensible Associatewith Kek Addresses Rutinely Buttons. Фальш-копирайт: 2006-2014 RonyaSoft. См. генеалогию ниже. Написан на Delphi. Файлы можно дешифровать!

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Scarab  > Scarab семейство > Scarab-XTBL
© Genealogy: Scarab > Scarab Family > Scarab-XTBL

Это изображение — логотип статьи. Изображает скарабея с комком "XTBL".

This image is the logo of the article. It depicts a scarab with clod (ball) "XTBL".

К зашифрованным файлам добавляется расширение / Appends to encrypted files the extension:
.xtbl

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется / Name of ransom note: 
IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT

Содержание записки о выкупе / Contents of ransom note:
--------------------------------------------------------------------------------------
*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
--------------------------------------------------------------------------------------
email - joxe1@cock.li
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
+4IAAAAAAAB1hq+**************FtYok0
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: joxe1@cock.li
Free decryption as guarantee!
Before paying you can send us up to 2 files for free decryption.
The total size of files must be less than 1Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
--------------------------------------------------------------------------------------
How to obtain Bitcoins? 
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
 'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins 
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins  
--------------------------------------------------------------------------------------
Attention!
* Do not rename encrypted files. 
* Do not try to decrypt your data using third party software, it may cause permanent data loss. 
* Decryption of your files with the help of third parties may cause increased price 
(they add their fee to our) or you can become a victim of a scam. 
--------------------------------------------------------------------------------------
email - joxe1@cock.li

Перевод записки на русский язык:
--------------------------------------------------------------------------------------
*** ЕСЛИ ВЫ ХОТИТЕ ВЕРНУТЬ ВСЕ СВОИ ФАЙЛЫ, ПРОЧТИТЕ ЭТО ***
--------------------------------------------------------------------------------------
email - joxe1@cock.li
Ваши файлы зашифрованы!
-----НАЧАЛО ЛИЧНОГО ИНДЕНТИФИКАТОРА-----
+4IAAAAAAAB1hq+**************FtYok0
-----КОНЕЦ ЛИЧНОГО ИНДЕНТИФИКАТОРА-----
Все ваши файлы зашифрованы из-за проблемы с безопасностью на вашем ПК.
Теперь вы должны отправить нам email с вашим личным идентификатором.
Это письмо будет подтверждением, что вы готовы заплатить за ключ дешифрования.
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, как быстро вы напишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Свяжитесь с нами, используя этот адрес email: joxe1@cock.li
Бесплатное дешифрование в качестве гарантии!
Перед оплатой вы можете отправить нам до 2 файлов для бесплатного дешифрования.
Общий размер файлов должен быть меньше 1 Мб (не архивирован), а файлы не должны содержать
ценную информацию (базы данных, резервные копии, большие листы Excel и т. д.).
--------------------------------------------------------------------------------------
Как получить биткойны?
* Самый простой способ купить биткоbны - сайт LocalBitcoins. Вы должны зарегистрироваться, щелкнуть
   'Buy bitcoins' и выбрать продавца по способу оплаты и цене:
https://localbitcoins.com/buy_bitcoins
* Также вы можете найти другие места для покупки биткоинов и руководства для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins  
--------------------------------------------------------------------------------------
Внимание!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к полной потере данных.
* Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены
(они добавляют плату за нас), или вы можете стать жертвой мошенничества.
--------------------------------------------------------------------------------------
email - joxe1@cock.li

Технические детали / Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Открытые мьютексы: 
ShimCacheMutex
STOPSCARABSTOPSCARABSTOPSCARABSTOPSCARABSTOPSCARAB

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:

Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware / Files of Rw:
IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
Win98.exe
systems.exe
<random>.exe - случайное название

Расположения / Files locations:
\Desktop\ ->
\User_folders\ ->
\AppData\systems.exe

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email: joxe1@cock.li
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы иногда можно дешифровать!
Рекомендую обратиться по этой ссылке к Emmanuel_ADC-Soft >>
---
Attention!
Files in some cases can be decrypted!
I recommend getting help with this link to Emmanuel_ADC-Soft >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.