Xorist-TaRoNiS

TaRoNiS Ransomware
Xorist-TaRoNiS Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, а затем требует выкуп в 0.08 BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле может быть написано, что попало.

© Генеалогия: Xorist >> TraNs, RuSVon > TaRoNiS

К зашифрованным файлам добавляется расширение: .TaRoNiS



Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt

Содержание записки о выкупе:
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted.
If you want to recover your encrypted files you need to follow a few steps.
Atention!! I do not offer for free the decrypt key, for that you have to pay 0.08 BITCOIN.
Step 1: Create an account on www.localbitcoins.com
Step 2: Buy 0.08 BITCOIN
Step 3: Send the amount on this BTC address: 13oiwC4kgTvzjJNzEXe2n8ubxJyCvHrKfJ
Step 4: Contact me on this email address taronis@gmx.com with this subject: ID-RESTORE-008TARONISPCID0381723
After this steps you will receive through email the key and a decrypt tutorial.
Here is another list where you can buy bitcoin:
https://bitcoin.org/en/exchanges

Перевод записки на русский язык:
ВНИМАНИЕ!!!
Мне правда жаль сообщить, что все ваши важные файлы зашифрованы.
Если вы хотите восстановить ваши файлы, нужно сделать несколько шагов.
Внимание!! Я не предлагаю бесплатно ключ расшифровки, для этого вам надо заплатить 0.08 BITCOIN.
Шаг 1. Создание учетной записи на www.localbitcoins.com
Шаг 2: Покупайте 0.08 BITCOIN
Шаг 3: Отправьте сумму по этому BTC-адресу: 13oiwC4kgTvzjJNzEXe2n8ubxJyCvHrKfJ
Шаг 4: Напишите мне по этому email-адресу taronis@gmx.com с этой темой: ID-RESTORE-008TARONISPCID0381723
После этого вы получите по email ключ и учебник по расшифровке.
Вот еще один список, где вы можете купить биткоин:
https://bitcoin.org/en/exchanges

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: taronis@gmx.com
BTC: 13oiwC4kgTvzjJNzEXe2n8ubxJyCvHrKfJ
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Xorist Family (семейство Xorist в этом блоге):
Xorist-EnCiPhErEd Ransomware - май 2016
Xorist-FakeRSA Ransomware - февраль 2017
Xorist-Zixer2 Ransomware - апрель 2017
Xorist-TraNs Ransomware - июнь 2017
Xorist-RuSVon Ransomware - июль 2017
Xorist-Hello Ransomware - август 2017
Xorist-CerBerSysLock Ransomware - декабрь 2017
Xorist-Frozen Ransomware - февраль 2018
Xorist-XWZ Ransomware - март 2018
Xorist-TaRoNiS Ransomware - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. выше Историю семейства.


Обновление от 25 августа 2018:
Пост на форуме >>
Расширение: .BiTgRoNiS или .SeCuReBlOcK или даже .BiTgRoNiS.SeCuReBlOcK
Записка: HOW TO DECRYPT FILES.txt
Email: bitgronis@gmx.com
BTC: 1GqvZPsfndY2G6cFpDdY5bgShkTThypMhb

➤ Содержание записки: 
ATENTION!!!
I am truly sorry to inform you that all your important files are crypted.
If you want to recover your encrypted files you need to follow a few steps.
Atention!! I do not offer for free the decrypt key, for that you have to pay 0.08 BITCOIN.
Step 1: Create an account on www.localbitcoins.com
Step 2: Buy 0.08 BITCOIN
Step 3: Send the amount on this BTC address: 1GqvZPsfndY2G6cFpDdY5bgShkTThypMhb
Step 4: Contact me on this email address bitgronis@gmx.com with this subject: ID-RESTORE-008BITGRONISPCID0381723
After this steps you will receive through email the key and a decrypt tutorial.
Here is another list where you can buy bitcoin:
https://bitcoin.org/en/exchanges

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к thyrex >>
*
*

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Xorist)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 Alex Svirid
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Predator

Predator Ransomware
Predator The Cipher v1.0

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 100$ в BTC, чтобы вернуть файлы. Оригинальное название: Predator The Cipher v1.0. На файле написано: нет данных.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .predator

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: README.txt

Содержание записки о выкупе:
Your files were encrypted with Predator The Cipher!
Predator The Cipher v1.0
To decrypt your files:
1. Send 100$ to this bitcoin wallet: 1Pe9zG5uZFj4bGxPs98VbReXrnFayuoGf.
2. Send us email with your machine ID (XXXXXXXXXX) and bitcoin wallet ID: nadwkjk@protonmail.com
Then we would send you back our decipher tool.
ATTENTION!
DO NOT TRY TO DECRYPT OR DELETE YOUR FILES. YOU WILL ONLY MAKE IT WORSE!

Перевод записки на русский язык:
Ваши файлы были зашифрованы с помощью Predator The Cipher!
Predator The Cipher v1.0
Чтобы расшифровать ваши файлы:
1. Отправьте 100$ на этот биткотн-кошелек: 1Pe9zG5uZFj4bGxPs98VbReXrnFayuoGf.
2. Отправьте нам письмо с ID вашей машины (XXXXXXXXXX) и ID биткоин-кошелька: nadwkjk@protonmail.com
Затем мы отправим вам наш инструмент расшифровки.
ВНИМАНИЕ!
НЕ ПРОБУЙТЕ ДЕШИФРОВАТЬ ИЛИ УДАЛИТЬ ВАШИ ФАЙЛЫ. ВЫ СДЕЛАЕТЕ ТОЛЬКО ХУЖЕ!

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
README.txt
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: nadwkjk@protonmail.com
BTC: 1Pe9zG5uZFj4bGxPs98VbReXrnFayuoGf
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Возможно, файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
***
Attention!
Probably, files can be decrypted!
I recommend getting help with this link to Michael Gillespie >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Predator)
 Write-up, Topic of Support
 * 

 Thanks: 
 Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

CryptoLite

CryptoLite Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CryptoLite. На файле написано: CryptoLite.exe.

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение: .encrypted


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание записки о выкупе:
ALL YOUR FILES HAVE BEEN ENCRYPTED!!!
There's no way to decrypt these files without the decryption key.
To retrieve the deceryption key a payment of 0.5 BC will need to be paid.
INSTRUCTIONS:
*Purchase the bitcoins from https://localbitcoins.com/.
*Transfer the bitcoins to a https://blockchain.info/ Wallet.
*From https://blockchain.info/ transfer the bitcoins to the below address.
*Add a message to the transaction with the following format:
{MAC-ADDRESS_EMAIL} <- ENSURE THIS IS CORRECT
Example:
00:A0:C9:14:C8:29_pwned@gmail.com
Following payment the key will be emailed to you after confimation.
IF YOU MESS UP YOUR MESSAGE FROMAT, YOU WILL NOT RECEIVE THE KEY!
BitCoin Address: [1aa5cmqmvQq8YQTEqcTmW7dfBNuFwgdCD]
Decryption Key: [***][DECRYPT]

Перевод записки на русский язык:
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ !!!
Невозможно расшифровать эти файлы без ключа дешифрования.
Чтобы получить ключ дешифрования, надо заплатить 0.5 BC.
ИНСТРУКЦИИ:
* Купите биткоины с https://localbitcoins.com/.
* Перенесите биткоины в https://blockchain.info/Wallet.
* C https://blockchain.info/ передайте биткоины по указанному ниже адресу.
* Добавьте сообщение в транзакцию в следующем формате:
{MAC-ADDRESS_EMAIL} <- ОБЕСПЕЧИТЬ ЭТО ПРАВИЛЬНО
Пример:
00:A0:С9:14:С8: 29_pwned@gmail.com
После оплаты ключ будет отправлен вам по email после подтверждения.
ЕСЛИ ВЫ СООБЩИТЕ СООБЩЕНИЕ FROMAT, ВЫ НЕ ПОЛУЧИТЕ КЛЮЧ!
Адрес BitCoin: [1aa5cmqmvQq8YQTEqcTmW7dfBNuFwgdCD]
Ключ дешифрования: [***] [DECRYPT]

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
CryptoLite.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: 00:A0:C9:14:C8:29_pwned@gmail.com - пример в тексте
BTC: 1aa5cmqmvQq8YQTEqcTmW7dfBNuFwgdCD - ранее известен по мошенническим схемам

См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Пример дешифрования файлов

Ключ дешифрования:
GuBlZEpxPFqDAtjNh7c6mKs4Iy9Mrfw2UYvn3ei5HTgaO1dCbz8QXLJk0RVoW
Ссылка на пример в Твиттере >>

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать.
Смотрите информацию по этой ссылке >>
*
*

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam, Fly
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

XeroWare

XeroWare Ransomware

XeroWare Ransom 1.2

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: XeroWare Ransom 1.2. На файле написано: XeroWare.exe.

© Генеалогия: HiddenTear >> XeroWare

К зашифрованным файлам добавляется расширение: .XERO

  Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на первую половину июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: XeroWare_ReadME.txt

Содержание записки о выкупе:
Your files have been encrypted and your computer has been infected with XeroWare Ransom 1.2.
Q&A:
1) What Should I do?
A: Pay the specific amount we are asking from you in order to decrypt your files.
2) Can i try to remove the malware?
A: If you try anything your files will be removed, YOU have been WARNED.
3) How can i pay in order to decrypt my files ?
A: Copy the provided btc address and send the money.
4) How do i verify my payment?
A: You provide the payment transaction ID and you click confirm transaction.
5) What will happen if the payment transaction is not valid?
A: If you try to provide anything alike to fake or not valid your files will be destroyed permanetly.
6) I have paid and verified my transaction how do i decrypt my files?
A: If you have paid and verified your transaction just simply click the decrypt button and everything will revert back to normal.
You have 96 hours in order to complete that task, otherwise your files will be destroyed.
Time has already started...

Перевод записки на русский язык:
Ваши файлы были зашифрованы и ваш компьютер был заражен XeroWare Ransom 1.2.
Вопрос & Ответ:
1) Что мне делать?
О: Оплатите определенную сумму, которую мы просим у вас, чтобы расшифровать ваши файлы.
2) Могу ли я попытаться удалить вредоносное ПО?
A: Если вы попробуете что-то, ваши файлы будут удалены, Вы были ПРЕДУПРЕЖДЕНЫ.
3) Как я могу заплатить, чтобы расшифровать мои файлы?
A: Скопируйте предоставленный адрес btc и отправьте деньги.
4) Как я могу подтвердить свой платеж?
A: Вы предоставляете ID транзакции платежа и вы нажимаете подтверждение транзакции.
5) Что произойдет, если транзакция платежа недействительна?
A: Если вы пытаетесь предоставить что-то типа поддельное или недействительное, ваши файлы будут уничтожены навсегда
6) Я оплатил и подтвердил свою транзакцию, как я могу расшифровать мои файлы?
A: Если вы оплатили и подтвердили свою транзакцию, просто нажмите кнопку дешифрования, и все вернется в нормальное русло.
У вас есть 96 часов, чтобы выполнить эту задачу, иначе ваши файлы будут уничтожены.
Время уже пошло...

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

 Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
XeroWare_ReadME.txt
XeroWare.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab-Recovery

Scarab-Recovery Ransomware

(шифровальщик-вымогатель) (первоисточник)

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Написан на Delphi.

© Генеалогия: Scarab >> Scarab Family > {update encryptor} > Scarab-Recovery

Это изображение — логотип статьи. Изображает скарабея с диском и глобусом.

This image is the logo of the article. It depicts a scarab with a disk recovery and a globe.

К зашифрованным файлам добавляется расширение: .BD.Recovery

Файлы не переименовываются. Пример зашифрованных файлов:
Instruct.xml.BD.Recovery
My_documents.doc.BD.Recovery


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на начало июля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RECOVER  FILES.TXT

Содержание записки о выкупе:
=======================================================================
                         All your files are encrypted!!!!!!
=======================================================================
Your documents, photos, databases and other important data were encrypted.
Data recovery requires a decryptor.
To receive the decryptor, you should send an email to the email address:
bd.recovery@aol.com or bd.recovery@india.com
In the letter, indicate your personal identifier (see at the end of the document).
Then you will receive further instructions
Attention!
  * Do not attempt to uninstall the program or run antivirus software
  * Attempts to self-decrypt files will result in the loss of your data
=======================================================================
----------------------------------------------------------------------------------
6A02000000000000***95EA03
----------------------------------------------------------------------------------

Перевод записки на русский язык:
=======================================================================
Все ваши файлы зашифрованы !!!!!!
=======================================================================
Ваши документы, фото, базы данных и другие важные данные были зашифрованы.
Для восстановления данных требуется дешифратор.
Чтобы получить дешифратор, вы должны отправить email на email-адрес:
bd.recovery@aol.com или bd.recovery@india.com
В письме укажите свой личный идентификатор (см. в конце документа).
Затем вы получите дополнительные инструкции
Внимание!
   * Не пытайтесь удалить программу или запустить антивирусную программу
   * Попытки самостоятельно расшифровать файлы приведут к потере ваших данных
=======================================================================
----------------------------------------------------------------------------------
6A02000000000000***95EA03
----------------------------------------------------------------------------------

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO RECOVER FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: bd.recovery@aol.com
bd.recovery@india.com
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
ⴵ  VMRay анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 28 июля 2019:
Расширение: .rsalive
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: recoverysupp@aol.com
BTC: 12GFeyrq3RgeLfGSxs3qWn7RnUQW14Ndda
➤ Точно неизвестно, какая группа запустила этот вариант, но ключевым словом послужило слово "recovery" в тексте и логине email. 

➤ Содержание записки: 
******************************************************************************************
                          Your Files are Now Encrypted! 
******************************************************************************************
All your files have been encrypted due to a security problem with your PC.
Now you need to buy a Recovery Key! Recovery Key price is ~ $200 in Bitcoins.
If you are ready to buy a Recovery Key -> Send (0.025) Bitcoin Wallet.
Bitcoin Wallet -> 12GFeyrq3RgeLfGSxs3qWn7RnUQW14Ndda (0.025)
After that write to us on email address: recoverysupp@aol.com
After payment we will send you the decryption tool that will decrypt all your files. 
You should send us email with your Personal Identifier.
******************************************************************************************
                           Free Decryption as Guarantee!
******************************************************************************************
Free decryption as guarantee!
Before paying you can send us up to 1 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins? 
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 
   'Buy bitcoins', and select the seller by payment method and price: 
   https://localbitcoins.com/buy_bitcoins 
 * Also you can find other places to buy Bitcoins and beginners guide here:   
   http://www.coindesk.com/information/how-can-i-buy-bitcoins   
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.  
******************************************************************************************
Your Personal Identifier:
pAQAAAAAAAB***Eloj3skM
******************************************************************************************

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы в некоторых случаях можно дешифровать!
Изучите моё руководство в статье SCARAB DECODER
Или прочтите инфу по ссылке. Мой перевод рядом. 
Or ask for help using this link. My translation beside.

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 

 Thanks: 
 (victims in the topics of support)
 Andrew Ivanov, Emmanuel_ADC-Soft
 Michael Gillespie, Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.