Tunca, KGDecrypt

Tunca Ransomware

KGDecrypt Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует 100€ или 115$ или эквиваленты других валют, а также предлагает пострадавшим бесплатную расшифровку, если он инфицирует 10 других ПК.. Оригинальное название: вероятно KGDecrypt (упоминается в тексте). На файле написано: Windows.

© Генеалогия: HiddenTear >> Tunca

К зашифрованным файлам добавляется расширение: .tunca 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был обнаружен во второй половине декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Вероятно ещё в разработке. Шифрует некоторые файлы. Работа нестабильна. 

Запиской с требованием выкупа выступает экран блокировки.

Содержание записки о выкупе:
Ooops, it seems like all of your files have been encrypted with AESencryption algorithm.
Can I get my files back?
-Yes, you can. But you need this following software : KGDecrypt
-Without the software, no one can decrypt your files
How do I pay?
-Simply buy a 100€ Paysafecard
-Send a message with the Paysafecard PIN to this account:
Lockify@protonmail.com
-Wait for us to confrim your payment
-Get the decryptor

---

However, there is a way to get a free decryptor!

How to get the free decryptor?

-Create a link on grabify that will download your victim the ransomware

-With this, infect at least 10 people

-Send proof to: Lockify@protonmail.com

-Get your decryptor

Перевод записки на русский язык:
Ой, кажется, что все ваши файлы были зашифрованы с помощью алгоритма AES шифрование.
Могу ли я вернуть свои файлы?
-Да, можешь. Но тебе нужно эта следующая программа: KGDecrypt
-Без программы никто не сможет расшифровать твои файлы
Как мне оплатить?
-Просто купить Paysafecard 100 €
-Отправить сообщение с PIN-кодом Paysafecard на этот счет:
Lockify@protonmail.com
-Подождать нас, чтобы подтвердить твой платеж
-Получить расшифровщик
---
Однако есть способ получить бесплатный расшифровщик!
Как получить бесплатный расшифровщик?
-Создать ссылку на grabify, которую загрузит ваша жертва вымогателя
-При этом заразить не менее 10 человек
-Отправить подтверждение: Lockify@protonmail.com
-Получить декриптор

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Примечательно, что вымогатель предлагает пострадавшим бесплатную расшифровку, если он инфицирует 10 других ПК.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Windows.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: lockify@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать! Там статический пароль. 
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter + Tweet 
 ID Ransomware (ID as HiddenTear)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo, Michael Gillespie
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

QP Ransomware

QP Ransomware

qpqpqpqp Ransomware

(шифровальщик-вымогатель, 7zip-вымогатель)
Translation into English

Этот крипто-вымогатель якобы шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

© Генеалогия: предыдущие 7zip-вымогатели: 7zipper и другие >> QP Ransomware

К зашифрованным файлам добавляется расширение: .aes
Фактически сначала файлы помещаются в архив с паролем (по данным Майкла Джиллеспи это 7zip-архив), а потом расширение переименовывается на .aes
Согласно известной технологии, при архивации с паролем файлы защищены шифрованием AES-256. 

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину января 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Среди пострадавших пользователи из России, но текст записки на английском языке.  

Записка с требованием выкупа называется: INFORMATION.HTA

Содержание записки о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. 
If you want to restore them, write us to the e-mail qpqpqpqp@rape.lol
Write this ID in the title of your message 796803309
In case of no answer in 24 hours write us to this e-mail: qpqpqpqp@firemail.cc
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as guarantee!
Before paying you can send us up to 4 files for free decryption. The size of each file must be less than 2Mb, and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price. 
https://localbitcoins.com/buy_bitcoins 
Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод записки на русский язык:
Все ваши файлы были зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК.
Если вы хотите восстановить их, напишите нам на email qpqpqpqp@rape.lol
Напишите этот ID в заголовке вашего сообщения 796803309
При отсутствии ответа в течение 24 часов напишите нам на этот email : qpqpqpqp@firemail.cc
Вы должны заплатить за расшифровку в биткоинах. Цена зависит от того, как быстро вы напишите нам. После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатная расшифровка как гарантия!
Перед оплатой вы можете отправить нам до 4 файлов для бесплатной расшифровки. Размер каждого файла должен быть менее 2 МБ, и файлы не должны содержать ценной информации. (базы данных, резервные копии, большие таблицы Excel и т.д.)
Как получить биткоины
Самый простой способ купить биткоины - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажать 'Buy bitcoins' и выбрать продавца по способу оплаты и цене.
https://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, чтобы купить биткоины и руководство для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные сторонними программами, это может привести к необратимой потере данных.
Расшифровка ваших файлов с помощью третьих лиц может увеличить цену (они добавляют свою плату к нашей), или вы можете стать жертвой мошенничества.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
INFORMATION.HTA
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: qpqpqpqp@rape.lol, qpqpqpqp@firemail.cc
BTC: ***
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as QP Ransomware)
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov, Michael Gillespie
 *
 *
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cossy, Grafimatriux

Cossy Ransomware

Grafimatriux Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью RSA-2048, а затем требует выкуп в 50 рублей BTC, чтобы вернуть файлы. Оригинальное название: Cossy. На файле написано: Cossy и Cossy.exe

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .Защищено RSA-2048

При этом exe-файлы меняют расширение на .lnk.Защищено RSA-2048
Пример: Setup.exe > Setup.lnk.Защищено RSA-2048

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: Как все эту шалашкину контору расшифровать.txt

Содержание записки о выкупе:
Привет дорогой друг! Да, я скупой жадина но я должен это сказать...
прости...
но.......
все твои файлы___
ЗАШИфРоВаНЫ!1!!11!!11!1 :DDDDDDDDD
Алгоритм RSA! 2048 бит! 4096 лень!
Он на простых числах базируется он.
Сейчас расскажу вам просто.
Пишите на grafimatriux72224733@protonmail.com.
Мы предоставляем: Бесплатную расшифровку. Платную расшифровку (и Договорную расшифровку)*
Договорная расшифровка - это если Вы имеете файлы старой давности, которые копили много лет, то дешифратор предоставляется бесплатно.
Платная расшифровка стоит - 50 рублей в биткоинах, кошелек сделаем для Вас уникальным.*
Бесплатно расшифровать можно 5 файлов с размером 5 или меньше МБ.
Я не обманываю Вас, + даю при оплате советы по улучшению безопасности и инструкции по дешифровке."
* - Услуги предоставляются если Вы для нас напишете письмо с файлом Крайне важная инфа.RSA-2048 файл

Перевод записки на русский язык:
Уже сделан вымогателем. 

✔ При этом в тексте записки и названиях файлов есть ошибки, характерные для "юного дарования", немного недоучившегося в школе. Радует, что совесть у этого "юного дарования" ещё осталась и он просит не так много и в... рублях. Хотя, это всё может быть просто показное и эти микро-деньги ему не нужны. Ему важно показать себя творцом этого и всех предыдущих Ransomware, которые он сделал и запустил. 

📢 Но, дорогой друг, Ransomware — это не творческая забава, а опасные игры, а брошенная граната может задеть и того, кто её бросил. Так что, пока не поздно, переходи на серьёзные вещи — пиши полезные программы и найдёшь больше пользователей, которые это оценят.  

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Cossy.exe
Как все эту шалашкину контору расшифровать.txt
Крайне важная инфа.RSA-2048 файл
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: grafimatriux72224733@protonmail.com
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Cossy)
 Write-up, Topic of Support
 🎥 Video review >>

 - видеообзор от CyberSecurity GrujaRS

 Thanks: 
 CyberSecurity GrujaRS
 Andrew Ivanov
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Ransom102

Ransom102 Ransomware

Ransomwared Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью DES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: ransom102. На файле написано: ransom102.

Обнаружения:
DrWeb -> Trojan.Encoder.26918
BitDefender -> Trojan.GenericKD.40847411
Avira (no cloud) -> TR/Encoder.ownoz
ESET-NOD32 -> A Variant Of MSIL/Filecoder.RX
Kaspersky -> Trojan-Ransom.Win32.Encoder.bar
Rising -> Ransom.Genasom!8.293 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Encoder.Eamz
TrendMicro -> Ransom.Win32.EXTRACRED.THABBOAH
VBA32 -> TScope.Trojan.MSIL

© Генеалогия: выясняется, явное родство с кем-то не доказано.

К зашифрованным файлам добавляется расширение: .ransomwared


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком "Recovery":

 

Содержание записки о выкупе:
You are ransomwared! To recover your files, email us and buy recovery code :)
wanna@extra.credit

Перевод записки на русский язык:
Вы выкуплены! Чтобы вернуть ваши файлы, мыльте нам и купите код восстановления :)
wanna@extra.credit

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
win_defender_patch.exe - использует значок Windows Defender
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: wanna@extra.credit
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновление от 12 февраля 2020:
Статус: Файлы можно расшифровать! Ссылка на дешифровщик >>
Пост в Твиттере >>
Пост в Твиттере >>
Расширение: .iwanttits
Результаты анализов: VT + VMR

  

  

Пароль для восстановления: sAsHat1t

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Внимание!
Файлы можно дешифровать!
Рекомендую обратиться по этой ссылке к Майклу Джиллеспи >>
Теперь также есть дешифровщик от Майкла и Emsisoft
Скачать по ссылке >>

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as Ransomwared)
 Write-up, Topic of Support
 * 

 Thanks: 
 Leo, Michael Gillespie
 Andrew Ivanov
 Emsisoft
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Scarab-Aztec

Scarab-Aztec Ransomware
Scarab-Pizza Ransomware

(шифровальщик-вымогатель)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: не указано. На файле написано: нет данных. Написан на Delphi. 

© Генеалогия: Scarab >> Scarab-Amnesia > другие версии Scarab > Scarab-Omerta > Scarab-Aztec

Это изображение — логотип статьи. Изображает скарабея с диском ацтеков.

This image is the logo of the article. It depicts a scarab with disk of aztecs.

К зашифрованным файлам добавляется расширение: .aztecdecrypt@protonmail.com

Пример зашифрованных файлов и записка

Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на середину декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Я обнаружил причастность вымогателей к другим вымогательским аферам 2016 года:
JuicyLemon Ransomware
PizzaCrypts Ransomware


Примечательно. При публикации почти готовой статьи я запустил поиск по этому сайту и обнаружил адрес вымогателей BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F в записках о выкупе вышеназванных Ransomware. Поэтому я дал ещё одно название этой вымогательской программе - Scarab-Pizza Ransomware. То, что держит на логотипе статьи Скарабей является ацтекским диском Солнца. По иронии судьбы в уменьшенном виде диск похож на пиццу. 

***

Записка с требованием выкупа называется: HOW TO DECRYPT FILES.TXT

Содержание записки о выкупе:
Your files are now encrypted!
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: aztecdecrypt@protonmail.com  or aztecdecryptor@mailfence.com
If you don't get a reply or if the email dies, then contact us using Bitmessage.
Download it form here: https://bitmessage.org/wiki/Main_Page
Run it, click New Identity and then send us a message at BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
Free decryption as guarantee!
Before paying you can send us 1 files for free decryption.
The total size of file must be less than 10Mb (non archived), and file should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins? 
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 
   'Buy bitcoins', and select the seller by payment method and price: 
   https://localbitcoins.com/buy_bitcoins 
 * Also you can find other places to buy Bitcoins and beginners guide here:   
   http://www.coindesk.com/information/how-can-i-buy-bitcoins 
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.  
Your personal identifier:
pAQAAAAAAABTK***Ie2xSSR+BjmyDzED

Перевод записки на русский язык:
Ваши файлы теперь зашифрованы!
Все ваши файлы были зашифрованы из-за проблем с безопасностью вашего ПК.
Теперь вы должны отправить нам письмо с вашим личным идентификатором.
Это письмо будет подтверждением того, что вы готовы заплатить за ключ дешифрования.
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, как быстро вы напишите нам.
После оплаты мы вышлем вам инструмент дешифрования, который расшифрует все ваши файлы.
Свяжитесь с нами, используя этот email-адрес: aztecdecrypt@protonmail.com или aztecdecryptor@mailfence.com
Если вы не получили ответа или письмо не дошло, свяжитесь с нами, используя Bitmessage.
Загрузите отсюда: https://bitmessage.org/wiki/Main_Page
Запустите его, нажмите New Identity и затем отправьте нам сообщение на BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
Бесплатная расшифровка как гарантия!
Перед оплатой вы можете отправить нам 1 файл для бесплатной расшифровки.
Общий размер файла должен быть менее 10 МБ (не в архиве), и файл не должен содержать ценную информацию (базы данных, резервные копии, большие таблицы Excel и т. д.).
Как получить биткоины?
 * Самый простой способ купить биткоины - это сайт LocalBitcoins. Вы должны зарегистрироваться, нажмите
   'Buy bitcoins' и выберите продавца по способу оплаты и цене:
   https://localbitcoins.com/buy_bitcoins
 * Также вы можете найти другие места, чтобы купить биткоины и руководство для начинающих здесь:
   http://www.coindesk.com/information/how-can-i-buy-bitcoins
Внимание!
 * Не переименовывайте зашифрованные файлы.
 * Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к необратимой потере данных.
 * Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены
   (они добавляют свою плату к нашей), или вы можете стать жертвой мошенничества.
Ваш личный идентификатор:
pAQAAAAAAABTK *** Ie2xSSR + BjmyDzED

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.TXT
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: aztecdecrypt@protonmail.com, aztecdecryptor@mailfence.com
Bitmessage: BM-NBRCUPTenKgYbLVCAfeVUHVsHFK6Ue2F
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ  VMRay анализ >>
ᕒ  ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018
Scarab-Barracuda - июль 2018
Scarab-CyberGod - август 2018
Scarab-Enter - ноябрь 2018
Scarab-Aztec - декабрь 2018
Scarab-Zzz - январь 2019
и другие...

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter + myTweet 
 ID Ransomware (ID as )
 Write-up, Topic of Support
 * 

 Thanks: 
 Andrew Ivanov, Emmanuel_ADC-Soft
 to the victims who sent the samples
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.