Если вы не видите здесь изображений, то используйте VPN.

воскресенье, 1 марта 2020 г.

Scarab 2020-2022

Scarab 2020-2021-2022 Ransomware

Сборник разных вариантов за 2020-2022 годы

(шифровальщик-вымогатель) (первоисточник)

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритмов AES и RSA, а затем требует выкуп в долларах, BTC или в другой валюте, чтобы вернуть файлы. Оригинальное название: Scarab, Scarab-Locker и другие. Распространяется разными группами вымогателей с июня 2017 года. Множество предыдущих вариантов можно увидеть в Списке по алфавиту или в конце каждой статьи про Scarab в "ИСТОРИЯ СЕМЕЙСТВА".

Обнаружения (самые ранние):
DrWeb -> Trojan.Encoder.11464, Trojan.Encoder.12234, Trojan.Encoder.26375, 
Trojan.PWS.Papras.2867, Trojan.Siggen7.53909
BitDefender -> Trojan.GenericKD.30955658, DeepScan:Generic.Ransom.Amnesia.*, Trojan.GenericKD.6236966, Trojan.GenericKD.12609597, Trojan.VBS.Downloader.AFC, Gen:Variant.Ransom.Scarab, Gen:Variant.Ransom.Scarab.2
ALYac -> Trojan.Ransom.Scarab, Trojan.Downloader.VBS.Agent, Gen:Variant.Ransom.Scarab.2
Avira (no cloud) -> TR/Downloader.Gen, TR/PSW.Fareit.bbj, TR/PSW.Fareit.bbm, VBS/Agent.12564 
ESET-NOD32 -> A Variant Of Win32/Kryptik.FTLU, Win32/Filecoder.FS, A Variant Of Win32/Filecoder.FS, VBS/TrojanDownloader.Agent.PKK 
Kaspersky -> HEUR:Trojan.Win32.Generic, HEUR:Trojan-Ransom.Win32.Generic, Trojan-Ransom.Win32.Purga.cz, Trojan-Ransom.Win32.Purga.da, HEUR:Trojan-Downloader.Script.Generic
Malwarebytes -> Ransom.Scarab, Trojan.MalPack
Rising -> Trojan.Generic@ML.92*, Ransom.Genasom!8.293 (CLOUD), Ransom.Purga!8.DA36 (KTSE), Ransom.Foreign!8.292 (KTSE), Downloader.VBS/Agent!1.AEC5 (CLASSIC), Ransom.Kitoles!8.ED4F (CLOUD)
Sophos AV -> Troj/Scarab-B, Mal/Generic-S, Troj/Scarab-C, Troj/Ransom-ESP, VBS/DwnLdr-UVA
Symantec -> Ransom.GlobeImposter, Ransom.CryptXXX, Trojan Horse, VBS.Downloader.Trojan, ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Raas.Auto, Win32.Trojan.Filecoder.Lpuw, Js.Trojan.Raas.Auto, Win32.Trojan.Filecoder.Kpw
TrendMicro -> Ransom_SCARAB.A, Ransom_SCARAB.B, Ransom_SCARAB.C, Ransom_SCARAB.D, VBS_SCARAB.SMJS, Mal_Purge
---

© Генеалогия: Globe Family > Amnesia > Amnesia-2 > Scarab Family 
© Генеалогия: Scarab >> множество вариантов за 2017-2018 г.Scarab 2019Scarab 2020-2022
Логотип статьи Scarab 2020

К зашифрованным файлам добавляются разные расширения.
Примеры 2020 года:
.rbs
.DecSec
.ncov
.scarry
.worcservice@protonmail.ch
.inc_evilsi@protonmail.ch
.cov19
.cashdashsentme@protonmail.com
.one
и другие


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом.


Активность этого крипто-вымогателя продолжается в течение 2020 г. Ориентирован на разноязычных (англоязычных, русскоязычных и прочих) пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа может называться:
HOW TO DECRYPT FILES.txt
HOW TO RECOVER ENCRYPTED FILES.TXT
How to decrypt files.TXT
Инструкция по расшифровке данных.TXT
Как расшифровать файлы ***.txt

Иногда запиской с требованием выкупа может выступать изображение, заменяющее обои Рабочего стола.

Содержание записки о выкупе:
См. ниже у каждого нового варианта. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Globe Family: 
Amnesia Ransomware
Amnesia-2 Ransomware

Scarab Family: 
Варианты Scarab за 2017-2018 г. 
Scarab 2019 Ransomware
Scarab 2020 Ransomware

Ссылки смотрите в начале статьи в разделе "Генеалогия". 


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 29 января 2020: 
Расширение: .rbs
Записка: HOW TO DECRYPT FILES.txt
Email: madeinussr@protonmail.com
BTC: 1GPUVdXsW6T57aUAJuQ2sWx4X2M76MAQmr
Butmessage: BM-2cWQjc8pWXmMMrRh26ADg1XXMbtZ4UpdbA
 Содержание записки: 
Good day! Sorry, but your files are now encrypted!
Your personal DECRYPT CODE:
6A0200000000000054ACB1 [всего 644 знаков]
--------------------------------------------------------
To decrypt your files, please follow 3 next steps:
1. Please send 0.1 BTC on Bitcoin Wallet 1GPUVdXsW6T57aUAJuQ2sWx4X2M76MAQmr
2. After payment, please send your DECRYPT CODE on our e-mail madeinussr@protonmail.com
3. Within 24 hours, when we see your letter and verify the payment, we will send you a program for decryption.
Just run it on your computer and it will automatically decrypt all your files.
--------------------------------------------------------
Also, you contact with us using Bitmessage.
Download it from here: https://bitmessage.org/wiki/Main_Page
Run it, click New Identity and then send us a message at BM-2cWQjc8pWXmMMrRh26ADg1XXMbtZ4UpdbA
How to obtain Bitcoins? 
1. The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins',
and select the seller by payment method and price: https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:   
http://www.coindesk.com/information/how-can-i-buy-bitcoins 
Attention!
*** Do not rename encrypted files. 
*** Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Thanks.

Вариант от 10 февраля 2020: 
Расширение: .DecSec
Записка: How to decrypt files.TXT
Email: decoding_service@aol.com, decoding_service@protonmail.com


➤ Содержание записки: 

Your files are now encrypted!
Your personal identifier:
+4IAAAAAAAAzzYYBJZLJAYQkDAN [всего 432 знака]
All your files were encrypted because of a vulnerability in Microsoft.
To decrypt your files, you need to pay us by sending us an email with your personal ID
to one of these email addresses.: decoding_service@aol.com decoding_service@protonmail.com
Payment is made only in bitcoins. 
After payment we will send you the decoder
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 1Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins? 
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 
   'Buy bitcoins', and select the seller by payment method and price: 
   https://localbitcoins.com/buy_bitcoins 
 * Also you can find other places to buy Bitcoins and beginners guide here:   
   http://www.coindesk.com/information/how-can-i-buy-bitcoins 
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price 
   (they add their fee to our) or you can become a victim of a scam.  


Вариант от 25 февраля 2020:
Расширение: .ncov
Записка: Инструкция по расшифровке данных.TXT
Email: ncov@cock.li


 Содержание записки: 
Напишите на почту - ncov@cock.li
==================================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный идентификатор
pAQAAAAAAAAYyjaNHZSJD0MkDAN [всего 848 знаков]
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - ncov@cock.li
 *В письме указать Ваш личный идентификатор
 *Прикрепите 2 файла до 1 мб для тестовой расшифровки. 
  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
 -Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Мы гарантируем:
100% успешное восстановление всех ваших файлов
100% гарантию соответствия
100% безопасный и надежный сервис
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
==================================================
Ваш личный идентификатор
pAQAAAAAAAAYyjaNHZSJD0MkDAN [всего 848 знаков]

Вариант от 1 марта 2020:
Пост в Твиттере >>
Расширение: .rbs
Email: madeinussr@protonmail.com
Bitmessage: BM-2cWQjc8pWXmMMrRh26ADg1XXMbtZ4UpdbA
BTC: 1GPUVdXsW6T57aUAJuQ2sWx4X2M76MAQmr
Записка: HOW TO DECRYPT FILES.txt
Результаты анализов: VT


➤ Содержание записки: 

Good day! Sorry, but your files are now encrypted!
Your personal DECRYPT CODE:
6A020000000000004174B9BF259 [всего 648 знаков]
--------------------------------------------------------
To decrypt your files, please follow 3 next steps:
1. Please send 0.1 BTC on Bitcoin Wallet 1GPUVdXsW6T57aUAJuQ2sWx4X2M76MAQmr
2. After payment, please send your DECRYPT CODE on our e-mail madeinussr@protonmail.com
3. Within 24 hours, when we see your letter and verify the payment, we will send you a program for decryption.
Just run it on your computer and it will automatically decrypt all your files.
--------------------------------------------------------
Also, you contact with us using Bitmessage.
Download it from here: https://bitmessage.org/wiki/Main_Page
Run it, click New Identity and then send us a message at BM-2cWQjc8pWXmMMrRh26ADg1XXMbtZ4UpdbA
How to obtain Bitcoins? 
1. The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins',
and select the seller by payment method and price: https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:   
http://www.coindesk.com/information/how-can-i-buy-bitcoins 
Attention!
*** Do not rename encrypted files. 
*** Do not try to decrypt your data using third party software, it may cause permanent data loss.  
Thanks.

Вариант от 6 марта 2020: 
Топик на форуме >>
Расширение: .scarry
Записка: Как расшифровать файлы scarry.txt
Email: scarry5@horsefucker.org


 Содержание записки: 
Напишите на почту - scarry5@horsefucker.org
===========================================================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваш личный идентификатор
pAQAAAAAAACmYj=0HZSHD0MkDAR [всего 847 знаков]
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - scarry5@horsefucker.org
 *В письме указать Ваш личный идентификатор
 *Прикрепите 2 файла до 1 мб для тестовой расшифровки. 
  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
ВАЖНО! Не пишите с mail.ru (к нам не доходят пиьсма) Используйте - yandex.ru gmail.com и т.д. 
Все кроме mail.ru
 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
 -Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Мы гарантируем:
100% успешное восстановление всех ваших файлов
100% гарантию соответствия
100% безопасный и надежный сервис
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
===========================================================================
Ваш личный идентификатор
pAQAAAAAAACmYj=0HZSHD0MkDAR [всего 847 знаков]


Вариант от 14-18 апреля 2020: 
Пост в Твиттере >>
Расширение: .scarry
Записка: Инструкция по расшифровке файлов.TXT
Email: scarry38@horsefucker.org
Мьютексы: 
Local\!PrivacIE!SharedMemory!Mutex
^X@%E5~PB,23-A@M_B!P9O<>T/+=
pmleb
{46E4D4E6-8B81-84CA-93DA-BB29377B2AC0}
Результаты анализов: VT + VMR
➤ Обнаружение:
DrWeb -> Trojan.Encoder.26375
BitDefender -> DeepScan:Generic.Ransom.Amnesia.*
ESET-NOD32 -> A Variant Of Win32/Filecoder.FS
Malwarebytes -> Ransom.Amnesia
TrendMicro -> Mal_Purge


Вариант от 22 апреля 2020:
Пост в Твиттере >>
Расширение: .worcservice@protonmail.ch
Ошибочно принимается системой как расширение .CH
Email: worcservice@protonmail.ch
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Результаты анализов: VT


➤ Содержание записки: 

YOU FILES WAS ENCRYPTED
Your personal identifier:
pAQAAAAAAABChx*** [всего 843 знака]
[WHAT HAPPENED]
Your important files produced on this computer have been encrypted due a security problem
If you want to restore them, write us to the e-mail: worcservice@protonmail.ch
You have to pay for decryption. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
[FREE DECRYPTION AS GUARANTEE]
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information
and their total size must be less than 1Mb
[ATTENTION]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 3 day - your key has been deleted and you cant decrypt your files.

Вариант от 30 апреля 2020:
Топик на форуме >> 
Топик на форуме >>
Расширение: .inc_evilsi@protonmail.ch
Ошибочно принимается системой как расширение .CH
Email: inc_evilsi@protonmail.ch
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT


➤ Содержание записки: 

YOU FILES WAS ENCRYPTED
Your personal identifier:
pAQAAAAAAAAHoyT+HZS*** [всего 844 знака]
[WHAT HAPPENED]
Your important files produced on this computer have been encrypted due a security problem
If you want to restore them, write us to the e-mail: inc_evilsi@protonmail.ch
You have to pay for decryption. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files.
[FREE DECRYPTION AS GUARANTEE]
Before paying you can send to us up to 3 files for free decryption.
Please note that files must NOT contain valuable information
and their total size must be less than 1Mb
[ATTENTION]
Do not rename encrypted files
Do not try to decrypt your data using third party software, it may cause permanent data loss
If you not write on e-mail in 3 day - your key has been deleted and you cant decrypt your files.


Вариант от 16 мая 2020:
Пост в Твиттере >> 
Расширение: .cov19
Email: FushenKingdee@protonmail.com
Записка: TO RECOVER.TXT



Вариант от 17 мая 2020:
Пост в Твиттере >> 
Расширение: .cashdashsentme@protonmail.com
Email: cashdashsentme@protonmail.com
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT




Вариант от 17 мая 2020:
Расширение: .one
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email:  OneWay@cock.li


➤ Содержание записки: 
Contact us using this email address:
OneWay@cock.li
---
*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
---
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
pAQAAAAAAABFwlUtJZSJ7***
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC. 
Now you should send us email with your personal identifier. 
This email will be as confirmation you are ready to pay for decryption key. 
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. 
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: OneWay@cock.li
Free decryption as guarantee!
Before paying you can send us up to 2 files for free decryption. 
The total size of files must be less than 2Mb (non archived), and files should not contain 
valuable information (databases, backups, large excel sheets, etc.). 
--- 
How to obtain Bitcoins? 
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 
'Buy bitcoins', and select the seller by payment method and price: 
https://localbitcoins.com/buy_bitcoins 
* Also you can find other places to buy Bitcoins and beginners guide here: 
http://www.coindesk.com/information/how-can-i-buy-bitcoins 
---
---
Attention!
* Do not rename encrypted files. 
* Do not try to decrypt your data using third party software, it may cause permanent data loss. 
* Decryption of your files with the help of third parties may cause increased price 
 (they add their fee to our) or you can become a victim of a scam. 
---


Вариант от 3 июня 2020:
Пост в Твиттере >>
Расширение: .coronavirus
Email: logiteam@protonmail.com
Telegram: @decryptorbomber
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Также использует изображение, заменяющее обои Рабочего стола. 
Результаты анализов: VT + IA 



Вариант от 10 июня 2020:
Пост в Твиттере >>
Расширение: .hacker_decryption@protonmail.ch
Email: hacker_decryption@protonmail.ch
Записка: Инструкция по расшифровке файлов.TXT
Результаты анализов: VT + IA 


Вариант  от 13 июля 2020:
Расширение: .FIXI
Записка: HOW TO DECRYPT FILES.TXT
Результаты анализов: VT + IA
➤ Обнаружения:
DrWeb -> Trojan.Encoder.24896
BitDefender -> DeepScan:Generic.Ransom.Amnesia.95E7C
ESET-NOD32 -> A Variant Of Win32/Filecoder.FS

 


Вариант от 14 июля 2020:
Пост в Твиттере >>
Скорее всего старый вариант 2016 года. 
Расширение: .amnesia
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: BM-2cSz97HV6KCdk8k41bGGmabXF1yBXUZmji@bitmessage.ch 
Результаты анализов: VT + IA

 


Вариант от 14 июля 2020:
Пост в Твиттере >>
Расширение: .MAKB
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: makbigfast@india.com
Результаты анализов: VT + IA



Вариант от 16 июля 2020:
Пост в Твиттере >>
Расширение: .protomolecule@gmx.us
Записка: HOW TO RECOVER ENCRYPTED FILES
Email: protomolecule@gmx.us
Результаты анализов: VT + IA + HA

 



Вариант от 18 июля 2020:
Пост в Твиттере >>
Расширение: .mail
Составное расширение: .[[File-Help1@Yandex.ru]].mail
Записка: HOW TO RESTORE FILES.TXT
Email: address jes_cir@list.ru, File-Help1@Yandex.ru
Результаты анализов: VT + IA




Вариант от 27 июля 2020: 
Пост в Твиттере >>
Расширение: .[levandos@email.cz].trump
Записка: HOW TO RECOVER ENCRYPTED FILES
Email: levandos@email.cz
Файл: svchost.exe (bndf.exe)
Результаты анализов: VT + IA + HA



Вариант от 6 августа 2020:
Пост в Твиттере >>
Расширение: .ctb-locker
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: ctb-decrypt@bitmessage.ch
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.11464
BitDefender -> Trojan.Ransom.Amnesia.B
ESET-NOD32 -> A Variant Of Win32/Filecoder.FS



Вариант от 7 августа 2020:
Пост в Твиттере >>
Расширение: .ambrosia
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: ambrosiaa@protonmail.com, ambrosiaa@bigmir.net



Вариант от 8 августа 2020:
Расширение: .crypto
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: mortalis_certamen@aol.com, mortalis_certamen@zoho.eu
Результаты анализов: VT + IA
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.32167
BitDefender -> Trojan.Ransom.Amnesia.A
ESET-NOD32 -> A Variant Of Win32/Filecoder.FS

 



Вариант от 8 августа 2020:
Пост в Твиттере >>
Расширение: .[Help224@Ya.RU].LOCKED
Записка: Instruction for file recovery.txt
Email: help244@yandex.ru, natali_bond90@inbox.ru
Результаты анализов: VT + IA

 



Вариант от 15 августа 2020: 
Расширение: .saved
Записка: Инструкция.TXT
Email: savefile365@nuke.africa
Tor-URL: http://sonarmsniko2lvfu.onion

 

➤ Содержание записки: 
Напишите на почту - savefile365@nuke.africa
========================================================================
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! 
Ваши документы, фотографии, базы данных и другие важные файлы были зашифрованы. 
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
Для расшифровки данных:
Напишите на почту - savefile365@nuke.africa
 *В письме указать Ваш личный идентификатор (он находится в конце инструкции)
 *Прикрепите 2 файла до 1 мб для тестовой расшифровки. 
  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
ВАЖНО! Не пишите с mail.ru (к нам не доходят пиьсма) Используйте - yandex.ru gmail.com и т.д. 
Все кроме mail.ru
 -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
 -Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Мы гарантируем:
100% успешное восстановление всех ваших файлов
100% гарантию соответствия
100% безопасный и надежный сервис
Внимание!
 * Не пытайтесь удалить программу или запускать антивирусные средства
 * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
 * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
P.S
Если Вам не ответили в течении 48 часов. Вам нужно будет связаться с нами по дополнительным контактам. 
Скачайте и установите Tor Browser - https://www.torproject.org/ru/download/
Откройте через Tor Browser сайт - http://sonarmsniko2lvfu.onion   (сайт не будет работать через обычный браузер, только через ТОР)
Зарегистрируйтесь и напишите нам. 
*Наш ник в Sonar'e - savefile365
========================================================================
Ваш идентификатор (ID)
pAQAAAAAAAA4Ssq4JZSJD0MkDANXo8NxymzW0scAQVf [всего 850 знаков]


Вариант от 3 сентября 2020:
Расширение: .777
Записка: How to decrypt files.txt
Email: decoding_help8888@protonmail.com
SupportMIICCSSetup@protonmail.com

Вариант от 18 сентября 2020: 
Расширение: .locked
Записка: Инструкция.TXT
Tor-URL: http://sonarmsniko2lvfu.onion
Email: help842@horsefucker.org
Email-2: reserve625@protonmail.com

   


Вариант от 14 октября 2020: 
Расширение: .Bioawards
Записки: Instruction.txt, DECRYPT FILES.TXT
Email: Bioawards@tutanota.com, Bioawards@gjessmail.com




Вариант от 16 ноября 2020: 
Расширение: .(hupstore@keemail.me)
Записка: read me.TXT
Email: hupstore@protonmail.com
hupstore@keemail.me
hupstore@memeware.net



Вариант от 5 ноября 2020:
Расширение: .restoreserver
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: restoreserver@mail.ru


➤ Содержание записки: 
==================================================
     !!! ALL FILES HAS BEN ENCRYPTED !!!
==================================================
We have encrypted your important data on your system.
We would like you to know that you cannot restore your data with familiar data recovery methods.
These methods will only waste your time.
However, if you want to use data recovery companies or programs, please do not use your original files,
process and / or have copies of them.
Corruption of master files can cause irreversible damage to your data.
The originals of your encrypted files have been deleted using random data write technique.
Your backups are deleted by writing data to all backups on your NAS Storage and Disks.
If no return is made within 48 hours, the password used in the system will be deleted and your data will never be restored.
Your disks are encrypted with Full disk encryption and unauthorized interference will result in permanent data loss!
Don't believe the people around you
I have enough references to give you confidence
I don't know you, so it doesn't make sense that I have bad feelings for you,
My goal is just to make this desirable income. After your payment
I will connect to your server to restore your data as soon as possible.
To decrypt your data, you can contact us via the following communication channel.
If you want to reach, do not forget to add the code that is specially produced below.
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 10Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
How to obtain Bitcoins? 
 * The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 
   'Buy bitcoins', and select the seller by payment method and price: 
   https://localbitcoins.com/buy_bitcoins 
 * Also you can find other places to buy Bitcoins and beginners guide here:   
   http://www.coindesk.com/information/how-can-i-buy-bitcoins 
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam.  
e-mail: restoreserver@mail.ru
with email pls send your ip adres :
Your personal identifier:
pAQAAAAAAAANiOl2HZSH80MkDAR***


Вариант от 27 декабря 2020:
Расширение: .nginxhole
Записка: DECRYPT FILES.TXT
Email: nginxhole@gjessmail.com, nginxhole@tutanota.com


➤ Содержание записки: 
Attention.
Vulnerabilities have been found on your system.
Your file system is damaged.
All files are encrypted with a complex strong key AES 256, RSA and so on.
Don't use an antivirus. It can corrupt files and all cannot be recovered.
You have been assigned a unique identifier.
After infection, you have 96 hours to declare decryption. After the expiration of 96 hours, the keys will be automatically deleted.
Do not use third-party file recovery or decryption software. They do not work. They mess up files. See for yourself.
Detailed information can be obtained by mail: nginxhole@gjessmail.com
To receive instructions on decryption, write to the mail: nginxhole@gjessmail.com
To get the decryption keys and the decryption program, write to the mail: nginxhole@tutanota.com
Your personal identifier:
o4QAAAAAAAC5tIXcHZSJE0***
Now you should send us email with your personal identifier.
Contact us using this email address: nginxhole@tutanota.com
Free decryption as guarantee!
Before paying you can send us up to 3 files for free decryption.
The total size of files must be less than 5Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
Attention!   
 * Do not rename encrypted files. 
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.  
 * Decryption of your files with the help of third parties may cause increased price  
   (they add their fee to our) or you can become a victim of a scam. 
Second support: nginxhole@tutanota.com


=== 2021 ===

Вариант от 5 января 2021:
Расширение: .danger
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: files.recovery@mail.ru



Обновление от марта-апреля 2021: 
Группа других контактов:
decoding_service@aol.com 
decoding_service@protonmail.com 
personaliddecryptor@aol.com 
personaliddecryptor@protonmail.com 
Support777@torbox3uiot6wchz.onion 
SupportMIICCSSetup@protonmail.com 


Вариант от 15 апреля 2021: 
Расширение: .rsalive
Записка: HOW TO RECOVER ENCRYPTED FILES.TXT
Email: recoverysupp@aol.com
BTC: 12GFeyrq3RgeLfGSxs3qWn7RnUQW14Ndda



Вариант от 19 июля 2021: 
Расширение: .Imshifau
Email: Imshifau@tutanota.com, Imshifau@vegeta.cyou
Файл: svchostmsi.exe
Результаты анализов: VT




Вариант от 4 января 2022:
Расширение: .encrypt
Пример зашифрованного файла: JcSZesIRRCiiqkID13lPnoQYVM962SmXvFZAoMB0CL54uQ.encrypt
Записки: HOW TO RECOVER ENCRYPTED FILES SRV01.TXT
HOW TO RECOVER ENCRYPTED FILES SRV02.TXT
HOW TO RECOVER ENCRYPTED FILES SRV03.TXT
Email: decryptserver@mail.ru








=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter: myTweet
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author)
 Emmanuel_ADC-Soft, GrujaRS, Michael Gillespie, 
 Kangxiaopao (xiaopao)
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

CryptoDarkRubix

CryptoDarkRubix Ransomware

Ranet Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: CryptoDarkRubix или Ranet. На файле написано: ranet.exe. Среда разработки: Delphi.

Обнаружения:
DrWeb -> Trojan.Encoder.31036, Trojan.Encoder.31288
BitDefender -> Trojan.GenericKD.33369205, Trojan.GenericKD.42859072
ESET-NOD32 -> MSIL/Filecoder.YF
Malwarebytes -> Ransom.CryptoDarkRubix
McAfee -> GenericRXKC-IY!76D274C82343
Microsoft -> Ransom:MSIL/DarkRubix.S!MTB
Rising -> Ransom.Crypren!8.1D6C (CLOUD), Ransom.DarkRubix!8.118D8 (CLOUD)
Symantec -> Trojan Horse
Tencent -> Msil.Trojan.Crypren.Wpte, Win32.Trojan.Agent.Ajvm
TrendMicro -> Ransom_Crypren.R011C0WBQ20, Ransom.MSIL.DARKRUBIX.A
---
To AV vendors! Want to be on this list regularly or be higher on the list? Contact me! 
AV вендорам! Хотите быть в этом списке регулярно или повыше? Сообщите мне!

© Генеалогия: ??? >> CryptoDarkRubix (Ranet)


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .CryptoDarkRubix


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на вторую половину февраля - начало марта 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: unlockFiles.txt

Содержание записки о выкупе:
Hi your current ID is "ivloKbkHh4" 
your security network has extermly problem please sent a BTC for the wallet address : 3FZbgi29cpjq2GjdwV8eyHuJJnkLtktZc5.
If you had problem sent email to sudeio@geto.tk
you have just 72 hours for decrypt your files.

Перевод записки на русский язык:
Привет, ваш текущий ID "ivloKbkHh4"
Безопасности вашей сети имеет крайне опасные проблемы, отправьте BTC на кошелек: 3FZbgi29cpjq2GjdwV8eyHuJJnkLtktZc5.
Если у вас возникли проблемы, пишите на sudeio@geto.tk
у вас только 72 часа для расшифровки ваших файлов.

Кроме записки используется еще изображение darkrubixhacking.jpg, заменяющее обои Рабочего стола, но мне не удалось получить эту картинку. 



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Файл шифровальщика защищен с помощью EnigmaProtector. 

➤ Используется защита анти-VM, чтобы не допустить исследование на виртуальной машине. 
 

Список файловых расширений, подвергающихся шифрованию:
.accda, .accdb, .accdc, .accde, .accdr, .accdt, .accdw, .adn, .adp, .backup, .bak, .bmpv, .csv, .cur, .doc, .docs, .docx, .dsn, .ico, .jfif, .jpeg, .jpg, .laccdb, .ldf, .mad, .maf, .mam, .maq, .mar, .mat, .mda, .mdb, .mde, .mde, .mdf, .mdw, .mpp, .odc, .pdf, .pjp, .pjpeg, .png, .svg, .tif, .tiff, .udl, .webp, .xla, .xlam, .xls, .xlsm, .xlsx, .xlt, .xltm, .xltx, .zip (56 расширений). 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Содержание зашифрованных файлов минимализировано.

Таким образом, уплата выкупа бесполезна

Файлы, связанные с этим Ransomware:
unlockFiles.txt - название файла с требованием выкупа
darkrubixhacking.jpg
ranet.exe - исполняемый файл вымогателя
asih.exe - исполняемый файл вымогателя (копия)
c192d040bcbc2c2e77698410a3f9ad1caf2b9d2a4842b4a16eb09f3446493a9c - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\User\AppData\Local\Temp\asih.exe
C:\Users\User\AppData\Local\Temp\c192d040bcbc2c2e77698410a3f9ad1caf2b9d2a4842b4a16eb09f3446493a9c.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: sudeio@geto.tk
BTC: 3FZbgi29cpjq2GjdwV8eyHuJJnkLtktZc5
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>  HA>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as CryptoDarkRubix)
 Write-up, Topic of Support
 * 
 Thanks: 
 dnwls0719, Ravi, Karsten Hahn, Michael Gillespie
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *