суббота, 2 декабря 2017 г.

Scarabey

Scarabey Ransomware

Scarab-Scarabey Ransomware

Scarab-Russian Ransomware

(шифровальщик-вымогатель, деструктор)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Scarabey. Написан на Delphi без упаковки в C++ которая используется в оригинальном Scarab. Для вас подготовлен видеообзор >>
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Scarab > Scarabey

К зашифрованным файлам добавляется расширение .scarab
Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU
Стилизация выполнена в виде скарабея, держащего глобус с Россией.

Активность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа написана на русском языке и называется: Инструкция по расшифровке.TXT

Содержание записки о выкупе:
Добрый день. Ваш компьютер подвергся заражению Scarabey. Все данные зашифрованы уникальным ключем, который находится только у нас. 
Без уникального ключа - файлы восстановить невозможно.
Каждые 24 часа удаляются 24 файла. (их копии есть у нас)
Если не запустить программу дешифратор в течении 72 часов, все файлы на компьютере удаляются полностью, без возможности восстановления.

Прочтите Внимательно инструкции, как восстановить все зашифрованные данные.
Scarabey
----------------------------------------------------------
Востановить файлы Вы сможете так:
1. связаться с нами по e-mail:  support7@cock.li
 - высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.
   Мы их расшифровываем, в доказательство возможности расшифровки.
   также получаете инструкцию по оплате. (оплата будет в bitcoin)
 - сообщите Ваш ID и мы выключим произвольное удаление файлов 
   (если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет
   удаляться по 24 файла. Если сообщите ID- мы выключим это)
2. оплачиваете и подтверждаете оплату.
3. после оплаты получаете дешифратор. Который восстановит ваши данные и выключит функцию удаления файлов.
----------------------------------------------------------
У Вас есть 48 часов на оплату.
Если не успеете за 48 часов оплатить, то цена расшифровки увеличивается в 2 раза.
Чтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 48 часов.
За подробными инструкциями обращайтесь e-mail: support7@cock.li
 - После запуска дешифратор, файлы расшифровываются в течении часа.
 - Если будете пытаться сканировать или расшифровать данные самостоятельно - можете потерять Ваши файлы навсегда.
 - Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
==============================
Ваш идентификатор. 
+4IAAAAAAAAagIUuHZLHEQAl***lwAxNEiDVrkUqanFasK=hC212=ky

------------------ P.S. ---------------------------------
Если у Вас нет биткойнов
 * Здесь вы можете обменять любые эллектронные деньги - https://bestchange.ru
   это список обменников.
 * Приобретите криптовалюту Bitcoin удобным способом:
   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)
 - Не имеет смысла устраивать панику. 
 - Каждое нецензурное слово в наш адрес равняется + 50$ к оплате.
 - Жалобами заблокировав e-mail, Вы лишаете возможность остальных, расшифровать свои компьютеры.
   Остальных, у кого также зашифрованы компьютеры Вы лишаете ЕДИНСТВЕННОЙ НАДЕЖДЫ расшифровать. НАВСЕГДА.
 - Просто войдите с нами в контакт, оговорим условия расшифровки файлов и доступной оплаты, 
   в дружественной обстановке.
---------------------------------------------------------
Ваш идентификатор. 
+4IAAAAAAAAagIUuHZLHEQAl***lwAxNEiDVrkUqanFasK=hC212=ky


Перевод записки на русский язык:
Уже сделан вымогателями. Примечательно, что кроме банальной ошибки в слове "ключем" в тексте немало других ошибок, что говорит не в пользу грамотности составителей вымогательского текста. Да, похоже, что их было несколько, кто-то добавлял текст, кто-то удалял слова. Отсюда множественные ошибки с пунктуацией и лексикой. 



Технические детали

Распространяется путём взлома через незащищенную конфигурацию RDP. Также может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Scarabey удаляет теневые копии файлов, точки восстановления системы, отключает исправление загрузки Windows.

Особенности
- По названию записка о выкупе аналогична тем, что использовались в обновлениях крипто-вымогателей Amnesia и Amnesia-2. Но по детекту это одна из разновидностей Scarab Ransomware, ориентированная на русскоязычных пользователей.  
- Кроме шифрования файлов также производится их выборочное удаление, отсюда вторая характеристика — деструктор. 
- Scarabey ориентирован на российских пользователей и распространяется через RDP и ручную установку на серверы и системы.

Список файловых расширений, подвергающихся шифрованию:
Это наверняка документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Инструкция по расшифровке.TXT
sevnz.exe
svhosts.exe
<random>.exe

Расположения:
\Desktop\ -> Инструкция по расшифровке.TXT
\Downloads\ -> Инструкция по расшифровке.TXT
\Documents\ -> Инструкция по расшифровке.TXT
\User_folders\ -> Инструкция по расшифровке.TXT
C:\Windows\HhSm\svhosts.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: support7@cock.li
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: высокая.
Подробные сведения собираются регулярно.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Обновление от 23 декабря 2017:
Оригинальное название: Scarabey
Расширение: .scarab
Записка: Инструкция по расшифровке.TXT (текст аналогичен, email новый)
Email: Support56@cock.li
Файл: sevnz.exe
Те же деструктивные функции. Смотрите видеообзор в блоке ссылок ниже. 
Результаты анализов: HA + VT

Обновление от 25 января 2018:
Расширение: .scarab
Записка: Инструкция по расшифровке.TXT
Email: helper023@cock.li




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID under Scarab)
 Write-up, Topic of Support
 🎥 Video review

 Thanks: 
 Andrew Ivanov, Alex Svirid
 пострадавшие из тем поддержки
 GrujaRS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton