Scarry Ransomware
Nach der Analyse von Scarry Ransomware stellten Infosec-Forscher fest, dass die Bedrohung eine Variante der Scarab Ransomware-Familie ist. Während dies wahr sein mag, zeigt Scarry Ransomware einige ungewöhnliche Funktionen im Vergleich zu den meisten anderen Varianten aus der Familie. Erstens scheint diese Bedrohung in erster Linie auf Benutzer gerichtet zu sein, die sich entweder in Russland oder in russischsprachigen Ländern befinden. Dies wird durch den Lösegeldschein belegt, der vollständig in Russisch verfasst ist und keine Übersetzungen in andere Sprachen enthält. Bei den verschlüsselten Dateien ändert Scarry Ransomware ihre Dateinamen dramatisch, indem sie auf eine Folge von zufälligen Zeichen mit unterschiedlicher Länge gesetzt werden, gefolgt von '.scarry' als Erweiterung. Die Anweisungen der Hacker werden als Textdateien in jedem Ordner mit verschlüsselten Daten abgelegt. Der Name der Textdateien lautet 'Инструкция.TXT'.
Der Lösegeldschein ist äußerst detailliert. Wie bereits erwähnt, ist es vollständig in russischer Sprache verfasst und enthält einige spezifische Anweisungen für Benutzer mit Sitz in Russland, z. B. die Verwendung des beliebten E-Mail-Anbieters mail.ru bei der Kontaktaufnahme nicht. Die Hacker empfehlen, ihnen eine Nachricht über yandex.ru oder Google Mail zu senden. Die E-Mail-Adresse für die Kommunikation lautet "scarry792@cock.li". Die Opfer werden aufgefordert, die ihrem System zugewiesene eindeutige ID und zwei verschlüsselte Dateien in die Nachricht aufzunehmen. Wenn die PC-Benutzer innerhalb von 48 Stunden keine Antwort erhalten, sollen sie einem Link zu einer Website folgen, die nur über den TOR-Browser erreichbar ist, dort ein Konto erstellen und dem Konto der Hacker unter 'savefile365' eine Nachricht senden.
Um ihr Opfer weiter zu erschrecken, ihre Forderungen zu erfüllen, geben die Kriminellen hinter Scarry Ransomware an, dass sie alle 24 Stunden 24 Dateien aus dem gefährdeten System löschen werden. Gleichzeitig steigt die Menge, die sie benötigen, um 30% bis zu einer Höchstmenge, die 72 Stunden nach der Ransomware-Infektion erreicht wird.
Der Originaltext der Notiz der Scarry Ransomware lautet:
'Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать!
Мы все расшифруем и вернем на свои места.
Для расшифровки данных:
Напишите на почту - scarry792@cock.li
* В письме указать Ваш личный идентификатор (Schlüsselkennung)
* 2рикрепите 2 файла до 2 мб для тестовой расшифровки.
мы их расшифруем, в качестве доказательства, что ТОЛЬКО м можем расшифровать файлы.
Â! Mailе пишите с mail.ru (к нам не доходят пиьсма) Используйте - yandex.ru gmail.com и т.д.
Все кроме mail.ru
-Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление фао
-Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Мы гарантируем:
100% успешное восстановление всех ваших файлов
100% гарантию соответствия
100% безопасный и надежный сервис
Внимание!
* Не пытайтесь удалить программу или запускать антивирусные средства
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
24аждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту функцию.
24аждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
PS
Если Вам не ответили в течении 48 часов. Вам нужно будет связаться с нами по дополнительным контактам.
Browserкачайте и установите Tor Browser - hxxps: //www.torproject.org/ru/download/
Browserткройте через Tor Browser сайт - hxxp: //sonarmsniko2lvfu.onion (сайт не будет работать через обычный браузер, только чр
Зарегистрируйтесь и напишите нам.
* Arаш ник в Sonar'e - savefile365
====================
Ваш идентификатор (ID) '
