Scarab-XTBL

Scarab-XTBL Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. На файле написано: Extensible Associatewith Kek Addresses Rutinely Buttons. Фальш-копирайт: 2006-2014 RonyaSoft. См. генеалогию ниже. Написан на Delphi. Файлы можно дешифровать!

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

© Генеалогия: Scarab  > Scarab семейство > Scarab-XTBL
© Genealogy: Scarab > Scarab Family > Scarab-XTBL

Это изображение — логотип статьи. Изображает скарабея с комком "XTBL".

This image is the logo of the article. It depicts a scarab with clod (ball) "XTBL".

К зашифрованным файлам добавляется расширение / Appends to encrypted files the extension:
.xtbl

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется / Name of ransom note: 
IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT

Содержание записки о выкупе / Contents of ransom note:
--------------------------------------------------------------------------------------
*** IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS ***
--------------------------------------------------------------------------------------
email - joxe1@cock.li
Your files are now encrypted!
-----BEGIN PERSONAL IDENTIFIER-----
+4IAAAAAAAB1hq+**************FtYok0
-----END PERSONAL IDENTIFIER-----
All your files have been encrypted due to a security problem with your PC.
Now you should send us email with your personal identifier.
This email will be as confirmation you are ready to pay for decryption key.
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
After payment we will send you the decryption tool that will decrypt all your files. 
Contact us using this email address: joxe1@cock.li
Free decryption as guarantee!
Before paying you can send us up to 2 files for free decryption.
The total size of files must be less than 1Mb (non archived), and files should not contain
valuable information (databases, backups, large excel sheets, etc.).
--------------------------------------------------------------------------------------
How to obtain Bitcoins? 
* The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click
 'Buy bitcoins', and select the seller by payment method and price:
https://localbitcoins.com/buy_bitcoins 
* Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins  
--------------------------------------------------------------------------------------
Attention!
* Do not rename encrypted files. 
* Do not try to decrypt your data using third party software, it may cause permanent data loss. 
* Decryption of your files with the help of third parties may cause increased price 
(they add their fee to our) or you can become a victim of a scam. 
--------------------------------------------------------------------------------------
email - joxe1@cock.li

Перевод записки на русский язык:
--------------------------------------------------------------------------------------
*** ЕСЛИ ВЫ ХОТИТЕ ВЕРНУТЬ ВСЕ СВОИ ФАЙЛЫ, ПРОЧТИТЕ ЭТО ***
--------------------------------------------------------------------------------------
email - joxe1@cock.li
Ваши файлы зашифрованы!
-----НАЧАЛО ЛИЧНОГО ИНДЕНТИФИКАТОРА-----
+4IAAAAAAAB1hq+**************FtYok0
-----КОНЕЦ ЛИЧНОГО ИНДЕНТИФИКАТОРА-----
Все ваши файлы зашифрованы из-за проблемы с безопасностью на вашем ПК.
Теперь вы должны отправить нам email с вашим личным идентификатором.
Это письмо будет подтверждением, что вы готовы заплатить за ключ дешифрования.
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, как быстро вы напишете нам.
После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Свяжитесь с нами, используя этот адрес email: joxe1@cock.li
Бесплатное дешифрование в качестве гарантии!
Перед оплатой вы можете отправить нам до 2 файлов для бесплатного дешифрования.
Общий размер файлов должен быть меньше 1 Мб (не архивирован), а файлы не должны содержать
ценную информацию (базы данных, резервные копии, большие листы Excel и т. д.).
--------------------------------------------------------------------------------------
Как получить биткойны?
* Самый простой способ купить биткоbны - сайт LocalBitcoins. Вы должны зарегистрироваться, щелкнуть
   'Buy bitcoins' и выбрать продавца по способу оплаты и цене:
https://localbitcoins.com/buy_bitcoins
* Также вы можете найти другие места для покупки биткоинов и руководства для начинающих здесь:
http://www.coindesk.com/information/how-can-i-buy-bitcoins  
--------------------------------------------------------------------------------------
Внимание!
* Не переименовывайте зашифрованные файлы.
* Не пытайтесь расшифровывать свои данные с помощью сторонних программ, это может привести к полной потере данных.
* Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены
(они добавляют плату за нас), или вы можете стать жертвой мошенничества.
--------------------------------------------------------------------------------------
email - joxe1@cock.li

Технические детали / Technical details

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и других), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Открытые мьютексы: 
ShimCacheMutex
STOPSCARABSTOPSCARABSTOPSCARABSTOPSCARABSTOPSCARAB

➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе загрузки командами:

Список файловых расширений, подвергающихся шифрованию / Extensions of target files:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware / Files of Rw:
IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT
Win98.exe
systems.exe
<random>.exe - случайное название

Расположения / Files locations:
\Desktop\ ->
\User_folders\ ->
\AppData\systems.exe

Записи реестра, связанные с этим Ransomware / Registry entries of Rw:
См. ниже результаты анализов.

Сетевые подключения и связи / URLs, contacts, payments:
Email: joxe1@cock.li
См. ниже результаты анализов.

Результаты анализов / Online-analysis:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>  VT>>
ᕒ  ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Scarab Family (семейство Scarab):
Scarab (ScarabLocker) - июнь-август 2017, ноябрь 2017
Scarab-Scorpio (Scorpio) - июль 2017
Scarab-Jackie - октябрь 2017
Scarab-Russian (Scarabey) - декабрь 2017
Scarab-Decrypts - март 2018
Scarab-Crypto - март 2018
Scarab-Amnesia - март 2018
Scarab-Please - март 2018
Scarab-XTBL - апрель 2018
Scarab-Oblivion - апрель 2018
Scarab-Horsia - май 2018
Scarab-Walker - май 2018
Scarab-Osk - май 2018 
Scarab-Rebus - май 2018 
Scarab-DiskDoctor - июнь 2018
Scarab-Danger - июнь 2018
Scarab-Crypt000 - июнь 2018
Scarab-Bitcoin - июнь 2018
Scarab-Bomber - июнь 2018
Scarab-Omerta - июнь-июль 2018
Scarab-Bin - июль 2018
Scarab-Recovery - июль 2018
Scarab-Turkish - июль 2018

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Файлы иногда можно дешифровать!
Рекомендую обратиться по этой ссылке к Emmanuel_ADC-Soft >>
---
Attention!
Files in some cases can be decrypted!
I recommend getting help with this link to Emmanuel_ADC-Soft >>

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Scarab)
 Write-up, Topic of Support
 * 

 Thanks: 
 MalwareHunterTeam
 Michael Gillespie
 Andrew Ivanov
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Spartacus

Spartacus Ransomware

(шифровальщик-вымогатель)

Этот крипто-вымогатель шифрует данные пользователей с помощью AES + RSA-2048, а затем требует написать на email вымогателей, прислать открытый ключ (ID KEY), чтобы узнать как заплатить выкуп в # BTC и вернуть файлы. Оригинальное название: не указано. На файле написано: SF.exe. Написан на языке C# для платформы Microsoft .NET Framework. 
---
Обнаружения: 

DrWeb -> Trojan.Encoder.25098

ALYac -> Trojan.Ransom.Spartacus

Avira (no cloud) -> TR/Ransom.odaei

BitDefender -> Trojan.GenericKD.40189340

ESET-NOD32 -> MSIL/Filecoder.MT

Kaspersky -> Trojan-Ransom.Win32.Crypren.aeii

Microsoft -> Ransom:MSIL/FileCryptor.A!MTB

Rising -> Ransom.Generic!8.E315 (KTSE)

Symantec -> Trojan.KillDiskmens

Tencent -> Malware.Win32.Gencirc.114ce803

TrendMicro -> Ransom_STACUS.THDAFAH

---

© Генеалогия: Общий крипто-строитель SF Ransomware >>  Spartacus, Satyr, BlackRouter, BlackHeart, M@r1a

К зашифрованным файлам добавляется расширение .Spartacus 
Фактически используется составное расширение .[MastersRecovery@protonmail.com].Spartacus 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. и продолжилась позже. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: READ ME.txt

Содержание записки о выкупе:
All your data has been locked us. 
You want to return? 
Write email MastersRecovery@protonmail.com or MastersRecovery@cock.li 
Your personal ID KEY: DvQ9/mvfT3I7U847uKcI0QU3QLd+huv5NOYT2YhfiySde0vhmkzyTtRPlcu73BAJIL***

Перевод записки на русский язык:
Все ваши данные заблокированы нами.
Вы хотите вернуть?
Пишите на email MastersRecovery@protonmail.com или MastersRecovery@cock.li 
Ваш личный ID КЛЮЧ: DvQ9/mvfT3I7U847uKcI0QU3QLd+huv5NOYT2YhfiySde0vhmkzyTtRPlcu73BAJIL***

Запиской с требованием выкупа также выступает экран блокировки, встающий поверх Рабочего стола:

Содержание текста о выкупе:
All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us the e-mail:
MastersRecovery@protonmail.com and send personal ID KEY:  8eXlh5+nL+2tZ5Ou6enn0rF53WukeWauhmilQcdpitGX1***
In case of no answer in 24 hours us to theese e-mail: MastersRecovery@cock.li
You have to pay for decryption in Bitcoins. The price depends on how you write to us. After payment we will send you the decryption tool that will decrypt all your files.
Free decryption as quarantee
Before paying can send us up to 5 files for free decryption. Total size of file must be less than 10Mb (non archived), and files should not contain valuable information (databases, backups, large excel sheets, etc.)
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click "Buy bitcoins", and select the seller by payment method and price.
xxxxs://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
xxxxs://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try decrypt your data using party software, it may cause permanent data loss.
Decryption of your files with the help of thrid parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Перевод текста на русский язык:
Все ваши файлы зашифрованы!
Все ваши файлы были зашифрованы из-за проблемы с безопасностью на вашем ПК. Если вы хотите их вернуть, напишите нам на email:
MastersRecovery@protonmail.com и пришлите личный ID КЛЮЧ:  8eXlh5+nL+2tZ5Ou6enn0rF53WukeWauhmilQcdpitGX1***
В случае без ответа за 24 часа нам на email: MastersRecovery@cock.li
Вы должны заплатить за дешифрование в биткоинах. Цена зависит от того, как вы пишете нам. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы.
Бесплатное дешифрование как гарантия
Перед оплатой вы можете отправить нам до 5 файлов для бесплатного дешифрования. Общий размер файла должен быть меньше 10 Мб (не архивный), а файлы не должны содержать ценную информацию (базы данных, резервные копии, большие листы Excel и т.д.).
Как получить биткоины
Самый простой способ купить биткойны - сайт LocalBitcoins. Вам надо зарегистрироваться, нажать "Buy bitcoins" и выбрать продавца по способу оплаты и цене.
xxxxs://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места, где можно купить биткоины и руководство для начинающих здесь:
xxxxs://www.coindesk.com/information/how-can-i-buy-bitcoins/
Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать данные с помощью программ сторонних производителей, это может привести к потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют плату за нас), или вы можете стать жертвой мошенничества.

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Удаляет теневые копии файлов командой:
cmd.exe /c vssadmin.exe delete shadows /all /quiet

➤ Используется жёстко закодированный закрытый RSA-ключ:
xA4fTMirLDPi4rnQUX1GNvHC41PZUR/fDIbHnNBtpY0w2Qc4H2HPaBsKepU33RPXN5EnwGqQ5lhFaNnLGnwYjo7w6OCkU+q0dRev14ndx44k1QACTEz4JmP9VGSia6SwHPbD2TdGJsqSulPkK7YHPGlvLKk4IYF59fUfhSPiWleURYiD50Ll2YxkGxwqEYVSrkrr7DMnNRId502NbxrLWlAVk/XE2KLvi0g9B1q2Uu/PVrUgcxX+4wu9815Ia8dSgYBmftxky427OUoeCC4jFQWjEJlUNE8rvQZO5kllCvPDREvHd42nXIBlULvZ8aiv4b7NabWH1zcd2buYHHyGLQ==AQAB

➤ Функционал создания ключа (KeyGenerator) отображен на снимке кода. 

➤ После запуска Spartacus создается уникальный мьютекс Test, чтобы снова не запускать шифрование.

➤ Spartacus постоянно удерживает поверх Рабочего стола свой экран блокировки, используя функцию SetForegroundWindow.

Список файловых расширений, подвергающихся шифрованию:
Файлы шифруются только в следующих специальных папках и директориях пользователя, независимо от расширения:
System
ProgramData
Desktop
MyComputer
DesktopDirectory
Favorites
Personal
MyMusic
History
Personal
Downloads
Documents
Pictures
Videos
Music

Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
SF.exe
<random>.exe - случайное название
READ ME.txt

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: MastersRecovery@protonmail.com
MastersRecovery@cock.li 
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺  VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Общий крипто-строитель SF Ransomware - апрель 2018 или раньше

Spartacus Ransomware - 15 апреля 2018

Satyr Ransomware  - 18 апреля 2018

BlackRouter Ransomware  - 18 апреля 2018, январь 2019

BlackHeart Ransomware - 21 апреля 2018, июнь 2020

RansomAES Ransomware - 7 мая 2018

M@r1a Ransomware - 3 ноября 2018, май 2019

BlackHat Ransomware - 4 декабря 2018

Prodecryptor Ransomware - апрель 2019

Tor+ Ransomware - декабрь 2019

Tsar Ransomware - февраль 2020

Badboy Ransomware - июнь 2020

Alix1011RVA Ransomware - сентябрь 2020

Prodecryptor - январь 2021 или раньше

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Дополнение от Malwarebytes LABS: 
Шифрование начинается с создания уникального ключа для шифрования, выполняемого алгоритмом Rijndael (это версия AES). Этот ключ сохраняется и используется для шифрования каждого отдельного файла. Поэтому два одинаковых файла будут иметь один и тот же шифр-текст. Ключ AES зашифрован ключом RSA, встроенным в файл. Шифрованный текст кодируется и отображается пользователю в примечании о выкупе. Встроенность ключ RSA говорит о том, что закрытый ключ существует на стороне сервера вымогателей. Таким образом, все ключи AES от всех жертв этого конкретного штамма могут быть дешифрованы с использованием этого одного ключа, если он когда-то будет опубликован.
Подробнее о технических деталях см. в статье Malwarebytes LABS>>

Предыстория: 
SF Ransomware (общий образец - файл SF.exe)
Дата выпуска: 13 апреля 2018
Проект: C:\Users\Behrouz\Desktop\Ransomware Source\Source Code\SF\obj\Debug\SF.pdb 
Расширение: .SF
Test-email: example@gmail.com, example1@gmail.com
Пост в Твиттере >>
Результаты анализов: VT

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Spartacus)
 Write-up, Topic of Support
 * 

Added later:
Write-up
*

 Thanks: 
 Bart
 Andrew Ivanov
 Malwarebytes LABS
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Это 1000-й пост блога

This is 1000th blog post

Tron

Tron Ransomware

(шифровальщик-вымогатель) 

Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем требует выкуп в 0.05 BTC (в диапазоне от 0.007305 до 0.05 BTC), чтобы вернуть файлы. Оригинальное название: Tron. Написано в заголовке записки и на файле.


Обнаружение: 
Dr.Web -> Trojan.DownLoader26.37146 / Trojan.Encoder.25129 / Trojan.Encoder.25130 / DPH:Trojan.Encoder.9 / Trojan.Encoder.25145 
BitDefender -> Trojan.GenericKD.30606902 / Trojan.GenericKD.30608252 /Trojan.GenericKD.30620594 / Trojan.GenericKD.30622561

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .tron

Активность этого крипто-вымогателя пришлась на середину апреля 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки с заголовком "Tron":

Содержание записки о выкупе:
All your files are encrypted
What happened to my computer?
Your important files are encrypted.
Many of your documents, photos, videos, databases and other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recovery your files, but do not waste your time.
Nobody can recover your files without our decryption service.
Can i Recover my Files?
Sure, We guarantee that you can recover II your files safely and easily.
But you have not so enough time.
You have only have 10 days to submit the payment.
Also, if you don't pay in 10 days, you won't be able to recover your files forever.
How Do I pay?
Payment is accepted in bitcoin only. For more inforrmation, click "How to buy Bitcoin". Please check the current price of bitcoin and buy some bitcoins.
And send the correct amount to the address specifiled in the window.
After your payment you need to write to us on mail.
We will decrypt your files.
We strongly recommend you to not remove this software, and disable your anti-virus for a while, until! you pay and the
payment gets processed, if your anti-virus gets updated and removes this software autmatically, it will not be able
to recover your files even if you pay!
Amount 0.05   [Copy]
Bitcoin address DzNaZiWzBwUr8ymWHcSzbYGidutRNDuEs   [Copy]
EMAIL support_tron@gmail.com   [Copy]
[HOW TO BUY BITCOIN]

Перевод записки на русский язык:
Все ваши файлы зашифрованы
Что случилось с моим компьютером?
Ваши важные файлы зашифрованы.
Многие из ваших документов, фото, видео, баз данных и других файлов не доступны, т.к. они зашифрованы.
Возможно, вы ищет способ восстановления ваших файлов, но не тратьте свое время.
Никто не сможет восстановить ваши файлы без нашей службы дешифровки.
Могу ли я восстановить мои файлы?
Конечно, мы гарантируем, что вы сможете безопасно и легко вернуть файлы.
Но у вас мало времени.
У вас есть только 10 дней, чтобы отправить платеж.
Кроме того, если вы не платите за 10 дней, вы не сможете вернуть свои файлы никогда.
Как мне оплатить?
Оплата принимается только в биткоинах. Для получения информации нажмите "How to buy Bitcoin". Проверьте текущую цену биткоина и купите немного биткоинов.
И отправьте правильную сумму по адресу, указанному в окне.
После оплаты вы должны написать нам на почте.
Мы расшифруем ваши файлы.
Мы очень рекомендуем вам не удалять эту программу и не отключать антивирус некоторое время, пока вы платите и
платеж обрабатывается, если ваш антивирус обновится и автоматически удалит эту программу, она не сможет
восстановить ваши файлов, даже если вы заплатите!
Сумма 0.05  [ Copy ]
Биткоин-адрес DzNaZiWzBwUr8ymWHcSzbYGidutRNDuEs  [ Copy ]
EMAIL support_tron@gmail.com [ Copy ]
[HOW TO BUY BITCOIN]


При нажатии на кнопку "HOW TO BUY BITCOIN" показывает окно с инструкциями по покупке криптовалюты Bitcoin:

Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

➤ Использует онлайн-сервис 2ip.ru для определения IP компьютера, проверяя по ссылке адрес. Но это не работает через адресную строку, там нужно вводить адрес и капчу вручную. 

➤ Определив, что IP-адрес у атакованного ПК относится к России, Беларуси, Казахстану, а также, считав информацию из объекта CultureInfo, который представляет язык и региональные параметры в ОС Windows, что в системе установлена российская локаль, должен завершать работу и не шифровать файлы. Но из-за ошибки в коде этот шифровальщик шифрует все файлы и на всех дисках. 

В коде указаны: Россия, Беларусь и Казахстан

➤ Должен шифровать файлы на рабочем столе и в служебных каталогах AppData и LocalAppData и другие, но из-за ошибки в коде шифрует все файлы и на всех дисках. 

Целевые директории для шифрования

➤ Шифрует файлы с алгоритмом AES-256 (режим CBC) с единым для всех файлов ключом, хранящимся в теле шифратора. К зашифрованным файлам добавляется расширение ".tron". Файлы более 30000000 байт (28.6 Мб) не шифруются. После окончании шифрования в файл %ProgramData%\\trig записывается значение "123", затем отправляется запрос на сайт iplogger. После этого жертве показывается окно с требованиями выкупа.

➤ Не шифруются файлы размером более 30000000 байт (примерно 28.6 Мб). 

Список файловых расширений, подвергающихся шифрованию:
Из-за ошибки в коде шифруются все файлы!
Это наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

⛳ Вывод: Из-за допущенной в коде шифровальщика ошибки дешифровка поврежденных им файлов в большинстве случаев невозможна. Уплата выкупа бесполезна! 

Файлы, связанные с этим Ransomware:
Tron.exe
<random>.exe - случайное название

Расположения:
\Desktop\ ->
\User_folders\ ->
\AppData\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxxs://2ip.ru/geoip/
xxxxs://iplogger.com/
Email: support_tron@gmail.com
BTC: DzNaZiWzBwUr8ymWHcSzbYGidutRNDuEs
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid анализ >>  HA>> 
𝚺  VirusTotal анализ >>  VT>> VT>>
🐞 Intezer анализ >>  IA>>
ᕒ ANY.RUN анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as Tron)
 Write-up, Topic of Support
 🎥 Video review >>

 - видеообзор от CyberSecurity GrujaRS

Added Later:
Article by Dr.Web in Russian (on April 16, 2018)
Article by Dr.Web in English (on April 16, 2018)
*
*

 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov, CyberSecurity GrujaRS
 Dr.Web
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private