Scarry Ransomware

Na analyse van Scarry Ransomware, hebben infosec-onderzoekers vastgesteld dat de dreiging een variant is van de Scarab Ransomware-familie. Hoewel dat waar kan zijn, vertoont Scarry Ransomware een aantal ongebruikelijke kenmerken in vergelijking met de meeste andere varianten uit de familie. Ten eerste lijkt het erop dat deze dreiging in eerste instantie is bedoeld om gebruikers in Rusland of in Russisch sprekende landen te targeten, wat blijkt uit de losgeldbrief, die volledig in het Russisch is geschreven en geen vertalingen in andere talen bevat. Wat betreft de bestanden die het versleutelt, Scarry Ransomware zal hun bestandsnamen drastisch veranderen door ze in te stellen op een reeks willekeurige tekens met verschillende lengte, gevolgd door '.scarry' als extensie. De instructies van de hackers worden als tekstbestanden neergezet in elke map met versleutelde gegevens. De naam van de tekstbestanden is 'Инструкция.TXT.'

De losgeldbrief is uiterst gedetailleerd. Zoals we al zeiden, is het volledig in het Russisch geschreven en bevat het een aantal specifieke instructies voor Russische gebruikers, zoals het niet gebruiken van de populaire mail.ru e-mailprovider bij het leggen van contact. De hackers raden aan om ze een bericht te sturen via yandex.ru of Gmail. Het e-mailadres voor communicatie is 'scarry792@cock.li' en de slachtoffers wordt verteld om de unieke ID die aan hun systeem is toegewezen en twee gecodeerde bestanden in het bericht op te nemen. Als de pc-gebruikers binnen 48 uur geen reactie ontvangen, worden ze verondersteld een link te volgen naar een website die alleen via de TOR-browser kan worden bereikt, daar een account aan te maken en het account van de hackers op 'savefile365' te berichten.

Om hun slachtoffer nog meer bang te maken om aan hun eisen te voldoen, stellen de criminelen achter Scarry Ransomware dat ze elke 24 uur 24 bestanden van het gecompromitteerde systeem zullen verwijderen. Tegelijkertijd zal het bedrag dat ze vragen met 30% toenemen tot een maximum dat 72 uur na de ransomware-infectie wordt bereikt.

De originele tekst van de notitie van Scarry Ransomware is:

'Ваши документы, базы данных en другие файлы были зашифрованы. Но не стоит переживать!

Мы все расшифруем en вернем на свои места.

Для расшифровки данных:

Напишите на почту - scarry792@cock.li

* В письме указать Ваш личный идентификатор (Sleutel-ID)

* Прикрепите 2 айла до 2 мб для тестовой расшифровки.

мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.

ВАЖНО! Не пишите с mail.ru (к нам не доходят пиьсма) Используйте - yandex.ru gmail.com и т.д.

Все кроме mail.ru

-Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление.

-Написав нам на почту вы получите дальнейшие инструкции по оплате.

В ответном письме Вы получите программу для расшифровки.

После запуска программы-дешифровщика все Ваши файлы будут восстановлены.

Мы гарантируем:

100% успешное восстановление всех ваших файлов

100% гарантию соответствия

100% безопасный и надежный сервис

Внимание!

* Не пытайтесь удалить программу или запускать антивирусные средства

* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных

* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя

уникальный ключ шифрования

Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эклучили эктуфун.

Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)

PS

Если Вам не ответили в течении 48 часов. Вам нужно будет связаться с нами по дополнительным контактам.

Скачайте en установите Tor Browser - hxxps: //www.torproject.org/ru/download/

Откройте через Tor Browser сайт - hxxp: //sonarmsniko2lvfu.onion

Зарегистрируйтесь en напишите нам.

* Наш ник в Sonar'e - savefile365

====================

 Ваш идентификатор (ID) '