Scarry ransomware
Después de analizar Scarry Ransomware, los investigadores de infosec determinaron que la amenaza es una variante que pertenece a la familia Scarab Ransomware. Si bien eso puede ser cierto, Scarry Ransomware muestra algunas características inusuales en comparación con la mayoría de las otras variantes de la familia. En primer lugar, parece que esta amenaza está diseñada para atacar principalmente a usuarios ubicados en Rusia o en países de habla rusa, como lo demuestra la nota de rescate, que está escrita completamente en ruso y no contiene ninguna traducción a otros idiomas. En cuanto a los archivos que cifra, Scarry Ransomware cambiará sus nombres de archivo drásticamente configurándolos en una cadena de caracteres aleatorios con longitud variable seguida de '.scarry' como extensión. Las instrucciones de los piratas informáticos se colocan como archivos de texto en cada carpeta que contiene datos cifrados. El nombre de los archivos de texto es 'Инструкция.TXT'.
La nota de rescate es extremadamente detallada. Como dijimos, está escrito completamente en ruso y tiene algunas instrucciones específicas para los usuarios con sede en Rusia, como no usar el popular proveedor de correo electrónico mail.ru al iniciar el contacto. Los piratas informáticos recomiendan enviarles un mensaje a través de yandex.ru o Gmail. La dirección de correo electrónico para la comunicación es 'scarry792@cock.li', y se les pide a las víctimas que incluyan la identificación única asignada a su sistema y dos archivos cifrados en el mensaje. Si los usuarios de PC no reciben una respuesta en 48 horas, se supone que deben seguir un enlace a un sitio web al que solo se puede acceder a través del navegador TOR, crear una cuenta allí y enviar un mensaje a la cuenta de los piratas informáticos en 'savefile365'.
Para asustar aún más a su víctima para que cumpla con sus demandas, los criminales detrás de Scarry Ransomware afirman que cada 24 horas, eliminarán 24 archivos del sistema comprometido. Al mismo tiempo, la cantidad que demandan crecerá un 30% hasta una cantidad máxima alcanzada 72 horas después de la infección del ransomware.
El texto original de la nota de Scarry Ransomware es:
«Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать!
Мы все расшифруем и вернем на свои места.
Для расшифровки данных:
Напишите на почту - scarry792@cock.li
* В письме указать Ваш личный идентификатор (Identificador de clave)
* Прикрепите 2 файла до 2 мб для тестовой расшифровки.
мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
ВАЖНО! Не пишите с mail.ru (к нам не доходят пиьсма) Используйте - yandex.ru gmail.com и т.д.
Все кроме mail.ru
-Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлиев.
-Написав нам на почту вы получите дальнейшие инструкции по оплате.
В ответном письме Вы получите программу для расшифровки.
После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
Мы гарантируем:
100% успешное восстановление всех ваших файлов
100% гарантию соответствия
100% безопасный и надежный сервис
Внимание!
* Не пытайтесь удалить программу или запускать антивирусные средства
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
уникальный ключ шифрования
Каждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили этуи фили.
Каждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)
PD
Если Вам не ответили в течении 48 часов. Вам нужно будет связаться с нами по дополнительным контактам.
Скачайте и установите Navegador Tor - hxxps: //www.torproject.org/ru/download/
Откройте через Tor Browser сайт - hxxp: //sonarmsniko2lvfu.onion (сайт не будет работать через обычный браузер, только)
Зарегистрируйтесь и напишите нам.
* Наш ник в Sonar'e - savefile365
====================
Ваш идентификатор (ID) '
