{
	"id": "73336c78-69c6-4b12-a986-269c801a4c1c",
	"created_at": "2026-04-10T03:21:03.857395Z",
	"updated_at": "2026-04-10T03:22:19.224009Z",
	"deleted_at": null,
	"sha1_hash": "f087add5b3ce41eedb9fc9df542ef2c43865699f",
	"title": "Scarabey",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1061293,
	"plain_text": "Scarabey\r\nArchived: 2026-04-10 02:32:04 UTC\r\nScarabey Ransomware\r\nScarab-Scarabey Ransomware\r\nScarab-Russian Ransomware\r\n(шифровальщик-вымогатель, деструктор)\r\n(первоисточник)\r\nЭтот крипто-вымогатель шифрует данные пользователей с помощью AES-256 (режим CBC), а затем\r\nтребует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: Scarabey. Написан на Delphi без\r\nупаковки в C++ которая используется в оригинальном Scarab. \r\nДля вас подготовлен видеообзор одной из версий \u003e\u003e\r\n© Генеалогия: Scarab \u003e Scarabey\r\nК зашифрованным файлам добавляется расширение .scarab\r\nПозже стали добавляться расширения .oneway, .omerta, .rent, .mvp и другие. Цель: запутать\r\nидентификацию и исследователей. \r\nЛоготип шифровальщика разработан на этом сайте ID-Ransomware.RU\r\nСтилизация выполнена в виде скарабея, держащего глобус с Россией.\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 1 of 21\n\nАктивность этого крипто-вымогателя пришлась на начало декабря 2017 г. Ориентирован на русскоязычных\r\nпользователей, что не мешает распространять его по всему миру.\r\nЗаписка с требованием выкупа написана на русском языке и называется: Инструкция по\r\nрасшифровке.TXT\r\nСодержание записки о выкупе:\r\nДобрый день. Ваш компьютер подвергся заражению Scarabey. Все данные зашифрованы уникальным\r\nключем, который находится только у нас. \r\nБез уникального ключа - файлы восстановить невозможно.\r\nКаждые 24 часа удаляются 24 файла. (их копии есть у нас)\r\nЕсли не запустить программу дешифратор в течении 72 часов, все файлы на компьютере удаляются\r\nполностью, без возможности восстановления.\r\nПрочтите Внимательно инструкции, как восстановить все зашифрованные данные.\r\nScarabey\r\n----------------------------------------------------------\r\nВостановить файлы Вы сможете так:\r\n1. связаться с нами по e-mail:  support7@cock.li\r\n - высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.\r\n   Мы их расшифровываем, в доказательство возможности расшифровки.\r\n   также получаете инструкцию по оплате. (оплата будет в bitcoin)\r\n - сообщите Ваш ID и мы выключим произвольное удаление файлов \r\n   (если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет\r\n   удаляться по 24 файла. Если сообщите ID- мы выключим это)\r\n2. оплачиваете и подтверждаете оплату.\r\n3. после оплаты получаете дешифратор. Который восстановит ваши данные и выключит функцию\r\nудаления файлов.\r\n----------------------------------------------------------\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 2 of 21\n\nУ Вас есть 48 часов на оплату.\r\nЕсли не успеете за 48 часов оплатить, то цена расшифровки увеличивается в 2 раза.\r\nЧтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 48\r\nчасов.\r\nЗа подробными инструкциями обращайтесь e-mail: support7@cock.li\r\n - После запуска дешифратор, файлы расшифровываются в течении часа.\r\n - Если будете пытаться сканировать или расшифровать данные самостоятельно - можете потерять Ваши\r\nфайлы навсегда.\r\n - Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя\r\nуникальный ключ шифрования\r\n==============================\r\nВаш идентификатор. \r\n+4IAAAAAAAAagIUuHZLHEQAl***lwAxNEiDVrkUqanFasK=hC212=ky\r\n------------------ P.S. ---------------------------------\r\nЕсли у Вас нет биткойнов\r\n * Здесь вы можете обменять любые эллектронные деньги - https://bestchange.ru\r\n   это список обменников.\r\n * Приобретите криптовалюту Bitcoin удобным способом:\r\n   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)\r\n - Не имеет смысла устраивать панику. \r\n - Каждое нецензурное слово в наш адрес равняется + 50$ к оплате.\r\n - Жалобами заблокировав e-mail, Вы лишаете возможность остальных, расшифровать свои компьютеры.\r\n   Остальных, у кого также зашифрованы компьютеры Вы лишаете ЕДИНСТВЕННОЙ НАДЕЖДЫ\r\nрасшифровать. НАВСЕГДА.\r\n - Просто войдите с нами в контакт, оговорим условия расшифровки файлов и доступной оплаты, \r\n   в дружественной обстановке.\r\n---------------------------------------------------------\r\nВаш идентификатор. \r\n+4IAAAAAAAAagIUuHZLHEQAl***lwAxNEiDVrkUqanFasK=hC212=ky\r\nПеревод записки на русский язык:\r\nУже сделан вымогателями. Примечательно, что кроме банальной ошибки в слове \"ключем\" в тексте\r\nнемало других ошибок, что говорит не в пользу грамотности составителей вымогательского текста. Да,\r\nпохоже, что их было несколько, кто-то добавлял текст, кто-то удалял слова. Отсюда множественные\r\nошибки с пунктуацией и лексикой. \r\nТехнические детали\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 3 of 21\n\nРаспространяется путём взлома через незащищенную конфигурацию RDP. Также может распространяться\r\nс помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов (Necurs и\r\nдругих), эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых\r\nинсталляторов. См. также \"Основные способы распространения криптовымогателей\" на вводной странице\r\nблога.\r\n!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total\r\nSecurity, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.\r\n➤ Удаляет теневые копии файлов, отключает функции восстановления и исправления Windows на этапе\r\nзагрузки командами: \r\ncmd.exe /c wbadmin DELETE SYSTEMSTATEBACKUP -keepVersions:0\r\ncmd.exe /c wmic SHADOWCOPY DELETE\r\ncmd.exe /c vssadmin Delete Shadows /All /Quiet\r\ncmd.exe /c bcdedit /set {default} recoveryenabled No\r\ncmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures\r\nОсобенности:\r\n- По названию записка о выкупе аналогична тем, что использовались в обновлениях крипто-вымогателей\r\nAmnesia и Amnesia-2. Но по детекту это одна из разновидностей Scarab Ransomware, ориентированная на\r\nрусскоязычных пользователей.  \r\n- Кроме шифрования файлов также производится их выборочное удаление, отсюда вторая характеристика\r\n— деструктор. \r\n- Scarabey ориентирован на российских пользователей и распространяется через RDP и ручную установку\r\nна серверы и системы.\r\nСписок файловых расширений, подвергающихся шифрованию:\r\nБольшинство типов файлов, кроме тех, что нужны для работы системы. \r\nЭто наверняка будут документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии,\r\nмузыка, видео, файлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\nИнструкция по расшифровке.TXT\r\nsevnz.exe\r\nsvhosts.exe\r\n\u003crandom\u003e.exe\r\nРасположения:\r\n\\Desktop\\ -\u003e Инструкция по расшифровке.TXT\r\n\\Downloads\\ -\u003e Инструкция по расшифровке.TXT\r\n\\Documents\\ -\u003e Инструкция по расшифровке.TXT\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 4 of 21\n\n\\User_folders\\ -\u003e Инструкция по расшифровке.TXT\r\nC:\\Windows\\HhSm\\svhosts.exe\r\n\\%APPDATA%\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce\r\nuSjBVNE = \"%Application Data%\\sevnz.exe\r\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: support7@cock.li\r\nСм. ниже в обновлениях другие адреса и контакты. \r\nРезультаты анализов:\r\nГибридный анализ \u003e\u003e\r\nVirusTotal анализ \u003e\u003e\r\nДругой анализ \u003e\u003e\r\nСтепень распространённости: высокая.\r\nПодробные сведения собираются регулярно.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\nScarab Family (семейство Scarab):\r\nScarab (ScarabLocker) - июнь-август 2017, ноябрь 2017\r\nScarab-Scorpio (Scorpio) - июль 2017\r\nScarab-Jackie - октябрь 2017\r\nScarab-Russian (Scarabey) - декабрь 2017\r\nScarab-Decrypts - март 2018\r\nScarab-Crypto - март 2018\r\nScarab-Amnesia - март 2018\r\nScarab-Please - март 2018\r\nScarab-XTBL - апрель 2018\r\nScarab-Oblivion - апрель 2018\r\nScarab-Horsia - май 2018\r\nScarab-Walker - май 2018\r\nScarab-Osk - май 2018 \r\nScarab-Rebus - май 2018 \r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 5 of 21\n\nScarab-DiskDoctor - июнь 2018\r\nScarab-Danger - июнь 2018\r\nScarab-Crypt000 - июнь 2018\r\nScarab-Bitcoin - июнь 2018\r\nScarab-Bomber - июнь 2018\r\nScarab-Omerta - июнь-июль 2018\r\nScarab-Bin - июль 2018\r\nScarab-Recovery - июль 2018\r\nScarab-Turkish - июль 2018\r\nScarab-Barracuda - июль 2018\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nОбновление от 23 декабря 2017:\r\nОригинальное название: Scarabey\r\nРасширение: .scarab\r\nЗаписка: Инструкция по расшифровке.TXT (текст аналогичен, email новый)\r\nEmail: Support56@cock.li\r\nФайл: sevnz.exe\r\nТе же деструктивные функции. Смотрите видеообзор в блоке ссылок ниже. \r\nРезультаты анализов: HA + VT\r\nОбновление от 25 января 2018:\r\nРасширение: .scarab\r\nЗаписка: Инструкция по расшифровке.TXT\r\nEmail: helper023@cock.li\r\nОбновление от 25 апреля 2018: \r\nРасширение: .scarab\r\nEmail: decrypt014@cock.li\r\nЗаписка: Инструкция по расшифровке файлов.TXT\r\nСкриншот записки о выкупе \u003e\u003e\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 6 of 21\n\nТопик на форуме \u003e\u003e\r\nОбновление от 4 июня 2018:\r\nРасширение: .scarab\r\nСамоназвание: Scarabey\r\nEmail: locker87@cock.li\r\nID содержит 431 знак. \r\nЗаписка: Как расшифровать файлы.TXT\r\n➤ Содержание записки: \r\nlocker87@cock.li\r\nДобрый день. Ваш компьютер подвергся заражению Scarabey. Все данные зашифрованы уникальным\r\nключем, который находится только у нас. \r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 7 of 21\n\nБез уникального ключа - файлы восстановить невозможно.\r\nКаждые 24 часа удаляются 24 файла. (их копии есть у нас)\r\nЕсли не запустить программу дешифратор в течении 72 часов, все файлы на компьютере удаляются\r\nполностью, без возможности восстановления.\r\nПрочтите Внимательно инструкции, как восстановить все зашифрованные данные.\r\nScarabey\r\n----------------------------------------------------------\r\nВосстановить файлы Вы сможете так:\r\n1. связаться с нами по e-mail:  locker87@cock.li\r\n - высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.\r\n   Мы их расшифровываем, в доказательство возможности расшифровки.\r\n   также получаете инструкцию по оплате. (оплата будет в bitcoin)\r\n - сообщите Ваш ID и мы выключим произвольное удаление файлов \r\n   (если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет\r\n   удаляться по 24 файла. Если сообщите ID- мы выключим это)\r\n2. оплачиваете и подтверждаете оплату.\r\n3. после оплаты получаете дешифратор. Который восстановит ваши данные и выключит функцию\r\nудаления файлов.\r\n----------------------------------------------------------\r\nУ Вас есть 48 часов на оплату.\r\nЕсли не успеете за 48 часов оплатить, то цена расшифровки увеличивается в 2 раза.\r\nЧтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 48\r\nчасов.\r\nЗа подробными инструкциями обращайтесь e-mail: locker87@cock.li\r\n - После запуска дешифратор, файлы расшифровываются в течении часа.\r\n - Если будете пытаться сканировать или расшифровать данные самостоятельно - можете потерять Ваши\r\nфайлы навсегда.\r\n - Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя\r\nуникальный ключ шифрования\r\n==========================================================\r\nВаш идентификатор. \r\n+4IAAAAAAACA3z8gH***nlxkOlw\r\n------------------ P.S. ---------------------------------\r\nЕсли у Вас нет биткойнов\r\n * Здесь вы можете обменять любые электронные деньги - https://bestchange.ru\r\n   это список обменников.\r\n * Приобретите криптовалюту Bitcoin удобным способом:\r\n   https://localbitcoins.com/ru/buy_bitcoins (Visa/MasterCard, QIWI Visa Wallet и др.)\r\n - Не имеет смысла устраивать панику. \r\n - Каждое нецензурное слово в наш адрес равняется + 50$ к оплате.\r\n - Жалобами заблокировав e-mail, Вы лишаете возможность остальных, расшифровать свои компьютеры.\r\n   Остальных, у кого также зашифрованы компьютеры Вы лишаете ЕДИНСТВЕННОЙ НАДЕЖДЫ\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 8 of 21\n\nрасшифровать. НАВСЕГДА.\r\n - Просто войдите с нами в контакт, оговорим условия расшифровки файлов и доступной оплаты, \r\n   в дружественной обстановке.\r\n---------------------------------------------------------\r\nВаш идентификатор. \r\n+4IAAAAAAACA3z8gH***nlxkOlw\r\nОбновление от 16 июня 2018:\r\nРасширение: .scarab\r\nСамоназвание: криптолокер Scarabey\r\nEmail:  Scarab@horsefucker.org\r\nЗаписка: Как расшифровать файлы.TXT\r\n➤ Содержание записки:\r\nScarab@horsefucker.org\r\nДобрый день. \r\nНет, Ваши файлы не удалены, они зашифрованы криптолокером Scarabey. Все данные зашифрованы\r\nуникальным ключем, который находится только у нас. \r\nБез уникального ключа - файлы восстановить невозможно. \r\nКаждые 24 часа удаляются 24 файла. (их копии есть у нас)\r\nЕсли не запустить программу дешифратор в течении 72 часов, все файлы на компьютере удаляются\r\nполностью, без возможности восстановления.\r\nПрочтите Внимательно инструкции, как восстановить все зашифрованные данные.\r\nScarab\r\n----------------------------------------------------------\r\nВосстановить файлы Вы сможете так:\r\n1. связаться с нами по e-mail:  Scarab@horsefucker.org\r\n - высылаете Ваш идентификатор ID и 2 файла, размером до 1 мб каждый.\r\n   Мы их расшифровываем, в доказательство возможности расшифровки.\r\n   также получаете инструкцию по оплате. (оплата будет в bitcoin)\r\n - сообщите Ваш ID и мы выключим произвольное удаление файлов \r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 9 of 21\n\n(если  не  сообщите  Ваш  ID  идентификатор, то каждые 24 часа будет\r\n   удаляться по 24 файла. Если сообщите ID- мы выключим это)\r\n2. оплачиваете и подтверждаете оплату.\r\n3. после оплаты получаете дешифратор. Который восстановит ваши данные и выключит функцию\r\nудаления файлов.\r\n----------------------------------------------------------\r\nУ Вас есть 48 часов на оплату.\r\nЕсли не успеете за 48 часов оплатить, то цена расшифровки увеличивается в 2 раза.\r\nЧтобы восстановить файлы, без потерь, и по минимальному тарифу, Вы должны оплатить в течении 48\r\nчасов.\r\nЗа подробными инструкциями обращайтесь e-mail: Scarab@horsefucker.org\r\n - После запуска дешифратор, файлы расшифровываются в течении часа.\r\n - Если будете пытаться сканировать или расшифровать данные самостоятельно - можете потерять Ваши\r\nфайлы навсегда.\r\n - Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя\r\nуникальный ключ шифрования\r\n==========================================================\r\nВаш идентификатор. \r\n+4IAAAAAAACp0O7oHZ***7xN=gHyM3XqjucXdDk\r\nОбновление от 18 июня 2018:\r\nРасширение: .oneway\r\nEmail: ibm15@horsefucker.org\r\nЗаписки могут называться: Как расшифровать файлы oneway.TXT\r\nили Инструкция по расшифровке файлов oneway.TXT\r\nСтатус: Файлы можно дешифровать. \r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 10 of 21\n\n➤ Содержание записки:\r\nНапишите на почту - ibm15@horsefucker.org\r\n========================================\r\nВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! \r\nВаш личный идентификатор\r\n+4IAAAAAAAASDeOZHZ***5YTVClk5rnLn7aBk\r\nВаши документы, фотографии, базы данных и другие важные файлы были зашифрованы. \r\nКаждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту\r\nфункцию.\r\nКаждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)\r\nДля расшифровки данных:\r\nНапишите на почту - ibm15@horsefucker.org\r\n *В письме указать Ваш личный идентификатор\r\n *Прикрепите 2 файла до 1 мб для тестовой расшифровки. \r\n  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.\r\n -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление\r\nфайлов.\r\n -Написав нам на почту вы получите дальнейшие инструкции по оплате.\r\nВ ответном письме Вы получите программу для расшифровки.\r\nПосле запуска программы-дешифровщика все Ваши файлы будут восстановлены.\r\nВнимание!\r\n * Не пытайтесь удалить программу или запускать антивирусные средства\r\n * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных\r\n * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого\r\nпользователя уникальный ключ шифрования\r\n * Не пытайтись найти решение на стороне, это 100% развод. Никто кроме нас расшифровать не может.\r\n========================================\r\nЕсли связаться через почту не получается\r\n * Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)\r\n * Напишите письмо на адрес BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB с указанием Вашей почты\r\nи личного идентификатора\r\nВаш личный идентификатор\r\n+4IAAAAAAAASDeOZHZ***5YTVClk5rnLn7aBk\r\nОбновление от 19-20 июня 2018:\r\nФайлы можно было дешифровать, если они были зашифрованы до 18 июня 2018 года.\r\nВ июне 2018 злоумышленники, распространяющие шифровальщики семейства Scarab, обновили основной\r\nкрипто-конструктор. \r\nВ предыдущих версиях Scarab-шифровальщиков был Trojan.Encoder.18000 (по классификации Dr.Web).\r\nФайлы можно было дешифровать. \r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 11 of 21\n\nВ новых версиях файл шифровальщика детектируется уже как Trojan.Encoder.25574 (по классификации\r\nDr.Web). Зашифрованные им файлы пока не дешифруются. \r\nОбновления, которые касаются вариантов Scarab-Scarabey смотрите ниже. На каждом будет указана статус\r\nдешифрования. \r\nОбновление от 20 июня 2018:\r\nРасширение: .oneway\r\nEmail: ibm15@horsefucker.org\r\nЗаписка: Как расшифровать файлы oneway.TXT\r\nОбновленный шифровальщик. \r\nСтатус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.\r\nСкриншот нового варианта записки о выкупе. \r\nОбновление от 6 августа 2018:\r\nРасширение: .omerta\r\nEmail: ibm15@horsefucker.org\r\nBM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB\r\nЗаписка: Инструкция по расшифровке файлов.TXT\r\nМожет пересекаться с Scarab-Omerta Ransomware, но по сути вымоагтели с прежними контактами, просто\r\nстали добавлять новое расширение. \r\nОбновленный шифровальщик. \r\nСтатус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 12 of 21\n\n➤ Содержание записки:\r\nНапишите на почту - ibm15@horsefucker.org\r\n=============================\r\nВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! \r\nВаш личный идентификатор\r\n;AQAAAAAAACccD.`TeTHDhNADA***A}U\u0026Aj)kl\r\nВаши документы, фотографии, базы данных и другие важные файлы были зашифрованы. \r\nКаждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту\r\nфункцию.\r\nКаждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)\r\nДля расшифровки данных:\r\nНапишите на почту - ibm15@horsefucker.org\r\n *В письме указать Ваш личный идентификатор\r\n *Прикрепите 2 файла до 1 мб для тестовой расшифровки. \r\n  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.\r\n -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление\r\nфайлов.\r\n -Написав нам на почту вы получите дальнейшие инструкции по оплате.\r\nВ ответном письме Вы получите программу для расшифровки.\r\nПосле запуска программы-дешифровщика все Ваши файлы будут восстановлены.\r\nВнимание!\r\n * Не пытайтесь удалить программу или запускать антивирусные средства\r\n * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных\r\n * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя\r\nуникальный ключ шифрования\r\n * Не пытайтись найти решение на стороне, это 100% развод. Никто кроме нас расшифровать не может.\r\n=============================\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 13 of 21\n\nЕсли связаться через почту не получается\r\n * Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)\r\n * Напишите письмо на адрес BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB с указанием Вашей почты\r\nи\r\nличного идентификатора\r\nВаш личный идентификатор\r\n;AQAAAAAAACccD.`TeTHDhNADA***A}U\u0026Aj)kl\r\nОбновление от 16 августа 2018:\r\nРасширение: .rent\r\nЗаписка: Инструкция по расшифровке файлов Rent.TXT\r\nEmail: diven@cock.li или другой\r\nBitmessage: BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB\r\nСтатус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.\r\n➤ Содержание записки:\r\nНапишите на почту - diven@cock.li\r\n================================================\r\nВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! \r\nВаш личный идентификатор\r\n+4IAAAAAAADv7HAE***oRTWlw\r\nВаши документы, фотографии, базы данных и другие важные файлы были зашифрованы. \r\nКаждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту\r\nфункцию.\r\nКаждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)\r\nДля расшифровки данных:\r\nНапишите на почту - diven@cock.li\r\n *В письме указать Ваш личный идентификатор\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 14 of 21\n\n*Прикрепите 2 файла до 1 мб для тестовой расшифровки. \r\n  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.\r\n -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление\r\nфайлов.\r\n -Написав нам на почту вы получите дальнейшие инструкции по оплате.\r\nВ ответном письме Вы получите программу для расшифровки.\r\nПосле запуска программы-дешифровщика все Ваши файлы будут восстановлены.\r\nВнимание!\r\n * Не пытайтесь удалить программу или запускать антивирусные средства\r\n * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных\r\n * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя\r\nуникальный ключ шифрования\r\n * Не пытайтись найти решение на стороне, это 100% развод. Никто кроме нас расшифровать не может.\r\n================================================\r\nЕсли связаться через почту не получается\r\n * Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)\r\n * Напишите письмо на адрес BM-2cXv1tCz4mRNE52UyDZ7DWDdvfUf5ed6GB с указанием Вашей почты\r\nи\r\nличного идентификатора\r\nВаш личный идентификатор\r\n+4IAAAAAAADv7HAE***oRTWlw\r\nОбновление от 23 августа 2018:\r\nРасширение: .omerta\r\nEmail: xvalera228@protonmail.com\r\nТопик на форуме \u003e\u003e\r\nСтатус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.\r\nОбновление от 10 сентября 2018:\r\nПост в Твиттере \u003e\u003e\r\nРасширение: .mvp\r\nФайлы переименовываются.\r\nПример заш-файла: 3oIoZu+32IciG9rHroIoFpy3rN1ICT5DHxSHTZCU7M9xXkWzydDXCq+M.mvp\r\nЗаписка: Как расшифровать файлы.TXT\r\nEmail: thermal@lock.li\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 15 of 21\n\nФайлы: scan document.pdf.exe, systems.exe\r\nMutex: STOPSCARABSTOPSCARABSTOPSCARABSTOPSCARABSTOPSCARAB\r\nНа файле написано: Globalwebdatasample Ten\r\nФальш-имя: T668f Authentication\r\nФальш-копирайт: IBM (c) 2015 Company\r\nРезультаты анализов: VT\r\nСтатус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.\r\nОбновление от 23 сентября 2018:\r\nРасширение: .omerta\r\nФайлы переименованы. \r\nЗаписка: Инструкция по расшифровки omerta.TXT\r\nEmail: thermal@cock.li\r\nСтатус: Файлы зашифрованы иначе, но обнаружив ключ, их можно дешифровать.\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 16 of 21\n\n➤ Содержание записки:\r\nНапишите на почту - thermal@cock.li\r\n===============================\r\nВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! \r\nВаш личный идентификатор\r\n;AQAAAAAAACgrkr-Le***PeA~jn)+#aI~[P\r\nВаши документы, фотографии, базы данных и другие важные файлы были зашифрованы. \r\nКаждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту\r\nфункцию.\r\nКаждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)\r\nДля расшифровки данных:\r\nНапишите на почту - thermal@cock.li\r\n *В письме указать Ваш личный идентификатор\r\n *Прикрепите 2 файла до 1 мб для тестовой расшифровки. \r\n  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.\r\n -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление\r\nфайлов.\r\n -Написав нам на почту вы получите дальнейшие инструкции по оплате.\r\nВ ответном письме Вы получите программу для расшифровки.\r\nПосле запуска программы-дешифровщика все Ваши файлы будут восстановлены.\r\nВнимание!\r\n * Не пытайтесь удалить программу или запускать антивирусные средства\r\n * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных\r\n * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого\r\nпользователя уникальный ключ шифрования\r\n * Не пытайтись найти решение на стороне, это 100% развод. Никто кроме нас расшифровать не может.\r\n===============================\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 17 of 21\n\nВаш личный идентификатор\r\n;AQAAAAAAACgrkr-Le***PeA~jn)+#aI~[P\r\nОбновление от 17 декабря 2018:\r\nПост на форуме \u003e\u003e\r\nРасширение: .omerta\r\nEmail: alices@mail2tor.com\r\nДругие email вымогателей (февраль 2019):  alices@cock.li, bin420@cock.li\r\nBM-2cTx9M1bfonGRN31Rw3F7h7MFYomEWoGJ1\r\nЗаписка: Инструкция по расшифровке файлов.txt\r\n➤ Содержание записки:\r\nНапишите на почту - alices@mail2tor.com\r\n=========================================================================\r\nВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!\r\nВаш личный идентификатор\r\npAQAAAAAAABpG9LdH***SnX=cteKU0RY3\r\nВаши документы, фотографии, базы данных и другие важные файлы были зашифрованы.\r\nКаждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту\r\nфункцию.\r\nКаждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма фиксируется)\r\nДля расшифровки данных:\r\nНапишите на почту - alices@mail2tor.com\r\n *В письме указать Ваш личный идентификатор\r\n *Прикрепите 2 файла до 1 мб для тестовой расшифровки.\r\n  мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем их расшифровать.\r\n -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление\r\nфайлов.\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 18 of 21\n\n-Написав нам на почту вы получите дальнейшие инструкции по оплате.\r\n Если связаться через почту не получается\r\n* Зарегистрируйтесь на сайте http://bitmsg.me (сервис онлайн отправки Bitmessage)\r\n * Напишите письмо на адрес BM-2cTx9M1bfonGRN31Rw3F7h7MFYomEWoGJ1 с указанием Вашей почты\r\nи\r\nличного идентификатора\r\nВнимание!\r\n * Не пытайтесь удалить программу или запускать антивирусные средства\r\n * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных\r\n * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя\r\nуникальный ключ шифрования\r\n=========================================================================\r\nВаш личный идентификатор\r\npAQAAAAAAABpG9LdH***SnX=cteKU0RY3\r\nОбновление от 1 февраля 2019:\r\nРасширение: .secure\r\nЗаписка: Расшифровать файлы и работать дальше.TXT\r\nРасшифровать файлы и работать дальше.TXT.secure\r\nОсобенность: Записка о выкупе тоже получает расширение .secure\r\nEmail: secure32@cock.li\r\nФайл EXE: osk.exe\r\n➤ Содержание записки: \r\nНапишите на почту - secure32@cock.li \r\n=========================================\r\nВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! \r\nВаш личный идентификатор pAQAAAAAAACazRP***Shoh+8DfAk \r\nВаши документы, фотографии, базы данных и другие важные файлы были зашифрованы. \r\nКаждые 24 часа удаляются 24 файла, необходимо прислать свой идентификатор чтоб мы отключили эту\r\nфункцию. \r\nКаждые 24 часа стоимость расшифровки данных увеличивается на 30% (через 72 часа сумма\r\nфиксируется) \r\nДля расшифровки данных: \r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 19 of 21\n\nНапишите на почту - secure32@cock.li \r\n*В письме указать Ваш личный идентификатор \r\n*Прикрепите 2 файла до 1 мб для тестовой расшифровки. мы их расшифруем, в качестве доказательства,\r\nчто ТОЛЬКО МЫ можем их расшифровать. \r\n-Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление\r\nфайлов. \r\n-Написав нам на почту вы получите дальнейшие инструкции по оплате. \r\nВ ответном письме Вы получите программу для расшифровки. \r\nЗапустите инструмент на вашем компьютере и безопасно расшифруйте все ваши данные. \r\nМы гарантируем: 100% успешное восстановление всех ваших файлов 100% гарантию соответствия 100%\r\nбезопасный и надежный сервис \r\nВнимание! \r\n* Не пытайтесь удалить программу или запускать антивирусные средства \r\n* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных \r\n* Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя\r\nуникальный ключ шифрования =========================================\r\nВаш личный идентификатор pAQAAAAAAACazRP***Shoh+8DfAk \r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\nВнимание!\r\nФайлы в некоторых случаях можно дешифровать!\r\nИзучите моё руководство в статье SCARAB DECODER\r\nИли прочтите инфу по ссылке. Мой перевод рядом.\r\nOr ask for help using this link. My translation beside.\r\n Read to links:\r\n Tweet on Twitter\r\n ID Ransomware (ID under Scarab)\r\n Write-up, Topic of Support\r\n 🎥 Video review\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 20 of 21\n\nEtt fel inträffade.\r\nDet går inte att köra JavaScript.\r\n Thanks:\r\n Andrew Ivanov, Alex Svirid\r\n GrujaRS, Michael Gillespie, S!Ri, Emmanuel_ADC-Soft\r\n ANY.RUN, Intezer Analyze\r\n всем пострадавшим из топиков поддержки на англоязычных и русскоязычных форумах\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: https://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html\r\nPage 21 of 21",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2017/12/scarabey-ransomware.html"
	],
	"report_names": [
		"scarabey-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775791263,
	"ts_updated_at": 1775791339,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/f087add5b3ce41eedb9fc9df542ef2c43865699f.pdf",
		"text": "https://archive.orkl.eu/f087add5b3ce41eedb9fc9df542ef2c43865699f.txt",
		"img": "https://archive.orkl.eu/f087add5b3ce41eedb9fc9df542ef2c43865699f.jpg"
	}
}