Scarab-XTBL Ransomware
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Popularity Rank: | 21,495 |
| Nível da Ameaça: | 80 % (Alto) |
| Computadores infectados: | 3 |
| Visto pela Primeira Vez: | October 10, 2025 |
| Visto pela Última Vez: | April 27, 2026 |
| SO (s) Afetados: | Windows |
O Scarab-XTBL Ransomware é um Trojan ransomware de criptografia que pertence à família Amnesia Ransomware de Trojans ransomware de criptografia. O Scarab-XTBL Ransomware é uma variante do Scarab Ransomware, uma variante da família do Amnesia que foi observada pela primeira vez em junho de 2017. Várias versões desse tipo específico de ransomware foram lançadas próximas umas das outras, possivelmente como uma maneira de ajudá-las e a ameaças similares evitarem a detecção. Há muito pouco para diferenciar o Scarab-XTBL Ransomware dos inúmeros outros Trojans ransomware que estão sendo usados para infectar e extorquir os usuários de computador atualmente. O Scarab-XTBL Ransomware, como as muitas outras ameaças desse tipo, é entregue às vítimas usando mensagens de e-mail de spam e mentindo para os usuários de computador. Uma vez instalado, o Scarab-XTBL Ransomware irá tomar os arquivos da vítima como reféns através do uso de um algoritmo de criptografia e, em seguida, solicitar o pagamento de um resgate para receber uma chave de descriptografia que é a única maneira de restaurar os arquivos afetados.
Índice
O que o Scarab-XTBL Ransomware Vai Fazer com os Seus Arquivos
O Scarab-XTBL Ransomware é entregue às vítimas através de arquivos corrompidos do Microsoft Word contendo scripts de macros embutidos, anexados a mensagens de e-mail de spam. O Scarab-XTBL Ransomware usa a criptografia AES para tornar os arquivos da vítima inacessíveis. Os arquivos criptografados pelo Scarab-XTBL Ransomware serão identificados com a extensão '.xtbl', que é adicionada ao nome do arquivo afetado. O Scarab-XTBL Ransomware irá criptografar os arquivos gerados pelo usuário, que podem incluir vários tipos de arquivos. Alguns tipos de arquivo normalmente criptografados pelo ataque do Scarab-XTBL Ransomware incluem:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .as, .as3, .asf, .asp, .asx, .avi, .bmp, .c, .class, .cpp, .cs, .csv, .dat, .db, .dbf, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .efx, .eps, .fla, .flv, .gif, .h, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js, .m3u, .m3u8, .m4u, .max, .mdb, .mid, .mkv, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .msg, .pdb, .pdf, .php, .plb, .pmd, .png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .py, .ra, .rar, .raw, .rb, .rtf, .sdf, .sdf, .ses, .sldm, .sldx, .sql, .svg, .swf, .tif, .txt, .vcf, .vob, .wav, .wma, .wmv, .wpd, .wps, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .xqx, .zip.
A Nota de Resgate do Scarab-XTBL Ransomware
O Scarab-XTBL Ransomware geralmente é executado como 'Win98.exe' ou 'systems.exe' nos computadores afetados, tentando ocultar sua presença. O Scarab-XTBL Ransomware fornece a sua nota de resgate na forma de um arquivo de texto chamado 'SE VOCÊ QUER TER DE VOLTA TODOS OS SEUS ARQUIVOS, POR FAVOR, LEIA ESTE TEXTO', que é colocado na área de trabalho do computador infectado. Esse arquivo de texto contém a seguinte mensagem:
'SE VOCÊ QUER TER TODOS OS SEUS ARQUIVOS DE VOLTA, POR FAVOR LEIA ESTE
email - joxel@cock.li
Seus arquivos agora estão criptografados!
COMEÇAR IDENTIFICADOR PESSOAL
[CARACTERES ALEATÓRIOS]
FIM DO IDENTIFICADOR PESSOAL
Todos os seus arquivos foram criptografados devido a um problema de segurança no seu PC. Agora você deve nos enviar um email com seu identificador pessoal. Esse e-mail será a confirmação de que você está pronto para pagar pela chave de descriptografia. Você tem que pagar pela descriptografia em Bitcoins. O preço depende da rapidez com que você escreve para nós. Após o pagamento, enviaremos a ferramenta de descriptografia que descriptografará todos os seus arquivos.
Entre em contato conosco usando este endereço de e-mail: joxel@cock.li'
No entanto, seguir as instruções contidas na nota de resgate do Scarab-XTBL Ransomware ou aceitar pagar o resgate exigido não é uma decisão sábia. Em vez disso, os usuários infectados devem restaurar os arquivos afetados de uma cópia de backup.
Protegendo os Seus Dados contra o Scarab-XTBL Ransomware
A melhor proteção contra ameaças como o Scarab-XTBL Ransomware é ter backups dos arquivos em unidades de disco rígido portáteis e desconectadas e em redes de armazenamento na nuvem com logins protegidos. Ter backups dos arquivos permite que os usuários de computador restaurem os seus arquivos sem precisar negociar com os trapaceiros para recuperar os dados cruciais perdidos. Os backups dos arquivos, combinados com um bom programa de segurança, podem ajudar a interromper a maioria das infecções pelos Trojans ransomware.
Relatório de análise
Informação geral
| Family Name: | Trojan.ReverseShell.FS |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
0f4949b55c3cbf209461a530a6ae3da7
SHA1:
a1deee94f0cbbaeb32b112d27afe474a45979184
SHA256:
26088790DA07FC0CD155B72DF3903EC3DA01ACA16B97296B2A7173FC4050A631
Tamanho do Arquivo:
6.94 MB, 6942720 bytes
|
|
MD5:
33660dc592c3561dd2343e7529de0de4
SHA1:
34eefc3226ccddb809c9db9139206d6308b5046d
SHA256:
5ECE59929275B60A7A6A50F321404DAC9DEBCAE02C5DFF65B34D0E81B2AFAD26
Tamanho do Arquivo:
7.07 MB, 7070720 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have security information
- File is 64-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
Show More
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
File Traits
- No Version Info
- x64
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 12,409 |
|---|---|
| Potentially Malicious Blocks: | 103 |
| Whitelisted Blocks: | 12,268 |
| Unknown Blocks: | 38 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- Brute.PVF
- BruteForce.O
- ReverseShell.PBC
- Trojan.Downloader.Gen.EU
- Trojan.Downloader.Gen.HD
Show More
- Trojan.Downloader.Gen.KP
- Trojan.Downloader.Gen.QF
- Trojan.ReverseShell.Gen.AR
- Trojan.ReverseShell.Gen.BK
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\belltower-run.log | Read Attributes,Synchronize,Read Control,Write Attributes,Write extended,Append data |
| c:\users\user\downloads\dmvdflaplm.exe | Synchronize,Write Data |
| c:\users\user\downloads\rpxghdbbvt.exe | Synchronize,Write Data |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | Dados | API Name |
|---|---|---|
| HKCU\software\belltower\config::api_key | 龟욑욕손閖銕雄쏃閔슓隞쒟龒黂隐釁隔엁슒隒麔욐鋄엁龕鞓업鋃鞐싂閔鋅 | RegNtPreCreateKey |
| HKCU\software\belltower\config::seller_name | RegNtPreCreateKey | |
| HKCU\software\belltower\config::api_key | 쎐솟요얖麕쎔鋃麟龐鋅龓쒐鿂釃쒗鏁쒓싆슖閖웁쏅醒铃鿅웄쓁醐솟쓅얔麟 | RegNtPreCreateKey |
| HKCU\software\belltower\config::seller_name | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Syscall Use |
Show More
|
| Network Winsock2 |
|
| Network Info Queried |
|
| Network Winsock |
|
