KimcilWare

KimcilWare Ransomware 

(шифровальщик-вымогатель)

   Этот крипто-вымогатель шифрует данные веб-сайтов с помощью алгоритма Rijndael (AES), а затем требует выкуп в пределах от $ 140 до $ 415 (в зависимости от версии, которой сайт был заражен), чтобы вернуть файлы. Название оригинальное. Активность пришлась на март 2016 г., но известные более ранние атаки, например в феврале этого года. Разработчик: MAFIA MALWARE INDONESIA, хакерская группировка из Индонезии.

© Генеалогия: Hidden Tear modified >> MafiaWare > KimcilWare

За этим крипто-вымогателем стоит одна из индонезийских хакерских группировок, специализирующаяся на взломе веб-сайтов по всему миру. Выявлена связь с другим вымогательским ПО этой группировки — MireWare. 

Этимология слов, использованных вымогателями:
kimcil - индонез. одно из названий проститутки
tuyuljahat (Tuyul Jahat) - индонез. название злого духа, вымогающего деньги. 

Известны две версии сценариев для шифрования сайтов. Один скрипт шифрует все данные на веб-сайте, добавляет расширение .kimcilware к зашифрованным файлам, заменяет index-страницу сайта на свой файл index.html (см. ниже), и требует выкуп в размере 140 долларов США. 

Пример содержимого веб-папки с зашифрованными с помощью сценария KimcilWare см. ниже.

Другой скрипт добавляет расширение .locked к зашифрованным файлам, но не заменяет index-страницу сайта на записку с требованием выкупа. Вместо этого он создаёт в каждой папке, в которой были зашифрованы файлы, записку о выкупе под именем README_FOR_UNLOCK.txt, содержащую инструкции для оплаты выкупа в 1 биткоин или 415 долларов США.

Содержание записки README_FOR_UNLOCK.txt:
ALL YOUR WEBSERVER FILES HAS BEEN LOCKED
You must send me 1 BTC to unlock all your files.
Pay to This BTC Address: *****
Contact tuyuljahat@hotmail.com after you send me a BTC. Just inform me your website url and your Bitcoin Address.
I will check my Bitcoin if you realy send me a BTC I will give you the decryption package to unlock all your files.
Hope you enjoy

Перевод на русский язык:
ВСЕ ФАЙЛЫ ВАШЕГО ВЕБ-СЕРВЕРА БЛОКИРОВАНЫ
Вы должны послать мне 1 BTC для разблокировки ваших файлов.
Платите на BTC-адрес: *****
Мыльте на tuyuljahat@hotmail.com после отправки мне BTC. Сообщите мне адрес веб-сайта и ваш Bitcoin-адрес.
Я буду проверять свой Bitcoin и если вы прислали мне BTC, то я пришлю дешифратор для разблокировки ваших файлов.
Надеюсь, вам понравится 

Активность этого криптовымогателя пришлась на март 2016 г. Ориентирован на англоязычных пользователей, что не мешает использовать его по всему миру.

KimcilWare направлено на веб-сайты, основанные на системе управления интернет-магазинами Magento. Возможно, заражению способствует установка пока ещё легитимных расширений для CMS Magento. Одно из них, Helios Vimeo Video Gallery (от Helios Solutions), уже помечено как опасное. Но не исключается вероятность программной прокладки-заготовки в самом Magento, как и во всех других CMS.

Владельцы интернет-магазинов, работающих на Magento, должны использовать сильные пароли для учётных записей администратора, и как можно скорее обновить систему управления сайтом до последней версии Magento, или установить все доступные патчи для используемой версии.

KimcilWare устанавливается после взлома веб-сервера. При желании злоумышленники могут распространять его с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, подвергающихся шифрованию:
Все файлы и папки, находящиеся в директории веб-сайта, некоторые даже по 2 раза. 

Файлы, связанные с KimcilWare Ransomware:
README_FOR_UNLOCK.txt

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: средняя.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC
 ID Ransomware
 Fortinet blog
 *

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 MalwareHunterTeam
 *