среда, 26 марта 2014 г.

Kolobo

Kolobo Ransomware

Kolobocheg Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA и XOR, а затем написать на email вымогателей, чтобы вернуть файлы. 

Название Kolobo условное, дано Майклом Джиллеспи для идентификации в ID Ransomware. Название "Gingerbread", упомянутое в статье Лоуренса Абрамса (2016 г.), не имеет никакого отношения к этому шифровальщику. 

По классификации Dr.Web это Trojan.Encoder.293. Написан на языке Delphi. Является более поздней модификацией Trojan.Encoder.102 и имеет с ним много общего. Выполняет шифрование файлов в два приема: с алгоритмом XOR блоками примерно по 0x200 байт (длина блока и гамма могут отличаться в разных вариантах). После этого файл шифруется с использованием алгоритма RSA. 

© Генеалогия: HELP@AUSI > Kolobo 

К зашифрованным файлам добавляется расширение .kolobocheg@aol.com_

Появился во второй половине марта 2014 года. Но образец этого криптовымогателя был найден даже в ноябре 2016 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста о выкупе:
Файлы зашифрованы! 
Колобок ушел от бабушки и от дедушки, и обнаружил, что у него нет денег, даже квартиру не снять! 
Долго думал колобок, захотел повеситься - но не смог. И всё, на что он может рассчитывать - на Вашу помощь!
Помоги колобку, а он вернет тебе файлы! 
Отпиши на эти данные, указав идентификатор: 
Почта - kolobocheg@аоl.com
Идентификатор - k1
за дополнительной информацией – filesencoded.com


Технические детали

Распространялся с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. Может распространяться путём взлома через незащищенную конфигурацию RDP. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ По данным Dr.Web шифровальщик Trojan.Encoder.293 распространялся в комплекте с программой для кражи паролей "UFR stealer". После очистки ПК или переустановки системы нужно сменить все пароли, которыми ранее пользовались. 

➤ Для версий, которые были до лета 2014 года, есть шанс на дешифрование файлов, если найден exe-файл.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
***
Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
kolobocheg@aol.com
filesencoded.com - сайт вымогателей

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Так как во время активности шифровальщиков этого типа я не суммировал по ним информацию и не вёл этот блог, то лучше изучить информацию на сайте и форуме Dr.Web. Ссылки прилагаются. 
Описание семейства Trojan.Encoder.293 >>

Информация по дешифрованию >>


=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. Историю семейства выше. 



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание!
Для kolobocheg@aol.com_ вариантов k1, k3 есть дешифровщик
Обращайтесь на форум Dr.Web по ссылке >>
 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as Kolobo)
 Write-up (2016)
 Write-up (2013) Write-up (2014)
 *
 Thanks: 
 JAMESWT
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton