четверг, 10 ноября 2016 г.

Kolobo

Kolobo Ransomware

Kolobocheg Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью XOR и RSA, а затем написать на email вымогателей, чтобы вернуть файлы. Название Kolobo условное, дано для идентификации в ID Ransomware. Другое название, упомянутое в статье Лоуренса Абрамса: Gingerbread. 

По классификации Dr.Web это Trojan.Encoder.293. Написан на языке Delphi. Является более поздней модификацией Trojan.Encoder.102 и имеет с ним много общего. Выполняет шифрование файлов в два приема: с алгоритмом XOR блоками примерно по 0x200 байт (длина блока и гамма могут отличаться в разных вариантах). После этого файл шифруется с использованием алгоритма RSA. 

© Генеалогия: Trojan.Encoder.293.

К зашифрованным файлам добавляется расширение .kolobocheg@aol.com_

Образец этого криптовымогателя был найден ноябре 2016 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста о выкупе:
Файлы зашифрованы! 
Колобок ушел от бабушки и от дедушки, и обнаружил, что у него нет денег, даже квартиру не снять! 
Долго думал колобок, захотел повеситься - но не смог. И всё, на что он может рассчитывать - на Вашу помощь!
Помоги колобку, а он вернет тебе файлы! 
Отпиши на эти данные, указав идентификатор: 
Почта - kolobocheg@ао1.com
Идентификатор - k1
за дополнительной информацией – filesencoded.com

Распространяется с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
***
Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
kolobocheg@aol.com
filesencoded.com

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.


Внимание!
Для kolobocheg@aol.com_ вариантов k1, k3 есть дешифровщик

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as Kolobo)
 Write-up
 *
 *
 Thanks: 
 JAMESWT
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton