Если вы не видите здесь изображений, то используйте VPN.

пятница, 13 января 2017 г.

Kaandsona

Kaandsona Ransomware

RansomTroll Ransomware

(шифровальщик-вымогатель) 

Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название оригинальное, другие: Käändsõna и RansomTroll. Слово "Käändsõna" эстонского происхождения, потому, скорее всего, разработчик тоже из Эстонии. 

Обнаружения: 
DrWeb -> Trojan.Encoder.10125
BitDefender -> Trojan.Ransom.BIC
ALYac -> Trojan.Ransom.Kaandsona
Symantec -> Trojan.FakeAV
ESET-NOD32 -> MSIL/Filecoder.Kaandsona.A

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .kencf



Образец этого крипто-вымогателя был найден в январе 2017 г., но по всей видимости разработка началась еще в 2016 году. Шифрование сопровождается сбоями в работе, работа ещё не отлажена. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записки с требованием выкупа называются: нет данных.

Содержание записки о выкупе:
You have been struck by the holy Kaandsona ransomware
Either you pay 1 BTC in 24 hours or you lose ALL FILES
 button 'Show all encrypted files'
 button 'PAY'

Перевод записки на русский язык:
Вы были поражены святым Kaandsona вымогателем
Или вы платите 1 BTC за 24 часа или вы потеряете ВСЕ ФАЙЛЫ
 кнопка 'Show all encrypted files'
 кнопка 'PAY'

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
Kaandsona.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***143.22.211.245/victim.php?ts=  (143.22.211.245:80 - США)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware 
 Write-up
 Thanks: 
 Lawrence Abrams, Michael Gillespie
 Andrew Ivanov (author)
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *