вторник, 7 марта 2017 г.

Kaenlupuf

Kaenlupuf Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Оригинальное название получено путём сложения: Kaenlupuf = KAsi ENkrip LU PUnya File. В записке: K.A.E.N.L.U.P.U.F M.E.M.P.E.R.S.E.M.B.A.H.K.A.N и Kaenlupuf Ransomware v1.0b.
Фальш-имя: Microsoft Network Realtime Inspection Service. Фальш-копирайт: Microsoft Windows Operating System. Разработан в Малайзии. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение *нет данных*.
Изображение дракона в ресурсе вымогателя

Этот образец крипто-вымогателя обнаружен в марте 2017 г. Известен с января 2017. Ориентирован на малайских пользователей, что не мешает распространять его по всему миру. Пока в разработке. 

Записки с требованием выкупа называются: kaenlupuf-note.

Содержание записки о выкупе:
NOTE UNTUK ANDA - WAJIB BACA
Pertama sekali kami mengucapkan tahniah kepada anda kerana terpilih menjadi antara sebahagian yang berjaya melindungi fail-fail daripada ancaman luaran.
Kami amat mamahami anda memerlukan fail fail tersebut dengan segera. Dengan itu kami memperkenalkan pakej istimewa dengan harga mampu milik iaitu serendah 1 Bitcoin sahaja.
Terkejut dengan tawaran kami? Jadi apa tunggu lagi, daftar bitcoin anda sekarang untuk mendapat lebih nilai disamping fail-fail penting anda.
Lebih lama anda tunggu nilai akan semakin meningkat. Fail-fail anda telah dilindungi dengan algoritma RSA-2048 bit. Sangat selamat dan menarik bukan?

DAPATKAN SEMULA FAIL SAYA!
Untuk mendapatkan semula fail-fail anda, ikuti langkah berikut dengan cermat:
1. Daftar akaun Bitcoin wallet anda di URL berikut:
https://blockchain.info/wallet/
2. Guna alamat bitcoin kami untuk memindahkan kredit anda:
173MLPGRWdc6z91gQXBCHYVTkqTR9tMABb
3. Jumlah bayaran ialah seperti berikut:
1 BTC
4. Pastikan anda memaklumkan ID anda ketika membuat transaksi.
TOKEN ID ANDA 

Перевод записки на русский язык (перевод автора блога):
ВАЖНО ДЛЯ ВАС -  ПРОЧТИТЕ
Прежде всего, мы поздравляем вас с тем, что вы выбрали одну из наилучших защит файлов от внешних угроз.
Мы понимаем, что вам файлы нужны немедленно. Мы предоставим специальный пакет по доступной цене всего лишь за 1 биткойн.
Удивлены нашим предложением? Так чего же вы ждете, регистрируйте свой биткойн сейчас, чтобы получить ценное дополнение к вашим важным файлам.
Чем дольше вы будете ждать, тем больше будет сумма. Ваши файлы защищены алгоритмом RSA-2048. Очень хорошо и интересно, не правда ли?

ВЕРНУТЬ МОИ ФАЙЛЫ!
Чтобы вернуть ваши файлы, выполните следующие действия:
1. Зарегистрируйте свою учетную запись в биткойн-кошельке по следующему URL-адресу:
Https://blockchain.info/wallet/
2. Используйте наш биткойн-адрес для перевода оплаты:
173MLPGRWdc6z91gQXBCHYVTkqTR9tMABb
3. Сумма платежа следующая:
1 BTC
4. Обязательно сообщите свой ID при совершении транзакции.
ВАШ ТОКЕН ID

Также имеется другой текст, где приглашаются новые участники вступить в закрытую группу KAENLUPUF. 

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
netsvc.exe
ajaw-rsa.exe
kaenlupuf-note

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://asuk.xmaya.my/
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (ID as Kaenlupuf)
 Write-up, Topic
 *
 Thanks: 
 Jiri Kropac‏
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *