понедельник, 3 апреля 2017 г.

AngryKite

AngryKite Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует позвонить по телефону 1-855-455-6800 (в США), чтобы вернуть файлы. Оригинальное название: angryKite_v3. Фальш-копирайт: Microsoft 2016. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: KRider > AngryKite 


К зашифрованным файлам добавляется расширение .NumberDot
Зашифрованные файлы переименовываются случайными именами. Файлы могут быть дешифрованы. 
Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки "Warning":

Содержание текста о выкупе:
WARNING: SYSTEM MAY HAVE FOUND
anonymous encryption on your computer. You would not be able to access the files on your computer
Your System May have Found (2) Malicious Viruses Rootkit.Encypt & Trojan.Spyware
Your Personal & Fincancial information MAY NOT BE SAFE
Your system has encryption ransomware
which may permanently encrypt your data
Please call immediately to avoid further damage
Toll free 1-855-545-6800
Your UID
17347841

Перевод текста на русский язык:
ПРЕДУПРЕЖДЕНИЕ: СИСТЕМА ОБНАРУЖИЛА
анонимное шифрование на вашем компьютере. Вы не сможете открывать файлы на своем компьютере
Ваша система обнаружила (2) вредоносных вируса Rootkit.Encypt & Trojan.Spyware
Ваша личная и финансовая информация В ОПАСНОСТИ
Ваша система зашифрована ransomware
способный навсегда зашифровать ваши данные
Позвоните срочно, во избежание дальнейшего ущерба
Бесплатный звонок 1-855-545-6800
Your UID
17347841

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .c, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .html, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .log, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd,.png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sln, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .txt, .vcf, .vob, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (166 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
angryKite_v3.exe
KRider.exe
StatLevel.exe

Расположения: 
AppData\Roaming\QKYS\angryKite_v3.exe
AppData\Roaming\QKYS\KRider.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\adr
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://ourdareshare.club/***
***xxxx://databaseosfixissue7823.online/***
***xxxx://www.top5z.com/***
***xxxx://technobend.com/***
***xxxx://www.coastalenvironment.org/***
166.62.10.143:80 (США)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Thyrex
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

2 комментария:

  1. Отчет malwr.com https://malwr.com/analysis/M2MyODE0Y2I3YTE5NDExYjg0Zjg3NDYxZTgzM2Q5MDU/ (однако, неинформативный ввиду отсутствия .NET). Кроме того, на приведенной странице анализа HT указано, что осуществляется DNS-разрешение имени foreversoluzion.com.

    ОтветитьУдалить
  2. Спасибо. Добавил отчет. Но malwr вообще стал неинформативным, потому я его больше не добавляю.

    ОтветитьУдалить

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *