пятница, 27 апреля 2018 г.

KCW

KCW Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует веб-файлы (html, php) на взломанных сайтах, которые команда хакеров предварительно взломала. Затем атакующие выдвигают свои требования, прописанные в php-файле. Оригинальное название: KCW RaNsOMWarE. Атакующие: Team Kerala Cyber Warriors.
 Изображения, используемые хакерами

Для справки: 
Team Kerala Cyber Warriors или команда Kerala Cyber Warriors — это группа из 15 белых (этических) хакеров из штате Керала (Индия). Они начали работу как группа с таким названием в декабре 2015 года. С тех пор группа стала больше и они атакуют сайты, тематикой которых являются онлайн-проституция, порнография, насилие, педофилия, кроме этого также сайты всяческих извращенцев, секс-чатов, страницы таких групп в Facebook. Они передают данные владельцев сайтов в полицию и Главной задачей, которую они поставили перед собой, это очистить Facebook в Индии от вышеперечисленного. На их счету уже более 1000 сайтов, относящихся к Индии, Пакистану и к другим ближайшим странам. По разным национальным причинам Kerala Cyber Warriors также атакуют официальные и персональные сайты Пакистана и Бангладеш. В ответ на вопросы они отвечают, что "они первые начали атаковать индийские сайты". Члены группы называют себя кодовыми именами и делают то, что мы ожидаем от киберполиции...  Из описания и заявления этих хакеров.

© Генеалогия: предыдущие Ransomware от команды KCW.

К зашифрованным файлам добавляется расширение .kcwenc

Активность хакеров с использованием этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на сайты Пакистана. 

Запиской с требованием выкупа выступает экран блокировки: kcwdecrypt.php

Содержание записки о выкупе:
✗KCW RaNsOMWarE✗
 YOUR SITE IS INFECTED BY KCW RANSOMWARE 
 YOUR FILES HAVE BEEN ENCRYPTED 
 ENTER THE KEY TO DECRYPT FILES 
[   ]
We are Legion... We do not Forgive... We do not Forget... Expect us
GREETZ TO:
GH057_R007 | 8L4CK_P3RL | F0R81DD3N_H4CX3R | RED LIZARD | S3CU617Y_R1PP36 | 4N0N_5P1D3R | RED_LIZARD
CH@CH_4-RC7 | M3GA_M1ND | D0PP3l_64N63R | K1LL3R_C0BR4{PP} | C0D3_PH03N1X | 5H4D0W_HUN73r
B4HZ1 | 4S7R4 | V33R4PP4N | C47_HUN73R | CJ_N4P573R | 5H1VJ1_M4H4R4J | PH4N70M
>>>CONTACT KERALA CYBER WARRIORS<<<

Перевод записки на русский язык:
✗KCW RaNsOMWarE✗
  ВАШ САЙТ ЗАРАЖЁН KCW RANSOMWARE
  ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
  ВВЕДИТЕ КЛЮЧ ДЛЯ ДЕШИФРОВКИ ФАЙЛОВ
[   ]
Мы Легион ... Мы не прощаем ... Мы не забудем ... Ждите нас
ПРИВЕТЫ:
GH057_R007 | 8L4CK_P3RL | F0R81DD3N_H4CX3R | RED LIZARD | S3CU617Y_R1PP36 | 4N0N_5P1D3R | RED_LIZARD
CH@CH_4-RC7 | M3GA_M1ND | D0PP3l_64N63R | K1LL3R_C0BR4{PP} | C0D3_PH03N1X | 5H4D0W_HUN73r
B4HZ1 | 4S7R4 | V33R4PP4N | C47_HUN73R | CJ_N4P573R | 5H1VJ1_M4H4R4J | PH4N70M
>>> КОНТАКТ KERALA CYBER WARRIORS <<<







Технические детали

Распространяется путём взлома сайтов через уязвимости веб-сайтов, через незащищенную конфигурацию RDP. Могут использоваться email-спам и вредоносные вложения, обманные загрузки, эксплойты, веб-инжекты и прочие методы. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список файловых расширений, подвергающихся шифрованию:
Целями являются только веб-файлы на взломанных сайтах: .html, .php
При открытии зашифрованных файлов может открыться следующее сообщение "ERROR 500 - INTERNAL SERVER ERROR". 


Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
kcwdecrypt.php

Расположения:
\Desktop\ ->
\User_folders\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
xxxx://www.arainwelfare.org - взломанный сайт
xxxxs://www.facebook.com/KeralaCyberWarriors  - официальная страница
https://www.facebook.com/KeralaCyberWarriors/videos/509207089249328/ - страница с видео-демонстрацией
xxxxs://en.wikipedia.org/wiki/Kerala_Cyber_Warriors - вики о группе
См. ниже результаты анализов.


Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===


Группа Kerala Cyber Warriors также известна своими протестами против произвола, разных общественных организаций, чья деятельность носит противоречивый или аморальный характер. Вот несколько таких примеров. 
➤ Например, в августе 2016 года Kerala Cyber Warriors взломали сайт "People for Animals" (Люди для животных), принадлежащий организации под председательством министра юстиции Манеки Ганди, через два дня после того, как 65-летняя женщина была убита стаей из 50 бродячих собак в городе Тируванантапураме, столице штата Керала. Этот протест был ответной мерой против Манеки Ганди, убеждённого защитника запрета на убийство бездомных собак. Потом сайт был восстановлен. 

➤ В феврале 2017 года группа Kerala Cyber Warriors, состоящая уже из 28 членов, опубликовала подробную информацию о 35 страницах и 25 группах в Facebook, которые участвовали в распространении в Интернете аморальных и оскорбительных материалов порнографического содержания с участием женщин и несовершеннолетних и удалили весь их контент. 
Kerala Cyber Warriors назвала эту кибер-атаку операциями #OP_INDIA_ONLINE_PROSTITUTION & #OP_INDIA_SEX_CHATTING. После этого KCW разместила записку о взломе на этих страницах и группах.
KCW сказали, что они будут продолжать проводить подобные операции в будущем, т.к. в Facebook ещё есть более 10000 страниц связанных с детским порно. 

Хакеры после взлома размещают записи как от лица всей группы, так и персональные. Чаще я встречал следующий список группы. 
На следующем скриншоте можно видеть взломанную страницу секс-чата в Facebook. Хакер под именем GHO57_R007 (TINTU) вставил на этой странице заранее заготовленный им текст. 
Содержание этой записки:
HACKED BY GHO57_R007 (TINTU)
TEAM KERALA CYBER WARRIORS
#KERALACYBERWARRIORS
THIS PAGE HAS BEEN HACKED !! THIS IS OUR LAST WARNING.
WE WILL HUNT YOUR PROFILES, GROUPS AND SUCH PAGES RELATED TO SEX CHATTING AND ONLINE PROSTITUTION !!!!
BETTER STOP THIS BULLSHIT !!! WE WILL HACK YOU AND EXPOSE YOUR REAL FACE TO THE PUBLIC.
#OP_INDIAN_ONLINE_PROSTITUTION #OP_INDIAN_SEX_CHATTING
WE ARE: GH057_R007 | 8L4CX P3RL | MR.545 | F0R81DD3N H4CX3R | WHITE_DRAGON | RED LIZARD | C0D3_BR34K3R | S3CU617Y_R1PP36 | C0DE_ZER0 | AN0N R4NG3R | HACKER 13 | R007_SH3LL | 1R0N M4N | 4N0N 5P1D3R |AQU HAXOR
WE ARE LEGION
WE DO NOT FORGIVE
WE DO NOT FORGET
EXPECT US
Перевод на русский язык: 
ВЗЛОМАНО GHO57_R007 (TINTU)
TEAM KERALA CYBER WARRIORS
#KERALACYBERWARRIORS
ЭТА СТРАНИЦА БЫЛА ВЗЛОМАНА! ЭТО НАШЕ ПОСЛЕДНЕЕ ПРЕДУПРЕЖДЕНИЕ.
МЫ БУДЕМ ОХОТИТЬСЯ НА ВАШИ ПРОФИЛИ, ГРУППЫ И ТАКИЕ СТРАНИЦЫ, СВЯЗАННЫЕ С СЕКСОМ И ОНЛАЙН-ПРОСТИТУЦИЕЙ !!!!
ЛУЧШЕ ПРЕКРАТИТЕ ЭТУ ДЕРЬМО !!! МЫ БУДЕМ ВЗЛОМАТЬ ВАС И РАЗОБЛАЧИМ ВАШЕ НАСТОЯЩЕЕ ЛИЦО.
#OP_INDIAN_ONLINE_PROSTITUTION #OP_INDIAN_SEX_CHATTING
МЫ: GH057_R007 | 8L4CX P3RL | MR.545 | F0R81DD3N H4CX3R | WHITE_DRAGON | КРАСНАЯ ЯЩЕРИЦА | C0D3_BR34K3R | S3CU617Y_R1PP36 | C0DE_ZER0 | AN0N R4NG3R | ХАКЕР 13 | R007_SH3LL | 1R0N M4N | 4N0N 5P1D3R | AQU HAXOR
МЫ ЛЕГИОН
МЫ НЕ ПРОЩАЕМ
МЫ НЕ ЗАБЫВАЕМ
ЖДИТЕ НАС





=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 ID Ransomware (ID as KCW)
 Write-up, Topic of Support
🎥 Video review by BleepingComputer >>
 - видеодемонстрация от Kerala Cyber Warriors

 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Your donation / Ваш вклад

Please Donate To Bitcoin Address: [[address]]

Donation of [[value]] BTC Received. Thank You.
[[error]]

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton