KK (Estonian) Ransomware
Этот крипто-вымогатель шифрует данные пользователей с помощью ???, а затем требует выкуп в 4 биткоина, чтобы вернуть файлы обратно. Название происходит от приставки KK_, на которую сами вымогатели направляют внимание.
К зашифрованным файлам добавляется приставка KK_. Требования выкупа написаны на английском языке, но с погрешностями. Жертвы для обмена биткоинами направляются на сайты, находящиеся в доменной зоне EE, относящейся к Эстонии. Из чего можно сделать вывод, что вымогатели так или иначе имеют отношение к Эстонии.
Записка с требованием выкупа называется: KK_ IN YOUR DOCUMENTS..txt
Содержание записки о выкупе:
Dear man, your computer has been locked by ransomware, your personal files are encrypted and you have unfortunately "lost" all your pictures,
files and documents on the computer. Your important files encryption produced on this computer: videos, photos, documents, etc.
Encryption was produced using unique public key RSA-1024 generated for this computer. To decrypt files you need to obtain the private key.
All encrypted files contain KK_
Your number: ***
To obtain the program for this computer, which will decrypt all files, you need to pay 4 bitcoins on our bitcoin address 1G2cSAZ9*** (today 1 bitcoin was 250 $). Only we and you know about this bitcoin address.
You can check bitcoin balanse here - https://www.blockchain.info/address/1G2cSAZ9***
After payment send us your number on our mail nown@ruggedinbox.com and we will send you decryption tool (you need only run it and all files will be decrypted during 1...3 hours)
Before payment you can send us one small file (100..500 kilobytes) and we will decrypt it - it's your garantee that we have decryption tool. And send us your number with attached file.
We dont know who are you. All what we need - it's some money.
Don't panic if we don't answer you during 24 hours. It means that we didn't received your letter (for example if you use hotmail.com or outlook.com
it can block letter, SO DON'T USE HOTMAIL.COM AND OUTLOOK.COM. You need register your mail account in www.ruggedinbox.com (it will takes 1..2 minutes) and write us again)
You can use one of that bitcoin exchangers for transfering bitcoin.
decrypto.ee
https://localbitcoins.com/country/EE
https://www.clevercoin.com
coinera.eu
https://bitx.co
https://www.kraken.com
You dont need install bitcoin programs - you need only use one of this exchangers or other exchanger that you can find in www.google.com for your country.
Please use english language in your letters. If you don't speak english then use https://translate.google.com to translate your letter on english language.
Перевод записки на русский язык:
Дорогой человек, ваш компьютер был заблокирован вымогателеv, ваши личные файлы зашифрованы, и вы, увы, "потеряли" все ваши фото,
файлы и документы на компьютере. Ваши важные файлы шифрование сделано на этом компьютере: видео, фотографии, документы и т.д.
Шифрование было сделано с уникальным открытым ключом RSA-1024, сгенерированный для этого компьютера. Для дешифровки файлов вам надо получить закрытый ключ.
Все зашифрованные файлы имеют KK_
Ваш номер: ***
Для получения программы для этого компьютера, которая дешифрует все файлы, вам нужно заплатить 4 биткоина на наш Bitcoin-адрес 1G2cSAZ9*** (сегодня 1 Bitcoin был 250 $). Только мы и вы знаем об этом Bitcoin-адресе.
Вы можете проверить Bitcoin-баланс здесь - https://www.blockchain.info/address/1G2cSAZ9***
После оплаты пришлите нам свой номер на нашу почту nown@ruggedinbox.com и мы вышлем вам декриптер (вам нужно только запустить его и все файлы дешифруются за 1...3 часа)
До оплаты можете прислать нам 1 небольшой файл (100..500 килобайт), и мы его дешифруем - это ваша гарантия, что у нас есть декриптер. И пришлите нам свой номер с вложенным файлом.
Мы не знаем, кто ты. Все, что нам нужно - это немного денег.
Не паникуйте, если мы не ответим вам за 24 часа. Это значит, что мы не получили ваше письмо (например, если вы используете hotmail.com или outlook.com, это блокирует письмо, НЕ ИСПОЛЬЗУЙТЕ HOTMAIL.COM И OUTLOOK.COM. Вам надо зарегистрировать аккаунт почты в www.ruggedinbox.com (займёт 1..2 минуты) и написать нам снова)
Можете использовать один из Bitcoin-обменников для переноса Bitcoin.
decrypto.ee
https://localbitcoins.com/country/EE
https://www.clevercoin.com
coinera.eu
https://bitx.co
https://www.kraken.com
Вам не надо ставить программы Bitcoin - надо только использовать один из этих обменников или другой обменник, который можете найти в www.google.com для своей страны.
Пожалуйста, используйте английский язык в ваших письмах. Если вы не говорите по-английски, то используйте https://translate.google.com, для перевода вашего письма на английский язык.
Распространяется с помощью email-спама и вредоносных вложений.
Список файловых расширений, подвергающихся шифрованию:
***
Файлы, связанные с Ransomware:
***
Записи реестра, связанные с Ransomware:
***
Степень распространённости: низкая.
Подробные сведения собираются.
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.