Если вы не видите здесь изображений, то используйте VPN.

вторник, 6 сентября 2016 г.

KawaiiLocker

KawaiiLocker Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES (в режиме OFB), а затем требует выкуп в 6000 рублей, чтобы расшифровать файлы. 

Шифруются только первые 192 байта от начала. Хранит список зашифрованных файлов в файле crypt_list. 

К зашифрованным файлам никакое расширение НЕ добавляется. Название зашифрованного файла НЕ изменяется. Ориентирован на русскоязычных пользователей. Создатели не определились с названием, называют его сами то KawaiiLocker, то CryptoLocker.

Активность этого криптовымогателя пришлась на август-сентябрь 2016 г. Ранее в 2014-2015 гг. распространялся вымогатель с аналогичной запиской о выкупе. Связь между ними не выяснялась. 

Записка с требованием выкупа называется HOW DECRYPT FILES.TXT и размещается на рабочем столе. 


Содержание записки о выкупе:
Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были зашифрованы криптостойким алгоритмом, расшифровать их можно только имея уникальный для вас дешифратор файлов.
Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами по email:
Стоимость расшифровки файлов 6000 рублей
decrypt2016@yahoo.com
Также если вы хотите убедится в том, что мы действительно сможем расшифровать ваши файлы, вы можете приложить любой небольшой файл, из списка на рабочем столе "crypt_list" и мы его вам расшифруем (базы данных для теста не расшифровываем!).

ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ БУДЕТ НЕВОЗМОЖНО!


Технические детали

Распространяется с помощью email-спама и вредоносных вложений, посредством удалённой атаки и взлома RDP-подключений. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .1zo, .3gp, .7z, .aa, .aac, .ac3, .ace, .aff, .amr, .arj, .avi, .cab, .cda, .cdn, .cf, .cfg, .cfu, .chm, .csv, .doc, .docx, .dt, .epf, .erf, .efd, .elf, .epub, .fb2, .flac, .flv, .geo, .gif, .grs, .ha, .html, .imolody, .imy, .iso, .jpeg, .lit, .lgf, .lgp, .lhq, .log, .m4a, .mft, .mhtml, .mobi, .mp4, .mpeg, .mov, .mts, .mxl, .odt, .ogg, .pdf, .pff, .php, .png, .ppt, .pptx, .ppx, .qcp, .rar, .rtf, .st, .sxc, .tar, .tif, .txt, .vob, .vrp, .wma, .xhtml, .xls, .xmf, .xml, .xsl, .wmv, .zoo (81 расширение). 

Продается на форумах за $150 или 10000 рублей. Например, по ссылке
Заявлено 83 расширения. 

KawaiiLocker определяет работу VirtualMachine и SandBox. 

Удаляет тома теневых копий файлов командой:
vssadmin delete shadows /for=C:\/all 

Файлы, связанные с Ransomware:
KawaiiLocker.exe - исполняемый файл вымогателя;
HOW DECRYPT FILES.TXT - записка о выкупе;
crypt_list - текстовый файл со списком зашифрованных файлов. 

Сетевые подключения:
Email: decrypt2016@yahoo.com
URL: hxxx://7476357288-0.myjino.ru/
URL: hxxx://81.177.139.161/

Анализ на Payload Security >>
Файл-образец на VirusTotal >>

Степень распространённости: низкая.
Подробные сведения собираются.



Read to links:
Тема на форуме KasperskyClub.ru >>
Ранее Kawaii Decryptor размещался на форуме Safezone.cc
Внимание! 
Для зашифрованных файлов есть дешифровщик. 
Скачать Kawaii Decryptor от Thyrex >> 
Некоторые антивирусы могут обнаруживать файл KawaiiDec.exe как угрозу.
Это ложное страбатывание, обычная реакция на файл без цифровой подписи.
Kawaii Decryptor — бесплатная утилита для бесплатной расшифровки файлов. 
Если купить сертификат и подписать цифровой подписью, то утилита будет платной. 
Thanks:
Thyrex
Demonslay335, Lawrence Abrams 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *