вторник, 6 сентября 2016 г.

KawaiiLocker

KawaiiLocker Ransomware


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES (в режиме OFB), а затем требует выкуп в 6000 рублей, чтобы расшифровать файлы. Шифруются только первые 192 байта от начала. Хранит список зашифрованных файлов в crypt_list. 

К зашифрованным файлам никакое расширение НЕ добавляется. Название зашифрованного файла НЕ изменяется. Ориентирован на русскоязычных пользователей. Создатели не определились с названием, потому называют его сами то KawaiiLocker, то CryptoLocker.

Активность этого криптовымогателя пришлась на август-сентябрь 2016 г. Ранее в 2014-2015 гг. распространялся вымогатель с аналогичной запиской о выкупе. Связь между ними пока не выяснялась. 

Записка с требованием выкупа называется HOW DECRYPT FILES.TXT и размещается на рабочем столе. 

Содержание записки о выкупе:
Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были зашифрованы криптостойким алгоритмом, расшифровать их можно только имея уникальный для вас дешифратор файлов.
Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами по email:
Стоимость расшифровки файлов 6000 рублей
decrypt2016@yahoo.com
Также если вы хотите убедится в том, что мы действительно сможем расшифровать ваши файлы, вы можете приложить любой небольшой файл, из списка на рабочем столе "crypt_list" и мы его вам расшифруем (базы данных для теста не расшифровываем!).

ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ БУДЕТ НЕВОЗМОЖНО!

Распространяется с помощью email-спама и вредоносных вложений, посредством удалённой атаки и взлома RDP-подключений. 

Список файловых расширений, подвергающихся шифрованию:
.1cd, .1zo, .3gp, .7z, .aa, .aac, .ac3, .ace, .aff, .amr, .arj, .avi, .cab, .cda, .cdn, .cf, .cfg, .cfu, .chm, .csv, .doc, .docx, .dt, .epf, .erf, .efd, .elf, .epub, .fb2, .flac, .flv, .geo, .gif, .grs, .ha, .html, .imolody, .imy, .iso, .jpeg, .lit, .lgf, .lgp, .lhq, .log, .m4a, .mft, .mhtml, .mobi, .mp4, .mpeg, .mov, .mts, .mxl, .odt, .ogg, .pdf, .pff, .php, .png, .ppt, .pptx, .ppx, .qcp, .rar, .rtf, .st, .sxc, .tar, .tif, .txt, .vob, .vrp, .wma, .xhtml, .xls, .xmf, .xml, .xsl, .wmv, .zoo (81 расширение). 

Продается на форумах за $150 или 10000 рублей. Например, по ссылке
Заявлено 83 расширения. 

KawaiiLocker определяет работу VirtualMachine и SandBox. 
Удаляет тома теневых копий файлов командой:
vssadmin delete shadows /for=C:\/all 

Файлы, связанные с Ransomware:
KawaiiLocker.exe - исполняемый файл вымогателя;
HOW DECRYPT FILES.TXT - записка о выкупе;
crypt_list - текстовый файл со списком зашифрованных файлов. 

Записи реестра, связанные с Ransomware:
***

Сетевые подключения:
хттп://7476357288-0.myjino.ru/
хттп://81.177.139.161/

Анализ на Payload Security >>
Проверенный образец на VirusTotal >>

Степень распространённости: низкая.
Подробные сведения собираются.

Внимание! 
Для зашифрованных файлов есть декриптер!

Read to links:
http://safezone.cc/resources/kawaii-decryptor.195/
http://forum.kasperskyclub.ru/index.php?showtopic=51662
https://id-ransomware.malwarehunterteam.com/
Thanks:
Thyrex
Michael Gillespie (Demonslay335)
Lawrence Abrams (Grinler)

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *