KawaiiLocker Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES (в режиме OFB), а затем требует выкуп в 6000 рублей, чтобы расшифровать файлы.
Шифруются только первые 192 байта от начала. Хранит список зашифрованных файлов в файле crypt_list.
К зашифрованным файлам никакое расширение НЕ добавляется. Название зашифрованного файла НЕ изменяется. Ориентирован на русскоязычных пользователей. Создатели не определились с названием, называют его сами то KawaiiLocker, то CryptoLocker.
Активность этого криптовымогателя пришлась на август-сентябрь 2016 г. Ранее в 2014-2015 гг. распространялся вымогатель с аналогичной запиской о выкупе. Связь между ними не выяснялась.
Записка с требованием выкупа называется HOW DECRYPT FILES.TXT и размещается на рабочем столе.
К зашифрованным файлам никакое расширение НЕ добавляется. Название зашифрованного файла НЕ изменяется. Ориентирован на русскоязычных пользователей. Создатели не определились с названием, называют его сами то KawaiiLocker, то CryptoLocker.
Активность этого криптовымогателя пришлась на август-сентябрь 2016 г. Ранее в 2014-2015 гг. распространялся вымогатель с аналогичной запиской о выкупе. Связь между ними не выяснялась.
Записка с требованием выкупа называется HOW DECRYPT FILES.TXT и размещается на рабочем столе.
Содержание записки о выкупе:
Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были зашифрованы криптостойким алгоритмом, расшифровать их можно только имея уникальный для вас дешифратор файлов.
Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами по email:
Стоимость расшифровки файлов 6000 рублей
decrypt2016@yahoo.com
Также если вы хотите убедится в том, что мы действительно сможем расшифровать ваши файлы, вы можете приложить любой небольшой файл, из списка на рабочем столе "crypt_list" и мы его вам расшифруем (базы данных для теста не расшифровываем!).
ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ БУДЕТ НЕВОЗМОЖНО!
Технические детали
Распространяется с помощью email-спама и вредоносных вложений, посредством удалённой атаки и взлома RDP-подключений.
Список файловых расширений, подвергающихся шифрованию:
.1cd, .1zo, .3gp, .7z, .aa, .aac, .ac3, .ace, .aff, .amr, .arj, .avi, .cab, .cda, .cdn, .cf, .cfg, .cfu, .chm, .csv, .doc, .docx, .dt, .epf, .erf, .efd, .elf, .epub, .fb2, .flac, .flv, .geo, .gif, .grs, .ha, .html, .imolody, .imy, .iso, .jpeg, .lit, .lgf, .lgp, .lhq, .log, .m4a, .mft, .mhtml, .mobi, .mp4, .mpeg, .mov, .mts, .mxl, .odt, .ogg, .pdf, .pff, .php, .png, .ppt, .pptx, .ppx, .qcp, .rar, .rtf, .st, .sxc, .tar, .tif, .txt, .vob, .vrp, .wma, .xhtml, .xls, .xmf, .xml, .xsl, .wmv, .zoo (81 расширение).
Продается на форумах за $150 или 10000 рублей. Например, по ссылке.
Заявлено 83 расширения.
KawaiiLocker определяет работу VirtualMachine и SandBox.
Удаляет тома теневых копий файлов командой:
vssadmin delete shadows /for=C:\/all
Файлы, связанные с Ransomware:
KawaiiLocker.exe - исполняемый файл вымогателя;
HOW DECRYPT FILES.TXT - записка о выкупе;
crypt_list - текстовый файл со списком зашифрованных файлов.
Сетевые подключения:
Email: decrypt2016@yahoo.com
vssadmin delete shadows /for=C:\/all
Файлы, связанные с Ransomware:
KawaiiLocker.exe - исполняемый файл вымогателя;
HOW DECRYPT FILES.TXT - записка о выкупе;
crypt_list - текстовый файл со списком зашифрованных файлов.
Сетевые подключения:
Email: decrypt2016@yahoo.com
URL: hxxx://7476357288-0.myjino.ru/
URL: hxxx://81.177.139.161/
Анализ на Payload Security >>
Файл-образец на VirusTotal >>
Степень распространённости: низкая.
Подробные сведения собираются.
URL: hxxx://81.177.139.161/
Анализ на Payload Security >>
Файл-образец на VirusTotal >>
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: Тема на форуме KasperskyClub.ru >> Ранее Kawaii Decryptor размещался на форуме Safezone.cc
Внимание! Для зашифрованных файлов есть дешифровщик. Скачать Kawaii Decryptor от Thyrex >> Некоторые антивирусы могут обнаруживать файл KawaiiDec.exe как угрозу. Это ложное страбатывание, обычная реакция на файл без цифровой подписи. Kawaii Decryptor — бесплатная утилита для бесплатной расшифровки файлов. Если купить сертификат и подписать цифровой подписью, то утилита будет платной.
Thanks: Thyrex Demonslay335, Lawrence Abrams
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.