Kostya Ransomware
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 300 чешких крон с карты PaySafe Card, чтобы вернуть файлы. Название криптовымогателя написано в экране блокировки.
К зашифрованным файлам добавляется расширение .k0stya. Данные шифруются только на диске C:, а диск D: очищается.
Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на чешскоязычных пользователей.
Запиской с требованием выкупа выступает блокировщик экрана.
Содержание основного текста о выкупе:
Váš počítač a vaše soubory byly uzamknuty!
Co se stalo?
Veškeré vaše soubory byly zašifrovány šifrovacía algoritmem AES-256 společně s vaším osobnim počítačem.
VAROVÁNÍ!! Pokud nesplníte všechny dané požadavky uvedené níže do 12 HODIN , váš nynéjší dešifrovací klič se SMAŽE a CENA STOUPNE NA 2000KČ!.
PO 24 HODINÁCH SE VAŠE SOUBORY SMAŽOU A VY JE UŽ NIKDY NEUVIDÍTE!!!
Jak mám postupovat dál? Je prakticky nemožné získat zpět přistup k vasím souborům a vašemu počítači bez šifrovacího klíče. Ten můžete také velice jednoduše získat. Stačí, když si podrobně přečtete celou tuto zprávu.
Co se stane až zaplatím? Po zaplacení dané částky bude váš počítač společné s vašimi soubory do 24 hodin odemknut. Celá tato zpráva zmizí a vše se vrátí do původního stavu.
Jde toto uzamknutí obejít jiným způsobem? Absolutně ne. Je však na vás jestli půjdete za IT technikem a zaplatíte mu 500Kč (ne li více) za "opravu", která vám vaše data a učty stejně nevrátí, nebo splníte stanovené požadavky. Navíc tak i ušetříte! POKUD NEZAPLATÍTE DO 12 HODIN, CENA STOUPNE NA 2000Kč!!! PRO PLATBU JE VYŽADOVÁNO PŘIPOJENÍ K INTERNETU !!!
Перевод текста на русский язык:
Ваш компьютер и ваши файлы заблокированы!
Что случилось?
Все ваши файлы зашифрованы с помощью алгоритма шифрования AES-256 вместе с вашим личным компьютером.
ВНИМАНИЕ !! Если вы не выполняете все требования, перечисленные ниже в течение 12 часов, ваш ключ дешифрования будет удален, а цена вырастет до 2000 крон!
Через 24 часа ваши файлы стирутся, и вы никогда не увидите снова !!!
Как я должен поступить? Практически невозможно получить доступ к вашим файлам и вашу компьютеру без ключа шифрования. Вы также можете очень легко его получить. Просто внимательно прочитайте весь отчет.
Что будет после оплаты? После оплаты выкупа ваш компьютер вместе с файлами в течение 24 часов разблокируется. Это сообщение исчезнет и всё вернётся в исходное состояние.
Как обойти эту блокировку? Абсолютно никак. Однако, это зависит от вас, или вы идете к ИТ-специалисту и платите ему 500 крон (или больше) за "исправление", которое ваши данные и учетные записи не вернёт, или вы выполняете требования. Кроме того и сохраните! Если вы не платите в течение 12 часов, цена поднимается до 2000 крон !!! Для оплаты ТРЕБУЕТСЯ ИНТЕРНЕТ !!!
Email вымогателей: slothcbx@protonmail.com
Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.
Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .aaf, .accdb,
.aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .bak, .bay, .bmp,
.cache, .cad, .cdr, .cer, .cert, .class, .class, .config, .cpp, .cr2, .crt, .crw,
.cs, .cs, .csv, .db, .dbf, .dcr, .der, .dll, .dng, .doc, .doc, .docb, .docm, .docx,
.docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .ess, .fla, .html,
.ico, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .js,
.json, .kdc, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mp3, .mpa, .mpg,
.mpp, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b,
.p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd, .png, .pot, .potm, .potx,
.ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .ppt, .pptm, .pptx, .prel, .proj, .proj,
.prproj, .ps, .psd, .pst, .pst, .ptx, .pub, .r3d, .ra, .raf, .raw, .rb, .resources,
.resx, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sln, .sql, .sr2, .srf, .srw, .suo,
.svg, .swf, .tar, .tif, .torrent, .txt, .vb, .vbproj, .vcf, .veg, .vob, .wb2, .wma,
.wmv, .wpd, .wps, .x3f, .xaml, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xls, .xlsb,
.xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx (183
расширения).
Файлы, связанные с Kostya Ransomware:
Rainmeter.exe - исполняемый файл вымогателя;
[random_name].exe - вариант исполняемого файла вымогателя.
Записи реестра, связанные с Kostya Ransomware:
***
Сетевые подключения:
***
Степень распространённости: низкая.
Подробные сведения собираются.
Read to links: ID Ransomware Tweet on Twitter Video review
Thanks: Michael Gillespie (Demonslay335) Jack (malwareforme) CyberSecurity GrujaRS
© Amigo-A (Andrew Ivanov): All blog articles.
