Kolobo

Kolobo Ransomware

Kolobocheg Ransomware 

(шифровальщик-вымогатель)

Translation into English

Как удалить? Как расшифровать? Как вернуть данные? 

По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 

См. также статьи УК РФ: 

ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)

ст. 272 "Неправомерный доступ к компьютерной информации" 

ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот крипто-вымогатель шифрует данные пользователей с помощью RSA и XOR, а затем написать на email вымогателей, чтобы вернуть файлы. 

Название Kolobo условное, дано Майклом Джиллеспи для идентификации в ID Ransomware. Название "Gingerbread", упомянутое в статье Лоуренса Абрамса (2016 г.), не имеет никакого отношения к этому шифровальщику. 

По классификации Dr.Web это Trojan.Encoder.293. Написан на языке Delphi. Является более поздней модификацией Trojan.Encoder.102 и имеет с ним много общего. Выполняет шифрование файлов в два приема: с алгоритмом XOR блоками примерно по 0x200 байт (длина блока и гамма могут отличаться в разных вариантах). После этого файл шифруется с использованием алгоритма RSA. 

© Генеалогия: HELP@AUSI > Kolobo 

К зашифрованным файлам добавляется расширение .kolobocheg@aol.com_

Появился во второй половине марта 2014 года. Но образец этого криптовымогателя был найден даже в ноябре 2016 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки. 

Содержание текста о выкупе:
Файлы зашифрованы! 
Колобок ушел от бабушки и от дедушки, и обнаружил, что у него нет денег, даже квартиру не снять! 
Долго думал колобок, захотел повеситься - но не смог. И всё, на что он может рассчитывать - на Вашу помощь!
Помоги колобку, а он вернет тебе файлы! 
Отпиши на эти данные, указав идентификатор: 
Почта - kolobocheg@аоl.com
Идентификатор - k1
за дополнительной информацией – filesencoded.com

Технические детали

Распространялся с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. Может распространяться путём взлома через незащищенную конфигурацию RDP. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ По данным Dr.Web шифровальщик Trojan.Encoder.293 распространялся в комплекте с программой для кражи паролей "UFR stealer". После очистки ПК или переустановки системы нужно сменить все пароли, которыми ранее пользовались. 

➤ Для версий, которые были до лета 2014 года, есть шанс на дешифрование файлов, если найден exe-файл.

Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.

Файлы, связанные с этим Ransomware:
***
Записи реестра, связанные с этим Ransomware:
***

Сетевые подключения и связи:
kolobocheg@aol.com
filesencoded.com - сайт вымогателей

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: средняя.
Подробные сведения собираются регулярно.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

Так как во время активности шифровальщиков этого типа я не суммировал по ним информацию и не вёл этот блог, то лучше изучить информацию на сайте и форуме Dr.Web. Ссылки прилагаются. 

Описание семейства Trojan.Encoder.293 >>
Информация по дешифрованию >>

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

См. Историю семейства выше. 

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для kolobocheg@aol.com_ вариантов k1, k3 есть дешифровщик
Обращайтесь на форум Dr.Web по ссылке >> 
Или создайте индивидуальный запрос на расшифровку >>

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as Kolobo)
 Write-up (2016), Write-up (2013), Write-up (2014)
 *

 Thanks: 
 JAMESWT
 Michael Gillespie
 Lawrence Abrams
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.