Koolova Ransomware
Koolova HT Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем отображает экран блокировки, в котором текст медленно двигается. Этот текст гласит, что жертва должна прочитать две статьи BleepinComputer статью по Jigsaw и Google статью по онлайн-безопасности, прежде чем получит ключ дешифрования.
Затем пострадавшему сообщается, что если он так ленив, чтобы не может прочитать две статьи пока таймер не досчитал до нуля, то как в случаем Jigsaw, он будет удалять зашифрованные файлы. Название оригинальное, другие названы в тексте требований: Nice Jigsaw и Jigsaws twin. Разработчик: Koolova Paul. Судя по образцам (см. в конце статьи), есть несколько разных вариантов.
© Генеалогия: Jigsaw + HiddenTear >> Koolova > DUMB
К зашифрованным файлам добавляется расширение .encrypted
Активность этого криптовымогателя была в ноябре-декабре 2016 г., но судя по одному из ранних образцов, создан он был в июне этого же года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Предыдущая версия была недоработанной и называлась Runsome (Ransomeware).
👮 Заметили ошибки?
Да, именно так: одна ошибка на файле, другая в тексте требований. В словарь вымогателю заглянуть невдомёк.
Запиской с требованием выкупа выступает экран блокировки
Содержание текста требований на экране:
Hello, I’m nice Jigsaw or more commonly known as Jigsaws twin.
Unfortunately all of your personal files (pictures, documents, etc...) have been encrypted by me, an evil computer virus know as 'Ransomeware'.
Now now, not to worry I'm going to let you restore them but only if you agree to stop downloading unsafe applications off the internet.
lf you continue to do so may end up with a virus way worse than me! You might even end up meeting my infamous brother Jigsaw :(
While you're at it, you can also read the small article below by Google’s security team on how to stay safe online.
Oh yeah I almost forgot! In order for me to decrypt your files you must read the two articles below, nonce you have click the "Get My Decryption Key" button.
Then enter in your decryption key and click the "Decrypt My Files" button.
Eventually all of your files will be decrypted :)
If the timer reaches zero then all of your personal files will be deleted because you were too lazy to read two articles.
So User do you want to play a game?
Перевод текста на русский язык:
Привет, я хороший Jigsaw или более известный как двойник Jigsaw.
К сожалению, все твои личные файлы (фото, документs и т.д...) были зашифрованы мною, злым компьютерным вирусом известным как 'Ransomeware'.
Но не беспокойся, я собираюсь позволить тебе восстановить их, но только если ты согласишься остановить загрузку небезопасных приложений из Интернета.
Если ты по-прежнему это делаешь, то можешь столкнуться с вирусом гораздо худшим, чем у меня! Ты мог бы даже в конечном итоге встретить моего брата - печально известного Jigsaw :(
Пока это не произошло, ты можешь прочитать небольшую статью ниже по безопасности от компании Google о том, как оставаться в безопасности в Интернете.
Ах да, чуть не забыл! Для того, чтобы я расшифровал твои файлы, ты должен прочитать две статьи ниже, а потом нажать кнопку "Get My Decryption Key".
Затем ввести ключ дешифрования и нажать кнопку "Decrypt My Files".
В конце концов, все твои файлы будут расшифрованы :)
Если таймер дойдёт до нуля, то все твои личные файлы будут удалены, потому что ты был слишком ленив, чтобы прочитать две статьи.
Так что, пользователь, хочешь сыграть?
Это не пустая угроза, файлы на самом деле удаляются. После того, как пользователь прочитает эти статьи, кнопки в блоке "Decriptazione" становятся активными и пользователь, нажав на них, может запустить процесс получения ключа и дешифровки файлов.
После нажатия на кнопку "Decrypt My Files" Koolova подключится к C&C-серверу и получит ключ дешифрования. Потом отобразит его в диалоговом окне с заголовком "Nice Jigsaw": Sorry for the inconvenice. :)
После чего пользователь сможет использовать полученный ключ, чтобы ввести его в поле для расшифровки файлов.
Технические детали
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Шифруются почти все файлы, остаются нетронутыми только важные системные файлы и файл вымогателя с требованиями о выкупе.
Файлы, связанные с этим Ransomware:
Koolova_Ransomware.exe
Runsome.exe
<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
***
Результаты анализов:
VirusTotal анализ >>
VirusTotal анализ v.2 >>
VirusTotal анализ v.1 >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter + Tweet ID Ransomware (n/a) Write-up
Thanks: Michael Gillespie, Lawrence Abrams Andrew Ivanov (author) *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.