воскресенье, 18 декабря 2016 г.

Koolova

Koolova Ransomware

(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует файлы с помощью AES-256, а затем отображает экран блокировки, в котором текст медленно двигается. Этот текст гласит, что жертва должна прочитать две статьи BleepinComputer статью по Jigsaw и Google статью по онлайн-безопасности, прежде чем получит ключ дешифрования. 

Затем пострадавшему сообщается, что если он так ленив, чтобы не может прочитать две статьи пока таймер не досчитал до нуля, то как в случаем Jigsaw, он будет удалять зашифрованные файлы. Название оригинальное, другие названы в тексте требований: Nice Jigsaw и Jigsaws twin. Разработчик: Koolova Paul

© Генеалогия: Jigsaw + HiddenTear >> Koolova

К зашифрованным файлам добавляется расширение .encrypted

Активность этого криптовымогателя пришлась на декабрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Предыдущая версия была недоработанной и называлась Runsome (Ransomeware). 
👮 Заметили ошибки? 
Да, именно так: одна ошибка на файле, другая в тексте требований. В словарь вымогателю заглянуть невдомёк. 

Запиской с требованием выкупа выступает экран блокировки

Содержание текста требований на экране:
Hello, I’m nice Jigsaw or more commonly known as Jigsaws twin.
Unfortunately all of your personal files (pictures, documents, etc...) have been encrypted by me, an evil computer virus know as 'Ransomeware'.
Now now, not to worry I'm going to let you restore them but only if you agree to stop downloading unsafe applications off the internet.
lf you continue to do so may end up with a virus way worse than me! You might even end up meeting my infamous brother Jigsaw :(
While you're at it, you can also read the small article below by Google’s security team on how to stay safe online.
Oh yeah I almost forgot! In order for me to decrypt your files you must read the two articles below, nonce you have click the "Get My Decryption Key" button.
Then enter in your decryption key and click the "Decrypt My Files" button.
Eventually all of your files will be decrypted :)
If the timer reaches zero then all of your personal files will be deleted because you were too lazy to read two articles.
So User do you want to play a game?

Перевод текста на русский язык:
Привет, я хороший Jigsaw или более известный как двойник Jigsaw.
К сожалению, все твои личные файлы (фото, документs и т.д...) были зашифрованы мною, злым компьютерным вирусом известным как 'Ransomeware'.
Но не беспокойся, я собираюсь позволить тебе восстановить их, но только если ты согласишься остановить загрузку небезопасных приложений из Интернета.
Если ты по-прежнему это делаешь, то можешь столкнуться с вирусом гораздо худшим, чем у меня! Ты мог бы даже в конечном итоге встретить моего брата - печально известного Jigsaw :(
Пока это не произошло, ты можешь прочитать небольшую статью ниже по безопасности от компании Google о том, как оставаться в безопасности в Интернете.
Ах да, чуть не забыл! Для того, чтобы я расшифровал твои файлы, ты должен прочитать две статьи ниже, а потом нажать кнопку "Get My Decryption Key".
Затем ввести ключ дешифрования и нажать кнопку "Decrypt My Files".
В конце концов, все твои файлы будут расшифрованы :)
Если таймер дойдёт до нуля, то все твои личные файлы будут удалены, потому что ты был слишком ленив, чтобы прочитать две статьи.
Так что, пользователь, хочешь сыграть?

Это не пустая угроза, файлы на самом деле удаляются. После того, как пользователь прочитает эти статьи, кнопки в блоке "Decriptazione" становятся активными и пользователь, нажав на них, может запустить процесс получения ключа и дешифровки файлов. 

После нажатия на кнопку "Decrypt My Files" Koolova подключится к C&C-серверу и получит ключ дешифрования. Потом отобразит его в диалоговом окне с заголовком "Nice Jigsaw": Sorry for the inconvenice. :)

После чего пользователь сможет использовать полученный ключ, чтобы ввести его в поле для расшифровки файлов.

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Шифруются почти все файлы, остаются нетронутыми только важные системные файлы и файл вымогателя с требованиями о выкупе. 

Файлы, связанные с этим Ransomware:
Koolova_Ransomware.exe
Runsome.exe
<random>.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
***

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
VirusTotal анализ v.2 >>
VirusTotal анализ v.1 >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter + Tweet
 ID Ransomware (n/a)
 Write-up
 *
 *
 Thanks: 
 Michael Gillespie
 Lawrence Abrams
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton