Kaandsona Ransomware
RansomTroll Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Название оригинальное, другие: Käändsõna и RansomTroll. Слово "Käändsõna" эстонского происхождения, потому, скорее всего, разработчик тоже из Эстонии.
Обнаружения:
DrWeb -> Trojan.Encoder.10125
BitDefender -> Trojan.Ransom.BIC
ALYac -> Trojan.Ransom.Kaandsona
Symantec -> Trojan.FakeAV
ESET-NOD32 -> MSIL/Filecoder.Kaandsona.A
К зашифрованным файлам добавляется расширение .kencf
Образец этого крипто-вымогателя был найден в январе 2017 г., но по всей видимости разработка началась еще в 2016 году. Шифрование сопровождается сбоями в работе, работа ещё не отлажена. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются: нет данных.
Содержание записки о выкупе:
You have been struck by the holy Kaandsona ransomware
Either you pay 1 BTC in 24 hours or you lose ALL FILES
button 'Show all encrypted files'
button 'PAY'
Перевод записки на русский язык:
Вы были поражены святым Kaandsona вымогателем
Или вы платите 1 BTC за 24 часа или вы потеряете ВСЕ ФАЙЛЫ
кнопка 'Show all encrypted files'
кнопка 'PAY'
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.
Файлы, связанные с этим Ransomware:
Kaandsona.exe
<random>.exe
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
***143.22.211.245/victim.php?ts= (143.22.211.245:80 - США)
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter ID Ransomware Write-up
Thanks: Lawrence Abrams, Michael Gillespie Andrew Ivanov (author) * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.