Kaenlupuf Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы. Оригинальное название получено путём сложения: Kaenlupuf = KAsi ENkrip LU PUnya File. В записке: K.A.E.N.L.U.P.U.F M.E.M.P.E.R.S.E.M.B.A.H.K.A.N и Kaenlupuf Ransomware v1.0b.
Фальш-имя: Microsoft Network Realtime Inspection Service. Фальш-копирайт: Microsoft Windows Operating System. Разработан в Малайзии.
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private
© Генеалогия: выясняется.
К зашифрованным файлам добавляется расширение *нет данных*.
Изображение дракона в ресурсе вымогателя
Этот образец крипто-вымогателя обнаружен в марте 2017 г. Известен с января 2017. Ориентирован на малайских пользователей, что не мешает распространять его по всему миру. Пока в разработке.
Записки с требованием выкупа называются: kaenlupuf-note.
Содержание записки о выкупе:
NOTE UNTUK ANDA - WAJIB BACA
Pertama sekali kami mengucapkan tahniah kepada anda kerana terpilih menjadi antara sebahagian yang berjaya melindungi fail-fail daripada ancaman luaran.
Kami amat mamahami anda memerlukan fail fail tersebut dengan segera. Dengan itu kami memperkenalkan pakej istimewa dengan harga mampu milik iaitu serendah 1 Bitcoin sahaja.
Terkejut dengan tawaran kami? Jadi apa tunggu lagi, daftar bitcoin anda sekarang untuk mendapat lebih nilai disamping fail-fail penting anda.
Lebih lama anda tunggu nilai akan semakin meningkat. Fail-fail anda telah dilindungi dengan algoritma RSA-2048 bit. Sangat selamat dan menarik bukan?
DAPATKAN SEMULA FAIL SAYA!
Untuk mendapatkan semula fail-fail anda, ikuti langkah berikut dengan cermat:
1. Daftar akaun Bitcoin wallet anda di URL berikut:
https://blockchain.info/wallet/
2. Guna alamat bitcoin kami untuk memindahkan kredit anda:
173MLPGRWdc6z91gQXBCHYVTkqTR9tMABb
3. Jumlah bayaran ialah seperti berikut:
1 BTC
4. Pastikan anda memaklumkan ID anda ketika membuat transaksi.
TOKEN ID ANDA
Перевод записки на русский язык (перевод автора блога):
ВАЖНО ДЛЯ ВАС - ПРОЧТИТЕ
Прежде всего, мы поздравляем вас с тем, что вы выбрали одну из наилучших защит файлов от внешних угроз.
Мы понимаем, что вам файлы нужны немедленно. Мы предоставим специальный пакет по доступной цене всего лишь за 1 биткойн.
Удивлены нашим предложением? Так чего же вы ждете, регистрируйте свой биткойн сейчас, чтобы получить ценное дополнение к вашим важным файлам.
Чем дольше вы будете ждать, тем больше будет сумма. Ваши файлы защищены алгоритмом RSA-2048. Очень хорошо и интересно, не правда ли?
ВЕРНУТЬ МОИ ФАЙЛЫ!
Чтобы вернуть ваши файлы, выполните следующие действия:
1. Зарегистрируйте свою учетную запись в биткойн-кошельке по следующему URL-адресу:
Https://blockchain.info/wallet/
2. Используйте наш биткойн-адрес для перевода оплаты:
173MLPGRWdc6z91gQXBCHYVTkqTR9tMABb
3. Сумма платежа следующая:
1 BTC
4. Обязательно сообщите свой ID при совершении транзакции.
ВАШ ТОКЕН ID
Также имеется другой текст, где приглашаются новые участники вступить в закрытую группу KAENLUPUF.
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
netsvc.exe
ajaw-rsa.exe
kaenlupuf-note
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxx://asuk.xmaya.my/
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as Kaenlupuf) Write-up, Topic *
Thanks: Jiri Kropac Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.