понедельник, 3 апреля 2017 г.

AngryKite

AngryKite Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует позвонить по телефону 1-855-455-6800 (в США), чтобы вернуть файлы. Оригинальное название: angryKite_v3. Фальш-копирайт: Microsoft 2016. 
шифровальщик вирус-шифровальщик троян-шифровальщик крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder key ransom decrypt decryption recovery remove restore decode files data public private

© Генеалогия: KRider > AngryKite 


К зашифрованным файлам добавляется расширение .NumberDot
Зашифрованные файлы переименовываются случайными именами. Файлы могут быть дешифрованы. 
Активность этого крипто-вымогателя пришлась на начало апреля 2017 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Запиской с требованием выкупа выступает экран блокировки "Warning":

Содержание текста о выкупе:
WARNING: SYSTEM MAY HAVE FOUND
anonymous encryption on your computer. You would not be able to access the files on your computer
Your System May have Found (2) Malicious Viruses Rootkit.Encypt & Trojan.Spyware
Your Personal & Fincancial information MAY NOT BE SAFE
Your system has encryption ransomware
which may permanently encrypt your data
Please call immediately to avoid further damage
Toll free 1-855-545-6800
Your UID
17347841

Перевод текста на русский язык:
ПРЕДУПРЕЖДЕНИЕ: СИСТЕМА ОБНАРУЖИЛА
анонимное шифрование на вашем компьютере. Вы не сможете открывать файлы на своем компьютере
Ваша система обнаружила (2) вредоносных вируса Rootkit.Encypt & Trojan.Spyware
Ваша личная и финансовая информация В ОПАСНОСТИ
Ваша система зашифрована ransomware
способный навсегда зашифровать ваши данные
Позвоните срочно, во избежание дальнейшего ущерба
Бесплатный звонок 1-855-545-6800
Your UID
17347841

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
.3dm, .3g2, .3gp, .7zip, .aaf, .accdb, .aep, .aepx, .aet, .ai, .aif, .arw, .as, .as3, .asf, .asp, .asx, .avi, .bay, .bmp, .c, .cdr, .cer, .class, .cpp, .cr2, .crt, .crw, .cs, .csv, .db, .dbf, .dcr, .der, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .dwg, .dxf, .dxg, .efx, .eps, .erf, .fla, .flv, .html, .idml, .iff, .indb, .indd, .indl, .indt, .inx, .jar, .java, .jpeg, .jpg, .kdc, .log, .m3u, .m3u8, .m4u, .max, .mdb, .mdf, .mef, .mid, .mov, .mp3, .mp4, .mpa, .mpeg, .mpg, .mrw, .msg, .nef, .nrw, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdb, .pdf, .pef, .pem, .pfx, .php, .plb, .pmd,.png, .pot, .potm, .potx, .ppam, .ppj, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prel, .prproj, .ps, .psd, .pst, .ptx, .r3d, .ra, .raf, .rar, .rar, .raw, .rb, .rtf, .rw2, .rwl, .sdf, .sldm, .sldx, .sln, .sql, .sr2, .srf, .srw, .svg, .swf, .tif, .txt, .vcf, .vob, .vob, .wav, .wb2, .wma, .wmv, .wpd, .wps, .x3f, .xla, .xlam, .xlk, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .xqx, .zip (166 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
angryKite_v3.exe
KRider.exe
StatLevel.exe

Расположения: 
AppData\Roaming\QKYS\angryKite_v3.exe
AppData\Roaming\QKYS\KRider.exe

Записи реестра, связанные с этим Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\adr
См. ниже результаты анализов.

Сетевые подключения и связи:
***xxxx://ourdareshare.club/***
***xxxx://databaseosfixissue7823.online/***
***xxxx://www.top5z.com/***
***xxxx://technobend.com/***
***xxxx://www.coastalenvironment.org/***
166.62.10.143:80 (США)
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.


 Read to links: 
 Tweet on Twitter
 ID Ransomware
 Write-up, Topic
 * 
 Thanks: 
 BleepingComputer
 Thyrex
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

2 комментария:

  1. Отчет malwr.com https://malwr.com/analysis/M2MyODE0Y2I3YTE5NDExYjg0Zjg3NDYxZTgzM2Q5MDU/ (однако, неинформативный ввиду отсутствия .NET). Кроме того, на приведенной странице анализа HT указано, что осуществляется DNS-разрешение имени foreversoluzion.com.

    ОтветитьУдалить
  2. Спасибо. Добавил отчет. Но malwr вообще стал неинформативным, потому я его больше не добавляю.

    ОтветитьУдалить

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *