KCW Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует веб-файлы (html, php) на взломанных сайтах, которые команда хакеров предварительно взломала. Затем атакующие выдвигают свои требования, прописанные в php-файле. Оригинальное название: KCW RaNsOMWarE. Атакующие: Team Kerala Cyber Warriors.
Изображения, используемые хакерами
Для справки:
Team Kerala Cyber Warriors или команда Kerala Cyber Warriors — это группа из 15 белых (этических) хакеров из штате Керала (Индия). Они начали работу как группа с таким названием в декабре 2015 года. С тех пор группа стала больше и они атакуют сайты, тематикой которых являются онлайн-проституция, порнография, насилие, педофилия, кроме этого также сайты всяческих извращенцев, секс-чатов, страницы таких групп в Facebook. Они передают данные владельцев сайтов в полицию и Главной задачей, которую они поставили перед собой, это очистить Facebook в Индии от вышеперечисленного. На их счету уже более 1000 сайтов, относящихся к Индии, Пакистану и к другим ближайшим странам. По разным национальным причинам Kerala Cyber Warriors также атакуют официальные и персональные сайты Пакистана и Бангладеш. В ответ на вопросы они отвечают, что "они первые начали атаковать индийские сайты". Члены группы называют себя кодовыми именами и делают то, что мы ожидаем от киберполиции... Из описания и заявления этих хакеров.
К зашифрованным файлам добавляется расширение .kcwenc
Активность хакеров с использованием этого крипто-вымогателя пришлась на вторую половину апреля 2018 г. Ориентирован на сайты Пакистана.
Запиской с требованием выкупа выступает экран блокировки: kcwdecrypt.php
Содержание записки о выкупе:
✗KCW RaNsOMWarE✗
YOUR SITE IS INFECTED BY KCW RANSOMWARE
YOUR FILES HAVE BEEN ENCRYPTED
ENTER THE KEY TO DECRYPT FILES
[ ]
We are Legion... We do not Forgive... We do not Forget... Expect us
GREETZ TO:
GH057_R007 | 8L4CK_P3RL | F0R81DD3N_H4CX3R | RED LIZARD | S3CU617Y_R1PP36 | 4N0N_5P1D3R | RED_LIZARD
CH@CH_4-RC7 | M3GA_M1ND | D0PP3l_64N63R | K1LL3R_C0BR4{PP} | C0D3_PH03N1X | 5H4D0W_HUN73r
B4HZ1 | 4S7R4 | V33R4PP4N | C47_HUN73R | CJ_N4P573R | 5H1VJ1_M4H4R4J | PH4N70M
>>>CONTACT KERALA CYBER WARRIORS<<<
Перевод записки на русский язык:
✗KCW RaNsOMWarE✗
ВАШ САЙТ ЗАРАЖЁН KCW RANSOMWARE
ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ
ВВЕДИТЕ КЛЮЧ ДЛЯ ДЕШИФРОВКИ ФАЙЛОВ
[ ]
Мы Легион ... Мы не прощаем ... Мы не забудем ... Ждите нас
ПРИВЕТЫ:
GH057_R007 | 8L4CK_P3RL | F0R81DD3N_H4CX3R | RED LIZARD | S3CU617Y_R1PP36 | 4N0N_5P1D3R | RED_LIZARD
CH@CH_4-RC7 | M3GA_M1ND | D0PP3l_64N63R | K1LL3R_C0BR4{PP} | C0D3_PH03N1X | 5H4D0W_HUN73r
B4HZ1 | 4S7R4 | V33R4PP4N | C47_HUN73R | CJ_N4P573R | 5H1VJ1_M4H4R4J | PH4N70M
>>> КОНТАКТ KERALA CYBER WARRIORS <<<
Технические детали
Распространяется путём взлома сайтов через уязвимости веб-сайтов, через незащищенную конфигурацию RDP. Могут использоваться email-спам и вредоносные вложения, обманные загрузки, эксплойты, веб-инжекты и прочие методы. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Целями являются только веб-файлы на взломанных сайтах: .html, .php
Файлы, связанные с этим Ransomware:
<random>.exe - случайное название
kcwdecrypt.php
Расположения:
\Desktop\ ->
\User_folders\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
xxxx://www.arainwelfare.org - взломанный сайт
xxxxs://www.facebook.com/KeralaCyberWarriors - официальная страница
https://www.facebook.com/KeralaCyberWarriors/videos/509207089249328/ - страница с видео-демонстрацией
xxxxs://en.wikipedia.org/wiki/Kerala_Cyber_Warriors - вики о группе
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
ᕒ ANY.RUN анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Группа Kerala Cyber Warriors также известна своими протестами против произвола, разных общественных организаций, чья деятельность носит противоречивый или аморальный характер. Вот несколько таких примеров.
➤ Например, в августе 2016 года Kerala Cyber Warriors взломали сайт "People for Animals" (Люди для животных), принадлежащий организации под председательством министра юстиции Манеки Ганди, через два дня после того, как 65-летняя женщина была убита стаей из 50 бродячих собак в городе Тируванантапураме, столице штата Керала. Этот протест был ответной мерой против Манеки Ганди, убеждённого защитника запрета на убийство бездомных собак. Потом сайт был восстановлен.
➤ Например, в августе 2016 года Kerala Cyber Warriors взломали сайт "People for Animals" (Люди для животных), принадлежащий организации под председательством министра юстиции Манеки Ганди, через два дня после того, как 65-летняя женщина была убита стаей из 50 бродячих собак в городе Тируванантапураме, столице штата Керала. Этот протест был ответной мерой против Манеки Ганди, убеждённого защитника запрета на убийство бездомных собак. Потом сайт был восстановлен.
➤ В феврале 2017 года группа Kerala Cyber Warriors, состоящая уже из 28 членов, опубликовала подробную информацию о 35 страницах и 25 группах в Facebook, которые участвовали в распространении в Интернете аморальных и оскорбительных материалов порнографического содержания с участием женщин и несовершеннолетних и удалили весь их контент.
Kerala Cyber Warriors назвала эту кибер-атаку операциями #OP_INDIA_ONLINE_PROSTITUTION & #OP_INDIA_SEX_CHATTING. После этого KCW разместила записку о взломе на этих страницах и группах.
KCW сказали, что они будут продолжать проводить подобные операции в будущем, т.к. в Facebook ещё есть более 10000 страниц связанных с детским порно.
Хакеры после взлома размещают записи как от лица всей группы, так и персональные. Чаще я встречал следующий список группы.
На следующем скриншоте можно видеть взломанную страницу секс-чата в Facebook. Хакер под именем GHO57_R007 (TINTU) вставил на этой странице заранее заготовленный им текст.
Содержание этой записки:
HACKED BY GHO57_R007 (TINTU)
TEAM KERALA CYBER WARRIORS
#KERALACYBERWARRIORS
THIS PAGE HAS BEEN HACKED !! THIS IS OUR LAST WARNING.
WE WILL HUNT YOUR PROFILES, GROUPS AND SUCH PAGES RELATED TO SEX CHATTING AND ONLINE PROSTITUTION !!!!
BETTER STOP THIS BULLSHIT !!! WE WILL HACK YOU AND EXPOSE YOUR REAL FACE TO THE PUBLIC.
#OP_INDIAN_ONLINE_PROSTITUTION #OP_INDIAN_SEX_CHATTING
WE ARE: GH057_R007 | 8L4CX P3RL | MR.545 | F0R81DD3N H4CX3R | WHITE_DRAGON | RED LIZARD | C0D3_BR34K3R | S3CU617Y_R1PP36 | C0DE_ZER0 | AN0N R4NG3R | HACKER 13 | R007_SH3LL | 1R0N M4N | 4N0N 5P1D3R |AQU HAXOR
WE ARE LEGION
WE DO NOT FORGIVE
WE DO NOT FORGET
EXPECT US
Перевод на русский язык:
ВЗЛОМАНО GHO57_R007 (TINTU)
TEAM KERALA CYBER WARRIORS
#KERALACYBERWARRIORS
ЭТА СТРАНИЦА БЫЛА ВЗЛОМАНА! ЭТО НАШЕ ПОСЛЕДНЕЕ ПРЕДУПРЕЖДЕНИЕ.
МЫ БУДЕМ ОХОТИТЬСЯ НА ВАШИ ПРОФИЛИ, ГРУППЫ И ТАКИЕ СТРАНИЦЫ, СВЯЗАННЫЕ С СЕКСОМ И ОНЛАЙН-ПРОСТИТУЦИЕЙ !!!!
ЛУЧШЕ ПРЕКРАТИТЕ ЭТУ ДЕРЬМО !!! МЫ БУДЕМ ВЗЛОМАТЬ ВАС И РАЗОБЛАЧИМ ВАШЕ НАСТОЯЩЕЕ ЛИЦО.
#OP_INDIAN_ONLINE_PROSTITUTION #OP_INDIAN_SEX_CHATTING
МЫ: GH057_R007 | 8L4CX P3RL | MR.545 | F0R81DD3N H4CX3R | WHITE_DRAGON | КРАСНАЯ ЯЩЕРИЦА | C0D3_BR34K3R | S3CU617Y_R1PP36 | C0DE_ZER0 | AN0N R4NG3R | ХАКЕР 13 | R007_SH3LL | 1R0N M4N | 4N0N 5P1D3R | AQU HAXOR
МЫ ЛЕГИОН
МЫ НЕ ПРОЩАЕМ
МЫ НЕ ЗАБЫВАЕМ
ЖДИТЕ НАС
Хакеры после взлома размещают записи как от лица всей группы, так и персональные. Чаще я встречал следующий список группы.
На следующем скриншоте можно видеть взломанную страницу секс-чата в Facebook. Хакер под именем GHO57_R007 (TINTU) вставил на этой странице заранее заготовленный им текст.
Содержание этой записки:
HACKED BY GHO57_R007 (TINTU)
TEAM KERALA CYBER WARRIORS
#KERALACYBERWARRIORS
THIS PAGE HAS BEEN HACKED !! THIS IS OUR LAST WARNING.
WE WILL HUNT YOUR PROFILES, GROUPS AND SUCH PAGES RELATED TO SEX CHATTING AND ONLINE PROSTITUTION !!!!
BETTER STOP THIS BULLSHIT !!! WE WILL HACK YOU AND EXPOSE YOUR REAL FACE TO THE PUBLIC.
#OP_INDIAN_ONLINE_PROSTITUTION #OP_INDIAN_SEX_CHATTING
WE ARE: GH057_R007 | 8L4CX P3RL | MR.545 | F0R81DD3N H4CX3R | WHITE_DRAGON | RED LIZARD | C0D3_BR34K3R | S3CU617Y_R1PP36 | C0DE_ZER0 | AN0N R4NG3R | HACKER 13 | R007_SH3LL | 1R0N M4N | 4N0N 5P1D3R |AQU HAXOR
WE ARE LEGION
WE DO NOT FORGIVE
WE DO NOT FORGET
EXPECT US
Перевод на русский язык:
ВЗЛОМАНО GHO57_R007 (TINTU)
TEAM KERALA CYBER WARRIORS
#KERALACYBERWARRIORS
ЭТА СТРАНИЦА БЫЛА ВЗЛОМАНА! ЭТО НАШЕ ПОСЛЕДНЕЕ ПРЕДУПРЕЖДЕНИЕ.
МЫ БУДЕМ ОХОТИТЬСЯ НА ВАШИ ПРОФИЛИ, ГРУППЫ И ТАКИЕ СТРАНИЦЫ, СВЯЗАННЫЕ С СЕКСОМ И ОНЛАЙН-ПРОСТИТУЦИЕЙ !!!!
ЛУЧШЕ ПРЕКРАТИТЕ ЭТУ ДЕРЬМО !!! МЫ БУДЕМ ВЗЛОМАТЬ ВАС И РАЗОБЛАЧИМ ВАШЕ НАСТОЯЩЕЕ ЛИЦО.
#OP_INDIAN_ONLINE_PROSTITUTION #OP_INDIAN_SEX_CHATTING
МЫ: GH057_R007 | 8L4CX P3RL | MR.545 | F0R81DD3N H4CX3R | WHITE_DRAGON | КРАСНАЯ ЯЩЕРИЦА | C0D3_BR34K3R | S3CU617Y_R1PP36 | C0DE_ZER0 | AN0N R4NG3R | ХАКЕР 13 | R007_SH3LL | 1R0N M4N | 4N0N 5P1D3R | AQU HAXOR
МЫ ЛЕГИОН
МЫ НЕ ПРОЩАЕМ
МЫ НЕ ЗАБЫВАЕМ
ЖДИТЕ НАС
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as KCW) Write-up, Topic of Support 🎥 Video review by BleepingComputer >>
- видеодемонстрация от Kerala Cyber Warriors
Thanks: Lawrence Abrams Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.