Kali Ransomware
(шифровальщик-вымогатель)
Translation into English
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.
© Генеалогия: выясняется, явное родство с кем-то не доказано.
К зашифрованным файлам добавляется расширение: .kali
Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. Активность этого крипто-вымогателя пришлась на первую половину декабря 2018 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записка с требованием выкупа называется: HOW TO DECRYPT FILES.txt
Содержание записки о выкупе:
ATTENTION ! ! !
The important files on your computer have been encrypted with military grade AES-256 bit encryption.
The only way to get access to your files - enter the decryption key.
We garantee that you can recover all your files safely and easily.
All you need to do is submit the payment and purchase the private key.
1. Send $500 worth of Bitcoin to following adress:
3Ge8TedVhoYum3q1DAN42wVftkhH9MRVm2
If you don't know about Bitcoin you can buy it from here:
www.coinbase.com or www.localbitcoins.com or try google.com
2. After payment send your ID and contact email to:
pouranesd@cliptik.net
YOUR ID: JBIGF-DZWWJ-CZTFL
and we will send INSTRUCTIONS and KEY for recovery.
IMPORTANT: YOU HAVE ONLY 48 HOURS FOR PAYMENT
PLEASE DON'T EVEN TRY TO RECOVER FILES BY YOURSELF
IN CASE IF YOU WILL TRY TO DO SOMETHING WITHOUT KEY
ACCESS TO YOUR FILES WILL BE PERMANENTLY LOST!
DON'T EVEN TOUCH ANYTHING! OR
ACCESS TO YOUR FILES WILL BE PERMANENTLY LOST!
Перевод записки на русский язык:
ВНИМАНИЕ! ! !
Важные файлы на вашем компьютере зашифрованы военным классом AES-256 бит шифрованием.
Единственный способ получить доступ к вашим файлам - ввести ключ дешифрования.
Мы гарантируем, что вы можете безопасно и легко восстановить все ваши файлы.
Все, что вам нужно сделать, это заплатить и купить закрытый ключ.
1. Отправьте биткоины на $500 на следующий адрес:
3Ge8TedVhoYum3q1DAN42wVftkhH9MRVm2
Если вы не знаете о Биткоине, вы можете купить его здесь:
www.coinbase.com или www.localbitcoins.com или попробуйте google.com
2. После оплаты отправьте ваш ID и контакт на email:
pouranesd@cliptik.net
ВАШ ID: JBIGF-DZWWJ-CZTFL
и мы вышлем ИНСТРУКЦИИ и КЛЮЧ для восстановления.
ВАЖНО: У ВАС ЕСТЬ ТОЛЬКО 48 ЧАСОВ ДЛЯ ОПЛАТЫ
ДАЖЕ НЕ ПЫТАЙТЕСЬ ВОССТАНОВИТЬ ФАЙЛЫ
В СЛУЧАЕ, ЕСЛИ ВЫ ПОПРОБУЕТЕ СДЕЛАТЬ ЧТО-ТО БЕЗ КЛЮЧА
ДОСТУП К ВАШИМ ФАЙЛАМ БУДЕТ НАВСЕГДА ПОТЕРЯН!
НЕ ДОТРАГИВАЙСЯ НИ ДО ЧЕГО! ИЛИ ЖЕ
ДОСТУП К ВАШИМ ФАЙЛАМ БУДЕТ НАВСЕГДА ПОТЕРЯН!
Технические детали
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Файлы, связанные с этим Ransomware:
HOW TO DECRYPT FILES.txt
<random>.exe - случайное название
Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: pouranesd@cliptik.net
BTC: 3Ge8TedVhoYum3q1DAN42wVftkhH9MRVm2
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.
Результаты анализов:
Ⓗ Hybrid анализ >>
𝚺 VirusTotal анализ >>
🐞 Intezer анализ >>
Ⓥ VirusBay образец >>
ⴵ VMRay анализ >>
ᕒ ANY.RUN анализ >>
👽 AlienVault анализ >>
🔃 CAPE Sandbox анализ >>
⨇ MalShare анализ >>
⟲ JOE Sandbox анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter + Tweet ID Ransomware (ID as Kali) Write-up, Topic of Support *
Thanks: BleepingComputer, Michael Gillespie Andrew Ivanov, Emmanuel_ADC-Soft * *
© Amigo-A (Andrew Ivanov): All blog articles.
