Если вы не видите здесь изображений, то используйте VPN.

суббота, 19 сентября 2020 г.

Kelly

Kelly Ransomware

Kelly ChineseLocker Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES+RSA, а затем требует выкуп в 0.05 BTC, чтобы вернуть файлы. Оригинальное название: Kelly, указано выше китайского текста. На файле написано: Leen.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.32286
Avira (no cloud) -> TR/Redcap.uwubk
BitDefender -> Gen:Variant.MSILPerseus.234458
ESET-NOD32 -> ***
Kaspersky -> HEUR:Trojan.MSIL.Dnoper.gen
Malwarebytes -> ***
Microsoft -> Trojan:Win32/Wacatac.B!ml
Rising -> Trojan.Dnoper!8.10CB3 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Msil.Trojan.Dnoper.Pfsw
TrendMicro -> ***
---

© Генеалогия: предыдущие варианты >> Kelly

Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .locky


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя была в середине сентября 2020 г. Ориентирован на китайских пользователей, может распространяться по всему миру.

Записка с требованием выкупа написана на экран блокировки: 


Содержание записки о выкупе:
FILE ENCRYPTED BY KELLY
我的电脑出了什么问题
您电脑内的重要文件被加密保存了,无法正常打开访问
除了我们以外,没有任何方式您可以恢复这些档案
如何恢賈这呰文件
咅案是肯定的,只能透过我们的解密服夯对能恢复
这个服夯雷要收费,且有时效性
费用与时效
我们仅接受比特币(Bitcoin)做为付款方式,比特币付款地址和教重将显示于下方栏位中,
同时提醒您若在期效内没有收到付款,费用将会豳倍,时间过久您的档案将会被全数删除。
強烈逮设,在档案恢葚之前,谪不要关闭或是刪除此钦件,并且关闭您所有的防毐软件,否则您的档案有可能永远无法复原。
---
比特帀付款地址 [1L9REpvzBkWUhVKzsoLJEVLBh19Ng5jiqb] [**]
解锁费用 0,05 BTC  47:59:14 [ 查询当前忖歃状况及解密 ]


Перевод записки на русский язык:
Что не так с моим компьютером
Важные файлы на вашем компьютере зашифрованы и не могут быть открыты и доступны в обычном режиме.
Вы не сможете восстановить эти файлы, кроме нас.
Как восстановить этот файл
Зашифрвоанный файл может быть восстановлен только через наш сервер дешифрования.
Эта услуга требует оплаты и зависит от времени.
Стоимость и срок
Мы принимаем только биткойны в качестве оплаты, адрес для оплаты биткойнами и статус будут отображаться в столбце ниже.
Кроме того, напоминаем вам, что если вы не сделаете платеж в течение срока действия, сумма будет удвоена, а ваши файлы будут удалены, если время будет превышено.
Очень рекомендуется перед восстановлением файла не закрывать и не удалять этот файл, а также закрыть все защитные программы, иначе ваши файлы могут никогда не быть восстановлены.
---
Адрес Биткоин-кошелька [1L9REpvzBkWUhVKzsoLJEVLBh19Ng5jiqb] [**]
Плата за разблокировку 0,05 BTC 47:59:14 [
Запрос статуса и расшифровки]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Leen.exe (executable.exe) - название вредоносного файла;
K.log - специальный файл. 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\ax020\source\repos\WindowsFormsApp1\WindowsFormsApp1\obj\Debug\Leen.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Ошибки в работе:

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: - 
BTC: 1L9REpvzBkWUhVKzsoLJEVLBh19Ng5jiqb
URL: lihi1.cc -> lihi.io
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Используются следующие ссылки:
xxxxs://lihi1.cc/4kdW2
xxxxs://lihi1.cc/7FWHR
xxxxs://live.blockcypher.com/btc/address/

Результаты анализов:
🔻 Triage analysis >>
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
⟲ JOE Sandbox analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + myMessage
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 S!Ri
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *