Kanalia

Kanalia Ransomware

XJJ-shifrator Ransomware

(шифровальщик-не-вымогатель, деструктор) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей, но не требует выкуп, чтобы вернуть файлы. Используется примитивное шифрование, при котором к каждым пяти байтам прибавляются значения 49, 50, 51, 52, 53, и так до конца файла. Оригинальное название: в записке не указано. На файле написано: Kanalia.exe и shifrator.
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.39
BitDefender -> Trojan.GenericKD.50491630
ESET-NOD32 -> A Variant Of Generik.MRUPQSX
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.MalPack
Microsoft -> Ransom:Win32/Genasom
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Tencent -> Msil.Trojan.Encoder.Cqy
TrendMicro -> Ransom_Encoder.R002C0WFO22
---

© Генеалогия: родство выясняется.

Сайт "ID Ransomware" это пока не идентифицирует. 

Информация для идентификации

Активность этого крипто-вымогателя была в середине июня 2022 г. Ориентирован на русскоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: XJJ

Пример зашифрованных файлов:

document.txtXJJ

new-archive.zipXJJ

photo001.pngXJJ

Записка с требованием выкупа не обнаружена. Вместо этого используется Word-документ "Уважаемые коллеги.docx", содержащий неточности в тексте и в самом названии. 

Содержание документа:

Уважаемые коллеги, информируем Вас о наличии у задолженности за услуги связи в период с 01.02.2022 по 16.06.2022 в связи с изменениями в тарифном плане согласно акту №006352 от 14.02.2022. Отправляю Вам акт сверки по оплате выбранного тарифа. В случае не уплаты задолженности до конца месяца, доступ к услугам связи будет приостановлен.

Пароль к архиву с документами: 123

С уважением к Вам,

Старший менеджер отдела связи

Куликовский АФ

Как видите, цель этого документа вынудить читателя открыть второй "документ" Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe, который является вредоносным. 

Он имеет иконку Word, но exe-расширение. Пользователи, в чьей системе отключено отображение расширений для зарегистрированных типов файлов, не увидят расширение и попытаются открыть файл. 

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

Список типов файлов, подвергающихся шифрованию:
.doc, .docx, .xls, .xlsx, .dot, .ppt, .odt, .pdf, .MD, .DBF, .txt, .bmp, .jpg, .png, .tif, .rar, .zip 

Это документы MS Office, OpenOffice, WordPad, PDF, текстовые файлы, фотографии, архивы и прочее.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;

Kanalia.pdb - оригинальное название файла проекта; 
Kanalia.exe - случайное название вредоносного файла;

Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe - распространяемый вредоносный файл. 

 

 

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

C:\Users\Teacher\documents\visual studio 2010\Projects\Kanalia\Kanalia\obj\x86\Debug\Kanalia.pdb

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
Global\CLR_CASOFF_MUTEX

См. ниже результаты анализов.

Сетевые подключения и связи:
Email: -
BTC: -

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR, VMR, JSB

MD5: 0700f3bffdbbf5ecc2a9c63f8b3742a8

SHA-1: 38344723d174f57f736cbc82accbfb632b778f8a

SHA-256: 87fbcaaa029236f3a6b7de6cd8dbbd811804e0b26142c1395b0e9e84f57aaaed

Vhash: 2640465d15651140721610050

Imphash: f34d5f2d4577ed6d9ceec516c1f5a744

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 myMessage + Message + Message
 Write-up, Topic of Support, Topic of Support
 ***

Внимание! 
Файлы можно расшифровать! 
Обращайтесь на форум KasperskyClub к thyrex

 Thanks: 
 Sandor, thyrex
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.