Kanalia Ransomware
XJJ-shifrator Ransomware
(шифровальщик-не-вымогатель, деструктор) (первоисточник)
Translation into English
---
Обнаружения:
DrWeb -> Trojan.EncoderNET.39
BitDefender -> Trojan.GenericKD.50491630
ESET-NOD32 -> A Variant Of Generik.MRUPQSX
Kaspersky -> HEUR:Trojan-Ransom.MSIL.Encoder.gen
Malwarebytes -> Trojan.MalPack
Microsoft -> Ransom:Win32/Genasom
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Tencent -> Msil.Trojan.Encoder.Cqy
TrendMicro -> Ransom_Encoder.R002C0WFO22
---
© Генеалогия: родство выясняется.
Сайт "ID Ransomware" это пока не идентифицирует.
Информация для идентификации
Активность этого крипто-вымогателя была в середине июня 2022 г. Ориентирован на русскоязычных пользователей, может распространяться по всему миру.
К зашифрованным файлам добавляется расширение: XJJ
Пример зашифрованных файлов:
Пример зашифрованных файлов:
document.txtXJJ
new-archive.zipXJJ
photo001.pngXJJ
Записка с требованием выкупа не обнаружена. Вместо этого используется Word-документ "Уважаемые коллеги.docx", содержащий неточности в тексте и в самом названии.
Содержание документа:
Уважаемые коллеги, информируем Вас о наличии у задолженности за услуги связи в период с 01.02.2022 по 16.06.2022 в связи с изменениями в тарифном плане согласно акту №006352 от 14.02.2022. Отправляю Вам акт сверки по оплате выбранного тарифа. В случае не уплаты задолженности до конца месяца, доступ к услугам связи будет приостановлен.
Пароль к архиву с документами: 123
С уважением к Вам,
Старший менеджер отдела связи
Куликовский АФ
Как видите, цель этого документа вынудить читателя открыть второй "документ" Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe, который является вредоносным.
Он имеет иконку Word, но exe-расширение. Пользователи, в чьей системе отключено отображение расширений для зарегистрированных типов файлов, не увидят расширение и попытаются открыть файл.
✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта.
Технические детали + IOC
Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список типов файлов, подвергающихся шифрованию:
.doc, .docx, .xls, .xlsx, .dot, .ppt, .odt, .pdf, .MD, .DBF, .txt, .bmp, .jpg, .png, .tif, .rar, .zip
Это документы MS Office, OpenOffice, WordPad, PDF, текстовые файлы, фотографии, архивы и прочее.
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
Kanalia.pdb - оригинальное название файла проекта;
Kanalia.exe - случайное название вредоносного файла;
Kanalia.exe - случайное название вредоносного файла;
Акт сверки №0006851 от 10.06.2022 Номер контракта 6548213218 Основного договора .exe - распространяемый вредоносный файл.
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
C:\Users\Teacher\documents\visual studio 2010\Projects\Kanalia\Kanalia\obj\x86\Debug\Kanalia.pdb
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Мьютексы:
Global\CLR_CASOFF_MUTEX
См. ниже результаты анализов.
Сетевые подключения и связи:
Email: -
BTC: -
Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты.
Результаты анализов:
Результаты анализов:
MD5: 0700f3bffdbbf5ecc2a9c63f8b3742a8
SHA-1: 38344723d174f57f736cbc82accbfb632b778f8a
SHA-256: 87fbcaaa029236f3a6b7de6cd8dbbd811804e0b26142c1395b0e9e84f57aaaed
Vhash: 2640465d15651140721610050
Imphash: f34d5f2d4577ed6d9ceec516c1f5a744
Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: myMessage + Message + Message Write-up, Topic of Support, Topic of Support ***
Внимание! Файлы можно расшифровать! Обращайтесь на форум KasperskyClub к thyrex
Thanks: Sandor, thyrex Andrew Ivanov (article author) *** to the victims who sent the samples
© Amigo-A (Andrew Ivanov): All blog articles. Contact.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.