Если вы не видите здесь изображений, то используйте VPN.

среда, 13 ноября 2024 г.

Killnet

Killnet Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Killnet Ransomware

Этот крипто-вымогатель шифрует данные пользователей с помощью потокового шифра ChaCha20, а затем требует связаться с вымогателями через Telegram, чтобы узнать как заплатить выкуп и восстановить доступ к своим  файлом. Оригинальное название: Killnet. На файле написано: svchost.exe.
---
Обнаружения:
DrWeb -> Trojan.Encoder.41525
BitDefender -> Trojan.GenericKD.74882601
ESET-NOD32 -> A Variant Of Win32/Filecoder.OMK
Kaspersky -> HEUR:Trojan-Ransom.Win32.Encoder.gen
Malwarebytes -> Ransom.Killnet
Microsoft -> Ransom:Win64/LockFile.E!MTB
Rising -> Ransom.Destructor!1.B060 (CLASSIC)
Tencent -> Malware.Win32.Gencirc.10c06cba
TrendMicro -> Ransom_LockFile.R002C0DKD24
---

© Генеалогия: родство выясняется >>


Сайт "ID Ransomware" это пока не идентифицирует. 


Информация для идентификации

Активность этого крипто-вымогателя была в первой половине ноября 2024 г. Ориентирован на российских и русскоязычных пользователей, может распространяться и дальше.

К зашифрованным файлам добавляется расширение: .encrypted

Записка с требованием выкупа написана на экране блокировки: 

Killnet Ransomware note

Содержание записки о выкупе:

Добрый день! Вас приветствует KILLNET. Вас взломали, все ваши данные теперь принадлежат нам. Ваши компьютеры зашифрованы, а доступ к ним заблокирован. Чтобы вернуть доступ к вашим данным, вам необходимо связаться с нами в мессенджере Telegram, указав в поиске наш ник: @killnet_admin1234. У вас есть 24 часа на связь, иначе все ваши данные будут удалены навсегда.

Killnet Ransomware



Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 




Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
svchost.exe - название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Telegram: @killnet_admin1234
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: 003a07edaa89b9eea34af223b4f41b49 
SHA-1: 8d849af2da15c5e276c82cc7387df6765f788055 
SHA-256: c669cb70d13fc719fdc4fc3f95666761558a51609eb03e60b8443b81ada25469 
Vhash: 076056656d156561a3z72z6dnz55z67z 
Imphash: 8375c8ffa7db6351deba403a7b77ea2a


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Message + Message + Message Write-up, Topic of Support ***

Thanks: S!Ri Andrew Ivanov (article author) *** to the victims who sent the samples


© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *