KEYHolder Ransomware
(шифровальщик-вымогатель)
Этот криптовымогатель шифрует данные пользователей с помощью алгоритма XOR (режим CFB, Cipher Feedback), хотя жертву нарочно пугают алгоритмом RSA-2048, затем требует выкуп в 1,5 биткоина или ~$500 (позже цена была снижена), чтобы вернуть файлы обратно. Новое творение создателей CryptorBit. Время распространения, судя по форумам оказания помощи, довольно продолжительно — с конца 2014 до начала 2016 гг. Вполне ещё может вернуться в новом обличье.
Отдельный метод распространения неизвестен. Видимо устанавливается путём заражения вручную, методом взлома удаленного рабочего стола или служб терминалов. Название KEYHolder переводится как "брелок с ключами", который и изображен на картинке ниже.
После запуска KEYHolder будет сканировать все буквы дисков и шифровать любые файлы данных, которые на нем находятся. По окончании шифрования удаляются все теневые копий файлов, чтобы из нельзя было восстановить файлы с помощью функции восстановления системы или с помощью специальных программ типа Shadow Explorer.
В каждой папке с зашифрованными файлами сохраняются файлы HOW_DECRYPT.gif и HOW_DECRYPT.html, которые содержат информацию о том, как получить доступ к сайту для уплаты выкупа.
Текст с картинки с ключами:
KEYHolder
YOUR PERSONAL FILES ARE ENCRYPTED
All files including videos, photos and documents on your computer are encrypted.
File Decryption costs ~$500
In order to decrypt the files, you need to perform the following steps:
1. Your should download and install this browser http://www.torproject.org/torbrowser.html.en
2. After installation, run the browser and enter the address: mwyigd4n52mkbyhe.onion
3. Follow the instructions on the web-site.
We remind that you that the sooner you do, the more chances are left to recover the files.
Guaranteed recovery is provided within 10 days.
Перевод на русский язык:
KEYHolder
Ваши личные файлы зашифрованы
Все файлы, включая видео, фото и документы на вашем ПК зашифрованы.
Файл дешифровки стоит ~$500
Для дешифровки файлов, вам надо сделать следующие шаги:
1. Загрузите и установите этот браузер http://www.torproject.org/torbrowser.html.en
2. После установки запустите браузер и введите адрес: mwyigd4n52mkbyhe.onion
3. Следуйте инструкциям на веб-сайте.
Напоминаем, что чем раньше вы это сделаете, тем больше шансов вернуть файлы.
Гарантирован возврат файлов в течение 10 дней.
Степень распространённости: высокая.
Подробные сведения собираются.