Kolobo Ransomware
Kolobocheg Ransomware
(шифровальщик-вымогатель)
Translation into English
Как удалить? Как расшифровать? Как вернуть данные?
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление.
См. также статьи УК РФ:
ст. 159.6 "Мошенничество в сфере компьютерной информации" (подробнее)
ст. 272 "Неправомерный доступ к компьютерной информации"
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"
Как удалить? Как расшифровать? Как вернуть данные?
ст. 272 "Неправомерный доступ к компьютерной информации"
Информация о шифровальщике
Этот крипто-вымогатель шифрует данные пользователей с помощью RSA и XOR, а затем написать на email вымогателей, чтобы вернуть файлы.
Название Kolobo условное, дано Майклом Джиллеспи для идентификации в ID Ransomware. Название "Gingerbread", упомянутое в статье Лоуренса Абрамса (2016 г.), не имеет никакого отношения к этому шифровальщику.
По классификации Dr.Web это Trojan.Encoder.293. Написан на языке Delphi. Является более поздней модификацией Trojan.Encoder.102 и имеет с ним много общего. Выполняет шифрование файлов в два приема: с алгоритмом XOR блоками примерно по 0x200 байт (длина блока и гамма могут отличаться в разных вариантах). После этого файл шифруется с использованием алгоритма RSA.
© Генеалогия: HELP@AUSI > Kolobo
К зашифрованным файлам добавляется расширение .kolobocheg@aol.com_
Появился во второй половине марта 2014 года. Но образец этого криптовымогателя был найден даже в ноябре 2016 г. Ориентирован на русскоязычных пользователей, что не мешает распространять его по всему миру.
Запиской с требованием выкупа выступает экран блокировки.
Содержание текста о выкупе:
Файлы зашифрованы!
Колобок ушел от бабушки и от дедушки, и обнаружил, что у него нет денег, даже квартиру не снять!
Долго думал колобок, захотел повеситься - но не смог. И всё, на что он может рассчитывать - на Вашу помощь!
Помоги колобку, а он вернет тебе файлы!
Отпиши на эти данные, указав идентификатор:
Почта - kolobocheg@аоl.com
Идентификатор - k1
за дополнительной информацией – filesencoded.com
Технические детали
Распространялся с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. Может распространяться путём взлома через незащищенную конфигурацию RDP. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
➤ По данным Dr.Web шифровальщик Trojan.Encoder.293 распространялся в комплекте с программой для кражи паролей "UFR stealer". После очистки ПК или переустановки системы нужно сменить все пароли, которыми ранее пользовались.
➤ Для версий, которые были до лета 2014 года, есть шанс на дешифрование файлов, если найден exe-файл.
Список файловых расширений, подвергающихся шифрованию:
документы MS Office, PDF, базы данных, фотографии, музыка, видео, общие сетевые папки и пр.
Файлы, связанные с этим Ransomware:
***
Записи реестра, связанные с этим Ransomware:
***
Сетевые подключения и связи:
kolobocheg@aol.com
filesencoded.com - сайт вымогателей
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: средняя.
Подробные сведения собираются регулярно.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
Так как во время активности шифровальщиков этого типа я не суммировал по ним информацию и не вёл этот блог, то лучше изучить информацию на сайте и форуме Dr.Web. Ссылки прилагаются.
Описание семейства Trojan.Encoder.293 >>
Информация по дешифрованию >>
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
См. Историю семейства выше.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Внимание! Для kolobocheg@aol.com_ вариантов k1, k3 есть дешифровщик Обращайтесь на форум Dr.Web по ссылке >> Или создайте индивидуальный запрос на расшифровку >>
Read to links: Tweet on Twitter (n/a) ID Ransomware (ID as Kolobo) Write-up (2016), Write-up (2013), Write-up (2014) *
Thanks: JAMESWT Michael Gillespie Lawrence Abrams *
© Amigo-A (Andrew Ivanov): All blog articles.