Karma Ransomware
(шифровальщик-вымогатель)
© Генеалогия: Cerber? > Karma
Это изображение логотип статьи
К зашифрованным файлам добавляется расширение .karma
Активность этого криптовымогателя пришлась на ноябрь 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Записки с требованием выкупа называются:
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.html
Содержание записки о выкупе:
KARMA
Is the content of the files that you looked for not readable?
It is normal because the data in your files have been encrypted.
Great!!!
You have turned to be a part of a big community #karma Ransomware.
Continue reading because this is the only way out.
!!! If you are reading this message it means the software
!!! "karma Ransomware" has been removed from your computer.
What is encryption?
Encryption is a reversible modification of information for security
reasons but providing full access to it for authorized users.
To become an authorized user and keep the modification absolutely
reversible (in other words to have a possibility to decrypt your files)
you should have an individual private key.
But not only it.
It is required also to have the special decryption software
(in your case "karma Decryptor" software) for safe and complete
decryption of all your files and data.
Everything is clear for me but what should I do?
The first step is reading these instructions to the end.
Your files have been encrypted with the "karma Ransomware" software; the
instructions ("# DECRYPT MY FILES #.html") on the desktop
with your encrypted files is not a virus, it will help you.
After reading this text the most part of people start searching in the
Internet the words "karma Ransomware" where they find a lot of
ideas recommendations and instructions...
Перевод записки на русский язык:
KARMA
Является ли содержание файлов, которые вы искали нечитаемым?
Это нормально, потому что данные в файлах были зашифрованы.
Отлично!!!
Вы стали частью большого сообщества #karma Ransomware.
Продолжите чтение, потому что это единственный выход.
!!! Если вы читаете это сообщение, значит программное обеспечение
!!! "Карма Вымогателей" была удалена с вашего компьютера.
Что такое шифрование?
Шифрование представляет собой обратимое изменение информации по соображениям безопасности, но обеспечивая полный доступ к нему для авторизованных пользователей.
Чтобы стать авторизованным пользователем и сохранить изменения абсолютно обратимыми (другими словами, чтобы иметь возможность дешифровать файлы), вы должны иметь индивидуальный секретный ключ.
Но не только это.
Необходимо также иметь специальное программное обеспечение дешифрования (в вашем случае программа "karma Decryptor") для безопасной и полной расшифровки всех ваших файлов и данных.
Все ясно для меня, но что я должен делать?
Первый шаг - это дочитать эти инструкции до конца.
Ваши файлы были зашифрованы с программным обеспечением "karma Ransomware"; инструкции ("# DECRYPT MY FILES #.html") на рабочем столе с вашими зашифрованными файлами не являются вирусом, это поможет вам.
После прочтения этого текста большая часть людей начинает искать в Интернете слова "karma Ransomware", где они находят много идей рекомендаций и инструкций...
Вымогатель маскируется по программу оптимизации системы. Веб-страница выглядит так, как будто представляет легитимное ПО.
После того, как пользователь загрузит и установит эту подделку, он увидит, что программа якобы выполняет оптимизацию.
На самом деле в этот момент она молча шифрует данные на компьютере и поключенных к нему внешних и сетевых дисках. Пока не будет показана записка с требованием выкупа от Karma Ransomware, жертва не знает, что её обманули и компьютер полчил серьезную проблему.
Вымогатель создаёт задание планировщика с названием pchelper и запускает файл Windows-TuneUp.exe всякий раз, чтобы шифровать данные, пока жертва видит окно фальшивого оптимизатора.
Хорошей новостью является то, что деятельность Karma Ransomware длилась недолго и его C&C-сервер уже отключен. Поэтому, даже если этот вымогатель всё ещё где-то распространяется, то файлы на ПК жертвы не пострадают.
При шифровании пропускаются все папки, находящиеся по следующим адресам:
\$recycle.bin\
\$windows.~bt\
\boot\
\drivers\
\program files\
\program files (x86)\
\programdata\
\users\all users\
\windows\
\appdata\local\
\appdata\locallow\
\appdata\roaming\
\public\music\sample music\
\public\pictures\sample pictures\
\public\videos\sample videos\
\tor browser\
Список файловых расширений, подвергающихся шифрованию:
.1cd, .3dm,
.3ds, .3fr, .3g2, .3gp, .3gp2, .3gpp, .3pr, .7z, .7zip, .aac, .ab4, .abd, .acc,
.accda, .accdb, .accdc, .accde, .accdr, .accdt, .accdu, .accdw, .ace, .ach,
.acr, .act, .adb, .ade, .adn, .adp, .ads, .agdl, .ai, .aiff, .ait, .al, .amr,
.aoi, .apj, .apk, .arj, .arw, .asax, .ascx, .asf, .ashx, .asm, .asmx, .asp,
.aspx, .asset, .asx, .atb, .au, .avi, .awg, .back, .backup, .backupdb, .bak,
.bank, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .bsa, .bz, .bz2,
.c, .caf, .cash, .cdb, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx,
.ce1, .ce2, .cer, .cfg, .cfn, .cgm, .cib, .class, .cls, .cmt, .config, .contact,
.cpi, .cpp, .cr2, .craw, .crt, .crw, .cry, .cs, .csh, .cshtml, .csl, .csproj,
.css, .csv, .d3dbsp, .dac, .das, .dat, .db, .db_journal, .db3, .dbf, .dbx, .dc2,
.dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .def, .der, .des, .design, .dgc, .dgn,
.dit, .djvu, .dng, .doc, .dochtml, .docm, .docx, .docxml, .dot, .dothtml, .dotm,
.dotx, .drf, .drw, .dsw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps,
.erbsql, .erf, .exf, .fdb, .fdf, .ffd, .fff, .fh, .fhd, .fla, .flac, .flb, .flf,
.flv, .flvv, .forge, .fpx, .fs, .fsi, .fsproj, .fsscript, .fsx, .fxg, .gbr,
.gho, .gif, .gray, .grey, .groups, .gry, .gz, .h, .hbk, .hdd, .hpp, .htaccess,
.html, .htpasswd, .ibank, .ibd, .ibz, .idx, .iff, .iif, .iiq, .incpas, .indd,
.info, .info_, .ini, .ipsw, .iqy, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg,
.js, .json, .k2p, .kc2, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lbf, .lck,
.ldf, .lha, .lit, .litemod, .litesql, .lock, .log, .ltx, .lua, .lzh, .m, .m2ts,
.m3u, .m4a, .m4p, .m4v, .ma, .mab, .mapimail, .master, .max, .mbx, .md, .mda,
.mdb, .mdc, .mdf, .mdp, .mdt, .mef, .mfw, .mid, .mkv, .mlb, .mmw, .mny, .money,
.moneywell, .mos, .mov, .mp2, .mp2v, .mp3, .mp4, .mp4v, .mpa, .mpe, .mpeg, .mpg,
.mpg, .mpga, .mpv, .mpv2, .mrw, .msf, .msg, .myd, .nd, .ndd, .ndf, .nef, .nk2,
.nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nx2, .nxl,
.nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil,
.omg, .one, .onepkg, .onetoc, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots,
.ott, .p12, .p7b, .p7c, .pab, .pages, .pas, .pat, .pbf, .pcd, .pct, .pdb, .pdd,
.pdf, .pdfxml, .pef, .pem, .pfx, .php, .pif, .pl, .plc, .plus_muhd, .pm!, .pm,
.pmi, .pmj, .pml, .pmm, .pmo, .pmr, .pnc, .pnd, .png, .pnx, .pot, .pothtml,
.potm, .potm, .potx, .ppam, .pps, .ppsm, .ppsm, .ppsx, .ppt, .ppthtml, .pptm,
.pptm, .pptx, .pptxml, .prf, .private, .ps, .psafe3, .psd, .pspimage, .pst,
.ptx, .pub, .pwm, .pwz, .py, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow,
.qcow2, .qed, .qtb, .r00, .r01, .r3d, .raf, .ram, .rar, .rat, .raw, .rax, .rdb,
.re4, .resx, .rm, .rmm, .rmvb, .rp, .rpt, .rt, .rtf, .rvt, .rw2, .rwl, .rwz,
.s3db, .safe, .sas7bdat, .sav, .save, .say, .sd0, .sda, .sdb, .sdf, .settings,
.sh, .sldm, .sldx, .slk, .slm, .sln, .sql, .sqlite, .sqlite3, .sqlitedb,
.sqlite-shm, .sqlite-wal, .sr2, .srb, .srf, .srs, .srt, .srw, .st4, .st5, .st6,
.st7, .st8, .stc, .std, .sti, .stl, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd,
.sxg, .sxi, .sxm, .sxw, .tar, .tax, .tbb, .tbk, .tbn, .tex, .tga, .tgz, .thm,
.tif, .tiff, .tlg, .tlx, .txt, .upk, .usr, .utorrent, .vb, .vbe, .vbhtml, .vbox,
.vbproj, .vbs, .vcf, .vcproj, .vcs, .vcxproj, .vdi, .vdx, .vhd, .vhdx, .vmdk,
.vmsd, .vmx, .vmxf, .vob, .vpd, .vsd, .vsix, .vss, .vst, .vsx, .vtx, .wab, .wad,
.wallet, .war, .wav, .wb2, .wbk, .web, .wiz, .wm, .wma, .wmf, .wmv, .wmx, .wpd,
.wps, .wsf, .wvx, .x11, .x3f, .xdp, .xis, .xla, .xla, .xlam, .xlk, .xlk, .xll,
.xlm, .xlr, .xls, .xlsb, .xlsb, .xlshtml, .xlsm, .xlsm, .xlsx, .xlt, .xltm,
.xltm, .xltx, .xlw, .xlw, .xml, .xps, .xslt, .xxx, .ycbcra, .yuv, .zip (566 расширений).
Файлы, связанные с Karma Ransomware:
# DECRYPT MY FILES #.txt
# DECRYPT MY FILES #.html
Windows-TuneUp.exe
<ransom_name_hex_chars>.exe
Записи реестра, связанные с Karma Ransomware:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer "auth"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ "Saffron"= "%Desktop%\\# DECRYPT MY FILES #.html"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ "Safron"= "%Desktop%\\# DECRYPT MY FILES #.txt"
Сетевые подключения:
hxxx://windows-tuneup.com/web293/xUser.php
hxxx://karma2xgg6ccmupd.onion
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: низкая.
Подробные сведения собираются.
=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
Ещё не было обновлений этого варианта.
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as Karma) Write-up on BC *
Thanks: slipstream/RoL (TheWack0lian) Michael Gillespie Lawrence Abrams *
© Amigo-A (Andrew Ivanov): All blog articles.
