четверг, 3 ноября 2016 г.

Kangaroo

Kangaroo Ransomware 

(шифровальщик-вымогатель)


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 2 биткоина или больше, чтобы вернуть файлы. Известны случаи, когда требовали выкуп ещё несколько раз после уплаты первого. Название оригинальное. 

© Генеалогия: Apocalypse > Esmeralda > Kangaroo 

К зашифрованным файлам добавляется расширение .crypted_file.

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: 
*.Instructions_Data_Recovery (добавляется к имени каждого зашифрованного файлу, таким образом будет столько записок, сколько зашифровано файлов). 

Содержание записки о выкупе:
Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.
You have to contact the email below along with your Personal Identification ID to restore the data of your system.
Your Personal Identification ID: 2F5BD40FDE
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email.

Перевод записки на русский язык:
Windows столкнулась с критической проблемой и требует немедленного действия для восстановления ваших данных. Доступ к системе блокирован, а все данные зашифрованы, чтобы избежать обнародования информации или злоупотребления. Вы не сможете получить доступ к файлам, а игнорирование этого сообщения может привести к полной потере данных. 
Мы приносим свои извинения за неудобства.
Вам следует обратиться на email ниже, чтобы восстановить данные вашей системы.
Ваша персональная идентификация ID: 2F5BD40FDE
E-mail: esmeraldaencryption@mail.ru
Вы должны заказать Unlock-пароль и Kangaroo Decryption Software. Все инструкции будут отправлены вам по электронной почте.

Текст из записки дублируется в экране блокировки. Там же можно разблокировать файлы, чтобы закрыть окно блокировщика. Затем в работу вступит декриптор. 

Вымогатель настраивает реестр таким образом. чтобы жертва могла прочитать официальное уведомление от вымогателей перед загрузкой Windows. 
Но и после этого войти в систему не удастся, т.к. блокируется Диспетчер задач и подменяется файл Проводника Windows (explorer.exe) и жертва должны уплатить выкуп. Хотя часть фукнционала вымогателя можно отключить в безопасном режиме, полностью восстановить систему и вернуть файлы без уплаты выкупа пока не представляется возможным. 

Вымогатель, как оказалось, НЕ распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Хакеры взламывают компьютер по протоколу удаленного рабочего стола и устаналивают шифровальщик вручную. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога


Во время первого запуска шифровальщик отображает уникaльный ID жертвы и ключ шифрования, которые операторы вредоноса должны сами скопиpовать. Затем уже файлы пользователя шифруются, добавляя к файлам расширение .crypted_file

После шифрования делаются попытки удалить тома теневых копий файлов, но по разным причинам это действие не всегда эффективно.  

Список файловых расширений, подвергающихся шифрованию:
***

Файлы, связанные с Kangaroo Ransomware:

Instructions_Data_Recovery.txt
Apocalypse_ransomware.exe
explorer.exe
explorer.exe.mui
C:\Program Files (x86)\Windows NT\explorer.exe

Записи реестра, связанные с Kangaroo Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeCaption"="Attention!"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeText"="Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.
You have to contact the email below along with your Personal Identification ID to restore the data of your system.
Your Personal Identification ID: E557162BUS
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email."

Сетевые подключения:
нет

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: низкая.
Подробные сведения собираются.

 Read to links: 
 Tweet on Twitter
 Tweet on twitter
 *
Added later
Write-up on BC
*
*
 Thanks: 
 Michael Gillespie
 JAMESWT
 Lawrence Abrams
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *