Если вы не видите здесь изображений, то используйте VPN.

четверг, 3 ноября 2016 г.

Kangaroo

Kangaroo Ransomware 

Apocalypse-Kangaroo Ransomware 

(шифровальщик-вымогатель) 

Translation into English


Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике


   Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 1-2-3 BTC или больше, чтобы вернуть файлы. Известны случаи, когда требовали выкуп ещё несколько раз после уплаты первого. Оригинальное название: Kangaroo. 

© Генеалогия: Apocalypse >> EsmeraldaKangaroo > Missing

К зашифрованным файлам добавляется расширение .crypted_file.

Активность этого криптовымогателя пришлась на начало ноября 2016 г. Ориентирован на англоязычных пользователей.

Записки с требованием выкупа называются: 
*.Instructions_Data_Recovery (добавляется к имени каждого зашифрованного файлу, таким образом будет столько записок, сколько зашифровано файлов). 

Содержание записки о выкупе:
Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.
You have to contact the email below along with your Personal Identification ID to restore the data of your system.
Your Personal Identification ID: 2F5BD40FDE
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email.

Перевод записки на русский язык:
Windows столкнулась с критической проблемой и требует немедленного действия для восстановления ваших данных. Доступ к системе блокирован, а все данные зашифрованы, чтобы избежать обнародования информации или злоупотребления. Вы не сможете получить доступ к файлам, а игнорирование этого сообщения может привести к полной потере данных. 
Мы приносим свои извинения за неудобства.
Вам следует обратиться на email ниже, чтобы восстановить данные вашей системы.
Ваша персональная идентификация ID: 2F5BD40FDE
E-mail: esmeraldaencryption@mail.ru
Вы должны заказать Unlock-пароль и Kangaroo Decryption Software. Все инструкции будут отправлены вам по электронной почте.

Текст из записки дублируется в экране блокировки. Там же можно разблокировать файлы, чтобы закрыть окно блокировщика. Затем в работу вступит декриптор. 

Вымогатель настраивает реестр таким образом. чтобы жертва могла прочитать официальное уведомление от вымогателей перед загрузкой Windows. 
Но и после этого войти в систему не удастся, т.к. блокируется Диспетчер задач и подменяется файл Проводника Windows (explorer.exe) и жертва должны уплатить выкуп. Хотя часть фукнционала вымогателя можно отключить в безопасном режиме, полностью восстановить систему и вернуть файлы без уплаты выкупа пока не представляется возможным. 



Технические детали

Вымогатель, как оказалось, НЕ распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов. Хакеры взламывают компьютер по протоколу удаленного рабочего стола и устаналивают шифровальщик вручную. 

См. также "Основные способы распространения криптовымогателей" на вводной странице блога



➤ Во время первого запуска шифровальщик отображает уникaльный ID жертвы и ключ шифрования, которые операторы вредоноса должны сами скопиpовать. Затем уже файлы пользователя шифруются, добавляя к файлам расширение .crypted_file

После шифрования делаются попытки удалить тома теневых копий файлов, но по разным причинам это действие не всегда эффективно.  

Список файловых расширений, подвергающихся шифрованию:
Многие популярные расширения. 
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с Kangaroo Ransomware:
Instructions_Data_Recovery.txt
Apocalypse_ransomware.exe
explorer.exe
explorer.exe.mui
C:\Program Files (x86)\Windows NT\explorer.exe

Записи реестра, связанные с Kangaroo Ransomware:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Explorer"="C:\Program Files (x86)\Windows NT\explorer.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeCaption"="Attention!"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "LegalNoticeText"="Windows has encountered a critical problem and needs your immediate action to recover your data. The system access is locked and all the data have been encrypted to avoid the information be published or misused. You will not be able to access to your files and ignoring this message may cause the total loss of the data. We are sorry for the inconvenenience.
You have to contact the email below along with your Personal Identification ID to restore the data of your system.
Your Personal Identification ID: E557162BUS
Email: kangarooencryption@mail.ru
You will have to order the Unlock-Password and the Kangaroo Decryption Software. All the instructions will be sent to you by email."

Сетевые подключения:
Email: kangarooencryption@mail.ru

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>  Ещё >>

Степень распространённости: средняя.
Подробные сведения собираются.



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

***


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter
 Tweet on twitter
 ID Ransomware (ID as Apocalypse)
Added later
Write-up on BC
*
*
 Thanks: 
 Michael Gillespie, JAMESWT, Lawrence Abrams
 Andrew Ivanov
 *
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *