KIANO Ransomware

Efter at have analyseret den nyopdagede trussel, KIANO Ransomware, infosec forskere fastslog, at KIANO Ransomware er en variant, der hører til NEFILIM Ransomware- familien. At være en variant mindsker imidlertid ikke malwareens destruktive kapacitet. Ethvert system inficeret af KIANO Ransomware vil blive udsat for filkryptering, hvilket gør næsten alle filer, der er gemt på den, både ubrugelige og utilgængelige. Truslen markerer de filer, den krypterer ved at ændre deres originale navne - den tilføjer '.KIANO' som en ny filtypenavn. Derefter slippes løsesumnoter på systemet som tekstfiler med navnet 'KIANO-HELP.txt.' De løsesumførende filer genereres i hver mappe, der indeholder låste data.

Ifølge noten indsamlede KIANO Ransomware, inden krypteringsrutinen blev startet, data fra de kompromitterede systemer og exfiltreret dem til en ekstern server under hackernes kontrol. Hvis ofrene nægter at imødekomme de kriminelle krav, truer de med at frigive de indsamlede data til offentligheden. Derudover skal ofre stadig håndtere deres låste filer. Uden omfattende sikkerhedskopier er den eneste måde at gendanne filerne på, dekrypteringssoftwaren, som KIANO Ransomware-operatørerne besidder.

For at oprette kontakt har brugerne tre forskellige e-mail-adresser - michaeldrumman1977@tutanota.com, jamescowworkingsa1988@tutanota.com, michaeldrumman1977@protonmail.com og et link til et websted, der kun er tilgængeligt via TOR-browseren. Brugere har også lov til at sende op til 2 låste filer, som derefter angiveligt vil blive dekrypteret og sendt tilbage sammen med yderligere instruktioner.

Den fulde tekst af KIANO Ransomware's note er:

' Der er sket to ting for din virksomhed.

Gigabyte arkiverede filer, som vi anså for værdifulde eller følsomme, blev downloadet fra dit netværk til et sikkert sted.
Når du kontakter os, fortæller vi dig, hvor meget data der blev downloadet og kan levere omfattende bevis for dataudvindingen.
Du kan analysere typen af data, vi downloader på vores websteder.

Hvis du ikke kontakter os, begynder vi lækker dataene med jævne mellemrum i dele.

Vi har også krypterede filer på dine computere med algoritmer af militær kvalitet.
Hvis du ikke har omfattende sikkerhedskopier, er den eneste måde at hente dine data på med vores software.

Gendannelse af dine data med vores software kræver en privat nøgle, som kun vi har.

For at bekræfte, at vores dekrypteringssoftware fungerer, send 2 krypterede filer fra tilfældige computere til os via e-mail.
Du modtager yderligere instruktioner, når du har sendt os testfilerne.
Vi sørger for, at du henter dine data hurtigt og sikkert, og dine data, som vi downloadede, slettes sikkert, når vores krav er opfyldt.
Hvis vi ikke kommer til enighed, lækkes dine data på dette websted.

Websted: hxxp: //corpleaks.net
TOR-link: hxxp: //hxt254aygrsziejn.onion

Postliste:
michaeldrumman1977@tutanota.com
jamescowworkingsa1988@tutanota.com
michaeldrumman1977@protonmail.com . '