Kashima Ransomware
Lényegében a Kashima fenyegetés még mindig a zsarolóprogramok közé tartozik. Fel van szerelve egy titkosítási rutinnal, amely feltörhetetlen kriptográfiai algoritmust használ az áldozatok fájljainak zárolására. Ennek a rosszindulatú programnak a kódját és pontos viselkedését alaposan megvizsgálva azonban több sajátos jellemző is kiderül.
Ahelyett, hogy megpróbálna a lehető legtöbb fájltípust befolyásolni, a fenyegetést úgy tervezték, hogy több fájlkiterjesztésre összpontosítson – '.cfg', '.congif', '.js', '.NOOB', '.lua, ".lw" és ".trym"kimondottan. Minden titkosított fájl eredeti nevéhez fűződik a „.KASHIMA”. Miután a fenyegetés feldolgozta az összes megcélzott fájlt, új előugró ablakot generál az áldozatnak szóló utasításokkal.
A Ransom Note részletei
A Kashima Ransomware váltságdíjat követelő üzenete is eltér az egyéb ransomware-fenyegetéseknél megfigyelt szokásos váltságdíj-feljegyzésektől. Ennek a rosszindulatú programnak az áldozatai semmilyen módon nem léphetnek kapcsolatba a támadókkal. Továbbá, bár a feljegyzés beszél a felhasználó adatainak titkosításáról, nem tesz említést arról, hogy az áldozatoknak váltságdíjat kell fizetniük, hogy visszakapják fájljaikat.
A megjegyzésben az áll, hogy a Kashima Ransomware áldozatai visszaállíthatják fájljaikat a Nixware loader nevű alkalmazás megvásárlásával és futtatásával. Úgy tűnik, hogy ez egy fizetett csalómotor az online játékokhoz, mint például a Counter-Strike: Global Offensive. Következésképpen úgy tűnik, hogy a támadók célja az, hogy a ransomware-fenyegetést felhasználják ennek a csalóeszköznek az eladásainak növelésére.
A Kashima Ransomware által hagyott feljegyzés bolond szövege a következő:
KashimaWare FIGYELEM!
FIGYELEM!
A cfg-jeit Kashima titkosította!
Mi a pokol ez?
A "Kashima" gyakorlócirkáló titkosította a f**king cfg-t és js-t. ez az alkalmazás nélkül nem állítható vissza, mert rendkívül erős titkosítási algoritmussal vannak titkosítva, véletlenszerű kulcs használatával.
Hogyan tudom visszaállítani a cfg-t
Ez könnyű. Csak a Nixware betöltőt kell futtatnia. ez az alkalmazás automatikusan észleli a folyamatot. NE PRÓBÁLJON HAMIS EXE HASZNÁLATÁVAL, VAGY TEMRINÁLJA EZT AZ ALKALMAZÁST, HA NEM AKARJA FELSZABADÍTANI A TITKOSÍTÁSI KULCSOT!
Állapot
Betöltő folyamat állapota: Nem található
Dekódolás: Nincs jóváhagyva! '