KIANO Ransomware
Na analyse van de nieuw ontdekte dreiging, de KIANO Ransomware, hebben infosec-onderzoekers vastgesteld dat de KIANO Ransomware een variant is die behoort tot de NEFILIM Ransomware- familie. Een variant zijn doet echter niets af aan de destructieve mogelijkheden van de malware. Elk systeem dat door de KIANO Ransomware is geïnfecteerd, wordt onderworpen aan bestandscodering, waardoor bijna alle bestanden die erop zijn opgeslagen zowel onbruikbaar als ontoegankelijk worden. De dreiging markeert de bestanden die het versleutelt door hun oorspronkelijke namen te wijzigen - het voegt '.KIANO' toe als een nieuwe bestandsextensie. Daarna zullen losgeldnota's als tekstbestanden met de naam 'KIANO-HELP.txt' op het systeem worden geplaatst. De losgelddragende bestanden worden gegenereerd in elke map die vergrendelde gegevens bevat.
Volgens de notitie verzamelde de KIANO Ransomware, voordat de coderingsroutine werd gestart, gegevens van de gecompromitteerde systemen en exfiltreerde deze naar een externe server onder controle van de hackers. Als de slachtoffers weigeren aan de eisen van de criminelen te voldoen, dreigen ze de verzamelde gegevens openbaar te maken. Bovendien hebben slachtoffers nog steeds te maken met hun vergrendelde bestanden. Zonder uitgebreide back-ups is de enige manier om de bestanden te herstellen de decoderingssoftware van de KIANO Ransomware-operators.
Om contact te leggen, hebben gebruikers drie verschillende e-mailadressen - michaeldrumman1977@tutanota.com, jamescowworkingsa1988@tutanota.com, michaeldrumman1977@protonmail.com, en een link naar een website die alleen toegankelijk is via de TOR-browser. Gebruikers mogen ook maximaal 2 vergrendelde bestanden verzenden die dan zogenaamd zullen worden gedecodeerd en samen met verdere instructies worden teruggestuurd.
De volledige tekst van de opmerking van KIANO Ransomware is:
' Er zijn twee dingen met uw bedrijf gebeurd.
Gigabytes aan gearchiveerde bestanden die we waardevol of gevoelig achtten, werden van uw netwerk gedownload naar een veilige locatie.
Wanneer u contact met ons opneemt, zullen we u vertellen hoeveel gegevens er zijn gedownload en kunnen we uitgebreid bewijs leveren van de gegevensextractie.
U kunt het type gegevens analyseren dat we op onze websites downloaden.Als je geen contact met ons opneemt, gaan we de gegevens periodiek in delen lekken.
We hebben ook bestanden op uw computers versleuteld met algoritmen van militaire kwaliteit.
Als u geen uitgebreide back-ups heeft, is de enige manier om uw gegevens op te halen met onze software.Het herstellen van uw gegevens met onze software vereist een privésleutel die alleen wij bezitten.
Om te bevestigen dat onze decoderingssoftware werkt, stuurt u 2 gecodeerde bestanden van willekeurige computers naar ons via e-mail.
Na het opsturen van de testbestanden ontvang je verdere instructies.
We zullen ervoor zorgen dat u uw gegevens snel en veilig ophaalt en dat uw gegevens die we hebben gedownload veilig worden verwijderd wanneer aan onze eisen wordt voldaan.
Komen we er niet uit dan worden uw gegevens op deze website gelekt.Website: hxxp://corpleaks.net
TOR-link: hxxp://hxt254aygrsziejn.onionMail lijst:
michaeldrumman1977@tutanota.com
jamescowworkingsa1988@tutanota.com
michaeldrumman1977@protonmail.com .'
