Kashima Ransomware
Zasadniczo zagrożenie Kashima jest nadal klasyfikowane jako oprogramowanie ransomware. Jest wyposażony w procedurę szyfrowania, która wykorzystuje niemożliwy do złamania algorytm kryptograficzny do blokowania plików swoich ofiar. Jednak dokładne przyjrzenie się kodowi tego złośliwego oprogramowania i jego dokładnemu zachowaniu ujawnia wiele osobliwych cech.
Zamiast próbować zaatakować jak największą liczbę typów plików, zagrożenie ma skupiać się na kilku rozszerzeniach plików — „.cfg”, „.congif”, „.js”, „.NOOB”, „.lua”, „. „.lw” i „.trym”konkretnie. Każdy zaszyfrowany plik będzie miał dołączony do oryginalnej nazwy „.KASHIMA”. Po przetworzeniu przez zagrożenie wszystkich zaatakowanych plików wygeneruje nowe okno wyskakujące z instrukcjami dla ofiary.
Szczegóły notatki o okupie
Żądanie okupu przez Kashima Ransomware również odbiega od standardowych notatek okupu obserwowanych w innych zagrożeniach ransomware. Ofiary tego konkretnego złośliwego oprogramowania nie mają możliwości skontaktowania się z atakującymi. Co więcej, chociaż notatka mówi o szyfrowaniu danych użytkownika, nie wspomina o żadnych żądaniach, by ofiary musiały zapłacić okup za odzyskanie swoich plików.
Notatka stwierdza, że ofiary Kashima Ransomware będą mogły przywrócić swoje pliki, kupując i uruchamiając aplikację o nazwie Nixware loader. Wygląda na to, że jest to płatny silnik do oszukiwania w grach online, takich jak Counter-Strike: Global Offensive. W konsekwencji wydaje się, że celem atakujących jest wykorzystanie zagrożenia ransomware do zwiększenia sprzedaży tego konkretnego narzędzia do oszukiwania.
Głupi tekst notatki pozostawionej przez Kashima Ransomware to:
' KashimaWare OSTRZEŻENIE!
OSTRZEŻENIE!
Twoje cfgs zostały zaszyfrowane przez Kashimę!
Co to jest do cholery?
Krążownik treningowy „Kashima” zaszyfrował twoje pieprzone cfg i js. nie można ich odzyskać bez tej aplikacji, ponieważ są one zaszyfrowane bardzo silnym algorytmem szyfrowania przy użyciu losowego klucza.
Jak mogę odzyskać mój cfg?
To łatwe. Musisz tylko uruchomić program ładujący Nixware. ta aplikacja automatycznie wykryje proces. NIE PRÓBUJ UŻYWAĆ FAŁSZYWYCH EXE ANI ZAKOŃCZ TEJ APLIKACJI, JEŚLI NIE CHCESZ WYSYŁAĆ KLUCZA SZYFROWANIA!
Status
Status procesu ładowania: nie znaleziono
Deszyfrowanie :Nie zatwierdzone! '
