KIANO Ransomware

Po przeanalizowaniu nowo odkrytego zagrożenia, KIANO Ransomware, badacze infosec ustalili, że KIANO Ransomware to wariant należący do rodziny NEFILIM Ransomware. Jednak bycie wariantem nie zmniejsza destrukcyjnych możliwości złośliwego oprogramowania. Każdy system zainfekowany przez KIANO Ransomware zostanie poddany szyfrowaniu plików, przez co prawie wszystkie przechowywane na nim pliki będą bezużyteczne i niedostępne. Zagrożenie oznacza zaszyfrowane pliki, modyfikując ich oryginalne nazwy — dodaje „.KIANO" jako nowe rozszerzenie pliku. Następnie notatki dotyczące okupu zostaną upuszczone do systemu jako pliki tekstowe o nazwie „KIANO-HELP.txt". Pliki z okupem będą generowane w każdym folderze zawierającym zablokowane dane.

Zgodnie z notatką, przed zainicjowaniem procedury szyfrowania, KIANO Ransomware zbierało dane z zaatakowanych systemów i eksfiltrowało je na zdalny serwer pod kontrolą hakerów. Jeśli ofiary odmówią spełnienia żądań przestępców, grożą, że zaczną udostępniać zebrane dane opinii publicznej. Ponadto ofiary nadal muszą radzić sobie z zablokowanymi plikami. Bez obszernych kopii zapasowych jedynym sposobem na przywrócenie plików pozostaje oprogramowanie deszyfrujące posiadane przez operatorów KIANO Ransomware.

Aby nawiązać kontakt, użytkownikom pozostają trzy różne adresy e-mail - michaeldrumman1977@tutanota.com, jamescowworkingsa1988@tutanota.com, michaeldrumman1977@protonmail.com oraz link do strony internetowej dostępnej tylko przez przeglądarkę TOR. Użytkownicy mogą również wysłać do 2 zablokowanych plików, które następnie zostaną podobno odszyfrowane i odesłane wraz z dalszymi instrukcjami.

Pełny tekst notatki KIANO Ransomware to:

' Dwie rzeczy przydarzyły się twojej firmie.

Gigabajty zarchiwizowanych plików, które uznaliśmy za wartościowe lub wrażliwe, zostały pobrane z Twojej sieci do bezpiecznej lokalizacji.
Kiedy skontaktujesz się z nami, poinformujemy Cię, ile danych zostało pobranych i możemy dostarczyć wyczerpujący dowód pobrania danych.
Możesz przeanalizować rodzaj danych, które pobieramy na naszych stronach internetowych.

Jeśli nie skontaktujesz się z nami, zaczniemy okresowo przeciekać dane w częściach.

Zaszyfrowaliśmy również pliki na Twoich komputerach za pomocą algorytmów wojskowych.
Jeśli nie masz rozbudowanych kopii zapasowych, jedynym sposobem na odzyskanie danych jest skorzystanie z naszego oprogramowania.

Odtworzenie Twoich danych za pomocą naszego oprogramowania wymaga klucza prywatnego, który tylko my posiadamy.

Aby potwierdzić, że nasze oprogramowanie deszyfrujące działa, wyślij do nas e-mailem 2 zaszyfrowane pliki z losowych komputerów.
Dalsze instrukcje otrzymasz po przesłaniu nam plików testowych.
Zadbamy o to, abyś szybko i bezpiecznie odzyskał Twoje dane, a pobrane przez nas dane zostaną bezpiecznie usunięte, gdy nasze żądania zostaną spełnione.
Jeśli nie dojdziemy do porozumienia, Twoje dane zostaną ujawnione na tej stronie.

Strona internetowa: hxxp://corpleaks.net
Link do TOR: hxxp://hxt254aygrsziejn.onion

Lista maili:
michaeldrumman1977@tutanota.com
jamescowworkingsa1988@tutanota.com
michaeldrumman1977@protonmail.com .'