KIANO Ransomware

Efter att ha analyserat det nyligen upptäckta hotet, KIANO Ransomware, bestämde infosec-forskare att KIANO Ransomware är en variant som tillhör NEFILIM Ransomware- familjen. Att vara en variant minskar emellertid inte skadlig programvaras destruktiva kapacitet. Alla system som är infekterade av KIANO Ransomware kommer att utsättas för filkryptering vilket gör att nästan alla filer som lagras på den är oanvändbara och oåtkomliga. Hotet markerar de filer det krypterar genom att ändra deras ursprungliga namn - det lägger till '.KIANO' som ett nytt filtillägg. Därefter släpps lösensedeln på systemet som textfiler med namnet 'KIANO-HELP.txt'. De lösenbärande filerna genereras i varje mapp som innehåller låsta data.

Enligt anmärkningen samlade KIANO Ransomware innan krypteringsrutinen inleddes data från de komprometterade systemen och exfiltrerade den till en fjärrserver under hackarens kontroll. Om offren vägrar att uppfylla kraven från brottslingarna hotar de att släppa de insamlade uppgifterna till allmänheten. Dessutom måste offren fortfarande hantera sina låsta filer. Utan omfattande säkerhetskopior är det enda sättet att återställa filerna den dekrypteringsprogramvara som KIANO Ransomware-operatörer har.

För att skapa kontakt har användarna tre olika e-postadresser - michaeldrumman1977@tutanota.com, jamescowworkingsa1988@tutanota.com, michaeldrumman1977@protonmail.com och en länk till en webbplats som endast är tillgänglig via TOR-webbläsaren. Användare får också skicka upp till 2 låsta filer som sedan förmodligen kommer att dekrypteras och skickas tillbaka tillsammans med ytterligare instruktioner.

Den fullständiga texten till KIANO Ransomwares anteckning är:

Två saker har hänt ditt företag.

Gigabyte arkiverade filer som vi ansåg vara värdefulla eller känsliga hämtades från ditt nätverk till en säker plats.
När du kontaktar oss kommer vi att berätta hur mycket data som laddats ner och kan ge omfattande bevis på datautdragningen.
Du kan analysera vilken typ av data vi laddar ner på våra webbplatser.

Om du inte kontaktar oss kommer vi att börja läcka ut informationen regelbundet i delar.

Vi har också krypterade filer på dina datorer med militära algoritmer.
Om du inte har omfattande säkerhetskopior är det enda sättet att hämta dina data med vår programvara.

Återställning av dina data med vår programvara kräver en privat nyckel som endast vi har.

För att bekräfta att vårt dekrypteringsprogram fungerar kan du skicka 2 krypterade filer från slumpmässiga datorer till oss via e-post.
Du kommer att få ytterligare instruktioner när du skickar testfilerna till oss.
Vi kommer att se till att du hämtar dina data snabbt och säkert och att dina data som vi laddade ner kommer att raderas säkert när våra krav uppfylls.
Om vi inte kommer överens kommer dina data att läcka ut på denna webbplats.

Webbplats: hxxp: //corpleaks.net
TOR-länk: hxxp: //hxt254aygrsziejn.onion

E-postlista:
michaeldrumman1977@tutanota.com
jamescowworkingsa1988@tutanota.com
michaeldrumman1977@protonmail.com . '