KIANO 勒索软件

在分析新发现的威胁 KIANO Ransomware 后，信息安全研究人员确定 KIANO Ransomware 是属于NEFILIM Ransomware系列的变体。但是，作为变体并不会削弱恶意软件的破坏能力。任何被 KIANO Ransomware 感染的系统都将受到文件加密，几乎所有存储在其上的文件都无法使用和无法访问。该威胁通过修改其原始名称来标记它加密的文件 - 它附加".KIANO"作为新的文件扩展名。之后，赎金票据将作为名为"KIANO-HELP.txt"的文本文件发送到系统中。将在每个包含锁定数据的文件夹中生成包含赎金的文件。

根据该说明，在启动加密程序之前，KIANO Ransomware 从受感染系统收集数据，并将其泄露到黑客控制下的远程服务器。如果受害者拒绝满足罪犯的要求，他们就会威胁开始向公众发布收集到的数据。此外，受害者仍然需要处理他们锁定的文件。如果没有大量备份，恢复文件的唯一方法仍然是 KIANO Ransomware 运营商拥有的解密软件。

为了建立联系，用户会留下三个不同的电子邮件地址——michaeldrumman1977@tutanota.com、jamescowworkingsa1988@tutanota.com、michaeldrumman1977@protonmail.com，以及一个只能通过 TOR 浏览器访问的网站链接。用户还可以发送最多 2 个锁定的文件，然后这些文件应该会被解密并与进一步的说明一起发回。

KIANO Ransomware 的注释全文是：

'你们公司发生了两件事。

我们认为有价值或敏感的千兆字节存档文件已从您的网络下载到安全位置。
当您联系我们时，我们会告诉您下载了多少数据，并可以提供数据提取的广泛证据。
您可以分析我们在我们网站上下载的数据类型。

如果您不联系我们，我们将开始定期部分地泄露数据。

我们还使用军用级算法加密了您计算机上的文件。
如果您没有大量备份，则检索数据的唯一方法是使用我们的软件。

使用我们的软件恢复您的数据需要只有我们拥有的私钥。

为了确认我们的解密软件工作正常，请通过电子邮件从随机计算机向我们发送 2 个加密文件。
在您向我们发送测试文件后，您将收到进一步的说明。
我们将确保您快速安全地检索您的数据，并在满足我们的要求时安全删除您下载的数据。
如果我们不达成协议，您的数据将在本网站上泄露。

网站：hxxp://corpleaks.net
TOR 链接：hxxp://hxt254aygrsziejn.onion

邮件列表：
michaeldrumman1977@tutanota.com
jamescowworkingsa1988@tutanota.com
michaeldrumman1977@protonmail.com .'