KIANO 勒索軟件

在分析新發現的威脅 KIANO Ransomware 後，信息安全研究人員確定 KIANO Ransomware 是屬於NEFILIM Ransomware系列的變體。但是，作為變體並不會削弱惡意軟件的破壞能力。任何被 KIANO Ransomware 感染的系統都將受到文件加密，幾乎所有存儲在其上的文件都無法使用和無法訪問。該威脅通過修改其原始名稱來標記它加密的文件 - 它附加".KIANO"作為新的文件擴展名。之後，贖金票據將作為名為"KIANO-HELP.txt"的文本文件發送到系統中。將在每個包含鎖定數據的文件夾中生成包含贖金的文件。

根據該說明，在啟動加密程序之前，KIANO Ransomware 從受感染系統收集數據，並將其洩露到黑客控制下的遠程服務器。如果受害者拒絕滿足罪犯的要求，他們就會威脅開始向公眾發布收集到的數據。此外，受害者仍然需要處理他們鎖定的文件。如果沒有大量備份，恢復文件的唯一方法仍然是 KIANO Ransomware 運營商擁有的解密軟件。

為了建立聯繫，用戶會留下三個不同的電子郵件地址——michaeldrumman1977@tutanota.com、jamescowworkingsa1988@tutanota.com、michaeldrumman1977@protonmail.com，以及一個只能通過 TOR 瀏覽器訪問的網站鏈接。用戶還可以發送最多 2 個鎖定的文件，然後這些文件應該會被解密並與進一步的說明一起發回。

KIANO Ransomware 的註釋全文是：

'你們公司發生了兩件事。

我們認為有價值或敏感的千兆字節存檔文件已從您的網絡下載到安全位置。
當您聯繫我們時，我們會告訴您下載了多少數據，並可以提供數據提取的廣泛證據。
您可以分析我們在我們網站上下載的數據類型。

如果您不聯繫我們，我們將開始定期部分地洩露數據。

我們還使用軍用級算法加密了您計算機上的文件。
如果您沒有大量備份，則檢索數據的唯一方法是使用我們的軟件。

使用我們的軟件恢復您的數據需要只有我們擁有的私鑰。

為了確認我們的解密軟件工作正常，請通過電子郵件從隨機計算機向我們發送 2 個加密文件。
在您向我們發送測試文件後，您將收到進一步的說明。
我們將確保您快速安全地檢索您的數據，並在滿足我們的要求時安全刪除您下載的數據。
如果我們不達成協議，您的數據將在本網站上洩露。

網站：hxxp://corpleaks.net
TOR 鏈接：hxxp://hxt254aygrsziejn.onion

郵件列表：
michaeldrumman1977@tutanota.com
jamescowworkingsa1988@tutanota.com
michaeldrumman1977@protonmail.com .'