KawaiiLocker: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,072
Реакции
8,134
Баллы
793
Этот криптовымогатель ориентирован, главным образом, на русскоязычных пользователей. Он шифрует файлы с помощью AES (режим OFB), а затем вымогает 6000 рублей за расшифровку.

По исследованию Thyrex, KawaiiLocker шифрует только первые 192 байта от начала. Список зашифрованных файлов хранится в текстовом файле crypt_list (файл без расширения).

К зашифрованным файлам никакое расширение НЕ добавляется.
Оригинальное название зашифрованного файла НЕ изменяется.

Записка вымогателей называется HOW DECRYPT FILES.TXT и помещается на рабочем столе.

Содержание этой записки следующее:
Ваши файлы (.doc,.xls,.pdf, базы данных и т.д.) были зашифрованы криптостойким алгоритмом, расшифровать их можно только имея уникальный для вас дешифратор файлов.
Если вы заинтересованы в расшифровке ваших файлов свяжитесь с нами по email:
Стоимость расшифровки файлов 6000 рублей
decrypt2016@yahoo.com
Также если вы хотите убедится в том, что мы действительно сможем расшифровать ваши файлы, вы можете приложить любой небольшой файл, из списка на рабочем столе "crypt_list" и мы его вам расшифруем (базы данных для теста не расшифровываем!).

ВНИМАНИЕ! У ВАС ЕСТЬ НЕДЕЛЯ ДЛЯ ПРИНЯТИЯ РЕШЕНИЯ О ПОКУПКЕ ДЕШИФРАТОРА, ДАЛЕЕ МЫ УДАЛЯЕМ ПАРОЛЬ ДЛЯ РАСШИФРОВКИ ВАШИХ ФАЙЛОВ, ДАЛЕЕ ИХ РАСШИФРОВАТЬ БУДЕТ НЕВОЗМОЖНО!
Список целевых расширений (по данным Thyrex):
.1cd, .1zo, .3gp, .7z, .aa, .aac, .ac3, .ace, .aff, .amr, .arj, .avi, .cab, .cda, .cdn, .cf, .cfg, .cfu, .chm, .csv, .doc, .docx, .dt, .epf, .erf, .efd, .elf, .epub, .fb2, .flac, .flv, .geo, .gif, .grs, .ha, .html, .imolody, .imy, .iso, .jpeg, .lit, .lgf, .lgp, .lhq, .log, .m4a, .mft, .mhtml, .mobi, .mp4, .mpeg, .mov, .mts, .mxl, .odt, .ogg, .pdf, .pff, .php, .png, .ppt, .pptx, .ppx, .qcp, .rar, .rtf, .st, .sxc, .tar, .tif, .txt, .vob, .vrp, .wma, .xhtml, .xls, .xmf, .xml, .xsl, .wmv, .zoo (81 расширение).

KawaiiLocker удаляет теневые копий файлов командой vssadmin delete shadows /for=C:\/all

Файлы вымогателя:
KawaiiLocker.exe
HOW DECRYPT FILES.TXT
crypt_list

Стараниями Thyrex создан декриптор для зашифрованным файлов.
Тестирование на файлах прошло успешно. Можно пользоваться.

Сегодня же днём идентификация шифровальщика KawaiiLocker добавлена в ID Ransomware.
id.jpg

PS. Старожилы, наверное, помнят вымогателя с email-ом marikol8965@yahoo.com, на протяжении несколько лет заставлявшего дрожать своих жертв. У нынешнего записка о выкупе слово в слово повторяет "воззвание" из прошлого. Есть и другие совпадения, но есть и различия.
 
Последнее редактирование:
Сверху Снизу