KIANO ransomware
Después de analizar la amenaza recién descubierta, KIANO Ransomware, los investigadores de infosec determinaron que KIANO Ransomware es una variante que pertenece a la familia NEFILIM Ransomware. Sin embargo, ser una variante no disminuye las capacidades destructivas del malware. Cualquier sistema infectado por KIANO Ransomware estará sujeto al cifrado de archivos, lo que hará que casi todos los archivos almacenados en él sean inutilizables e inaccesibles. La amenaza marca los archivos que cifra modificando sus nombres originales; agrega '.KIANO' como una nueva extensión de archivo. Posteriormente, las notas de rescate se colocarán en el sistema como archivos de texto llamados 'KIANO-HELP.txt'. Los archivos con rescate se generarán en cada carpeta que contenga datos bloqueados.
Según la nota, antes de que se iniciara la rutina de cifrado, KIANO Ransomware recopiló datos de los sistemas comprometidos y los exfiltró a un servidor remoto bajo el control de los piratas informáticos. Si las víctimas se niegan a satisfacer las demandas de los delincuentes, amenazan con comenzar a divulgar los datos recopilados al público. Además, las víctimas todavía tienen que lidiar con sus archivos bloqueados. Sin copias de seguridad extensas, la única forma de restaurar los archivos sigue siendo el software de descifrado que poseen los operadores de KIANO Ransomware.
Para establecer contacto, los usuarios tienen tres direcciones de correo electrónico diferentes: michaeldrumman1977@tutanota.com, jamescowworkingsa1988@tutanota.com, michaeldrumman1977@protonmail.com y un enlace a un sitio web accesible solo a través del navegador TOR. Los usuarios también pueden enviar hasta 2 archivos bloqueados que, supuestamente, serán descifrados y devueltos junto con más instrucciones.
El texto completo de la nota de KIANO Ransomware es:
A su empresa le han pasado dos cosas.
Gigabytes de archivos archivados que consideramos valiosos o confidenciales se descargaron de su red a una ubicación segura.
Cuando se comunique con nosotros, le diremos cuántos datos se descargaron y podemos proporcionar una prueba exhaustiva de la extracción de datos.
Puede analizar el tipo de datos que descargamos en nuestros sitios web.Si no se comunica con nosotros, comenzaremos a filtrar los datos periódicamente en partes.
También hemos cifrado archivos en sus computadoras con algoritmos de grado militar.
Si no tiene copias de seguridad extensas, la única forma de recuperar sus datos es con nuestro software.La restauración de sus datos con nuestro software requiere una clave privada que solo nosotros poseemos.
Para confirmar que nuestro software de descifrado funciona, envíenos 2 archivos cifrados desde computadoras aleatorias por correo electrónico.
Recibirá más instrucciones después de enviarnos los archivos de prueba.
Nos aseguraremos de que recupere sus datos de forma rápida y segura, y los datos que descargamos se eliminarán de forma segura cuando se cumplan nuestras demandas.
Si no llegamos a un acuerdo, sus datos se filtrarán en este sitio web.Sitio web: hxxp: //corpleaks.net
Enlace TOR: hxxp: //hxt254aygrsziejn.onionLista de correo:
michaeldrumman1977@tutanota.com
jamescowworkingsa1988@tutanota.com
michaeldrumman1977@protonmail.com . '
