KIANO Ransomware

Après avoir analysé la menace nouvellement découverte, le KIANO Ransomware, les chercheurs d'infosec ont déterminé que le KIANO Ransomware est une variante appartenant à la famille NEFILIM Ransomware. Cependant, être une variante ne diminue pas les capacités destructrices du malware. Tout système infecté par le KIANO Ransomware sera soumis à un cryptage de fichiers, rendant presque tous les fichiers qui y sont stockés à la fois inutilisables et inaccessibles. La menace marque les fichiers qu'elle crypte en modifiant leurs noms d'origine - elle ajoute « .KIANO » comme nouvelle extension de fichier. Par la suite, les notes de rançon seront déposées sur le système sous forme de fichiers texte nommés « KIANO-HELP.txt ». Les fichiers porteurs de rançon seront générés dans chaque dossier contenant des données verrouillées.

Selon la note, avant que la routine de cryptage ne soit lancée, le KIANO Ransomware a collecté les données des systèmes compromis et les a exfiltrées vers un serveur distant sous le contrôle des pirates. Si les victimes refusent de répondre aux exigences des criminels, elles menacent de commencer à divulguer les données collectées au public. De plus, les victimes doivent toujours gérer leurs fichiers verrouillés. Sans sauvegardes étendues, le seul moyen de restaurer les fichiers reste le logiciel de décryptage possédé par les opérateurs de KIANO Ransomware.

Pour établir le contact, les utilisateurs disposent de trois adresses e-mail différentes : michaeldrumman1977@tutanota.com, jamescowworkingsa1988@tutanota.com, michaeldrumman1977@protonmail.com, et un lien vers un site Web accessible uniquement via le navigateur TOR. Les utilisateurs sont également autorisés à envoyer jusqu'à 2 fichiers verrouillés qui seront ensuite soi-disant déchiffrés et renvoyés avec d'autres instructions.

Le texte intégral de la note de KIANO Ransomware est :

' Deux choses sont arrivées à votre entreprise.

Des gigaoctets de fichiers archivés que nous avons jugés précieux ou sensibles ont été téléchargés depuis votre réseau vers un emplacement sécurisé.
Lorsque vous nous contactez, nous vous dirons combien de données ont été téléchargées et pouvons fournir une preuve détaillée de l'extraction des données.
Vous pouvez analyser le type de données que nous téléchargeons sur nos sites Web.

Si vous ne nous contactez pas, nous commencerons à divulguer les données périodiquement par parties.

Nous avons également crypté des fichiers sur vos ordinateurs avec des algorithmes de qualité militaire.
Si vous ne disposez pas de sauvegardes étendues, le seul moyen de récupérer vos données est d'utiliser notre logiciel.

La restauration de vos données avec notre logiciel nécessite une clé privée que nous seuls possédons.

Pour confirmer que notre logiciel de décryptage fonctionne, envoyez-nous 2 fichiers cryptés à partir d'ordinateurs aléatoires par e-mail.
Vous recevrez d'autres instructions après nous avoir envoyé les fichiers de test.
Nous veillerons à ce que vous récupériez vos données rapidement et en toute sécurité et vos données que nous avons téléchargées seront supprimées en toute sécurité lorsque nos demandes seront satisfaites.
Si nous ne parvenons pas à un accord, vos données seront divulguées sur ce site Web.

Site Web : hxxp://corpleaks.net
Lien TOR : hxxp://hxt254aygrsziejn.onion

Liste de diffusion :
michaeldrumman1977@tutanota.com
jamescowworkingsa1988@tutanota.com
michaeldrumman1977@protonmail.com .'