KIANO Ransomware

Nach der Analyse der neu entdeckten Bedrohung, der KIANO Ransomware, stellten die infosec-Forscher fest, dass es sich bei der KIANO Ransomware um eine Variante der NEFILIM Ransomware- Familie handelt. Eine Variante zu sein, mindert jedoch nicht die zerstörerischen Fähigkeiten der Malware. Jedes mit der KIANO Ransomware infizierte System wird einer Dateiverschlüsselung unterzogen, wodurch fast alle darauf gespeicherten Dateien sowohl unbrauchbar als auch unzugänglich werden. Die Bedrohung markiert die Dateien, die sie verschlüsselt, indem sie ihre ursprünglichen Namen ändern – sie fügt „.KIANO" als neue Dateierweiterung an. Danach werden Lösegeldforderungen als Textdateien mit dem Namen 'KIANO-HELP.txt' auf dem System abgelegt. Die Lösegeld-tragenden Dateien werden in jedem Ordner generiert, der gesperrte Daten enthält.

Dem Vermerk zufolge sammelte die KIANO Ransomware vor Beginn der Verschlüsselungsroutine Daten von den kompromittierten Systemen und schleuste sie auf einen Remote-Server unter der Kontrolle der Hacker. Weigern sich die Opfer, den Forderungen der Kriminellen nachzukommen, drohen sie mit der Veröffentlichung der gesammelten Daten an die Öffentlichkeit. Darüber hinaus müssen sich die Opfer weiterhin mit ihren gesperrten Dateien befassen. Ohne umfangreiche Backups bleibt die einzige Möglichkeit, die Dateien wiederherzustellen, die Entschlüsselungssoftware der KIANO Ransomware-Betreiber.

Um Kontakt aufzunehmen, werden den Benutzern drei verschiedene E-Mail-Adressen hinterlassen - michaeldrumman1977@tutanota.com, jamescowworkingsa1988@tutanota.com, michaeldrumman1977@protonmail.com und ein Link zu einer Website, auf die nur über den TOR-Browser zugegriffen werden kann. Benutzer dürfen auch bis zu 2 gesperrte Dateien senden, die dann angeblich entschlüsselt und zusammen mit weiteren Anweisungen zurückgeschickt werden.

Der vollständige Text des Hinweises von KIANO Ransomware lautet:

„ Ihrer Firma sind zwei Dinge passiert.

Gigabyte an archivierten Dateien, die wir für wertvoll oder sensibel hielten, wurden aus Ihrem Netzwerk an einen sicheren Ort heruntergeladen.
Bei Ihrer Kontaktaufnahme teilen wir Ihnen mit, wie viele Daten heruntergeladen wurden und können die Datenextraktion umfassend nachweisen.
Sie können die Art der Daten, die wir auf unseren Websites herunterladen, analysieren.

Wenn Sie uns nicht kontaktieren, werden wir die Daten in regelmäßigen Abständen in Teilen durchsickern lassen.

Wir haben auch Dateien auf Ihren Computern mit militärischen Algorithmen verschlüsselt.
Wenn Sie keine umfangreichen Backups haben, können Sie Ihre Daten nur mit unserer Software wiederherstellen.

Die Wiederherstellung Ihrer Daten mit unserer Software erfordert einen privaten Schlüssel, den nur wir besitzen.

Um zu bestätigen, dass unsere Entschlüsselungssoftware funktioniert, senden Sie 2 verschlüsselte Dateien von zufälligen Computern per E-Mail an uns.
Weitere Anweisungen erhalten Sie, nachdem Sie uns die Testdateien zugeschickt haben.
Wir sorgen dafür, dass Sie Ihre Daten schnell und sicher abrufen und Ihre heruntergeladenen Daten werden sicher gelöscht, wenn unsere Anforderungen erfüllt sind.
Wenn wir uns nicht einigen, werden Ihre Daten auf dieser Website weitergegeben.

Website: hxxp://corpleaks.net
TOR-Link: hxxp://hxt254aygrsziejn.onion

Mail-Liste:
michaeldrumman1977@tutanota.com
jamescowworkingsa1988@tutanota.com
michaeldrumman1977@protonmail.com .'