Идентификация программ-вымогателей с расширением файлов .mkp

Вчера на мой ПК попал ransomware. Я не заплатил выкуп и не выполнил требования злоумышленников, а просто стер все данные на своем ПК и затем переустановил всё с резервной копии, которую я сделал ранее, так что теперь все в порядке. Но перед тем как стереть весь контент, я сделал резервные копии некоторых файлов, которые были зашифрованы программой-вымогателем, чтобы попытаться проанализировать их позже. Теперь, когда всё работает как прежде, мне интересно узнать, какой ransomwear заразил мой ПК.
В каждой директории моего компьютера был создан файл с именем +README-WARNING+.txt, который содержал следующий текст:

::: Приветствия :::

Небольшой FAQ:

.1.
В: Что произошло?
О: Ваши файлы были зашифрованы. Структура файлов не была повреждена, мы сделали все возможное, чтобы этого не произошло.

.2.
В: Как восстановить файлы?
О: Если вы хотите расшифровать свои файлы, вам нужно будет нам заплатить.

.3.
В: Какие гарантии?
О: Это просто бизнес. Нам совершенно наплевать на вас и ваши дела, кроме получения выгоды. Если мы не выполним свою работу и обязательства – никто не будет с нами сотрудничать. Это не в наших >интересах.
Чтобы проверить возможность возврата файлов, вы можете отправить нам любые 2 файла с ПРОСТЫМИ расширениями (jpg, xls, doc и т.д., не базы данных!) и небольшого размера (максимум 1 МБ), мы расшифруем их и отправим вам обратно. Это наша гарантия.

.4.
В: Как с вами связаться?
О: Вы можете написать нам на наши почтовые ящики: [email protected] или [email protected]

.5.
В: Как будет проходить процесс расшифровки после оплаты?
О: После оплаты мы отправим вам нашу программу-сканер-декодер и подробные инструкции по использованию. С этой программой вы сможете расшифровать все ваши зашифрованные файлы.

.6.
В: Если я не хочу платить плохим людям, как вы?
О: Если вы не будете сотрудничать с нашим сервисом – для нас это не имеет значения. Но вы потеряете свое время и данные, поскольку только мы имеем закрытый ключ. На практике – время гораздо ценнее, чем деньги.

:::ОСТОРОЖНО:::
НЕ пытайтесь изменять зашифрованные файлы самостоятельно!
Если вы попытаетесь использовать какое-либо стороннее программное обеспечение для восстановления данных или антивирусные решения – пожалуйста, сделайте резервную копию всех зашифрованных файлов!
Любые изменения в зашифрованных файлах могут привести к повреждению закрытого ключа и, как следствие, к потере всех данных.

Кто-нибудь распознает этот ransomware?
Я не вижу никаких имен в нем и поэтому не знаю, кому он может принадлежать.

Каждый файл на моем системе получил дополнение .[B4ACABE4].[[email protected]].mkp
Например, файл с именем text-file.txt после атаки будет называться text-file.txt.[B4ACABE4].[[email protected]].mkp.

Обои были заменены изображением с сообщением, что мой ПК был взломан, и мне нужно было заплатить, чтобы вернуть свои данные, но я не увидел нигде исполняемого файла для расшифровки файлов, оплаты выкупа или что-то в этом роде.

mkp предполагает, что это ransomware Makop, упомянутая в предупреждении CISA (AA21-287A) от 14 октября 2021 года.

В сентябре 2020 года сотрудники учреждения WWS, расположенного в Нью-Джерси, обнаружили, что потенциальный ransomware Makop скомпрометировал файлы в их системе.

Согласно Digital Recovery

Ransomware MKP является вариантом ransomware Makop, который, как и другие программы-вымогатели, стремится создать семейство/картель.

и

Ransomware Makop расширяется через свою партнерскую программу, RaaS (Ransomware as a Service), тактика, которая направлена на поиск партнеров для осуществления атак, взимая комиссию сверху на стоимость выкупа. Эта тактика предназначена для расширения атак, привнося известность группе.

Более технический анализ ransomware Makop от Томаса Мескаускаса (PCrisk.com) показывает сходства, несмотря на то, что это расширение было изменено. Буква идентична.

Makop – это тип вредоносного ПО, классифицируемого как ransomware. Он работает, шифруя данные зараженных систем и требуя оплату за инструменты/программное обеспечение для расшифровки. В процессе шифрования все затронутые файлы переименовываются в соответствии с этой схемой: оригинальное имя файла, уникальный идентификатор, адрес электронной почты киберпреступников и расширение .makop.

Например, файл с именем 1.jpg будет выглядеть как что-то вроде 1.jpg.[EF7BE7BC].[[email protected]].makop и так далее. После завершения этого процесса на рабочем столе создается текстовый файл с именем readme-warning.txt.

Существует множество вариантов, включая:

• .vassago (Petrovic, 2 марта 2021 года)
• .dark (dnwls0719, 2 апреля 2021 года)
• .mkp (dnwls0719, 3 декабря 2021 года)
• .factfull (GrujaRS, 20 января 2022 года)
• .phmqdw(PCrisk, 12 апреля 2022 года)

Недавно я тоже столкнулся с тем же ransomware — это определенно стрессово! У меня также были файлы с теми же расширениями и сообщение +README-WARNING+.txt повсюду на моем компьютере. Я не хотел платить выкуп, поэтому искал варианты восстановления и наткнулся на сайт восстановления данных. Они смогли идентифицировать точный вариант ransomware и восстановили мои файлы без необходимости платить что-то злоумышленникам. Это заняло некоторое время, но они провели меня через каждый шаг и держали в курсе, что действительно сделало большую разницу. Если вам все еще интересно анализировать файлы, я рекомендую обратиться к ним — они действительно знают, что делают!