Kitu 病毒是 勒索软件类型感染的 STOP/DJVU 系列。 此病毒会加密您的文件(视频、照片、文档),这些文件可以通过特定的“.kitu”扩展名进行跟踪。 它使用强大的加密方法,这使得无法以任何方式计算密钥。
Kitu 为每个受害者使用唯一的密钥,但有一个例外:
- 如果 Kitu 在开始加密过程之前无法建立与其命令和控制服务器(C&C Server)的连接,它会使用离线密钥。 此密钥对所有受害者都是相同的,因此可以解密在勒索软件攻击期间加密的文件。
我收集了完整的中和 Kitu 病毒和解密文件的所有可能解决方案、提示和做法的集合。 在某些情况下,恢复文件很容易。 有时这是不可能的。
有几种通用的方法可以恢复加密的 .kitu 文件,下面将进行演示。 仔细阅读整个说明手册并确保全部理解是至关重要的。 不要跳过任何步骤。 这些步骤中的每一个都非常重要,必须由您完成。
Kitu 病毒?
☝️ Kitu 可以正确识别为 STOP/DJVU 勒索软件感染.
Kitu
🤔 Kitu 病毒是源自 DJVU/STOP 家族的勒索软件。 它的主要目的是加密对您很重要的文件。 之后,勒索软件病毒向受害者索要比特币赎金(490 美元至 980 美元)。
Kitu 勒索软件是一种特定类型的恶意软件,它会加密您的文件,然后迫使您付费恢复它们。 Djvu/STOP 勒索软件系列由病毒分析师 Michael Gillespie 首次披露和分析。
Kitu 病毒与其他 DJVU 勒索软件类似:Mitu, Kizu, Kiqu。 该病毒会加密所有流行的文件类型,并将其特定的“.kitu”扩展名添加到所有文件中。 例如,文件“1.jpg”将被更改为“1.jpg.kitu”。 加密完成后,病毒会生成一个特殊的消息文件“_readme.txt”并将其放入包含修改文件的所有文件夹中。
下图清晰地展示了带有“.kitu”扩展名的文件的外观:
Kitu 文件(STOP/DJVU 勒索软件)
| 姓名 | 病毒 Kitu |
| 勒索软件家族1 | DJVU/STOP2 勒索软件 |
| 扩大 | .kitu |
| 勒索软件说明 | _readme.txt |
| 赎金 | 从 490 美元到 980 美元(以比特币计) |
| 接触 | [email protected], [email protected] |
| 检测 | Trojan:MSIL/AgentTesla.GFQ!MTB, Ransom:Win32/Play!ml, GenCBL.Ransom.FileCryptor.DDS |
| 症状 |
|
| 修复工具 |
要删除可能的恶意软件感染,请扫描您的 PC:
提供 6 天免费试用。 |
此文本要求付款是为了通过解密密钥取回文件:
_readme.txt (STOP/DJVU Ransomware) – 要求用户支付赎金以解密编码数据的可怕警报包含这些令人沮丧的警告
Kitu 勒索软件以一组进程的形式出现,这些进程旨在在受害者的计算机上执行不同的任务。 最先启动的程序之一是 winupdate.exe,这是一个棘手的进程,会在攻击期间显示虚假的 Windows 更新提示。 这是为了让受害者相信系统突然变慢是由 Windows 更新引起的。 但是,与此同时,勒索软件会运行另一个进程(通常由四个随机字符命名),该进程开始扫描系统以查找目标文件并对其进行加密。 接下来,勒索软件使用以下 CMD 命令从系统中删除卷影副本:
vssadmin.exe Delete Shadows /All /Quiet
删除后,无法恢复以前的计算机状态使用系统还原点。 问题是,勒索软件运营商正在摆脱任何基于 Windows 操作系统的方法,这些方法可以帮助受害者免费恢复文件。 此外,骗子通过添加域列表并将它们映射到本地主机 IP 来修改 Windows HOSTS 文件。 因此,受害者在访问其中一个被阻止的网站时会遇到 DNS_PROBE_FINISHED_NXDOMAIN 错误。
我们注意到勒索软件试图阻止为计算机用户发布各种操作指南的网站。 很明显,通过限制特定域,骗子正试图阻止受害者在线获取相关且有用的勒索软件攻击相关信息。 该病毒还会在受害者的计算机上保存两个文本文件,提供与攻击相关的详细信息——受害者的公共加密密钥和个人 ID。 这两个文件称为 bowsakkdestx.txt 和 PersonalID.txt。
在所有这些修改之后,恶意软件并没有停止。 STOP/DJVU 的变体倾向于在受感染的系统上删除 Vidar 密码窃取木马。 这种威胁有很长的功能列表,例如:
- 窃取 Steam、Telegram、Skype 登录名/密码;
- 窃取加密货币钱包;
- 将恶意软件下载到计算机并运行它;
- 窃取浏览器 cookie、保存的密码、浏览历史记录等;
- 查看和操作受害者计算机上的文件;
- 允许黑客远程在受害者的计算机上执行其他任务。
DJVU/STOP 勒索软件使用的加密算法是 AES-256。 因此,如果您的文档使用在线解密密钥加密,这是完全不同的。 可悲的现实是,没有唯一密钥就不可能解密文件。
如果 Kitu 在在线模式下工作,您将无法访问 AES-256 密钥。 它存储在推广 Kitu 病毒的欺诈者拥有的远程服务器上。
接收解密密钥的付款应为 980 美元。 为了获取付款细节,该消息鼓励受害者通过电子邮件([email protected])联系欺诈者.
不要为Kitu买单!
请尝试使用可用的备份或 Decrypter 工具
_readme.txt 文件还表明计算机所有者必须在文件被加密后的 72 小时内与 Kitu 代表取得联系。 在72小时内联系的条件下,用户将获得50%的返利。 因此,赎金金额将降至 490 美元)。 但是,远离支付赎金!
我强烈建议您不要联系这些欺诈行为,也不要付款。 恢复丢失数据的最有效的解决方案之一 – 只需使用可用的备份,或使用 Decrypter 工具。
所有此类病毒的特殊性都应用了一组类似的操作来生成唯一的解密密钥以恢复加密数据。
因此,除非勒索软件仍处于开发阶段或存在一些难以追踪的缺陷,否则您无法手动恢复加密数据。 防止丢失宝贵数据的唯一解决方案是定期备份重要文件。
请注意,即使您确实定期维护此类备份,也应该将它们放在特定位置,不要闲逛,不要连接到您的主工作站。
例如,可以将备份保存在 USB 闪存驱动器或一些替代的外部硬盘驱动器存储中。 或者,您可以参考在线(云)信息存储的帮助。
不用说,当您在常用设备上维护备份数据时,它可能会像其他数据一样被加密。
出于这个原因,在您的主 PC 上找到备份肯定不是一个好主意。
我是怎么被感染的?
勒索软件有多种方法可以内置到您的系统中。 但在你的情况下使用什么方法并不重要。.
网络钓鱼尝试成功后的 Kitu 攻击。
- 与其他应用一起隐藏安装,尤其是作为免费软件或共享软件运行的实用程序;
- 垃圾邮件中指向病毒安装程序的可疑链接
- 在线免费托管资源;
- 使用非法点对点 (P2P) 资源下载盗版软件。
在某些情况下,Kitu 病毒被伪装成某种合法工具,例如,在要求启动一些不需要的软件或浏览器更新的消息中。 这通常是一些在线欺诈旨在迫使您手动安装 Kitu 勒索软件的方式,实际上是让您直接参与此过程。
当然,虚假更新警报不会表明您将实际注入勒索软件。 此安装将隐藏在一些警告下,提到据称您应该更新 Adobe Flash Player 或其他一些可疑程序。
当然,破解的应用程序也代表着损害。 使用 P2P 是非法的,并且可能导致注入严重的恶意软件,包括 Kitu 勒索软件。
总而言之,您可以做些什么来避免将 Kitu 勒索软件注入您的设备? 尽管没有 100% 的保证可以防止您的 PC 受到损坏,但我想给您一些技巧来防止 Kitu 渗透。 今天安装免费软件时必须小心。
确保您始终阅读除主要免费程序之外的安装程序提供的内容。 远离打开可疑的电子邮件附件。 不要打开来自未知收件人的文件。 当然,您当前的安全程序必须始终更新。
该恶意软件不会公开谈论自己。 它不会在您的可用程序列表中提及。 但是,它会被一些在后台定期运行的恶意进程所掩盖,从您启动 PC 的那一刻开始。
如何删除 Kitu 病毒?
除了对受害者的文件进行编码外,Kitu 病毒还开始在计算机上安装 Vidar Stealer,以窃取帐户凭据、加密货币钱包、桌面文件等。
-
运行设置文件。
-
按“安装”按钮。
-
安装后,反恶意软件将自动运行。
-
等待完成。
-
点击“立即清理”。
Leave a Comment