воскресенье, 1 мая 2016 г.

Alpha

Alpha Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует $400 в подарочных картах iTunes, чтобы вернуть файлы обратно. К счастью, криптовымогатель имеет дефект, потому специалистам не составило особого труда создать дешифратор AlphaDecrypter.


 Требование выкупа в подарочных картах, как и в случае с криптовымогателем TrueCrypter, кажется совершенно глупой затеей. Если основная задача вымогателей — это получение выкупа, то такого выкупа они могут вообще не дождаться. 


 Когда Alpha запускается в первый раз, то основной файл помещается в %APPDATA%\Windows\svchost.exe и прописывается в автозапуск Windows, чтобы запускаться вместе с системой, как только пользователь входит в свою учетку. Далее он сканирует диски жертвы для поиска определенных расширений файлов, затем шифрует их с использованием алгоритма AES-256. К зашифрованным файлам добавляется расширение .encrypt. Если шифрование будет успешно завершено, то исполняемый файл шифровальщика самоудаляется. 


 Особенностью данного шифровальщика является то, что на системном диске, которым, как правило, является диск C: , он шифрует только определенные типы файлов на Рабочем столе, в папке "Мои рисунки" и папке "Cookies". Все остальные папки на системном диске не будут зашифрованы.


 Список файловых расширений на системном диске, подвергающихся шифрованию Alpha Ransomware:

.3ds, .3fr, .3pr, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .aspx, .awg, .backup, .backupdb, .bak, .bat, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .c, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmd, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gif, .gray, .grey, .gry, .h, .h, .hbk, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jar, .java, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .vb .vbs, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra

 На всех остальных жёстких дисках, не сетевых и съемных дисках, он будет шифровать любой файл, который там найдет, в том числе исполняемые файлы. 


 Вымогатель создаёт записку с требованием выкупа Read Me (How Decrypt) !!!!.txt в каждой папке, где были зашифрованы файлы.

Перевод записки о выкупе:
Приветствую,
Мы хотели бы извиниться за неудобства, однако, ваш компьютер был заблокирован. Для того, чтобы разблокировать его, вы должны выполнить следующие шаги:
1. Купить iTunes Gift Cards на общую сумму $ 400,00
2. Отправить gift-коды на указанный email адрес.
3. Получить код и файл для разблокировки компьютера.
Заметьте:
- Номинальная стоимость одной подарочной карты не имеет значения, но общая сумма должна быть как указано выше.
- Можете купить iTunes Gift Card в Интернете или в любом магазине. Напишите коды правильно, иначе ничего не получите.
- После получения кода и файла для разблокировки, ваш компьютер будет разблокирован и уже больше не заблокируется.
Извините за неудобства.

 Из-за ошибки в программе, адреса email, на которые нужно отправить платеж, в вымогательский комплект не вошли.

В завершение криптовымогатель изменяет обои Рабочего стола на собственное изображение (см. скриншот ниже).


Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read Me (How Decrypt) !!!!.txt
svchost.exe

Расположения:
%APPDATA%\Windows\svchost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
criptote@hmamail.com
referas@hmamail.com
terder@hmamail.com
utera@hmamail.com

criptotak@hmamail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as Alpha)
 Write-up, Topic
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Новые комментарии модерируются. Всё, кроме спама, вскоре будет опубликовано.

УВАГА!!!
Новыя каментары мадэруюцца. Усё, акрамя спаму, неўзабаве будзе апублікавана.

УВАГА!!!
Нові коментарі модеруються. Все, крім спаму, незабаром буде опубліковано.

НАЗАР АУДАРЫҢЫЗ!!!
Жаңа пікірлер модерацияланған. Жақын арада спамнан басқа, барлығы да жарияланатын болады.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

ATTENTION!!!
Votre nouveau commentaire sera modéré. Ne répétez pas le, s'il vous plaît. Le spam sera supprimé.

¡ATENCIÓN!
Tu nuevo comentario será moderado. No lo repitas, por favor. El spam se eliminará.

ATENÇÃO!!!
Seu novo comentário será moderado. Não repita, por favor. O spam será excluído.

ATTENZIONE!!!
Il tuo nuovo commento verrà moderato. Non ripeterlo, per favore. Lo spam verrà eliminato.

ATENTO!
Via nova komento estos moderata. Ne ripetu ĝin, bonvolu. Spam estos forigita.

DİKKAT !!!
Yorumunuz moderatör tarafından kontrol edilecektir. Tekrar etmeyin lütfen. Spam silinecek.

इसे पढ़ें !!!
आपकी नई टिप्पणी को नियंत्रित किया जाएगा। कृपया इसे दोहराना न करें। स्पैम हटा दिया जाएगा।

PERHATIAN!!!
Komentar baru Anda akan dimoderasi. Jangan mengulanginya, tolong. Spam akan dihapus.

Pansin !!!
Ang mga bagong komento ay sinusuri ng moderator. Huwag ulitin ito, mangyaring. Tatanggalin ang spam.

注意!!!
您的新评论将被审核。 请不要重复它。 垃圾邮件将被删除。

これを読んで!
あなたの新しいコメントはモデレートされます。 それを繰り返さないでください。 スパムは削除されます。

주의!!!
새 댓글이 검토 될 것입니다. 그것을 복제하지 마십시오. 스팸이 삭제됩니다.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *

Norton Internet Security - комплексная антивирусная защита

Norton Internet Security - комплексная антивирусная защита
Клуб Norton: Ежедневная помощь по продуктам Norton