воскресенье, 1 мая 2016 г.

Alpha

Alpha Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует $400 в подарочных картах iTunes, чтобы вернуть файлы обратно. К счастью, криптовымогатель имеет дефект, потому специалистам не составило особого труда создать дешифратор AlphaDecrypter.


 Требование выкупа в подарочных картах, как и в случае с криптовымогателем TrueCrypter, кажется совершенно глупой затеей. Если основная задача вымогателей — это получение выкупа, то такого выкупа они могут вообще не дождаться. 


 Когда Alpha запускается в первый раз, то основной файл помещается в %APPDATA%\Windows\svchost.exe и прописывается в автозапуск Windows, чтобы запускаться вместе с системой, как только пользователь входит в свою учетку. Далее он сканирует диски жертвы для поиска определенных расширений файлов, затем шифрует их с использованием алгоритма AES-256. К зашифрованным файлам добавляется расширение .encrypt. Если шифрование будет успешно завершено, то исполняемый файл шифровальщика самоудаляется. 


 Особенностью данного шифровальщика является то, что на системном диске, которым, как правило, является диск C: , он шифрует только определенные типы файлов на Рабочем столе, в папке "Мои рисунки" и папке "Cookies". Все остальные папки на системном диске не будут зашифрованы.


 Список файловых расширений на системном диске, подвергающихся шифрованию Alpha Ransomware:

.3ds, .3fr, .3pr, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .aspx, .awg, .backup, .backupdb, .bak, .bat, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .c, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmd, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gif, .gray, .grey, .gry, .h, .h, .hbk, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jar, .java, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .vb .vbs, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra

 На всех остальных жёстких дисках, не сетевых и съемных дисках, он будет шифровать любой файл, который там найдет, в том числе исполняемые файлы. 


 Вымогатель создаёт записку с требованием выкупа Read Me (How Decrypt) !!!!.txt в каждой папке, где были зашифрованы файлы.

Перевод записки о выкупе:
Приветствую,
Мы хотели бы извиниться за неудобства, однако, ваш компьютер был заблокирован. Для того, чтобы разблокировать его, вы должны выполнить следующие шаги:
1. Купить iTunes Gift Cards на общую сумму $ 400,00
2. Отправить gift-коды на указанный email адрес.
3. Получить код и файл для разблокировки компьютера.
Заметьте:
- Номинальная стоимость одной подарочной карты не имеет значения, но общая сумма должна быть как указано выше.
- Можете купить iTunes Gift Card в Интернете или в любом магазине. Напишите коды правильно, иначе ничего не получите.
- После получения кода и файла для разблокировки, ваш компьютер будет разблокирован и уже больше не заблокируется.
Извините за неудобства.

 Из-за ошибки в программе, адреса email, на которые нужно отправить платеж, в вымогательский комплект не вошли.

В завершение криптовымогатель изменяет обои Рабочего стола на собственное изображение (см. скриншот ниже).


Распространяется или может распространяться с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
Read Me (How Decrypt) !!!!.txt
svchost.exe

Расположения:
%APPDATA%\Windows\svchost.exe

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
criptote@hmamail.com
referas@hmamail.com
terder@hmamail.com
utera@hmamail.com

criptotak@hmamail.com
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

 Read to links: 
 Tweet on Twitter (n/a)
 ID Ransomware (ID as Alpha)
 Write-up, Topic
 * 
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 *
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *