Alma Locker Ransomware
(шифровальщик-вымогатель)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES-128, а затем требует выкуп в 1 биткоин, чтобы вернуть файлы обратно. На уплату выкупа даётся 5 суток.
К зашифрованным файлам добавляется сгенерированное для ПК жертвы расширение по шаблону .[random_5_char], но в расширении может быть 4, 5 или 6 случайных букв и цифр. Например, .a5zfn.
Также генерируется многозначный ID жертвы (от 8 до 20 знаков), который затем нужен для уплаты выкупа в биткоинах.
Записки с требованием выкупа называются:
Unlock_files_<random_extension>.txt
Unlock_files_<random_extension>.html
Например: Unlock_files_a5zfn.txt или Unlock_files_a5zfn.html
Содержание записки о выкупе:
Your flies are encrypted!
Your ID: cecfb512
You can unlock .a5zfn files using these instructions:
1) Download decrypter mirrors:
http://***2eiimafg74.torstorm.org/decrypter.exe
http://***2eiimafg74.onion.nu/decrypter.exe
http://***2eiimafg74.onion.cab/decrypter.exe
http://***2eiimafg74.onion.Iink/decrypter.exe
http://***2eiimafg74.onion.to/decrypter.exe
2) Read decrypting instructions on our website:
http://***2eiimafg74.torstorm.org/
http://***2eiimafg74.onion.nu/
http://***2eiimafg74.onion.cab/
http://***2eiimafg74.onion.Iink/
http://***2eiimafg74.onion.to/
3) If you can't access these websites from your browser, you have to download TOR browser:
https://www.torproiect.org/projects/torbrowser.html
4) Follow this link via Tor Browser:
http://***2ejjmafg74.onion
Перевод записки на русский язык:
Ваши файлы зашифрованы!
Ваш ID: cecfb512
Вы можете разблокировать .a5zfn файлы, используя следующие инструкции:
1) Скачать декриптер с зеркал:
http://***2eiimafg74.torstorm.org/decrypter.exe
http://***2eiimafg74.onion.nu/decrypter.exe
http://***2eiimafg74.onion.cab/decrypter.exe
http://***2eiimafg74.onion.Iink/decrypter.exe
http://***2eiimafg74.onion.to/decrypter.exe
2) Прочитать инструкции дешифровки на нашем сайте:
http://***2eiimafg74.torstorm.org/
http://***2eiimafg74.onion.nu/
http://***2eiimafg74.onion.cab/
http://***2eiimafg74.onion.Iink/
http://***2eiimafg74.onion.to/
3) Если не можете получить доступ к сайтам вашим браузером, нужно загрузить Tor-браузер:
https://www.torproiect.org/projects/torbrowser.html
4) Перейдите по ссылке в Tor-браузере:
http://***2ejjmafg74.onion
Распространяется с помощью email-спама и вредоносных вложений, вредоносных сайтов и набора эксплойтов RIG.
Криптовымогатель отправляет на C&C-сервер злоумышленников следующую информацию:
- закрытый ключ шифрования, зашифрованный с помощью AES-128;
- расширение зашифрованного файла этого ключа;
- имя и ID пользователя;
- LCID машины жертвы;
- название активного сетевого интерфейса;
- версию установленной операционной системы;
- название установленного антивирусного ПО;
- отметка времени запуска шифровальщика.
По окончании жертве показывается записка о выкупе.
Список файловых расширений, подвергающихся шифрованию:
.1cd, .3ds, .3gp, .accdb, .ape, .asp, .aspx, .bc6, .bc7, .bmp, .cdr, .cer, .cfg, .cfgx, .cpp, .cr2, .crt, .crw, .csr, .csv, .dbf, .dbx, .dcr, .dfx, .dib, .djvu, .doc, .docm, .docx, .dwg, .dwt, .dxf, .dxg, .eps, .htm, .html, .ibank, .indd, .jfif, .jpe, .jpeg, .jpg, .kdc, .kwm, .max, .mdb, .mdf, .odb, .odc, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdf, .pef, .pem, .pfx, .php, .png, .pps, .ppt, .pptm, .pptx, .psd, .pst, .pub, .pwm, .qbb, .qbw, .raw, .rtf, .sln, .sql, .sqlite, .svg, .tif, .tiff, .txt, .vcf, .wallet, .wpd, .xls, .xlsm, .xlsx, .xml
При шифровании пропускаются файлы и папки с названиями:
$recycle.bin
system volume information
program files
programdata
program files (x86)
windows
internet explorer
microsoft
mozilla
chrome
appdata
local settings
recycler
msocache
Unlock_files_
Сайт вымогателей в сети Tor выглядит следующим образом:
Декриптер от вымогателей выглядит следующим образом:
Текст с экрана декриптера:
Your files are encrypted!
Price for key: 1 BTC
It means you are no longer able to access them without the private decryption key which is stored on our server. You have 120 hours to make a decision. Send the specified BTC amount within the specified time to the specified Bitcoin payment address. Otherwise, the key will be completely erased from our server and your files will not ever be recovered.
Перевод на русский:
Ваши файлы зашифрованы!
Цена за ключ: 1 BTC
Это значит, что вы не получите доступ к ним без секретного ключа дешифрования, который хранится на нашем сервере. У вас есть 120 часов на решение. Выслать указанную сумму BTC в указанное время на указаный Bitcoin-адрес. Иначе ключ будет стерт с нашего сервера и ваши файлы никогда не будут восстановлены.
Файлы, связанные с Ransomware:
Unlock_files_[random_extension].html
Unlock_files_[random_extension].txt
Записи реестра, связанные с Ransomware:
***
Источник
Подробный анализ
Степень распространённости: низкая.
Подробные сведения собираются.
Комментариев нет:
Отправить комментарий
ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.