Atom RaaS

Atom Ransomware 

(шифровальщик-вымогатель)

Как удалить? Как расшифровать? Как вернуть данные? 
По ссылке выберите Управление "К" МВД России и подайте онлайн-заявление. 
См. также статьи УК РФ: 
ст. 272 "Неправомерный доступ к компьютерной информации" 
ст. 273 "Создание, использование и распространение вредоносных компьютерных программ"

Информация о шифровальщике

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в 0.01 биткоинов, чтобы вернуть файлы. На уплату выкупа даётся трое суток (72 часа). Название оригинальное. К зашифрованным файлам по умолчанию добавляется расширение .locked.

© Генеалогия: Shark > Atom.

История развития: От Shark RaaS до Atom RaaS

Этот крипто-вымогательский проект развился из Shark Ransomware, который был представлен месяц назад, и был не просто переименован, а претерпел ряд изменений. Потому представляет собой стартап новой партнёрской вымогательской программы Atom RaaS.

Как прежде Shark, Atom RaaS также открыто доступен в Интернет, хотя большинство его конкурентов предпочитают анонимность и безопасность, которую обеспечивает име сеть Tor.

Веб-страница Atom также работает на WordPress, но, в отличие от Shark, была переработана панель администратора на главной странице сайта. 

Самое большое изменение между Atom и Shark — это новый Atom Payload Builder, свободно загружаемый EXE-файл, который позволяет преступникам быстро собрать желаемую версию Atom Ransomware.

Теперь Atom Builder генерирует полностью рабочий исполняемый Payload, а не только конфигурационный код, который использовался в EXE-файле у Shark. Это значительно облегчает получение готового бильда вымогателя и лучше работает на дистрибьютора.

На момент написания этой статьи в Builder версии 1.02 было три опции: 
- Bitcoin-адрес для получения дистрибьютором своей доли прибыли; 
- требование выкупа в популярной у вымогателей криптовалюте Bitcoin;  

- список расширений файлов, которые должны быть зашифрованы.

По умолчанию ориентирован на англоязычных пользователей, что не мешает задавать записки о выкупе на любом языке и распространять его по всему миру.

Распространяться может любым стандартным способом: с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

Список файловых расширений, по умолчанию подвергающихся шифрованию: 
.bmp .doc .docx .gif .gif .jpeg .jpg .m4v .mp4 .odt .pdf .png .ppt .pptx .psd .rtf .txt .xls .xlsx

Список целевых расширений также задаётся клиентом в Payload Builder.exe. 

Сервис дешифрования имеется 30 языковых локализаций.

Используя специальный ID-код отслеживания работы аффилятов, управляющий мастер-сервер Atom RaaS может отслеживать из управляющей веб-панели все инсталляции, число жертв, зараженных Atom Ransomware, их ID, число уплативших выкуп и сумму, заработанную партнёром по вымогательству.


Как и у Shark, команда Atom-а забирает 20% от каждого выплаченного жертвами выкупа. По правде говоря, нет никакой гарантии, что люди, вступившие в это неформальное бизнес-соглашение с командой Atom, когда-либо получат свои деньги. Все платежи выкупа Atom фактически направляются в Bitcoin-кошелек, контролируемый командой Atom, которая затем "обещает" переадресовать долю прибыли своим аффилят-партнёрам.

Напоминаю: Вымогательство — это преступление, а не игра! Не играйте в эти игры. Моё дело — предупредить. 

Файлы, связанные с Atom Ransomware: 
Payload Builder.exe

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются.

 Read to links: 
 Write-up on BC
 *
 *

 Thanks: 
 Catalin Cimpanu
 Мне самому за перевод (как SNS-amigo)
 *
 

© Amigo-A (Andrew Ivanov): All blog articles.