Alcatraz Locker

Alcatraz Locker Ransomware 

   Этот крипто-вымогатель шифрует данные пользователей с помощью AES-256, а затем требует выкуп в ~0.3283 BTC, чтобы вернуть файлы. Название упомянуто в коде вымогателями. 

© Генеалогия: выясняется.

К зашифрованным файлам добавляется расширение .Alcatraz

Активность этого криптовымогателя пришлась на октябрь 2016 г. Ориентирован на англоязычных пользователей.

Записка с требованием выкупа размещается на рабочем столе и называется: ransomed.html

Для её отображения принудительно запускается браузер Firefox (файл firefox.exe), если он установлен в системе. 

Содержание записки о выкупе (это веб-страница со ссылками на пяти языках на страницу помощи:
ALL YOUR DATA ARE ENCRYPTED
Help | Aiuto | Au secours | Ayuda | Hilfe
***

Перевод записки на русский язык:
ВСЕ ВАШИ ДАННЫЕ ЗАШИФРОВАНЫ
Помощь (англ.)| Помощь (португ.) | Помощь (франц.)| Помощь (исп.) | Помощь  (нем.)
***

На момент проверки некоторые Tor-адреса не открывались. 

Технические детали

Распространяется с помощью email-спама и вредоносных вложений, фальшивых обновлений, перепакованных и заражённых инсталляторов.

➤ Для шифрования файлов используется системные функции Windows (API-интерфейс шифрования).

➤ В записке о выкупа говорится, что используется шифрование AES-256 с 128-битовым паролем. На самом деле в этом шифровании применяется 128-байтовый, а не 128-битовый пароль, но еще используется 160-битовый хэш (SHA1) в качестве исходного ключа для 256-битового шифрования AES. В API-интерфейсе шифрования это реализуется следующим образом:
- Создается 256-битовый массив, заполняемый hex-значением 0x36.
- К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
- Рассчитывается SHA1 массива, к которому была применена функция XOR (как бы Hash1).
- Создается 256-битовый массив, заполняемый hex-значением 0x5C.
- К первым 160 битам этого массива с начальным 160-битовым хэшем SHA1 применяется функция XOR.
- Рассчитывается SHA1 массива, к которому была применена функция XOR (как бы Hash2).
- Затем 160 битов Hash1 и 96 битов Hash2 объединяются.
-Получившийся объединенный хэш используется в качестве исходного ключа для AES256.


➤ После выполнения шифрования AES-256 вымогатель Alcatraz Locker также кодирует уже зашифрованный файл с помощью позиционной системы счисления с основанием 64 (BASE64), в результате чего зашифрованный файл приводится к типичной модели:

➤ Указанный в записке 30-дневный срок, тоже обман: расшифровать свои документы можно в любое время, даже спустя 30 дней. Используйте для дешифровки после Alcatraz Locker дешифровщик от Avast.  

Список файловых расширений, подвергающихся шифрованию:
все файлы, находящиеся в директории пользователей C:\Users

Файлы, связанные с Alcatraz Ransomware:
ransomed.html
demo01.exe
gmpopenh264.dll

Расположения: 
%USERPROFILE%\Desktop\ransomed.html

Записи реестра, связанные с Alcatraz Ransomware:
См. гибридный анализ ниже. 

Сетевые подключения:
i3ezlvkoi7fwyood.onion
aa2stvtvgxo6mv5y.onion.to
jhomitevd2abj3fk.onion.to
217.197.83.197
и др., см. гибридный анализ ниже. 

Связанные ссылки:
***www.myexternalip.com - проверяется IP ПК жертвы. 

Новая версия от 30 октября 2016:
Новые варианты записки о выкупе с тем же названием: ransomed.html
Добавились языки: русский, китайский, японский. 

Результаты анализов:
Гибридный анализ >> 
VirusTotal анализ >>  VT>> VT>>
VirusTotal анализ ещё >>

Степень распространённости: низкая.
Подробные сведения собираются.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

Внимание!
Для зашифрованных файлов есть дешифровщик
Скачать Avast free decryption tool >>
***

 Read to links: 
 Tweet on Twitter, Tweet
 ID Ransomware
 Avast-блог

 Thanks: 
 Karsten Hahn
 Michael Gillespie
 xXToffeeXx
 Avast

© Amigo-A (Andrew Ivanov): All blog articles.