Alfa Ransomware: Описание и вариации

SNS-amigo

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,072
Реакции
8,130
Баллы
793
Шифровальщик ALFA, не путать с ALPHA!

Новый криптовымогатель Alfa использует два различных имени, одно из которых - Alpha Ransomware - используется в записке о выкупе, а второе - Alfa Decryptor - на на сайте TOR, где выполняются операции по уплате выкупа. Alfa Decryptor на платежном сайте позиционируется с собственным логотипом, из чего можно сделать вывод, что в новых модификациях / итерациях останется название Alfa.

alpha-payment-header.png

Дэвы (дэвелоперы) толи поздно спохватились, толи вообще сидели в танке и не знали, что название Alpha Ransomware ранее уже было занято другим криптовымогателем. Портал SafeZone.сс своевременно проинформировал общественность о появления раннего Alpha Ransomware, того самого, который удивил всех требованиями выкупа в подарочных картах iTunes. Дэвы новой Альфы могли бы и не спасовать, если бы внимательно читали заголовки новостей.

Записок о выкупе две - одна в HTML, а другая в TXT-формате:
README HOW TO DECRYPT YOUR FILES.HTML
README HOW TO DECRYPT YOUR FILES.TXT

Что касается текста, то он столь обширен, что его содержимое занимает два с половиной экрана 19" монитора. Читать не перечитать.
ransomware-note-header (1).png

Скринлока вроде бы нет, пока нет. После созданного логотипа, думаю, что девелоперы Альфы еще подсуетятся и на свой скринлок для рабочего стола.

Alfa Ransomware требует выкуп то в 1 BTC, то в 1.5. С чем это связано, можно только догадываться. :Biggrin:

Зашифрованные файлы получают новое расширение .bin
Имя файла меняется на рэндомное, из английских букв, цифр и знаков.
Шаблон зашифрованного файла следующий [10_random_chars].bin или просто .bin (есть разные сообщения).
Список целевых файловых расширений включает 142 единицы.


Распространяется вымогатель посредством email-спама с заражёнными файлами doc и wsf. Запустившись в системе прописывается в Автозагрузку под названием MSEstl, а исполняемый файл находится по пути %UserProfile%\AppData\Roaming\Microsoft\Essential\msestl32.exe.

Файлы Alfa Ransomware:
%UserProfile%\AppData\Roaming\Microsoft\Essential\msestl32.exe
README HOW TO DECRYPT YOUR FILES.HTML
README HOW TO DECRYPT YOUR FILES.TXT
Записи реестра Alfa Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MSEstl %UserProfile%\AppData\Roaming\Microsoft\Essential\msestl32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\[random]
PS. Есть предположение, что Alfa является новым детищем дэвелоперов Cerber.
 
Последнее редактирование модератором:
SNS-amigo

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,072
Реакции
8,130
Баллы
793
В записках о выкупе Alfa Ransomware нет ничего необычного, стандартные слова и рекомендации по уплате выкупа.
Но одна фраза, если кто-то их вообще читает, кроме пострадавшей стороны, может стать своеобразной "визиткой" вымогателей, стоящих за этим Ransomware.

Даю синхронный перевод:
Alpha Ransomware Project is not malicious and is not intended to harm a person and his/her information data.
Проект Alpha Ransomware не вредоносен и не служит для вреда людям и их информационным данным.
The project is created for the sole purpose of instruction regarding information security, as well as certification of antivirus software for their suitability for data protection.
Проект создан с целью обучения информационной безопасности, а также сертификации антивирусных программ на их пригодность для защиты данных.
Together we make the Internet a better and safer place.
Вместе мы сделаем Интернет лучше и безопаснее.

Еще один EduCrypt, но какой ценой.
Сейчас:
1 bitcoin (BTC) равняется 42151 российским рублям (RUB), 1351 новым белорусским рублям (BYN), 612,9 евро (EUR), 672 долларам (USD), 16673 гривнам (UAH)... :Big Boss:
 
Сверху Снизу