Alfa Ransomware: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 7 июл 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Шифровальщик ALFA, не путать с ALPHA!

    Новый криптовымогатель Alfa использует два различных имени, одно из которых - Alpha Ransomware - используется в записке о выкупе, а второе - Alfa Decryptor - на на сайте TOR, где выполняются операции по уплате выкупа. Alfa Decryptor на платежном сайте позиционируется с собственным логотипом, из чего можно сделать вывод, что в новых модификациях / итерациях останется название Alfa.

    alpha-payment-header.png

    Дэвы (дэвелоперы) толи поздно спохватились, толи вообще сидели в танке и не знали, что название Alpha Ransomware ранее уже было занято другим криптовымогателем. Портал SafeZone.сс своевременно проинформировал общественность о появления раннего Alpha Ransomware, того самого, который удивил всех требованиями выкупа в подарочных картах iTunes. Дэвы новой Альфы могли бы и не спасовать, если бы внимательно читали заголовки новостей.

    Записок о выкупе две - одна в HTML, а другая в TXT-формате:
    README HOW TO DECRYPT YOUR FILES.HTML
    README HOW TO DECRYPT YOUR FILES.TXT

    Что касается текста, то он столь обширен, что его содержимое занимает два с половиной экрана 19" монитора. Читать не перечитать.
    ransomware-note-header (1).png

    Скринлока вроде бы нет, пока нет. После созданного логотипа, думаю, что девелоперы Альфы еще подсуетятся и на свой скринлок для рабочего стола.

    Alfa Ransomware требует выкуп то в 1 BTC, то в 1.5. С чем это связано, можно только догадываться. :Biggrin:

    Зашифрованные файлы получают новое расширение .bin
    Имя файла меняется на рэндомное, из английских букв, цифр и знаков.
    Шаблон зашифрованного файла следующий [10_random_chars].bin или просто .bin (есть разные сообщения).
    Список целевых файловых расширений включает 142 единицы.
    [​IMG]

    Распространяется вымогатель посредством email-спама с заражёнными файлами doc и wsf. Запустившись в системе прописывается в Автозагрузку под названием MSEstl, а исполняемый файл находится по пути %UserProfile%\AppData\Roaming\Microsoft\Essential\msestl32.exe.

    Файлы Alfa Ransomware:
    Записи реестра Alfa Ransomware:
    PS. Есть предположение, что Alfa является новым детищем дэвелоперов Cerber.
     
    Последнее редактирование модератором: 4 авг 2016
    Охотник и thyrex нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    В записках о выкупе Alfa Ransomware нет ничего необычного, стандартные слова и рекомендации по уплате выкупа.
    Но одна фраза, если кто-то их вообще читает, кроме пострадавшей стороны, может стать своеобразной "визиткой" вымогателей, стоящих за этим Ransomware.

    Даю синхронный перевод:
    Alpha Ransomware Project is not malicious and is not intended to harm a person and his/her information data.
    Проект Alpha Ransomware не вредоносен и не служит для вреда людям и их информационным данным.
    The project is created for the sole purpose of instruction regarding information security, as well as certification of antivirus software for their suitability for data protection.
    Проект создан с целью обучения информационной безопасности, а также сертификации антивирусных программ на их пригодность для защиты данных.
    Together we make the Internet a better and safer place.
    Вместе мы сделаем Интернет лучше и безопаснее.

    Еще один EduCrypt, но какой ценой.
    Сейчас:
    1 bitcoin (BTC) равняется 42151 российским рублям (RUB), 1351 новым белорусским рублям (BYN), 612,9 евро (EUR), 672 долларам (USD), 16673 гривнам (UAH)... :Big Boss:
     
    Охотник нравится это.

Поделиться этой страницей