Alma Locker: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 23 авг 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    Обнаружен вирус-шифровальщик, в котором почти нет изъянов. Всё кажется безупречным...

    Распространяется Alma Locker с помощью вредоносных вложений в письма и вредоносных ссылок на сайты, заражённые набором эксплойтов RIG.
    rig.jpg
    Запустившись в системе и начав шифрование, Alma Locker отправляет на C&C-сервер злоумышленников следующую инфу:
    - закрытый ключ шифрования, зашифрованный с AES-128;
    - расширение этого зашифрованного файла ключа;
    - имя пользователя ПК;
    - ID жертвы и LCID её машины;
    - название активного сетевого соединения;
    - версию установленной ОСи;
    - название стоящего в системе антивируса;
    - время запуска шифрования.

    Шифровальщик пропускает файлы с именами:
    $recycle.bin и recycler
    windows и system volume information
    microsoft и msocache
    program files и program files (x86)
    programdata
    appdata и local settings
    chrome
    internet explorer
    mozilla
    unlock_files_


    Вымогательские записки: Unlock_files_[random_extension].html и Unlock_files_[random_extension].txt
    almalocker-homepage.jpg

    Целевые расширения:
    файло.png

    К зашифрованным файлам добавляется специально сгенерированное для данного ПК сложно-составное расширение .[random_char_extension], в нём может быть 4, 5, 6 (может и больше) случайных букв и цифр. Например, .ff2r, .a5zfn или .t6gppy. Это в корне затрудняет предварительную идентификацию вымогателя, зашифровавшего файлы, и дезориентирует жертвы в поисках помощи.

    Кроме этого генерируется многозначный ID жертвы (8 - 20 знаков), который нужен для уплаты выкупа на платежном сайте вымогателей.
    decryption-site.png

    Пока нет возможности и программного средства дешифровать пострадавшие от Alma Locker файлы. Если что-то изменится, сообщим.

    Источник описания вымогателя
     
    Последнее редактирование: 23 авг 2016
    lilia-5-0, Kиpилл и Охотник нравится это.
  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.475
    Симпатии:
    3.099
    akok нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.222
    Симпатии:
    8.904
    И да и нет, т.к. такой декриптер не используешь, как обычно.
    Это бесполезно для 99 % жертв. Еще 5 дней назад это обсуждали на блиппинге. И в личке.
    "Они [Phishlabs] мухлюют и контролируют сетевой трафик до того, как вредонос начнет шифровать, ни одна жертва так не сможет".
     
    Последнее редактирование: 30 авг 2016
    lilia-5-0, Охотник и thyrex нравится это.

Поделиться этой страницей