• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Alma Locker: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
4,897
Реакции
6,522
Обнаружен вирус-шифровальщик, в котором почти нет изъянов. Всё кажется безупречным...

Распространяется Alma Locker с помощью вредоносных вложений в письма и вредоносных ссылок на сайты, заражённые набором эксплойтов RIG.
rig.jpg
Запустившись в системе и начав шифрование, Alma Locker отправляет на C&C-сервер злоумышленников следующую инфу:
- закрытый ключ шифрования, зашифрованный с AES-128;
- расширение этого зашифрованного файла ключа;
- имя пользователя ПК;
- ID жертвы и LCID её машины;
- название активного сетевого соединения;
- версию установленной ОСи;
- название стоящего в системе антивируса;
- время запуска шифрования.

Шифровальщик пропускает файлы с именами:
$recycle.bin и recycler
windows и system volume information
microsoft и msocache
program files и program files (x86)
programdata
appdata и local settings
chrome
internet explorer
mozilla
unlock_files_


Вымогательские записки: Unlock_files_[random_extension].html и Unlock_files_[random_extension].txt
almalocker-homepage.jpg

Целевые расширения:
файло.png

К зашифрованным файлам добавляется специально сгенерированное для данного ПК сложно-составное расширение .[random_char_extension], в нём может быть 4, 5, 6 (может и больше) случайных букв и цифр. Например, .ff2r, .a5zfn или .t6gppy. Это в корне затрудняет предварительную идентификацию вымогателя, зашифровавшего файлы, и дезориентирует жертвы в поисках помощи.

Кроме этого генерируется многозначный ID жертвы (8 - 20 знаков), который нужен для уплаты выкупа на платежном сайте вымогателей.
decryption-site.png

Пока нет возможности и программного средства дешифровать пострадавшие от Alma Locker файлы. Если что-то изменится, сообщим.

Источник описания вымогателя
 
Последнее редактирование:
Похоже декриптор появился
И да и нет, т.к. такой декриптер не используешь, как обычно.
Это бесполезно для 99 % жертв. Еще 5 дней назад это обсуждали на блиппинге. И в личке.
They cheat and monitor the network traffic before the malware encrypts, which no victim has setup.
"Они [Phishlabs] мухлюют и контролируют сетевой трафик до того, как вредонос начнет шифровать, ни одна жертва так не сможет".
 
Последнее редактирование:
Назад
Сверху Снизу