1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Alma Locker: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 23 авг 2016.

  1. SNS-amigo

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.217
    Симпатии:
    8.913
    Обнаружен вирус-шифровальщик, в котором почти нет изъянов. Всё кажется безупречным...

    Распространяется Alma Locker с помощью вредоносных вложений в письма и вредоносных ссылок на сайты, заражённые набором эксплойтов RIG.
    rig.
    Запустившись в системе и начав шифрование, Alma Locker отправляет на C&C-сервер злоумышленников следующую инфу:
    - закрытый ключ шифрования, зашифрованный с AES-128;
    - расширение этого зашифрованного файла ключа;
    - имя пользователя ПК;
    - ID жертвы и LCID её машины;
    - название активного сетевого соединения;
    - версию установленной ОСи;
    - название стоящего в системе антивируса;
    - время запуска шифрования.

    Шифровальщик пропускает файлы с именами:
    $recycle.bin и recycler
    windows и system volume information
    microsoft и msocache
    program files и program files (x86)
    programdata
    appdata и local settings
    chrome
    internet explorer
    mozilla
    unlock_files_


    Вымогательские записки: Unlock_files_[random_extension].html и Unlock_files_[random_extension].txt
    almalocker-homepage.

    Целевые расширения:
    файло.

    К зашифрованным файлам добавляется специально сгенерированное для данного ПК сложно-составное расширение .[random_char_extension], в нём может быть 4, 5, 6 (может и больше) случайных букв и цифр. Например, .ff2r, .a5zfn или .t6gppy. Это в корне затрудняет предварительную идентификацию вымогателя, зашифровавшего файлы, и дезориентирует жертвы в поисках помощи.

    Кроме этого генерируется многозначный ID жертвы (8 - 20 знаков), который нужен для уплаты выкупа на платежном сайте вымогателей.
    decryption-site.

    Пока нет возможности и программного средства дешифровать пострадавшие от Alma Locker файлы. Если что-то изменится, сообщим.

    Источник описания вымогателя
     
    Последнее редактирование: 23 авг 2016
    lilia-5-0, Кирилл и Охотник нравится это.
  2. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
    akok нравится это.
  3. SNS-amigo

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.217
    Симпатии:
    8.913
    И да и нет, т.к. такой декриптер не используешь, как обычно.
    Это бесполезно для 99 % жертв. Еще 5 дней назад это обсуждали на блиппинге. И в личке.
    "Они [Phishlabs] мухлюют и контролируют сетевой трафик до того, как вредонос начнет шифровать, ни одна жертва так не сможет".
     
    Последнее редактирование: 30 авг 2016
    lilia-5-0, Охотник и thyrex нравится это.
Загрузка...

Поделиться этой страницей