Alock Ransomware låser dit system

Under en rutinemæssig evaluering af indsendelser af nye filprøver stødte vores forskningsgruppe på en type ransomware kendt som Alock. Denne ransomware-variant er knyttet til MedusaLocker ransomware-familien.

I vores testmiljø fungerede Alock ransomware ved at kryptere filer og ændre deres filnavne med filtypenavnet ".alock". For eksempel blev en fil oprindeligt mærket som "1.jpg" til "1.jpg.alock" efter kryptering, og dette mønster udvides til alle filer, der var låst.

Efter afslutningen af krypteringsproceduren blev der genereret en løsesum med navnet "HOW_TO_BACK_FILES.html". Indholdet af denne meddelelse gjorde det klart, at Alock primært er rettet mod organisationer frem for individuelle brugere. Desuden anvender denne ransomware en strategi, der involverer dobbelt afpresning.

Løsesedlen ("HOW_TO_BACK_FILES.html") formidlet til offeret, at deres virksomhedsnetværk var blevet brudt. Vitale filer var blevet krypteret, og følsomme eller personlige data var blevet stjålet.

Krypteringen af filerne brugte kryptografiske algoritmer som RSA og AES, hvilket gjorde det umuligt at dekryptere dem uden indgriben fra angriberne. Offeret blev advaret om, at enhver ændring eller omdøbning af de krypterede data, eller ethvert forsøg på at gendanne dem ved hjælp af tredjepartssoftware, ville resultere i permanent dekrypteringsfejl.

Notatet præciserede, at der skulle betales løsesum for at igangsætte dekryptering, og manglende kontakt til de cyberkriminelle inden for 72 timer ville føre til en eskalering af det krævede beløb. Før offeret efterkom løsesumskravene, havde offeret mulighed for at teste dekryptering på et par filer. Skulle offeret nægte at betale, vil de kompromitterede oplysninger enten blive afsløret eller sat til salg.

Alock Ransom Note øger efterspørgsel efter løsesum inden for tre dage

Den fulde tekst af Alock løsesumsedlen lyder som følger:

DIT PERSONLIGE ID:

DIT VIRKSOMHEDSNETVÆRK ER BLEVET PENETRERET
Alle dine vigtige filer er blevet krypteret!

Dine filer er sikre! Kun modificeret. (RSA+AES)

EVENTUELLE FORSØG PÅ GENDANNELSE AF DINE FILER MED TREDJEPARTS SOFTWARE
VIL PERMANENT KORRUPTERE DET.
MODIFICER IKKE KRYPTEREDE FILER.
OMKRYPT IKKE KRYPTEREDE FILER.

Ingen software tilgængelig på internettet kan hjælpe dig. Det er vi de eneste, der kan
løse dit problem.

Vi indsamlede meget fortrolige/personlige data. Disse data er i øjeblikket gemt på
en privat server. Denne server vil straks blive ødelagt efter din betaling.
Hvis du beslutter dig for ikke at betale, vil vi frigive dine data til offentligheden eller videresælgeren.
Så du kan forvente, at dine data bliver offentligt tilgængelige i den nærmeste fremtid.

Vi søger kun penge, og vores mål er ikke at skade dit omdømme eller forhindre
din virksomhed fra at køre.

Du kan sende os 2-3 ikke-vigtige filer, og vi vil dekryptere dem gratis
for at bevise, at vi er i stand til at give dine filer tilbage.

Kontakt os for pris og få dekrypteringssoftware.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Bemærk, at denne server kun er tilgængelig via Tor-browser

Følg instruktionerne for at åbne linket:

1. Indtast adressen "hxxps://www.torproject.org" i din internetbrowser. Det åbner Tor-webstedet.
2. Tryk på "Download Tor", og tryk derefter på "Download Tor Browser Bundle", installer og kør den.
3. Nu har du Tor browser. Åbn qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion i Tor-browseren
4. Start en chat og følg de yderligere instruktioner.

Hvis du ikke kan bruge ovenstående link, så brug e-mailen:
ithelp02@securitymy.name
ithelp02@yousheltered.com

For at kontakte os skal du oprette en ny gratis e-mail-konto på webstedet: protonmail.com

HVIS DU IKKE KONTAKTER OS INDEN FOR 72 TIMER, VIL PRISEN VÆRE HØJERE.

Hvordan kan ransomware som Alock infiltrere din computer?

Ransomware som Alock kan infiltrere din computer gennem forskellige metoder og angrebsvektorer. Her er nogle almindelige måder, hvorpå ransomware kan få adgang til dit system:

• Phishing-e-mails: En af de mest udbredte metoder er gennem phishing-e-mails. Angribere sender e-mails, der virker legitime, ofte udgivet som en betroet enhed eller indeholder lokkende emnelinjer og vedhæftede filer. Disse vedhæftede filer kan indeholde ondsindede nyttelaster eller links, der, når de klikkes, downloader og udfører ransomwaren.
• Ondsindede websteder og downloads: Besøg af kompromitterede eller ondsindede websteder kan også føre til ransomware-infektion. Nogle gange bruger angribere udnyttelsessæt, der udnytter sårbarheder i din browser eller plugins til at levere ransomware uden din viden.
• Malvertising: Angribere kan injicere ondsindet kode i legitime onlineannoncer og omdirigere brugere til websteder, der hoster ransomware. Blot at klikke på en kompromitteret annonce kan udløse download og eksekvering af ransomware.
• Inficerede softwareinstallatører: Kriminelle kan kompromittere lovlige softwareinstallatører ved at samle dem med ransomware-nyttelast. Når brugere downloader og installerer disse inficerede applikationer, bliver ransomwaren aktiveret.
• Remote Desktop Protocol (RDP)-angreb: Hvis din computer har RDP aktiveret og dårligt sikret, kan angribere udnytte svage adgangskoder eller sårbarheder til at få fjernadgang og installere ransomware.
• Softwaresårbarheder: Ransomware kan udnytte kendte sårbarheder i dit operativsystem, software eller applikationer. At holde din software opdateret med de nyeste sikkerhedsrettelser kan mindske denne risiko.
• Social Engineering: Angribere kan manipulere brugere til frivilligt at downloade og udføre ransomware. Dette kunne indebære at narre dem til at installere, hvad der ser ud til at være en legitim softwareopdatering eller -fil.
• Ondsindede e-mailvedhæftede filer: Vedhæftede filer i e-mails kan indeholde makroer eller scripts, der udfører ransomware, når den vedhæftede fil åbnes. Dette er en almindelig metode til at distribuere ransomware.