Το Alock Ransomware θα κλειδώσει το σύστημά σας

Κατά τη διάρκεια μιας τακτικής αξιολόγησης νέων υποβολών δειγμάτων αρχείων, η ερευνητική μας ομάδα συνάντησε έναν τύπο ransomware γνωστό ως Alock. Αυτή η παραλλαγή ransomware συνδέεται με την οικογένεια ransomware MedusaLocker.

Στο περιβάλλον δοκιμών μας, το ransomware Alock λειτουργούσε κρυπτογραφώντας αρχεία και τροποποιώντας τα ονόματα των αρχείων τους με επέκταση ".alock". Για παράδειγμα, ένα αρχείο με την αρχική επισήμανση "1.jpg" έγινε "1.jpg.alock" μετά την κρυπτογράφηση και αυτό το μοτίβο επεκτάθηκε σε όλα τα αρχεία που ήταν κλειδωμένα.

Μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης, δημιουργήθηκε ένα σημείωμα λύτρων με το όνομα "HOW_TO_BACK_FILES.html". Το περιεχόμενο αυτού του μηνύματος κατέστησε προφανές ότι το Alock στοχεύει κυρίως οργανισμούς και όχι μεμονωμένους χρήστες. Επιπλέον, αυτό το ransomware χρησιμοποιεί μια στρατηγική που περιλαμβάνει διπλό εκβιασμό.

Το σημείωμα λύτρων ("HOW_TO_BACK_FILES.html") μετέφερε στο θύμα ότι το εταιρικό του δίκτυο είχε παραβιαστεί. Τα ζωτικά αρχεία είχαν κρυπτογραφηθεί και τα ευαίσθητα ή προσωπικά δεδομένα είχαν κλαπεί.

Η κρυπτογράφηση των αρχείων χρησιμοποίησε κρυπτογραφικούς αλγόριθμους όπως RSA και AES, καθιστώντας αδύνατη την αποκρυπτογράφηση τους χωρίς την παρέμβαση των εισβολέων. Το θύμα προειδοποιήθηκε ότι οποιαδήποτε αλλαγή ή μετονομασία των κρυπτογραφημένων δεδομένων ή οποιαδήποτε απόπειρα ανάκτησής τους χρησιμοποιώντας λογισμικό τρίτου μέρους, θα είχε ως αποτέλεσμα μόνιμη αποτυχία αποκρυπτογράφησης.

Το σημείωμα διευκρίνιζε ότι έπρεπε να καταβληθούν λύτρα για να ξεκινήσει η αποκρυπτογράφηση και η αποτυχία επικοινωνίας με τους εγκληματίες του κυβερνοχώρου εντός 72 ωρών θα οδηγούσε σε κλιμάκωση του απαιτούμενου ποσού. Πριν συμμορφωθεί με τις απαιτήσεις για λύτρα, το θύμα είχε την επιλογή να δοκιμάσει την αποκρυπτογράφηση σε μερικά αρχεία. Εάν το θύμα αρνηθεί να πληρώσει, οι παραβιασμένες πληροφορίες είτε θα εκτεθούν είτε θα διατεθούν προς πώληση.

Το Alock Ransom Note αυξάνει τη ζήτηση λύτρων εντός τριών ημερών

Το πλήρες κείμενο του σημειώματος λύτρων Alock έχει ως εξής:

Η ΠΡΟΣΩΠΙΚΗ ΣΑΣ ΤΑΥΤΟΤΗΤΑ:

ΤΟ ΕΤΑΙΡΙΚΟ ΔΙΚΤΥΟ ΣΑΣ ΕΧΕΙ ΔΙΕΙΣΧΥΘΕΙ
Όλα τα σημαντικά αρχεία σας έχουν κρυπτογραφηθεί!

Τα αρχεία σας είναι ασφαλή! Μόνο τροποποιημένο. (RSA+AES)

ΟΠΟΙΑΔΗΠΟΤΕ ΠΡΟΣΠΑΘΕΙΑ ΑΠΟΚΑΤΑΣΤΑΣΗΣ ΤΩΝ ΑΡΧΕΙΩΝ ΣΑΣ ΜΕ ΛΟΓΙΣΜΙΚΟ ΤΡΙΤΩΝ
ΘΑ ΤΟ ΔΙΑΦΘΩΣΕΙ ΜΟΝΙΜΩΣ.
ΜΗΝ ΤΡΟΠΟΠΟΙΕΙΤΕ ΚΡΥπτογραφημένα ΑΡΧΕΙΑ.
ΜΗ ΜΕΤΟΝΟΜΑΣΙΑ ΚΡΥΠΤΟΓΡΑΦΗΜΕΝΩΝ ΑΡΧΕΙΩΝ.

Κανένα λογισμικό που διατίθεται στο διαδίκτυο δεν μπορεί να σας βοηθήσει. Είμαστε οι μόνοι που μπορούμε
λύσε το πρόβλημά σου.

Συγκεντρώσαμε άκρως εμπιστευτικά/προσωπικά δεδομένα. Αυτά τα δεδομένα αποθηκεύονται αυτήν τη στιγμή στο
έναν ιδιωτικό διακομιστή. Αυτός ο διακομιστής θα καταστραφεί αμέσως μετά την πληρωμή σας.
Εάν αποφασίσετε να μην πληρώσετε, θα δημοσιοποιήσουμε τα δεδομένα σας ή θα μεταπωλήσουμε.
Έτσι, μπορείτε να περιμένετε τα δεδομένα σας να είναι δημόσια διαθέσιμα στο εγγύς μέλλον..

Επιδιώκουμε μόνο χρήματα και στόχος μας δεν είναι να βλάψουμε τη φήμη σας ή να αποτρέψουμε
η επιχείρησή σας από τη λειτουργία.

Μπορείτε να μας στείλετε 2-3 μη σημαντικά αρχεία και θα τα αποκρυπτογραφήσουμε δωρεάν
για να αποδείξουμε ότι είμαστε σε θέση να δώσουμε πίσω τα αρχεία σας.

Επικοινωνήστε μαζί μας για τιμή και λάβετε λογισμικό αποκρυπτογράφησης.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.κρεμμύδι

Σημειώστε ότι αυτός ο διακομιστής είναι διαθέσιμος μόνο μέσω του προγράμματος περιήγησης Tor

Ακολουθήστε τις οδηγίες για να ανοίξετε τον σύνδεσμο:

1. Πληκτρολογήστε τις διευθύνσεις "hxxps://www.torproject.org" στο πρόγραμμα περιήγησής σας στο Διαδίκτυο. Ανοίγει τον ιστότοπο Tor.
2. Πατήστε "Λήψη Tor", στη συνέχεια πατήστε "Λήψη δέσμης προγράμματος περιήγησης Tor", εγκαταστήστε το και εκτελέστε το.
3. Τώρα έχετε το πρόγραμμα περιήγησης Tor. Στο πρόγραμμα περιήγησης Tor ανοίξτε το qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
4. Ξεκινήστε μια συνομιλία και ακολουθήστε τις περαιτέρω οδηγίες.

Εάν δεν μπορείτε να χρησιμοποιήσετε τον παραπάνω σύνδεσμο, χρησιμοποιήστε το email:
ithelp02@securitymy.name
ithelp02@yousheltered.com

Για να επικοινωνήσετε μαζί μας, δημιουργήστε έναν νέο δωρεάν λογαριασμό email στον ιστότοπο: protonmail.com

ΕΑΝ ΔΕΝ ΕΠΙΚΟΙΝΩΝΗΣΕΤΕ ΜΑΖΙ ΜΑΣ ΕΝΤΟΣ 72 ΩΡΩΝ, Η ΤΙΜΗ ΘΑ ΕΙΝΑΙ ΥΨΗΛΗ.

Πώς μπορεί το Ransomware όπως το Alock να διεισδύσει στον υπολογιστή σας;

Ransomware όπως το Alock μπορεί να διεισδύσει στον υπολογιστή σας μέσω διαφόρων μεθόδων και φορέων επίθεσης. Ακολουθούν ορισμένοι συνήθεις τρόποι με τους οποίους το ransomware μπορεί να αποκτήσει πρόσβαση στο σύστημά σας:

• Ηλεκτρονικά μηνύματα ηλεκτρονικού ψαρέματος: Μία από τις πιο διαδεδομένες μεθόδους είναι μέσω μηνυμάτων ηλεκτρονικού ψαρέματος. Οι επιτιθέμενοι στέλνουν μηνύματα ηλεκτρονικού ταχυδρομείου που φαίνονται νόμιμα, συχνά μεταμφιεσμένα σε αξιόπιστη οντότητα ή περιέχουν δελεαστικές γραμμές θέματος και συνημμένα. Αυτά τα συνημμένα ενδέχεται να περιέχουν κακόβουλα ωφέλιμα φορτία ή συνδέσμους στους οποίους, όταν κάνετε κλικ, πραγματοποιούν λήψη και εκτέλεση του ransomware.
• Κακόβουλοι ιστότοποι και λήψεις: Η επίσκεψη σε παραβιασμένους ή κακόβουλους ιστότοπους μπορεί επίσης να οδηγήσει σε μόλυνση με ransomware. Μερικές φορές, οι εισβολείς χρησιμοποιούν κιτ εκμετάλλευσης που εκμεταλλεύονται τις ευπάθειες στο πρόγραμμα περιήγησής σας ή τις προσθήκες για να παραδώσουν το ransomware χωρίς να το γνωρίζετε.
• Κακόβουλη διαφήμιση: Οι εισβολείς μπορούν να εισάγουν κακόβουλο κώδικα σε νόμιμες διαδικτυακές διαφημίσεις, ανακατευθύνοντας τους χρήστες σε ιστότοπους που φιλοξενούν ransomware. Το απλό κλικ σε μια παραβιασμένη διαφήμιση μπορεί να ενεργοποιήσει τη λήψη και την εκτέλεση του ransomware.
• Μολυσμένα προγράμματα εγκατάστασης λογισμικού: Οι εγκληματίες μπορούν να θέσουν σε κίνδυνο τους νόμιμους εγκαταστάτες λογισμικού, ομαδοποιώντας τους με ωφέλιμα φορτία ransomware. Όταν οι χρήστες κάνουν λήψη και εγκατάσταση αυτών των μολυσμένων εφαρμογών, το ransomware ενεργοποιείται.
• Επιθέσεις πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP): Εάν ο υπολογιστής σας έχει ενεργοποιημένο το RDP και είναι ανεπαρκώς ασφαλισμένο, οι εισβολείς μπορούν να εκμεταλλευτούν αδύναμους κωδικούς πρόσβασης ή ευπάθειες για να αποκτήσουν απομακρυσμένη πρόσβαση και να εγκαταστήσουν ransomware.
• Ευπάθειες λογισμικού: Το Ransomware μπορεί να εκμεταλλευτεί γνωστές ευπάθειες στο λειτουργικό σύστημα, το λογισμικό ή τις εφαρμογές σας. Η διατήρηση του λογισμικού σας ενημερωμένο με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας μπορεί να μετριάσει αυτόν τον κίνδυνο.
• Κοινωνική Μηχανική: Οι εισβολείς ενδέχεται να χειραγωγήσουν τους χρήστες ώστε να κατεβάσουν και να εκτελέσουν πρόθυμα ransomware. Αυτό θα μπορούσε να περιλαμβάνει την εξαπάτησή τους για να εγκαταστήσουν κάτι που φαίνεται να είναι μια νόμιμη ενημέρωση λογισμικού ή αρχείο.
• Κακόβουλα συνημμένα ηλεκτρονικού ταχυδρομείου: Τα συνημμένα στα μηνύματα ηλεκτρονικού ταχυδρομείου ενδέχεται να περιέχουν μακροεντολές ή σενάρια που εκτελούν ransomware όταν ανοίγει το συνημμένο. Αυτή είναι μια κοινή μέθοδος για τη διανομή ransomware.