„Alock Ransomware“ užblokuos jūsų sistemą

Įprastai vertindama naujus pateiktų failų pavyzdžius, mūsų tyrimų grupė susidūrė su išpirkos reikalaujančia programine įranga, žinoma kaip Alock. Šis išpirkos reikalaujančių programų variantas yra susietas su MedusaLocker išpirkos reikalaujančių programų šeima.

Mūsų testavimo aplinkoje „Alock“ išpirkos reikalaujanti programinė įranga veikė šifruodama failus ir pakeisdama jų pavadinimus „.alock“ plėtiniu. Pavyzdžiui, failas, iš pradžių pažymėtas kaip „1.jpg“, po šifravimo tapo „1.jpg.alock“, ir šis modelis buvo taikomas visiems užrakintiems failams.

Užbaigus šifravimo procedūrą, buvo sugeneruotas išpirkos laiškas pavadinimu „HOW_TO_BACK_FILES.html“. Iš šio pranešimo turinio paaiškėjo, kad „Alock“ pirmiausia skirta organizacijoms, o ne atskiriems vartotojams. Be to, ši išpirkos programa naudoja strategiją, apimančią dvigubą turto prievartavimą.

Išpirkos rašte („HOW_TO_BACK_FILES.html“) aukai buvo pranešta, kad buvo pažeistas jų įmonės tinklas. Svarbūs failai buvo užšifruoti, o slapti arba asmens duomenys buvo pavogti.

Šifruojant failus buvo naudojami kriptografiniai algoritmai, tokie kaip RSA ir AES, todėl jų neįmanoma iššifruoti be užpuolikų įsikišimo. Auka buvo įspėta, kad bet koks šifruotų duomenų pakeitimas ar pervardijimas arba bandymas juos atkurti naudojant trečiosios šalies programinę įrangą sukels nuolatinį iššifravimo gedimą.

Raštelyje paaiškinta, kad norint pradėti iššifravimą, reikia sumokėti išpirką, o jei per 72 valandas nepavyks susisiekti su kibernetiniais nusikaltėliais, reikalaujama suma padidėtų. Prieš vykdydama išpirkos reikalavimus, auka turėjo galimybę išbandyti kelių failų iššifravimą. Jei auka atsisakytų mokėti, sugadinta informacija būtų atskleista arba parduodama.

Alock Ransom Note padidina išpirkos poreikį per tris dienas

Visas Alocko išpirkos rašto tekstas skamba taip:

JŪSŲ ASMENS ID:

JŪSŲ ĮMONĖS TINKLAS BUVO PASIKVERTAS
Visi jūsų svarbūs failai buvo užšifruoti!

Jūsų failai yra saugūs! Tik modifikuotas. (RSA+AES)

BETOKIE BANDYMAI ATSTATYTI JŪSŲ FAILUS SU TREČIŲJŲ ŠALIŲ PROGRAMINĖ ĮRANGA
NEMOKAMAI KORUMPUOŠ.
NEMODIKUOKITE KRIPTŲ FAILŲ.
NEPERVARDYKITE KRIPTŲ FAILŲ.

Jokia internete prieinama programinė įranga negali jums padėti. Mes vieninteliai sugebame
išspręsti savo problemą.

Mes rinkome labai konfidencialius / asmeninius duomenis. Šiuo metu šie duomenys yra saugomi
privatus serveris. Šis serveris bus nedelsiant sunaikintas po jūsų mokėjimo.
Jei nuspręsite nemokėti, mes paskelbsime jūsų duomenis viešai arba perpardavėjui.
Taigi galite tikėtis, kad artimiausiu metu jūsų duomenys bus viešai prieinami.

Mes tik siekiame pinigų ir mūsų tikslas nėra pakenkti jūsų reputacijai ar užkirsti kelią
jūsų verslas nebebus vykdomas.

Galite atsiųsti mums 2-3 nesvarbius failus ir mes juos iššifruosime nemokamai
įrodyti, kad galime grąžinti jūsų failus.

Susisiekite su mumis dėl kainos ir gaukite iššifravimo programinę įrangą.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Atminkite, kad šis serveris pasiekiamas tik per „Tor“ naršyklę

Norėdami atidaryti nuorodą, vadovaukitės instrukcijomis:

1. Interneto naršyklėje įveskite adresą „hxxps://www.torproject.org“. Atidaroma „Tor“ svetainė.
2. Paspauskite „Atsisiųsti Tor“, tada paspauskite „Atsisiųsti Tor naršyklės paketą“, įdiekite ir paleiskite.
3. Dabar turite „Tor“ naršyklę. „Tor“ naršyklėje atidarykite qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion
4. Pradėkite pokalbį ir vadovaukitės tolesniais nurodymais.

Jei negalite naudoti aukščiau esančios nuorodos, naudokite el.
ithelp02@securitymy.name
ithelp02@yousheltered.com

Norėdami susisiekti su mumis, susikurkite naują nemokamą el. pašto paskyrą svetainėje: protonmail.com

JEI NESUSISIEKITE SU MUMIS PER 72 VALANDAS, KAINA BUS DIDESNĖ.

Kaip „Ransomware“ kaip „Alock“ gali įsiskverbti į jūsų kompiuterį?

Išpirkos reikalaujančios programos, tokios kaip Alock, gali įsiskverbti į jūsų kompiuterį įvairiais būdais ir atakuoti vektorius. Štai keletas bendrų būdų, kaip išpirkos reikalaujančios programos gali gauti prieigą prie jūsų sistemos:

• Sukčiavimo el. laiškai: vienas iš labiausiai paplitusių būdų yra sukčiavimo el. laiškai. Užpuolikai siunčia el. laiškus, kurie atrodo teisėti, dažnai apsimetę patikimu subjektu arba su viliojančiomis temos eilutėmis ir priedais. Šiuose prieduose gali būti kenkėjiškų naudingų dalykų arba nuorodų, kurias spustelėjus atsisiunčiama ir vykdoma išpirkos reikalaujanti programa.
• Kenkėjiškos svetainės ir atsisiuntimai: apsilankymas pažeistose arba kenkėjiškose svetainėse taip pat gali sukelti išpirkos reikalaujančią programinę įrangą. Kartais užpuolikai naudoja išnaudojimo rinkinius, kurie naudojasi jūsų naršyklės pažeidžiamumu arba papildiniais, kad pristatytų išpirkos reikalaujančią programinę įrangą be jūsų žinios.
• Kenkėjiška reklama: užpuolikai gali įvesti kenkėjišką kodą į teisėtus internetinius skelbimus, nukreipdami vartotojus į svetaines, kuriose yra išpirkos reikalaujančios programos. Paprasčiausiai spustelėjus pažeistą skelbimą, gali būti atsiųsta ir vykdoma išpirkos reikalaujanti programa.
• Užkrėstos programinės įrangos diegimo programos: nusikaltėliai gali pažeisti teisėtus programinės įrangos montuotojus, susiedami juos su išpirkos reikalaujančiomis programomis. Kai vartotojai atsisiunčia ir įdiegia šias užkrėstas programas, išpirkos reikalaujanti programa suaktyvinama.
• Nuotolinio darbalaukio protokolo (RDP) atakos: jei jūsų kompiuteryje įjungtas RDP ir jis prastai apsaugotas, užpuolikai gali pasinaudoti silpnais slaptažodžiais arba pažeidžiamumu, kad gautų nuotolinę prieigą ir įdiegtų išpirkos reikalaujančią programinę įrangą.
• Programinės įrangos pažeidžiamumas: Ransomware gali išnaudoti žinomus jūsų operacinės sistemos, programinės įrangos ar programų pažeidžiamumus. Šią riziką galite sumažinti atnaujindami programinę įrangą su naujausiomis saugos pataisomis.
• Socialinė inžinerija: užpuolikai gali manipuliuoti naudotojais, kad jie noriai atsisiųstų ir paleistų išpirkos reikalaujančią programinę įrangą. Tai gali reikšti, kad jie bus priversti įdiegti, atrodo, teisėtą programinės įrangos naujinį arba failą.
• Kenkėjiški el. pašto priedai: el. laiškų prieduose gali būti makrokomandų arba scenarijų, kurie atidarant priedą paleidžia išpirkos programą. Tai yra įprastas išpirkos reikalaujančių programų platinimo būdas.