Alock Ransomware vil låse systemet ditt

Under en rutineevaluering av innsendinger av ferske fileksempler, kom vår forskningsgruppe over en type løsepengevare kjent som Alock. Denne ransomware-varianten er knyttet til MedusaLocker ransomware-familien.

I vårt testmiljø opererte Alock løsepengevaren ved å kryptere filer og endre filnavnene deres med en ".alock"-utvidelse. For eksempel ble en fil opprinnelig merket som "1.jpg" til "1.jpg.alock" etter kryptering, og dette mønsteret utvidet til alle filer som var låst.

Etter fullføringen av krypteringsprosedyren ble det generert en løsepenge med navnet "HOW_TO_BACK_FILES.html". Innholdet i denne meldingen gjorde det klart at Alock primært retter seg mot organisasjoner i stedet for individuelle brukere. Dessuten bruker denne løsepengevaren en strategi som involverer dobbel utpressing.

Løsepengene ("HOW_TO_BACK_FILES.html") formidlet til offeret at deres bedriftsnettverk var blitt brutt. Vitale filer var kryptert, og sensitive eller personlige data var blitt stjålet.

Krypteringen av filene brukte kryptografiske algoritmer som RSA og AES, noe som gjorde det umulig å dekryptere dem uten inngripen fra angriperne. Offeret ble advart om at enhver endring eller omdøpning av de krypterte dataene, eller ethvert forsøk på å gjenopprette dem ved hjelp av tredjepartsprogramvare, ville resultere i permanent dekrypteringsfeil.

Notatet klargjorde at det måtte betales løsepenger for å sette i gang dekryptering, og manglende kontakt med nettkriminelle innen 72 timer ville føre til en eskalering av det krevde beløpet. Før han etterkom løsepengekravene, hadde offeret muligheten til å teste dekryptering på et par filer. Skulle offeret nekte å betale, vil den kompromitterte informasjonen enten bli avslørt eller lagt ut for salg.

Alock løsepengenotat øker etterspørselen etter løsepenger innen tre dager

Den fullstendige teksten til Alock løsepengenotat lyder som følger:

DIN PERSONLIGE ID:

BEDRIFTSNETTVERKET ER PENETRERT
Alle dine viktige filer er kryptert!

Filene dine er trygge! Kun modifisert. (RSA+AES)

EVENTUELLE FORSØK PÅ Å GJENOPPE FILENE DINE MED TREDJEPARTSPROGRAMVARE
VIL PERMANENT KORRUPTERE DET.
IKKE ENDRE KRYPTERT FILER.
IKKE GI KRYPTERT FILER GJENNOMFØR.

Ingen programvare tilgjengelig på internett kan hjelpe deg. Vi er de eneste som kan
løse problemet ditt.

Vi samlet inn svært konfidensielle/personlige data. Disse dataene er for øyeblikket lagret på
en privat server. Denne serveren vil umiddelbart bli ødelagt etter betalingen din.
Hvis du bestemmer deg for å ikke betale, vil vi frigi dataene dine til offentlig eller videreselger.
Så du kan forvente at dataene dine blir offentlig tilgjengelig i nær fremtid.

Vi søker kun penger og målet vårt er ikke å skade omdømmet ditt eller forhindre
virksomheten din fra å kjøre.

Du kan sende oss 2-3 ikke-viktige filer, og vi vil dekryptere dem gratis
for å bevise at vi er i stand til å gi tilbake filene dine.

Kontakt oss for pris og få dekrypteringsprogramvare.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Merk at denne serveren kun er tilgjengelig via Tor-nettleseren

Følg instruksjonene for å åpne lenken:

1. Skriv inn adressen "hxxps://www.torproject.org" i nettleseren din. Den åpner Tor-siden.
2. Trykk på "Last ned Tor", trykk deretter "Last ned Tor-nettleserpakke", installer og kjør den.
3. Nå har du Tor-nettleseren. Åpne qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion i Tor-nettleseren
4. Start en chat og følg de videre instruksjonene.

Hvis du ikke kan bruke lenken ovenfor, bruk e-posten:
ithelp02@securitymy.name
ithelp02@yousheltered.com

For å kontakte oss, opprett en ny gratis e-postkonto på nettstedet: protonmail.com

HVIS DU IKKE KONTAKTER OSS INNEN 72 TIMER, VIL PRISEN VÆRE HØYERE.

Hvordan kan ransomware som Alock infiltrere datamaskinen din?

Ransomware som Alock kan infiltrere datamaskinen din gjennom ulike metoder og angrepsvektorer. Her er noen vanlige måter løsepengevare kan få tilgang til systemet ditt på:

• Phishing-e-poster: En av de mest utbredte metodene er gjennom phishing-e-poster. Angripere sender e-poster som ser ut til å være legitime, ofte maskert som en pålitelig enhet eller inneholder fristende emnelinjer og vedlegg. Disse vedleggene kan inneholde skadelige nyttelaster eller lenker som, når de klikkes, laster ned og kjører løsepengevaren.
• Ondsinnede nettsteder og nedlastinger: Å besøke kompromitterte eller ondsinnede nettsteder kan også føre til løsepengevareinfeksjon. Noen ganger bruker angripere utnyttelsessett som utnytter sårbarheter i nettleseren din eller plugins for å levere løsepengevaren uten at du vet det.
• Malvertising: Angripere kan injisere ondsinnet kode i legitime nettannonser, og omdirigere brukere til nettsteder som er vert for løsepengeprogramvare. Bare å klikke på en kompromittert annonse kan utløse nedlasting og kjøring av løsepengevaren.
• Infiserte programvareinstallatører: Kriminelle kan kompromittere legitime programvareinstallatører ved å samle dem med løsepengelaster. Når brukere laster ned og installerer disse infiserte applikasjonene, blir løsepengevaren aktivert.
• Remote Desktop Protocol (RDP)-angrep: Hvis datamaskinen din har RDP aktivert og dårlig sikret, kan angripere utnytte svake passord eller sårbarheter for å få ekstern tilgang og installere løsepengeprogramvare.
• Programvaresårbarheter: Ransomware kan utnytte kjente sårbarheter i operativsystemet, programvaren eller applikasjonene dine. Å holde programvaren oppdatert med de nyeste sikkerhetsoppdateringene kan redusere denne risikoen.
• Sosial teknikk: Angripere kan manipulere brukere til å laste ned og kjøre løsepengeprogramvare. Dette kan innebære å lure dem til å installere det som ser ut til å være en legitim programvareoppdatering eller fil.
• Ondsinnede e-postvedlegg: Vedlegg i e-poster kan inneholde makroer eller skript som kjører løsepengeprogramvare når vedlegget åpnes. Dette er en vanlig metode for å distribuere løsepengevare.