Alock Ransomware заблокирует вашу систему

Во время плановой проверки новых образцов файлов наша исследовательская группа наткнулась на программу-вымогатель, известную как Alock. Этот вариант программы-вымогателя связан с семейством программ-вымогателей MedusaLocker.

В нашей тестовой среде программа-вымогатель Alock работала путем шифрования файлов и изменения их имен с расширением «.alock». Например, файл, изначально помеченный как «1.jpg», после шифрования стал «1.jpg.alock», и этот шаблон распространился на все заблокированные файлы.

После завершения процедуры шифрования была создана записка с требованием выкупа под названием «HOW_TO_BACK_FILES.html». Содержание этого сообщения показало, что Alock в первую очередь нацелен на организации, а не на отдельных пользователей. Кроме того, этот вымогатель использует стратегию двойного вымогательства.

Записка с требованием выкупа ("HOW_TO_BACK_FILES.html") сообщила жертве, что их корпоративная сеть была взломана. Важные файлы были зашифрованы, а конфиденциальные или личные данные были украдены.

Для шифрования файлов использовались криптографические алгоритмы, такие как RSA и AES, что делало невозможным их расшифровку без вмешательства злоумышленников. Жертва была предупреждена, что любое изменение или переименование зашифрованных данных или любая попытка восстановить их с помощью стороннего программного обеспечения приведет к необратимому сбою дешифрования.

В записке уточнялось, что для начала расшифровки необходимо заплатить выкуп, а отсутствие связи с киберпреступниками в течение 72 часов приведет к увеличению требуемой суммы. Прежде чем выполнить требования о выкупе, у жертвы была возможность протестировать расшифровку на нескольких файлах. Если жертва откажется платить, скомпрометированная информация будет либо раскрыта, либо выставлена на продажу.

Записка о выкупе Alock повышает спрос на выкуп в течение трех дней

Полный текст записки Alock о выкупе выглядит следующим образом:

ВАШ ЛИЧНЫЙ ID:

СЕТЬ ВАШЕЙ КОМПАНИИ БЫЛА ВЗЛОМАНА
Все ваши важные файлы были зашифрованы!

Ваши файлы в безопасности! Только модифицированный. (РСА+АЕС)

ЛЮБАЯ ПОПЫТКА ВОССТАНОВИТЬ ВАШИ ФАЙЛЫ С ПОМОЩЬЮ СТОРОННЕГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
НАВСЕГДА РАЗРУШИТ ЕГО.
НЕ ИЗМЕНЯЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.
НЕ ПЕРЕИМЕНОВЫВАЙТЕ ЗАШИФРОВАННЫЕ ФАЙЛЫ.

Никакое программное обеспечение, доступное в Интернете, не может вам помочь. Мы единственные, кто может
решить вашу проблему.

Мы собрали строго конфиденциальные/личные данные. Эти данные в настоящее время хранятся на
частный сервер. Этот сервер будет немедленно уничтожен после оплаты.
Если вы решите не платить, мы опубликуем ваши данные для всех или реселлера.
Таким образом, вы можете ожидать, что ваши данные станут общедоступными в ближайшем будущем.

Мы ищем только деньги, и наша цель не в том, чтобы навредить вашей репутации или предотвратить
ваш бизнес от запуска.

Вы можете отправить нам 2-3 неважных файла и мы их бесплатно расшифруем
чтобы доказать, что мы можем вернуть ваши файлы.

Свяжитесь с нами, чтобы узнать цену и получить программное обеспечение для расшифровки.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Обратите внимание, что этот сервер доступен только через браузер Tor.

Следуйте инструкциям, чтобы открыть ссылку:

1. Введите адрес «hxxps://www.torproject.org» в своем интернет-браузере. Он открывает сайт Tor.
2. Нажмите «Скачать Tor», затем нажмите «Скачать Tor Browser Bundle», установите и запустите его.
3. Теперь у вас есть браузер Tor. В браузере Tor откройте qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion.
4. Начните чат и следуйте дальнейшим инструкциям.

Если вы не можете использовать вышеуказанную ссылку, используйте электронную почту:
ithelp02@securitymy.name
ithelp02@youshelted.com

Чтобы связаться с нами, создайте новую бесплатную учетную запись электронной почты на сайте: protonmail.com

ЕСЛИ ВЫ НЕ СВЯЖЕТЕСЬ С НАМИ В ТЕЧЕНИЕ 72 ЧАСОВ, ЦЕНА БУДЕТ ВЫШЕ.

Как программы-вымогатели, такие как Alock, могут проникнуть на ваш компьютер?

Программы-вымогатели, такие как Alock, могут проникнуть на ваш компьютер с помощью различных методов и направлений атак. Вот несколько распространенных способов, с помощью которых программы-вымогатели могут получить доступ к вашей системе:

• Фишинговые электронные письма: один из наиболее распространенных методов — это фишинговые электронные письма. Злоумышленники отправляют электронные письма, которые кажутся законными, часто маскируясь под доверенное лицо или содержащие заманчивые строки темы и вложения. Эти вложения могут содержать вредоносную полезную нагрузку или ссылки, которые при нажатии загружают и запускают программу-вымогатель.
• Вредоносные веб-сайты и загрузки. Посещение скомпрометированных или вредоносных веб-сайтов также может привести к заражению программами-вымогателями. Иногда злоумышленники используют наборы эксплойтов, которые используют уязвимости в вашем браузере или плагинах для доставки программ-вымогателей без вашего ведома.
• Вредоносная реклама: Злоумышленники могут внедрять вредоносный код в законные онлайн-объявления, перенаправляя пользователей на веб-сайты, на которых размещаются программы-вымогатели. Простое нажатие на скомпрометированное объявление может вызвать загрузку и выполнение программы-вымогателя.
• Зараженные установщики программного обеспечения. Преступники могут скомпрометировать законные установщики программного обеспечения, связав их с полезными нагрузками программ-вымогателей. Когда пользователи загружают и устанавливают эти зараженные приложения, программа-вымогатель активируется.
• Атаки по протоколу удаленного рабочего стола (RDP): если на вашем компьютере включен RDP и он плохо защищен, злоумышленники могут использовать слабые пароли или уязвимости для получения удаленного доступа и установки программ-вымогателей.
• Уязвимости программного обеспечения: программы-вымогатели могут использовать известные уязвимости в вашей операционной системе, программном обеспечении или приложениях. Поддержание вашего программного обеспечения в актуальном состоянии с помощью последних исправлений безопасности может снизить этот риск.
• Социальная инженерия: Злоумышленники могут манипулировать пользователями, заставляя их добровольно загружать и запускать программы-вымогатели. Это может включать в себя обман, чтобы заставить их установить то, что кажется законным обновлением программного обеспечения или файлом.
• Вредоносные вложения электронной почты. Вложения в сообщениях электронной почты могут содержать макросы или сценарии, запускающие программы-вымогатели при открытии вложения. Это распространенный метод распространения программ-вымогателей.