Alock Ransomware kommer att låsa ditt system

Under en rutinmässig utvärdering av inlämningar av färska filprover, stötte vår forskargrupp på en typ av ransomware som kallas Alock. Denna ransomware-variant är kopplad till MedusaLocker ransomware-familjen.

I vår testmiljö fungerade Alock ransomware genom att kryptera filer och ändra deras filnamn med tillägget ".alock". Till exempel, en fil som ursprungligen märkts som "1.jpg" blev "1.jpg.alock" efter kryptering, och detta mönster utökades till alla filer som var låsta.

Efter slutförandet av krypteringsproceduren genererades en lösennota med namnet "HOW_TO_BACK_FILES.html". Innehållet i detta meddelande gjorde det uppenbart att Alock främst riktar sig till organisationer snarare än enskilda användare. Dessutom använder denna ransomware en strategi som involverar dubbel utpressning.

Lösensedeln ("HOW_TO_BACK_FILES.html") förmedlade till offret att deras företagsnätverk hade brutits. Vitala filer hade krypterats och känsliga eller personliga uppgifter hade stulits.

Krypteringen av filerna använde kryptografiska algoritmer som RSA och AES, vilket gjorde det omöjligt att dekryptera dem utan ingripande från angriparna. Offret varnades för att varje ändring eller byte av namn på den krypterade informationen, eller varje försök att återställa den med programvara från tredje part, skulle resultera i permanent dekrypteringsfel.

Anteckningen klargjorde att en lösensumma måste betalas för att initiera dekryptering, och underlåtenhet att kontakta cyberbrottslingarna inom 72 timmar skulle leda till en eskalering av det begärda beloppet. Innan offret efterlevde kraven på lösen hade offret möjlighet att testa dekryptering på ett par filer. Skulle offret vägra att betala, skulle den komprometterade informationen antingen avslöjas eller läggas ut till försäljning.

Alock Ransom Note ökar efterfrågan på lösen inom tre dagar

Den fullständiga texten i Alock-lösennotan lyder som följer:

DITT PERSONLIGA ID:

DITT FÖRETAGETS NÄTVERK HAR PENETRERATS
Alla dina viktiga filer har krypterats!

Dina filer är säkra! Endast modifierad. (RSA+AES)

NÅGRA FÖRSÖK ATT ÅTERSTÄLLA DINA FILER MED TREDJEPARTSPROGRAMVARA
KOMMER PERMANENT KORRUPTERA DET.
MODIFIERA INTE KRYPTERADE FILER.
BYT INTE DAMN PÅ KRYPTERADE FILER.

Ingen programvara tillgänglig på internet kan hjälpa dig. Vi är de enda som kan
lösa ditt problem.

Vi samlade in mycket konfidentiella/personliga uppgifter. Dessa data lagras för närvarande på
en privat server. Denna server kommer att förstöras omedelbart efter din betalning.
Om du bestämmer dig för att inte betala kommer vi att lämna ut dina uppgifter till allmänheten eller återförsäljare.
Så du kan förvänta dig att din data kommer att vara offentligt tillgänglig inom en snar framtid.

Vi söker bara pengar och vårt mål är inte att skada ditt rykte eller förhindra
ditt företag från att köra.

Du kan skicka oss 2-3 icke-viktiga filer och vi kommer att dekryptera dem gratis
för att bevisa att vi kan lämna tillbaka dina filer.

Kontakta oss för pris och få dekrypteringsmjukvara.

qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion

Observera att denna server endast är tillgänglig via Tor-webbläsaren

Följ instruktionerna för att öppna länken:

1. Skriv in adressen "hxxps://www.torproject.org" i din webbläsare. Det öppnar Tor-webbplatsen.
2. Tryck på "Ladda ner Tor", tryck sedan på "Ladda ner Tor Browser Bundle", installera och kör det.
3. Nu har du Tor-webbläsaren. Öppna qd7pcafncosqfqu3ha6fcx4h6sr7tzwagzpcdcnytiw3b6varaeqv5yd.onion i Tor Browser
4. Starta en chatt och följ de ytterligare instruktionerna.

Om du inte kan använda länken ovan, använd e-postmeddelandet:
ithelp02@securitymy.name
ithelp02@yousheltered.com

För att kontakta oss, skapa ett nytt gratis e-postkonto på webbplatsen: protonmail.com

OM DU INTE KONTAKAR OSS INOM 72 TIMMAR BLIR PRISET HÖGRE.

Hur kan Ransomware Like Alock infiltrera din dator?

Ransomware som Alock kan infiltrera din dator genom olika metoder och attackvektorer. Här är några vanliga sätt som ransomware kan få åtkomst till ditt system:

• Nätfiske-e-post: En av de vanligaste metoderna är genom nätfiske-e-post. Angripare skickar e-postmeddelanden som verkar legitima, ofta maskerade som en betrodd enhet eller innehåller lockande ämnesrader och bilagor. Dessa bilagor kan innehålla skadliga nyttolaster eller länkar som, när de klickas, laddar ner och kör ransomware.
• Skadliga webbplatser och nedladdningar: Att besöka komprometterade eller skadliga webbplatser kan också leda till ransomware-infektion. Ibland använder angripare exploateringssatser som drar fördel av sårbarheter i din webbläsare eller plugins för att leverera ransomware utan din vetskap.
• Malvertising: Angripare kan injicera skadlig kod i legitima onlineannonser och omdirigera användare till webbplatser som är värd för ransomware. Att bara klicka på en komprometterad annons kan utlösa nedladdning och körning av ransomware.
• Infekterade programvaruinstallatörer: Brottslingar kan äventyra legitima programvaruinstallatörer och kombinera dem med nyttolaster för ransomware. När användare laddar ner och installerar dessa infekterade applikationer, aktiveras ransomware.
• Remote Desktop Protocol (RDP)-attacker: Om din dator har RDP aktiverat och dåligt säkrad, kan angripare utnyttja svaga lösenord eller sårbarheter för att få fjärråtkomst och installera ransomware.
• Sårbarheter i programvara: Ransomware kan utnyttja kända sårbarheter i ditt operativsystem, programvara eller applikationer. Att hålla din programvara uppdaterad med de senaste säkerhetskorrigeringarna kan minska denna risk.
• Social Engineering: Angripare kan manipulera användare till att frivilligt ladda ner och köra ransomware. Detta kan handla om att lura dem att installera vad som verkar vara en legitim programuppdatering eller fil.
• Skadliga e-postbilagor: Bilagor i e-postmeddelanden kan innehålla makron eller skript som kör ransomware när bilagan öppnas. Detta är en vanlig metod för att distribuera ransomware.