Alma Locker – эффективный троян-вымогатель с C&C-сервером в сети Tor

Alma Locker – эффективный троян-вымогатель с C&C-сервером в сети Tor

Уязвимости, позволяющие расшифровать файлы жертв без уплаты выкупа, пока не найдены.

image

Исследователь из компании Proofpoint Дариен Хусс (Darien Huss) обнаружил новое вредоносное ПО Alma Locker, шифрующее файлы на компьютере жертвы и требующее за их восстановление выкуп в размере 1 биткойна, который должен быть уплачен в течение пяти дней.

В последнее время было обнаружено огромное количество новых образцов троянов-шифровальщиков, однако почти все они отличаются слабой реализацией, а C&C-серверы многих из них отключены. Несмотря на наличие некоторых ошибок в реализации, Alma Locker является одной из нескольких обнаруженных недавно вымогательских программ с защищенным алгоритмом шифрования, использующей Tor в качестве рабочего C&C-сервера. Уязвимости, позволяющие расшифровать файлы жертв без уплаты выкупа, пока не найдены.

Как сообщает Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer, Alma Locker распространяется с помощью набора эксплоитов RIG. После установки на систему вредонос генерирует для зашифрованных файлов расширение, состоящее из пяти случайных символов, и восьмизначный идентификатор жертвы. Данный идентификатор состоит из серийного номера диска C:\ и MAC-адреса первого сетевого интерфейса.

Alma Locker шифрует файлы с помощью 128-битного шифрования и добавляет к ним сгенерированное пятизначное расширение. Например, если расширение будет .a5zfn, то после шифрования файл с именем test.jpg превратится в test.jpg.a5zfn.

В процессе шифрования вымогатель отправляет на C&C-сервер следующую информацию: закрытый ключ шифрования, зашифрованный с помощью алгоритма AES-128, расширения файлов, имена пользователя и активного сетевого интерфейса, Locale ID и версию операционной системы, идентификатор пользователя, зарегистрированное Windows антивирусное ПО и временные метки, указывающие время запуска программы.

После завершения процесса шифрования на экране жертвы появляется уведомление с требованием выкупа, а также ссылки на платежный сайт в сети Tor и декриптор. После запуска декриптор подключается к C&C-серверу и проверяет, был ли выплачен выкуп, какая сумма была положена на счет и уложилась ли жертва в пятидневный срок.       

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle