Информационные технологииТехнологииПоиск

Alma Locker – эффективный троян-вымогатель с C&C-сервером в сети Tor

Уязвимости, позволяющие расшифровать файлы жертв без уплаты выкупа, пока не найдены.




Исследователь из компании Proofpoint Дариен Хусс (Darien Huss) обнаружил новое вредоносное ПО Alma Locker, шифрующее файлы на компьютере жертвы и требующее за их восстановление выкуп в размере 1 биткойна, который должен быть уплачен в течение пяти дней.


В последнее время было обнаружено огромное количество новых образцов троянов-шифровальщиков, однако почти все они отличаются слабой реализацией, а C&C-серверы многих из них отключены. Несмотря на наличие некоторых ошибок в реализации, Alma Locker является одной из нескольких обнаруженных недавно вымогательских программ с защищенным алгоритмом шифрования, использующей Tor в качестве рабочего C&C-сервера. Уязвимости, позволяющие расшифровать файлы жертв без уплаты выкупа, пока не найдены.


Как сообщает Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer, Alma Locker распространяется с помощью набора эксплоитов RIG. После установки на систему вредонос генерирует для зашифрованных файлов расширение, состоящее из пяти случайных символов, и восьмизначный идентификатор жертвы. Данный идентификатор состоит из серийного номера диска C: и MAC-адреса первого сетевого интерфейса.


Alma Locker шифрует файлы с помощью 128-битного шифрования и добавляет к ним сгенерированное пятизначное расширение. Например, если расширение будет .a5zfn, то после шифрования файл с именем test.jpg превратится в test.jpg.a5zfn.


В процессе шифрования вымогатель отправляет на C&C-сервер следующую информацию: закрытый ключ шифрования, зашифрованный с помощью алгоритма AES-128, расширения файлов, имена пользователя и активного сетевого интерфейса, Locale ID и версию операционной системы, идентификатор пользователя, зарегистрированное Windows антивирусное ПО и временные метки, указывающие время запуска программы.


После завершения процесса шифрования на экране жертвы появляется уведомление с требованием выкупа, а также ссылки на платежный сайт в сети Tor и декриптор. После запуска декриптор подключается к C&C-серверу и проверяет, был ли выплачен выкуп, какая сумма была положена на счет и уложилась ли жертва в пятидневный срок.       
Stfw.Ru
Читать ✆ в Telegram
* При комментировании просим соблюдать законы Российской Федерации.

Обзор инцидентов безопасности за прошлую неделю


Сегодня:

15:04 КНДР испытала новое тактическое управляемое оружие


15:04 КАМАЗ представил электробус на выставке "Электро-2019"


15:04 Боинг vs Эйрбас. Торговая война между США и ЕС стала крупнейшим расколом со времен Второй мировой


15:04 "Северному потоку - 2" все же быть: Украину ждут колоссальные убытки (Обозреватель, Украина)


15:04 OnePlus 7 Pro оснастят 2K экраном с частотой обновления 90 Гц


12:04 Новый Microsoft Edge скоро начнет синхронизироваться с Edge для Android


12:04 Москву с неафишированным визитом посетила советник президента США Фиона Хилл


12:04 Иранский парламент одобрил проект о признании CENTCOM террористами


12:04 ЕС предостерег США от введения санкций против России, ущемляющих интересы Брюсселя


12:04 Guardian: в метро Лондона отключили Wi-Fi из-за протестующих


12:04 "Искандер-М" замечен на российской авиабазе в Сирии


12:04 Состоялась премьера смартфона Honor 20i за $238


Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.