Информационные технологииТехнологииПоиск

Alma Locker – эффективный троян-вымогатель с C&C-сервером в сети Tor

Уязвимости, позволяющие расшифровать файлы жертв без уплаты выкупа, пока не найдены.




Исследователь из компании Proofpoint Дариен Хусс (Darien Huss) обнаружил новое вредоносное ПО Alma Locker, шифрующее файлы на компьютере жертвы и требующее за их восстановление выкуп в размере 1 биткойна, который должен быть уплачен в течение пяти дней.


В последнее время было обнаружено огромное количество новых образцов троянов-шифровальщиков, однако почти все они отличаются слабой реализацией, а C&C-серверы многих из них отключены. Несмотря на наличие некоторых ошибок в реализации, Alma Locker является одной из нескольких обнаруженных недавно вымогательских программ с защищенным алгоритмом шифрования, использующей Tor в качестве рабочего C&C-сервера. Уязвимости, позволяющие расшифровать файлы жертв без уплаты выкупа, пока не найдены.


Как сообщает Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer, Alma Locker распространяется с помощью набора эксплоитов RIG. После установки на систему вредонос генерирует для зашифрованных файлов расширение, состоящее из пяти случайных символов, и восьмизначный идентификатор жертвы. Данный идентификатор состоит из серийного номера диска C: и MAC-адреса первого сетевого интерфейса.


Alma Locker шифрует файлы с помощью 128-битного шифрования и добавляет к ним сгенерированное пятизначное расширение. Например, если расширение будет .a5zfn, то после шифрования файл с именем test.jpg превратится в test.jpg.a5zfn.


В процессе шифрования вымогатель отправляет на C&C-сервер следующую информацию: закрытый ключ шифрования, зашифрованный с помощью алгоритма AES-128, расширения файлов, имена пользователя и активного сетевого интерфейса, Locale ID и версию операционной системы, идентификатор пользователя, зарегистрированное Windows антивирусное ПО и временные метки, указывающие время запуска программы.


После завершения процесса шифрования на экране жертвы появляется уведомление с требованием выкупа, а также ссылки на платежный сайт в сети Tor и декриптор. После запуска декриптор подключается к C&C-серверу и проверяет, был ли выплачен выкуп, какая сумма была положена на счет и уложилась ли жертва в пятидневный срок.       
Stfw.Ru
Читать ✆ в Telegram
* При комментировании просим соблюдать законы Российской Федерации.

Обзор инцидентов безопасности за прошлую неделю


Сегодня:

07:07 Премьер Косова Харадинай ушел в отставку под давлением Гаагского трибунала


07:07 Президент Украины Владимир Зеленский потребовал от силовиков отчитаться о расследовании убийства Павла Шеремета


07:07 Новая глава Еврокомиссии призвала говорить с Россией с позиции силы


07:07 Минпромторг предложил вывести пиво из-под торговых ограничений на алкоголь


07:07 Иркутский губернатор в день объявления ЧС из-за паводка праздновал в Москве юбилей Зюганова


07:07 Иран опубликовал видео со "сбитого" американцами беспилотника, (доказывая очередную ложь американцев)


07:07 Иран заявил о задержании британского танкера


07:07 Интервью Оливеру Стоуну


07:07 Антироссийские санкции признали бесполезными в Германии


07:07 Американские военные готовят операцию в Персидском заливе


07:07 F-35 назвали "айфоном" по сравнению с Су-57 (можно удалённо заблокировать)


07:07 50 лет назад американцы впервые высадились на Луну !


Обзор безопасности, новые вирусы, уязвимости в сети. Взлом и защита компьютера, хакерские атаки.