It is currently 22-08-2017 10:23

Alma Locker – эффективный троян-вымогатель с C&C-сервером в сети Tor

Alma Locker – эффективный троян-вымогатель с C&C-сервером в сети Tor

by sigismund » 2016-08-24 11:00:23


Уязвимости, позволяющие расшифровать файлы жертв без уплаты выкупа, пока не найдены.


Исследователь из компании Proofpoint Дариен Хусс (Darien Huss) обнаружил новое вредоносное ПО Alma Locker, шифрующее файлы на компьютере жертвы и требующее за их восстановление выкуп в размере 1 биткойна, который должен быть уплачен в течение пяти дней.

В последнее время было обнаружено огромное количество новых образцов троянов-шифровальщиков, однако почти все они отличаются слабой реализацией, а C&C-серверы многих из них отключены. Несмотря на наличие некоторых ошибок в реализации, Alma Locker является одной из нескольких обнаруженных недавно вымогательских программ с защищенным алгоритмом шифрования, использующей Tor в качестве рабочего C&C-сервера. Уязвимости, позволяющие расшифровать файлы жертв без уплаты выкупа, пока не найдены.

Как сообщает Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer, Alma Locker распространяется с помощью набора эксплоитов RIG. После установки на систему вредонос генерирует для зашифрованных файлов расширение, состоящее из пяти случайных символов, и восьмизначный идентификатор жертвы. Данный идентификатор состоит из серийного номера диска C:\ и MAC-адреса первого сетевого интерфейса.

Alma Locker шифрует файлы с помощью 128-битного шифрования и добавляет к ним сгенерированное пятизначное расширение. Например, если расширение будет .a5zfn, то после шифрования файл с именем test.jpg превратится в test.jpg.a5zfn.

В процессе шифрования вымогатель отправляет на C&C-сервер следующую информацию: закрытый ключ шифрования, зашифрованный с помощью алгоритма AES-128, расширения файлов, имена пользователя и активного сетевого интерфейса, Locale ID и версию операционной системы, идентификатор пользователя, зарегистрированное Windows антивирусное ПО и временные метки, указывающие время запуска программы.

После завершения процесса шифрования на экране жертвы появляется уведомление с требованием выкупа, а также ссылки на платежный сайт в сети Tor и декриптор. После запуска декриптор подключается к C&C-серверу и проверяет, был ли выплачен выкуп, какая сумма была положена на счет и уложилась ли жертва в пятидневный срок.
sigismund
moderators
Сообщений: 788
Депозит: 0 BTC

Rating: 5