ALC - это недавно появившаяся программа-вымогатель. Она известна тем, что в своем сообщении о выкупе направлена на "Россию и ее партнеров". Специалисты FortiGuard Labs проанализировали эту программу-вымогатель и обнаружили, что она представляет собой нечто большее, чем кажется на первый взгляд.
ALC Ransomware
Информация о векторе заражения, используемом этой группой, на данный момент недоступна. Однако, скорее всего, он не будет существенно отличаться от других групп ransomware.
После запуска ALC ransomware создает несколько файлов на рабочем столе машины-жертвы. Обратите внимание, что некоторые образцы ALC ransomware не создают файл AlcDif.exe, показанный на изображении ниже.
RUS!.txt - это записка о выкупе, содержащая сообщение с неправильным выбором слов, что указывает на то, что авторы не являются носителями английского языка. Например, "Decrypted", скорее всего, должно быть "Encrypted", а Russsia - это неправильное написание слова "Россия". Согласно записке о выкупе, программа ALC ransomware нацелена на "Россию и ее партнеров", что может подразумевать Китай, Иран, Беларусь и другие страны.
В записке жертве предлагается связаться со злоумышленником через Telegram, популярное среди киберпреступников приложение для обмена зашифрованными мгновенными сообщениями. Однако в записке не указана контактная информация или цена выкупа.
Некоторые образцы ALC ransomware создают исполняемый файл под названием AlcDif.exe. Он используется для создания более сложной записки с выкупом. После запуска файла программа запускается в полноэкранном режиме, пытаясь напугать жертву, имитируя экран блокировки. Если жертва использует несколько мониторов, программа занимает только основной монитор. Программа также "переключает" диспетчер задач. Диспетчер задач отключается при первом запуске программы. При повторном запуске он снова включается.
В отличие от записки о выкупе в текстовом файле, экран выкупа содержит контактный адрес, информацию о криптокошельке злоумышленника, цену выкупа и уникальный идентификатор, присвоенный жертве. Однако экрану выкупа не хватает связности, поскольку предоставленный криптокошелек не существует, а QR-код не работает. Кроме того, на экране выкупа указан криптовалютный выкуп в размере 554 Monero (более $80 000 по курсу на 27 февраля 2023 года), хотя под QR-кодом указана цена в $2 000.
Самое главное, что ALC ransomware не шифрует никаких файлов, классифицируясь как программа-страшилка. Однако программа устанавливает криптографию (генерирует случайное значение, хэширует его, создает объект GO cipher для AES, шифрует ключ AES с помощью открытого ключа RSA и записывает зашифрованный ключ в файл ALCKEY), перечисляет файлы на взломанной машине и сохраняет список этих файлов в отдельном текстовом файле для каждого найденного диска (например, "C.txt" содержит список файлов, найденных на диске C). Эти данные приводят нас к двум возможным выводам: либо злоумышленник пытается выманить деньги у жертв, прекрасно зная, что программа не шифрует файлы, либо программа все еще находится в бета-версии.
Indicators of Compromise
SHA256
- bff07ae5ccea66b658783fcf940eaf6baa453b534af2ebe9b70f14923871d82f
- dc50ac15414b7274533cde5e1b28bfaa85353de38d4b21a8cb996412c0f6e432
- 0abe1ab9c75395a4ca829028d9c8c6530bd3bfda49e4b856b6f3539b9aa36ea5
- 1c5377db817c03f3c2711d351e380611291b5935ba0e2b0de763e4ef470e5bab
- 456961cba9a8dfce1b66081c6a73c2f1ec676fcdedac24c678f890a3425e7260
- 48b074b48bde3f15ca28983f26e855bafd6f19e8240d938b14f31417b39d9fd2
- 7efa5acd25e6276d122b2e2b8055a64dc4c757fc6067d3307973327154a507ff
- 84d4ca11c23a20bb220c15dbe3a363fb774081b6106c351fc9d8eab4f3b5b62c