Новая вредоносная программа Alma Locker, шифрующая файлы на зараженном компьютере, обнаружена исследователем из Proofpoint Дариеном Хуссом. За восстановление информации пользователь должен за 5 дней заплатить выкуп в размере одного биткоина.
Несмотря на присутствие ряда ошибок в реализации, Alma Locker имеет защищенный алгоритм шифрования и использует Tor как рабочий C&C-сервер. В настоящее время эксперты не нашли какие-либо уязвимости, которые позволяют расшифровать информацию без уплаты выкупа.
По словам эксперта из Bleeping Computer Лоуренса Абрамса, распространение Alma Locker осуществляется с помощью набора эксплоитов RIG. После того, как вредоносная программа устанавливается на систему, она создает для зашифрованных файлов расширение, которое состоит из 5 случайных знаков и восьмизначного идентификатора зараженного компьютера. В состав идентификатора входит серийный номер системного диска и MAC-адрес первого сетевого интерфейса.
Вымогательская программа передает на C&C-сервер закрытый ключ шифрования, созданный с применением алгоритма AES-128, расширение файлов, имена пользователя и активного сетевого интерфейса, сведения о версии операционной системы и антивирусах, а также информацию о времени запуска Alma Locker.
После окончания процедуры шифрования на экране отображается сообщение с требованием выкупа, ссылки на сайт в сети Tor для оплаты и декриптор. После запуска декриптор подключается к C&C-серверу, чтобы проверить факт оплаты выкупа, размер платежа и время, когда он был совершен.