AvosLocker Ransomware
Badacze Infosec odkryli nową operację ransomware, którą nazwali AvosLocker. Wydaje się, że grupa hakerów stała się aktywna około czerwca 2021 r. i w ciągu zaledwie kilku miesięcy zdołała zebrać kilka ofiar. Cyberprzestępcy publikują imiona swoich ofiar na dedykowanej stronie wycieku hostowanej w sieci Tor. Witryna zawiera dwie sekcje – „Ogłoszenia dotyczące usług publicznych” i „Wycieki”. Wszystkie naruszone podmioty wraz z dowodem zebranych od nich danych są wyświetlane pod zakładką „Ogłoszenie usług publicznych”. Grupa AvosLocker wykorzystuje kampanie spamowe e-mail rozpowszechniające wiadomości e-mail z przynętami, a także uszkodzone reklamy jako początkowe wektory infekcji w celu dostarczania zagrożenia ransomware.
Szczegóły AvosLocker Ransomware
Wdrożone zagrożenie ransomware jest napisane w C++ i wykorzystuje dostosowaną wersję algorytmu kryptograficznego AES-256 do blokowania plików przechowywanych w złamanych systemach. Złośliwe oprogramowanie ma na celu infekowanie komputerów z systemem Windows i nie będzie działać na innych platformach. W ramach groźnych możliwości, AvosLocker Ransomware może usuwać ukryte kopie woluminów zaatakowanych plików, a także zamykać określone aplikacje, które mogą zakłócać proces szyfrowania. Po zaszyfrowaniu pliku, AvosLocker dodaje „.avos” do oryginalnej nazwy tego pliku jako nowe rozszerzenie. Podobnie jak większość zagrożeń tego typu, AvosLocker Ransomware dostarcza również żądanie okupu z instrukcjami dla swoich ofiar. Wiadomość jest usuwana jako plik tekstowy o nazwie „GET_YOUR_FILES_BACK.txt”.
Wymagania AvosLockera
Jak się okazuje, sam list z okupem zawiera niewiele przydatnych informacji. Przeważnie zachęca ofiary zagrożenia do odwiedzenia witryny TOR, aby uzyskać wszystkie dodatkowe instrukcje. Kliknięcie podanego linku i wprowadzenie konkretnego identyfikatora ofiary prowadzi do strony „płatności”. Tutaj ofiary mogą zobaczyć licznik czasu, który mierzy pozostały czas, zanim suma żądana przez hakerów zostanie podwojona. Okup należy przelać za pomocą kryptowaluty Monero.
Jednak przed zapłaceniem ofiary mogą przesłać na stronę przykładowy plik, aby przetestować zdolność hakera do odszyfrowania zablokowanych danych. Strona internetowa zawiera również czat pomocy technicznej, za pośrednictwem którego dotknięci użytkownicy mogą rzekomo skontaktować się z hakerami AvosLocker.
Zdecydowanie odradza się płacenie jakichkolwiek kwot operatorom oprogramowania ransomware. Użytkownicy mogą narażać się na dodatkowe zagrożenia bezpieczeństwa, jednocześnie finansując kolejną groźną operację cyberprzestępców w tym procesie.
