AvosLocker Ransomware

Исследователи Infosec обнаружили новую операцию вымогателя, которую они назвали AvosLocker. Хакерская группа, похоже, начала действовать примерно в июне 2021 года и всего за пару месяцев сумела собрать несколько жертв. Киберпреступники сообщают имена своих жертв на специальном сайте утечки информации, размещенном в сети Tor. Сайт состоит из двух разделов - «Объявления для общественных служб» и «Утечки». Все взломанные объекты вместе с подтверждением собранных от них данных отображаются на странице «Объявление о государственной службе». Группа AvosLocker использует рассылку спама по электронной почте, распространяя электронные письма-приманки, а также искаженную рекламу в качестве начальных векторов заражения для доставки угрозы вымогателей.

Сведения о программе-вымогателе AvosLocker

Развернутая угроза вымогателя написана на C ++ и использует настроенную версию криптографического алгоритма AES-256 для блокировки файлов, хранящихся в взломанных системах. Вредоносная программа предназначена для заражения компьютеров Windows и не работает на других платформах. В рамках своих угрожающих возможностей программа-вымогатель AvosLocker может удалять теневые копии томов затронутых файлов, а также завершать работу определенных приложений, которые могут помешать процессу шифрования. После шифрования файла AvosLocker добавляет к исходному имени файла «.avos» в качестве нового расширения. Как и большинство угроз этого типа, AvosLocker Ransomware также отправляет записку о выкупе с инструкциями для своих жертв. Сообщение отбрасывается как текстовый файл с именем GET_YOUR_FILES_BACK.txt.

Требования AvosLocker

Как оказалось, сама записка с требованием выкупа содержит мало полезной информации. В основном это просто побуждает жертв угрозы посетить веб-сайт TOR, чтобы получить все дополнительные инструкции. Переход по предоставленной ссылке и ввод конкретного идентификатора жертвы приводит к странице с оплатой. Здесь жертвы могут видеть таймер обратного отсчета, который измеряет оставшееся время до того, как сумма, требуемая хакерами, удвоится. Выкуп необходимо перечислить с помощью криптовалюты Monero.

Однако перед оплатой жертвы могут загрузить на сайт образец файла, чтобы проверить способность хакера расшифровать заблокированные данные. Веб-страница также включает чат поддержки, через который затронутые пользователи могут предположительно связаться с хакерами AvosLocker.

Не рекомендуется платить оператору программ-вымогателей какую-либо сумму денег. Пользователи могут подвергать себя дополнительным рискам безопасности, финансируя следующую угрожающую операцию киберпреступников.