Πέμπτη, 26 Νοεμβρίου, 23:52
Αρχική security Νέο ransomware κρυπτογραφεί αρχεία με εργαλείο υπαλλήλου της Google

Νέο ransomware κρυπτογραφεί αρχεία με εργαλείο υπαλλήλου της Google

AgeLocker ransomware

Ένα νέο ransomware που ονομάζεται AgeLocker χρησιμοποιεί το εργαλείο κρυπτογράφησης “Age”, που δημιουργήθηκε από έναν υπάλληλο της Google, και κρυπτογραφεί τα αρχεία των θυμάτων.

Το ransomware στόχευσε πρόσφατα κάποια άτομα. Μια ανάλυση των κρυπτογραφημένων αρχείων, έδειξε ότι σε κάθε αρχείο είχε προστεθεί ένα header, που ξεκινά με τη διεύθυνση URL “age-encryption.org”, όπως φαίνεται παρακάτω.

Google

Ακολουθεί ένα παράδειγμα του header που είχε προσταθεί σε κρυπτογραφημένο αρχείο:

age-encryption.org/v1
-> X25519 O9LABKJJggKQAsCbCQzPQFz0XwOHXSljEJU2xwS3zHA
Ildq7HXhtndUkpcHnz1+jnFjkpPK8wrVbDSbYXye2wg
--- Rwz4uNO8q6DbP1gbGuSVIA7W2wUKNluxyvMHuAJNIyM

Η διεύθυνση URL age-encryption.org οδηγεί το θύμα σε ένα GitHub repository, για ένα βοηθητικό πρόγραμμα κρυπτογράφησης που ονομάζεται “Age” και δημιουργήθηκε από τον Filippo Valsorda, κρυπτογράφο και βασικό στέλεχος στον τομέα της ασφάλειας στην Google.

Σύμφωνα με το εγχειρίδιο του Age, το βοηθητικό πρόγραμμα σχεδιάστηκε ως αντικατάσταση του GPG για την κρυπτογράφηση “αρχείων, αντιγράφων ασφαλείας και streams”. Ονομάζεται “Age”, που είναι μάλλον τα αρχικά για το “Actually Good Encryption”.

Αντί να δημιουργήσουν ένα ransomware που χρησιμοποιεί συνήθεις αλγόριθμους κρυπτογράφησης (π.χ. AES + RSA), οι hackers πίσω από το AgeLocker ransomware χρησιμοποιούν το Age για να κρυπτογραφήσουν τα αρχεία των θυμάτων τους.

Ο ειδικός αποκρυπτογράφησης ransomware, Michael Gillespie, δήλωσε ότι το Age χρησιμοποιεί τους αλγόριθμους X25519, ChaChar20-Poly1305 και HMAC-SHA256. Πρόκειται για μια ασφαλή μέθοδο κρυπτογράφησης αρχείων.

Το σημείωμα για λύτρα του AgeLocker ransomware εστάλη μέσω email

Ακόμα δεν γνωρίζουμε πώς καταφέρνουν οι hackers να αποκτήσουν πρόσβαση στους υπολογιστές των θυμάτων. Μόλις, όμως, το κάνουν,  χρησιμοποιούν το εργαλείο κρυπτογράφησης Age για να κρυπτογραφήσουν τα αρχεία.

Κατά την κρυπτογράφηση δεδομένων, προσαρτάται μια επέκταση στα κρυπτογραφημένα αρχεία, η οποία περιλαμβάνει τα αρχικά του ονόματος του θύματος.

Σε μια από τις αρχικές μολύνσεις, το AgeLocker ransomware δεν άφησε σημείωμα για λύτρα στο κρυπτογραφημένο σύστημα. Οι επιτιθέμενοι έστειλαν email στο θύμα για να το ενημερώσουν για την επίθεση και για το χρηματικό ποσό που ήθελαν.

Μετά την κρυπτογράφηση των συστημάτων της εταιρείας (στη συγκεκριμένη περίπτωση), τα θύματα έλαβαν ένα email με θέμα “[όνομα εταιρείας] security audit”.

Σε αυτό το email, οι hackers αναφέρουν τις συσκευές που έχουν κρυπτογραφηθεί από το AgeLocker ransomware και δίνουν οδηγίες σχετικά με την πληρωμή των λύτρων.

Hello XXX and XXX,
 
Unfortunately a malware has infected your network and a millions of files has been encrypted using a hybrid encryption scheme. 
File names encrypted too.
 
Encrypted hosts are:
 
Storage:
1. XXX
2. XXX
3. XXX
4. XXX
5. XXX
Mac + external drives
1. XXX?
2. XXX?
3. XXX
4. XXX
5. XXX
6. XXX
 
You have to pay for decryption in Bitcoins.
The price depends on how fast you write us.
After payment we will send you the tool(for mac and linux) that will decrypt all your files. 
 
Free decryption as guarantee
 
Before paying you can send us up to 5 files for free decryption.
The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.), file name shouldn't be changed.
 
How to obtain Bitcoins
 
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
 
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
 
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
 
Note: we can answer up to 6-9 hours, because of another timezone."

Σύμφωνα με το θύμα, οι επιτιθέμενοι ζητούν 7 bitcoin, ή περίπου 64.500 $, για την αποκρυπτογράφηση των αρχείων.

Προς το παρόν, δεν υπάρχει κάποιος δωρεάν τρόπος ανάκτησης των κρυπτογραφημένων αρχείων.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

00:02:04

Πτώση σημειώθηκε στην αξία του Bitcoin και άλλων ψηφιακών νομισμάτων

Η αξία του Bitcoin και άλλων ψηφιακών νομισμάτων μειώθηκε στις 25 Νοεμβρίου, γεγονός που πυροδοτεί σενάρια σχετικά με τη διάρκεια της έκρηξης...

Ποιες είναι οι χώρες με το πιο οικονομικό διαδίκτυο;

Παρόλο που το Διαδίκτυο είναι διαθέσιμο σχεδόν σε κάθε χώρα του κόσμου, το κόστος συνδρομής, οι ταχύτητες και οι μισθοί των πολιτών...

Πώς να επιλέξετε ποιες επεκτάσεις θα εμφανίζονται στo toolbar του Firefox

Εάν χρησιμοποιείτε επεκτάσεις με το Mozilla Firefox και θέλετε να προσθέσετε ή να καταργήσετε κάποια εικονίδια επέκτασης από τη γραμμή εργαλείων, μπορείτε...

WhatsApp OTP Scam: βήματα για να αποφύγετε τους hackers

Το WhatsApp αποκτά όλο και περισσότερη φήμη, ως μία από τις πιο χρησιμοποιημένες εφαρμογές ανταλλαγής μηνυμάτων για κινητά παγκοσμίως, με περισσότερους χρήστες...

Η Sophos ειδοποιεί κάποιους πελάτες ότι τα προσωπικά τους στοιχεία εκτέθηκαν

Η βρετανική εταιρεία κυβερνοασφάλειας και hardware Sophos έστειλε ένα email σε κάποιους πελάτης της για να τους ειδοποιήσει ότι τα προσωπικά τους...

Πρόστιμο 6 εκατ. $ επιβλήθηκε στο Facebook για κοινή χρήση δεδομένων

Στο Facebook έχει επιβληθεί πρόστιμο 6,7 δισεκατομμύρια won ( περίπου 6 εκατομμύρια δολάρια) για κοινή χρήση δεδομένων χρηστών από την Κορέα χωρίς...

Πώς να απενεργοποιήσετε το “Blood Oxygen Monitoring” στο Apple Watch

Το Apple Watch Series 6 και οι νεότερες εκδόσεις έρχονται την λειτουργία του "blood oxygen monitoring". Καταγράφει ακόμη και στο παρασκήνιο τα...

Ransomware επίθεση έπληξε τη σχολική συνοικία της Βαλτιμόρης!

Η σχολική συνοικία της Βαλτιμόρης υπέστη ransomware επίθεση στις 25 Νοεμβρίου κι έθεσε εκτός λειτουργίας τα συστήματα δικτύου της που επηρεάστηκαν. Η...

Google Chrome: Εκτέλεση εντολών μέσω της γραμμής διευθύνσεων

Η Google κυκλοφορεί μια νέα λειτουργία στον Google Chrome 87 που σας επιτρέπει να εκτελείτε commands μέσω της γραμμής διευθύνσεων.

Belden: Ο κατασκευαστής συσκευών δικτύου δέχτηκε κυβερνοεπίθεση!

Ο κατασκευαστής συσκευών δικτύου "Belden" δέχτηκε κυβερνοεπίθεση, με αποτέλεσμα οι χάκερς που βρίσκονται πίσω από αυτή να κλέψουν αρχεία που περιέχουν πληροφορίες...