Ένα νέο ransomware που ονομάζεται AgeLocker χρησιμοποιεί το εργαλείο κρυπτογράφησης “Age”, που δημιουργήθηκε από έναν υπάλληλο της Google, και κρυπτογραφεί τα αρχεία των θυμάτων.
Το ransomware στόχευσε πρόσφατα κάποια άτομα. Μια ανάλυση των κρυπτογραφημένων αρχείων, έδειξε ότι σε κάθε αρχείο είχε προστεθεί ένα header, που ξεκινά με τη διεύθυνση URL “age-encryption.org”, όπως φαίνεται παρακάτω.
Ακολουθεί ένα παράδειγμα του header που είχε προσταθεί σε κρυπτογραφημένο αρχείο:
age-encryption.org/v1
-> X25519 O9LABKJJggKQAsCbCQzPQFz0XwOHXSljEJU2xwS3zHA
Ildq7HXhtndUkpcHnz1+jnFjkpPK8wrVbDSbYXye2wg
--- Rwz4uNO8q6DbP1gbGuSVIA7W2wUKNluxyvMHuAJNIyM
Η διεύθυνση URL age-encryption.org οδηγεί το θύμα σε ένα GitHub repository, για ένα βοηθητικό πρόγραμμα κρυπτογράφησης που ονομάζεται “Age” και δημιουργήθηκε από τον Filippo Valsorda, κρυπτογράφο και βασικό στέλεχος στον τομέα της ασφάλειας στην Google.
Μικροσκοπικός εξωπλανήτης βρέθηκε πολύ κοντά στη Γη
GR-2: Ανθρωποειδές ρομπότ με πιο "ανθρώπινη" κίνηση
Νέα στοιχεία για τον Χάροντα, το φεγγάρι του Πλούτωνα
Σύμφωνα με το εγχειρίδιο του Age, το βοηθητικό πρόγραμμα σχεδιάστηκε ως αντικατάσταση του GPG για την κρυπτογράφηση “αρχείων, αντιγράφων ασφαλείας και streams”. Ονομάζεται “Age”, που είναι μάλλον τα αρχικά για το “Actually Good Encryption”.
Αντί να δημιουργήσουν ένα ransomware που χρησιμοποιεί συνήθεις αλγόριθμους κρυπτογράφησης (π.χ. AES + RSA), οι hackers πίσω από το AgeLocker ransomware χρησιμοποιούν το Age για να κρυπτογραφήσουν τα αρχεία των θυμάτων τους.
Ο ειδικός αποκρυπτογράφησης ransomware, Michael Gillespie, δήλωσε ότι το Age χρησιμοποιεί τους αλγόριθμους X25519, ChaChar20-Poly1305 και HMAC-SHA256. Πρόκειται για μια ασφαλή μέθοδο κρυπτογράφησης αρχείων.
Το σημείωμα για λύτρα του AgeLocker ransomware εστάλη μέσω email
Ακόμα δεν γνωρίζουμε πώς καταφέρνουν οι hackers να αποκτήσουν πρόσβαση στους υπολογιστές των θυμάτων. Μόλις, όμως, το κάνουν, χρησιμοποιούν το εργαλείο κρυπτογράφησης Age για να κρυπτογραφήσουν τα αρχεία.
Κατά την κρυπτογράφηση δεδομένων, προσαρτάται μια επέκταση στα κρυπτογραφημένα αρχεία, η οποία περιλαμβάνει τα αρχικά του ονόματος του θύματος.
Σε μια από τις αρχικές μολύνσεις, το AgeLocker ransomware δεν άφησε σημείωμα για λύτρα στο κρυπτογραφημένο σύστημα. Οι επιτιθέμενοι έστειλαν email στο θύμα για να το ενημερώσουν για την επίθεση και για το χρηματικό ποσό που ήθελαν.
Μετά την κρυπτογράφηση των συστημάτων της εταιρείας (στη συγκεκριμένη περίπτωση), τα θύματα έλαβαν ένα email με θέμα “[όνομα εταιρείας] security audit”.
Σε αυτό το email, οι hackers αναφέρουν τις συσκευές που έχουν κρυπτογραφηθεί από το AgeLocker ransomware και δίνουν οδηγίες σχετικά με την πληρωμή των λύτρων.
Hello XXX and XXX,
Unfortunately a malware has infected your network and a millions of files has been encrypted using a hybrid encryption scheme.
File names encrypted too.
Encrypted hosts are:
Storage:
1. XXX
2. XXX
3. XXX
4. XXX
5. XXX
Mac + external drives
1. XXX?
2. XXX?
3. XXX
4. XXX
5. XXX
6. XXX
You have to pay for decryption in Bitcoins.
The price depends on how fast you write us.
After payment we will send you the tool(for mac and linux) that will decrypt all your files.
Free decryption as guarantee
Before paying you can send us up to 5 files for free decryption.
The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases, backups, large excel sheets, etc.), file name shouldn't be changed.
How to obtain Bitcoins
The easiest way to buy bitcoins is LocalBitcoins site. You have to register, click 'Buy bitcoins', and select the seller by payment method and price.
https://localbitcoins.com/buy_bitcoins
Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Note: we can answer up to 6-9 hours, because of another timezone."
Σύμφωνα με το θύμα, οι επιτιθέμενοι ζητούν 7 bitcoin, ή περίπου 64.500 $, για την αποκρυπτογράφηση των αρχείων.
Προς το παρόν, δεν υπάρχει κάποιος δωρεάν τρόπος ανάκτησης των κρυπτογραφημένων αρχείων.