↑ ↓

Информация Alpha Ransomware

криптовымогатель шифрует данные с помощью алгоритма AES-256,зашифровывает файлы расширением.encrypt

  1. Igisimbaev
    Этот криптовымогатель шифрует данные с помощью алгоритма AES-256, а затем требует $ 400 USD в подарочных картах iTunes, чтобы вернуть файлы обратно. К счастью, криптовымогатель имеет дефект, потому специалистам не составило особого труда создать дешифратор AlphaDecrypter.

    Требование выкупа в подарочных картах, как и в случае с криптовымогателем TrueCrypter, кажется совершенно глупой затеей. Если основная задача вымогателей — это получение выкупа, то такого выкупа они могут вообще не дождаться.

    Когда Alpha запускается в первый раз, то основной файл помещается в %APPDATA%\Windows\svchost.exe и прописывается в автозапуск Windows, чтобы запускаться вместе с системой, как только пользователь входит в свою учетку. Далее он сканирует диски жертвы для поиска определенных расширений файлов, затем шифрует их с использованием алгоритма AES-256. К зашифрованным файлам добавляется расширение .encrypt. Если шифрование будет успешно завершено, то исполняемый файл шифровальщика самоудаляется.

    Особенностью данного шифровальщика является то, что на системном диске, которым, как правило, является диск C: , он шифрует только определенные типы файлов на Рабочем столе, в папке "Мои рисунки" и папке "Cookies". Все остальные папки на системном диске не будут зашифрованы.

    Список файловых расширений на системном диске, подвергающихся шифрованию Alpha Ransomware:
    .3ds, .3fr, .3pr, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .aspx, .awg, .backup, .backupdb, .bak, .bat, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .c, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmd, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gif, .gray, .grey, .gry, .h, .h, .hbk, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jar, .java, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .vb .vbs, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra

    На всех остальных жёстких дисках, не сетевых и съемных дисках, он будет шифровать любой файл, который там найдет, в том числе исполняемые файлы.

    Вымогатель создаёт записку с требованием выкупа Read Me (How Decrypt) !!!!.txt в каждой папке, где были зашифрованы файлы.

    Read Me (How Decrypt) !!!!.JPG

    Перевод записки о выкупе:
    Приветствую,
    Мы хотели бы извиниться за неудобства, однако, ваш компьютер был заблокирован. Для того, чтобы разблокировать его, вы должны выполнить следующие шаги:
    1. Купить iTunes Gift Cards на общую сумму $ 400,00
    2. Отправить gift-коды на указанный email адрес.
    3. Получить код и файл для разблокировки компьютера.
    Заметьте:
    - Номинальная стоимость одной подарочной карты не имеет значения, но общая сумма должна быть как указано выше.
    - Можете купить iTunes Gift Card в Интернете или в любом магазине. Напишите коды правильно, иначе ничего не получите.
    - После получения кода и файла для разблокировки, ваш компьютер будет разблокирован и уже больше не заблокируется.
    Извините за неудобства.


    Из-за ошибки в программе, адреса email, на которые нужно отправить платеж, в вымогательский комплект не вошли.
    В завершение криптовымогатель изменяет обои Рабочего стола на собственное изображение (см. скриншот ниже).

    RNvnVPcg[1].
    Как удалить и расшифровать файлы от шифровальщика Alpha Ransomware

    Хорошая новость заключается в том, что Майкл Gillespie создал дешифратор для этого вымогателя, пострадавшие могут обратно получить свои файлы бесплатно.

    Чтобы расшифровать свои файлы, скачайте дешифратор по следующей ссылке
    https://download.bleepingcomputer.com/demonslay335/AlphaDecrypter-fp.zip

    Для извлечения дешифратора, вам нужно использовать пароль: false-positive

    После запуска на экране Вы можете выбрать: диск, а затем нажать на Decrypt My Files.

    [​IMG]
    Alpha Ransomware Decryptor

    При использовании этого дешифратор, вы также можете поставить на галочку delete ransom notes.