Жертвы приложения-вымогателя Alpha могут восстановить файлы бесплатно

Группа исследователей компьютерной безопасности обнаружила и проанализировала очередное приложение-вымогатель, известное под названием Alpha Ransomware и появившееся в конце апреля. Данное приложение шифрует файлы на инфицированном компьютере выборочно.

На системном разделе (которым чаще всего является C:) программа нацеливается на файлы 249 типов на рабочем столе, в папке Изображения и Cookies. На других разделах шифруются все файлы, кроме INI, на папках с общим доступом все файлы без исключений. Используется шифрование AES-256, к файлам добавляется расширение .encrypted.

После в каждую папку с зашифрованными файлами добавляется текстовый файл и меняются обои на рабочем столе. Выкупом являются подарочные карты Amazon на сумму $400. Это уже третье приложение-вымогатель за неделю, которое требует подарочные карты вместо анонимных биткоинов. Первыми двумя стали Cyber.Police и TrueCrypter, последний также оказалось возможным расшифровать без выкупа.

Исследователь Майкл Гиллеспи создал приложение-дешифратор для Alpha Ransomware, найдя в вымогателе уязвимость. Стоит иметь в виду, что в дешифраторе обнаруживается троян Razy; разработчики говорят, что причиной является запутывание исходного кода (обфускация). В прошлом специалисты MalwareHunterTeam и Bleeping Computer выпускали подобные дешифраторы, сканирование которых при помощи VirusTotal не выявляло проблем.