AlphaLocker extension .encrypt (Crypto-Ransomware)

[Malekal_morte]

AlphaLocker ou Alpha Ransomware est un Crypto-Ransomware (rançongiciel chiffreur de fichiers) apparu fin avril 2016. AlphaLocker, basé sur le projet open source "Eda2 project", vise essentiellement les systèmes Windows et cherche à chiffrer les documents pour demander le paiement d'une rançon de $400 USD. A ma connaissance, AlphaLocker n'a pas encore sévi en France.

Le rançongiciel est généralement à l'emplacement : "%APPDATA%\Windows\svchost.exe"

Il chiffre les documents avec les extensions suivantes :

.3ds, .3fr, .3pr, .ab4, .ac2, .accdb, .accde, .accdr, .accdt, .acr, .adb, .agd1, .ai, .ait, .al, .apj, .arw, .asm, .asp, .aspx, .awg, .backup, .backupdb, .bak, .bat, .bdb, .bgt, .bik, .bkp, .blend, .bmp, .bpw, .c, .c, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .ce1, .ce2, .cer, .cfp, .cgm, .cib, .class, .cls, .cmd, .cmt, .cpi, .cpp, .cr2, .craw, .crt, .crw, .cs, .csh, .csl, .css, .csv, .dac, .db, .db3, .dbf, .db-journal, .dc2, .dcr, .dcs, .ddd, .ddoc, .ddrw, .der, .design, .dgc, .djvu, .dng, .doc, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dwg, .dxb, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fh, .fhd, .fpx, .fxg, .gif, .gray, .grey, .gry, .h, .h, .hbk, .hpp, .html, .ibank, .ibd, .ibz, .idx, .iiq, .incpas, .jar, .java, .jpeg, .jpg, .js, .kc2, .kdbx, .kdc, .kpdx, .lua, .mdb, .mdc, .mef, .mfw, .mmw, .moneywell, .mos, .mpg, .mrw, .myd, .ndd, .nef, .nop, .nrw, .ns2, .ns3, .ns4, .nsd, .nsf, .nsg, .nsh, .nwb, .nx1, .nx2, .nyf, .odb, .odf, .odg, .odm, .odp, .ods, .odt, .orf, .otg, .oth, .otp, .ots, .ott, .p12, .p7b, .p7c, .pat, .pcd, .pdf, .pef, .pem, .pfx, .php, .pl, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .ps, .psafe3, .psd, .ptx, .py, .ra2, .raf, .raw, .rdb, .rtf, .rw2, .rwl, .rwz, .s3db, .sas7bdat, .sav, .sd0, .sd1, .sda, .sdf, .sldm, .sldx, .sln, .sql, .sqlite, .sqlite3, .sqlitedb, .sr2, .srf, .srw, .st4, .st5, .st6, .st7, .st8, .stc, .std, .sti, .stw, .stx, .svg, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .txt, .vb .vbs, .wb2, .x3f, .xla, .xlam, .xll, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra

Les fichiers chiffrés par AlphaLocker porteront la mention .encrypt
Ces derniers sont chiffrés en AES avec une clef public/privée en RSA (2048).

AlphaLocker modifie aussi le fond d'écran du Windows infecté

AlphaCrypt_fond_ecran.png

Le message de paiement :

Greetings,

We'd like to apologize for the inconveniences, however, your computer has been locked. In order to unlock it, you have to complete the following steps:

1. Buy iTunes Gift Cards for a total amount of $400.00

2. Send the gift codes to the indicated e-mail address

3. Receive a code and a file that will unlock your computer.

Please note:,

- The nominal amount of the particular gift card doesn't matter, yet the total amount have to be as listed above.

- You can buy the iTunes Gift Cards online or in any shop. The codes must be correct, otherwise, you won't receive anything.

- After receiving the code and the security file, your computer will be unlocked and will never be locked again.

Sorry for the inconveniences caused.

Il utilise ces adresses de courriels comme contact :

criptote@hmamail.com
referas@hmamail.com
terder@hmamail.com
utera@hmamail.com
criptotak@hmamail.com

La page de paiement d'AlphaLocker :

AlphaCrypt_page_decryptage_paiement.png

AlphaCrypt est vendu 65$ sur le marché underground :

AlphaCrypt_vente_underground.png

Récupérer les fichiers AlphaLocker (extension .encrypt)

Vous pouvez tenter de récupérer vos documents chiffrés par AlphaLocker en utilisant AlphaDecrypter : https://download.bleepingcomputer.com/d ... ter-fp.zip

Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)


Sécuriser son Windows

Afin de sécuriser son Windows et éviter les ransomwares et autres menaces connues sur la toile, suivre le tutoriel de sécurisation.
=> Sécuriser son Windows.