Alpha Ransomware

O Alpha Ransomware apareceu pela primeira vez em Julho de 2016, desde então tem estado activo. O grupo executa ataques e invade sistemas com um método semelhante a outros ransomware, mas tem algo diferente, depois de invadir o sistema a primeira coisa a fazer é criar uma execução automática chamada Microsoft, e com esta execução mesmo que a vítima desligue ou reinicie o computador, o processo de encriptação continuará.

Isto porque após o computador arrancar, essa execução é automaticamente iniciada e devolve a encriptação.

Após a encriptação dos dados, uma extensão é adicionada aos ficheiros (.encrypt). A encriptação é feita em apenas 249 tipos de ficheiros específicos nas pastas Desktop, My Pictures e Cookies. No entanto, em outras unidades e pastas partilhadas, encripta todos os ficheiros.

O grupo tem um método de pagamento muito peculiar, inicialmente em meados de 2016, o montante de cobrança era de $400 em vales-presente iTunes, hoje em dia os seus ataques são pagos tanto em bitcoins como em vales Amazon.

Actualmente a taxa de resgate é de cerca de 1,5 bitcoin, mas esse montante varia em função do tamanho da empresa.

A razão pela qual os criminosos utilizam bitcoin e vouchers é para manter o anonimato, uma vez que estas moedas são quase impossíveis de rastrear.

O serviço de resgate deixa um ficheiro chamado “LEIA COMO DECRETAR OS SEUS ARQUIVOS” que dá as instruções sobre como pagar.

Os criminosos permitem que as vítimas descodifiquem um ficheiro seleccionado completamente grátis para aumentar as hipóteses de a vítima pagar o resgate.