Locky: Описание и вариации

Тема в разделе "Вирусы-шифровальщики", создана пользователем SNS-amigo, 17 фев 2016.

  1. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Шифровальщик-вымогатель Locky: Технология работы

    Исследователи Palo Alto Networks обнаружили и описали новый вид вымогателя-шифровальщика Locky, атакующего компьютеры под управлением ОС Windows. Он шифрует данные с помощью AES-шифрования, а затем требует 5 биткоинов за расшифровку. Хоть название вымогателя Locky звучит как детское имя, ничего детского в нем нет. Он нацелен на большое количество файловых расширений и, что более важно, шифрует данные также на удаленных сетевых ресурсах, как мы видели недавно у DMA Locker-а.

    Теперь можно с уверенностью сказать, что эта возможность станет нормой среди функционала вымогателей. Как и CryptoWall, Locky также полностью меняет имена у зашифрованных файлов, чтобы еще больше затруднить пострадавшим возможность восстановления нужных данных.
    Locky в настоящее время распространяется через электронную почту, используя вредоносное вложение — текстовый Документ Microsoft Word с вредоносными макросами ATTN: Invoice J-98223146 (инвойс, счёт-фактура) и письменное сообщение "Please see the attached invoice..." /перевод/ "Посмотрите прикрепленный инвойс и сделайте оплату согласно условиям, перечисленным в нижней части счета". Пример одного из таких писем можно увидеть ниже.

    Locky1.png Locky2.png Locky3.png

    Документ Microsoft Word invoice_J-17105013.doc отображает нечитаемый текст и требует включить макросы, чтобы прочитать текст. После того, как пользователь позволит включить макросы в документе, запускается вредоносный макрос, загружающий вымогательское ПО с удалённого сервера. Аналогичный способ использовал банковский троян Dridex. В настоящее время известно более 10 различных вариантов Locky Downloader. Каждый из них использует иной метод запутывания и различные типы файлов: .doc, .xls, .docm вместе с .js.

    Загружаемый макросом файл помещается в папку %Temp% и запускается на выполнение. Это и есть вымогатель Locky, который тут же начинает шифровать файлы на компьютере.

    Locky шифрует данные и полностью меняет имена файлов!!!

    При запуске Locky назначает уникальный 16-шестнадцатеричное число ПК жертве, типа F67091F1D24A922B. Locky сканирует все локальные диски и удаленные (неотображаемые) сетевые папки в поиске искомых файлов. При шифровании файлов он использует алгоритм AES-шифрования и зашифровывает только те файлы, которые соответствуют заданным расширениям.

    Spam-email.png
    Рис. Схема работы Locky

    Итак, запомним схему работы:
    1. Жертва получает письмо, содержащее подозрительное приложение (Загрузчик).
    2. Жертва открывает вложение, макрос осуществляет нагрузку (Locky) с удаленного сервера.
    3. Locky контактирует с C2-серверами для обмена ключами шифрования.
    4. Locky шифрует заданные типы файлов и создает записку с требованием выкупа.

    Список файловых расширений, подвергающихся шифрованию Locky:
    Кроме того, Locky пропускает файлы, где полный путь и имя файла содержат одну из следующих строк:
    Код (Text):
    tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
    Когда Locky шифрует файл, он переименовывает его по формату [unique_id][identifier].locky. Например, файл test.jpg после шифрования примет вид F67091F1D24A922B1A7FC27E19A9D9BC.locky. Уникальный идентификатор и другая информация будут вписаны в конец зашифрованного файла.

    Важно подчеркнуть, что Locky будет шифровать файлы на сетевых ресурсах, даже если они не отображаются на локальном диске. Как и предсказывалось, эта методика получает всё большее распространение и потому уже сейчас системные администраторы должны убедиться в том, что все сетевые ресурсы работают под ограниченным набором прав доступа к файлам, находящимся в их окружении.

    Во процессе шифрования Locky также удаляет все теневые копии системы и файлов (Shadow Volume Copies), которые могли бы помочь восстановить данные Recovery-программами, с помощью команды зачистки:
    Код (Text):
    vssadmin.exe Delete Shadows /All /Quiet
    На рабочем столе и в каждой папке, где были зашифрованы файлы, Locky создаёт текстовую записку с требованием выкупа под названием _Locky_recover_instructions.txt . Она сообщает о том, что произошло с файлами жертвы.

    Locky4.png Locky5.png

    Locky также меняет обои на рабочем столе на bmp-файл %UserpProfile%\Desktop\_Locky_recover_instructions.bmp, который содержит те же инструкции, что и текстовая записка.

    И, что не менее важно, Locky хранит различную информацию в реестре в следующих ключах:
    HKCU\Software\Locky\id — Уникальный идентификатор, присвоенный жертве.
    HKCU\Software\Locky\pubkey — Открытый RSA-ключ.
    HKCU\Software\Locky\paytext — Текст из записки с требованием выкупа
    HKCU\Software\Locky\completed — Процесс шифрования файлов завершён.

    Пара слов о странице Locky Decrypter
    Внутри записки с требованием выкупа есть веб-ссылка на сайт Tor — страница Locky Decrypter, которая находится по адресу 6dtxgqam4crv6rr6.onion и содержит сумму в биткоинах, нужную для оплаты, информацию, как приобрести Bitcoins, и Bitcoin-адрес, на который необходимо отправить платеж. Как только жертва вышлет выкуп на Bitcoin-адрес, эта веб-страница обеспечит отгрузку декриптера, который можно использовать для расшифровки файлов. См. скриншот ниже.

    Locky6.png

    Связанные с Locky файлы:
    Код (Text):
    %UserpProfile%\Desktop\_Locky_recover_instructions.bmp
    %UserpProfile%\Desktop\_Locky_recover_instructions.txt
    %Temp%\[random].exe
    Связанные с Locky записи реестра:
    Код (Text):
    HKCU\Software\Locky
    HKCU\Software\Locky\id
    HKCU\Software\Locky\pubkey
    HKCU\Software\Locky\paytext
    HKCU\Software\Locky\completed    1
    HKCU\Control Panel\Desktop\Wallpaper    "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"
    Перевод выполнен SNS-amigo специально для данного раздела и темы.

    Поздние добавления:
    1) ИБ-эксперты предупреждают о скором появлении более сложных и опасных модификаций вымогателя Locky

    2) Страница Check Point, на которой суммируются изменения
     
    Kиpилл, lilia-5-0, machito и 2 другим нравится это.
  2. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Способы обмана вымогательского ПО Locky

    Исследователь Malware Сильвен Сармежанн французской ИБ-компании CERT-Lexsi описал несколько способов предотвращения шифрования файлов популярным ныне среди вымогателей вредоносным ПО Locky.

    Предлагаю желающим самим ознакомиться с обширными описанием предложенных методов.

    Короче говоря, вымогательское ПО Locky обладает рядом уязвимостей, которые позволяют обмануть его и предотвратить шифрование.
    1) Например, вредонос проверяет язык системы и не будет работать на компьютерах, где в интерфейсе используется русский язык.
    [​IMG]


    2) Оказавшись на системе, Locky пытается создать ключ реестра HKCU\Software\Locky , а если создать ключ заранее, то вредонос прекратит работу.
    [​IMG]

    3) Еще один метод предполагает еще одну манипуляцию со значением реестра, в которой задействуется специальный "идентификатор зараженной машины", найдя который Locky не шифрует файлы, а только переименовывает их.

    Другие методы достаточно сложны для простых пользователей, т.к. подразумевают манипуляции с RSA-ключами.
    Изучайте источник в спойлере выше и будет вам счастье.
     
    Kиpилл, lilia-5-0, Охотник и 2 другим нравится это.
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Zepto Ransomware — приемник Locky

    Криптовымогатель на основе Locky добавляет расширение .zepto к зашифрованным файлам.

    Шаблоны названия записки о выкупе: _ ([0-9] {1,4}) _ HELP_instructions, где диапазон [0-9] означает цифры от 0 до 9, а {1,4} - количество цифр от одной до четырех. Примеры, _37_HELP_INSTRUCTIONS.txt и _6789_HELP_INSTRUCTIONS.txt.
    Типы записок: TXT, BMP, HTML.

    Ранее Locky переименовал файлы, а затем добавлял расширение .Locky, чтобы имя файла было похоже на A65091F1B14A911F0DD0E81ED3029F08.locky.

    Теперь с использованием расширения .zepto зашифрованные и переименованные файлы будут называться примерно так: 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto
    Здесь 024BCD3341D1ACD3 - это ID жертвы.

    zepto-encrypted-files.jpg

    Наверно надо рассказать о таком шестиэтажном названии файла и о его составляющих.

    Итак, файл 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto

    024BCD33 --- первые восемь 16-ричных символов от ID 024BCD3341D1ACD3
    41D1 --- другие четыре 16-ричных символов от ID 024BCD3341D1ACD3
    ACD3 --- другие четыре 16-ричных символов от ID 024BCD3341D1ACD3
    3EEA --- четыре 16-ричных символов, входящих в переименованное название файла
    84083E322DFA --- двенадцать 16-ричных символов, входящих в переименованное название
    .zepto --- расширение вымогателя


    Всё вместе выглядит так:
    [первые_8_16-ричных_символов_от_ID]-[другие_4_16-ричных_символов_от_ID]-[другие_4_16-ричных_символов_от_ID]-[4_16-ричных_символов]-[12_16-ричных_символов].zepto

    На английском:
    [first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].zepto

    Короче:
    [first_8_hex_chars_of_id]-[next_4_hex_chars_of_id]-[next_4_hex_chars_of_id]-[4_hex_chars]-[12_hex_chars].zepto

    Источник:
    New Locky version adds the .Zepto Extension to Encrypted Files
    Шифровальщики-вымогатели: Zepto Ransomware
     
    Последнее редактирование модератором: 7 авг 2016
    Охотник, Kиpилл и thyrex нравится это.
  4. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Новая кампания по распространению Locky

    После недолгого затишья спам-кампании по распространению Locky Ransomware вновь возобновились. F-Secure зафиксировали несколько довольно агрессивных спам-атак.

    Обычно в ходе подобных кампаний распространяется от 4 тыс. до 10 тыс. спам-сообщений в день. В описываемых экспертами F-Secure случаях злоумышленники рассылали от 30 тыс. до свыше 120 тыс. спам-писем в час. Т.е. мощность спам-кампаний возросла в 200 с лишним раз.

    В ходе одной из кампаний спам-сообщения включали ZIP-архив (xls_convert_recipientname_randomnumber.zip), якобы содержащий нужные жертве счета. На самом деле там находился Jscript-файл, при открытии которого загружался и запускался вымогатель Locky.

    Блог F-Secure:
    A New High For Locky
     
    Kиpилл и Охотник нравится это.
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Zepto-Locky стал поставляться при помощи WSF-файлов

    За прошлую неделю было засвидетельствовано распространение приемника Locky криптовымогателя Zepto с новыми email-вложениями — заархивированными файлами WSF (Windows Script File).

    Письма имитируют банковскую отчетность, счета-фактуры или сообщения о доставке.

    WSF-файл может содержать как Jscript, так и VBScript код. Напоминаю, что после того, как вымогатель был установлен, он станет шифровать все файлы и переименовывать их так, что оригинальное название будет неузнаваемым и содержать расширение .zepto.

    Пример зашифрованных файлов уже приводился выше.
     
    Охотник и Kиpилл нравится это.
  6. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Locky / Zepto: Дополнение к портрету

    Стало известно, что за последние несколько дней разработчики Locky / Zepto отказались от использования исполняемого файла для установки Locky / Zepto Ransomware и перешли к использованию DLL. Вероятно, это делается для дальнейшего запутывания и обхода блокаторов исполняемых файлов.

    Locky при этом продолжает распространяться через JS-вложения, которые при выполнении загружают зашифрованную версию исполняемого файла. После того, как payload будет дешифрован в DLL-файл, он будет запущен с помощью следующей команды:
    Вы можете увидеть выполнение DLL на изображении ниже.
    rundll32.png

    Зашифрованные файлы по-прежнему получают расширение .zepto.

    Список целевых файловых расширений немного изменился:
    .aes, .apk, .arc, .asc, .asf, .asm, .asp, .asset, .avi, .bak, .bat, .bik, .bmp, .brd, .bsa, .cgm, .class, .cmd, .cpp, .crt, .csr, .csv, .d3dbsp, .das, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .forge, .frm, .gif, .gpg, .hwp, .ibd, .iwi, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .lbf, .ldf, .litemod, .litesql, .ltx, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mpeg, .mpg, .ms11, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .otg, .otp, .ots, .ott, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .qcow2, .rar, .raw, .rtf, .sav, .sch, .sldm, .sldx, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .upk, .vbs, .vdi, .vmdk, .vmx, .vob, .wallet, .wav, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (155 расширений).

     
    Охотник и Kиpилл нравится это.
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Locky стал использовать Embedded RSA-ключ вместо связи с C&C-сервером

    Есть плохая новость и хорошая. Начнем с плохой...

    Новая версия Locky-Zepto примерно с 5-го сентября 2016 года имеет встроенный RSA-ключ. Он позволяет шифровать данные жертвы не связываясь со своим командным сервером. Т.к. многие системные администраторы блокируют выход на командные серверы вымогателя в своих межсетевых экранах, то теперь, с помощью встроенного RSA-ключа, Locky-Zepto может зашифровать компьютер не связываясь с C&C-сервером.
    locky-embedded-rsa-key.png

    Хорошая новость заключается в том, что эта версия имеет проблемы с дистрибутивом, где некоторые вложения названы неправильно. Например, текущая кампания использует ZIP-вложения, содержащие JS-файлы. При выполнении этих файлов появляется ошибка, как на картинке ниже.
    scripting-errror.png
    Эта ошибка происходит потому, что вложены должны были быть HTA-, а не JS-файлы. После того, как файл будет переименован в HTA, всё работает правильно.

    Эта версия продолжает добавлять расширение .ZEPTO к зашифрованным файлам и создавать записки о выкупе, которые называются:
    %Desktop%\[number]_HELP_instructions.html,
    %Desktop%\_HELP_instructions.html,
    %Desktop%\_HELP_instructions.bmp.

    Список целевых расширений аналогичен предыдущему (см. мой пост от 27 августа).

     
    Последнее редактирование: 7 сен 2016
    Охотник нравится это.
  8. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Новая вариация Locky

    Locky Ransomware обзавелся новой вариацией, которая отличается от предыдущих новым расширением .odin, новыми записками о выкупе и новой вредоносной спам-кампанией.

    Название зашифрованного файла меняется особым образом. Например, после шифрования файл test.jpg станет 5FBZ55IG-S575-7GEF-2C7B-5B22862C2225.odin

    Список целевых расширений файлов:
    odin-extt.jpg

    Источник информации: http://id-ransomware.blogspot.ru/2016/09/odin-locky-ransomware.html
     
    Охотник нравится это.
  9. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Статистика инфекции по Odin-Locky

    odin-inf.jpg

    Подробнее, в том числе по IP, см. тут: sudosev.com
     
    Охотник нравится это.
  10. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Шифровальщик Locky использует новое расширение SHIT (дерьмо)


    Обнаружен новый вариант Locky вируса-шифровальщика, который в процессе шифрования к зашифрованным файлам добавляет расширение SHIT. Как и предыдущие варианты Locky, эта модификация шифровальщика устанавливается с помощью dll-библиотеки, которая выполняется с помощью Rundll32.exe. После запуска, он начнет шифровать файлы и добавлять к именам зашифрованных файлов расширение SHIT.


    [​IMG]
    Рис. 1 Выполнение Locky через Rundll32.exe


    Этот вариант в настоящее время распространяется через спам-письма с темой получения ###-###. По данным MalwareHunterTeam, вложения в сообщениях из электронной почты будут содержать вложения с расширениями, HTA, JS или WSF файлы, которые при выполнении загрузят зашифрованный DLL-установщик Locky, а потом расшифруют его на компьютере жертвы и затем выполнят его, как показано в изображении выше.

    После того, как Locky будет запущен, он начнет искать более 380 расширений пригодных для шифрования. Файлы пригодные для шифрования шифруются с помощью AES шифрования.


    [​IMG]
    Рис. 2 Зашифрованные файлы

    Locky шифрует следующие типы файлов:


    Код (Text):
    .yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.key

    Когда Locky закончил шифрование компьютера, он отобразит требования о выкупе с инструкциями по оплате. В этой модификации записки с требованием выкупа имеют новые имена и называются _WHAT_is.html, [2_значный_номер]_WHAT_is.html и _WHAT_is.bmp.


    [​IMG]
    Рис. 3 Файл с инструкциями по оплате выкупа


    К сожалению, как и предыдущие версии, этот вариант не может быть расшифрован бесплатно.

     
    Последнее редактирование: 27 окт 2016
  11. mike 1
    Оффлайн

    mike 1 Активный пользователь

    Сообщения:
    2.467
    Симпатии:
    861
    Locky переключается на THOR расширение будучи плохим вредоносным ПО

    Новые варианты Локи появляются быстрыми темпами в последнее время. Вчера мы имели новый вариант, который добавлял расширение SHIT к зашифрованным файлам, а сегодня они перешли к использованию ТHОR расширения.


    [​IMG]
    Рис. 1 Зашифрованные файлы в папке

    Вариант Locky с THOR расширением распространяется через спам-рассылки


    Этот новый вариант Locky в настоящее время распространяется через различные спам-рассылки с использованием VBS, JS и других типов файлов. В одной рассылке, которую я видел была тема с прогнозом бюджета, содержащую ZIP архив с именем budget_xls_[случайные_символы].zip.


    [​IMG]
    Рис. 2 Пример письма из спам-рассылки Locky​


    Этот zip архив содержит VBS скрипт с именем budget A32aD85 xls.vbs, как показано ниже.


    [​IMG]
    Рис. 3 Загрузчик Locky


    Locky продолжает использовать DLL-установщик

    Как и предыдущие варианты Locky, эта модификация шифровальщика устанавливается с помощью dll-библиотеки, которая выполняется с помощью Rundll32.exe. Потом Locky расшифровывает его на компьютере жертвы и выполняет его, как показано на изображении ниже:

    [​IMG]
    Рис. 4 Выполнение dll-библиотеки с помощью Rundll32.exe
    DLL библиотека в настоящее время выполняется со следующими параметрами:

    Код (Text):
    C:\Windows\SysWOW64\rundll32.exe %Temp%\MWGUBR~1.dll,EnhancedStoragePasswordConfig 147
    После того, как Locky будет запущен, он начнет искать пригодные для шифрования файлы. Зашифрованные файлы будут получать расширение THOR. Например, файл с именем accounting.xlsx может быть переименован в 024BCD33-41D1-ACD3-3EEA-84083E322DFA.thor. Формат схемы переименования следующий: [Первые 8 шестнадцатеричных символа из id]-[Следующие 4 шестнадцатеричных символа из id]-[Следующие 4 шестнадцатеричных символа из id]-[Следующие 4 шестнадцатеричных символа]-[12 шестнадцатеричных символов].thor.


    Расшифровать THOR вариант Locky не представляется возможным

    К сожалению, до сих пор нет никакого способа расшифровки Locky вымогателя независимо от расширения.

    В настоящее время единственным способом восстановления зашифрованных файлов после Locky возможен через резервную копию, или если вам невероятно повезло, то через теневые копии Windows. Хотя Locky и пытается удалить теневые копии Windows, в ряде случаев у него это сделать не получается по какой-либо причине. Благодаря этому можно попробовать в качестве последнего варианта восстановить зашифрованные файлы из теневых копий Windows.

     
    Последнее редактирование: 28 окт 2016

Поделиться этой страницей