Locky: Описание и вариации

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#1
Шифровальщик-вымогатель Locky: Технология работы

Исследователи Palo Alto Networks обнаружили и описали новый вид вымогателя-шифровальщика Locky, атакующего компьютеры под управлением ОС Windows. Он шифрует данные с помощью AES-шифрования, а затем требует 5 биткоинов за расшифровку. Хоть название вымогателя Locky звучит как детское имя, ничего детского в нем нет. Он нацелен на большое количество файловых расширений и, что более важно, шифрует данные также на удаленных сетевых ресурсах, как мы видели недавно у DMA Locker-а.

Теперь можно с уверенностью сказать, что эта возможность станет нормой среди функционала вымогателей. Как и CryptoWall, Locky также полностью меняет имена у зашифрованных файлов, чтобы еще больше затруднить пострадавшим возможность восстановления нужных данных.
Locky в настоящее время распространяется через электронную почту, используя вредоносное вложение — текстовый Документ Microsoft Word с вредоносными макросами ATTN: Invoice J-98223146 (инвойс, счёт-фактура) и письменное сообщение "Please see the attached invoice..." /перевод/ "Посмотрите прикрепленный инвойс и сделайте оплату согласно условиям, перечисленным в нижней части счета". Пример одного из таких писем можно увидеть ниже.



Документ Microsoft Word invoice_J-17105013.doc отображает нечитаемый текст и требует включить макросы, чтобы прочитать текст. После того, как пользователь позволит включить макросы в документе, запускается вредоносный макрос, загружающий вымогательское ПО с удалённого сервера. Аналогичный способ использовал банковский троян Dridex. В настоящее время известно более 10 различных вариантов Locky Downloader. Каждый из них использует иной метод запутывания и различные типы файлов: .doc, .xls, .docm вместе с .js.

Загружаемый макросом файл помещается в папку %Temp% и запускается на выполнение. Это и есть вымогатель Locky, который тут же начинает шифровать файлы на компьютере.

Locky шифрует данные и полностью меняет имена файлов!!!

При запуске Locky назначает уникальный 16-шестнадцатеричное число ПК жертве, типа F67091F1D24A922B. Locky сканирует все локальные диски и удаленные (неотображаемые) сетевые папки в поиске искомых файлов. При шифровании файлов он использует алгоритм AES-шифрования и зашифровывает только те файлы, которые соответствуют заданным расширениям.


Рис. Схема работы Locky

Итак, запомним схему работы:
1. Жертва получает письмо, содержащее подозрительное приложение (Загрузчик).
2. Жертва открывает вложение, макрос осуществляет нагрузку (Locky) с удаленного сервера.
3. Locky контактирует с C2-серверами для обмена ключами шифрования.
4. Locky шифрует заданные типы файлов и создает записку с требованием выкупа.

Список файловых расширений, подвергающихся шифрованию Locky:
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
Кроме того, Locky пропускает файлы, где полный путь и имя файла содержат одну из следующих строк:
Код:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
Когда Locky шифрует файл, он переименовывает его по формату [unique_id][identifier].locky. Например, файл test.jpg после шифрования примет вид F67091F1D24A922B1A7FC27E19A9D9BC.locky. Уникальный идентификатор и другая информация будут вписаны в конец зашифрованного файла.

Важно подчеркнуть, что Locky будет шифровать файлы на сетевых ресурсах, даже если они не отображаются на локальном диске. Как и предсказывалось, эта методика получает всё большее распространение и потому уже сейчас системные администраторы должны убедиться в том, что все сетевые ресурсы работают под ограниченным набором прав доступа к файлам, находящимся в их окружении.

Во процессе шифрования Locky также удаляет все теневые копии системы и файлов (Shadow Volume Copies), которые могли бы помочь восстановить данные Recovery-программами, с помощью команды зачистки:
Код:
vssadmin.exe Delete Shadows /All /Quiet
На рабочем столе и в каждой папке, где были зашифрованы файлы, Locky создаёт текстовую записку с требованием выкупа под названием _Locky_recover_instructions.txt . Она сообщает о том, что произошло с файлами жертвы.



Locky также меняет обои на рабочем столе на bmp-файл %UserpProfile%\Desktop\_Locky_recover_instructions.bmp, который содержит те же инструкции, что и текстовая записка.

И, что не менее важно, Locky хранит различную информацию в реестре в следующих ключах:
HKCU\Software\Locky\id — Уникальный идентификатор, присвоенный жертве.
HKCU\Software\Locky\pubkey — Открытый RSA-ключ.
HKCU\Software\Locky\paytext — Текст из записки с требованием выкупа
HKCU\Software\Locky\completed — Процесс шифрования файлов завершён.

Пара слов о странице Locky Decrypter
Внутри записки с требованием выкупа есть веб-ссылка на сайт Tor — страница Locky Decrypter, которая находится по адресу 6dtxgqam4crv6rr6.onion и содержит сумму в биткоинах, нужную для оплаты, информацию, как приобрести Bitcoins, и Bitcoin-адрес, на который необходимо отправить платеж. Как только жертва вышлет выкуп на Bitcoin-адрес, эта веб-страница обеспечит отгрузку декриптера, который можно использовать для расшифровки файлов. См. скриншот ниже.



Связанные с Locky файлы:
Код:
%UserpProfile%\Desktop\_Locky_recover_instructions.bmp
%UserpProfile%\Desktop\_Locky_recover_instructions.txt
%Temp%\[random].exe
Связанные с Locky записи реестра:
Код:
HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed    1
HKCU\Control Panel\Desktop\Wallpaper    "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"
Перевод выполнен SNS-amigo специально для данного раздела и темы.

Поздние добавления:
1) ИБ-эксперты предупреждают о скором появлении более сложных и опасных модификаций вымогателя Locky

2) Страница Check Point, на которой суммируются изменения
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#2
Способы обмана вымогательского ПО Locky

Исследователь Malware Сильвен Сармежанн французской ИБ-компании CERT-Lexsi описал несколько способов предотвращения шифрования файлов популярным ныне среди вымогателей вредоносным ПО Locky.

Предлагаю желающим самим ознакомиться с обширными описанием предложенных методов.

Короче говоря, вымогательское ПО Locky обладает рядом уязвимостей, которые позволяют обмануть его и предотвратить шифрование.
1) Например, вредонос проверяет язык системы и не будет работать на компьютерах, где в интерфейсе используется русский язык.
proxy.php?image=https%3A%2F%2Fwww.lexsi.com%2Fsecurityhub%2Fwp-content%2Fuploads%2F2016%2F03%2Flocky_ru.png&hash=c0ad0d7181a8d9fae781120d05e66412



2) Оказавшись на системе, Locky пытается создать ключ реестра HKCU\Software\Locky , а если создать ключ заранее, то вредонос прекратит работу.
proxy.php?image=https%3A%2F%2Fwww.lexsi.com%2Fsecurityhub%2Fwp-content%2Fuploads%2F2016%2F03%2Flocky_reg2.png&hash=b405d94ca19e58f11012c1f86cab3778


3) Еще один метод предполагает еще одну манипуляцию со значением реестра, в которой задействуется специальный "идентификатор зараженной машины", найдя который Locky не шифрует файлы, а только переименовывает их.

Другие методы достаточно сложны для простых пользователей, т.к. подразумевают манипуляции с RSA-ключами.
Изучайте источник в спойлере выше и будет вам счастье.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#3
Zepto Ransomware — приемник Locky

Криптовымогатель на основе Locky добавляет расширение .zepto к зашифрованным файлам.

Шаблоны названия записки о выкупе: _ ([0-9] {1,4}) _ HELP_instructions, где диапазон [0-9] означает цифры от 0 до 9, а {1,4} - количество цифр от одной до четырех. Примеры, _37_HELP_INSTRUCTIONS.txt и _6789_HELP_INSTRUCTIONS.txt.
Типы записок: TXT, BMP, HTML.

Ранее Locky переименовал файлы, а затем добавлял расширение .Locky, чтобы имя файла было похоже на A65091F1B14A911F0DD0E81ED3029F08.locky.

Теперь с использованием расширения .zepto зашифрованные и переименованные файлы будут называться примерно так: 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto
Здесь 024BCD3341D1ACD3 - это ID жертвы.



Наверно надо рассказать о таком шестиэтажном названии файла и о его составляющих.

Итак, файл 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto

024BCD33 --- первые восемь 16-ричных символов от ID 024BCD3341D1ACD3
41D1 --- другие четыре 16-ричных символов от ID 024BCD3341D1ACD3
ACD3 --- другие четыре 16-ричных символов от ID 024BCD3341D1ACD3
3EEA --- четыре 16-ричных символов, входящих в переименованное название файла
84083E322DFA --- двенадцать 16-ричных символов, входящих в переименованное название
.zepto --- расширение вымогателя


Всё вместе выглядит так:
[первые_8_16-ричных_символов_от_ID]-[другие_4_16-ричных_символов_от_ID]-[другие_4_16-ричных_символов_от_ID]-[4_16-ричных_символов]-[12_16-ричных_символов].zepto

На английском:
[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].zepto

Короче:
[first_8_hex_chars_of_id]-[next_4_hex_chars_of_id]-[next_4_hex_chars_of_id]-[4_hex_chars]-[12_hex_chars].zepto

Источник:
New Locky version adds the .Zepto Extension to Encrypted Files
Шифровальщики-вымогатели: Zepto Ransomware
 
Последнее редактирование модератором:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#4
Новая кампания по распространению Locky

После недолгого затишья спам-кампании по распространению Locky Ransomware вновь возобновились. F-Secure зафиксировали несколько довольно агрессивных спам-атак.

Обычно в ходе подобных кампаний распространяется от 4 тыс. до 10 тыс. спам-сообщений в день. В описываемых экспертами F-Secure случаях злоумышленники рассылали от 30 тыс. до свыше 120 тыс. спам-писем в час. Т.е. мощность спам-кампаний возросла в 200 с лишним раз.

В ходе одной из кампаний спам-сообщения включали ZIP-архив (xls_convert_recipientname_randomnumber.zip), якобы содержащий нужные жертве счета. На самом деле там находился Jscript-файл, при открытии которого загружался и запускался вымогатель Locky.

Блог F-Secure:
A New High For Locky
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#5
Zepto-Locky стал поставляться при помощи WSF-файлов

За прошлую неделю было засвидетельствовано распространение приемника Locky криптовымогателя Zepto с новыми email-вложениями — заархивированными файлами WSF (Windows Script File).

Письма имитируют банковскую отчетность, счета-фактуры или сообщения о доставке.

WSF-файл может содержать как Jscript, так и VBScript код. Напоминаю, что после того, как вымогатель был установлен, он станет шифровать все файлы и переименовывать их так, что оригинальное название будет неузнаваемым и содержать расширение .zepto.

Пример зашифрованных файлов уже приводился выше.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#6
Locky / Zepto: Дополнение к портрету

Стало известно, что за последние несколько дней разработчики Locky / Zepto отказались от использования исполняемого файла для установки Locky / Zepto Ransomware и перешли к использованию DLL. Вероятно, это делается для дальнейшего запутывания и обхода блокаторов исполняемых файлов.

Locky при этом продолжает распространяться через JS-вложения, которые при выполнении загружают зашифрованную версию исполняемого файла. После того, как payload будет дешифрован в DLL-файл, он будет запущен с помощью следующей команды:
"C:\Windows\System32\rundll32.exe" C:\Users\User\AppData\Local\Temp\MFJY1A~1.DLL,qwerty 323
Вы можете увидеть выполнение DLL на изображении ниже.


Зашифрованные файлы по-прежнему получают расширение .zepto.

Список целевых файловых расширений немного изменился:
.aes, .apk, .arc, .asc, .asf, .asm, .asp, .asset, .avi, .bak, .bat, .bik, .bmp, .brd, .bsa, .cgm, .class, .cmd, .cpp, .crt, .csr, .csv, .d3dbsp, .das, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .forge, .frm, .gif, .gpg, .hwp, .ibd, .iwi, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .lbf, .ldf, .litemod, .litesql, .ltx, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mpeg, .mpg, .ms11, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .otg, .otp, .ots, .ott, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .qcow2, .rar, .raw, .rtf, .sav, .sch, .sldm, .sldx, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .upk, .vbs, .vdi, .vmdk, .vmx, .vob, .wallet, .wav, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (155 расширений).

 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#7
Locky стал использовать Embedded RSA-ключ вместо связи с C&C-сервером

Есть плохая новость и хорошая. Начнем с плохой...

Новая версия Locky-Zepto примерно с 5-го сентября 2016 года имеет встроенный RSA-ключ. Он позволяет шифровать данные жертвы не связываясь со своим командным сервером. Т.к. многие системные администраторы блокируют выход на командные серверы вымогателя в своих межсетевых экранах, то теперь, с помощью встроенного RSA-ключа, Locky-Zepto может зашифровать компьютер не связываясь с C&C-сервером.


Хорошая новость заключается в том, что эта версия имеет проблемы с дистрибутивом, где некоторые вложения названы неправильно. Например, текущая кампания использует ZIP-вложения, содержащие JS-файлы. При выполнении этих файлов появляется ошибка, как на картинке ниже.

Эта ошибка происходит потому, что вложены должны были быть HTA-, а не JS-файлы. После того, как файл будет переименован в HTA, всё работает правильно.

Эта версия продолжает добавлять расширение .ZEPTO к зашифрованным файлам и создавать записки о выкупе, которые называются:
%Desktop%\[number]_HELP_instructions.html,
%Desktop%\_HELP_instructions.html,
%Desktop%\_HELP_instructions.bmp.

Список целевых расширений аналогичен предыдущему (см. мой пост от 27 августа).

 
Последнее редактирование:

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,191
Симпатии
8,474
Баллы
793
#8
Новая вариация Locky

Locky Ransomware обзавелся новой вариацией, которая отличается от предыдущих новым расширением .odin, новыми записками о выкупе и новой вредоносной спам-кампанией.

Название зашифрованного файла меняется особым образом. Например, после шифрования файл test.jpg станет 5FBZ55IG-S575-7GEF-2C7B-5B22862C2225.odin

Список целевых расширений файлов:


Источник информации: http://id-ransomware.blogspot.ru/2016/09/odin-locky-ransomware.html
 

mike 1

Активный пользователь
Сообщения
2,395
Симпатии
922
Баллы
383
#10
Шифровальщик Locky использует новое расширение SHIT (дерьмо)


Обнаружен новый вариант Locky вируса-шифровальщика, который в процессе шифрования к зашифрованным файлам добавляет расширение SHIT. Как и предыдущие варианты Locky, эта модификация шифровальщика устанавливается с помощью dll-библиотеки, которая выполняется с помощью Rundll32.exe. После запуска, он начнет шифровать файлы и добавлять к именам зашифрованных файлов расширение SHIT.


proxy.php?image=http%3A%2F%2Fwww.bleepstatic.com%2Fimages%2Fnews%2Fransomware%2Flocky%2Fshit%2Frundll32-properties.png&hash=aa5f964d91b8d6bf6e66becb8bebccce

Рис. 1 Выполнение Locky через Rundll32.exe


Этот вариант в настоящее время распространяется через спам-письма с темой получения ###-###. По данным MalwareHunterTeam, вложения в сообщениях из электронной почты будут содержать вложения с расширениями, HTA, JS или WSF файлы, которые при выполнении загрузят зашифрованный DLL-установщик Locky, а потом расшифруют его на компьютере жертвы и затем выполнят его, как показано в изображении выше.

После того, как Locky будет запущен, он начнет искать более 380 расширений пригодных для шифрования. Файлы пригодные для шифрования шифруются с помощью AES шифрования.


proxy.php?image=http%3A%2F%2Fwww.bleepstatic.com%2Fimages%2Fnews%2Fransomware%2Flocky%2Fshit%2Fencrypted-files.png&hash=994198eb2e607649dbd2b6018163ef57

Рис. 2 Зашифрованные файлы

Locky шифрует следующие типы файлов:


Код:
.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.key

Когда Locky закончил шифрование компьютера, он отобразит требования о выкупе с инструкциями по оплате. В этой модификации записки с требованием выкупа имеют новые имена и называются _WHAT_is.html, [2_значный_номер]_WHAT_is.html и _WHAT_is.bmp.


proxy.php?image=http%3A%2F%2Fwww.bleepstatic.com%2Fimages%2Fnews%2Fransomware%2Flocky%2Fshit%2Fransom-note.png&hash=3c80e6bb0f9bd14f113cf839a4aaf0d0

Рис. 3 Файл с инструкциями по оплате выкупа


К сожалению, как и предыдущие версии, этот вариант не может быть расшифрован бесплатно.

 
Последнее редактирование:

mike 1

Активный пользователь
Сообщения
2,395
Симпатии
922
Баллы
383
#11
Locky переключается на THOR расширение будучи плохим вредоносным ПО

Новые варианты Локи появляются быстрыми темпами в последнее время. Вчера мы имели новый вариант, который добавлял расширение SHIT к зашифрованным файлам, а сегодня они перешли к использованию ТHОR расширения.


proxy.php?image=http%3A%2F%2Fwww.bleepstatic.com%2Fimages%2Fnews%2Fransomware%2Flocky%2Fthor%2Fencrypted-files.png&hash=a4dccd1d9f660f29eb501c7a206c80f1

Рис. 1 Зашифрованные файлы в папке

Вариант Locky с THOR расширением распространяется через спам-рассылки


Этот новый вариант Locky в настоящее время распространяется через различные спам-рассылки с использованием VBS, JS и других типов файлов. В одной рассылке, которую я видел была тема с прогнозом бюджета, содержащую ZIP архив с именем budget_xls_[случайные_символы].zip.


proxy.php?image=http%3A%2F%2Fwww.bleepstatic.com%2Fimages%2Fnews%2Fransomware%2Flocky%2Fthor%2Fspam-email.png&hash=337d38b04e480bdd9c5d7788a95c2a60

Рис. 2 Пример письма из спам-рассылки Locky​


Этот zip архив содержит VBS скрипт с именем budget A32aD85 xls.vbs, как показано ниже.


proxy.php?image=http%3A%2F%2Fwww.bleepstatic.com%2Fimages%2Fnews%2Fransomware%2Flocky%2Fthor%2Fattachment.png&hash=8e58a06464900fff7c14729f1bb6d1ad

Рис. 3 Загрузчик Locky


Locky продолжает использовать DLL-установщик

Как и предыдущие варианты Locky, эта модификация шифровальщика устанавливается с помощью dll-библиотеки, которая выполняется с помощью Rundll32.exe. Потом Locky расшифровывает его на компьютере жертвы и выполняет его, как показано на изображении ниже:

proxy.php?image=http%3A%2F%2Fwww.bleepstatic.com%2Fimages%2Fnews%2Fransomware%2Flocky%2Fthor%2Frundll32.png&hash=4a6c7bf1bc9c445616bce3eab3c7c705

Рис. 4 Выполнение dll-библиотеки с помощью Rundll32.exe
DLL библиотека в настоящее время выполняется со следующими параметрами:

Код:
C:\Windows\SysWOW64\rundll32.exe %Temp%\MWGUBR~1.dll,EnhancedStoragePasswordConfig 147
После того, как Locky будет запущен, он начнет искать пригодные для шифрования файлы. Зашифрованные файлы будут получать расширение THOR. Например, файл с именем accounting.xlsx может быть переименован в 024BCD33-41D1-ACD3-3EEA-84083E322DFA.thor. Формат схемы переименования следующий: [Первые 8 шестнадцатеричных символа из id]-[Следующие 4 шестнадцатеричных символа из id]-[Следующие 4 шестнадцатеричных символа из id]-[Следующие 4 шестнадцатеричных символа]-[12 шестнадцатеричных символов].thor.


Расшифровать THOR вариант Locky не представляется возможным

К сожалению, до сих пор нет никакого способа расшифровки Locky вымогателя независимо от расширения.

В настоящее время единственным способом восстановления зашифрованных файлов после Locky возможен через резервную копию, или если вам невероятно повезло, то через теневые копии Windows. Хотя Locky и пытается удалить теневые копии Windows, в ряде случаев у него это сделать не получается по какой-либо причине. Благодаря этому можно попробовать в качестве последнего варианта восстановить зашифрованные файлы из теневых копий Windows.

 
Последнее редактирование:
Сверху Снизу