Πληροφορίες για το ransomware Locky

[serpico75]

Το ransomware Locky κρυπτογραφεί τοπικά αρχεία καί μη αντιστοιχισμένα κοινόχρηστα στοιχεία δικτύου

 

Ένα νέο ransomware ανακαλύφθηκε ονομαζόμενο Locky, το οποίο κρυπτογραφεί τα δεδομένα σας, χρησιμοποιώντας την κρυπτογράφηση
AES, και στη συνέχεια ζητά 0.5 bitcoins, για να αποκρυπτογραφηθούν τα αρχεία σας. Αν και το ransomware ακούγεται σαν ένα όνομα προερχόμενο

από παιδικό παιχνίδι-άκουσμα, δεν υπάρχει τίποτα το παιδικό σ' αυτό. Στοχεύει σε μία μεγάλη ποσότητα επεκτάσεων αρχείων, και, ακόμη σημαντικότερο,

κρυπτογραφεί δεδομένα σε μή αντιστοιχισμένα κοινόχρηστα στοιχεία δίσκου. Κρυπτογραφόντας δεδομένα σε μή αντιστοιχισμένα κοινόχρηστα

στοιχεία δίσκου, είναι μία ασήμαντη κρυπτογράφηση, και το γεγονός ότι είδαμε το πρόσφατο DMA Locker με αυτή τη δυνατότητα τώρα καί

στο Locky, είναι ακίνδυνο να πούμε ότι πρόκειται να αποτελέσει πρότυπο. Ομοίως με το CryptoWall, το Locky εξίσου αλλάζει εντελώς τα ονόματα

των αρχείων για τα κρυπτογραφημένα αρχεία, έτσι ώστε να το κάνει περισσότερο δύσκολο να γίνει ανάκτηση των αρχείων σωστά.

 

Αυτήν την περίοδο δεν υπάρχει κανένας τρόπος αποκρυπτογράφησης αρχείων που έχουν κρυπτογραφηθεί από το Locky. Για αυτούς που ενδιαφέρονται

να συζητήσουν για αυτό το ransomware ή έχουν ερωτήσεις, παρακαλώ μη διστάσετε να αναρτήσετε ερωτήσεις στο

θέμα μας Υποτήριξη και Βοήθεια περί Locky Ransomware.

 

Εγκατάσταση τού Locky μέσω πλαστού τιμολογίου

 

Το Locky προς το παρόν διανέμεται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου (e-mails), τα οποία περιέχουν επισυναπτόμενα έγγραφα
Word με κακόβουλες μακροεντολές. Το μήνυμα ηλεκτρονικού ταχυδρομείου θα περιλαμβάνει θέμα παρόμοιο με ATTN:Invoice J-98223146,
και ένα μήνυμα όπως "Παρακαλώ, δείτε το επισυναπτόμενο τιμολόγιο (έγγραφο Microsoft Word), και κάντε το έμβασμα της πληρωμής, σύμφωνα
με τούς όρους που καταγράφονται στο κάτω μέρος τού τιμολογίου." Ένα παράδειγμα ενός τέτοιου ηλεκτρονικού μηνύματος φαίνεται
παρακάτω:

 

Locky Email Distribution

 

Επισυναπτόμενο σ' αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου θα είναι ένα κακόβουλο έγγραφο Word, με όνομα παρόμοιο με invoice_J-17105013.doc.
Όταν το έγγραφο ανοιχτεί, το κείμενο θα ανακατευτεί (κάτι σαν ανακατεμένα κομμάτια παλζ), και το έγγραφο θα εμφανίσει ένα μήνυμα που
θα αναφέρει πως θα πρέπει να ενεργοποιήσετε τις μακροεκτολές, σε περίπτωση που το κείμενο είναι μη αναγνώσιμο.

 

Malicious Word Document

 

Μόλις το θύμα ενεργοποιήσει τις μακροεντολές, οι μακροεντολές θα κάνουν download μία εκτελέσιμη μακροεντολή από έναν απομακρυσμένο διακομιστή, και θα
την εκτελέσουν.

 

Malicious Macro

 

Το αρχείο που γίνεται download από την μακροεντολή, θα αποθηκευτεί στον φάκελο %Temp%, και θα εκτελεστεί. Αυτό το εκτελέσιμο αρχείο, είναι το
ransomware Locky, το οποίο, όταν εκτελεστεί, θα ξεκινήσει να κρυπτογραφεί αρχεία στον υπολογιστή σας.

 

Το Locky κρυπτογραφεί τα δεδομένα σας και αλλάζει πλήρως τις επεκτάσεις των αρχείων

 

Όταν το Locky ξεκινά, θα δημιουργήσει καί αναθέσει ένα μοναδικό δεκαεξαδικό (16-hexadecimal) αριθμό στο θύμα, που θα μοιάζει με
κάτι σαν F67091F1D24A922B. Το Locky θα σαρώσει, τότε, όλους τους τοπικούς οδηγούς καί μη αντιστοιχισμένα κοινόχρηστα στοιχεία δικτύου, για να
κρυπτογραφήσει αρχεία δεδομένων. Καθώς κρυπτογραφεί αρχεία, θα χρησιμοποιήσει τον αλγόριθμο της κρυπτογράφησης AES, και θα κρυπτογραφήσει μόνον
τα αρχεία εκείνα των οποίων η επέκταση ταιριάζει σε μία από τις ακόλουθες:

 

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

 

Επιπλέον, το Locky θα παρακάμψει εκείνα τα αρχεία των οποίων το πλήρες όνομα διαδρομής, καθώς καί το όνομα αρχείου, περιέχουν μία από τις
ακόλουθες συμβολοσειρές:

 

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

 

Όταν το Locky κρυπτογραφήσει ένα αρχείο, θα μετονομάσει το αρχείο στη μορφή [unique_id][identifier].locky. Έτσι, όταν το test.jpg κρυπτογραφηθεί,
θα μετονομαστεί σε κάτι σαν F67091F1D24A922B1A7FC27E19A9D9BC.locky. Το unique ID και άλλες πληροφορίες θα ενσωματωθούν, επίσης, στο τέλος του
κρυπτογραφημένου αρχείου.

 

Είναι σημαντικό να τονίσουμε πως το Locky θα κρυπτογραφήσει αρχεία σε κοινόχρηστα στοιχεία δίσκου, ακόμη και αν δεν είναι αντιστοιχισμένα σε
μία τοπική μονάδα δίσκου. Ως αναμενόμενο, αυτό είναι κάτι που γίνεται ολοένα και περισσότερο σύνηθες, και όλοι οι διαχειριστές συστημάτων
πρέπει να κλειδώσουν όλα τα από κοινού δίκτυα, με τα χαμηλότερα δυνατόν δικαιώματα.

 

Ως ένα μέρος της διαδικασίας κρυπτογράφησης, το Locky επίσης θα διαγράψει όλα τα Μυστικά (Σκιώδη) Αντίγραφα Τόμων στον υπολογιστή, ώστε να μη
μπορούν να χρησιμοποιηθούν για ανάκτηση των αρχείων τού θύματος. Το Locky το επιτυγχάνει αυτό εκτελώντας την ακόλουθη εντολή:

 

vssadmin.exe Delete Shadows /All /Quiet

 

Στην επιφάνεια εργασίας των Windows, καθώς και σε κάθε φάκελο όπου κάποιο αρχείο κρυπτογραφήθηκε, το Locky θα δημιουργήσει σημειώσεις λύτρα, που
αποκαλούνται _Locky_recover_instructions.txt. Αυτές οι σημειώσεις λύτρα περιέχουν πληροφορίες για το τί συνέβη στα αρχεία τού θύματος, καθώς και
συνδέσουμς στη σελίδα αποκρυπτογράφησης.

 

Locky Text Ransom Note

 

Το Locky θα αλλάξει την ταπετσαρία των Windows σε %UserpProfile%\Desktop\_Locky_recover_instructions.bmp, η οποία περιέχει τις ίδιες οδηγίες με
το κείμενο των σημειώσεων λύτρα.

 

Locky Wallpaper

 

Τέλος, αλλά εξίσου σημαντικό, το Locky θα αποθηκεύσει πολλές πληροφορίες στο μητρώο κάτω από τα παρακάτω κλειδιά:

 

• HKCU\Software\Locky\id - Το unique ID που ανατέθηκε στο θύμα.
• HKCU\Software\Locky\pubkey - Το RSA ιδιωτικό κλειδί.
• HKCU\Software\Locky\paytext - Το κείμενο που αποθηκεύτηκε στις σημειώσεις λύτρα.
• HKCU\Software\Locky\completed - Εάν το ransomware τελείωσε με την κρυπτογράφηση τού υπολογιστή.

 

Η σελίδα αποκρυπτογράφησης Locky

 

Μέσα στις σημειώσει λύτρα τού Locky, βρίσκονται σύνδεσμοι σε ένα μία ιστοσελίδα Tor, που αποκαλείται Σελίδα Αποκρυπτογράφησης Locky.

Αυτή η σελίδα βρίσκεται στο 6dtxgqam4crv6rr6.onion, και περιέχει το σύνολο των bitcoins που θα στείλετε σαν πληρωμή, πώς να αγοράσετε

τα bitcoins, και τη διεύθυνση τού bitcoin που πρέπει να στείλετε την πληρωμή. Μόλις ένα θύμα στείλει την πληρωμή στην ορισμένη διεύθυνση

bitcoin, η ιστοσελίδα θα διαθέσει έναν αποκρυπτογράφο, που μπορεί να χρησιμοποιηθεί για να αποκρυπτογραφηθούν τα αρχεία σας.

 

Locky Decrypter Page

 

Σχετικά αρχεία Locky

 

%UserpProfile%\Desktop\_Locky_recover_instructions.bmp
%UserpProfile%\Desktop\_Locky_recover_instructions.txt
%Temp%\[random].exe

 

Σχετικές καταχωρήσεις μητρώου Locky

 

HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey	
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed	1
HKCU\Control Panel\Desktop\Wallpaper	"%UserProfile%\Desktop\_Locky_recover_instructions.bmp"

 

Πηγή:The Locky Ransomware Encrypts Local Files and Unmapped Network Shares