Основная цель вредоносной программы – это шифрование определенных файлов в системе и на доступных сетевых дисках с целью заставить пострадавшего пользователя заплатить выкуп за восстановление зашифрованных документов. Зловред переименовывает каждый зашифрованный документ в виде файлов hash.locky.
Системы поражаются по электронной почте через вложения в письмах. Когда пользователь открывает зараженный документ Word, то включается вредоносный макрос, который запускает скрипт для скачивания бинарного файла Locky.
Код макроса, который запускает скрипт:
Скрипт связывается с сервером для скачивания вредоносного файла в папку %TEMP% и запускает его.
Трассировка, используемая для загрузки Locky на требуемый компьютер:
После запуска Locky генерирует уникальный ID машины, используя GUID операционной системы. Затем он создает следующий ключ реестра с помощью сгенерированного значения: HKEY_CURRENT_USERSoftwareLockyid.
Кроме того, он связывается с C&C сервером для получения открытого ключа, который он использует для шифрования файлов в системе с помощью алгоритмов RSA-2048 и AES-128, и сохраняет его в следующий раздел реестра: HKEY_CURRENT_USERSoftwareLockypubkey.
Locky скачивает файл .TXT с инструкциями для оплаты выкупа, сохраняет его в реестр (HKEY_CURRENT_USERSoftwareLockypaytext) и создает файл с названием «__Locky_recover_instructions.txt» в каждой папке, где содержится зашифрованный файл. Затем, после выполнения шифрования жесткого диска, он использует API-функцию ShellExecuteA для открытия файла .TXT.
Locky проверяет каждый файл в системе, шифруя только те файлы, которые имеют расширения из списка расширений, добавленных в его код. Эти файлы шифруются с помощью AES-шифрования и переименовываются в виде файлов hash . locky.
Список расширений файлов, которые шифруются с помощью LOCKY
. m 4 u , . m 3 u , . mid , . wma , . flv , .3 g 2, . mkv , .3 gp , . mp 4, . mov , . avi , . asf , . mpeg , . vob , . mpg , . wmv , . fla , . swf , . wav , . mp 3, . qcow 2, . vdi , . vmdk , . vmx , . gpg , . aes , . ARC , . PAQ , . tar . bz 2, . tbk , . bak , . tar , . tgz , . rar , . zip , . djv , . djvu , . svg , . bmp , . png , . gif , . raw , . cgm , . jpeg , . jpg , . tif , . tiff , . NEF , . psd , . cmd , . bat , . class , . jar , . java , . asp , . brd , . sch , . dch , . dip , . vbs , . asm , . pas , . cpp , . php , . ldf , . mdf , . ibd , . MYI , . MYD , . frm , . odb , . dbf , . mdb , . sql , . SQLITEDB , . SQLITE 3, . asc , . lay 6, . lay , . ms 11 ( Security copy ), . ms 11, . sldm , . sldx , . ppsm , . ppsx , . ppam , . docb , . mml , . sxm , . otg , . odg , . uop , . potx , . potm , . pptx , . pptm , . std , . sxd , . pot , . pps , . sti , . sxi , . otp , . odp , . wb 2, .123, . wks , . wk 1, . xltx , . xltm , . xlsx , . xlsm , . xlsb , . slk , . xlw , . xlt , . xlm , . xlc , . dif , . stc , . sxc , . ots , . ods , . hwp , .602, . dotm , . dotx , . docm , . docx , . DOT , .3 dm , . max , .3 ds , . xml , . txt , . CSV , . uot , . RTF , . pdf , . XLS , . PPT , . stw , . sxw , . ott , . odt , . DOC , . pem , . p 12, . csr , . crt , . key
Также вредоносная программа использует команду vssadmin для отключения службы теневого копирования системы, чтобы пользователи не могли восстановить архивные резервные копии, созданные операционной системой. Затем зловред пытается удалить файл.EXE, чтобы удалить любые следы своего присутствия на компьютере.
Хотя данный вариант не предпринимал никаких действий, чтобы гарантировать свое присутствие в системе, однако другие варианты добавляли следующий параметр реестра::
HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRun “Locky” = “%TEMP%[name].exe”
Оригинал статьи:
+7(495)105 94 51, marketing@rus.pandasecurity.com
