Отчет о шифровальщике Locky

Отчет о шифровальщике Locky


Основная цель вредоносной программы Locky – это шифрование определенных файлов в системе и на доступных сетевых дисках с целью заставить пострадавшего пользователя заплатить выкуп за восстановление зашифрованных документов. Зловред переименовывает каждый зашифрованный документ в виде файлов hash.locky.

Системы поражаются по электронной почте через вложения в письмах. Когда пользователь открывает зараженный документ Word, то включается вредоносный макрос, который запускает скрипт для скачивания бинарного файла Locky.

Код макроса, который запускает скрипт:


Скрипт связывается с сервером для скачивания вредоносного файла в папку %TEMP% и запускает его.
Трассировка, используемая для загрузки Locky на требуемый компьютер:


После запуска Locky генерирует уникальный ID машины, используя GUID операционной системы. Затем он создает следующий ключ реестра с помощью сгенерированного значения:  HKEY_CURRENT_USERSoftwareLockyid.

Кроме того, он связывается с C&C сервером для получения открытого ключа, который он использует для шифрования файлов в системе с помощью алгоритмов RSA-2048 и AES-128, и сохраняет его в следующий раздел реестра: HKEY_CURRENT_USERSoftwareLockypubkey.
Locky скачивает файл .TXT с инструкциями для оплаты выкупа, сохраняет его в реестр (HKEY_CURRENT_USERSoftwareLockypaytext) и создает файл с названием «__Locky_recover_instructions.txt» в каждой папке, где содержится зашифрованный файл. Затем, после выполнения шифрования жесткого диска, он использует API-функцию ShellExecuteA для открытия файла .TXT.

Locky проверяет каждый файл в системе, шифруя только те файлы, которые имеют расширения из списка расширений, добавленных в его код. Эти файлы шифруются с помощью AES-шифрования и переименовываются в виде файлов hash . locky.

Список расширений файлов, которые шифруются с помощью LOCKY

. m 4 u , . m 3 u , . mid , . wma , . flv , .3 g 2, . mkv , .3 gp , . mp 4, . mov , . avi , . asf , . mpeg , . vob , . mpg , . wmv , . fla , . swf , . wav , . mp 3, . qcow 2, . vdi , . vmdk , . vmx , . gpg , . aes , . ARC , . PAQ , . tar . bz 2, . tbk , . bak , . tar , . tgz , . rar , . zip , . djv , . djvu , . svg , . bmp , . png , . gif , . raw , . cgm , . jpeg , . jpg , . tif , . tiff , . NEF , . psd , . cmd , . bat , . class , . jar , . java , . asp , . brd , . sch , . dch , . dip , . vbs , . asm , . pas , . cpp , . php , . ldf , . mdf , . ibd , . MYI , . MYD , . frm , . odb , . dbf , . mdb , . sql , . SQLITEDB , . SQLITE 3, . asc , . lay 6, . lay , . ms 11 ( Security copy ), . ms 11, . sldm , . sldx , . ppsm , . ppsx , . ppam , . docb , . mml , . sxm , . otg , . odg , . uop , . potx , . potm , . pptx , . pptm , . std , . sxd , . pot , . pps , . sti , . sxi , . otp , . odp , . wb 2, .123, . wks , . wk 1, . xltx , . xltm , . xlsx , . xlsm , . xlsb , . slk , . xlw , . xlt , . xlm , . xlc , . dif , . stc , . sxc , . ots , . ods , . hwp , .602, . dotm , . dotx , . docm , . docx , . DOT , .3 dm , . max , .3 ds , . xml , . txt , . CSV , . uot , . RTF , . pdf , . XLS , . PPT , . stw , . sxw , . ott , . odt , . DOC , . pem , . p 12, . csr , . crt , . key

Также вредоносная программа использует команду vssadmin для отключения службы теневого копирования системы, чтобы пользователи не могли восстановить архивные резервные копии, созданные операционной системой. Затем зловред пытается удалить файл.EXE, чтобы удалить любые следы своего присутствия на компьютере.

Хотя данный вариант не предпринимал никаких действий, чтобы гарантировать свое присутствие в системе, однако другие варианты добавляли следующий параметр реестра::
HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRun “Locky” = “%TEMP%[name].exe”


Оригинал статьи: Locky malware report

Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
http://www.pandasecurity.com
Cryptolocker кибер-преступники шифровальщик Locky
Alt text
Комментарии для сайта Cackle

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.