-
Locky переключается на THOR расширение будучи плохим вредоносным ПО
Новые варианты Локи появляются быстрыми темпами в последнее время. Вчера мы имели новый вариант, который добавлял расширение SHIT к зашифрованным файлам, а сегодня они перешли к использованию ТHОR расширения.
Рис. 1 Зашифрованные файлы в папке
Вариант Locky с THOR расширением распространяется через спам-рассылки
Этот новый вариант Locky в настоящее время распространяется через различные спам-рассылки с использованием VBS, JS и других типов файлов. В одной рассылке, которую я видел была тема с прогнозом бюджета, содержащую ZIP архив с именем budget_xls_[случайные_символы].zip.
Рис. 2 Пример письма из спам-рассылки Locky
Этот zip архив содержит VBS скрипт с именем budget A32aD85 xls.vbs, как показано ниже:
Рис. 3 Загрузчик Locky
Locky продолжает использовать DLL-установщик
Как и предыдущие варианты Locky, эта модификация шифровальщика устанавливается с помощью dll-библиотеки, которая выполняется с помощью Rundll32.exe. Потом Locky расшифровывает его на компьютере жертвы и выполняет его, как показано на изображении ниже:
Рис. 4 Выполнение dll-библиотеки с помощью Rundll32.exe
DLL библиотека в настоящее время выполняется со следующими параметрами:
Код:
C:\Windows\SysWOW64\rundll32.exe %Temp%\MWGUBR~1.dll,EnhancedStoragePasswordConfig 147
После того, как Locky будет запущен, он начнет искать пригодные для шифрования файлы. Зашифрованные файлы будут получать расширение THOR. Например, файл с именем accounting.xlsx может быть переименован в 024BCD33-41D1-ACD3-3EEA-84083E322DFA.thor.
Формат схемы переименования следующий: [Первые 8 шестнадцатеричных символа из id]-[Следующие 4 шестнадцатеричных символа из id]-[Следующие 4 шестнадцатеричных символа из id]-[Следующие 4 шестнадцатеричных символа]-[12 шестнадцатеричных символов].thor.
Расшифровать THOR вариант Locky не представляется возможным
К сожалению, до сих пор нет никакого способа расшифровки Locky вымогателя независимо от расширения.
В настоящее время единственным способом восстановления зашифрованных файлов после Locky возможен через резервную копию, или если вам невероятно повезло, то через теневые копии Windows. Хотя Locky и пытается удалить теневые копии Windows, в ряде случаев у него это сделать не получается по какой-либо причине. Благодаря этому можно попробовать в качестве последнего варианта восстановить зашифрованные файлы из теневых копий Windows.
Источник: Перевод от mike 1
http://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-thor-extension-after-being-a-bad-malware/
Скрыть
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru: