Обнаружен новый вариант Locky вируса-шифровальщика, который в процессе шифрования к зашифрованным файлам добавляет расширение SHIT. Как и предыдущие варианты Locky, эта модификация шифровальщика устанавливается с помощью dll-библиотеки, которая выполняется с помощью Rundll32.exe. После запуска, он начнет шифровать файлы и добавлять к именам зашифрованных файлов расширение SHIT.




http://www.bleepstatic.com/images/news/ransomware/locky/shit/rundll32-properties.png

Рис. 1 Выполнение Locky через Rundll32.exe




Этот вариант в настоящее время распространяется через спам-письма с темой получения ###-###. По данным MalwareHunterTeam, вложения в сообщениях из электронной почты будут содержать вложения с расширениями HTA, JS или WSF файлы, которые при выполнении загрузят зашифрованный DLL-установщик Locky, а потом расшифруют его на компьютере жертвы и затем выполнят его, как показано в изображении выше.

После того, как Locky будет запущен, он начнет искать более 380 расширений пригодных для шифрования. Файлы пригодные для шифрования шифруются с помощью AES шифрования.



http://www.bleepstatic.com/images/news/ransomware/locky/shit/encrypted-files.png

Рис. 2 Зашифрованные файлы



Locky шифрует следующие типы файлов:




.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.s qlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl ,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,. plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl, .nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny ,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.i ncpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd, .ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.d es,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.cr w,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.b gt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.a pj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.a ccde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow, .qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.l og,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bi n,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.p tx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.m os,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dc r,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam, .xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps ,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt ,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.lacc db,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,. config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls ,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc ,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf, .mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.v mdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod, .lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.ap k,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz ,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cg m,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class ,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pa s,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.db f,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc, .lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sx m,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd ,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.x lsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc ,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT, .max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw, .sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.key



Когда Locky закончил шифрование компьютера, он отобразит требования о выкупе с инструкциями по оплате. В этой модификации записки с требованием выкупа имеют новые имена и называются _WHAT_is.html, [2_значный_номер]_WHAT_is.html и _WHAT_is.bmp.



http://www.bleepstatic.com/images/news/ransomware/locky/shit/ransom-note.png

Рис. 3 Файл с инструкциями по оплате выкупа



К сожалению, как и предыдущие версии, этот вариант не может быть расшифрован бесплатно.

http://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-thor-extension-after-being-a-bad-malware/