Locky переключается на THOR расширение будучи плохим вредоносным ПО

Новые варианты Локи появляются быстрыми темпами в последнее время. Вчера мы имели новый вариант, который добавлял расширение SHIT к зашифрованным файлам, а сегодня они перешли к использованию ТHОR расширения.
[CENTER]

[IMG]http://www.bleepstatic.com/images/news/ransomware/locky/thor/encrypted-files.png[/IMG]

[B]Рис. 1 Зашифрованные файлы в папке

[/B]


[SIZE=4][B]Вариант Locky с THOR расширением распространяется через спам-рассылки

[/B][/SIZE][/CENTER]

Этот новый вариант Locky в настоящее время распространяется через различные спам-рассылки с использованием VBS, JS и других типов файлов. В одной рассылке, которую я видел была тема с прогнозом бюджета, содержащую ZIP архив с именем [B]budget_xls_[случайные_символы].zip[/B].



[CENTER][IMG]http://www.bleepstatic.com/images/news/ransomware/locky/thor/spam-email.png[/IMG]

[B]Рис. 2 Пример письма из спам-рассылки Locky


[/B][/CENTER]
Этот zip архив содержит VBS скрипт с именем [B]budget A32aD85 xls.vbs[/B], как показано ниже:


[CENTER]
[IMG]http://www.bleepstatic.com/images/news/ransomware/locky/thor/attachment.png[/IMG]

[B]Рис. 3 Загрузчик Locky


[/B]
[SIZE=4][B]Locky продолжает использовать DLL-установщик


[/B][/SIZE][/CENTER]
Как и предыдущие варианты Locky, эта модификация шифровальщика устанавливается с помощью dll-библиотеки, которая выполняется с помощью Rundll32.exe. Потом Locky расшифровывает его на компьютере жертвы и выполняет его, как показано на изображении ниже:


[CENTER]
[IMG]http://www.bleepstatic.com/images/news/ransomware/locky/thor/rundll32.png[/IMG]

[B]Рис. 4 Выполнение dll-библиотеки с помощью Rundll32.exe

[/B]
[/CENTER]

DLL библиотека в настоящее время выполняется со следующими параметрами:


[CODE]
C:\Windows\SysWOW64\rundll32.exe %Temp%\MWGUBR~1.dll,EnhancedStoragePasswordConfig 147
[/CODE]


После того, как Locky будет запущен, он начнет искать пригодные для шифрования файлы. Зашифрованные файлы будут получать расширение THOR. Например, файл с именем [B]accounting.xlsx[/B] может быть переименован в [B]024BCD33-41D1-ACD3-3EEA-84083E322DFA.thor[/B].

Формат схемы переименования следующий: [B][Первые 8 шестнадцатеричных символа из id][/B]-[B][Следующие 4 шестнадцатеричных символа из id][/B]-[B][Следующие 4 шестнадцатеричных символа из id][/B]-[B][Следующие 4 шестнадцатеричных символа][/B]-[B][12 шестнадцатеричных символов].thor[/B].



[CENTER][SIZE=4][B]Расшифровать THOR вариант Locky не представляется возможным


[/B][/SIZE][/CENTER]
К сожалению, до сих пор нет никакого способа расшифровки Locky вымогателя независимо от расширения.

В настоящее время единственным способом восстановления зашифрованных файлов после Locky возможен через резервную копию, или если вам невероятно повезло, то через теневые копии Windows. Хотя Locky и пытается удалить теневые копии Windows, в ряде случаев у него это сделать не получается по какой-либо причине. Благодаря этому можно попробовать в качестве последнего варианта восстановить зашифрованные файлы из теневых копий Windows.


[SPOILER=Источник: Перевод от mike 1]http://www.bleepingcomputer.com/news/security/locky-ransomware-switches-to-thor-extension-after-being-a-bad-malware/[/SPOILER]