вторник, 16 февраля 2016 г.

Locky

Locky Ransomware

(шифровальщик-вымогатель)


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 3-5-7 биткоинов за дешифровку. Суммы называются разные, были и 0,5 биткоина. Название оригинальное. 

Хоть название Locky и звучит как детское имя, ничего детского в нём нет. Он нацелен на большое количество файловых расширений и шифрует данные также на удаленных сетевых ресурсах, как мы видели ранее у DMA Locker. Теперь можно с уверенностью сказать, что эта возможность станет нормой среди функционала вымогателей. 

© Генеалогия: Locky. Начало. 

К зашифрованным файлам добавляется расширение .locky
Файлы переименовываются по шаблону [unique_id][identifier].locky
Например, файл test.jpg после шифрования примет вид F67091F1D24A922B1A7FC27E19A9D9BC.locky.

Ранняя активность этого крипто-вымогателя пришлась на февраль 2016 г. и продолжалась в течении всего года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Более поздние итерации добавляли следующие расширения:
.zepto - [июнь-июль-август 2016] - см. статью Zepto-Locky Ransomware;
.odin[сентябрь 2016] - см. статью Odin-Locky Ransomware;
.shit[октябрь 2016] - будет рассказано позже;
.thor [октябрь-ноябрь 2016] - будет рассказано позже;
.asier [ноябрь 2016] - будет рассказано позже;
.zzzzz [ноябрь-декабрь 2016] - будет рассказано позже;
.osiris [декабрь 2016] + [апрель 2017] - см. статьи Osiris-Locky Ransomware и Osiris-Locky 2017 Ransomware;
.loptr - [май 2017]

Записки с требованием выкупа называются:
_Locky_recover_instructions.txt
_Locky_recover_instructions.bmp

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов (Nuclear и др.), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

С февраля по апрель было зарегистрировано минимум 10 различных вариантов загрузчика Locky. Каждый из них пытался обойти антивирусы, пряча целевую нагрузку в различных типах файлов (.doc, .docm, .xls и .js), выдаваемых за неоплаченные счета.

Один из ранних примеров, распространялся через email-спам, используя вредоносное вложение — текстовый Документ Microsoft Word с вредоносными макросами ATTN: Invoice J-98223146 (инвойс, счёт-фактура, рапорт) и письменное сообщение "Please see the attached invoice..." /перевод/ "Посмотрите прикрепленный инвойс и сделайте оплату согласно условиям, перечисленным в нижней части счета". Пример одного из таких писем можно увидеть ниже.

Используемый как атачмент (вложение) Документ Microsoft Word invoice_J-17105013.doc при открытии отображает нечитаемый текст и требует включить макросы, чтобы прочитать текст. Если пользователь разрешит включить макросы в документе, запускается вредоносный макрос, загружающий вымогательское ПО с удалённого сервера. Аналогичный способ использовал банковский троян Dridex. В настоящее время известно более 10 различных вариантов Locky Downloader. Каждый из них использует иной метод запутывания и различные типы файлов: .doc, .xls, .docm вместе с .js.

Загружаемый макросом файл помещается в папку %Temp% и запускается на выполнение. Это и есть крипто-вымогатель Locky, который тут же начинает шифровать файлы на компьютере.

Locky шифрует данные и полностью меняет имена файлов, чтобы ещё больше затруднить пострадавшим возможность восстановления нужных данных.

При запуске Locky назначает уникальный 16-шестнадцатеричное число ПК жертве, типа F67091F1D24A922B. Locky сканирует все локальные диски и удаленные (неотображаемые) сетевые папки в поиске искомых файлов. При шифровании файлов он использует алгоритм AES-шифрования и зашифровывает только те файлы, которые соответствуют заданным расширениям.
Схема работы Locky

Итак, запомните схему работы:
1. Жертва получает письмо, содержащее подозрительное приложение (Загрузчик).
2. Жертва открывает вложение, макрос осуществляет нагрузку (Locky) с удаленного сервера.
3. Locky контактирует с C2-серверами для обмена ключами шифрования.
4. Locky шифрует заданные типы файлов и создает записку с требованием выкупа.

Когда Locky шифрует файл, он переименовывает его по формату [unique_id][identifier].locky. Например, файл test.jpg после шифрования примет вид F67091F1D24A922B1A7FC27E19A9D9BC.locky. Уникальный идентификатор и другая информация будут вписаны в конец зашифрованного файла.

 Важно заметить, что Locky будет шифровать файлы на сетевых ресурсах, даже если они не отображаются на локальном диске. Шифруются также файлы, находящиеся на подвлюченных внешних хранилищах, типа Google Drive, OneDrive, ICloud, Dropbox, Яндекс.Диск и пр., если синхронизация файлов работает автономно и вход с сохраненными паролями доступен через интерфейс браузера. Как и предсказывалось выше, похоже, что эта методика получает всё большее распространение и потому уже сейчас системные администраторы должны убедиться в том, что все сетевые ресурсы работают под ограниченным набором прав доступа к файлам, находящимся в их окружении, и заменить все простые пароли на более сложные, как минимум 16-значные, состоящие из цифр, букв в верхнем и нижнем регистре и нескольких символов.

В процессе шифрования Locky также удаляет все теневые копии системы и файлов (Shadow Volume Copies), которые могли бы помочь восстановить данные Recovery-программами, с помощью команды зачистки:
vssadmin.exe Delete Shadows /All /Quiet

На рабочем столе и в каждой папке, где были зашифрованы файлы, Locky создаёт текстовую записку с требованием выкупа и меняет обои на рабочем столе на свой bmp-файл, который содержит те же инструкции, что и текстовая записка.

Locky хранит различную информацию в реестре в следующих ключах:
HKCU\Software\Locky\id — Уникальный идентификатор, присвоенный жертве.
HKCU\Software\Locky\pubkey — Открытый RSA-ключ.
HKCU\Software\Locky\paytext — Текст из записки с требованием выкупа
HKCU\Software\Locky\completed — Процесс шифрования файлов завершён.

Список файловых расширений, подвергающихся шифрованию:
.aes, .ARC, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .max, .mdb, .mdf,.mid, .mkv, .mml, .mov, .mpeg, .mpg, .ms11 (Security copy), .MYD, .MYI, .NEF, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .PAQ, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .RTF, .sch, .sldm, .sldx, .slk, .sql, .SQLITE3, .SQLITEDB, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wallet.dat, .wav, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (138 расширений). 

Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.
Этот список был на том этапе, когда была впервые написана данная статья — 16 февраля 2016 года. При последующих вредоносных кампаниях по распространению этого крипто-вымогателя список не раз изменялся и расширялся. 

Примечательно, Locky пропускает файлы, где полный путь и имя файла содержат одну из следующих строк:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

О странице Locky Decrypter 
Внутри записки с требованием выкупа есть веб-ссылка на сайт Tor — страница Locky Decrypter, которая находится по адресу ***6dtxgqam4crv6rr6.onion и содержит сумму в биткоинах, нужную для оплаты, информацию, как приобрести Bitcoins, и Bitcoin-адрес, на который необходимо отправить платеж. Как только жертва вышлет выкуп на Bitcoin-адрес, эта веб-страница обеспечит отгрузку декриптера, который можно использовать для расшифровки файлов. См. скриншот ниже.
Сайт Locky Decrypter

Файлы, связанные с этим Ransomware:
%UserpProfile%\Desktop\_Locky_recover_instructions.bmp
%UserpProfile%\Desktop\_Locky_recover_instructions.txt
%Temp%\[random].exe - исполняемый файл вымогателя
%Temp%\svchost.exe - исполняемый файл вымогателя
Unlocker.exe - декриптер от вымогателей. 

Записи реестра, связанные с этим Ransomware:
HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed    1
HKCU\Control Panel\Desktop\Wallpaper    "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"
См. также ниже результаты анализов.

Сетевые подключения и связи:
***6dtxgqam4crv6rr6.onion
См. ниже результаты анализов.

Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>

Степень распространённости: низкая.
Подробные сведения собираются регулярно.

Обновление от 14 мая 2017:
Пост в Твиттере >>
Фальш-имя: —benefits
Фальш-копирайт: Theranos
Версия:  9.6.7.517
Записка: loptr-<4_chars>.htm
Расширение: .loptr 
Результаты анализов: HA+VT



 Read to links: 
 Write-up
 ID Ransomware (ID as Locky)
 Topic on BC
Added later
Write-up
Write-up
Write-up
 Thanks: 
 Lawrence Abrams
 Michael Gillespie
 Myself as SNS-amigo
 *

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *