Locky Ransomware
Locky Original Ransomware
(шифровальщик-вымогатель, все итерации)
Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует выкуп в 3-5-7 биткоинов за дешифровку. Суммы называются разные, были и 0,5 биткоина. Название оригинальное.
Логотип шифровальщика разработан на этом сайте ID-Ransomware.RU
Стилизация выполнена под замочки (англ. Lock), запирающие файлы
Хоть название Locky и звучит как детское имя, ничего детского в нём нет. Он нацелен на большое количество файловых расширений и шифрует данные также на удалённых сетевых ресурсах, как мы видели ранее у DMA Locker. Теперь можно с уверенностью сказать, что эта возможность станет нормой среди функционала вымогателей.
© Генеалогия: Locky. Начало.
К зашифрованным файлам добавляется расширение .locky
Файлы переименовываются по шаблону [unique_id][identifier].locky
Например, файл test.jpg после шифрования примет вид F67091F1D24A922B1A7FC27E19A9D9BC.locky
Ранняя активность этого крипто-вымогателя пришлась на февраль 2016 г. и продолжалась в течении всего года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Более поздние итерации Locky добавляли следующие расширения:
.zepto - [16 июня - июль - август 2016] - см. статью Locky-Zepto Ransomware;
.odin - [16 сентября 2016] - см. статью Locky-Odin Ransomware;
.shit - [16 октября 2016] - будет рассказано позже;
.thor - [16 октября - ноябрь 2016] - будет рассказано позже;
.asier - [16 ноября 2016] - будет рассказано позже;
.zzzzz - [16 ноября - декабрь 2016] - будет рассказано позже;
.osiris - [16 декабря 2016] + [апрель 2017] - см. статьи Locky-Osiris Ransomware и Locky-Osiris 2017 Ransomware;
.loptr - [17 мая 2017] - будет рассказано позже;
.diablo6 - [17 августа 2017] - см. статью Locky-Diablo6 Ransomware;
.lukitus - [17 августа 2017] - будет рассказано позже;
.ykcol - [17 сентября 2017] - см. статью Locky-Ykcol Ransomware.
.asasin - [17 октября 2017] - см. статью Locky-Asasin Ransomware.
<new_extension> - [17 ноября 2017]
<new_extension> - [17 декабря 2017]
Записки с требованием выкупа у Locky Original называются:
_Locky_recover_instructions.txt
_Locky_recover_instructions.bmp
Содержание записки о выкупе:
!!! IMPORTANT INFORMATION !!!!
All of your files are encrypted with RSA-2048 and AES-128 ciphers.
More information about the RSA and AES can be found here:
xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_standard
Decrypting of your files is only possible with the private key and decrypt program, which is on our secret server.
To receive your private key follow one of the links:
1. xxxx://6dtxgqam4crv6rr6.tor2web.org/xxxxxxxxxxxxxx
2. xxxx://6dtxgqam4crv6rr6.onion.to/xxxxxxxxxxxxxx
3. xxxx://6dtxgqam4crv6rr6.onion.cab/xxxxxxxxxxxxxx
4. xxxx://6dtxgqam4crv6rr6.onion.link/xxxxxxxxxxxxxx
If all of this addresses are not available, follow these steps:
1. Download and install Tor Browser: xxxxs://www.torproject.org/download/download-easy.html
2. After a successful installation, run the browser and wait for initialization.
3. Type in the address bar: 6dtxgqam4crv6rr6.onion/xxxxxxxxxxxxxx
4. Follow the instructions on the site.
!!! Your personal identification id: xxxxxxxxxxxxxx !!!
Перевод записки на русский язык:
!!! ВАЖНАЯ ИНФОРМАЦИЯ !!!!
Все ваши файлы зашифрованы с RSA-2048 и AES-128 шифрами.
Более подробную информацию о RSA и AES можно найти здесь:
xxxx://en.wikipedia.org/wiki/RSA_(cryptosystem)
xxxx://en.wikipedia.org/wiki/Advanced_Encryption_standard
Дешифровка ваших файлов возможна только с помощью закрытого ключа и программы дешифрования, которая находится на нашем секретном сервере.
Чтобы получить свой закрытый ключ, следуйте по одной из ссылок:
1. xxxx://6dtxgqam4crv6rr6.tor2web.org/xxxxxxxxxxxxxx
2. xxxx://6dtxgqam4crv6rr6.onion.to/xxxxxxxxxxxxxx
3. xxxx://6dtxgqam4crv6rr6.onion.cab/xxxxxxxxxxxxxx
4. xxxx://6dtxgqam4crv6rr6.onion.link/xxxxxxxxxxxxxx
Если все эти адреса недоступны, выполните следующие действия:
1. Загрузите и установите Tor-браузер: xxxxs://www.torproject.org/download/download-easy.html
2. После успешной установки запустите браузер и дождитесь инициализации.
3. Введите в адресную строку: 6dtxgqam4crv6rr6.onion/xxxxxxxxxxxxxx
4. Следуйте инструкциям на сайте.
!!! Ваш личный идентификационный ID: xxxxxxxxxxxxxx !!!
Распространяется или может распространяться с помощью email-спама и вредоносных вложений, эксплойтов (Nuclear и др.), фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
С февраля по апрель 2016 было зарегистрировано минимум 10 различных вариантов загрузчика Locky. Каждый из них пытался обойти антивирусы, пряча целевую нагрузку в различных типах файлов (.doc, .docm, .xls и .js), выдаваемых за неоплаченные счета.
Один из ранних примеров, распространялся через email-спам, используя вредоносное вложение — текстовый Документ Microsoft Word с вредоносными макросами ATTN: Invoice J-98223146 (инвойс, счёт-фактура, рапорт) и письменное сообщение "Please see the attached invoice..." /перевод/ "Посмотрите прикрепленный инвойс и сделайте оплату согласно условиям, перечисленным в нижней части счета". Пример одного из таких писем можно увидеть ниже.
Используемый как атачмент (вложение) Документ Microsoft Word invoice_J-17105013.doc при открытии отображает нечитаемый текст и требует включить макросы, чтобы прочитать текст. Если пользователь разрешит включить макросы в документе, запускается вредоносный макрос, загружающий вымогательское ПО с удалённого сервера. Аналогичный способ использовал банковский троян Dridex. В настоящее время известно более 10 различных вариантов Locky Downloader. Каждый из них использует иной метод запутывания и различные типы файлов: .doc, .xls, .docm вместе с .js.
Загружаемый макросом файл помещается в папку %Temp% и запускается на выполнение. Это и есть крипто-вымогатель Locky, который тут же начинает шифровать файлы на компьютере.
✋ Locky шифрует данные и полностью меняет имена файлов, чтобы ещё больше затруднить пострадавшим возможность восстановления нужных данных.
При запуске Locky назначает уникальный 16-шестнадцатеричное число ПК жертве, типа F67091F1D24A922B. Locky сканирует все локальные диски и удаленные (неотображаемые) сетевые папки в поиске искомых файлов. При шифровании файлов он использует алгоритм AES-шифрования и зашифровывает только те файлы, которые соответствуют заданным расширениям.
Схема работы Locky
Итак, запомните схему работы:
1. Жертва получает письмо, содержащее подозрительное приложение (Загрузчик).
2. Жертва открывает вложение, макрос осуществляет нагрузку (Locky) с удаленного сервера.
3. Locky контактирует с C2-серверами для обмена ключами шифрования.
4. Locky шифрует заданные типы файлов и создает записку с требованием выкупа.
Когда Locky шифрует файл, он переименовывает его по формату [unique_id][identifier].locky. Например, файл test.jpg после шифрования примет вид F67091F1D24A922B1A7FC27E19A9D9BC.locky. Уникальный идентификатор и другая информация будут вписаны в конец зашифрованного файла.
✋ Важно заметить, что Locky будет шифровать файлы на сетевых ресурсах, даже если они не отображаются на локальном диске. Шифруются также файлы, находящиеся на подключенных внешних хранилищах, типа Google Drive, OneDrive, ICloud, Dropbox, Яндекс.Диск и пр., если синхронизация файлов работает автономно и вход с сохраненными паролями доступен через интерфейс браузера. Как и предсказывалось выше, похоже, что эта методика получает всё большее распространение и потому уже сейчас системные администраторы должны убедиться в том, что все сетевые ресурсы работают под ограниченным набором прав доступа к файлам, находящимся в их окружении, и заменить все простые пароли на более сложные, как минимум 16-значные, состоящие из цифр, букв в верхнем и нижнем регистре и нескольких символов.
В процессе шифрования Locky также удаляет все теневые копии системы и файлов (Shadow Volume Copies), которые могли бы помочь восстановить данные Recovery-программами, с помощью команды зачистки:
vssadmin.exe Delete Shadows /All /Quiet
На рабочем столе и в каждой папке, где были зашифрованы файлы, Locky создаёт текстовую записку с требованием выкупа и меняет обои на рабочем столе на свой bmp-файл, который содержит те же инструкции, что и текстовая записка.
Locky хранит различную информацию в реестре в следующих ключах:
HKCU\Software\Locky\id — Уникальный идентификатор, присвоенный жертве.
HKCU\Software\Locky\pubkey — Открытый RSA-ключ.
HKCU\Software\Locky\paytext — Текст из записки с требованием выкупа
HKCU\Software\Locky\completed — Процесс шифрования файлов завершён.
Список файловых расширений, подвергающихся шифрованию:
.aes, .ARC, .asc, .asf, .asm, .asp, .avi, .bak, .bat, .bmp, .brd, .cgm, .class, .cmd, .cpp, .crt, .csr, .CSV, .dbf, .dch, .dif, .dip, .djv, .djvu, .DOC, .docb, .docm, .docx, .DOT, .dotm, .dotx, .fla, .flv, .frm, .gif, .gpg, .hwp, .ibd, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .ldf, .max, .mdb, .mdf,.mid, .mkv, .mml, .mov, .mpeg, .mpg, .ms11 (Security copy), .MYD, .MYI, .NEF, .odb, .odg, .odp, .ods, .odt, .otg, .otp, .ots, .ott, .PAQ, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .PPT, .pptm, .pptx, .psd, .qcow2, .rar, .raw, .RTF, .sch, .sldm, .sldx, .slk, .sql, .SQLITE3, .SQLITEDB, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .vbs, .vdi, .vmdk, .vmx, .vob, .wallet.dat, .wav, .wks, .wma, .wmv, .xlc, .xlm, .XLS, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (138 расширений).
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, общие сетевые папки и пр.
✋ Этот список был на том этапе, когда была впервые написана данная статья — 16 февраля 2016 года. При последующих вредоносных кампаниях по распространению этого крипто-вымогателя список не раз изменялся и расширялся.
Примечательно, Locky пропускает файлы, где полный путь и имя файла содержат одну из следующих строк:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
О странице Locky Decrypter
Внутри записки с требованием выкупа есть веб-ссылка на сайт Tor — страница Locky Decrypter, которая находится по адресу ***6dtxgqam4crv6rr6.onion и содержит сумму в биткоинах, нужную для оплаты, информацию, как приобрести Bitcoins, и Bitcoin-адрес, на который необходимо отправить платеж. Как только жертва вышлет выкуп на Bitcoin-адрес, эта веб-страница обеспечит отгрузку декриптера, который можно использовать для расшифровки файлов. См. скриншот ниже.
Сайт Locky Decrypter
Файлы, связанные с этим Ransomware:
_Locky_recover_instructions.txt
_Locky_recover_instructions.bmp
<random>.exe - исполняемый файл вымогателя
svchost.exe - исполняемый файл вымогателя
Unlocker.exe - декриптер от вымогателей.
Расположения:
%UserpProfile%\Desktop\_Locky_recover_instructions.bmp
%UserpProfile%\Desktop\_Locky_recover_instructions.txt
%Temp%\<random>.exe
%Temp%\svchost.exe
Записи реестра, связанные с этим Ransomware:
HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed 1
HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"
См. также ниже результаты анализов.
Сетевые подключения и связи:
***6dtxgqam4crv6rr6.onion
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Malwr анализ >>
Степень распространённости: высокая и перспективно высокая.
Подробные сведения собираются регулярно.
Обновление от 14 мая 2017:
Пост в Твиттере >>
Фальш-имя: benefits
Фальш-копирайт: Theranos
Версия: 9.6.7.517
Записка: loptr-<4_chars>.htm
Расширение: .loptr
Результаты анализов: HA+VT
Обновление августа 2017:
Locky-IKARUSdilapidated
Масштабная кампания имела место в начале августа. За три дня злоумышленники разослали 62 тыс. спам-писем, содержащих новый вариант Locky под названием IKARUSdilapidated. Письма были разосланы с 11 625 IP-адресов в 133 странах мира, вероятно с помощью ботнета. Сумма выкупа: от 0,5 до 1 BTC.
Статья об этой версии от Comodo >>
Read to links: Write-up + Locky FAQ ID Ransomware (ID as Locky) Topic on BC
Added later Write-up Write-up Write-up
Thanks: Lawrence Abrams Michael Gillespie Myself as SNS-amigo GrujaRS
© Amigo-A (Andrew Ivanov): All blog articles.