serpico75
-
Posts
1.915 -
Εγγραφή
-
Τελευταία Επίσκεψη
Ο ιστότοπος theLab.gr χρησιμοποιεί cookies για να διασφαλίσει την καλύτερη εμπειρία σας κατά την περιήγηση. Μπορείτε να προσαρμόσετε τις ρυθμίσεις των cookies σας , διαφορετικά θα υποθέσουμε ότι είστε εντάξει για να συνεχίσετε.
Τι είναι τα Ransomware; Πως λειτουργούν; Πως προστατευόμαστε;
In in|security
A blog by jpavly in General
Το ransomware Locky κρυπτογραφεί τοπικά αρχεία καί μη αντιστοιχισμένα κοινόχρηστα στοιχεία δικτύου
Ένα νέο ransomware ανακαλύφθηκε ονομαζόμενο Locky, το οποίο κρυπτογραφεί τα δεδομένα σας, χρησιμοποιώντας την κρυπτογράφηση
AES, και στη συνέχεια ζητά 0.5 bitcoins, για να αποκρυπτογραφηθούν τα αρχεία σας. Αν και το ransomware ακούγεται σαν ένα όνομα προερχόμενο
από παιδικό παιχνίδι-άκουσμα, δεν υπάρχει τίποτα το παιδικό σ' αυτό. Στοχεύει σε μία μεγάλη ποσότητα επεκτάσεων αρχείων, και, ακόμη σημαντικότερο,
κρυπτογραφεί δεδομένα σε μή αντιστοιχισμένα κοινόχρηστα στοιχεία δίσκου. Κρυπτογραφόντας δεδομένα σε μή αντιστοιχισμένα κοινόχρηστα
στοιχεία δίσκου, είναι μία ασήμαντη κρυπτογράφηση, και το γεγονός ότι είδαμε το πρόσφατο DMA Locker με αυτή τη δυνατότητα τώρα καί
στο Locky, είναι ακίνδυνο να πούμε ότι πρόκειται να αποτελέσει πρότυπο. Ομοίως με το CryptoWall, το Locky εξίσου αλλάζει εντελώς τα ονόματα
των αρχείων για τα κρυπτογραφημένα αρχεία, έτσι ώστε να το κάνει περισσότερο δύσκολο να γίνει ανάκτηση των αρχείων σωστά.
Αυτήν την περίοδο δεν υπάρχει κανένας τρόπος αποκρυπτογράφησης αρχείων που έχουν κρυπτογραφηθεί από το Locky. Για αυτούς που ενδιαφέρονται
να συζητήσουν για αυτό το ransomware ή έχουν ερωτήσεις, παρακαλώ μη διστάσετε να αναρτήσετε ερωτήσεις στο
θέμα μας Υποτήριξη και Βοήθεια περί Locky Ransomware.
Εγκατάσταση τού Locky μέσω πλαστού τιμολογίου
Το Locky προς το παρόν διανέμεται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου (e-mails), τα οποία περιέχουν επισυναπτόμενα έγγραφα
Word με κακόβουλες μακροεντολές. Το μήνυμα ηλεκτρονικού ταχυδρομείου θα περιλαμβάνει θέμα παρόμοιο με ATTN:Invoice J-98223146,
και ένα μήνυμα όπως "Παρακαλώ, δείτε το επισυναπτόμενο τιμολόγιο (έγγραφο Microsoft Word), και κάντε το έμβασμα της πληρωμής, σύμφωνα
με τούς όρους που καταγράφονται στο κάτω μέρος τού τιμολογίου." Ένα παράδειγμα ενός τέτοιου ηλεκτρονικού μηνύματος φαίνεται
παρακάτω:
Locky Email Distribution
Επισυναπτόμενο σ' αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου θα είναι ένα κακόβουλο έγγραφο Word, με όνομα παρόμοιο με invoice_J-17105013.doc.
Όταν το έγγραφο ανοιχτεί, το κείμενο θα ανακατευτεί (κάτι σαν ανακατεμένα κομμάτια παλζ), και το έγγραφο θα εμφανίσει ένα μήνυμα που
θα αναφέρει πως θα πρέπει να ενεργοποιήσετε τις μακροεκτολές, σε περίπτωση που το κείμενο είναι μη αναγνώσιμο.
Malicious Word Document
Μόλις το θύμα ενεργοποιήσει τις μακροεντολές, οι μακροεντολές θα κάνουν download μία εκτελέσιμη μακροεντολή από έναν απομακρυσμένο διακομιστή, και θα
την εκτελέσουν.
Malicious Macro
Το αρχείο που γίνεται download από την μακροεντολή, θα αποθηκευτεί στον φάκελο %Temp%, και θα εκτελεστεί. Αυτό το εκτελέσιμο αρχείο, είναι το
ransomware Locky, το οποίο, όταν εκτελεστεί, θα ξεκινήσει να κρυπτογραφεί αρχεία στον υπολογιστή σας.
Το Locky κρυπτογραφεί τα δεδομένα σας και αλλάζει πλήρως τις επεκτάσεις των αρχείων
Όταν το Locky ξεκινά, θα δημιουργήσει καί αναθέσει ένα μοναδικό δεκαεξαδικό (16-hexadecimal) αριθμό στο θύμα, που θα μοιάζει με
κάτι σαν F67091F1D24A922B. Το Locky θα σαρώσει, τότε, όλους τους τοπικούς οδηγούς καί μη αντιστοιχισμένα κοινόχρηστα στοιχεία δικτύου, για να
κρυπτογραφήσει αρχεία δεδομένων. Καθώς κρυπτογραφεί αρχεία, θα χρησιμοποιήσει τον αλγόριθμο της κρυπτογράφησης AES, και θα κρυπτογραφήσει μόνον
τα αρχεία εκείνα των οποίων η επέκταση ταιριάζει σε μία από τις ακόλουθες:
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat
Επιπλέον, το Locky θα παρακάμψει εκείνα τα αρχεία των οποίων το πλήρες όνομα διαδρομής, καθώς καί το όνομα αρχείου, περιέχουν μία από τις
ακόλουθες συμβολοσειρές:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows
Όταν το Locky κρυπτογραφήσει ένα αρχείο, θα μετονομάσει το αρχείο στη μορφή [unique_id][identifier].locky. Έτσι, όταν το test.jpg κρυπτογραφηθεί,
θα μετονομαστεί σε κάτι σαν F67091F1D24A922B1A7FC27E19A9D9BC.locky. Το unique ID και άλλες πληροφορίες θα ενσωματωθούν, επίσης, στο τέλος του
κρυπτογραφημένου αρχείου.
Είναι σημαντικό να τονίσουμε πως το Locky θα κρυπτογραφήσει αρχεία σε κοινόχρηστα στοιχεία δίσκου, ακόμη και αν δεν είναι αντιστοιχισμένα σε
μία τοπική μονάδα δίσκου. Ως αναμενόμενο, αυτό είναι κάτι που γίνεται ολοένα και περισσότερο σύνηθες, και όλοι οι διαχειριστές συστημάτων
πρέπει να κλειδώσουν όλα τα από κοινού δίκτυα, με τα χαμηλότερα δυνατόν δικαιώματα.
Ως ένα μέρος της διαδικασίας κρυπτογράφησης, το Locky επίσης θα διαγράψει όλα τα Μυστικά (Σκιώδη) Αντίγραφα Τόμων στον υπολογιστή, ώστε να μη
μπορούν να χρησιμοποιηθούν για ανάκτηση των αρχείων τού θύματος. Το Locky το επιτυγχάνει αυτό εκτελώντας την ακόλουθη εντολή:
vssadmin.exe Delete Shadows /All /Quiet
Στην επιφάνεια εργασίας των Windows, καθώς και σε κάθε φάκελο όπου κάποιο αρχείο κρυπτογραφήθηκε, το Locky θα δημιουργήσει σημειώσεις λύτρα, που
αποκαλούνται _Locky_recover_instructions.txt. Αυτές οι σημειώσεις λύτρα περιέχουν πληροφορίες για το τί συνέβη στα αρχεία τού θύματος, καθώς και
συνδέσουμς στη σελίδα αποκρυπτογράφησης.
Locky Text Ransom Note
Το Locky θα αλλάξει την ταπετσαρία των Windows σε %UserpProfile%\Desktop\_Locky_recover_instructions.bmp, η οποία περιέχει τις ίδιες οδηγίες με
το κείμενο των σημειώσεων λύτρα.
Locky Wallpaper
Τέλος, αλλά εξίσου σημαντικό, το Locky θα αποθηκεύσει πολλές πληροφορίες στο μητρώο κάτω από τα παρακάτω κλειδιά:
Η σελίδα αποκρυπτογράφησης Locky
Μέσα στις σημειώσει λύτρα τού Locky, βρίσκονται σύνδεσμοι σε ένα μία ιστοσελίδα Tor, που αποκαλείται Σελίδα Αποκρυπτογράφησης Locky.
Αυτή η σελίδα βρίσκεται στο 6dtxgqam4crv6rr6.onion, και περιέχει το σύνολο των bitcoins που θα στείλετε σαν πληρωμή, πώς να αγοράσετε
τα bitcoins, και τη διεύθυνση τού bitcoin που πρέπει να στείλετε την πληρωμή. Μόλις ένα θύμα στείλει την πληρωμή στην ορισμένη διεύθυνση
bitcoin, η ιστοσελίδα θα διαθέσει έναν αποκρυπτογράφο, που μπορεί να χρησιμοποιηθεί για να αποκρυπτογραφηθούν τα αρχεία σας.
Locky Decrypter Page
Σχετικά αρχεία Locky
%UserpProfile%\Desktop\_Locky_recover_instructions.bmp %UserpProfile%\Desktop\_Locky_recover_instructions.txt %Temp%\[random].exe
Σχετικές καταχωρήσεις μητρώου Locky
HKCU\Software\Locky HKCU\Software\Locky\id HKCU\Software\Locky\pubkey HKCU\Software\Locky\paytext HKCU\Software\Locky\completed 1 HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"
Πηγή:The Locky Ransomware Encrypts Local Files and Unmapped Network Shares