Něco málo k tomu:
Co je Locker Ransomware?
Stručný přehled:
Locker je ransomware soubor programu šifrování, který se zaměřuje na všechny verze Windows, včetně Windows XP, Windows Vista, Windows 7 a Windows 8.
25. května o půlnoci místního času, byl Trojan.Downloaderu vydán příkaz k instalaci Lockeru na infikovaný počítač. Poté, co byl aktivován Locker, byly naskenované všechny písmena jednotek pro určité přípony souborů a zašifrovány pomocí šifrování AES. Když skončilo šifrování dat infekce , zobrazila se obrazovka s názvem Locker <číslo verze>, kde číslo verze byly náhodná čísla, jako je 1,7, 2,62, 1,91, atd.
Tato Locker obrazovka poskytuje informace o tom, jak byly soubory zašifrovány a pak požadovat .1 bitcoins pro dešifrování souborů. Pokud nechcete platit výkupné do 72 hodin, Vaše výkupné se zvýší o 1 Bitcoin.
30 květnu 2015 Locker ransomware vývojáři vydali výpis všech soukromých dešifrovací klíčů, spolu s omluvou. Tato omluva uvádí, že 2.června, pokud uživateli stále běží infekce, bude automaticky dešifrovat zašifrované soubory zdarma. Nyní, když jsou soukromé dešifrovací klíče k dispozici, Nathan Scott napsal Decrypter, který dovolí oběti dešifrovat své soubory zdarma. Více informací o tomto Decrypteru lze nalézt zde.
http://www.bleepingcomputer.com/virus-r ... #decrypter2. června, developer slíbil,že ti, kterým stále běží zpráva o infekci ,se zobrazuje zpráva s omluvou , že jejich soubory byly dešifrovány.Zpráva zobrazená bylo:
I'm sorry about the encryption, your files are unlocked for free. Be good to the world and don't forget to smile
Je mi líto,že jste měl soubory zašifrovány , ale nyní jsou Vaše soubory odemčené zdarma. Buďte hodný na světě, a nezapomeňte se usmívat.
Přehled:
Locker ransomware se instaluje přes Trojan.Downloader, který byl již na počítači oběti. Tento Trojan.Downloader byl instalován jako služba Windows v C: \ Windows \ SysWOW64 s náhodným názvem souboru. Příklady názvy souborů jsou: solaraddtogs.exe nebo twitslabiasends.exe. 25 května o půlnoci místního času, byl příkaz odeslán na Trojan.Downloader aby nainstaloval Locker Ransomware na počítač nakaženého uživatele. Jako součást instalace Trojan.Downloaderu a Lockeru ,je další služba je nainstalována v C: \ ProgramData \ Steg \ steg.exe, která provede instalaci do složky C: \ ProgramData \ Tor. Když je tato instalace dokončena , další služba vytvoří složku se souborem s názvem C: \ ProgramData \ rkcl \ ldr.exe, a C: \ ProgramData \ rkcl \ rkcl.exe program.Rkcl.exe . Program je hlavní spouštěč pro Locker ransomware.
Poté, co byl Locker nainstalován a spuštěn , začne kontrolovat všechna datové písmena na vašem počítači pro zašifrování datových souború . Při hledávání souborů k zašifrování, Locker vyhledává pouze případy nastavení malých písmen , a jak se používá velká a malá písmena porovnání řetězců, .jpg soubory budou zašifrovány, ale ne soubory JPG. Seznam přípon zaměřeny Locker je:
3fr, .accdb, .ai, .arw, .bay, .cdr, .cer, .cr2, .crt, .crw, .dbf, .dcr, .der, .dng, .doc, .docm, .docx, .dwg, .dxf, .dxg, .eps, .erf, .indd, .jpe, .jpg, .kdc, .mdb, .mdf, .mef, .mrw, .nef, .nrw, .odb, .odm, .odp, .ods, .odt, .orf, .p12, .p7b, .p7c, .pdd, .pef, .pem, .pfx, .ppt, .pptm, .pptx, .psd, .pst, .ptx, .r3d, .raf, .raw, .rtf, .rw2, .rwl, .srf, .srw, .wb2, .wpd, .wps, .xlk, .xls, .xlsb, .xlsm, .xlsx
Je důležité zdůraznit, že Locker bude testovat všechna písmena jednotek v počítači, včetně vyměnitelných disků, síťových připojeních , a dokonce i Dropbox mapování. Stručně řečeno, pokud je písmeno jednotky na vašem počítači, bude kontrolováno na datové soubory k zašifrování pomocí ransomware
Po dokončení skenování počítače bude také odstraněna Stínová kopie uložená na disku C:.
To způsobí , že nelze použít stínovou kopii k obnovení souború. Pokud odstraní pouze stínovou kopii na C: \ jednotce, může být možné použít program stínové kopie k obnovení souború, které byly uloženy na jiných jednotkách. V některých případech nejsou obsahy Stínové kopie řádně vymazány vůbec, a budete moci obnovit soubory z disku C: stejně.
Příkaz slouží k odstranění obsahu stínové kopie:
vssadmin.exe delete shadows /for=C: /all /quiet
Zatímco proces instalace probíhá, budou se také hledat procesy spojené se známými malware nástroji pro analýzu a zkontroluje, zda malware běží ve virtuálním stroji. Pokud se zjistí, že infekce je spuštěna ve VMware nebo VirtualBoxu ,bude sama-ukončena. Bude také sama ukončena, pokud zjistí ,že běží některý který z těchto procesů :
wireshark, fiddler, netmon, procexp, processhacker, anvir, cain, nwinvestigatorpe, uninstalltool, regshot, installwatch, inctrl5, installspy, systracer, whatchanged, trackwinstall
To dává ochranu před analýzou bezpečnostních techniků , kteří by případně mohli pomoci obětem Lockeru.
S cílem zaplatit výkupné oběť potřebuje poslat 0,1 bitcoins k přidělené Bitcoin adrese.Aplikace Locker pak bude pravidelně kontaktovat blockchain.info aby zjistil, zda existuje rovnováha pro přidruženou Bitcoin adresu. Pokud blockchain.info označuje, že je správná rovnováha, bude aplikace Locker pak provede druhou kontrolu proti malware TOR velení a řízení serveru umístěného na jmslfo4unv4qqdk3.onion. Pokud se obě kontroly ukazují, že platba byla provedena, aplikace stáhne priv.key soubor a uloží jej do složky v adresáři C: \ ProgramData \ rkcl na infikovaném počítači. Tento soubor obsahuje soukromý dešifrovací klíč používaný k dešifrování souborů. Aplikace Locker pak začne dešifrovat všechny soubory.
Existují i další soubory vytvořené v adresáři C: \ ProgramData \ rkcl složka. Tyto soubory jsou popsány níže:
data.aa0 - Tento soubor obsahuje seznam šifrovaných souborů.
data.aa1 - Neznámý účel
data.aa6 Jedinečná Bitcoin adresa oběti –
data.aa7 - klíč RSA. Toto není dešifrovací klíč.
data.aa8 - Obsahuje číslo verze grafického rozhraní Locker.
data.aa9 - datum kdy se ransomware stal aktivním
data.aa11 - Neznámý účel
data.aa12 - Neznámý účel
priv.key - Tento soubor obsahuje soukromý dešifrovací klíč, který může být použit k dešifrování souborů. Zdá se až poté, co budete platit výkupné.
