19 lut 2016

Locky - nowy ransomware, który w ciągu godziny infekuje w Polsce ponad 1000 komputerów

7

Jakiś czas temu pisaliśmy o oprogramowaniu Loki - darmowym skanerze, który może wykryć nietypowe złośliwe oprogramowanie. Dzisiaj "bohaterem" naszego artykułu jest Locky, bardzo podobny w wymowie, niestety o zgoła odmiennym celu. Od kilku dni na zagranicznych portalach powiązanych z bezpieczeństwem komputerowym, można znaleźć ostrzeżenia o tym nowym złośliwym oprogramowaniu. Dwa dni temu zagrożenie Locky opisał nawet Microsoft na swojej witrynie. Locky rozprzestrzenia się za pomocą wiadomości e-mail poprzez plik Microsoft Word jako fałszywa faktura z rozszerzeniem .doc, a nazwa zainfekowanego pliku może być podobna do tego schematu: ATTN: Invoice J-98223146 (złośliwa wiadomość e-mail skierowana do polskich użytkowników może mieć inną nazwę, niewykluczone iż w języku polskim). Locky jest oprogramowaniem typu ransomware i służy do wyłudzania opłat od swoich ofiar, które tracą dostęp do swoich plików (Locky je szyfruje poprzez AES-128). Według statystyk, w ciągu godziny Locky infekuje w Polsce około 1000 komputerów. Locky na całym świecie notuje około 4000 infekcji w ciągu godziny i około 100 000 infekcji w ciągu dnia [źródło]. Locky został przetłumaczony na wiele języków, co może tłumaczyć dużą skalę infekcji.
Po otwarciu pliku Word, Locky uruchomia złośliwe makro a następnie infekuje komputer i tworzy w katalogu tymczasowym (%TEMP%) m.in zaszyfrowane pliki z rozszerzeniem .locky:

  • _Locky_recover_instructions.txt;
  • _Locky_recover_instructions.bmp;
  • %temp%\svchost.exe - ransomware Locky;
  • [ID][identifier].locky (zaszyfrowane pliki).

Przykład wiadomości e-mail w j. ang. zawierającej złośliwy plik ransomware Locky 
 (źródło: http://www.bleepingcomputer.com)

Locky po uruchomieniu modyfikuje rejestr, dodając wpisy w:

HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey 
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed 1
HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"

Złośliwy kod w pliku Word
  (źródło: http://www.bleepingcomputer.com)

Locky na komputerze ofiary oraz w zasobach sieciowych (nawet w tych niezmapowanych!) szyfruje następujące typy plików:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Mapa infekcji ransomware Locky w ciągu jednej godziny
  (źródło: https://medium.com)

Ofiara zainfekowana ransomware Locky może oczywiście odszyfrować swoje pliki poprzez specjalnie przygotowany portal w sieci dark web (za pomocą m.in. TOR) i dokonując wpłaty od 0.5 do 1 BTC (1 bitcoin to na dzień dzisiejszy około 1600 PLN):

Strona w sieci dark web umożliwiająca odzyskanie zaszyfrowanych plików
  (źródło: https://nakedsecurity.sophos.com)

Pomimo wiadomości wyglądającej na spam (m.in. nietypowy adres źródłowy e-mail) oraz podejrzanej treści, polscy użytkownicy dają się jednak nabrać i uruchamiają ten złośliwy plik Word. Jak się bronić przed Locky? Po pierwsze nie otwierać podejrzanych załączników oraz wyłączyć uruchamianie makr w oprogramowaniu Microsoft Word w Centrum zaufania (jeśli są włączone):


Analiza złośliwego pliku Locky na virustotal:
https://www.virustotal.com/en/file/97b13680d6c6e5d8fff655fe99700486cbdd097cfa9250a066d247609f85b9b9/analysis/ 

Więcej informacji o Locky znajdziecie pod tymi adresami:
https://medium.com/@networksecurity/you-your-endpoints-and-the-locky-virus-b49ef8241bea#.b82pwaai1 

https://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx?Name=Ransom:Win32/Locky.A

http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/

https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/



Najnowsze sygnatury oprogramowania LOKI o którym pisaliśmy tutaj, zwierają już mechanizmy wykrywania ransomware Locky.  

Źródło:
https://www.microsoft.com
https://medium.com
http://www.bleepingcomputer.com
https://nakedsecurity.sophos.com

7 komentarze:

Anonimowy pisze...

Jak się bronić przed Locky? Po pierwsze nie używać Windows.

Anonimowy pisze...

Zapraszam do biura, które zatrudnia kilkanaście Pań Kryś i wdrożenie programów kadrowych, płacowych, F-K, opartych np. na Linuksie... aha, jeszcze system cyfrowego przetwarzania dokumentów w mojej branży (nie ma oprogramowania linuksowego a zmiany przepisów wymagają ciągłego dostosowywania - służb zdrowia)

Anonimowy pisze...

Witajcie,

w Niemczech, skąd pisze, szaleje obecnie interesująca wersja Cyptolockera o nazwie Locky. To badziewie rozprzestrzenia się poprzez pliki Worda i Excela przy czym - uwaga uwaga - praktycznie żaden antywirus tego nie wykrywa, że niby coś się dzieje podejrzanego. Jeśli użytkownik ma standardowo ustawione, że zezwala na uruchomienie makr niesygnowanych, wtedy dokument ściąga trojana z zakażonych serwerów i uruchamia go na komputerze ofiary tak, ze pliki zostają zaszyfrowane 2048 bitowym kluczem RSA oraz 128 bitowym algorytmem AES.
Jak to wszystko funkcjonuje? Obejrzyjcie panowie prezentacje na Winfuture.de

http://winfuture.de/videos/Software/Locky-in-Aktion-So-infiziert-die-Ransomware-ein-Windows-System-15817.html

PS. Jedną z prezentowanych zarażonych domen jest polska domena http://animar.net.pl Ciekawe, czy właściciel domy o tym wie...

Unknown pisze...

i jak tu zabezpieczyć sieć we firmie w której z musu jest windows :/ i same panie krysie ... zwłaszcza że pracują także na dyskach sieciowych.... właśnie dziś poszło się grzać 5gb skanowanych dokumentów...

Anonimowy pisze...

Niestety też to dopadło mojego znajomego. Odzyskiwanie systemu nie działało, poprzednich wersji plików nie było odzyskiwanie testdiskiem i photorec nie pomoglo przynajmniej nie znalazłem żadnego wartościowego pliku. Kolega zdecydował się zapłacić po trzech dniach - koszt ponad 4 BTC masakra, 7tys w plecy ale otrzymaliśmy dekryptor w co szczerze mówiąc nie wierzyłem i odradzalem płacenie ale pliki odzyskalismy. Całe szczęście nie dopadł plików innych komp. w firmie.

Anonimowy pisze...

Wszystko mi wpierniczyło. wszystko. Jak to wyleczyć? jak otworzyć pliki?

Steve smith pisze...

This is what we call an informative post. Thank you for sharing information about the malicious ransomware. I appreciate your effort! I have come across many blogs focusing Locky ransomware . Why so many people are writing about it? Is it really a big thing?

Prześlij komentarz

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift