tisdag 23 februari 2016

Nya "Locky" ransomware krypterar allt

Locky är en ny variant av ransomware som krypterar filer på offrets dator. Locky går steget längre och krypterar långt fler filer än tidigare ransomware, dessutom nöjer den sig inte med lokala diskar och mappade enheter - den hittar själv delade mappar på nätverket och krypterar även filerna på dessa.



Den nya ransomvarianten "Locky" är ovanligt aggressiv och krypterar mer än sina föregångare, och letar även upp omappade enheter på nätverket och krypterar innehållet på dessa. De goda nyheterna är att det är relativt enkelt att förebygga då denna variant helt förlitar sig på att användare hämtar hem, öppnar, och tillåter exekvering av ett MS Word-makro (läs mer om makro-virus här).

Locky distribueras vanligtvis via bilagor i e-post med ämnesrader som t.ex. "ATTN: Invoice J-123456748" och ett meddelande i stil med "Please see the attached invoice (Microsoft Word Document) and remit payment according to the terms listed at the bottom of the invoice”. Om användaren öppnar filen och tillåter makrot att köra laddas Locky's "Payload" ned från en extern server och exekveras.

Lockys körbara kod sparas och körs från %Temp% och skapar direkt ett unikt nummer (t.ex. A8678FDE2634DB5F) som skickas till en extern server för att identifiering och spårning av offret. När locky skapat och skickat ett identifikationsnummer börjar den direkt att söka efter nätverksenheter (även omappade enheter) och krypterar filerna den kan nå.

Locky använder AES-krypteringsalgoritmen och krypterar följande filer med följande filändelser:.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Locky gör dock undantag för filer som innehåller något av följande i sin sökväg:
tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

Precis som de senare varianterna av Cryptowall så ändrar Locky även filnamnen. Locky använder en följande namnstandard “[unique_id][identifier].locky” så att en fil som okrypterad heter “example.doc” får ett namn i stil med “A8678FDE2634DB5F0123456789ABCDEF.locky”. Förutom att förvränga filnamn raderar Locky också eventuella Shadow Volume-kopior för att förhindra att offret återskapar filerna.

Syftet med Locky är att få offret att betala en lösensumma för att återskapa filerna. I varje mapp som Locky krypterat filer lämnas en fil (_Locky_recover_instructions.txt) med instruktioner om hur man betalar lösensumman. Även Windows skrivbordsbakgrund byts ut till en bildfil (%UserpProfile%\Desktop\_Locky_recover_instructions.bmp) med samma instruktioner om hur lösensumman ska betalas.



Locky sparar även en del information under följande registernycklar:


  • HKCU\Software\Locky\id – Unique ID assigned to the victim
  • HKCU\Software\Locky\pubkey – RSA Public Key
  • HKCU\Software\Locky\paytext – Ransom Note Text
  • HKCU\Software\Locky\completed – Whether or not the ransomware finished encrypting all available files
  • HKCU\Control Panel\Desktop\Wallpaper (“%UserProfile%\Desktop\_Locky_recover_instructions.bmp”)
Eftersom Locky krypterar filer på nätverksenheter är det viktigt att låsa ner delade resurser på nätverket så att ändringar inte får göras av vem som helst. Regelbunden backup är också att rekommendera, speciellt då Locky tar bort eventuella Shadow Volume-kopior.

Det finns ännu inget känt sätt att de-kryptera filer som krypterats av Locky (utöver att betala lösensumman). Offer för Locky-infektionen har rapporterat att de lyckats återskapa sina filer efter att de betalat lösensumman, men att betala cyber-kriminella är inte att rekommendera. Arbeta istället förebyggande med policy och uppdaterade säkerhetsfunktioner.

Läs mer om hur enkel policy radikalt höjer säkerheten här!

Läs om höga nivåer virus i e-posten här!

www.wecloud.se
info@wecloud.se