mercoledì 26 ottobre 2016

Locky's Saga: nuova versione del ransomware cripta in .THOR

A meno di due giorni dal rilascio della versione di Locky che cripta i file e ne modifica l’estensione in .shit, ci troviamo di fronte al rilascio di una ulteriore versione. Questa volta le estensioni dei file vengono modificati in .THOR.

Come viene distribuita?
Anche questa versione di Locky viene distribuita tramite una varietà di campagne di spam: le email contengono allegati VDB, JS e altri tipi. Una campagna, intercettata dai collaboratori di Bleeping Computer, ha come oggetto della mail “Budget forecast”  e contiene un allegato denominato
"budget-xls_[serie random di caratteri].zip."


L’archivio .zip allegato contiene in questo caso uno script VBS chiamato A32aD85 xls.vbs

Come cripta i file?

Come le altre versioni, quando l’allegato vien eseguito, scaricherà il DLL criptato, lo decripterà direttamente sul computer dell’utente, quindi lo eseguira usando Rundll32.exe.
A questo punto si avvia il processo di criptazione dei file.

Il DLL viene così eseguito:
C:\Windows\SysWOW64\rundll32.exe %Temp%\MWGUBR~1.dll,EnhancedStoragePasswordConfig 147


Cercherà tutti i file bersaglio, li cripterà e ne modificherà l’estensione in .thor.

Nel dettaglio, la modifica dell’estensione dei file avviene seguendo questo schema:


[primi 8 esadecimali dell’ID]-[successivi 4 esadecimali dell’ID]-[4 esadecimali]-[12 sadecimali].thor

Non esiste una soluzione al momento.  Vi sono solo due maniere per recuperare i file attualmente: usando le copie di backup se ne avete a disposizione, o usando le Shadow Volume Copies (leggi qui per ulteriori informazioni).

2 commenti:

  1. aprendo i files html tuttavia ti danno una "possibilità" di decriptare i tuoi files... ma cosa succederebbe in realtà se lo facessimo?

    RispondiElimina