Come viene distribuita?
Anche questa versione di Locky viene distribuita tramite una varietà di campagne di spam: le email contengono allegati VDB, JS e altri tipi. Una campagna, intercettata dai collaboratori di Bleeping Computer, ha come oggetto della mail “Budget forecast” e contiene un allegato denominato
"budget-xls_[serie random di caratteri].zip."
L’archivio .zip allegato contiene in questo caso uno script VBS chiamato A32aD85 xls.vbs
Come cripta i file?
Come le altre versioni, quando l’allegato vien eseguito, scaricherà il DLL criptato, lo decripterà direttamente sul computer dell’utente, quindi lo eseguira usando Rundll32.exe.
A questo punto si avvia il processo di criptazione dei file.
Il DLL viene così eseguito:
C:\Windows\SysWOW64\rundll32.exe %Temp%\MWGUBR~1.dll,EnhancedStoragePasswordConfig 147
Cercherà tutti i file bersaglio, li cripterà e ne modificherà l’estensione in .thor.
Nel dettaglio, la modifica dell’estensione dei file avviene seguendo questo schema:
[primi 8 esadecimali dell’ID]-[successivi 4 esadecimali dell’ID]-[4 esadecimali]-[12 sadecimali].thor
Non esiste una soluzione al momento. Vi sono solo due maniere per recuperare i file attualmente: usando le copie di backup se ne avete a disposizione, o usando le Shadow Volume Copies (leggi qui per ulteriori informazioni).
aprendo i files html tuttavia ti danno una "possibilità" di decriptare i tuoi files... ma cosa succederebbe in realtà se lo facessimo?
RispondiEliminache io sappia un files solo
RispondiElimina