вторник, 27 сентября 2016 г.

Odin-Locky

Odin-Locky Ransomware

(шифровальщик-вымогатель) 

   Этот крипто-вымогатель является новой версией криптовымогателя Locky, отличающейся по ряду признаков. 

 © Генеалогия: Locky > Odin-Locky

К зашифрованным файлам добавляется расширение .odin.
Название зашифрованного файла меняется особым образом. Например, после шифрования файл test.jpg станет 5FBZ55IG-S575-7GEF-2C7B-5B22862C2225.odin

Название получил от добавляемого расширения с указанием на основного крипто-вымогателя. Т.е. основным является Locky, а с расширением .odin распространяется всего лишь его новая итерация. 


 Remove Odin Decrypt Delete Locky Decode Restore files Recovery data Удалить Odin Locky Дешифровать Расшифровать Восстановить файлы Removal Uninstall Eliminar Borrar Entfernen Deinstallieren Löschen 

Записки с требованием выкупа называются:
_HOWDO_text.html
_HOWDO_text.bmp
_[2_digit_number]_HOWDO_text.html.

Содержание записки о выкупе:
***
Перевод записки на русский язык:
***

  Распространяется с помощью email-спама и вредоносных вложений, упакованных в архив, внутри которых находятся wsf-файлы (ws или js). Если получатель дважды кликнет на один из этих файлов сценариев, то будет загружен зашифрованный инсталлятор DLL, затем дешифрован и запущен с помощью легитимной программы для Windows под названием Rundll32.exe.

Команда, которая выполняется для запуска DLL:

rundll32.exe %Temp%\[name_of_dll],qwerty

Примеры писем:
Dear [Receiver_name], 
Please find attached documents as requested.
---
Best Regards,
[Sender name]

Our sincere apology for the incorrect invoice we sent to you yesterday. 
Please check the new updated invoice #3195705 attached. 
We apologize for any inconvenience. 
---
Socorro Bishop
Executive Director Marketing PPS
Tel.: (324) 435-35-73

Список файловых расширений, подвергающихся шифрованию:
.7zip, .aac, .accdb, .accde, .accdr, .accdt, .ach, .acr, .act, .adb, .adp, .ads, .aes, .agdl, .aiff, .ait, .aoi, .apj, .apk, .arc, .arw, .asc, .asf, .asm, .asp, .aspx, .asset, .asx, .avi, .awg, .back, .backup, .backupdb, .bak, .bank, .bat, .bay, .bdb, .bgt, .bik, .bin, .bkp, .blend, .bmp, .bpw, .brd, .bsa, .cdf, .cdr, .cdr3, .cdr4, .cdr5, .cdr6, .cdrw, .cdx, .cer, .cfg, .cgm, .cib, .class, .cls, .cmd, .cmt, .config, .contact, .cpi, .cpp, .craw, .crt, .crw, .csh, .csl, .csr, .css, .csv, .d3dbsp, .dac, .das, .dat, .db_journal, .dbf, .dbx, .dch, .dcr, .dcs, .ddd, .ddoc, .ddrw, .dds, .der, .des, .design, .dgc, .dif, .dip, .dit, .djv, .djvu, .dng, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .drf, .drw, .dtd, .dwg, .dxb, .dxf, .dxg, .edb, .eml, .eps, .erbsql, .erf, .exf, .fdb, .ffd, .fff, .fhd, .fla, .flac, .flf, .flv, .flvv, .forge, .fpx, .frm, .fxg, .gif, .gpg, .gray, .grey, .groups, .gry, .hbk, .hdd, .hpp, .html, .hwp, .ibank, .ibd, .ibz, .idx, .iif, .iiq, .incpas, .indd, .iwi, .jar, .java, .jnt, .jpe, .jpeg, .jpg, .kdbx, .kdc, .key, .kpdx, .kwm, .laccdb, .lay, .lay6, .lbf, .ldf, .lit, .litemod, .litesql, .log, .ltx, .lua, .m2ts, .mapimail, .max, .mbx, .mdb, .mdc, .mdf, .mef, .mfw, .mid, .mkv, .mlb, .mml, .mmw, .mny, .moneywell, .mos, .mov, .mpeg, .mpg, .mrw, .ms11 (security copy), .msg, .myd, .myi, .ndd, .ndf, .nef, .nop, .nrw, .nsd, .nsf, .nsg, .nsh, .nvram, .nwb, .nxl, .nyf, .oab, .obj, .odb, .odc, .odf, .odg, .odm, .odp, .ods, .odt, .ogg, .oil, .onetoc2, .orf, .ost, .otg, .oth, .otp, .ots, .ott, .pab, .pages, .paq, .pas, .pat, .pcd, .pct, .pdb, .pdd, .pdf, .pef, .pem, .pfx, .php, .pif, .plc, .plus_muhd, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .prf, .psafe3, .psd, .pspimage, .pst, .ptx, .pwm, .qba, .qbb, .qbm, .qbr, .qbw, .qbx, .qby, .qcow, .qcow2, .qed, .raf, .rar, .rat, .raw, .rdb, .rtf, .rvt, .rwl, .rwz, .s3db, .safe, .sas7bdat, .sav, .save, .say, .sch, .sda, .sdf, .sldm, .sldx, .slk, .sql, .sqlite, .sqlite3, .sqlitedb, .srf, .srt, .srw, .stc, .std, .sti, .stm, .stw, .stx, .svg, .swf, .sxc, .sxd, .sxg, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tex, .tga, .tgz, .thm, .tif, .tiff, .tlg, .txt, .uop, .uot, .upk, .vbox, .vbs, .vdi, .vhd, .vhdx, .vmdk, .vmsd, .vmx, .vmxf, .vob, .wab, .wad, .wallet, .wav, .wks, .wma, .wmv, .wpd, .wps, .xis, .xla, .xlam, .xlc, .xlk, .xlm, .xlr, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .ycbcra, .yuv, .zip (372 расширения). 

Файлы и записи реестра, связанные с Odin-Locky Ransomware:
см. тут.

Гибридный анализ >>
Детект на VirusTotal >>

Степень распространённости: перспективно высокая.
Подробные сведения собираются.

Read to links:
http://www.bleepingcomputer.com/news/security/locky-ransomware-now-uses-the-odin-extension-for-encrypted-files/
https://myonlinesecurity.co.uk/locky-ransomware-changed-now-a-odin-extension/
 Thanks:
 Lawrence Abrams
 MyOnlineSecurity
 

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *