El ransomware Locky cifra los archivos locales y recursos compartidos de red sin asignar

por Bienvenidos a Portal Tecnologico  -  1 Marzo 2016, 16:05  -  #ransomware, #locker, #Locky, #Peligro, #Macros, #Documentos Word, #distribucion


Un nuevo ransomware se ha Descubierto Llamado Locky Que los Datos cifra utilizando el cifrado AES y LUEGO Exige .5 bitcoins para descifrar los Archivos. AUNQUE EL ransomware suena algo de Como Nombrado por mis hijos, no hay nada infantil en Ello. Se Dirige la ONU Una gran Cantidad de extensiones de Archivos y Importante:: Aún más, cifra los Datos en unidades de red Asignar pecado. El cifrado de Datos en Recursos compartidos de red asignada no es algo trivial Y Es Un Hecho Que VIMOS recientemente en el Código de  DMA Locker  Que Tiene esta Característica y Ahora en Locky, ES ESTO Seguro Decir Que Será Una norma. Al Igual Que CryptoWall, Locky también Cambia Completamente Los Nombres de los Archivos POR Archivos cifrados Para Que mar MAS DIFICIL La Restauración de correctos los Datos. 

En Este Momento, no se conoce Ninguna forma para descifrar los Archivos cifrados POR Locky. 

Locky Instalado  Través Falsas facturas

Locky ACTUALMENTE ESTA Siendo Distribuido a Través de Correo electrónico Que Contiene Archivos adjuntos de documento de palabra con macros maliciosos. El Mensaje de Correo electrónico contendrá la unidad ONU Objeto Similares a:

Atención: Factura J-98223146 y Un Mensaje del tipo "(Documento de Microsoft Word) un favor Por, Ver la factura Adjunta y Remita El Pago SEGÚN los Términos Que figuran en la parte de la factura inferior ". Un EJEMPLO de uno de ESTOS Mensajes de Correo electrónico Se Puede ver Continuación de la ONU.

 

 


Se Adjunta de la ONU ESTOS Mensajes de Correo electrónico de la unidad ONU Documento de Palabra malicioso Que Contiene ONU nombre PARECIDO UN invoice_J-17105013.doc. Cuando Se abre el documento, el texto Será ilegible y en el documento se mostrará la unidad ONU Mensaje Que indicará Que se Dębe Habilitar las macros si el texto es ilegible.

 

 



Una Vez Que Una Víctima Activas las macros, las macros descargaran ONU archivo ejecutable desde la unidad ONU Servidor remoto parrafo LUEGO ejecutarlo.

 

 

El Archivo Que Se DESCARGA Por La macro se almacena en La Carpeta% Temp% ejecutado Y sueros. Este ejecutable es el ransomware Locky Que Cuando Se ejecuta comenzará Una Computadora cifrar los Archivos en su. 



Locky encripta SUS Datos y cambia por completo los Nombres de los Archivos 

Cuando Se Inicia Locky se creara, y asignará la unidad ONU Único Número DE16 Caracteres hexadecimales de la Víctima Y Como se Verá F67091F1D24A922B.Locky revisará ENTONCES TODAS LAS UNIDADES locales y Recursos Compartidos de pecado rojo Asignar para cifrar los Archivos de Datos. De Durante EL Cifrado de Archivos En Si utilizará de el algoritmo de cifrado AES y Solo cifrará los Archivos Que coincidan con las extensiones SIGUIENTES:

 

 

 
.mid, .wma, .flv, .mkv, .mov, .avi, .asf, MPEG, VOB, .mpg, .wmv, Florida, .swf, .wav, .qcow2, .vdi, vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, tar.bz2, .tbk, bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif , .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp ,. d ancho, .sch, .dch, .dip, .vbs, asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Copia de Seguridad), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml ,. sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm , .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .csv, .uot, .rtf, .pdf, .xls, .ppt, .stw, .sxw, .ott ,. ODT, DOC, .pem, .csr, .crt .key, wallet.dat
Por otra parte, Locky sí SALTARA CUALQUIER ARCHIVO ES COMPLETA La Ruta de Acceso SI EL Numero Contiene uña de las Cadenas SIGUIENTES:

 

 

 
tmp, WINNT, Datos de programa, Datos de programa, Archivos de programa (x86), Archivos de programa, Temperatura, thumbs.db, $ Recycle.bin, información de volumen del sistema, de Arranque, Windows
CUANDO Locky cifra ONU archivo cambiará el nombre del archivo de Como [id_exclusivo] .locky formato [identificador]. Así Que Cuando Se encripta la ONU archivo Llamado test.jpg seria renombrado ONU algo asi Como F67091F1D24A922B1A7FC27E19A9D9BC.locky. El Identificador Único Y OTRA información también estaran incluídas Al final del archivo encriptado. 

Es Importante Hacer Hincapié En que Locky cifrará Archivos en Recursos compartidos de rojo, INCLUSO Cuando No se asignan A una Unidad local.Como se predijo, ESTO SE ESTA convirtiendo Cada Vez Más Común y Todos Los Administradores de Sistemas Deben bloquear Toda La Compartida roja abierta a los Permisos Más bajos Posibles. 

Como parte del Proceso de cifrado, Locky, también borrará TODAS LAS Instantáneas del volumen en la Máquina de Manera Que no se pueden Como utilizar para Restaurar los Archivos de la Víctima. Locky lo Hace Mediante la ejecucion del siguiente comando:

 

 

 
vssadmin.exe ELIMINAR Sombras / Todo / Quiet
En el Escritorio de Windows y de de En Cada carpeta en La que se ha cifrado archivo ONU, creara, Locky, notas de rescate Llamados _Locky_recover_instructions.txt. Esta nota de rescate Contiene información acerca de lo sucedido a Los Archivos Y enlaces ánade Para La Víctima Para Que ACCEDA una pagina web del

 

 

 


Locky cambiará el fondo de Pantalla de Ventanas por UserpProfile %% \ Desktop \ _Locky_recover_instructions.bmp, Que Contiene Las Mismas INSTRUCCIONES Que las notas de texto de rescate.

 

 


Por Ultimo, Pero No Menos Importante, Locky almacenará claves Diversa información en el registro Bajo las Siguientes:

 

 

 
HKCU \ Software \ Locky \ id -. El Identificador Único asignado a la Víctima 
HKCU \ Software \ Locky \ pubkey -. La clave pública RSA 
HKCU \ Software \ Locky \ paytext -. El texto Que se almacena en las notas de rescate 
HKCU \ software \ Locky \ Completada - Si el ransomware Terminó cifrar el compute.r
La Página Web Locky Decrypter 

Dentro De Las Notas de Rescate de Locky los enlaces dirigen ONU Un sitio Llamado Tor Locky Decrypter. Esta página SE Encuentra en 6dtxgqam4crv6rr6.onion y Contiene la Cantidad de bitcoins para enviar Como pago, de Como Comprar los bitcoins, y La Dirección bitcoin Que se Dębe enviar para el pago. Una Vez Que Una Víctima Envia el Pago a la Dirección bitcoin asignado, esta página proporcionará ONU descifrador Que Se Puede Como utilizar para descifrar SUS ARCHIVOS.

 

 


Locky Archivos Relacionados

 

 

 
% UserpProfile% \ Desktop \ _Locky_recover_instructions.bmp% UserpProfile% \ Desktop \ _Locky_recover_instructions.txt% Temp% \ [al azar] .exe
Las Entradas de registro relacionadas Una Locky

 

 

 
HKCU \ Software \ Locky HKCU \ Software \ Locky \ Identification del HKCU \ Software \ Locky \ pubkey HKCU \ Software \ Locky \ paytext HKCU \ Software \ Locky \ completado 1 HKCU \ Control Panel \ Desktop \ papel tapiz "% USERPROFILE% \ Desktop \ _Locky_recover_instructions .bmp "

Para estar informado de los últimos artículos, suscríbase: