Основната цел на зловредния код Locky е да криптира потребителските данни на компютъра Ви, както и тези на присъединени мрежови устройства, с цел искане на откуп за отключването им.
Обикновено криптовируса се разпространява, чрез прикачен файл по електронната поща (офисен документ MS Word, Excel). Когато потребителя отвори документа, се включва зловреден макрос, който пуска скрипт, като последва свалянето на бинарен файл на Locky.
Скрипта комуникира с команден сървър, който изтегля зловредния файл в %TEMP% и го изпълнява.
Веднъж стартиран Locky генерира уникално за поразената машина ID, съобразено със системния и GUID. След това създава ключ в регистрите на поразената машина: HKEY_CURRENT_USER\Software\Locky\id.
Започва комуникация с контролния сървър, за да получи публичен ключ, който се ползва за заключване на системните файлове посредством RSA-2048 и AES-128 алгоритми. Съхранява го в регистъра на инфектираната машина: HKEY_CURRENT_USER\Software\Locky\pubkey.
Locky изтегля .txt(текстови) файл с инструкции за плащане на откуп и го запазва в (HKEY_CURRENT_USER\Software\Locky\paytext). Създава и __Locky_recover_instructions.txt във всяка една папка, която съдържа криптиран файл. След като е заключил данните на потребителската машина криптовируса Locky използва ShellExecuteA API функцията, за да отвори въпросния текстови файл.
Locky криптира файлове на потребителски машини със следните разширения:
.m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wb2, .123, .wks, .wk1, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .602, .dotm, .dotx, .docm, .docx, .DOT, .3dm, .max, .3ds, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .p12, .csr, .crt, .key
Като последни стъпки Locky използва vssadmin командата, за да спре shadow copy service, като по този начин прави невъзможно връщането на файловете от резервните копия създадени от операционната система. Някои разновидности на Locky опитват да изтриват .exe файловете си, за да заличат всички следи от присъствието си.
Други разновидности на зловредния код Locky се опитват да останат постоянно на поразената система, като добавят следния ред в регистрите:
HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run “Locky” = “%TEMP%\[name].exe”
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08
Повече за Panda Security
office@computel.bg
plovdiv@computel.bg