>

باج افزار Locky پسوند جدید Thor را به خود میگیرد.

نوشته شده توسط: shahin منتشر شده در: جدیدترین ها تاریخ: 2017-02-03 بازدید: 66 دیدگاه: 0

باج افزار معروف Locky که بیشترین میزان آلودگی در بین صدها باج افزار را دارد اکنون با پسوند جدیدی به نام Thor از خود رونمایی میکند. 

این گونه جدید از طریق درگاه های اسپم یا هرز نامه ی ایمیل به همراه VBS, JS و دیگر فایل های ضمیمه شده انتقال پیدا میکند. یکی از مشابه ترین هرز نامه های دریافتی به نام Budget forecast میباشد که شامل یک فایل زیپ به نام Budget_xls_[random_chars].zip میباشد.

 


ایمیل باج افزار Locky

این فایل زیپ Budget_xls شامل یک اسکریپت VBS به نام  budgetA32Ad85xls.vbs میباشد.


فایل نصب Locky

 

باج افزار Locky از یک فایل اجرایی DLL Installer استفاده میکند

زمانی که فایل اسپم Locky اجرا میشود، یک فایل DLL کد شده دانلود میکند و آن را بر روی سیستم قربانی استخراج میکند، و سپس با استفاده از یک فایل Rundll32.exe شروع به رمزنگاری فایل  های سیستم قربانی میکند.


رمزنگاری با استفاده از فایل Rundll32

 

فایل اجرایی DLL در حال حاضر از آدرس زیر اجرا میشود:

C:\Windows\SysWOW64\rundll32.exe %Temp%\MWGUBR~1.dll,EnhancedStoragePasswordConfig 147

به محض اجرای فایل، این آلودگی پسوند تمامی فایل های موجود در سیستم را به .thor تغییر میدهد. به عنوان مثال فایل accounting.xlsx میتواند به فایل 24BCD33-41D1-ACD3-3EEA-84083E322DFA.thor تغییر یابد همچنین فرمت نامگذاری این باج افزار به شکل زیر میباشد:

first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].thor.

 

امکان رمزگشایی باج افزار Locky نسخه THOR وجود ندارد

متاسفانه هیچ راه عملی برای رمزگشایی باج افزار های سری Locky صرف نظر از پسوند های متفاوت آن وجود ندارد.
در حال حاضر تنها راه بازگشت فایل های کد شده از طریق بکاپ اطلاعات میباشد.

بر چسب ها:
     




دیدگاهتان را بنویسید

ضد هرزنامه

captcha

2008 - 2015 ©
کلیه حقوق مادی و معنوی متعلق به شرکت پانا فناور پارسیان می باشد
برگرفته از اپن کارت فارسی