U poslednje vreme pojavio se veći broj novih varijanti Locky ransomwarea. Primećen je Locky sa ekstenzijom interesantnog naziva, .SHIT, a sada i sa ekstenzijom .THOR.

Primer kriptovanog foldera, Slika: BleepingComputer

Varijanta Thor se distrubuira preko različitih SPAM kampanja sa VBS, JS i drugim prilozima. U jednoj od kampanja u naslovu maila stoji 'Budget forecast' i sadrži ZIP fajl u prilogu sa nazivom budgetxls.zip.

Primer SPAM emaila sa naslovom Budget Forecast, Slika: BleepingComputer

U ovom zip fajlu se nalazi VBS skripta sa imenom A32aD85 xls.vbs kao što se može videti na slici ispod.

Locky instalacioni fajl, Slika: BleepingComputer

Kada se Locky SPAM prilog otvori, preuzima se kriptovani DLL instalacioni fajl koji se dekriptuje na žrtvinom računaru, a zatim se DLL izvršava preko Rundll32.exe kako bi se kriptovali fajlovi na računaru.

Izvršavanje DLL-a preko Rundll32, Slika: BleepingComputer

DLL se izvršava na sledeći način:

C:\Windows\SysWOW64\rundll32.exe %Temp%\MWGUBR~1.dll,EnhancedStoragePasswordConfig147

Nakon što se DLL pokrene, počinje da skenira ciljane vrste fajlova i da ih enkriptuje u fajlove sa .thor ekstenzijom. Na primer, fajl pod nazivom obracun.xlsx se preimenuje u 024BCD33-41D1-ACD3-3EEA-84083E322DFA.thor.

Nemoguće je dekriptovati Locky Ransomware Thor varijantu

Za sada, nažalost, nije realno očekivati da se Locky može dekriptovati. Jedini način da se kriptovani fajlovi vrate je putem backupa ili ako baš imate sreće, preko Shadow Volume Copies. Iako Locky uklanja Shadow Volume Copies, u retkim slučajevima može se desiti da u tome ne uspe. Tako da, ukoliko nemate upotrebljiv backup, pokušajte da vratite fajlove na gore pomenuti način (iako su šanse minorne, ipak postoje).

Izvor: BleepingComputer