LockCrypt Ransomware. Исправить зараженный компьютер
Относительно более слабая вредоносная программа-вымогатель, LockCrypt, действует незаметно для проведения низкомасштабных киберпреступных атак с июня 2017 года. Наиболее активна она была в феврале и марте этого года, но из-за того, что программа-вымогатель была установлена вручную на устройствах, чтобы вступить в силу, это не представляло такой большой угрозы, как некоторые из самых известных криптографических программ-вымогателей, среди которых GrandCrab. По результатам анализа ( образец полученный из VirusTotal) антивирусными фирмами, такими как румынская корпорация BitDefender и MalwareBytes Research Lab, эксперты по безопасности обнаружили несколько недостатков в программировании программы-вымогателя, которые можно было исправить для дешифрования украденных файлов. Используя собранную информацию, BitDefender выпустил Инструмент дешифрования который может восстанавливать файлы на всех версиях вымогателя LockCrypt, кроме последней.
Согласно тщательному исследованию MalwareBytes Lab отчет который анализирует вредоносное ПО изнутри и снаружи, первый недостаток, обнаруженный в LockCrypt, заключается в том, что для его выполнения требуется ручная установка и права администратора. Если эти условия соблюдены, исполняемый файл запускается, помещая файл wwvcm.exe в C: Windows и добавляя соответствующий раздел реестра. Как только программа-вымогатель начинает проникать в систему, она шифрует все файлы, к которым может получить доступ, включая файлы .exe, останавливая системные процессы на этом пути, чтобы гарантировать непрерывность собственного процесса. Имена файлов меняются на случайные буквенно-цифровые строки в формате base64, а их расширения устанавливаются на .1btc. В конце процесса запускается текстовый файл с требованием выкупа, а в реестре HKEY_LOCAL_MACHINE хранится дополнительная информация, содержащая присвоенный «ID» атакованному пользователю, а также напоминания об инструкциях по восстановлению файлов.
LockCrypt Ransomware Note Pop-up. MalwareBytes Lab
Хотя эта программа-вымогатель может работать без подключения к Интернету, в случае ее подключения исследователи обнаружили, что она взаимодействует с ЧПУ в Иране, отправляя ему буквенно-цифровые данные в формате base64, которые расшифровываются на назначенный идентификатор атакованного устройства, операционную систему и программа-вымогатель запрещает размещение на диске. Исследователи обнаружили, что код вредоносной программы использует функцию GetTickCount для установки случайных буквенно-цифровых имен и сообщений, которые не являются особо надежными кодами для расшифровки. Это делается в двух частях: первая использует операцию XOR, а вторая использует XOR, а также ROL и побитовый обмен. Эти слабые методы позволяют легко расшифровать код вредоносного ПО. Именно так BitDefender смог манипулировать им, чтобы создать инструмент для дешифрования заблокированных файлов .1btc.
BitDefender исследовал несколько версий программы-вымогателя LockCrypt, чтобы разработать общедоступный инструмент BitDefender, способный расшифровывать файлы .1btc. Другие версии вредоносного ПО также шифруют файлы с расширениями .lock, .2018 и .mich, которые также можно расшифровать при контакте с исследователем безопасности. Майкл Гиллеспи . Самая последняя версия программы-вымогателя, похоже, шифрует файлы с расширением .BI_D, для которого еще не разработан механизм дешифрования, но все предыдущие версии теперь легко дешифруются.
