Locky cripta anche i nomi dei file e le share di rete non mappate

Da alcuni giorni si sta diffondendo a macchia d’olio l’infezione di un nuovo ransomware, Locky, che rispetto ai suo predecessori cripta anche i nomi dei file e si diffonde verso condivisioni di rete anche se non mappate sul sistema. Il cryptovirus si diffonde tramite email di phishing o spam, contenenti allegati documenti Office con macro infette. Le macro attivano il download del trojan che, una volta attivato, cripta i documenti presenti sul computer della vittima, così come i vari Cryptolocker, CTB-Locker o Teslacrypt.

Una volta criptati i documenti, il cryptovirus Locky lascia sul Desktop e nelle cartelle dove ha cifrato dei documenti il file “_Locky_recover_instructions.txt”, contenente questo testo:Locky Recover Instructions TXT

!!! INFORMAZIONI IMPORTANTI!!!!

Tutti i tuoi file sono stati criptati con algoritmo asimettrico RSA-2048 e algoritmo simmetrico AES-128.
Ulteriori informazioni sugli algoritmi sono disponibili su:
http://it.wikipedia.org/wiki/RSA
http://it.wikipedia.org/wiki/Advanced_Encryption_Standard

La decriptazione dei tuoi file è possibile solo con la chiave privata e il programma di
decriptazione che si trova sul nostro server segreto.
Per ricevere la tua chiave privata vai a uno dei seguenti link:
1. http://6dtxgqam4crv6rr6.tor2web.org/32C0D883E1644D0A
2. http://6dtxgqam4crv6rr6.onion.to/32C0D883E1644D0A
3. http://6dtxgqam4crv6rr6.onion.cab/32C0D883E1644D0A
4. http://6dtxgqam4crv6rr6.onion.link/32C0D883E1644D0A

Se nessuno dei precedenti indirizzi è disponibile, segui i passaggi successivi:
1. Scarica e installa Tor Browser: https://www.torproject.org/download/download-easy.html
2. Dopo la corretta installazione, avvia il browser e attendi l’inizializzazione.
3. Nella barra degli indirizzi digita: 6dtxgqam4crv6rr6.onion/32C0D883E1644D0A
4. Segui le istruzioni a video.

!!! Il tuo numero d’identificazione personale è:32C0D883E1644D0A !!!

Connettendosi tramite Tor Browser all’indirizzo ONION indicato nel messaggio di testo, compare una schermata dove si legge che viene richiesto 0.5 bitcoin per ottenere il “software speciale Locky Decryptor”.

Richiesta di riscatto del ransomware Locky

Locky Decryptor™

We present a special software – Locky Decryptor™ –
which allows to decrypt and return control to all your encrypted files.

How to buy Locky Decryptor™?
You can make a payment with BitCoins, there are many methods to get them.
You should register BitCoin wallet:
Simplest online wallet or Some other methods of creating wallet
Purchasing Bitcoins, although it’s not yet easy to buy bitcoins, it’s getting simpler every day.
Here are our recommendations:
localbitcoins.com (WU) Buy Bitcoins with Western Union.
coincafe.com Recommended for fast, simple service.
Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, in person.
localbitcoins.com Service allows you to search for people in your community willing to sell bitcoins to you directly.
cex.io Buy Bitcoins with VISA/MASTERCARD or wire transfer.
btcdirect.eu The best for Europe.
bitquick.co Buy Bitcoins instantly for cash.
howtobuybitcoins.info An international directory of bitcoin exchanges.
cashintocoins.com Bitcoin for cash.
coinjar.com CoinJar allows direct bitcoin purchases on their site.
anxpro.com
bittylicious.com
Send 0.5 BTC to Bitcoin address:
Note: Payment pending up to 30 mins or more for transaction confirmation, please be patient…
Date Amount BTC Transaction ID Confirmations
not found
Refresh the page and download decryptor.
When Bitcoin transactions will receive one confirmation, you will be redirected to the page for downloading the decryptor.

Il trojan Locky cancella le shadow copy per non lasciare alla vittima la possibilità di recuperare i dati criptati, tramite il comando “vssadmin.exe Delete Shadows /All /Quiet

Un’analisi del malware Locky è riportata su Hybrid Analysis e Malwr.

Per ulteriori informazioni, consultare i seguenti link:

  • https://www.proofpoint.com/us/threat-insight/post/Dridex-Actors-Get-In-the-Ransomware-Game-With-Locky
  • https://nakedsecurity.sophos.com/2016/02/17/locky-ransomware-what-you-need-to-know/
  • https://blogs.forcepoint.com/security-labs/locky-ransomware-encrypts-documents-databases-code-bitcoin-wallets-and-more
  • https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26383/en_US/McAfee_Labs_Threat_Advisory-Ransomware-Locky.pdf
  • http://www.bleepingcomputer.com/news/security/the-locky-ransomware-encrypts-local-files-and-unmapped-network-shares/
  • http://www.bleepingcomputer.com/forums/t/605607/locky-ransomware-support-and-help-topic/

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.