LockCrypt Ransomware. Enfekte Bilgisayarı Onar
Nispeten daha zayıf bir kötü amaçlı fidye yazılımı olan LockCrypt, 2017 yılının Haziran ayından bu yana düşük ölçekli siber suç saldırıları gerçekleştirmek için radar altında çalışıyor. Bu yılın Şubat ve Mart aylarında en belirgin şekilde etkindi, ancak fidye yazılımının yüklenmesi gerektiği gerçeği nedeniyle cihazlarda manuel olarak yürürlüğe girdiğinde, en kötü şöhretli kripto-suçlu fidye yazılımlarından bazıları kadar büyük bir tehdit oluşturmadı, GrandCrab bunlardan biri. Analiz üzerine (bir örneklem Romanya şirketi BitDefender ve MalwareBytes Araştırma Laboratuvarı gibi antivirüs firmaları tarafından VirusTotal'dan alınan güvenlik uzmanları, fidye yazılımının programlanmasında, çalınan dosyaların şifresini çözmek için tersine çevrilebilecek birkaç kusur keşfetti. Toplanan bilgileri kullanarak, BitDefender bir Şifre Çözme Aracı LockCrypt fidye yazılımının en son sürümleri dışında tüm sürümlerindeki dosyaları kurtarabilir.
Kapsamlı bir MalwareBytes Lab araştırmasına göre bildiri Kötü amaçlı yazılımları içeride ve dışarıda analiz eden LockCrypt'te keşfedilen ilk kusur, manuel kurulum ve etkili olması için yönetici ayrıcalıkları gerektirmesidir. Bu koşullar karşılanırsa, yürütülebilir dosya çalışır, bir wwvcm.exe dosyasını C: Windows'a yerleştirir ve buna karşılık gelen bir kayıt defteri anahtarı ekler. Fidye yazılımı sisteme girmeye başladığında, .exe dosyaları da dahil olmak üzere erişebildiği tüm dosyaları şifreler ve kendi sürecinin kesintisiz devam etmesini sağlamak için sistem işlemlerini durdurur. Dosya adları rastgele base64 alfasayısal dizelerle değiştirilir ve uzantıları .1btc olarak ayarlanır. İşlemin sonunda bir metin dosyası fidye notu başlatılır ve saldırıya uğrayan kullanıcının atanan 'ID' sinin yanı sıra dosya kurtarma talimatlarının hatırlatıcılarını içeren HKEY_LOCAL_MACHINE kayıt defterinde ek bilgiler depolanır.
LockCrypt Ransomware Not Açılır Penceresi. MalwareBytes Lab
Bu fidye yazılımı internet bağlantısı olmadan çalışabilmesine rağmen, bağlı olması durumunda araştırmacılar, İran'daki bir CnC ile iletişim kurduğunu ve saldırıya uğrayan cihazın tahsis edilen kimliğine, işletim sistemine ve şifresini çözen base64 alfanümerik veriyi gönderdiğini buldular. sürücüde fidye yazılımı engelleme konumu. Araştırmacılar, kötü amaçlı yazılımın kodunun, özellikle deşifre edilmesi güçlü kodlar olmayan rastgele alfanümerik adlar ve iletişimler ayarlamak için GetTickCount işlevini kullandığını keşfettiler. Bu iki kısımda yapılır: ilki bir XOR işlemini kullanırken ikincisi XOR ve ayrıca ROL ve bitsel takas kullanır. Bu zayıf yöntemler, kötü amaçlı yazılımın kodunu kolayca deşifre edilebilir hale getirir, bu da BitDefender'ın onu kilitli .1btc dosyaları için bir şifre çözme aracı oluşturacak şekilde değiştirebildi.
BitDefender, .1btc dosyalarının şifresini çözebilen halka açık bir BitDefender Aracı tasarlamak için LockCrypt fidye yazılımının birden çok sürümünü araştırdı. Kötü amaçlı yazılımın diğer sürümleri de dosyaları .lock, .2018 ve .mich uzantılarına şifreler ve bunlar da güvenlik araştırmacısıyla iletişime geçildiğinde şifresi çözülebilir. Michael Gillespie . Fidye yazılımının en son sürümü, dosyaları .BI_D uzantısına şifreliyor gibi görünüyor; bunun için henüz bir şifre çözme mekanizması tasarlanmadı, ancak önceki tüm sürümler artık kolayca çözülebilir.
