.locky ransomware

Door fvdberg op woensdag 17 februari 2016 19:40 - Reacties (30)
Categorie: Fixes, Views: 26.352

Mijn afgelopen dagen stonden in het teken van .locky een nieuwe cryptolocker

Wat weten we tot nu toe:

Virustype is een exploit van een 4e generatie ransonware van het cryptowall type. het gedraagt zich als Dridex

Virus is afkomstig uit de Neutrino exploit kit en deze specifieke variant wordt sinds 7-2-2016 op de marketplaces op TOR aangeboden maar is vermoedelijk al langer actief.

Het virus wordt sinds 15-2-2016 gespot en opgemerkt. De oorsprong lijkt in Duitsland te liggen

Op een Indiaas forum is deze trojan op 8-2-2016 gemeld: http://pantip.com/topic/34773071 dit is dus net nadat de kit op de marketplaces op TOR op dook.

De command and control was in ons geval een Russische webserver

Wordt verspreid via:

1. email bijlage in email met factuur (ATTN: Invoice J-98223146)
2. Macro bestand in word documenten

het virus wordt uitgevoerd op gebruikersniveau en heeft dus nooit meer rechten als de gebruiker in kwestie. in een AD omgeving is het wijs om direct gebruikers die je verdenkt gelijk te blokkeren. wanneer je constateert dat deze een .locky bestand aan maakt.

De encryptie key wordt door de Russische server aangeboden en is te onderscheppen door het netwerk verkeer van de geinfecteerde machine uit te sniffen en lijkt niet te veranderen.

Het virus maakt als eerst een .locky bestand aan in een map, kan dit niet dan gaat hij door zonder iets te doen. Damage control is dus preventief de extensie .locky blokkeren op je fileshares zodat deze niet aangemaakt kan worden.

Malwarebytes Anti Rootkit kan het virus prima verwijderen.

Impact

Op alle lokale , netwerk en UNC paden waar de gebruiker schrijfrechten op heeft worden de bestanden met de volgende extensies versleuteld:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11, .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

De volgende paden en extensies worden over geslagen:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

In de versleutelde mappen wordt een ransom note geplaatst met de naam _Locky_recover_instructions.txt

Locky vewijderd alle Shadow Volume Copies op de machine met de volgende opdracht: vssadmin.exe Delete Shadows /All /Quiet

Locky past de Windows wallpaper naar %UserpProfile%\Desktop\_Locky_recover_instructions.bmp, met daar op dezelfde instructies als in de ransom note

Locky gerelateerde bestanden:

%UserProfile%\Desktop\_Locky_recover_instructions.bmp
%UserProfile%\Desktop\_Locky_recover_instructions.txt
%Temp%[random].exe (in ons geval LadyBI.exe)

Locky gerelateerde register aanpassingen:

HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed 1
HKCU\Control Panel\Desktop\Wallpaper "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"

Wij hadden recente backups van de geraakte bestanden, maar zelfs daarmee is het nog een Hell of a job om de schade te herstellen. decrypten is geen optie, dus backup, backup en nog eens backup!

Wij hebben op basis van de uitgedeelde rechten de groep met potentiele besmette accounts kunnen beperken tot een handje vol en hadden het relatief snel onder controle.

Zie ook dit topic op GoT: .LOCKY nieuwe crypto locker virus

Volgende: Tempered Glass screenprotector op Iphone 5s Plakken 03-'16 Tempered Glass screenprotector op Iphone 5s Plakken
Volgende: Cheat Sheet - Directadmin 02-'16 Cheat Sheet - Directadmin

Reacties


Door Tweakers user Soldaatje, woensdag 17 februari 2016 21:52

Locky vewijderd alle Shadow Volume Copies op de machine met de volgende opdracht: vssadmin.exe Delete Shadows /All /Quiet
Heb je daar geen admin rechten voor nodig?

Door Tweakers user fvdberg, woensdag 17 februari 2016 22:25

local admin rechten idd.

Door Tweakers user Kaalus, woensdag 17 februari 2016 22:41

Bedankt voor de informatie. *.locky staat mooi op de blacklist van m'n shares :)
En de VSS blijft wel draaien dus zit wel redelijk goed met deze ronde.

Ben me op het moment nog wel aan het breken over de lockers met willekeurige extenties.. Ga denk de executierechten op %Userprofile%\Temp maar gewoon voor iedereen afnemen. Vervelend voor gedownloade en daar uitgepakte installers, maar die kun vaak wel verplaatsen en elders aftrappen. Dan ben je er alweer een stuk bewuster mee bezig.

Door Tweakers user Simpele1986, donderdag 18 februari 2016 09:12

Toevallig gister bij een klant gespot... Had de bewuste bijlage 'gewoon' geopend..
Vreemde was dat er nog niks gebeurd was met het systeem. Op het Bureaublad stond er wel in 1 map dit .locky bestand, echter deze was gewoon te recoveren middels Shadow Copy.
Na diverse scans bleek dat er gelukkig nergens iets was gebeurd, behalve die map waar oorspronkelijk 2 bestandjes in stonden.

- User had overigens geen local admin rechten, ook in het domein geen rechten behalve domeingebruiker :-)
Dat zal verklaren waarom er weinig is gebeurd.

[Reactie gewijzigd op donderdag 18 februari 2016 09:14]


Door Tweakers user spNk, donderdag 18 februari 2016 09:27

Simpele1986 schreef op donderdag 18 februari 2016 @ 09:12:
Toevallig gister bij een klant gespot... Had de bewuste bijlage 'gewoon' geopend..
Vreemde was dat er nog niks gebeurd was met het systeem. Op het Bureaublad stond er wel in 1 map dit .locky bestand, echter deze was gewoon te recoveren middels Shadow Copy.
Na diverse scans bleek dat er gelukkig nergens iets was gebeurd, behalve die map waar oorspronkelijk 2 bestandjes in stonden.

- User had overigens geen local admin rechten, ook in het domein geen rechten behalve domeingebruiker :-)
Dat zal verklaren waarom er weinig is gebeurd.
Dat verklaard helemaal niets.
Een gebruiker kan gewoon als normale gebruiker het bestand uitvoeren, vervolgens worden alle bestanden waarop hij of zij rechten heeft versleuteld.
Waarschijnlijk heeft de virusscanner in dit geval zijn werk redelijk optijd gedaan. Mijn ervaring is dat het verschilt per variant of deze gesnapt word.
Kaalus schreef op woensdag 17 februari 2016 @ 22:41:
Bedankt voor de informatie. *.locky staat mooi op de blacklist van m'n shares :)
En de VSS blijft wel draaien dus zit wel redelijk goed met deze ronde.

Ben me op het moment nog wel aan het breken over de lockers met willekeurige extenties.. Ga denk de executierechten op %Userprofile%\Temp maar gewoon voor iedereen afnemen. Vervelend voor gedownloade en daar uitgepakte installers, maar die kun vaak wel verplaatsen en elders aftrappen. Dan ben je er alweer een stuk bewuster mee bezig.
Wat is het nut van .locky bestanden op de blacklist zetten? De originele bestanden worden alsnog versleuteld lijkt me? Die extensie komt er pas later achter.

Ik ben nu al een tijdje aan het stoeien met een virtuele machine, via software restrictiebeleid de temp mappen uitsluiten lijkt te werken, alleen, als men bewust de .exe uitpakt zal deze in documenten, bureaublad of de download map terecht komen.
In dat geval word deze nog gewoon uitgevoerd en versleuteld de boel gewoon.

[Reactie gewijzigd op donderdag 18 februari 2016 09:30]


Door Tweakers user HyperBart, donderdag 18 februari 2016 10:10

spNk schreef op donderdag 18 februari 2016 @ 09:27:

Wat is het nut van .locky bestanden op de blacklist zetten? De originele bestanden worden alsnog versleuteld lijkt me? Die extensie komt er pas later achter.
:
Het virus maakt als eerst een .locky bestand aan in een map, kan dit niet dan gaat hij door zonder iets te doen. Damage control is dus preventief de extensie .locky blokkeren op je fileshares zodat deze niet aangemaakt kan worden.

Door Tweakers user fvdberg, donderdag 18 februari 2016 10:45

de originele bestanden worden eerst hernoemd naar [hashcode].locky en dan binnen hetzelfde bestand geencrypt. in een machine op de testomgeving die we onderbroken hebben tijdens een encryptie actie hebben we in het documentwat op dat moment geencrypt werd nog delen van de tekst kunnen lezen die nog niet aangetast waren

wanneer de extensie .locky niet mag faalt dat eerste proces al.

Door Tweakers user densoN, donderdag 18 februari 2016 10:52

Als de users toch in een domein hangen, waarom dan niet gewoon applocker erop knallen en werken met executable white-lists gebaseerd op vendors/folders/hashes?

Door Tweakers user fvdberg, donderdag 18 februari 2016 11:19

er zijn in dit geval meerdere wegen naar Rome

Applocker is inderdaad iets wat standaard door Microsoft meegeleverd wordt, en zou wel ingezet kunnen worden om ladybi.exe te voorkomen.

Zie https://technet.microsoft.com/nl-nl/library/dd759117.aspx

Maar Scripts er mee blokkeren gaat hem echter niet worden.

zie http://www.biztechmagazin...kers-lockdown-limitations

wat mij betreft is enkel Applocker dus niet geschikt voor deze taak

Door Tweakers user SinergyX, donderdag 18 februari 2016 12:30

2. Macro bestand in word documenten
Word staat toch by default geen macro's toe in externe documenten, zonder toestemming?

Beetje mailserver standaard alles met executables blokkeren, dan ben je toch al aardig eind?

Door Tweakers user fvdberg, donderdag 18 februari 2016 14:40

klopt, maar de inhoud roept op tot toestemming geven. en je weet wat gebruikers doen...

Je kan je eigen mailserver nog zo ver dicht zetten... gebruikers hebben doorgaans ook nog hun eigen webmail (Hotmail/gmail) dan komt het via die weg wel binnen.

je zult dus ook je internet gateway moeten scannen

[Reactie gewijzigd op donderdag 18 februari 2016 14:41]


Door Tweakers user Tym, donderdag 18 februari 2016 14:48

Wat zou er gebeuren als deze (of een andere) cryptolocker te werk gaat op een map die gekoppeld is aan een coud storage dienst? Zou je dan de aangetaste bestanden uit de recycle bin kunnen halen aangezien deze eerst verwijderd worden voor de nieuwe versie van hetzelfde bestand (maar dan met andere extensie) geupload wordt? Of zouden de oude bestanden op de cloud storage dienst overschreven worden?
m.a.w. Hoe veel weerstand zou een online backup op een cloud storage kunnen bieden?

Door Tweakers user fvdberg, donderdag 18 februari 2016 16:05

het bestand wordt niet verwijderd.
het bestand wordt hernoemd en vervolgens binnen het bestaande bestand geencrypt.

in-place encryption zeg maar

dus alleen als de cloud storage dienst een vorm van previous versions ondersteund kan je recoveren door een herstelpunt te pakken van voor het moment dat de bestanden geencrypt zijn

zie: http://windows.microsoft....s-files-faq#1TC=windows-7

[Reactie gewijzigd op donderdag 18 februari 2016 16:19]


Door Erwin, donderdag 18 februari 2016 20:53

Als ik het goed begrijp word de program files overgeslagen? Ook alle onderliggende mappen?
Dan sla ik vanaf nu echt belangrijke dingen in program files op. Zal wel te makkelijk zijn he? :P

Door Tweakers user fvdberg, donderdag 18 februari 2016 21:30

klopt helemaal. ook de onderliggende mappen.

Door Tweakers user fvdberg, vrijdag 19 februari 2016 12:26

Ter info:

Het gaat helemaal los in Duitsland, Heisse heeft het over 5000 besmettingen per uur

http://www.heise.de/newst...n-pro-Stunde-3111774.html

Overigens wordt deze op dit moment verspreid in een duitstalige mail met als onderwerp Rechnung Nr. 2013_131

En de volgende tekst:
Sehr geehrte Damen und Herren,

bitte korrigieren Sie auch bei der Rechnung im Anhang den Adressaten:

LFW Ludwigsluster Fleisch- und Wurstspezialitäten
GmbH & Co.KG

Vielen Dank!


Mit freundlichen Grüßen

Anke Füldner

Finanzbuchhaltung

Tel.: 03874-4********
Fax: 03874-4********
E-Mail: fueldner@lfw-l********t.de
Het word document zit nu in een zip file, en wordt dus potentieel niet ontdekt als zip files inhoudelijk niet gescand worden op de mailservers

[Reactie gewijzigd op vrijdag 19 februari 2016 13:00]



Door Tweakers user Final Frag, vrijdag 19 februari 2016 15:34

Kaalus schreef op woensdag 17 februari 2016 @ 22:41:
Bedankt voor de informatie. *.locky staat mooi op de blacklist van m'n shares :)
En de VSS blijft wel draaien dus zit wel redelijk goed met deze ronde.

Ben me op het moment nog wel aan het breken over de lockers met willekeurige extenties.. Ga denk de executierechten op %Userprofile%\Temp maar gewoon voor iedereen afnemen. Vervelend voor gedownloade en daar uitgepakte installers, maar die kun vaak wel verplaatsen en elders aftrappen. Dan ben je er alweer een stuk bewuster mee bezig.
Hoe heb je deze extensie geblokkeerd? Op google vind ik niets hoe ik dit op mijn synology kan instellen...

Door Tweakers user furian88, vrijdag 19 februari 2016 15:47

ook bij een klant van ons was het woensdag raak, na snel ingrijpen van mij is het binnen de perken gebleven, daarnaast is mijn collega de rest van de dag bezig geweest om backups terug te zetten.

.Locky is bij ons vanaf nu ook geblokkeerd

Door Stefan, vrijdag 19 februari 2016 15:57

Tym schreef op donderdag 18 februari 2016 @ 14:48:
Wat zou er gebeuren als deze (of een andere) cryptolocker te werk gaat op een map die gekoppeld is aan een coud storage dienst? Zou je dan de aangetaste bestanden uit de recycle bin kunnen halen aangezien deze eerst verwijderd worden voor de nieuwe versie van hetzelfde bestand (maar dan met andere extensie) geupload wordt? Of zouden de oude bestanden op de cloud storage dienst overschreven worden?
m.a.w. Hoe veel weerstand zou een online backup op een cloud storage kunnen bieden?
Bij dropbox kun je oude versies terugzetten. Maar bij onedrive kun je dat shaken.

Daarom hier stemmen:
https://onedrive.uservoic...-history-for-all-types-of

Door PluymersP, zaterdag 20 februari 2016 11:18

We were attacked tuesday by this ransomware. 150 Emails spoofed to our mailserver. 149 Mails were blocked by the Barracuda spamfilter. One slipped through and was initialised by a coworker from the saledepartment. In half an hour our fileserver, applicationserver and shared maps on local PC's was encrypted.
After locating the PC where it all started, we took that one from the network and started to restore everything from the backup. In one hour the fileserver and applicationserver was back working.
Except one local folder with lots of data in that wasn't on the fileserver was completely destroyed. We succeeded in fixing this as follows.

First we installed RECUVA on this PC and tried to recover the lost map.The fact that the user kept working on it, had as result that most files were'nt recoverable because they were overwritten by cookies and temporary internetfiles. (So when noticing the LOCKY files ... stop working)
Windows 7 has shadow files. Too bad those files are corrupt because of the LOCKY virus ... but ... we were able to recover those files with RECUVA, restore them and start SHADOWEXPLORER and go back 6 days to recover a shadowcopy from the lost data folder. In the end we recovered about 99% of lost files !

But as someone said before .... nothing helps to prevent it so backup, backup and backup .....

Door Tweakers user spNk, maandag 22 februari 2016 20:23

Vandaag weer eentje, nu had alles de .mp3 extensie...

Door Tweakers user fvdberg, vrijdag 26 februari 2016 11:13

spNk schreef op maandag 22 februari 2016 @ 20:23:
Vandaag weer eentje, nu had alles de .mp3 extensie...
dat is een andere, dat is een Teslacrypt 3 variant. die enkele dagen eerder uit brak als .locky.

Als deze nu nog binnen komt wordt het tijd om de virusscanners eens te controleren op werking

Door Tweakers user spNk, dinsdag 1 maart 2016 14:26

fvdberg schreef op vrijdag 26 februari 2016 @ 11:13:
[...]

dat is een andere, dat is een Teslacrypt 3 variant. die enkele dagen eerder uit brak als .locky.

Als deze nu nog binnen komt wordt het tijd om de virusscanners eens te controleren op werking
Helaas, het is maar zelden dat een virus scanner er op tijd bij is. Het betreft hier ook particulieren die naar ons komen om de boel na te laten kijken, die heb je natuurlijk wat minder onder controle.

Door Tweakers user fvdberg, dinsdag 1 maart 2016 16:43

Klopt helemaal, en gezien de hoeveelheid "meuk" die momenteel wordt verzonden kan ik niet anders als waarschuwen om te voorkomen dat mails die toch door de spamfilters en virusscanners wandelen die voorzien zijn van dubieuze bijlages niet te openen.

Door Tweakers user Simpele1986, vrijdag 18 maart 2016 09:24

Nadat wij de sjaak waren ook maar een aantal maatregelen genomen.
- GFI Spamfilter vervangen door SpamExperts
- Bekende extensies geblokkeerd in Exchange (.xlsm, .xlsxm, .docm, .docxm, .mp3, .zip, .locky).

Mocht iemand ons toch een bestand sturen welke op de lijst staat, dan vragen we dit te doen middels WeTransfer.

Virusscanners doen niks met ransomware, of lopen teveel achter de feiten aan.

Snap niet waarom virusscanners met realtime beveiliging dit niet kunnen stoppen (als in x-seconden, x-aantal bestanden, extensie x krijgen -> proces stoppen). Of denk ik te eenvoudig?

Door Jan, zaterdag 19 maart 2016 18:08

Al mijn bestanden op de computer en foto's veranderd in .locky.
Ook op de Nas en de Laptop, die gekoppeld is aan de computer.
Wie heeft er een suggestie wat te doen? En wanneer komt er een bedrijf die de bestanden weer normaal kan maken?

Door Tweakers user Cereal, zondag 20 maart 2016 14:56

Bij een bekende is 't ook raak. Er wordt 3 BTC gevraagd. Er lijken dus nu maar een paar opties:

-Take your losses
-Wachten op evt decrypt tool van bonafide bedrijven.
-Betalen en decrypt tool krijgen
-Betalen en nooit meer wat van ze horen.

Hoe dan ook een pc reinstall.

Leuk weekeinde zo.

Door Ben, woensdag 23 maart 2016 08:30

Mijn laptop is gister besmet nadat iemand op mijn laptop een mailtje opende, ik merkte het pas toen ik op mijn telefoon meldingen kreeg dat dropbox 60 nieuwe files had aan gemaakt.

Ik ben practisch een leek op dit gebied dus hoor graag of ik het goed gedaan heb of juist niet.
Wat ik heb gedaan: meteen alle verbindingen platleggen, herstarten in veilige modus, en pc teruggezet naar een herstelpunt van 11 maart.

Vanmiddag als ik thuis ben wil ik in veilige modus eerst de .locky extensie blokkeren, kan iemand mij vertellen waar en hoe ik dat doe? vervolgens wil ik met een anti malware ding die shit scannen.

Hoe groot is de kans dat ik er dan vanaf ben? Als ik de reeds versleutelde files als loss accepteer?

Door Tweakers user fvdberg, woensdag 23 maart 2016 21:59

klein, probleem is dat er in place versleuteling plaats vind.

m.a.w. wanneer je bepaalde extensies verbied is het grootste deel van het leed al geschied.

in de cliënt versies van Windows zit naar mijn weten niets waar dit zo mee kan.

met McAfee anti virus kan dit wel... maar dat is pas wanneer het bestand al vernoemd is en die wordt vervolgens direct verwijderd.....

Om te kunnen reageren moet je ingelogd zijn. Via deze link kun je inloggen als je al geregistreerd bent. Indien je nog geen account hebt kun je er hier één aanmaken.