PyLocky Ransomware

Исследователь безопасности Майк Баутиста (Mike Bautista) из подразделения кибернетической разведки Cisco в Талосе, выпустил бесплатный инструмент для расшифровки, который позволяет жертвам зараженным программным обеспечением PyLocky, бесплатно разблокировать зашифрованные файлы без выкупа.

  1. Дешифрование возможно если вы захватили исходный сетевой трафик(файл PCAP) между вымогателем PyLocky и его сервером управления(C2). Исходящее соединение, когда вымогатель связывается с сервером C2 и передает информацию связанную с ключом дешифрования, содержит строку содержащую как вектор инициализации (IV) так и пароль который вымогатель генерирует случайным образом для шифрования файлов. Если исходный трафик C2 не был захвачен, инструмент дешифрования не сможет восстановить файлы на зараженной машине. Впервые был замечен исследователями Trend Micro в июле прошлого года PyLocky Ransomware распространяющийся через спам-сообщения, как и большинство вредоносных программ предназначенных для того чтобы обманным путем заставить жертву запустить вредоносную загрузку и установку PyLocky.
  2. Чтобы избежать обнаружения программным обеспечением безопасности, вымогатель PyLocky спит на компьютере жертвы 999 секунд или чуть более 11 с половиной дней. Процесс шифрования файлов выполняется в том случае если объем оперативной памяти больше или равен 4 ГБ. Написан вымогатель на python и упакован с PyInstaller, PyLocky Ransomware сначала конвертирует каждый файл в формат base64, затем использует случайно генерированный вектор инициализации (IV) и пароль для шифрования всех файлов на зараженном компьютере. Вредоносная программа добавляет расширение ".lockedfile" к каждому зашифрованному файлу, как пример: файл picture.jpg станет picture.jpg.lockedfile. Исходный файл затем перезаписывается и становится запиской выкупа злоумышленника. Не платите выкуп требуемый злоумышленником так как это редко приводит к восстановлению зашифрованных файлов, вы можете попросту потерять свои финансы. Как только компьютер зашифрован, PyLocky отображает сообщение о выкупе в криптовалюте, чтобы восстановить файлы. В записке также утверждается, что выкуп удваивается каждые 96 часов.
  3. Утилиту расшифровки можно бесплатно загрузить GitHub и запустить его на своем зараженном компьютере с Windows, ссылки выложу в самом конце статьи. Настоятельно рекомендуется следовать нижеприведенным мерам предотвращения заражения пк:
  4. Остерегайтесь фишинговых писем. Всегда будьте подозрительны к неизвестным документам отправленным по электронной почте и никогда не переходите по ссылкам внутри этих документов, всегда проверяйте источник. Делайте регулярное резервное копирование важных Вам файлов, облака в помощь. Поддерживайте антивирусное программное обеспечение и систему в актуальном состоянии: обновляйте антивирусное программное обеспечение и системы для защиты от новейших угроз.

  5. Скачать программы упоминающиеся в статье:

    Перейти GitHub инструмент для расшифровки.