Situatie

LockCrypt a fost în jur de la mijlocul anului 2017, cu un accent special pe clienții de afaceri. Răspândind prin acreditările de la Remote Desktop Protocol, această familie de ransomware are câteva sub-variante cu următoarele extensii specifice:

Simptome

• 1btc (decryptable și inclus în această versiune a instrumentului)
• .lock (decryptable, nu sunt incluse în instrumentul nostru)
• .2018 (decryptable, care nu este inclus în instrumentul nostru)
• .bi_d (nu decriptabil)
• .mich (decryptable, care nu este inclus în instrumentul nostru)

 

•  Notele de răscumpărare pe care le lasă pe mașinile compromise pot avea următoarele nume:

• Readme.txt
• Restore Files.txt
• How To Restore Files.txt
• Fișierele criptate sunt redenumite folosind KeyStream ransomware și codate ulterior la Base64 pentru a asigura că setul de caractere este acceptabil ca nume de fișier.Orice fișier criptat primește și ID-ul victimei, așa cum se vede mai jos:

 

• Șablonul de redenumire: ^ [0-9a-zA-Z + / =] + sid s [0-9a-zA-Z] {16}
• Șablonul de redenumire: ^ [0-9a-zA-Z + / =] + sid s [0-9a-zA-Z] {16}
• Șablonul de redenumire: ^ [0-9a-zA-Z + / =] + sid s [0-9a-zA-Z] {16}
• Șablonul de redenumire: ^ [0-9a-zA-Z + / =] + sid s [0-9a-zA-Z] {16}
• Șablonul de redenumire: ^ [0-9a-zA-Z + / =] + sid s [0-9a-zA-Z] {16}

 

Solutie

Tip solutie

Permanent