ЛоцкЦрипт Рансомваре. Поправите заражени рачунар
Релативно слабији злонамерни рансомваре, ЛоцкЦрипт, ради испод радара да би извршио нападе кибернетичког криминала од јуна 2017. године. Најистакнутији активан био је у фебруару и марту ове године, али због чињенице да рансомваре мора бити инсталиран ручно на уређајима да би ступио на снагу, није представљао толико велику претњу као неки од најозлоглашенијих крипто-криминалних откупнина тамо, ГрандЦраб је био један од њих. Након анализе (а узорак добијене од ВирусТотал-а) од стране антивирусних компанија попут румунске корпорације БитДефендер и МалвареБитес Ресеарцх Лаб, стручњаци за безбедност открили су неколико недостатака у програмирању рансомваре-а који би могли да се поправе за дешифровање украдених датотека. Користећи прикупљене информације, БитДефендер је објавио а Алат за дешифровање који је у стању да опорави датотеке на свим верзијама ЛоцкЦрипт рансомваре-а, осим на најновијој.
Према детаљном истраживању МалвареБитес Лаб извештај која анализира малвер изнутра и извана, прва мана откривена у ЛоцкЦрипт-у је чињеница да захтева ручну инсталацију и администраторске привилегије да би ступиле на снагу. Ако су ови услови испуњени, извршна датотека се покреће, постављајући датотеку вввцм.еке у Ц: Виндовс и додајући одговарајући кључ регистра. Једном када рансомваре почне да продире у систем, он шифрира све датотеке којима може приступити, укључујући .еке датотеке, заустављајући системске процесе успут како би осигурао да се његов сопствени процес непрекидно наставља. Имена датотека се мењају у случајне басе64 алфанумеричке низове и њихове екстензије су постављене на .1бтц. Напомена о откупнини текстуалне датотеке покреће се на крају процеса, а додатне информације се чувају у регистру ХКЕИ_ЛОЦАЛ_МАЦХИНЕ који садрже додељени „ИД“ нападнутог корисника, као и подсетници на упутства за опоравак датотеке.
Искачући прозор ЛоцкЦрипт Рансомваре Ноте. МалвареБитес Лаб
Иако је овај рансомваре способан да ради без интернет везе, у случају да је повезан, истраживачи су открили да комуницира са ЦнЦ-ом у Ирану, шаљући му основне 64 алфанумеричке податке који дешифрују додељени ИД, оперативни систем и рансомваре који спречава локацију на диску. Истраживачи су открили да код злонамерног софтвера користи функцију ГетТицкЦоунт за постављање насумичних алфанумеричких имена и комуникација која нису нарочито јаки кодови за дешифровање. То се ради у два дела: први користи КСОР операцију, док други користи КСОР, као и РОЛ и битовну размену. Ове слабе методе чине код малваре-а лако дешифрираним, тако је БитДефендер могао манипулирати њиме како би створио алат за дешифровање закључаних датотека .1бтц.
БитДефендер је истражио више верзија ЛоцкЦрипт рансомваре-а како би осмислио јавно доступан БитДефендер алат који може дешифрирати .1бтц датотеке. Друге верзије злонамерног софтвера такође шифрују датотеке у екстензије .лоцк, .2018 и .мицх које се такође могу дешифровати након контакта са истраживачем безбедности Мицхаел Гиллеспие . Чини се да најновија верзија рансомваре-а шифрује датотеке у екстензију .БИ_Д за коју још увек није осмишљен механизам за дешифровање, али све претходне верзије сада се лако могу дешифровати.
