Центр экстренного реагирования AhnLab Security Emergency response Center (ASEC) подтвердил распространение в Корее программы LokiLocker ransomware. Эта программа практически идентична программе BlackBit ransomware.
LokiLocker Ransomware
Сходство между LokiLocker и BlackBit
- Маскируется под svchost.exe
- Используется тот же инструмент обфускации (.NET Reactor)
- Регистрируется в планировщике задач и реестре (сохранение вредоносного ПО)
- Примечание о выкупе и новое изображение значка файла после шифрования
Перед началом шифрования программа генерирует записку о выкупе. После этого она выполняет такие действия, как удаление теней томов для предотвращения восстановления, а также поведение, направленное на препятствование обнаружению и утечку информации.
После успешного заражения системы LokiLocker создает в каждой зараженной папке записку с именем Restore-My-Files.txt, содержащую сообщение, приведенное ниже. Примечание о выкупе и значок зараженных файлов, которые были подтверждены, также оказались очень похожими на таковые у BlackBit ransomware.
Indicators of Compromise
MD5
- d03823a205919b6927f3fa3164be5ac5
