El Ransomware Locky cambia a la mitología egipcia con la extensión Osiris


Una vez más, los desarrolladores del Ransomware Locky han decidido cambiar la extensión de los archivos cifrados. Esta vez, los desarrolladores ransomware se alejaron de los dioses nórdicos y ahora se centran en la mitología egipcia con la extensión .osiris para los archivos cifrados.

En la mañana, R0bert R0senb0rg en Twitter mencionó que Locky ahora está anexando la extensión .osiris a los archivos cifrados por el ransomware. Más tarde, operations6 tuiteó que esta campaña está siendo distribuida a través de archivos adjuntos de correo electrónico de Excel que contienen macros para descargar e instalar Locky.


Variante del Ransomware Locky encriptando archivos con la extensión . OSIRIS

Desafortunadamente, aún no hay manera de descifrar los archivos cifrados por Locky de forma gratuita.

Las variantes de Locky OSIRIS se distribuye a través de facturas falsas de Excel

Gracias a Jiri Kropáč , he sido capaz de recibir algunos mensajes de correo electrónico SPAM que están siendo utilizados para difundir el ransomware Locky OSIRIS. Estos correos electrónicos se hacen pasar por facturas que contienen un encabezado con nombre Factura Inv [random_numbers] conteniendo un archivo adjunto postal con nombre Invoice_Inv [random_numbers] .xls .


Cuando se abra la hoja de cálculo de Excel, un usuario recibirá una hoja en blanco que le pedirá al usuario que active las macros. Una característica interesante de este libro es que el nombre de la hoja es Лист1, que parece ser de Ucrania. Esto puede indicar el origen de los desarrolladores.


Cuando un usuario activa las macros, se disparará una macro VBA que descargará un archivo DLL y lo ejecutará utilizando Rundll32.exe. Esto puede ser una parte de la macro VBA extraída a continuación.


Locky se instala Renonmando archivos DLL

Cuando la macro VBA se ejecuta descargará un instalador DLL en la carpeta% Temp%. Estos archivos DLL no tienen normalmente la extensión .dll, pero se renombra con una extensión .spe.

Este archivo DLL luego se ejecutará utilizando el programa legitimo de Windows llamado Rundll32.exe para instalar Locky en el equipo.


La DLL de Locky que probé se estaba ejecutando con el siguiente comando a continuación. Tenga en cuenta que el nombre de la DLL y el que se exporta no serán los mismos en todos los casos que se utiliza para instalar Locky.

"C:\Windows\System32\rundll32.exe" %Temp%\shtefans1.spe,plan
Una vez instalado Locky, escaneará el equipo para determinados qué tipos de archivos cifrará. Al cifrar un archivo, será codificado el nombre y añadirá el extensión a .osiris. Por ejemplo, un archivo llamado test.jpg podría ser renombrado a 11111111--1111--1111 - FC8BB0BA - 5FE9D9C2B69A.osiris. El formato de este esquema utilizado será [first_8_chars_of_id] - [next_4_chars_of_id] - [next_4_chars_of_id] - [8_hexadecimal_chars] - [12_hexadecimal_chars] .osiris.

Cuando Locky haya terminado de cifrar los archivos, mostrará notas de rescate que proporcionan información sobre cómo pagar el rescate. Los nombres de estas notas de rescate han cambiado para la variante de LOcky y ahora presentan un nombre DesktopOSIRIS.bmp, DesktopOSIRIS.htm, Osiris [4_numbers] .htm, y Osiris [4_numbers] .htm.


Una nota interesante sobre la versión actual que se está distribuyendo es que hay un pequeño error en el código que no nombra dos de las notas de rescate correctamente. Normalmente, es % UserpProfile% \ DesktopOSIRIS.bmp y% UserProfile% \ DesktopOSIRIS.htm que se guardan en el escritorio de la víctima como OSIRIS.bmp y OSIRIS.htm. Parece que cuando los desarrolladores cambiaron el nombre del archivo, se olvidaron de agregar una barra invertida tras Desktop, por lo que los archivos se almacenan en % UserProfile% con el nombre pretendido en el escritorio.
No es posible descifrar la Variante OSIRIS de Locky Ransomware

Desafortunadamente, todavía no es posible descifrar los archivos cifrados con .OSIRIS por el Locky Ransomware de forma gratuita.

La única manera de recuperar los archivos cifrados es a través de una copia de seguridad, o si tiene mucha suerte, a través de las copias de volumen shadow. Aunque Locky intente quitar las copias del volumen shadow, en casos raros las infecciones del ransomware no lo hacen por alguna razón. Debido a esto, si usted no tiene una copia de seguridad viable, siempre debe sugerir a la gente afectada tratar como un último recurso restaurar los archivos cifrados desde instantáneas del volumen.