Locky: Описание и вариации

[SNS-amigo]

Шифровальщик-вымогатель Locky: Технология работы

Исследователи Palo Alto Networks обнаружили и описали новый вид вымогателя-шифровальщика Locky, атакующего компьютеры под управлением ОС Windows. Он шифрует данные с помощью AES-шифрования, а затем требует 5 биткоинов за расшифровку. Хоть название вымогателя Locky звучит как детское имя, ничего детского в нем нет. Он нацелен на большое количество файловых расширений и, что более важно, шифрует данные также на удаленных сетевых ресурсах, как мы видели недавно у DMA Locker-а.

Теперь можно с уверенностью сказать, что эта возможность станет нормой среди функционала вымогателей. Как и CryptoWall, Locky также полностью меняет имена у зашифрованных файлов, чтобы еще больше затруднить пострадавшим возможность восстановления нужных данных.
Locky в настоящее время распространяется через электронную почту, используя вредоносное вложение — текстовый Документ Microsoft Word с вредоносными макросами ATTN: Invoice J-98223146 (инвойс, счёт-фактура) и письменное сообщение "Please see the attached invoice..." /перевод/ "Посмотрите прикрепленный инвойс и сделайте оплату согласно условиям, перечисленным в нижней части счета". Пример одного из таких писем можно увидеть ниже.



Документ Microsoft Word invoice_J-17105013.doc отображает нечитаемый текст и требует включить макросы, чтобы прочитать текст. После того, как пользователь позволит включить макросы в документе, запускается вредоносный макрос, загружающий вымогательское ПО с удалённого сервера. Аналогичный способ использовал банковский троян Dridex. В настоящее время известно более 10 различных вариантов Locky Downloader. Каждый из них использует иной метод запутывания и различные типы файлов: .doc, .xls, .docm вместе с .js.

Загружаемый макросом файл помещается в папку %Temp% и запускается на выполнение. Это и есть вымогатель Locky, который тут же начинает шифровать файлы на компьютере.

Locky шифрует данные и полностью меняет имена файлов!!!

При запуске Locky назначает уникальный 16-шестнадцатеричное число ПК жертве, типа F67091F1D24A922B. Locky сканирует все локальные диски и удаленные (неотображаемые) сетевые папки в поиске искомых файлов. При шифровании файлов он использует алгоритм AES-шифрования и зашифровывает только те файлы, которые соответствуют заданным расширениям.

Рис. Схема работы Locky

Итак, запомним схему работы:
1. Жертва получает письмо, содержащее подозрительное приложение (Загрузчик).
2. Жертва открывает вложение, макрос осуществляет нагрузку (Locky) с удаленного сервера.
3. Locky контактирует с C2-серверами для обмена ключами шифрования.
4. Locky шифрует заданные типы файлов и создает записку с требованием выкупа.

Список файловых расширений, подвергающихся шифрованию Locky:

.mid, .wma, .flv, .mkv, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .qcow2, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .tar.bz2, .tbk, .bak, .tar, .tgz, .rar, .zip, .djv, .djvu, .svg, .bmp, .png, .gif, .raw, .cgm, .jpeg, .jpg, .tif, .tiff, .NEF, .psd, .cmd, .bat, .class, .jar, .java, .asp, .brd, .sch, .dch, .dip, .vbs, .asm, .pas, .cpp, .php, .ldf, .mdf, .ibd, .MYI, .MYD, .frm, .odb, .dbf, .mdb, .sql, .SQLITEDB, .SQLITE3, .asc, .lay6, .lay, .ms11 (Security copy), .sldm, .sldx, .ppsm, .ppsx, .ppam, .docb, .mml, .sxm, .otg, .odg, .uop, .potx, .potm, .pptx, .pptm, .std, .sxd, .pot, .pps, .sti, .sxi, .otp, .odp, .wks, .xltx, .xltm, .xlsx, .xlsm, .xlsb, .slk, .xlw, .xlt, .xlm, .xlc, .dif, .stc, .sxc, .ots, .ods, .hwp, .dotm, .dotx, .docm, .docx, .DOT, .max, .xml, .txt, .CSV, .uot, .RTF, .pdf, .XLS, .PPT, .stw, .sxw, .ott, .odt, .DOC, .pem, .csr, .crt, .key, wallet.dat

Кроме того, Locky пропускает файлы, где полный путь и имя файла содержат одну из следующих строк:

tmp, winnt, Application Data, AppData, Program Files (x86), Program Files, temp, thumbs.db, $Recycle.Bin, System Volume Information, Boot, Windows

Когда Locky шифрует файл, он переименовывает его по формату [unique_id][identifier].locky. Например, файл test.jpg после шифрования примет вид F67091F1D24A922B1A7FC27E19A9D9BC.locky. Уникальный идентификатор и другая информация будут вписаны в конец зашифрованного файла.

Важно подчеркнуть, что Locky будет шифровать файлы на сетевых ресурсах, даже если они не отображаются на локальном диске. Как и предсказывалось, эта методика получает всё большее распространение и потому уже сейчас системные администраторы должны убедиться в том, что все сетевые ресурсы работают под ограниченным набором прав доступа к файлам, находящимся в их окружении.

Во процессе шифрования Locky также удаляет все теневые копии системы и файлов (Shadow Volume Copies), которые могли бы помочь восстановить данные Recovery-программами, с помощью команды зачистки:

vssadmin.exe Delete Shadows /All /Quiet

На рабочем столе и в каждой папке, где были зашифрованы файлы, Locky создаёт текстовую записку с требованием выкупа под названием _Locky_recover_instructions.txt . Она сообщает о том, что произошло с файлами жертвы.



Locky также меняет обои на рабочем столе на bmp-файл %UserpProfile%\Desktop\_Locky_recover_instructions.bmp, который содержит те же инструкции, что и текстовая записка.

И, что не менее важно, Locky хранит различную информацию в реестре в следующих ключах:
HKCU\Software\Locky\id — Уникальный идентификатор, присвоенный жертве.
HKCU\Software\Locky\pubkey — Открытый RSA-ключ.
HKCU\Software\Locky\paytext — Текст из записки с требованием выкупа
HKCU\Software\Locky\completed — Процесс шифрования файлов завершён.

Пара слов о странице Locky Decrypter
Внутри записки с требованием выкупа есть веб-ссылка на сайт Tor — страница Locky Decrypter, которая находится по адресу 6dtxgqam4crv6rr6.onion и содержит сумму в биткоинах, нужную для оплаты, информацию, как приобрести Bitcoins, и Bitcoin-адрес, на который необходимо отправить платеж. Как только жертва вышлет выкуп на Bitcoin-адрес, эта веб-страница обеспечит отгрузку декриптера, который можно использовать для расшифровки файлов. См. скриншот ниже.



Связанные с Locky файлы:

%UserpProfile%\Desktop\_Locky_recover_instructions.bmp
%UserpProfile%\Desktop\_Locky_recover_instructions.txt
%Temp%\[random].exe

Связанные с Locky записи реестра:

HKCU\Software\Locky
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed    1
HKCU\Control Panel\Desktop\Wallpaper    "%UserProfile%\Desktop\_Locky_recover_instructions.bmp"

Спойлер: Источник для перевода

The Locky Ransomware Encrypts Local Files and Unmapped Network Shares

Перевод выполнен SNS-amigo специально для данного раздела и темы.

Поздние добавления:
1) ИБ-эксперты предупреждают о скором появлении более сложных и опасных модификаций вымогателя Locky
2) Страница Check Point, на которой суммируются изменения

 

[SNS-amigo]

Способы обмана вымогательского ПО Locky

Исследователь Malware Сильвен Сармежанн французской ИБ-компании CERT-Lexsi описал несколько способов предотвращения шифрования файлов популярным ныне среди вымогателей вредоносным ПО Locky.

Предлагаю желающим самим ознакомиться с обширными описанием предложенных методов.

Спойлер

Abusing bugs in the Locky ransomware to create a vaccine - Lexsi Security Hub
This bag of tricks may help stop a ransomware infection

Короче говоря, вымогательское ПО Locky обладает рядом уязвимостей, которые позволяют обмануть его и предотвратить шифрование.
1) Например, вредонос проверяет язык системы и не будет работать на компьютерах, где в интерфейсе используется русский язык.

2) Оказавшись на системе, Locky пытается создать ключ реестра HKCU\Software\Locky , а если создать ключ заранее, то вредонос прекратит работу.

3) Еще один метод предполагает еще одну манипуляцию со значением реестра, в которой задействуется специальный "идентификатор зараженной машины", найдя который Locky не шифрует файлы, а только переименовывает их.

Другие методы достаточно сложны для простых пользователей, т.к. подразумевают манипуляции с RSA-ключами.
Изучайте источник в спойлере выше и будет вам счастье.

 

[SNS-amigo]

Zepto Ransomware — приемник Locky

Криптовымогатель на основе Locky добавляет расширение .zepto к зашифрованным файлам.

Шаблоны названия записки о выкупе: _ ([0-9] {1,4}) _ HELP_instructions, где диапазон [0-9] означает цифры от 0 до 9, а {1,4} - количество цифр от одной до четырех. Примеры, _37_HELP_INSTRUCTIONS.txt и _6789_HELP_INSTRUCTIONS.txt.
Типы записок: TXT, BMP, HTML.

Ранее Locky переименовал файлы, а затем добавлял расширение .Locky, чтобы имя файла было похоже на A65091F1B14A911F0DD0E81ED3029F08.locky.

Теперь с использованием расширения .zepto зашифрованные и переименованные файлы будут называться примерно так: 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto
Здесь 024BCD3341D1ACD3 - это ID жертвы.



Наверно надо рассказать о таком шестиэтажном названии файла и о его составляющих.

Итак, файл 024BCD33-41D1-ACD3-3EEA-84083E322DFA.zepto

024BCD33 --- первые восемь 16-ричных символов от ID 024BCD3341D1ACD3
41D1 --- другие четыре 16-ричных символов от ID 024BCD3341D1ACD3
ACD3 --- другие четыре 16-ричных символов от ID 024BCD3341D1ACD3
3EEA --- четыре 16-ричных символов, входящих в переименованное название файла
84083E322DFA --- двенадцать 16-ричных символов, входящих в переименованное название
.zepto --- расширение вымогателя

Всё вместе выглядит так:
[первые_8_16-ричных_символов_от_ID]-[другие_4_16-ричных_символов_от_ID]-[другие_4_16-ричных_символов_от_ID]-[4_16-ричных_символов]-[12_16-ричных_символов].zepto

На английском:
[first_8_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[next_4_hexadecimal_chars_of_id]-[4_hexadecimal_chars]-[12_hexadecimal_chars].zepto

Короче:
[first_8_hex_chars_of_id]-[next_4_hex_chars_of_id]-[next_4_hex_chars_of_id]-[4_hex_chars]-[12_hex_chars].zepto

Источник:
New Locky version adds the .Zepto Extension to Encrypted Files
Шифровальщики-вымогатели: Zepto Ransomware

 

[SNS-amigo]

Новая кампания по распространению Locky

После недолгого затишья спам-кампании по распространению Locky Ransomware вновь возобновились. F-Secure зафиксировали несколько довольно агрессивных спам-атак.

Обычно в ходе подобных кампаний распространяется от 4 тыс. до 10 тыс. спам-сообщений в день. В описываемых экспертами F-Secure случаях злоумышленники рассылали от 30 тыс. до свыше 120 тыс. спам-писем в час. Т.е. мощность спам-кампаний возросла в 200 с лишним раз.

В ходе одной из кампаний спам-сообщения включали ZIP-архив (xls_convert_recipientname_randomnumber.zip), якобы содержащий нужные жертве счета. На самом деле там находился Jscript-файл, при открытии которого загружался и запускался вымогатель Locky.

Блог F-Secure:
A New High For Locky

 

[SNS-amigo]

Zepto-Locky стал поставляться при помощи WSF-файлов

За прошлую неделю было засвидетельствовано распространение приемника Locky криптовымогателя Zepto с новыми email-вложениями — заархивированными файлами WSF (Windows Script File).

Письма имитируют банковскую отчетность, счета-фактуры или сообщения о доставке.

WSF-файл может содержать как Jscript, так и VBScript код. Напоминаю, что после того, как вымогатель был установлен, он станет шифровать все файлы и переименовывать их так, что оригинальное название будет неузнаваемым и содержать расширение .zepto.

Пример зашифрованных файлов уже приводился выше.

 

[SNS-amigo]

Locky / Zepto: Дополнение к портрету

Стало известно, что за последние несколько дней разработчики Locky / Zepto отказались от использования исполняемого файла для установки Locky / Zepto Ransomware и перешли к использованию DLL. Вероятно, это делается для дальнейшего запутывания и обхода блокаторов исполняемых файлов.

Locky при этом продолжает распространяться через JS-вложения, которые при выполнении загружают зашифрованную версию исполняемого файла. После того, как payload будет дешифрован в DLL-файл, он будет запущен с помощью следующей команды:

"C:\Windows\System32\rundll32.exe" C:\Users\User\AppData\Local\Temp\MFJY1A~1.DLL,qwerty 323

Вы можете увидеть выполнение DLL на изображении ниже.


Зашифрованные файлы по-прежнему получают расширение .zepto.

Список целевых файловых расширений немного изменился:
.aes, .apk, .arc, .asc, .asf, .asm, .asp, .asset, .avi, .bak, .bat, .bik, .bmp, .brd, .bsa, .cgm, .class, .cmd, .cpp, .crt, .csr, .csv, .d3dbsp, .das, .dbf, .dch, .dif, .dip, .djv, .djvu, .doc, .docb, .docm, .docx, .dot, .dotm, .dotx, .fla, .flv, .forge, .frm, .gif, .gpg, .hwp, .ibd, .iwi, .jar, .java, .jpeg, .jpg, .key, .lay, .lay6, .lbf, .ldf, .litemod, .litesql, .ltx, .max, .mdb, .mdf, .mid, .mkv, .mml, .mov, .mpeg, .mpg, .ms11, .myd, .myi, .nef, .odb, .odg, .odp, .ods, .odt, .onetoc2, .otg, .otp, .ots, .ott, .paq, .pas, .pdf, .pem, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, .ppsx, .ppt, .pptm, .pptx, .psd, .pst, .qcow2, .rar, .raw, .rtf, .sav, .sch, .sldm, .sldx, .slk, .sql, .sqlite3, .sqlitedb, .stc, .std, .sti, .stw, .svg, .swf, .sxc, .sxd, .sxi, .sxm, .sxw, .tar, .tar.bz2, .tbk, .tgz, .tif, .tiff, .txt, .uop, .uot, .upk, .vbs, .vdi, .vmdk, .vmx, .vob, .wallet, .wav, .wks, .wma, .wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlt, .xltm, .xltx, .xlw, .xml, .zip (155 расширений).

Спойлер: read to

Locky / Zepto Ransomware now being installed from a DLL

 

[SNS-amigo]

Locky стал использовать Embedded RSA-ключ вместо связи с C&C-сервером

Есть плохая новость и хорошая. Начнем с плохой...

Новая версия Locky-Zepto примерно с 5-го сентября 2016 года имеет встроенный RSA-ключ. Он позволяет шифровать данные жертвы не связываясь со своим командным сервером. Т.к. многие системные администраторы блокируют выход на командные серверы вымогателя в своих межсетевых экранах, то теперь, с помощью встроенного RSA-ключа, Locky-Zepto может зашифровать компьютер не связываясь с C&C-сервером.


Хорошая новость заключается в том, что эта версия имеет проблемы с дистрибутивом, где некоторые вложения названы неправильно. Например, текущая кампания использует ZIP-вложения, содержащие JS-файлы. При выполнении этих файлов появляется ошибка, как на картинке ниже.

Эта ошибка происходит потому, что вложены должны были быть HTA-, а не JS-файлы. После того, как файл будет переименован в HTA, всё работает правильно.

Эта версия продолжает добавлять расширение .ZEPTO к зашифрованным файлам и создавать записки о выкупе, которые называются:
%Desktop%\[number]_HELP_instructions.html,
%Desktop%\_HELP_instructions.html,
%Desktop%\_HELP_instructions.bmp.

Список целевых расширений аналогичен предыдущему (см. мой пост от 27 августа).

Спойлер: Источник. Перевод SNS-amigo

Locky now using Embedded RSA Key instead of contacting Command & Control Servers

 

[SNS-amigo]

Новая вариация Locky

Locky Ransomware обзавелся новой вариацией, которая отличается от предыдущих новым расширением .odin, новыми записками о выкупе и новой вредоносной спам-кампанией.

Название зашифрованного файла меняется особым образом. Например, после шифрования файл test.jpg станет 5FBZ55IG-S575-7GEF-2C7B-5B22862C2225.odin

Список целевых расширений файлов:


Источник информации: http://id-ransomware.blogspot.ru/2016/09/odin-locky-ransomware.html

 

[SNS-amigo]

Статистика инфекции по Odin-Locky



Подробнее, в том числе по IP, см. тут: sudosev.com

 

[mike 1]

Шифровальщик Locky использует новое расширение SHIT (дерьмо)​

Обнаружен новый вариант Locky вируса-шифровальщика, который в процессе шифрования к зашифрованным файлам добавляет расширение SHIT. Как и предыдущие варианты Locky, эта модификация шифровальщика устанавливается с помощью dll-библиотеки, которая выполняется с помощью Rundll32.exe. После запуска, он начнет шифровать файлы и добавлять к именам зашифрованных файлов расширение SHIT.

Рис. 1 Выполнение Locky через Rundll32.exe​

Этот вариант в настоящее время распространяется через спам-письма с темой получения ###-###. По данным MalwareHunterTeam, вложения в сообщениях из электронной почты будут содержать вложения с расширениями, HTA, JS или WSF файлы, которые при выполнении загрузят зашифрованный DLL-установщик Locky, а потом расшифруют его на компьютере жертвы и затем выполнят его, как показано в изображении выше.

После того, как Locky будет запущен, он начнет искать более 380 расширений пригодных для шифрования. Файлы пригодные для шифрования шифруются с помощью AES шифрования.

Рис. 2 Зашифрованные файлы
​

Locky шифрует следующие типы файлов:

.yuv,.ycbcra,.xis,.wpd,.tex,.sxg,.stx,.srw,.srf,.sqlitedb,.sqlite3,.sqlite,.sdf,.sda,.s3db,.rwz,.rwl,.rdb,.rat,.raf,.qby,.qbx,.qbw,.qbr,.qba,.psafe3,.plc,.plus_muhd,.pdd,.oth,.orf,.odm,.odf,.nyf,.nxl,.nwb,.nrw,.nop,.nef,.ndd,.myd,.mrw,.moneywell,.mny,.mmw,.mfw,.mef,.mdc,.lua,.kpdx,.kdc,.kdbx,.jpe,.incpas,.iiq,.ibz,.ibank,.hbk,.gry,.grey,.gray,.fhd,.ffd,.exf,.erf,.erbsql,.eml,.dxg,.drf,.dng,.dgc,.des,.der,.ddrw,.ddoc,.dcs,.db_journal,.csl,.csh,.crw,.craw,.cib,.cdrw,.cdr6,.cdr5,.cdr4,.cdr3,.bpw,.bgt,.bdb,.bay,.bank,.backupdb,.backup,.back,.awg,.apj,.ait,.agdl,.ads,.adb,.acr,.ach,.accdt,.accdr,.accde,.vmxf,.vmsd,.vhdx,.vhd,.vbox,.stm,.rvt,.qcow,.qed,.pif,.pdb,.pab,.ost,.ogg,.nvram,.ndf,.m2ts,.log,.hpp,.hdd,.groups,.flvv,.edb,.dit,.dat,.cmt,.bin,.aiff,.xlk,.wad,.tlg,.say,.sas7bdat,.qbm,.qbb,.ptx,.pfx,.pef,.pat,.oil,.odc,.nsh,.nsg,.nsf,.nsd,.mos,.indd,.iif,.fpx,.fff,.fdb,.dtd,.design,.ddd,.dcr,.dac,.cdx,.cdf,.blend,.bkp,.adp,.act,.xlr,.xlam,.xla,.wps,.tga,.pspimage,.pct,.pcd,.fxg,.flac,.eps,.dxb,.drw,.dot,.cpi,.cls,.cdr,.arw,.aac,.thm,.srt,.save,.safe,.pwm,.pages,.obj,.mlb,.mbx,.lit,.laccdb,.kwm,.idx,.html,.flf,.dxf,.dwg,.dds,.csv,.css,.config,.cfg,.cer,.asx,.aspx,.aoi,.accdb,.7zip,.xls,.wab,.rtf,.prf,.ppt,.oab,.msg,.mapimail,.jnt,.doc,.dbx,.contact,.mid,.wma,.flv,.mkv,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.qcow2,.vdi,.vmdk,.vmx,.wallet,.upk,.sav,.ltx,.litesql,.litemod,.lbf,.iwi,.forge,.das,.d3dbsp,.bsa,.bik,.asset,.apk,.gpg,.aes,.ARC,.PAQ,.tar.bz2,.tbk,.bak,.tar,.tgz,.rar,.zip,.djv,.djvu,.svg,.bmp,.png,.gif,.raw,.cgm,.jpeg,.jpg,.tif,.tiff,.NEF,.psd,.cmd,.bat,.class,.jar,.java,.asp,.brd,.sch,.dch,.dip,.vbs,.asm,.pas,.cpp,.php,.ldf,.mdf,.ibd,.MYI,.MYD,.frm,.odb,.dbf,.mdb,.sql,.SQLITEDB,.SQLITE3,.pst,.onetoc2,.asc,.lay6,.lay,.ms11 (Security copy),.sldm,.sldx,.ppsm,.ppsx,.ppam,.docb,.mml,.sxm,.otg,.odg,.uop,.potx,.potm,.pptx,.pptm,.std,.sxd,.pot,.pps,.sti,.sxi,.otp,.odp,.wks,.xltx,.xltm,.xlsx,.xlsm,.xlsb,.slk,.xlw,.xlt,.xlm,.xlc,.dif,.stc,.sxc,.ots,.ods,.hwp,.dotm,.dotx,.docm,.docx,.DOT,.max,.xml,.txt,.CSV,.uot,.RTF,.pdf,.XLS,.PPT,.stw,.sxw,.ott,.odt,.DOC,.pem,.csr,.crt,.key

Когда Locky закончил шифрование компьютера, он отобразит требования о выкупе с инструкциями по оплате. В этой модификации записки с требованием выкупа имеют новые имена и называются _WHAT_is.html, [2_значный_номер]_WHAT_is.html и _WHAT_is.bmp.

Рис. 3 Файл с инструкциями по оплате выкупа​

К сожалению, как и предыдущие версии, этот вариант не может быть расшифрован бесплатно.

Спойлер: Источник: Перевод от mike 1

Locky Ransomware's new .SHIT Extension shows that you can't Polish a Turd

 

[mike 1]

Locky переключается на THOR расширение будучи плохим вредоносным ПО

​

Новые варианты Локи появляются быстрыми темпами в последнее время. Вчера мы имели новый вариант, который добавлял расширение SHIT к зашифрованным файлам, а сегодня они перешли к использованию ТHОR расширения.

Рис. 1 Зашифрованные файлы в папке
​

Вариант Locky с THOR расширением распространяется через спам-рассылки​

Этот новый вариант Locky в настоящее время распространяется через различные спам-рассылки с использованием VBS, JS и других типов файлов. В одной рассылке, которую я видел была тема с прогнозом бюджета, содержащую ZIP архив с именем budget_xls_[случайные_символы].zip.

Рис. 2 Пример письма из спам-рассылки Locky​

Этот zip архив содержит VBS скрипт с именем budget A32aD85 xls.vbs, как показано ниже.

Рис. 3 Загрузчик Locky


Locky продолжает использовать DLL-установщик

​

Как и предыдущие варианты Locky, эта модификация шифровальщика устанавливается с помощью dll-библиотеки, которая выполняется с помощью Rundll32.exe. Потом Locky расшифровывает его на компьютере жертвы и выполняет его, как показано на изображении ниже:

​

Рис. 4 Выполнение dll-библиотеки с помощью Rundll32.exe
​

DLL библиотека в настоящее время выполняется со следующими параметрами:

C:\Windows\SysWOW64\rundll32.exe %Temp%\MWGUBR~1.dll,EnhancedStoragePasswordConfig 147

После того, как Locky будет запущен, он начнет искать пригодные для шифрования файлы. Зашифрованные файлы будут получать расширение THOR. Например, файл с именем accounting.xlsx может быть переименован в 024BCD33-41D1-ACD3-3EEA-84083E322DFA.thor. Формат схемы переименования следующий: [Первые 8 шестнадцатеричных символа из id]-[Следующие 4 шестнадцатеричных символа из id]-[Следующие 4 шестнадцатеричных символа из id]-[Следующие 4 шестнадцатеричных символа]-[12 шестнадцатеричных символов].thor.

Расшифровать THOR вариант Locky не представляется возможным
​

К сожалению, до сих пор нет никакого способа расшифровки Locky вымогателя независимо от расширения.

В настоящее время единственным способом восстановления зашифрованных файлов после Locky возможен через резервную копию, или если вам невероятно повезло, то через теневые копии Windows. Хотя Locky и пытается удалить теневые копии Windows, в ряде случаев у него это сделать не получается по какой-либо причине. Благодаря этому можно попробовать в качестве последнего варианта восстановить зашифрованные файлы из теневых копий Windows.

Спойлер: Источник: Перевод от mike 1

Locky Ransomware switches to THOR Extension after being a Bad Malware