A Trend Micro descobriu outra família de ransomware e que está ligado aos ataques de julho e agosto, altura em que o malware estava a atuar como ransomware Locky, e a usar uma nota aleatória. Este ransomware está escrito em python, sendo depois empacotado com o Pyinstaller, que é usado normalmente para colocar os programas python em executáveis stand-alone.
Ora, este PyLocky tem a particularidade de oferecer uma capabilidade de anti-machine learning, além de lidar com o Inno Setup Installer, que é um criador open-source de instalador dirigido a scripts. Estes aspetos fazem com que o Pylocky seja capaz de evadir a análise estática.
Este ransomware era capaz de se expandir através de emails de spam, maioritariamente em países europeus.
Nestes emails, ia um link que redirecionava o user para um URL malicioso contendo componentes do PyLocky.
Através da análise de um dos emails, esse URL dava para um ficheiro .zip que continha um executável. Assim que o mesmo era corrido, fazia o drop de componentes de malware, que continha livrarias de C++ e Python, além de bibliotecas associadas a DLL's do Python 2.7; além destes ficheiros, tinham também em executáveis o lockyfud.exe, por exemplo, instalado via PyInstaller, no diretório C:\Users\{user}\AppData\Local\Temp\is-{random}.tmp.
Depois de infetar o sistema, o PyLocky tenta encriptar ficheiros de imagem, vídeo, documentos, de som, programas, entre outros.
A seguinte imagem representa o .zip com os ficheiros do ransomware:
Além de tentar encriptar várias extensões de ficheiros, tenta abusar da funcionalidade WMI, que é uma instrumentação da Gestão do Windows, de forma a verificar as propriedades do sistema afetado.
Como supracitado, o ransomware tenta escapar à análise estática. E aqui, o mais interessante é que o PyLocky inclui um código malicioso que "dorme" por exatamente 999,999 segundos, o que, traduzido por dias, dá praticamente 12 dias. Isto, caso a memória física do sistema seja menor que 4gb.
Em termos de encriptação, é usada a livraria PyCrypto, mas especificamente a cifra 3DES (Triple DES). Portanto, enquanto segue na enumeração das várias listas de extensões de ficheiros, aplica a cifra para os encriptar. Concluído este processo, gera uma nota em vários idiomas para informar acerca do sucedido.
Além disso, envia informação sobre o sistema infetado para um servidor de comando e controlo (C&C).
Podes ver mais detalhes aqui: https://blog.trendmicro.com/trendlabs-security-intelligence/a-closer-look-at-the-locky-poser-pylocky-ransomware/
