Beeld: Kevin Beaumont
×
lockergoga.png
LockerGoga, de ransomware die tegen Norsk Hydro en twee AMERIKAANSE chemische bedrijven in de afgelopen maand, bevat een bug in de code waardoor de slachtoffers te “enten” hun Pc ‘ s en de crash van de ransomware voor het versleuteld alle lokale bestanden.
De bug ontdekt door security-onderzoekers van Alert Logica, is gelegen in een LockerGoga subroutine die wordt uitgevoerd voordat de encryptie-proces begint.
De subroutine is een basis scan van alle bestanden op het systeem van het slachtoffer, zodat de ransomware weet wat bestanden te versleutelen en wat overslaan.
Alert Logica onderzoekers zeggen dat als LockerGoga ontmoetingen een LNK (snelkoppeling) – bestand bevat een ongeldig pad, de ransomware ‘ s proces vastloopt, zonder het uitvoeren van de volgende codering.
“We hebben gekeken naar de twee voorwaarden voor het ‘.lnk-bestand die het mogelijk maken het stoppen van de ransomware in zijn tracks,” de Waarschuwing team gezegd. “Het ‘.lnk-bestand is ontworpen om te bevatten een ongeldige net werk pad. Het ‘.lnk’ bestand heeft geen bijbehorende RPC endpoint.”
Deze truc kan toestaan leveranciers van antivirusprogramma ‘ s te maken van wat zij noemen een “vaccin” –een app die zorgt verkeerd LNK-bestanden op de computers van gebruikers die voorkomen LockerGoga uitgevoerd.
Echter, deze bug biedt slechts tijdelijke verlichting. De LockerGoga ransomware groep is ook gebonden aan gevonden om het patch in een toekomstige versie.
Twee nieuwe LockerGoga slachtoffers ontstaan
LockerGoga is een van de meest gevaarlijke ransomware stammen. De afgelopen drie maanden, de ransomware is geïmplementeerd als onderdeel van zeer gerichte aanvallen tegen high-profile doelen.
Hackers schending van grote bedrijven, en nadat ze de toegang tot de interne netwerken, het implementeren van LockerGoga als vele werkstations als ze kunnen voor maximale schade.
Franse ingenieursbureau Altran, noors aluminium provider Norsk Hydro, en twee AMERIKAANSE chemische bedrijven, Hexion en binnen momentive, hebben gerapporteerde infecties zo ver –met nieuws van de laatste twee bedrijven geraakt opkomende over het weekend.
Terwijl Norsk Hydro zei dat het niet zou het losgeld betalen en in plaats daarvan herstellen van geïnfecteerde computers van oude back-ups, dingen niet rooskleurig in binnen momentive.
Het bedrijf wordt gezegd dat het bestelde nieuwe computers te vervangen die zijn gecodeerd door LockerGoga, volgens een Moederbord rapport citeren van een werknemer.
Meer ransomware dekking:
Georgië county betaalt maar liefst $400,000 om zich te ontdoen van een ransomware infectionRansomware: Een executive gids naar één van de grootste bedreigingen op de webPewDiePie fans blijven maken van ongewenste ransomwareAluminum producent schakelt over naar handmatige handelingen na ransomware infectie
De politie Federatie getroffen door ransomware attackNorsk Hydro niet betalen van losgeld van de vraag en het herstellen van backupsNew ransomware eist betaling over WeChat Betalen in China CNET
Ransomware: Een cheat sheet voor professionals TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters