Billede: Kevin Beaumont
×
lockergoga.png
LockerGoga, ransomware, som ramte Norsk Hydro og to AMERIKANSKE, kemiske virksomheder i løbet af den seneste måned, indeholder en fejl i sin kode, der kan sikre, at ofre for at “vaccinere” deres Pc ‘ er og crash ransomware, før det krypterer alle lokale filer.
De fejl, der blev opdaget af sikkerhedseksperter på Alert Logik, er beliggende i en LockerGoga subrutine, der skal udføres, før krypteringsprocessen begynder.
Subrutinen er en grundlæggende scanning af alle filer på offerets system, så ransomware ved, hvilke filer til at kryptere og hvad med at springe.
Advarsel Logik forskere siger, at hvis LockerGoga møder en LNK (genvej) fil, der indeholder en ugyldig sti, ransomware proces går ned, uden at udføre den efterfølgende kryptering.
“Vi har identificeret to betingelser for ‘.lnk’ fil, som ville gøre det muligt at standse ransomware i dens spor,” Alert Logik holdet. “Det ‘.lnk’ filen er blevet udformet til at indeholde en ugyldig netværk vej. Det ‘.lnk’ fil ikke er forbundet med RPC-slutpunkt.”
Dette trick kan give antivirus-leverandører til at skabe, hvad de kalder en “vaccine” – en app, der skaber misdannet LNK-filer på brugernes computere for at forhindre LockerGoga fra at køre.
Dog, denne fejl kun giver midlertidig lindring. Den LockerGoga ransomware gruppe er også forpligtet til at fandt ud af det, og lappe det i en fremtidig version.
To nye LockerGoga ofre dukke op
LockerGoga er en af nutidens mest farlig ransomware stammer. For de seneste tre måneder, den ransomware har været indsat som en del af yderst målrettede angreb mod højtprofilerede mål.
Hackere brud store virksomheder, og efter de få adgang til et internt netværk, de installere LockerGoga at så mange arbejdspladser som de kan for maksimal skade.
Franske ingeniørfirma Altran, norsk aluminium udbyder Norsk Hydro, og to AMERIKANSKE, kemiske virksomheder, Hexion og Momentive, har rapporteret om infektioner, så langt-med nyheder i de sidste to virksomheder blive ramt nye i løbet af weekenden.
Mens Norsk Hydro sagde, at det ikke ville betale den løsesum, og i stedet gendanne de inficerede computere fra gamle sikkerhedskopier, ting ikke har været rosenrødt på Momentive.
Virksomheden siges at have bestilt nye computere til at erstatte dem, der er krypteret ved LockerGoga, ifølge et Bundkort rapporten citerer en medarbejder.
Mere ransomware dækning:
Georgien county betaler en kæmpestor $400,000 til at slippe af med en ransomware infectionRansomware: executive-guide til en af de største trudsler om webPewDiePie fans med at lave junk ransomwareAluminum producent skifter til manuel drift efter ransomware infektion
Politiet Forbund ramt af ransomware attackNorsk Hydro vil ikke betale løsesum efterspørgsel og vil gendanne fra backupsNew ransomware kræver betaling over WeChat Betaler i Kina CNET
Ransomware: Et cheat sheet for fagfolk, TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre