Bild: Kevin Beaumont
×
lockergoga.png
LockerGoga, ransomware som drabbade Norsk Hydro och två AMERIKANSKA kemiska företag som under den senaste månaden, innehåller en bugg i koden som kan vara möjligt för de drabbade att “vaccinera” sina Datorer och krascha ransomware innan den krypterar alla lokala filer.
Felet upptäcktes av säkerhet forskare vid Registreringen Logik, ligger i en LockerGoga subrutin som kör innan krypteringsprocessen börjar.
Subrutinen är en grundläggande genomsökningen av alla filer på offrets system, så ransomware vet vilka filer för att kryptera och vad man kan hoppa över.
Alert Logic forskare säger att om LockerGoga stöter på ett LNK (genväg) – fil som innehåller en ogiltig sökväg, ransomware s-processen kraschar utan att utföra den efterföljande kryptering.
“Vi har identifierat två villkor för”.lnk’ fil som gör det möjligt att stoppa ransomware i sina låtar,” Alert Logic laget sa. “Den”.lnk’ fil har varit utformad för att innehålla en ogiltig nätverk väg. Den”.lnk’ filen har inget samband RPC slutpunkt.”
Detta trick kan tillåta leverantörer av antivirusprogram för att skapa vad de kallar ett “vaccin” –en app som skapar felaktigt INK-filer på användarnas datorer för att förhindra LockerGoga från att köra.
Men denna bugg endast ger tillfällig lindring. Den LockerGoga ransomware grupp är också skyldig att fått reda på det och patch i en framtida version.
Två nya LockerGoga offer fram
LockerGoga är en av dagens mest farliga ransomware stammar. För de senaste tre månaderna, ransomware har använts som en del av välriktade attacker mot hög profil mål.
Hackare bryter mot stora företag, och när de får tillgång till interna nätverk, de distribuerar LockerGoga att så många arbetsplatser som de kan för maximal skada.
Franska ingenjörsfirma Altran, norska aluminium leverantören Norsk Hydro, och två AMERIKANSKA kemiska företag, Hexion och Momentive, har rapporterat infektioner så långt –med nyheter om de senaste två företag att träffa nya under helgen.
Medan Norsk Hydro sa att det inte skulle betala lösen och istället återställa infekterade datorer från gamla säkerhetskopior, saker och ting har inte varit rosenrött på Momentive.
Företaget sägs ha beställt nya datorer för att ersätta dem krypterad med LockerGoga, enligt ett Moderkort rapporten med hänvisning till en anställd.
Mer ransomware täckning:
Georgien län betalar en jättestor $400,000 att bli av med en ransomware infectionRansomware: En verkställande guide till en av de största hot på webPewDiePie fans hålla på med skräp ransomwareAluminum producent växlar till manuell drift efter ransomware infektion
Polisförbundet drabbats av ransomware attackNorsk Vattenkraft kommer inte att behöva betala lösen efterfrågan och kommer att återställa från backupsNew ransomware kräver betalning över WeChat Betala i Kina CNET
Ransomware: En lathund för yrkesverksamma TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter