Som vi for nylig rapporteret, Norsk Hydro fabrikken i Norge blev for nylig angrebet af den såkaldte LockerGoga ransomware. LockerGoga ransomware krypterer offerets data og forlanger penge i form af en løsesum betaling for at få det restaureret.
Forskere Oplev Bug i LockerGoga Ransomware
Krypterede filer er tilføjet den .locked udvidelse som en sekundær, uden nogen ændringer i forhold til det oprindelige navn på en krypteret fil. Nu, det ser ud til at den ransomware indeholder en fejl i sin kode der kan gøre det muligt for ofre for “vaccinere” deres computere, crashe ransomware før det krypterer alle lokale filer.
Fejlen blev opdaget af Alert Logic forskere. Det synes at være placeret i en subrutine af ransomware som udfører inden indledningen af krypteringsprocessen. Den subrutine kan beskrives som en simpel scanning af alle filer på det berørte system. Med dens hjælp, den ransomware ved, hvilke filer til kryptere. Dette er, hvad forskerne sagde i deres rapport:
Når ransomware bliver bosat på værten offer, den udfører en indledende rekognoscering scanning for at samle fil lister, før den udfører sin kryptering rutine. En type fil det kan komme på tværs er ’.lnk’ filtypenavnet-en genvej bruges i Windows til at linke filer. Når den støder på en ’.lnk’ fil det vil udnytte den indbyggede Shell32 / linkinfo DLL'er at løse ’.lnk’ sti. Men, hvis dette ’.lnk’ sti har en af en række fejl i det, så vil det hæve en undtagelse-en undtagelse, som malwaren ikke håndtag.
Når ransomware kommer på tværs af en ikke-afviklet undtagelse, det afsluttes af operativsystemet, forskerne forklarede. Alt dette sker under rekognoscering fase, der sker før krypteringen startes.
Som et resultat, den ransomware vil standse og ophøre med yderligere forsøg på kryptering. Den ondsindede fil vil stadig eksistere på offerets maskine, men det vil være effektivt gjort inert, da det ikke effektivt kan udføre mens de misdannede ’Ink’ fil forbliver.
Forskerne identificerede to betingelser for ’.lnk’ fil, som ville gøre det muligt at afbryde ransomware i sit spor:
– Den ’.lnk’ fil er blevet udformet til at indeholde et ugyldigt netværk sti;
– Den ’.lnk’ fil har ingen tilhørende RPC endepunkt.
Så, hvordan kan du narre LockerGoga før det krypterer dine data?
Skabelsen af en misdannet ’.lnk’ fil kan være en effektiv beskyttelse mod udførelse af nogle prøver af LockerGoga.
Denne simple trick kan tillade antivirus eksperter til at skabe den såkaldte “vaccine”. En vaccine er et program, der skaber misdannede LNK filer på brugernes’ computere til at forhindre LockerGoga ransomware i at køre.
Den dårlige nyhed er, at den nuværende løsning kun kan arbejde for et stykke tid som ransomware skabere er som regel hurtige til at finde ud af om de eksisterende fejl i deres kode og rette dem i fremtidige udgivelser.