LockerGoga Ransomware Har en bug, der Stopper Kryptering
CYBER NEWS

LockerGoga Ransomware Har en bug, der Stopper Kryptering

Som vi for nylig rapporteret, Norsk Hydro fabrikken i Norge blev for nylig angrebet af den såkaldte LockerGoga ransomware. LockerGoga ransomware krypterer offerets data og forlanger penge i form af en løsesum betaling for at få det restaureret.




Forskere Oplev Bug i LockerGoga Ransomware

Krypterede filer er tilføjet den .locked udvidelse som en sekundær, uden nogen ændringer i forhold til det oprindelige navn på en krypteret fil. Nu, det ser ud til at den ransomware indeholder en fejl i sin kode der kan gøre det muligt for ofre for “vaccinere” deres computere, crashe ransomware før det krypterer alle lokale filer.

Relaterede: Fjern LockerGoga Ransomware (.låst Udvidelse).

Fejlen blev opdaget af Alert Logic forskere. Det synes at være placeret i en subrutine af ransomware som udfører inden indledningen af ​​krypteringsprocessen. Den subrutine kan beskrives som en simpel scanning af alle filer på det berørte system. Med dens hjælp, den ransomware ved, hvilke filer til kryptere. Dette er, hvad forskerne sagde i deres rapport:

Når ransomware bliver bosat på værten offer, den udfører en indledende rekognoscering scanning for at samle fil lister, før den udfører sin kryptering rutine. En type fil det kan komme på tværs er ’.lnk’ filtypenavnet-en genvej bruges i Windows til at linke filer. Når den støder på en ’.lnk’ fil det vil udnytte den indbyggede Shell32 / linkinfo DLL'er at løse ’.lnk’ sti. Men, hvis dette ’.lnk’ sti har en af ​​en række fejl i det, så vil det hæve en undtagelse-en undtagelse, som malwaren ikke håndtag.

Når ransomware kommer på tværs af en ikke-afviklet undtagelse, det afsluttes af operativsystemet, forskerne forklarede. Alt dette sker under rekognoscering fase, der sker før krypteringen startes.

Som et resultat, den ransomware vil standse og ophøre med yderligere forsøg på kryptering. Den ondsindede fil vil stadig eksistere på offerets maskine, men det vil være effektivt gjort inert, da det ikke effektivt kan udføre mens de misdannede ’Ink’ fil forbliver.

Forskerne identificerede to betingelser for ’.lnk’ fil, som ville gøre det muligt at afbryde ransomware i sit spor:

– Den ’.lnk’ fil er blevet udformet til at indeholde et ugyldigt netværk sti;
– Den ’.lnk’ fil har ingen tilhørende RPC endepunkt.

Relaterede: LockerGoga Ransomware Hits norske Hydro, Situationen ganske alvorlige.

Så, hvordan kan du narre LockerGoga før det krypterer dine data?

Skabelsen af ​​en misdannet ’.lnk’ fil kan være en effektiv beskyttelse mod udførelse af nogle prøver af LockerGoga.

Denne simple trick kan tillade antivirus eksperter til at skabe den såkaldte “vaccine”. En vaccine er et program, der skaber misdannede LNK filer på brugernes’ computere til at forhindre LockerGoga ransomware i at køre.

Den dårlige nyhed er, at den nuværende løsning kun kan arbejde for et stykke tid som ransomware skabere er som regel hurtige til at finde ud af om de eksisterende fejl i deres kode og rette dem i fremtidige udgivelser.

Milena Dimitrova

Milena Dimitrova

En inspireret forfatter og indhold leder, der har været med SensorsTechForum siden begyndelsen. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim

Flere indlæg

Følg mig:
Twitter

Efterlad en kommentar

Din e-mail-adresse vil ikke blive offentliggjort. Krævede felter er markeret *

Frist er opbrugt. Venligst genindlæse CAPTCHA.

Del på Facebook Del
Loading ...
Del på Twitter Tweet
Loading ...
Del på Google Plus Del
Loading ...
Del på Linkedin Del
Loading ...
Del på Digg Del
Del på Reddit Del
Loading ...
Del på Stumbleupon Del
Loading ...