Como se informó recientemente, la planta de Norsk Hydro en Noruega fue atacada recientemente por el llamado ransomware LockerGoga. LockerGoga ransomware encripta los datos de la víctima y exige el dinero en forma de pago de un rescate de lograr que se restaura.
Investigadores descubren Bug en LockerGoga ransomware
Los archivos cifrados se anexan la extensión .locked como uno secundario, sin cualquier cambio realizado en el nombre original de un archivo cifrado. Ahora, parece que el ransomware contiene un error en su código que puede permitir a las víctimas “vacunar” sus ordenadores, estrellarse el ransomware antes de que encripta todos los archivos locales.
El error fue descubierto por investigadores Alerta Logic. Parece estar situado en una subrutina del ransomware, que se ejecuta antes de la iniciación del proceso de cifrado. La subrutina puede ser descrito como un simple escaneo de todos los archivos en el sistema afectado. Con su ayuda, el ransomware sabe qué archivos para cifrar. Esto es lo que los investigadores dijo en su informe:
Una vez que el ransomware se convierte en residente en el host víctima, se realiza una exploración inicial de reconocimiento para recopilar listas de archivos antes de que ejecuta su rutina de cifrado. Un tipo de archivo que puede ser percibida es el ‘.lnk’ extension-un archivo de acceso directo utilizado en Windows para archivos de enlace. Cuando se encuentra con un ‘.lnk’ archivo que utilizará la incorporada en shell32 / linkinfo DLL para resolver el camino ‘.lnk’. Sin embargo, Si este camino ‘.lnk’ tiene uno de una serie de errores en ella, a continuación, se lanzará una excepción, una excepción que el malware no controla.
Una vez que el ransomware viene a ser una excepción no controlada, que se termina por el sistema operativo, los investigadores explicaron. Todo esto se lleva a cabo durante la fase de reconocimiento, que se produce antes de que se inicie el cifrado.
Como resultado, el ransomware se detendrá y cesar cualquier otro intento de cifrado. El archivo malicioso seguirá existiendo en la máquina de la víctima, pero se representará efectivamente inerte, ya que no se puede ejecutar con eficacia, mientras que los restos de archivos .lnk ‘’ malformados.
Los investigadores identificaron dos condiciones para el archivo ‘.lnk’ que le permitiría a interrumpir el ransomware en sus pistas:
– El archivo ‘.lnk’ ha sido diseñado para contener una ruta de red no válido;
– El archivo ‘.lnk’ no tiene punto final RPC asociada.
Así, ¿cómo se puede engañar a LockerGoga antes de que encripta los datos?
La elaboración de un archivo con formato incorrecto ‘.lnk’ puede ser una protección eficaz contra la ejecución de algunas muestras de LockerGoga.
Este sencillo truco puede permitir a los expertos antivirus para crear la llamada “vacuna”. Una vacuna es una aplicación que crea archivos LNK malformaciones en los usuarios’ computadoras para prevenir el ransomware LockerGoga se ejecute.
La mala noticia es que la presente revisión sólo puede funcionar por un tiempo como creadores ransomware son generalmente rápido para averiguar acerca de los errores existentes en su código y la fijación de ellos en futuras versiones.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: