Comme nous l'avons rapporté récemment, l'usine Norsk Hydro en Norvège a été récemment attaqué par la soi-disant LockerGoga ransomware. LockerGoga ransomware données de encrypte la victime et demande de l'argent sous la forme d'un paiement de rançon pour obtenir la restaura.
Des chercheurs découvrent un bug dans LockerGoga Ransomware
Les fichiers cryptés sont ajoutés l'extension .locked comme secondaire, sans modifications apportées au nom d'origine d'un fichier crypté. Maintenant, il semble que le ransomware contient un bogue dans son code qui peut permettre aux victimes de “vacciner” leurs ordinateurs, écraser le ransomware avant qu'il crypte les fichiers locaux.
Le bug a été découvert par les chercheurs d'alertes logiques. Il semble être situé dans un sous-programme de l'ransomware qui exécute avant le début du processus de chiffrement. Le sous-programme peut être décrit comme un simple scan de tous les fichiers sur le système affecté. Avec son aide, le ransomware sait quels fichiers pour chiffrer. C'est ce que les chercheurs dit dans leur rapport:
Une fois que le ransomware devient résident sur l'hôte victime, il effectue une analyse de reconnaissance initiale pour recueillir des listes de fichiers avant qu'il exécute sa routine de chiffrement. Un type de fichier, il peut venir à travers l'extension est-un fichier « .lnk » raccourci utilisé dans Windows pour lier des fichiers. Quand il rencontre un « .lnk » déposer utilisera le haut-shell32 / linkinfo DLL pour résoudre le chemin « .lnk ». Cependant, si ce chemin « .lnk » a une d'une série d'erreurs dans ce, il déclenche une exception, une exception que le malware ne gère pas.
Une fois que le ransomware vient à travers une exception non gérée, il est mis fin par le système d'exploitation, les chercheurs ont expliqué. Tout cela a lieu pendant la phase de reconnaissance qui se produit avant que le cryptage est démarré.
Par conséquent, le ransomware va arrêter et cesser toute nouvelle tentative de cryptage. Le fichier malveillant existera toujours sur la machine victime, mais il sera rendu efficacement inerte, car il ne peut pas exécuter efficacement alors que le fichier malformé « .lnk » reste.
Les chercheurs ont identifié deux conditions pour le fichier « .lnk » qui lui permettrait d'interrompre le ransomware dans ses pistes:
– Le fichier « .lnk » a été conçu pour contenir un chemin réseau non valide;
– Le fichier « .lnk » n'a pas de point final RPC associé.
Si, comment pouvez-vous tromper LockerGoga avant d'encrypte vos données?
Crafting un fichier « .lnk » malformé peut être une protection efficace contre l'exécution de certains échantillons de LockerGoga.
Cette astuce simple peut permettre aux experts antivirus de créer le soi-disant “vaccin”. Un vaccin est une application qui crée des fichiers LNK malformés sur les utilisateurs’ ordinateurs pour empêcher la ransomware de LockerGoga de courir.
Les mauvaises nouvelles sont que le correctif actuel ne peut fonctionner pendant un certain temps en tant que créateurs ransomware sont généralement prompts à trouver des bugs existants dans leur code et les fixer dans les versions ultérieures.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: