Come abbiamo recentemente riportato, l'impianto di Norsk Hydro in Norvegia è stata recentemente attaccata dal cosiddetto ransomware LockerGoga. LockerGoga ransomware crittografa i dati della vittima e le richieste di denaro, sotto forma di un pagamento del riscatto per farlo ristrutturare.
Ricercatori scoprono Bug in LockerGoga ransomware
file cifrati vengono aggiunti l'estensione .locked come uno secondario, senza le modifiche apportate al nome originale di un file crittografato. Ora, sembra che il ransomware contiene un bug nel suo codice che possa permettere alle vittime di “vaccinare” i loro computer, schiantarsi il ransomware prima di crittografare tutti i file locali.
Il bug è stato scoperto da ricercatori Logic Alert. Sembra di essere situato in una subroutine del ransomware, che viene eseguito prima dell'avvio del processo di crittografia. Il sottoprogramma può essere descritto come una semplice scansione di tutti i file sul sistema interessato. Con il suo aiuto, il ransomware sa quali file per crittografare. Questo è ciò che i ricercatori disse nella loro relazione:
Una volta che il ransomware diventa residente sull'host vittime, si esegue una scansione iniziale di ricognizione per raccogliere liste di file prima di eseguire la routine di crittografia. Un tipo di file, può incontrare è il ‘.lnk’ estensione a un file di collegamento utilizzato in Windows per collegare i file. Quando si incontra un ‘.lnk’ depositarne il utilizzerà il built-in Shell32 / linkinfo DLL per risolvere il percorso ‘.lnk’. Tuttavia, se questo percorso ‘.lnk’ ha uno di una serie di errori in esso, allora sarà sollevare un'eccezione, un'eccezione che il malware non gestisce.
Una volta che il ransomware incontra un'eccezione non gestita, viene interrotto dal sistema operativo, i ricercatori hanno spiegato. Tutto questo avviene durante la fase di ricognizione che si verifica prima di avviare la crittografia.
Di conseguenza, il ransomware si ferma e cessare ogni ulteriore tentativo di crittografia. Il file dannoso esisterà ancora sulla macchina della vittima, ma sarà reso efficace inerte, in quanto non può eseguire in modo efficace mentre il malformata ‘.lnk’ resti di file.
I ricercatori hanno identificato due condizioni per il file ‘.lnk’, che le consentirebbe di interrompere il ransomware nelle sue tracce:
– Il file ‘.lnk’ è stato realizzato per contenere un percorso di rete non valida;
– Il file ‘.lnk’ non ha alcun endpoint RPC associato.
Così, come si può ingannare LockerGoga prima che crittografia dei dati?
Crafting un file non valido ‘.lnk’ può essere una efficace protezione contro l'esecuzione di alcuni campioni di LockerGoga.
Questo semplice accorgimento può permettere agli esperti di antivirus per creare la cosiddetta “vaccino”. Un vaccino è un'applicazione che crea i file LNK malformati sugli utenti’ computer per evitare che il ransomware LockerGoga esecuzione.
La cattiva notizia è che l'attuale correzione può funzionare solo per un po 'come creatori ransomware sono di solito rapido per scoprire i bug esistenti nel loro codice e fissare loro nelle prossime versioni.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: