最近報告したように, ノルウェーのNorskHydroプラントは、最近、いわゆるLockerGogaランサムウェアに攻撃されました。. LockerGogaランサムウェアは、被害者のデータを暗号化し、それを復元するために身代金の支払いの形でお金を要求します.
研究者がLockerGogaランサムウェアのバグを発見
暗号化されたファイルには、.locked拡張子がセカンダリファイルとして追加されます, 暗号化されたファイルの元の名前に変更を加えることなく. 今, どうやら ランサムウェアのコードにバグが含まれています それは犠牲者がすることを可能にするかもしれません “予防接種” 彼らのコンピューター, ローカルファイルを暗号化する前にランサムウェアをクラッシュさせる.
バグはAlertLogicの研究者によって発見されました. 暗号化プロセスの開始前に実行されるランサムウェアのサブルーチンにあるようです。. サブルーチンは、影響を受けるシステム上のすべてのファイルの単純なスキャンとして説明できます。. その助けを借りて, ランサムウェアは暗号化するファイルを知っています. これは研究者が 言った 彼らのレポートで:
ランサムウェアが被害者のホストに常駐すると, 暗号化ルーチンを実行する前に、最初の偵察スキャンを実行してファイルリストを収集します. 遭遇する可能性のあるファイルの1つのタイプは、「。lnk」ファイル拡張子です。これは、Windowsでファイルをリンクするために使用されるショートカットです。. '.lnk'ファイルに遭遇すると、組み込みのshell32を利用します / '.lnk'パスを解決するlinkinfoDLL. でも, この「.lnk」パスに一連のエラーの1つが含まれている場合, 次に、例外が発生します。マルウェアが処理しない例外です。.
ランサムウェアが未処理の例外に遭遇すると, オペレーティングシステムによって終了されます, 研究者は説明した. これらはすべて、暗号化が開始される前に行われる偵察フェーズで行われます。.
結果として, ランサムウェアは停止し、暗号化のそれ以上の試みを停止します. 悪意のあるファイルは引き続き被害者のマシンに存在します, しかし、それは効果的に不活性になります, 不正な形式の「.lnk」ファイルが残っている間は効果的に実行できないため.
研究者は、「。lnk」ファイルの2つの条件を特定しました。これにより、トラック内のランサムウェアが中断される可能性があります。:
– '.lnk'ファイルは、無効なネットワークパスを含むように作成されています;
– '.lnk'ファイルにはRPCエンドポイントが関連付けられていません.
そう, データを暗号化する前にLockerGogaをだますにはどうすればよいですか?
不正な形式の「.lnk」ファイルを作成すると、LockerGogaの一部のサンプルの実行に対する効果的な保護になります。.
この単純なトリックにより、ウイルス対策の専門家がいわゆる “ワクチン”. ワクチンは、ユーザーに不正な形式のLNKファイルを作成するアプリケーションです。’ LockerGogaランサムウェアの実行を防ぐためのコンピューター.
悪いニュースは、ランサムウェアの作成者は通常、コード内の既存のバグをすばやく見つけて、将来のリリースで修正するため、現在の修正はしばらくの間しか機能しない可能性があることです。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: