Zoals we onlangs gemeld, de Norsk Hydro fabriek in Noorwegen werd onlangs aangevallen door de zogenaamde LockerGoga ransomware. LockerGoga ransomware versleutelt de gegevens van het slachtoffer en eisen geld in de vorm van een losgeld betalen om het te hersteld krijgen.
Onderzoekers ontdekken bug in LockerGoga Ransomware
Gecodeerde bestanden worden toegevoegd aan de .locked extensie als een secundaire één, zonder enige veranderingen aangebracht in de oorspronkelijke naam van een versleuteld bestand. Nu, het komt voor dat de ransomware bevat een bug in de code waardoor slachtoffers kunnen “vaccineren” hun computers, het crashen van de ransomware voordat het lokale bestanden versleutelt.
De bug is ontdekt door onderzoekers van Alert Logic. Het lijkt zich te bevinden in een subroutine van de ransomware die wordt uitgevoerd voordat het versleutelingsproces wordt gestart. De subroutine kan worden omschreven als een eenvoudige scan van alle bestanden op het getroffen systeem. Met zijn hulp, de ransomware weet welke bestanden ze moeten versleutelen. Dit is wat de onderzoekers zei in hun verslag:
Zodra de ransomware resident wordt op de host van het slachtoffer, het voert een eerste verkenningsscan uit om bestandslijsten te verzamelen voordat het zijn coderingsroutine uitvoert. Een type bestand dat het kan tegenkomen, is de bestandsextensie '.lnk' - een snelkoppeling die in Windows wordt gebruikt om bestanden te koppelen. Wanneer het een '.lnk'-bestand tegenkomt, gebruikt het de ingebouwde shell32 / linkinfo DLL's om het '.lnk'-pad op te lossen. Echter, als dit '.lnk'-pad een van een reeks fouten bevat, dan zal het een uitzondering genereren - een uitzondering die de malware niet afhandelt.
Zodra de ransomware een onverwerkte uitzondering tegenkomt, het wordt beëindigd door het besturingssysteem, de onderzoekers verklaard. Dit alles vindt plaats tijdens de verkenningsfase die plaatsvindt voordat de codering wordt gestart.
Dientengevolge, de ransomware stopt en stopt alle verdere pogingen tot versleuteling. Het kwaadaardige bestand zal nog steeds bestaan op de machine van het slachtoffer, maar het zal effectief inert worden gemaakt, omdat het niet effectief kan worden uitgevoerd terwijl het misvormde '.lnk'-bestand blijft.
De onderzoekers identificeerden twee voorwaarden voor het '.lnk'-bestand waardoor het de ransomware in zijn sporen zou kunnen onderbreken:
– Het '.lnk'-bestand is zo gemaakt dat het een ongeldig netwerkpad bevat;
– Het '.lnk'-bestand heeft geen geassocieerd RPC-eindpunt.
Dus, hoe kun je LockerGoga misleiden voordat het je gegevens versleutelt??
Het maken van een misvormd '.lnk'-bestand kan een effectieve bescherming zijn tegen uitvoering van sommige voorbeelden van LockerGoga.
Met deze eenvoudige truc kunnen antivirusexperts de zogenaamde “vaccin”. Een vaccin is een applicatie die misvormde LNK-bestanden maakt op gebruikers’ computers om te voorkomen dat de LockerGoga ransomware wordt uitgevoerd.
Het slechte nieuws is dat de huidige oplossing mogelijk maar een tijdje werkt, omdat makers van ransomware meestal snel op de hoogte zijn van bestaande bugs in hun code en deze in toekomstige releases oplossen..