CYBER NEWS

LockerGoga Ransomware Heeft een bug die Stopt Encryption

Zoals we onlangs gemeld, de Norsk Hydro fabriek in Noorwegen werd onlangs aangevallen door de zogenaamde LockerGoga ransomware. LockerGoga ransomware versleutelt de gegevens van het slachtoffer en eisen geld in de vorm van een losgeld betalen om het te hersteld krijgen.




Researchers Discover Bug in LockerGoga Ransomware

Gecodeerde bestanden worden toegevoegd aan de .locked extensie als een secundaire één, zonder enige veranderingen aangebracht in de oorspronkelijke naam van een versleuteld bestand. Nu, het komt voor dat the ransomware contains a bug in its code that may allow victims tovaccinate” hun computers, crashing the ransomware before it encrypts any local files.

Verwant: Verwijderen LockerGoga Ransomware (.vergrendeld Extension).

The bug was discovered by Alert Logic researchers. It appears to be located in a subroutine of the ransomware which executes before the initiation of the encryption process. The subroutine can be described as a simple scan of all files on the affected system. Met zijn hulp, the ransomware knows what files to encrypt. Dit is wat de onderzoekers zei in hun verslag:

Once the ransomware becomes resident on the victim host, it performs an initial reconnaissance scan to gather file lists before it executes its encryption routine. One type of file it may come across is the ‘.lnk’ file extension—a shortcut used in Windows to link files. When it encounters a ‘.lnk’ file it will utilize the built-in shell32 / linkinfo DLLs to resolve the ‘.lnk’ path. Echter, if this ‘.lnk’ path has one of a series of errors in it, then it will raise an exception—an exception which the malware does not handle.

Once the ransomware comes across an unhandled exception, it is terminated by the operating system, de onderzoekers verklaard. All of this takes place during the reconnaissance phase which occurs before the encryption is started.

Dientengevolge, the ransomware will halt and cease any further attempts at encryption. The malicious file will still exist on the victim machine, but it will be effectively rendered inert, since it cannot effectively execute while the malformed ‘.lnk’ file remains.

The researchers identified two conditions for the ‘.lnk’ file which would allow it to interrupt the ransomware in its tracks:

The ‘.lnk’ file has been crafted to contain an invalid network path;
The ‘.lnk’ file has no associated RPC endpoint.

Verwant: LockerGoga Ransomware Hits Noorse Hydro, Situatie heel ernstig.

Dus, how can you trick LockerGoga before it encrypts your data?

Crafting a malformed ‘.lnk’ file can be an effective protection against execution of some samples of LockerGoga.

This simple trick may allow antivirus experts to create the so-calledvaccine”. A vaccine is an application that creates malformed LNK files on userscomputers to prevent the LockerGoga ransomware from running.

The bad news is that the present fix may only work for a while as ransomware creators are usually quick to find out about existing bugs in their code and fixing them in future releases.

Milena Dimitrova

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum sinds het begin. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...