Como nós relatado recentemente, a planta Norsk Hydro na Noruega recentemente foi atacado pela chamada tão LockerGoga ransomware. LockerGoga ransomware criptografa os dados da vítima e exige dinheiro sob a forma de um pagamento de resgate para obtê-lo restaurado.
Pesquisadores descobrem bug no LockerGoga Ransomware
Os arquivos criptografados são anexados à extensão .locked como secundária., sem quaisquer alterações feitas ao nome original de um arquivo criptografado. Agora, parece que o ransomware contém um bug em seu código que pode permitir às vítimas “vacinar” seus computadores, travar o ransomware antes de criptografar os arquivos locais.
O bug foi descoberto por pesquisadores da Alert Logic. Parece estar localizado em uma sub-rotina do ransomware que é executada antes do início do processo de criptografia. A sub-rotina pode ser descrita como uma verificação simples de todos os arquivos no sistema afetado. Com sua ajuda, o ransomware sabe quais arquivos criptografar. Isto é o que os pesquisadores disse em seu relatório:
Depois que o ransomware se tornar residente no host da vítima, ele executa uma varredura inicial de reconhecimento para reunir listas de arquivos antes de executar sua rotina de criptografia. Um tipo de arquivo que ele pode encontrar é a extensão de arquivo '.lnk' - um atalho usado no Windows para vincular arquivos. Quando encontra um arquivo '.lnk', ele utiliza o shell32 embutido / DLLs do linkinfo para resolver o caminho '.lnk'. Contudo, se esse caminho '.lnk' contiver uma série de erros, então, ele criará uma exceção - uma exceção que o malware não lida com.
Quando o ransomware se deparar com uma exceção não tratada, é finalizado pelo sistema operacional, os pesquisadores explicaram. Tudo isso ocorre durante a fase de reconhecimento, que ocorre antes do início da criptografia.
Como um resultado, o ransomware interromperá e cessará outras tentativas de criptografia. O arquivo malicioso ainda existirá na máquina vítima, mas será efetivamente tornado inerte, uma vez que não pode ser executado de forma eficaz enquanto o arquivo malformado ‘.lnk’ permanece.
Os pesquisadores identificaram duas condições para o arquivo ‘.lnk’ que permitiriam interromper o ransomware em suas trilhas:
– O arquivo ‘.lnk’ foi criado para conter um caminho de rede inválido;
– O arquivo ‘.lnk’ não tem endpoint RPC associado.
assim, como você pode enganar o LockerGoga antes de criptografar seus dados?
Criar um arquivo '.lnk' malformado pode ser uma proteção eficaz contra a execução de algumas amostras de LockerGoga.
Este truque simples pode permitir que os especialistas em antivírus criem os chamados “vacina”. Uma vacina é um aplicativo que cria arquivos LNK malformados nos usuários’ computadores para evitar que o LockerGoga ransomware seja executado.
A má notícia é que a presente correção pode funcionar apenas por um tempo, já que os criadores de ransomware geralmente são rápidos para descobrir os bugs existentes em seu código e corrigi-los em versões futuras.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: