CYBER NEWS

LockerGoga Ransomware tem um erro que Pára Encryption

Como nós relatado recentemente, a planta Norsk Hydro na Noruega recentemente foi atacado pela chamada tão LockerGoga ransomware. LockerGoga ransomware criptografa os dados da vítima e exige dinheiro sob a forma de um pagamento de resgate para obtê-lo restaurado.




Pesquisadores descobrem bug no LockerGoga Ransomware

Os arquivos criptografados são anexados à extensão .locked como secundária., sem quaisquer alterações feitas ao nome original de um arquivo criptografado. Agora, parece que o ransomware contém um bug em seu código que pode permitir às vítimas “vacinar” seus computadores, travar o ransomware antes de criptografar os arquivos locais.

relacionado: Remover LockerGoga Ransomware (.Extensão bloqueado).

O bug foi descoberto por pesquisadores da Alert Logic. Parece estar localizado em uma sub-rotina do ransomware que é executada antes do início do processo de criptografia. A sub-rotina pode ser descrita como uma verificação simples de todos os arquivos no sistema afetado. Com sua ajuda, o ransomware sabe quais arquivos criptografar. Isto é o que os pesquisadores disse em seu relatório:

Depois que o ransomware se tornar residente no host da vítima, ele executa uma varredura inicial de reconhecimento para reunir listas de arquivos antes de executar sua rotina de criptografia. Um tipo de arquivo que ele pode encontrar é a extensão de arquivo '.lnk' - um atalho usado no Windows para vincular arquivos. Quando encontra um arquivo '.lnk', ele utiliza o shell32 embutido / DLLs do linkinfo para resolver o caminho '.lnk'. Contudo, se esse caminho '.lnk' contiver uma série de erros, então, ele criará uma exceção - uma exceção que o malware não lida com.

Quando o ransomware se deparar com uma exceção não tratada, é finalizado pelo sistema operacional, os pesquisadores explicaram. Tudo isso ocorre durante a fase de reconhecimento, que ocorre antes do início da criptografia.

Como um resultado, o ransomware interromperá e cessará outras tentativas de criptografia. O arquivo malicioso ainda existirá na máquina vítima, mas será efetivamente tornado inerte, since it cannot effectively execute while the malformed ‘.lnk’ file remains.

The researchers identified two conditions for the ‘.lnk’ file which would allow it to interrupt the ransomware in its tracks:

The ‘.lnk’ file has been crafted to contain an invalid network path;
The ‘.lnk’ file has no associated RPC endpoint.

relacionado: LockerGoga Ransomware Acessos norueguesa Hidro, Situação muito grave.

assim, how can you trick LockerGoga before it encrypts your data?

Crafting a malformed ‘.lnk’ file can be an effective protection against execution of some samples of LockerGoga.

This simple trick may allow antivirus experts to create the so-calledvaccine”. A vaccine is an application that creates malformed LNK files on userscomputers to prevent the LockerGoga ransomware from running.

The bad news is that the present fix may only work for a while as ransomware creators are usually quick to find out about existing bugs in their code and fixing them in future releases.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerenciador de conteúdo que foi com SensorsTechForum desde o início. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...