导读 LockerGoga是过去一个月袭击Norsk Hydro和两家美国化学公司的勒索软件,其代码中包含一个错误,可能允许受害者在加密任何本地文件之前接种
LockerGoga是过去一个月袭击Norsk Hydro和两家美国化学公司的勒索软件,其代码中包含一个错误,可能允许受害者在加密任何本地文件之前“接种”他们的PC并使勒索软件崩溃。这个由Alert Logic的安全研究人员发现的错误位于LockerGoga子程序中,该子程序在加密过程开始之前执行。
子例程是对受害者系统上所有文件的基本扫描,因此勒索软件知道要加密的文件和要跳过的内容。
Alert Logic研究人员表示,如果LockerGoga遇到包含无效路径的LNK(快捷方式)文件,则勒索软件的进程会崩溃而不执行后续加密。
“我们已经确定了'。lnk'文件的两个条件,这将允许它停止其轨道中的勒索软件,”Alert Logic团队说。“'。lnk'文件经过精心设计,包含无效的网络路径。'。lnk'文件没有关联的RPC端点。”
这个技巧可能允许防病毒供应商创建他们称之为“疫苗”的应用程序 – 在用户计算机上创建格式错误的LNK文件以阻止LockerGoga运行的应用程序。
但是,这个bug只能提供暂时的缓解。LockerGoga勒索软件组也必定会发现它并在未来的版本中修补它。LockerGoga是当今最危险的勒索软件之一。在过去三个月中,勒索软件已被部署为针对高调目标的高度针对性攻击的一部分。
黑客攻击大公司,在他们获得对内部网络的访问权限之后,他们将LockerGoga部署到尽可能多的工作站以造成最大的损害。
法国工程公司Altran,挪威铝业供应商Norsk Hydro以及两家美国化学公司Hexion和Momentive迄今已报告感染 – 有消息称最近两家公司在周末遭遇重创。
虽然Norsk Hydro表示不会支付赎金,而是将受感染的计算机从旧备份恢复,但Momentive的情况并不乐观。
据一位名为一名员工的主板报道称,该公司已经订购了新的计算机来取代LockerGoga加密的计算机。
未经允许不得转载:87头条 » LockerGoga错误在加密文件之前崩溃勒索软件