首页 > 科技 > > 正文
2019-12-30 13:20:48

LockerGoga错误在加密文件之前使勒索软件崩溃

导读 LockerGoga是勒索软件,过去一个月曾袭击过Norsk Hydro和两家美国化工公司,其代码中包含一个错误,该漏洞可能使受害者可以对自己的PC进行

LockerGoga是勒索软件,过去一个月曾袭击过Norsk Hydro和两家美国化工公司,其代码中包含一个错误,该漏洞可能使受害者可以对自己的PC进行“疫苗接种”并在勒索软件对本地文件进行加密之前使其崩溃。

该漏洞由Alert Logic的安全研究人员发现,位于LockerGoga子例程中,该例程在加密过程开始之前执行。

该子例程是对受害者系统上所有文件的基本扫描,因此,勒索软件知道要加密的文件和要跳过的文件。

Alert Logic研究人员表示,如果LockerGoga遇到包含无效路径的LNK(快捷方式)文件,则勒索软件的进程将崩溃,而无需执行后续加密。

Alert Logic小组说: “我们已经确定了'.lnk'文件的两个条件,这使它可以停止勒索软件的运行。” “'.lnk'文件经过精心设计,包含无效的网络路径。'。lnk'文件没有关联的RPC端点。”

此技巧可以使防病毒供应商创建他们称为“疫苗”的应用程序,该应用程序会在用户计算机上创建格式错误的LNK文件,从而阻止LockerGoga运行。

但是,此错误仅提供暂时的缓解。LockerGoga勒索软件组也必将发现它并在将来的版本中对其进行修补。

两名新的LOCKERGOGA受害者出现

LockerGoga是当今最危险的勒索软件毒株之一。在过去的三个月中,勒索软件已被部署为针对知名目标的高度针对性攻击的一部分。

黑客破坏了大公司,在他们访问内部网络后,他们将LockerGoga部署到尽可能多的工作站上,以最大程度地破坏它们。

法国工程公司Altran,挪威铝供应商Norsk Hydro以及两家美国化学公司Hexion和Momentive迄今都已报告感染病例-上周末有两家公司受到打击的消息不断涌现。

尽管Norsk Hydro表示不会支付赎金,而是从旧备份中恢复受感染的计算机,但Momentive的情况并不乐观。

据主板报告援引一名雇员的话说,该公司已经订购了新的计算机来替换用LockerGoga加密的计算机。