LockerGoga錯(cuò)誤在加密文件之前崩潰勒索軟件

LockerGoga是過(guò)去一個(gè)月襲擊Norsk Hydro和兩家美國(guó)化學(xué)公司的勒索軟件，其代碼中包含一個(gè)錯(cuò)誤，可能允許受害者在加密任何本地文件之前“接種”他們的PC并使勒索軟件崩潰。這個(gè)由Alert Logic的安全研究人員發(fā)現(xiàn)的錯(cuò)誤位于LockerGoga子程序中，該子程序在加密過(guò)程開(kāi)始之前執(zhí)行。

子例程是對(duì)受害者系統(tǒng)上所有文件的基本掃描，因此勒索軟件知道要加密的文件和要跳過(guò)的內(nèi)容。

Alert Logic研究人員表示，如果LockerGoga遇到包含無(wú)效路徑的LNK(快捷方式)文件，則勒索軟件的進(jìn)程會(huì)崩潰而不執(zhí)行后續(xù)加密。

“我們已經(jīng)確定了'。lnk'文件的兩個(gè)條件，這將允許它停止其軌道中的勒索軟件，”Alert Logic團(tuán)隊(duì)說(shuō)。“'。lnk'文件經(jīng)過(guò)精心設(shè)計(jì)，包含無(wú)效的網(wǎng)絡(luò)路徑。'。lnk'文件沒(méi)有關(guān)聯(lián)的RPC端點(diǎn)。”

這個(gè)技巧可能允許防病毒供應(yīng)商創(chuàng)建他們稱(chēng)之為“疫苗”的應(yīng)用程序 - 在用戶(hù)計(jì)算機(jī)上創(chuàng)建格式錯(cuò)誤的LNK文件以阻止LockerGoga運(yùn)行的應(yīng)用程序。

但是，這個(gè)bug只能提供暫時(shí)的緩解。LockerGoga勒索軟件組也必定會(huì)發(fā)現(xiàn)它并在未來(lái)的版本中修補(bǔ)它。LockerGoga是當(dāng)今最危險(xiǎn)的勒索軟件之一。在過(guò)去三個(gè)月中，勒索軟件已被部署為針對(duì)高調(diào)目標(biāo)的高度針對(duì)性攻擊的一部分。

黑客攻擊大公司，在他們獲得對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)權(quán)限之后，他們將LockerGoga部署到盡可能多的工作站以造成最大的損害。

法國(guó)工程公司Altran，挪威鋁業(yè)供應(yīng)商N(yùn)orsk Hydro以及兩家美國(guó)化學(xué)公司Hexion和Momentive迄今已報(bào)告感染 - 有消息稱(chēng)最近兩家公司在周末遭遇重創(chuàng)。

雖然Norsk Hydro表示不會(huì)支付贖金，而是將受感染的計(jì)算機(jī)從舊備份恢復(fù)，但Momentive的情況并不樂(lè)觀。

據(jù)一位名為一名員工的主板報(bào)道稱(chēng)，該公司已經(jīng)訂購(gòu)了新的計(jì)算機(jī)來(lái)取代LockerGoga加密的計(jì)算機(jī)。