Xakep #240. Ghidra

• Содержание выпуска


• Подписка на «Хакер»

В марте 2019 года шифровальщик LockerGoga атаковал одного из крупнейших производителей алюминия в мире, компанию Norsk Hydro, а также жертвами малвари, похоже, стали две крупные американские компании, производящие силиконы, смолы и так далее: Hexion и Momentive.

Теперь специалисты компании Alert Logic пишут, что обнаружили баг в LockerGoga, который в теории позволяет создать временные «вакцины», защищающие от шифровальщика.

Проблема связана с рутинными операциями LockerGoga, которые выполняются еще до начала шифрования файлов. Так, сначала вымогатель сканирует все файлы в системе жертвы, определяя, что именно будет зашифровано, а что пропущено. Если в это время LockerGoga наткнется на файл-ярлык LNK, содержащий некорректный путь, то процесс малвари завершится с ошибкой, что предотвратит запуск непосредственно процедуры шифрования.

Исследователи выявили два способа создания файлов LNK, чтобы те вызывали сбои в работе LockerGoga. В первом случае, как было сказано выше, файл должен содержать некорректный путь. Во втором случае файл не должен ассоциироваться с RPC-эндпоитом.

В Alert Logic полагают, что данная особенность LockerGoga может пригодиться ИБ-специалистам и производителям антивирусных решений. Дело в том, что баг фактически позволяет создать «вакцину»: специальный файл LNK, который не даст стартовать шифрованию. К сожалению, это будет лишь временное решение, к тому же разработчики LockerGoga, вероятно, скоро узнают об этой проблеме и исправят ее в новых версиях.

Теги: CSS, LockerGoga файл LockerGoga, создать LNK