Bug do LockerGoga trava o ransomware antes de criptografar arquivos

LockerGoga, o ransomware que atingiu a Norsk Hydro e duas empresas químicas norte-americanas no último mês, contém um bug no código que pode permitir que as vítimas “vacinem” seus PCs e travem o ransomware antes de criptografar qualquer arquivo local.

O bug, descoberto por pesquisadores de segurança da Alert Logic, está localizado em uma sub-rotina da LockerGoga que é executada antes do início do processo de criptografia.

A sub-rotina é uma varredura básica de todos os arquivos no sistema da vítima, então o ransomware sabe quais arquivos criptografar e o que pular.

Os pesquisadores da Alert Logic dizem que se o LockerGoga encontrar um arquivo LNK (atalho) que contenha um caminho inválido, o processo do ransomware trava sem executar a criptografia subsequente.

“Nós identificamos duas condições para o arquivo ‘.lnk’, que lhe permitiria deter a ransomware em suas faixas,” a equipe Logic Alerta disse . “O arquivo ‘.lnk’ foi criado para conter um caminho de rede inválido. O arquivo ‘.lnk’ não possui endpoint RPC associado.”

Esse truque pode permitir que os fornecedores de antivírus criem o que eles chamam de “vacina” –um aplicativo que cria arquivos LNK malformados nos computadores dos usuários que impedem a execução do LockerGoga.

No entanto, esse bug só oferece alívio temporário. O grupo de ransomware LockerGoga também é obrigado a descobrir sobre isso e consertá-lo em uma versão futura.

DUAS NOVAS VÍTIMAS DO LOCKERGOGA EMERGEM

O LockerGoga é um dos tipos de ransomware mais perigosos da atualidade. Nos últimos três meses, o ransomware foi implantado como parte de ataques altamente direcionados contra alvos de alto perfil.

Os hackers violam grandes empresas e, depois de obter acesso a redes internas, implantam o LockerGoga em tantas estações de trabalho quanto possível, para danos máximos.

A empresa francesa de engenharia Altran , a fornecedora norueguesa de alumínio Norsk Hydro e duas empresas químicas norte-americanas, Hexion e Momentive , reportaram infecções até agora – com as notícias das duas últimas empresas sendo atingidas no fim de semana.

Embora a Norsk Hydro tenha dito que não pagaria o resgate e restauraria os computadores infectados de backups antigos, as coisas não foram animadas na Momentive.

A empresa teria encomendado novos computadores para substituir os criptografados pela LockerGoga, de acordo com um relatório da Motherboard, citando um funcionário.