山海科技发展网

07月25日您需要了解的关于LockerGoga勒索软件的信息

导读 摘要 据报道,挪威铝制造公司Norsk Hydro的系统于3月19日上星期二被LockerGoga勒索软件攻击。 在他们的Facebook页面上发布的一份声...
摘要 据报道,挪威铝制造公司Norsk Hydro的系统于3月19日上星期二被LockerGoga勒索软件攻击。 在他们的Facebook页面上发布的一份声明中,N

据报道,挪威铝制造公司Norsk Hydro的系统于3月19日上星期二被LockerGoga勒索软件攻击。 在他们的Facebook页面上发布的一份声明中,Norsk Hydro指出“他们缺乏连接到生产系统的能力,这导致了生产挑战,并导致多家工厂暂时停工。” 其他不得不继续运行的工厂被迫改用手动操作。

趋势科技(Trend Micro)的解决方案,例如趋势科技(Trend Micro™)安全性,云安全智能防护套件(Smart Protection Suite)和企业安全无忧(Worry-Free™)企业安全性(Active Security),可主动检测并阻止LockerGoga。 趋势科技将勒索软件及其变种检测为Ransom.Win32.LOCKERGOGA.THBOGAI,Ransom.Win32.LOCKERGOGA.AA和Ransom.Win64.LOCKERGOGA.A。 我们仍在继续对LockerGoga进行深入分析,我们将在发现有关此威胁的更多详细信息时更新此FAQ。

关于LockerGoga勒索软件,您需要了解以下内容: 它如何到达系统中?

对LockerGoga的进一步研究表明,勒索软件已被重命名的PsExec工具删除并执行。 它是被各种勒索软件(例如SOREBRECT和Bad Rabbit)滥用的同一系统管理工具。 这可能意味着网络已经受到威胁,攻击者进行了横向移动。 由于PsExec需要凭据才能起作用,因此攻击者可能已经通过蛮力,鱼叉式钓鱼或先前的恶意软件感染或攻击获得了凭据。

LockerGoga的破坏性例程还可以提供有关其分布方式的线索。 由于勒索软件既没有给受害者提供恢复文件的机会,也没有明确要求其付款,因此LockerGoga的发行很可能是针对性的,目的是破坏操作。 LockerGoga是一个新的勒索软件系列吗?

据报道,LockerGoga是在对法国工程咨询公司Altran Technologies的袭击中使用的之后,于今年1月首先发布了这一消息。 根据该公司的新闻稿,Altran Technologies关闭了其IT网络和所有应用程序以缓解威胁。 它还影响了其在欧洲某些国家/地区的运营。 LockerGoga感染系统后会怎样?

安装后,LockerGoga会通过更改其密码来修改受感染系统中的用户帐户。 它还尝试注销登录到系统的用户。 然后,它将自己重新放置在 temp 文件夹中,然后使用命令行(cmd)重命名。 使用的命令行参数不包含加密目标文件的文件路径。

LockerGoga加密存储在台式机,笔记本电脑和服务器等系统上的文件。 每次LockerGoga加密文件时,都会修改注册表项( HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ RestartManager \ Session00 {01-20} )。 加密过程完成后,LockerGoga将赎金记录留在桌面文件夹中的文本文件(README_LOCKED.txt)中。 LockerGoga的赎金记录 LockerGoga的代码快照显示了加密目标文件扩展名列表 LockerGoga如何传播?

初步分析显示,LockerGoga本身似乎不具备像WannaCry或Petya / NotPetya那样的传播能力。

静态分析还显示,LockerGoga枚举了受感染系统的Wi-Fi和/或以太网网络适配器。 然后它将尝试通过 CreateProcessW 函数通过命令行( netsh.exe接口设置接口 DISABLE )禁用它们以断开连接 来自任何外部连接的系统。 LockerGoga在加密过程之后但注销当前帐户之前运行此例程。 这是一个值得注意的行为。 由于LockerGoga已经通过更改帐户密码将用户锁定在系统之外,因此它的文件加密例程被认为不太重要。 LockerGoga的代码快照,显示LockerGoga如何禁用受感染系统的网络适配器 LockerGoga如何逃避传统的安全解决方案?

LockerGoga的代码使用各种有效的证书进行了数字签名-Alisa Ltd.,Kitty’s Ltd.和Mikl Limited。 此后这些证书已被撤销。 使用有效证书可能会使勒索软件进入系统。 LockerGoga没有网络流量,因此可以避开基于网络的防御。

LockerGoga还具有可以逃避沙箱和虚拟机(VM)的例程。 例如,某些LockerGoga变体的主进程线程在执行之前会休眠100次以上。 这是各种勒索软件系列和其他威胁(例如在有针对性的攻击中使用的那些威胁)使用的一种技术。 LockerGoga的某些变体还规避了基于机器学习的检测引擎。 我们仍在验证这些反沙盒和反机器学习功能的特定变体。 这种策略并不陌生:例如,某些Cerber勒索软件变体具有类似的技术。 LockerGoga会加密哪些文件类型?

LockerGoga的加密过程是基于实例的,与大多数勒索软件系列相比,这是不寻常的。 这意味着勒索软件为其加密的每个文件生成一个进程。 但是,某些变体会在每个生成的进程中加密多个文件。 LockerGoga可以加密文档和PDF,电子表格和PowerPoint文件,数据库文件,视频以及JavaScript和Python文件。 以下是LockerGoga旨在加密的一些文件扩展名: .doc,.dot,.docx,.docb,.dotx,.wkb,.xlm,.xml,.xls,.xlsx,.xlt 、. xltx,.xlsb,.xlw,.ppt,.pps,.pot,.ppsx,.pptx,.posx,.potx,.sldx,.pdf,.db,.sql,.cs,.ts,.js, .py。

LockerGoga的某些变体具有某些参数,包括但不限于:加密特定文件,擦除文件,赎金记录中使用的电子邮件,甚至是所有文件类型的加密。

在我们分析的某些样本中,LockerGoga阻止受害者重新启动受感染的系统。 LockerGoga的加密过程几乎没有白名单。 这意味着它还将对Windows启动管理器(BOOTMGR)进行加密,从而有助于启动操作系统。 下图显示了重新启动受感染系统后显示的消息。

受感染的系统在重新启动后显示的提示 LockerGoga加密的系统和文件可以解密吗?

目前,尚无已知方法来解锁或解密由LockerGoga加密的系统和文件。 值得注意的是,与其他勒索软件系列相比,某些LockerGoga变体没有要加密的文件列表,而且我们发现的所有变体都无法使受感染的系统正常运行,以使受害者能够支付赎金。 或使用解密工具。 LockerGoga是有针对性的攻击吗?

没有明确的迹象表明LockerGoga被用作实际针对性攻击的一部分,这与攻击者可能使用Ryuk勒索软件的方式不同。 另一方面,与使用HDDCryptor,Erebus Linux勒索软件和Crysis的方式类似,可以使用LockerGoga并将其部署为攻击某些目标的系统。 例如,LockerGoga既没有网络和命令控制(C&C)活动,也没有依靠C&C服务器生成加密密钥,这两种都是在网络驱动的勒索软件攻击中很常见的。 LockerGoga是否与Ryuk勒索软件有任何联系?

虽然可以说两个勒索软件系列都已用于特定目标,但LockerGoga似乎没有与Ryuk勒索软件的直接链接。 例如,LockerGoga缺少Ryuk拥有的某些例程,例如网络传播和信息盗窃。 这是LockerGoga和Ryuk之间的比较: 琉克 储物柜 SHA-1 f047f4f4aa45c4ad3f158462178c0cfcc7373fe2 37cdd1e3225f8da596dc13779e902d8d13637360 b5fd5c913de8cbb8565d3c7c67c0fbaa4090122b 平台 Windows NT Windows NT 编译器 Microsoft Visual C ++ Microsoft Visual C ++(2015年) 赎金注意 RyukReadMe.txt README-NOW.txt,README_LOCKED.txt(取决于变体) 安装 文件名原样; 从执行目录执行; 注入了除 csrss.exe,explorer.exe和lsaas.exe 之外的所有正在运行的进程 删除为%TEMP%\ svc {random}。{random number} .exe; 执行为%TEMP%\ svc {random}。{random number} .exe-{random}-{random} {random} %TEMP%\ tgytutrc {4 Random Numbers} .exe 扩展名附加到加密文件 .ryk 。锁定 流程终止 停止与AV有关的进程或服务,与SQL有关的应用程序,备份管理软件服务以及Microsoft Office进程 启动例行程序 HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run 和 svchos = {文件路径原样\文件原样} 加密文件 文档,图像,电子表格和PDF(以下文件夹中的文件除外):$ Recycle.Bin,Windows,Mozilla,Chrome,AhnLab 除%Program Files%,%ProgramData%,%System Root%\ Recycle Bin和%System Root%\ Boot以外的文档,电子表格,幻灯片,媒体和脚本等 显着行为 通过 vssadmin.exe 和 / all / Quiet 删除所有卷影副本 修改所有用户帐户的密码 加密演算法 RSA-4096和AES-256加密算法 加密++ 档案结构 未包装 未包装 用户和企业如何抵御LockerGoga?

以下是一些针对勒索软件(例如LockerGoga)的最佳实践: 定期备份文件。 保持系统和应用程序更新,或对旧的或不可补丁的系统和软件使用虚拟补丁程序。 实施最小特权原则:攻击者可以滥用的安全系统管理工具; 实施网络分段和数据分类,以最大程度地减少关键任务和敏感数据的进一步暴露; 禁用可用作入口点的第三方或过时的组件。 确保电子邮件网关的安全,以通过垃圾邮件阻止威胁,并避免打开可疑电子邮件。 深入实施防御:应用程序控制和行为监控之类的附加安全保护有助于阻止对系统的不必要修改或异常文件的执行。 在工作场所培养安全文化。

自PDT于2019年3月20日晚上8:20更新,以阐明以下详细信息:LockerGoga如何禁用受感染系统的网络适配器; 使用RDP; 删除备份; 和用于加密的文件扩展名。

已于PDT于2019年3月28日晚上11:06更新,以添加可能的到达方法和所分析的其他一些变体的新更新。

PDT于2019年4月11日12:17更新,以澄清有关LockerGoga被用作目标攻击的一部分的小标题。 郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢