Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

LockerGoga: Что известно о вымогателе на сегодняшний день

28/03/19

hack50Появившееся недавно вымогательское ПО LockerGoga вызвало настоящую панику среди промышленных компаний. На прошлой неделе жертвой вредоноса стал один из мировых лидеров по производству алюминия норвежская компания Norsk Hydro, потерявшая в результате атаки порядка $40 млн.

Исследователи безопасности сбились с ног, в поисках ответа на вопросы откуда взялся мистический вымогатель, каким образом он инфицирует систему, и кто стоит за атаками? Тем не менее, в настоящее время о LockerGoga известно очень мало. Единственно, в чем сходятся исследователи, – операторы вымогателя постоянно добавляют в него новые возможности, а их целью является причинение максимального финансового ущерба.

Впервые о LockerGoga стало известно в январе нынешнего года, когда он атаковал французскую компанию Altran Technologies. С тех пор появилось несколько вариантов вредоноса, использовавшихся в атаках на Norsk Hydro, а также на две американские химические компании Hexicon и Momentive . Специалисты команды Unit 42 компании Palo Alto Networks выявили 31 образец вредоносного ПО, схожий с оригинальным LockerGoga по коду и функционалу.

В попытке разобраться в происхождении названия LockerGoga исследователи из Unit 42 изучили код вымогателя, атаковавшего Altran Technologies, и не нашли там ни одной строки с упоминанием LockerGoga. Очевидно, название было взято из директории исходного кода X:\work\Projects\LockerGoga\cl-src-last\cryptopp\src\rijndael_simd.cpp для SHA-256 bdf36127817413f625d2625d3133760af724d6ad2410bea7297ddc116abc268f, обнаруженной командой MalwareHunterTeam. Эта строка также фигурирует в связи с более ранним вариантом вымогательского ПО, идентифицируемого Symantec как Ransom.GoGalocker.

Большинство исследователей сходятся во мнении, что LockerGoga не является сложной программой. В настоящее время у вымогателя отсутствует функционал червя, то есть, он не может распространяться по сети самостоятельно. Специалисты Unit 42 обнаружили перемещение LockerGoga по сети по протоколу SMB, однако злоумышленники просто копировали и вставляли его вручную от одного компьютера к другому.

Оригинальный LockerGoga написан на языке программирования C++ с использованием доступных библиотек Boost, Cryptopp и regex. Для успешного выполнения на атакуемой системе вредоносу требуются права администратора, однако исследователи до сих пор не могут понять этот механизм.

После выполнения вымогатель шифрует все файлы на компьютере и подключенных к нему внешних накопителях, а на экране появляется уведомление с требованием выкупа и электронным адресом. Не шифруются файлы с расширениями .dll, .lnk, .sys, .locked, файлы в директориях Microsoft\Windows\burn, файлы dat и log, файлы, начинающиеся с ntsuser или usrclass, а также файл readme-now.txt.

Темы:ИсследованиеПреступления
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...