Специалисты по кибербезопасности из американской компании Alert Logic пишут, что обнаружили баг в нашумевшем шифровальщике LockerGoga, который в теории позволит создать временную «вакцину» против грозного зловреда.
Проблема связана с рутинными операциями LockerGoga, которые выполняются еще до начала шифрования файлов. Так, сначала вымогатель сканирует все файлы в системе жертвы, определяя, что именно будет зашифровано, а что пропущено. Если в это время LockerGoga наткнется на файл-ярлык LNK, содержащий некорректный путь, то процесс малвари завершится с ошибкой, что предотвратит запуск самой процедуры шифрования, и пользователь будет спасен.
Исследователи выявили уже как минимум два способа создания файлов LNK, чтобы те вызывали сбои в работе LockerGoga. В первом случае, как было сказано выше, файл должен содержать некорректный путь. Во втором случае файл не должен ассоциироваться с RPC-эндпоитом.
В Alert Logic полагают, что данная особенность LockerGoga может пригодиться ИБ-специалистам и производителям антивирусных решений. Дело в том, что баг фактически позволяет создать «вакцину»: специальный файл LNK, который не даст стартовать шифрованию. К сожалению, это решение будет актуально лишь до тех пор, пока разработчики LockerGoga не узнали об этой проблеме и не исправили ее в новых версиях.
АКБ напоминает, что неделю назад один из крупнейших мировых производителей алюминия, компания Norsk Hydro, подверглась хакерской атаке LockerGoga , которая повлекла за собой сбой в работе производственных объектов. Из-за кибератаки часть рабочих процессов на производстве переведены в ручной режим, некоторые другие процессы – приостановлены. Кибератака продемонстрировала обратную сторону единой цифровой инфраструктуры: она затронула работу компании в разных странах, в том числе в Норвегии, Катаре и Бразилии. Часть рабочих процессов на производстве были переведены в ручной режим, некоторые другие процессы – приостановлены.
Компания приняла меры для нейтрализации атаки, однако пока затрудняется назвать ее точные масштабы. О том, кто может быть причастен к хакерской атаке, не сообщается.
Позднее появились интересные подробности: компания попала под удар шифровальщика LockerGoga — причем чтобы остановить распространение зловреда, IT-специалистам пришлось изолировать предприятия и перевести несколько из них на ручное управление, в том числе заводы в Бразилии, Катаре и Норвегии на ручной режим перешли плавильные предприятия. Сотрудников просили не включать компьютеры и не присоединяться к корпоративной сети.
До атаки на Norsk Hydro жертвами LockerGoga стали две американские химические компании Hexion и Momentive. При этом реакция американцев на шифровальщик была довольно странной, сообщается, что сперва Momentive «обратились за помощью к вооруженным спецподразделениям SWAT» (?!), а затем просто выбросили всю технику и «заказали сотни новых компьютеров» (видимо грозные окрики спецназа на вирус не повлияли).
