全球最大的铝业集团遭受LockerGoga勒索攻击—LockerGoga相关信息整理

发表于 2019-03-28  140 次阅读


文章目录

背景

近日,全球最大的铝供应商---挪威Norsk Hydro于2019年3月19日遭到勒索软件LockerGoga的攻击。该勒索软件是2019年1月出现的新型勒索病毒。

未避免勒索软件进行传播,该公司紧急停止了某些自动化流程,将一些工作进行手动操作,并且,该公司具有良好的数据备份习惯,并未向攻击者支付赎金,目前以能处理所有订单并完成交付,最新消息有该公司的facebook跟进公布m.facebook.com/story.php?story_fbid=2214724385216553&id=106673529354993。

关于LockerGoga

根据Recorded Future的调查结果,LockerGoga首次爆发于今年1月下旬,当时它被用于对抗法国工程咨询公司Altran。在第一次活动期间,LockerGoga恶意二进制文件由以前未知的代码签名机构MIKL LIMITED进行数字签名。在Altran攻击之后,该证书的信任被撤销。与Norsk Hydro袭击有关的新样本似乎是由ALISA LTD签署的 - 再次是一个相对不为人知的实体。此证书的信任现已被撤销。还有由KITTY LTD签署的LockerGoga二进制文件,今年2月由来自美国,土耳其和德国的VirusTotal用户上传,并且似乎仅在该活动期间使用过。

而根据公开威胁情报信息显示,该家族勒索样本最早是由罗马尼亚地区上传至VT,而且病毒名后的“Goga”是罗马尼亚的姓氏,部分安全研究人员猜测其起源可能为罗马尼亚

LockerGoga简单分析:

该样本不具备传播功能,且根据分析显示,该样本似乎依据参数进行不同的加密方式

所以小编大胆猜测了一下,或许在勒索病毒之前,还有一个类似于功能为启动及传播的dropper,用于传播和以不同参数启动勒索病毒。

  
Sha256  
  
7bcd69b3085126f7e97406889f78ab74e87230c11812b79406d723a80c08dd26  

样本首先会进行提升权限相关操作

之后应该会检测参数(小编技术有限没有分析到具体的检测方法),若没有参数,则将自身拷贝到%temp%下,以硬编码的” zzbdrimp”加四位数字命名,四位数字生成方式

之后以move命令进行移动拷贝

拷贝成功后,以”-m”参数启动

经分析发现,“-m”似乎意味着破坏,以该参数启动后,勒索病毒生成勒索提示信息

之后采用硬编码的公钥进行加密,而且是加密所有文件!!!!注意是所有文件,目的完全就是破坏了!

而且会通过参数” -i SM-zzbdrimp -s”同时进行加密

虽然“-m”参数是完全破坏性的,加密所有文件,但勒索病毒还是内置有硬编码的扩展名列表,如下

如果以”-l”参数启动,则会创建log文件,用于记录加密的文件

总结:
无论对于企业还是个人,勒索病毒危害极大。未防止中招丢失数据,应做好数据备份,个人用户吐槽归吐槽,有时还是装个杀软靠谱,杀软再流氓总比真正的流氓要好。

Ioc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参考链接:

https://www.recordedfuture.com/lockergoga-ransomware-insight/
https://www.bleepingcomputer.com ... d-in-altran-attack

本站文章基于国际协议BY-NA-SA 4.0协议共享;
如未特殊说明,本站文章皆为原创文章,请规范转载。

0

Follow my heart. Ожидающий вас.