بدافزارها

باج افزار LockerGoga
۱۹ فروردین ۱۳۹۸

باج افزار LockerGoga

باج افزار LockerGoga بدافزاری است که اخیرا به قفل کردن فایل‌های شرکت‌های اروپایی پرداخته است. به عنوان مثال شرکت‌ فرانسوی Altran و شرکت نروژی Norsk Hydro از جمله شرکت‌های اروپایی هستند که مورد حمله قرار گرفتند. این باج افزار خطوط تولیدی این شرکت‌ها را متوقف کرده و شرکت‌های قربانی را مجبور کرده تا به عملکرد دستی روی بیاورند. باج افزار LockerGoga برای رمز نمودن فایل‌ها از الگوریتم‌های رمزنگاری AES-256 و RSA-1024 استفاده می‌نماید. همچنین پسوند .locked را به انتهای فایل افزوده و متن باج خواهی با عنوان README-NOW.txt را به قربانی نمایش می‌دهد. قربانیان از طریق رایانامه‌ای که در متن باج خواهی آورده شده است بایستی با قربانیان تماس گرفته و از میزان باج درخواستی اطلاعات کسب نمایند. جالب است بدانید هر چقدر سریع‌تر قربانی با این مجرمان تماس بگیرد قیمت کمتری را نیز خواهد پرداخت و هر چه این زمان طولانی‌تر گردد، قیمت‌ها نیز افزایش می‌یابد. همچنین این بدافزار به راحتی می‌تواند راهکارهای امنیتی را دور بزند و همچنین این بدافزار به صورت دیجیتالی امضا شده است. البته گواهی نامه این امضای دیجیتال هم اکنون باطل شده است. این بدافزار گذرواژه قربانی را تغییر داده و آن‌ها را از سیستم بیرون می‌اندازد. باج افزار LockerGoga شبیه باج افزارهای Evebe، GusCrypter و Vrten می‌باشد.

ویژگی‌های باج افزار LockerGoga

نام LockerGoga ransomware
نوع Cryptovirus
اولین هدف The French engineering consultancy Altran Technologies in January 2019
یادداشت باج افزار README-NOW.txt
پسوند فایل .locked
فایل‌های مرتبط hvwfcsky1377.bin, Kopya.exe, worker32, b3d3da12ca3b9efd042953caa6c3b8cd, tgytutrc7290.exe
امضاهای ssl Alisa LTD, Sectigo RSA Code Signing CA, USERTrust Secure, Kitty’s Ltd., Mikl Limited (all revoked)
شناسایی شده به عنوان
  • Win32:Trojan-gen
  • Ransom.crysis
  • Win32 / Filecoder.LockerGoga.A
  • TR / Crypren.lydxc
  • Trojan: Win32 / Occamy.C
  • Ransom.Enciphered
  • Etc.
رایانامه [email protected], [email protected], [email protected], [email protected]
الگوریتم رمزنگاری RSA-1024 and AES-256
توزیع Spam email attachments, brute-force attacks
حذف Use Malwarebytes Malwarebytes for LockerGoga ransomware removal

روش‌های مورد استفاده باج افزار  LockerGoga

اولین شرکتی که مورد حمله قرار گرفت یک شرکت مشاوره مهندسی بود. بعد از حمله باج افزار Goga، این شرکت شبکه و برنامه‌های کاربردی خود را برای مدتی متوقف کرد. باج افزار LockerGoga یک بدافزار رمزنگاری است که هدف اصلی آن رمز نمودن فایل‌های قربانی و سپس درخواست باج می‌باشد. این بدافزار دو روند “worker” و “worker32” را بر روی سیستم قربانی فراخوانی می‌نماید. ابن بدافزار LockerGoga قبل از اجرای هر گونه فعالیتی اطمینان حاصل می‌نماید که دستگاهی که به آن حمله کرده است یک سندباکس و یا ماشین مجازی نباشد. همچنین این بدافزار از یادگیری ماشین و موتورهای AV دوری می‌نماید. تمامی این روش‌ها توسط این بدافزار برای جلوگیری از شناسایی شدن مورد استفاده قرار می‌گیرد.

باج افزار LockerGoga از الگوریتم‌های رمزنگاری RSA-1024 و AES-256 برای حمله به شرکت‌ها و سازمان‌های بزرگ استفاده می‌نماید. این فایل‌ها با پسوندهایی مانند .doc, .pdf, .ppt, .xlm, .xlsx, .js, .pptx, .,db, etc. توسط این بدافزار رمز می‌شوند. روند رمزنگاری تنها چند دقیقه تنها به طول می‌انجامد زیرا این بدافزار از تمامی هسته‌های CPU استفاده می‌نماید.

در ارتباط با قربانیان این بدافزار لازم است نکات زیر را بدانید زیرا تمامی قربانیان این بدافزار ویژگی‌های زیر را داشته‌اند:

  • دارای سیستم عامل ویندوز بوده‌اند
  • فایل‌هایشان رمز شده
  • اینترنتشان قطع شده
  • گذرواژه سیستمشان تغییر کرده

مطابق با تحقیقات سیسکو تالوس این بدافزار بیشتر شبیه یک پاک‌کننده (wiper) است تا اینکه مخرب باشد. البته این محققان می‌گویند هدف اصلی و نهایی این باج افزار را تنها خود مجرمان می‌دانند. این بدافزار عموما از طریق رایانامه منتشر می‌گردد.

راهکارها

استفاده از راهکارهای امنیتی از قبیل استفاده از ضد ویروس معتبر در شناسایی این بدافزار تاثیر بسزایی دارد. همچنین بدافزار LockerGoga از طریق رایانامه منتر می‌گردد، در نتیجه استفاده از راهکارهای امنیتی تشخیص هرزنامه و همچنین آموزش کاربران برای عدم بازگشایی رایانامه‌های مشکوک ضروری است. علاوه بر آن لزوم تهیه پشتیبان به صورت منظم واجب است تا اگر تحت حمله این بدافزار قرار گرفتید بتوانید اطلاعات خود را بازگردانید.


تازه ترین ها