Баг в коде вымогателя LockerGoga может остановить шифрование

Баг в коде вымогателя LockerGoga может остановить шифрование

Баг в коде вымогателя LockerGoga может остановить шифрование

Вымогатель LockerGoga, на прошлой неделе атаковавший норвежскую нефтегазовую и металлургическую компанию Norsk Hydro, содержит баг в коде, который может привести к сбою в работе вредоноса. Таким образом, есть возможность спасти все локальные файлы от шифрования.

Ошибка в коде была обнаружена исследователями в области безопасности из компании Alert Logic. По словам экспертов, баг содержится в подпрограмме вымогателя, которая запускается до старта процесса шифрования.

Эта подпрограмма отвечает за сканирование всех файлов на компьютере жертвы. Именно так шифровальщик определяет, какие файлы зашифровать, а какие пропустить.

В Alert Logic заявили, что LockerGoga аварийно завершит свою работу в том случае, если подпрограмма для сканирования наткнется на файл LNK (ярлык) с неправильным путем.

«Мы выявили два условия для файлов “.lnk“, которые позволяют остановить вымогатель. Во-первых, ярлык должен содержать некорректный сетевой путь. Во-вторых, этот файл не должен ассоциироваться с конечными точками RPC», — пишет команда Alert Logic.

Такой недостаток может позволить антивирусным компаниям создать специальную «вакцину», которая будет подразумевать наличие файла LNK, что не позволит вымогателю LockerGoga отработать.

На прошлой неделе мы писали, что норвежская нефтегазовая и металлургическая компания Norsk Hydro, один из крупнейших мировых производителей алюминия, подтвердила, что «стала жертвой масштабной кибератаки». Есть информация о том, что злоумышленникам удалось повредить инфраструктуру компании, вынудив ее вернуться к ручным операциям.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Россиянам в Telegram рассылают вредоносные APK от имени Красного Креста

Мошенники распространяют в Telegram вредоносные APK с поддельных аккаунтов Международного Комитета Красного Креста (МККК). Судя по тексту сообщений и названиям файлов, рассылка ориентирована на семьи участников СВО.

Адресату предлагают подать заявку на поиск пропавшего без вести военнослужащего. Имена вредоносных аттачей варьируются: список военнопленных.apk, приложение Красного Креста.apk, фотоальбомы пленных.apk и т. п.

 

МККК напоминает о том, что скачивать присланные незнакомцем файлы опасно: это может привести к взлому профилей в соцсетях, банковских приложений, а также к утечке персональных данных. Единственный русскоязычный аккаунт международной организации в Telegram — @mkkk_ru.

Рассылки Android-вредоносов в популярном мессенджере нередки. Использующие социальную инженерию мошенники могут выдать такого зловреда за фото, видео, мод приложения или игры.

Главное в таких случаях — не поддаваться первому порыву и сохранять бдительность. В противном случае можно утратить контроль не только над смартфоном, но и над своими счетами в банках.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru