Что такое программа-вымогатель Lockergoga?
Lockergoga — опасная порода программ-вымогателей, вызывающая паралич промышленных предприятий. Среди его первых целей был норвежский производитель алюминия Norsk Hydro. Его атака вынудила компанию перевести многие операции на ручной режим. Другими жертвами вредоносного ПО стали французская инженерно-консалтинговая фирма Altran и производственные компании Hexion и Momentive.
Что может программа-вымогатель Lockergoga?
Исследователи кибербезопасности отмечают, что программа-вымогатель Lockergoga очень разрушительна и предназначена для создания хаоса, а не для зарабатывания денег для преступников, стоящих за ней. То есть его основной целью может быть саботаж промышленных фирм.
В режиме атаки Lockergoga не использует никаких тактик обфускации или уклонения, которые обычно используются другими вредоносными объектами. Единственное, что зашифровано, — это ключ RSA, который используется на последних этапах атаки. Это говорит о том, что злоумышленники, стоящие за вредоносным ПО, скорее всего, обладают инсайдерской информацией о мерах безопасности, применяемых их целевыми фирмами. Это то, что дает киберпреступникам уверенность в развертывании вредоносного объекта, который практически не фокусируется на скрытности.
Однако LockerGoga зависит от кода с цифровой подписью от доверенных компаний по обеспечению безопасности, который может обмануть системы, позволяя вредоносным программам запускать свой вредоносный код. Цифровые сертификаты, которые изначально позволяли это сделать, с тех пор были отозваны.
Вредоносный объект также может обходить песочницы и виртуальные машины, оставаясь бездействующим в течение длительного периода времени. Некоторые версии Lockergoga также могут обходить системы обнаружения на основе машинного обучения — метод, который также используется другими штаммами программ-вымогателей.
Вредоносное ПО Lockergoga
После успешного проникновения на устройство вредоносное ПО Lockergoga изменяет пароли и данные для входа в систему различных владельцев учетных записей. Он также попытается выйти из системы пользователей, которые уже вошли в систему.
После этого вредоносное ПО перемещается на температура папку, в которой он переименовывает себя с помощью командной строки. Затем Lockergoga шифрует файлы, хранящиеся во всей сети или в той части сети компьютеров, которые она может заразить, но имеет код, который защищает ее собственные файлы и папки от заражения. Каждый раз, когда вредоносная программа заражает файл, она изменяет следующий раздел реестра (HKEY_CURRENT_USER\SOFTWARE\Microsoft\RestartManager\Session00{01-20}).
Наконец, программа-вымогатель оставляет файл README_LOCKED.txt, в котором подробно описаны условия выкупа. Записка о выкупе предостерегает жертв от выключения своих компьютеров, переименования зашифрованных файлов или перемещения зашифрованных файлов, поскольку, как указывается в записке, такие действия могут сделать невозможным восстановление документов.
Lockergoga также отличается от других штаммов программ-вымогателей тем, что не указывает сумму выкупа, которую необходимо заплатить. В примечании лишь говорится, что те, кто выйдет на контакт раньше, получат более выгодные условия.
Как удалить программу-вымогатель Lockergoga
Программа-вымогатель Lockergoga представляет собой очень серьезную угрозу для промышленных систем и производителей в целом. Вот почему важно завершить все процессы, связанные с вредоносным ПО Lockergoga, как только они будут обнаружены.
Несмотря на свои впечатляющие возможности, вредоносное ПО Lockergoga уступает силе программное обеспечение для защиты от вредоносных программ. Отчасти причина в том, что у исследователей кибербезопасности было время изучить вирус и его методы работы, что делает его легкой мишенью для удаления.
Возможно, вы где-то читали, что записка с требованием выкупа предостерегает от выключения вашего компьютера. Что ж, вам не следует принимать этот совет во внимание, учитывая, что в какой-то момент вам придется запустить компьютер в безопасном режиме с поддержкой сети, поскольку это наиболее эффективный способ борьбы с угрозой вредоносного ПО.
Тем не менее, вам также необходимо очистить свое устройство от любых временных файлов, загрузок, истории просмотров и всех других форм беспорядка, потому что вредоносные объекты, включая Lockergoga (который находится во временной папке), прячутся в таких местах. А инструмент для ремонта ПК вам будет легче это сделать.
В рамках этого руководства по удалению Lockergoga мы предложим подсказку о том, скольким организациям удалось отразить атаку вредоносного ПО Lockergoga. Они просто обновили свои системы и воспользовались исправлениями безопасности, предоставленными Microsoft. Таким образом, если вы хотите защититься от программ-вымогателей, начните с того же.
