歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

全球最大鋁生產商挪威海德魯(Norsk Hydro)遭到LockerGoga勒索病毒攻擊

來源:本站整理 作者:佚名 時間:2019-03-25 TAG: 我要投稿

據外媒報道,全球最大鋁生產商之一挪威海德魯(Norsk Hydro)公司于本月19號遭到一款新型勒索軟件LockerGoga攻擊,企業IT系統遭到破環,被迫臨時關閉多個工廠并將挪威、卡塔爾和巴西等國家的工廠運營模式改為“可以使用的”手動運營模式,以繼續執行某些運營。
深信服安全團隊捕獲到造成該重大事故的“罪魁禍首”—— LockerGoga勒索病毒的樣本,并對其進行了詳細的技術分析。
樣本信息
1.勒索信息文件:

2.加密后文件以”.locked”作為后綴:

詳細分析
1.病毒文件會修改自身進程權限:

2.調用cmd命令復制自身到Temp目錄下,文件名以硬編碼的字符串“yxugwjud“+四位隨機數字組成:


3.隨后以-m參數啟動以進行后續的加密操作:

4.生成勒索信息文件READMI_LOCKED.txt:

5.使用硬編碼的公鑰對文件進行加密:

6.加密后修改文件后綴為”.locked”:

7.同時以” -i Global\SM-yxugwjud -s”為參數不斷創建自身線程:

8.另外,雖然勒索病毒文件中硬編碼了一些指定的文件后綴,但該勒索病毒似乎不限于指定類型的文件,會將系統中所有的文件都進行加密,破壞性極強:

解決方案
針對已經出現勒索現象的用戶,由于暫時沒有解密工具,建議盡快對感染主機進行斷網隔離。深信服提醒廣大用戶盡快做好病毒檢測與防御措施,防范該病毒家族的勒索攻擊。
病毒防御
深信服安全團隊再次提醒廣大用戶,勒索病毒以防為主,目前大部分勒索病毒加密后的文件都無法解密,注意日常防范措施:
1、及時給電腦打補丁,修復漏洞。
2、對重要的數據文件定期進行非本地備份。
3、不要點擊來源不明的郵件附件,不從不明網站下載軟件。
4、盡量關閉不必要的文件共享權限。
5、更改賬戶密碼,設置強密碼,避免使用統一的密碼,因為統一的密碼會導致一臺被攻破,多臺遭殃。
6、如果業務上無需使用RDP的,建議關閉RDP。
最后,建議企業對全網進行一次安全檢查和殺毒掃描,加強防護工作。
 

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 双色球2016年号码查询 广东时时是真的吗 天龙八部 宝宝 炼丹 赚钱 黑龙江36选7今日开奖 快乐赛车大战破解 今天排列三开奖号码 大嘴棋牌刨幺 黑龙江36选7开奖电视 大乐透周一走势图表图 黑龙江p62中奖号码 浙江体彩20选5中奖表 年轻人赚钱还是学习 陕西快乐十分胆拖玩法 河南十一选五开奖结果走势图表 街机电玩城贪吃蛇 北京赛车官方苹果手机