安全研究 >> 安全研究详情

预警!美国两家化工巨头再遭LockerGoga勒索攻击

作者: 美创科技安全实验室发布日期: 04月01日

新型勒索软件 LockerGoga 攻击挪威铝制造巨头公司 Norsk Hydro 后,它又入侵了另外两家美国化学公司 Hexion 和 Momentive。


根据赎金消息,瞄准 Hexion 和 Momentive 的勒索软件似乎是 LockerGoga,同样的勒索软件迫使铝制造巨头 Norsk Hydro 关闭其全球网络。Hexion 与 Momentive 攻击相关的赎金消息与已知的 LockerGoga 攻击交叉引用,语言和格式相同。


根据 Momentive 一位要求保持匿名的员工的说法,该攻击是在3月12日开始的。由于此次攻击,大量关键数据都从系统中丢失。公司的 Windows 计算机出现了蓝屏错误并且文件被加密。


Momentive 公司承认遭遇勒索攻击,并为受勒索软件攻击影响的员工提供了新的工作电子邮箱帐户,因为他们的旧邮件仍然无法访问,他们正在使用新的 domain-momentiveco.com 用于新的电子邮件地址而不是 momentive.com。由于攻击造成的网络中断,Momentive 公司不得不紧急更换数百台计算机。



此次攻击表明,LockerGoga 勒索软件背后的黑客可能比以前想象的更加活跃。在此之前,有两个已知的 LockerGoga 受害者,一种相对较新的恶意软件感染计算机,加密他们的文件并要求勒索赎金。第一个受害者是 Altran,一家法国工程咨询公司,于1月底被击中。第二个是挪威铝业巨头 Norsk Hydro。


LockerGoga 感染系统后会发生什么?


安装后,LockerGoga 会通过更改密码来修改受感染系统中的用户帐户。它还会尝试注销登录到系统的用户。然后将自身重新定位到临时文件夹,并使用命令进行重命名。使用的命令行参数不包含要加密的文件路径。


LockerGoga 能够加密存储在台式机、笔记本电脑和服务器等系统上的文件。每当LockerGoga 加密文件时,都会修改注册表项(HKEY_CURRENT_USER\SOFTWARE\Microsoft\RestartManager\Session00{01-20})。加密之后,LockerGoga 在桌面文件夹中的文本文件(README_LOCKED.txt)中留下赎金通知。 


与知名的勒索软件 WannaCry 和 Petya 不同,LockerGoga 不会在短时间内广泛传播,只是通过Wi-Fi或以太网适配器来禁用系统。这在 Hexion 和 Momentive 攻击中很明显,只有固定数量的系统被感染。


接下来,划重点

美创“诺亚”防勒索系统

可全面拦截该勒索病毒


将病毒样本解压出来


双击运行


病毒试图移动文件被拦截


并提示用户隔离病毒


日志中记录了拦截的的行为以及时间等


查看注册表,并未被修改



服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备 09009762号-1