LockerGoga: Bugungi kunda ransomware haqida nimalar ma’lum?
LockerGoga odatiy ransomwaredan ko’ra ko’proq artgichga o’xshaydi.
Yaqinda LockerGoga ransomware dasturining paydo bo’lishi sanoat kompaniyalari orasida keng vahima qo’zg’atdi. O’tgan hafta Norvegiya kompaniyasi va dunyodagi yetakchi alyuminiy ishlab chiqaruvchilardan biri bo’lgan Norsk Hydro zararli dastur qurboniga aylandi va hujum natijasida taxminan 40 million dollar yo’qotdi. Xavfsizlik tadqiqotchilari ushbu sirli ransomware dasturining kelib chiqishi, tizimlarni qanday yuqtirishi va hujumlar ortida kim turgani kabi savollarga javob topishga harakat qilishmoqda. Biroq, hozirda LockerGoga haqida juda kam narsa ma’lum. Tadqiqotchilarning yagona fikri shundaki, ransomware operatorlari doimiy ravishda yangi funksiyalarni qo’shib, maksimal moliyaviy zarar yetkazishga harakat qilmoqdalar.
LockerGoga birinchi marta shu yilning yanvar oyida, Fransiyaning Altran Technologies kompaniyasiga hujum qilganida ma’lum bo’ldi. O’shandan beri zararli dasturning bir nechta variantlari paydo bo’ldi, ular Norsk Hydro, shuningdek, ikkita Amerika kimyoviy kompaniyasi – Hexicon va Momentivega qilingan hujumlarda ishlatilgan. Palo Alto Networks’ning 42-bo’limi jamoasi kod va funksionallik jihatidan asl LockerGoga o’xshash 31 ta zararli dastur namunalarini aniqladi.
LockerGoga nomining kelib chiqishini tushunishga urinishda, 42-bo’lim tadqiqotchilari Altran Technologies kompaniyasiga hujum qilgan ransomware kodini o’rganib chiqdilar va LockerGoga haqida birorta ham satr topa olmadilar. Bu nom, aftidan, MalwareHunterTeam tomonidan kashf etilgan SHA-256 bdf36127817413f625d2625d3133760af724d6ad2410bea7297ddc116abc268f uchun X:\work\Projects\Locker\Gogacl-src-last\cryptopps\r\crijndael_simd.cpp manba kod katalogidan kelib chiqqan. Bu satr Symantec tomonidan Ransom.GoGalocker sifatida aniqlangan avvalgi ransomware varianti bilan bog’liq holda ham paydo bo’ladi.
Ko’pgina tadqiqotchilar LockerGoga murakkab dastur emasligiga qo’shilishadi. Hozirda ransomware viruslarga qarshi funksiyaga ega emas, ya’ni u mustaqil ravishda tarqala olmaydi. 42-bo’lim mutaxassislari LockerGoga ning SMB protokoli orqali tarmoq bo’ylab harakatlanayotganini aniqladilar, ammo tajovuzkorlar uni shunchaki bir kompyuterdan boshqasiga qo’lda nusxalashdi va joylashtirishdi.
Asl LockerGoga C++ tilida osongina mavjud bo’lgan Boost, Cryptopp va regex kutubxonalari yordamida yozilgan. Maqsadli tizimda muvaffaqiyatli ishlashi uchun zararli dastur administrator imtiyozlarini talab qiladi, ammo tadqiqotchilar hali ham bu mexanizmni tushuna olmayaptilar.
Ishga tushirilgandan so’ng, ransomware kompyuterdagi va ulangan tashqi disklardagi barcha fayllarni shifrlaydi va ekranda ransom talabi va elektron pochta manzili paydo bo’ladi. .dll, .lnk, .sys va .locked kengaytmali fayllar, Microsoft\Windows\burn kataloglaridagi fayllar, dat va log fayllari, ntsuser yoki usrclass bilan boshlanadigan fayllar va readme-now.txt fayli shifrlanmagan.
