0410_圖片1.png

 

據 Securonix 的研究報告指出,LockerGoga 為害對象是以企業內的 Windows 電腦  IT 與 OT(Operational Technology)系統為主;近期對挪威海德魯鋁業公司和其他受害企業造成的損失,約在三千五百萬到四千一百萬美金之間。

LockerGoga 的主要感染途徑,據研究指出很可能是透過夾帶惡意巨集的 MS Word 或 RTF 文件檔的釣魚郵件散布。

LockerGoga 內建多個發行商發行的合法數位簽章,因此能夠躲過某些惡意軟體入侵偵測系統;報告也指出某些 LockerGoga 的變體更包含了 taskkill 指令,能夠直接停止各種防毒防駭軟體的運作。

也有部分變體版本能夠刪除 Windows 內的事件記錄檔案。

LockerGoga 也像其他惡意軟體一樣,能透過 SMB 在內部網路中尋找對象 Windows 電腦進行感染;甚至還能透過 Active Directory 在內部網路中大量散布。

一旦 Windows 電腦感染 LockerGoga 後,檔案系統內的
doc、.dot、.docx、.docb、.dotx、.wkb、.xlm、.xml、.xls、.xlsx、.xlt、.xltx、.xlsb、.xlw、.ppt、.pps、.pot、.ppsx、.pptx、.posx、.potx、.sldx、.pdf、.db、.sql、.cs、.ts、.js、py 等檔案,便會用勒贖軟體內建的 RSA-1024 公鑰來將檔案加密用的 AES-256 私鑰進行加密。遭加密的檔案其附檔名會被改為 .locked。

其餘的詳細流程可直接參考 Securonix 的研究報告。
 

    twcert 發表在 痞客邦 留言(0) 人氣()