H χρήση ενός a .lnk filepath περιέχει μια σειρά από erros τα οποία σταματούν το ransomware ακόμη και πριν από τη διαδικασία κρυπτογράφησης.
Ερευνητές σημείωσαν ότι η δημιουργία μιας κακόβουλης μορφής αρχείου ‘.lnk’ μπορεί να προστατεύσει τα συστήματά σας από την εκτέλεση τουλάχιστον ορισμένων δειγμάτων του ransomware Lockergoga.
Το LockerGoga, το ransomware που έπληξε τον γίγαντα αλουμινίου Norsk Hydro και δύο άλλες αμερικανικές χημικές εταιρείες, περιέχει ένα σφάλμα στον κώδικα του που θα μπορούσε να επιτρέψει στα θύματα να «εμβολιάσουν» τα συστήματά τους και να σταματήσουν το ransomware ακόμα και πριν ξεκινήσει την κρυπτογράφηση αρχείων.
Οι ερευνητές ασφαλείας από την Alert Logic αποκάλυψαν το σφάλμα κωδικοποίησης του ransomware.
Οι ερευνητές αναφέρουν ότι το ransomware, όταν έπεσε στο host system, εκτέλεσε μια πρώτη σάρωση αναγνώρισης για τη συλλογή λιστών αρχείων πριν ξεκινήσει η διαδικασία κρυπτογράφησης.
- Οι λίστες αρχείων περιλαμβάνουν μια επέκταση αρχείου .lnk, η οποία είναι μια συντόμευση που χρησιμοποιείται στα Windows για τη σύνδεση αρχείων.
- Αυτό το αρχείο .lnk χρησιμοποιεί τα ενσωματωμένα shell32 / linkinfo DLLs για να επιλύσει τη διαδρομή ‘.lnk’.
- Ωστόσο, το .lnk filepath περιέχει μια σειρά από errors, τα οποία σταματούν το ransomware ακόμη και πριν από τη διαδικασία κρυπτογράφησης.
Οι ερευνητές έχουν ανακαλύψει δύο πιθανά ενδεχόμενα αποτροπής του ransomware από το αρχείο .lnk και είναι τα εξής:
- Το αρχείο .lnk έχει δημιουργηθεί ώστε να περιέχει μια μη έγκυρη διαδρομή δικτύου.
- Το αρχείο ‘.lnk’ δεν έχει κανένα σχετικό RPC endpoint.
Αξίζει να σημειωθεί ότι οι ερευνητές τόνισαν ότι η δημιουργία ενός κακόβουλο αρχείο .lnk μπορεί να προστατεύσει τα συστήματά σας από την εκτέλεση τουλάχιστον ορισμένων δειγμάτων του ransomware Lockergoga.
