在新型勒索软件LockerGoga攻击挪威铝制造巨头公司Norsk Hydro,造成其关闭网络之后仅仅几天,它又被发现疑似入侵了另外两家美国化学公司Hexion和Momentive的计算机网络。
Hexion和Momentive公司主要生产树脂、有机硅和其他材料,由同一投资基金控制。两家公司于3月12日遭到勒索软件的袭击。根据Momentive一位匿名员工的说法,该攻击是在3月12日开始的。由于此次攻击,大量关键数据都从系统中丢失。公司的Windows计算机出现了蓝屏错误并且文件被加密。
1.LockerGoga勒索攻击一波未平一波又起
根据网络安全研究机构Motherboard的报告,该勒索软件与之前对Norsk Hydro的攻击有许多相似之处,因此研究人员也将此次攻击归因于LockerGoga勒索软件。
Momentive公司承认遭遇勒索攻击,并为受勒索软件攻击影响的员工提高了新的工作电子邮箱帐户。由于攻击造成的网络中断,Momentive公司不得不紧急更换数百台计算机。
Momentive公司的笔记本电脑上显示的赎金通知
另一方面,Hexion公司没有披露任何有关袭击的细节,但表示正在努力解决此次安全事件。
算上之前的攻击,这是LockerGoga针对制造业企业的第三波攻击,之前的两起事件的受害者分别是欧洲公司Altran和Norsk Hydro。法国Altran工程咨询公司1月底遭受攻击。上周早些时候,挪威铝业巨头Hydro透露,它遭到了勒索软件攻击。
2.LockerGoga感染系统后会发生什么?
安装后,LockerGoga会通过更改密码来修改受感染系统中的用户帐户。它还会尝试注销登录到系统的用户。然后将自身重新定位到临时文件夹,并使用命令行(cmd)重命名。使用的命令行参数不包含要加密的文件路径。
LockerGoga能够加密存储在台式机、笔记本电脑和服务器等系统上的文件。每当LockerGoga加密文件时,都会修改注册表项(HKEY_CURRENT_USERSOFTWAREMicrosoftRestartManagerSession00{01-20})。加密之后,LockerGoga在桌面文件夹中的文本文件(README_LOCKED.txt)中留下赎金通知。
加密目标文件扩展名
3.LockerGoga感染数量有限
与知名的勒索软件WannaCry和Petya不同,LockerGoga不会在短时间内广泛传播,只是通过Wi-Fi或以太网适配器来禁用系统。这在Hexion-Momentive攻击中很明显,只有固定数量的系统被感染。
LockerGoga代码显示如何禁用受感染系统的网络适配器
但卡巴斯基实验室的一位发言人业表示,除了上述提到的四家企业外,全世界各地还有更多的受害者。