Lockergoga เป็นแรนซัมแวร์สายพันธุ์ที่น่ารังเกียจที่ทำให้เกิดอัมพาตในบริษัทอุตสาหกรรม เป้าหมายแรกคือ Norsk Hydro ผู้ผลิตอะลูมิเนียมของนอร์เวย์ การโจมตีครั้งนี้ทำให้บริษัทต้องเปลี่ยนการดำเนินงานหลายอย่างเป็นแบบแมนนวล เหยื่อรายอื่นๆ ของมัลแวร์คือบริษัทที่ปรึกษาด้านวิศวกรรมของฝรั่งเศส Altran และบริษัทผู้ผลิต Hexion และ Momentive
มัลแวร์เรียกค่าไถ่ Lockergoga สามารถทำอะไรได้บ้าง
นักวิจัยด้านความปลอดภัยทางไซเบอร์ทราบว่า Lockergoga ransomware นั้นก่อกวนอย่างมากและมีจุดประสงค์เพื่อสร้างความโกลาหลแทนที่จะทำเงินให้กับอาชญากรที่อยู่เบื้องหลัง กล่าวคือเป้าหมายหลักอาจเป็นการทำลายบริษัทอุตสาหกรรม
ขณะอยู่ในโหมดโจมตี Lockergoga จะไม่ใช้กลวิธีในการทำให้งงงวยหรือการหลีกเลี่ยงที่มักใช้โดยมัลแวร์อื่นๆ สิ่งเดียวที่เข้ารหัสคือคีย์ RSA ที่ใช้ในขั้นตอนสุดท้ายของการโจมตี นี่แสดงให้เห็นว่าผู้โจมตีที่อยู่เบื้องหลังมัลแวร์มักมีความรู้วงในเกี่ยวกับมาตรการรักษาความปลอดภัยที่บริษัทเป้าหมายนำไปใช้ เป็นสิ่งที่ทำให้อาชญากรไซเบอร์มีความมั่นใจในการปรับใช้เอนทิตีมัลแวร์ที่แทบไม่ให้ความสำคัญกับการซ่อนตัว
อย่างไรก็ตาม LockerGoga อาศัยรหัสที่เซ็นชื่อแบบดิจิทัลโดยบริษัทรักษาความปลอดภัยที่เชื่อถือได้ ซึ่งสามารถหลอกระบบให้อนุญาตให้มัลแวร์เรียกใช้โค้ดที่เป็นอันตรายได้ ใบรับรองดิจิทัลที่อนุญาตให้สิ่งนี้เกิดขึ้นตั้งแต่แรกได้ถูกเพิกถอนแล้ว
เอนทิตีมัลแวร์ยังสามารถหลบเลี่ยงแซนด์บ็อกซ์และเครื่องเสมือนโดยไม่ได้ใช้งานเป็นระยะเวลานาน Lockergoga บางเวอร์ชันยังสามารถหลบเลี่ยงระบบการตรวจจับที่ใช้การเรียนรู้ของเครื่อง ซึ่งเป็นเทคนิคที่ใช้โดยแรนซัมแวร์สายพันธุ์อื่นๆ
มัลแวร์ Lockergoga
เมื่อมันแทรกซึมเข้าไปในอุปกรณ์ได้สำเร็จ มัลแวร์ Lockergoga จะเปลี่ยนรหัสผ่านและรายละเอียดการเข้าสู่ระบบของผู้ถือบัญชีต่างๆ นอกจากนี้ยังจะพยายามออกจากระบบผู้ใช้ที่เข้าสู่ระบบอยู่แล้ว
หลังจากนี้ มัลแวร์จะย้ายตัวเองไปที่ temp โฟลเดอร์ที่เปลี่ยนชื่อตัวเองโดยใช้บรรทัดคำสั่ง จากนั้น Lockergoga จะเข้ารหัสไฟล์ที่เก็บไว้ในเครือข่ายทั้งหมดหรือส่วนของเครือข่ายคอมพิวเตอร์ที่สามารถแพร่เชื้อได้ แต่มีรหัสที่ป้องกันไฟล์และโฟลเดอร์ของตนเองจากการติดไวรัส ทุกครั้งที่มัลแวร์ติดไฟล์ มันจะเปลี่ยนรีจิสตรีคีย์ต่อไปนี้ (HKEY_CURRENT_USER\SOFTWARE\Microsoft\RestartManager\Session00{01-20})
สุดท้าย ransomware จะออกจาก README_LOCKED.txt ซึ่งให้รายละเอียดข้อกำหนดและเงื่อนไขของค่าไถ่ ค่าไถ่เตือนผู้ที่ตกเป็นเหยื่อไม่ให้ปิดเครื่องคอมพิวเตอร์ เปลี่ยนชื่อไฟล์ที่เข้ารหัส หรือย้ายไฟล์ที่เข้ารหัส เพราะตามที่หมายเหตุระบุไว้ การกระทำดังกล่าวอาจทำให้ไม่สามารถกู้คืนเอกสารได้
Lockergoga นั้นแตกต่างจาก ransomware สายพันธุ์อื่นเพราะมันไม่ได้ระบุจำนวนเงินค่าไถ่ที่ต้องจ่าย ในหมายเหตุระบุว่าผู้ที่ติดต่อแต่เนิ่นๆ จะได้รับเงื่อนไขที่ดีกว่า
วิธีการลบ Lockergoga Ransomware
แรนซัมแวร์ Lockergoga ถือเป็นภัยคุกคามร้ายแรงต่อระบบอุตสาหกรรมและผู้ผลิตโดยทั่วไป ด้วยเหตุนี้จึงเป็นสิ่งสำคัญที่จะยุติกระบวนการทั้งหมดที่เกี่ยวข้องกับมัลแวร์ Lockergoga ทันทีที่ตรวจพบ
แม้จะมีความสามารถที่น่าประทับใจ แต่มัลแวร์ Lockergoga ก็ยอมจำนนต่อพลังของซอฟต์แวร์ป้องกันมัลแวร์ สาเหตุส่วนหนึ่งเป็นเพราะนักวิจัยด้านความปลอดภัยทางไซเบอร์มีเวลาศึกษาไวรัสและวิธีการทำงาน ซึ่งทำให้เป็นเป้าหมายในการกำจัดได้ง่าย
คุณอาจเคยอ่านที่ไหนสักแห่งที่บันทึกย่อช่วยเตือนไม่ให้ปิดเครื่องคอมพิวเตอร์ของคุณ คุณไม่ควรนำคำแนะนำนี้ไปพิจารณา เนื่องจากในบางจุด คุณจะต้องเปิดคอมพิวเตอร์ในเซฟโหมดที่มีระบบเครือข่าย เนื่องจากเป็นวิธีที่มีประสิทธิภาพมากที่สุดในการจัดการกับภัยคุกคามจากมัลแวร์
ที่กล่าวว่า คุณต้องล้างอุปกรณ์ของคุณจากไฟล์ชั่วคราว การดาวน์โหลด ประวัติการท่องเว็บ และความยุ่งเหยิงในรูปแบบอื่นๆ ทั้งหมด เนื่องจากมัลแวร์ รวมถึง Lockergoga (ซึ่งอยู่ในโฟลเดอร์ชั่วคราว) ซ่อนอยู่ในสถานที่ดังกล่าว เครื่องมือซ่อมแซมพีซีจะช่วยให้คุณทำสิ่งนี้ได้ง่ายขึ้น
ในส่วนหนึ่งของคู่มือการลบ Lockergoga นี้ เราจะเสนอเคล็ดลับเกี่ยวกับจำนวนองค์กรที่สามารถป้องกันการโจมตีจากมัลแวร์ Lockergoga พวกเขาเพิ่งอัปเดตระบบและใช้ประโยชน์จากแพตช์ความปลอดภัยที่ Microsoft จัดหาให้ ดังนั้น หากคุณต้องการรักษา ransomware เอาไว้ ให้เริ่มต้นด้วยการทำแบบเดียวกัน
