LockerGoga

LockerGoga je šifrující ransomware[1] pro platformu Microsoft Windows NT[2]. Ransomware byl napsán v jazyce Microsoft Visual C++ a zašifrovaným souborům přidává příponu .locked[2]. Je též známý tím, že mění hesla všech uživatelů s právy správce v systému Microsoft Windows a zabraňuje obnovování souborů[3].

Ransomware napadá kritickou infrastrukturu a v lednu 2019 byl potvrzen první útok tohoto ransomware ve společnosti Altran Technologies a poté napadl norskou organizaci Norsk Hydro vyrábějící hliník a obnovitelnou energii.

Popis funkce

Malware LockerGoga využívá komunikace typu master/slave pro šifrování souborů. Hlavní "master" proces jednosměrně komunikuje se svými podřízenými "slave" procesy. K dosažení meziprocesové komunikace IPC používá LockerGoga knihovnu Boost a procesy typu "master" a "slave" spolu komunikují skrze sdílenou paměť. Hlavní "master" proces hledá objekty (soubory) pro šifrování a zapisuje tyto informace do sdílené paměti a podřazené "slave" procesy poté čtou tuto sdílenou paměť a získávají jména souboru, která mají zašifrovat[3].

Prvotní spuštění

Při prvotním spuštění se příliš mnoho neděje a pouze se malware nakopíruje do cesty pro dočasné soubory pod názvem tgytutrc{náhodné-číslo}.exe. a spustí tento nový soubor s argumentem -m (pro "master" proces).

Hlavní "master" proces

Hlavní proces je zodpovědný za většinu škodlivých akcí, jako například hledání souborů pro zašifrování, zamčení uživatele Administrator či vypnutí síťových rozhraní. První akcí, kterou tento proces provede je odhlášení všech relací systému Microsoft Windows vyjma aktuální relace. Na toto používá běžný nástroj systému s názvem logoff.exe. Poté nastavuje heslo všech uživatelů s právy správce (nejen uživatele Administrator) na pevně nastavené heslo pomocí běžné utility net.exe dostupné v operačních systémech Microsoft Windows.

Poté spustí své podřízené procesy, které začnou vykonávat šifrování souborů. Tyto procesy jsou spuštěny s parametrem -s a také i parametrem -i s identifikací názvu sdílené paměti pro meziprocesovou komunikaci. Hlavní proces zjišťuje soubory pro zašifrování a ukládá jejich celé cesty ve formátu Base64 do sdílené paměti. K tomuto používá další utilitu systému Microsoft Windows, nyní cipher.exe, která promazává nevyužité místo po šifrování, čímž není možné provést obnovu smazaných souborů.

V neposlední řadě také provádí vypnutí všech síťových rozhraní pomocí utility netsh.exe.

Podřízený "slave" proces

Podřízený proces je zodpovědný za samotnou funkci šifrování souborů. Tento proces čte informace poskytnuté hlavním procesem pomocí sdílené paměti. V prvé řadě zavolá akce pro vypnutí služeb a procesů, které by mohly soubory používat, aby je mohl zašifrovat a poté začne samotný proces šifrování souborů.

Nakonec je vytvořen soubor s informace o tom, že soubory napadané stanice byly zašifrovány a informace, co udělat pro dešifrování.

Označení a zajímavosti

Malware je detekován jako Trojan.TR/LockerGoga.qnfzd a mění hesla všech uživatelů typu správce na vždy stejné heslo "HuHuHUHoHo283283@dJD"[4][5]. Další zajímavostí je, že malware zablokuje uživatele od přístupu do systému, což neodpovídá běžnému chování ransomware. Malware používá knihovny Boost pro zprostředkování komunikace mezi svými procesy, stejně jako běžné volání procesů systému Microsoft Windows, jako jsou například utility logoff.exe, net.exe, cipher.exe či netsh.exe.

Reference

  1. SALVIO, Jasper Manuel and Joie. LockerGoga: Ransomware Targeting Critical Infrastructure. Fortinet Blog [online]. 2019-04-11 [cit. 2021-04-20]. Dostupné online. (anglicky) 
  2. a b What You Need to Know About the LockerGoga Ransomware - Security News. www.trendmicro.com [online]. [cit. 2021-04-20]. Dostupné online. (anglicky) 
  3. a b LockerGoga ransomware - how it works. Forcepoint [online]. 2019-03-22 [cit. 2021-04-20]. Dostupné online. (anglicky) 
  4. Analysis of LockerGoga Ransomware. F-Secure Blog [online]. 2019-03-27 [cit. 2021-04-20]. Dostupné online. 
  5. McAfee Blogs [online]. 2019-04-29 [cit. 2021-04-20]. Dostupné online. (anglicky)