病毒預警|挪威海德魯公司遭到LockerGoga勒索病毒攻擊

2021-02-07 山石網科安全技術研究院

   

事件來源

據多家媒體報導,歐洲中部時間3月19日世界最大的綜合性鋁業集團之一挪威海德魯公司(Norsk Hydro)在全球多家鋁生產工廠遭受嚴重網絡攻擊,造成多個工廠關閉和部分工廠切換為手動運營模式。

海德魯公司成立於1905 年,在全球 40多 個國家擁有 35,000 名員工,業務覆蓋鋁相關全產業鏈,2017年收入約128億美元。此次事件暫未造成人身傷亡事故,但已造成嚴重經濟和商譽影響。

據海德魯公司透露,此次網絡攻擊由一種名為「LockerGoga」的勒索軟體造成,該勒索軟體能夠對目標計算機所有文件進行加密,然後要求受害者支付勒索贖金。根據海德魯公司最新披露,公司在挪威國家安全局及合作夥伴幫助下採用工廠隔離、病毒識別、恢復備份系統等方式遏制病毒傳播和進行系統修復,但目前病毒傳播和感染的整體情況不明,全面恢復正常生產還有很大難度。已發現的病毒主要破壞企業IT系統,造成IT系統與工控系統數據連接失效,導致生產停產。

攻擊行為

HSCERT獲取到了「LockerGoga」的勒索病毒,對該勒索病毒(LockerGoga)進行了進一步的詳細分析,發現該勒索病毒極可能為定向攻擊的破壞性勒索病毒,其在病毒父進程中遍歷文件,然後通過在多個子進程中加密文件的方式來提高加密的速度和效率。

此病毒主要通過郵件或U盤傳播,此次病毒爆發具有惡意代碼「集中定點出現」的跡象,不排除人為定向投放執行破壞性攻擊的可能性。

詳細分析如下:

病毒運行後,計算機CPU使用率瞬間飆升至100%,此時病毒正在搜尋主機中的文件並對其加密。

桌面被添加文件:README_LOCKED.txt,內容提示計算機文件已被加密,查看磁碟文件,發現大量、不同文件類型的文件均被加密,文件後綴為.locked

樣本分析

樣本信息:

文件大小: 1249144 bytesMD5: 7E3F8B6B7AC0565BFCBF0A1E3E6FCFBCSHA1: B2A701225C8C7F839BE3C5009D52B4421063D93ECRC32: 8511CA02
是由VS2015編譯的32位可執行程序
樣本運行後,首先會利用cmd.exe執行move命令,把自身複製到%temp%目錄下。
然後通過CreateProcessW啟動%temp%下的.exe,運行後會在桌面生成一個名為「README_LOCKED.txt」
然後創建以「-i –s 」為參數進行啟動自身
加密文件類型
啟動的每個進程,都開始加密文件,加密算法使用的是RSA算法,公鑰如下:
 MIGdMA0GCSqGSIb3DQEBAQUAA4GLADCBhwKBgQC9dR7jfOdn8AZTi0plXQRQKHWJAxLlykYr 9V4ZMXLJ9d9kmyHUoKturoTYNZZisiW5ncP6/2YtG5ezGSXnQXUQtZTAnVesTalNvLyd6tBe t81p8mxflulX99T2WKubEnc2OR0Yj2a6EJppt2IVx6H/BiF7G3Z2z4qg/tsXBant4wIBEQ==
然後加密所有文件,最後把文件名重命名為「原文件名.locked」
讀取文件進行加密處理
病毒防護
2019年以來,勒索病毒、勒索挖礦病毒仍然處在高發期,國內外發生多起對工業企業影響嚴重的重大事件,攻擊手法已經由無明確目標的大面積撒網式攻擊,變為針對高價值工業目標定向投遞。如:在本次挪威海德魯遭受LockerGoga勒索攻擊之前,有報導稱法國大型工程與諮詢公司Altran Technologies,SA也遭受到LockerGoga病毒攻擊,2019年2月底某國內著名汽車企業的辦公內網數百臺伺服器中了WatchdogsMiner,大量佔用企業伺服器資源,嚴重影響企業的經營活動。因此,各工業企業針對愈演愈烈的勒索病毒、勒索挖礦病毒需要優先做好以下幾件事:
1.提高安全意識,避免打開未知文件    
2.對生產相關的重要系統軟體、重要文件、配置進行備份
3.在OT網絡使用基於白名單的主機防護軟體
4.對工控系統邊界進行必要的網絡劃分/分隔
5.建立應急響應預案,在發現工控系統異常時與合作夥伴進行應急處置

參考信息
360威脅情報中心
https://s.threatbook.cn/
https://www.recordedfuture.com/lockergoga-ransomware-insight/
https://www.bleepingcomputer.com/news/security/lockergoga-ransomware-sends-norsk-hydro-into-manual-mode/
如需幫助請諮詢 hscert@hillstonenet.com

相關焦點

  • 全球最大鋁生產商挪威海德魯(Norsk Hydro)遭到LockerGoga勒索病毒攻擊
    針對已經出現勒索現象的用戶,由於暫時沒有解密工具,建議儘快對感染主機進行斷網隔離。深信服提醒廣大用戶儘快做好病毒檢測與防禦措施,防範該病毒家族的勒索攻擊。 病毒檢測查殺1、深信服為廣大用戶免費提供查殺工具,可下載如下工具,進行檢測查殺。
  • Heritage公司遭勒索軟體攻擊暫時停止運營;FBI發布勒索軟體LockerGoga和MegaCortex的通告
    【攻擊事件】廣播公司Entercom今年第二次遭到網絡攻擊營銷公司Heritage遭勒索軟體攻擊暫時停止運營【安全播報】FBI針對勒索軟體LockerGoga和MegaCortex發布通告Emotet在2019年Top惡意軟體威脅中佔據主導地位Gartner調查發現只有65%的企業擁有網絡安全專家
  • 破壞系統+加密文件的高危病毒來襲 國外大量公司已中招
    近日,瑞星安全專家捕獲到一個極具破壞性的勒索病毒LockerGoga,該病毒影響惡劣,不僅會設置開機密碼,同時還會加密電腦中的文件,由於加密的文件中包括重要的系統文件
  • 工業用戶勒索病毒應急響應指南
    肆虐全球的勒索病毒帶來的恐慌還心有餘悸,最新惡意攻擊事件又接踵而至,這個企業必備的工業用戶勒索病毒應急響應指南,你必須Get一下!2017年5月12日,WannaCry勒索病毒席捲全球,至少150個國家、30萬名用戶遭受攻擊,造成損失高達80億美元,中國部分Windows作業系統遭受感染,導致企業無法正常運營。
  • 潮州多家企業被勒索病毒攻擊
    當前,一種名為勒索病毒的新型電腦病毒在網絡肆虐,一些企業、金融機構甚至政府網站都遭到攻擊,蒙受巨額損失。
  • 勒索病毒「想哭」肆虐全球,看安全公司如何應對?
    媒體訓練營5月15報導  文|王弘 5月15日下午,勒索病毒WannaCry「想哭」大規模爆發後的首個工作日,360安全衛士召開了「勒索病毒」情況媒體溝通會。 5月12日開始,勒索病毒「想哭」襲擊全球,100多個國家,大量機構和個人的計算機遭遇攻擊。
  • Petya勒索病毒攻擊開始迅速蔓延了!
    「Petya」的新型勒索病毒在世界各地傳播。這款現目前正在蔓延的勒索病毒Petya攻擊正在迅速蔓延,安全公司目睹數以千計的公司正遭遇威脅。有趣的是,該病毒也像 WannaCry勒索病毒一樣,中招的設備需要支付價值300美元的比特幣才能得到解密代碼。全球Petya勒索病毒攻擊主要源自烏克蘭一家名不見經傳的公司。這是一家名為MeDoc的金融科技公司,主要是開發會計軟體,幫助個人和企業處理繳稅問題。黑客似乎感染了該公司的電腦系統,並將勒索病毒置於6月22日發給其客戶的軟體更新程序中。
  • 【全球爆發勒索病毒!】中國高校已大面積中招,加油站疑受病毒攻擊……
    從昨日起,英國、義大利、俄羅斯等全球多個國家爆發勒索病毒攻擊,中國大批高校也出現感染情況,眾多師生的電腦文件被病毒加密,只有支付贖金才能恢復。新型勒索軟體Onion是此前活躍的勒索軟體Wallet的一類變種,該病毒不僅入侵企業的伺服器設備,還會攻擊個人用戶。被感染的文件後綴名也被修改為onion,文件名中還附帶上黑客的郵箱,用以向受害者索要贖金。不少同學的畢業論文、畢業設計等重要資料已經宣告「淪陷」。部分高校已發布預警信息。
  • 美帝兩家化工巨頭公司:瀚森和邁圖被Lockergoga勒索軟體攻擊
    ,而也就是這類傳統企業,反而更容易被攻擊者進行定向勒索攻擊。具體情況如下:根據現任員工的說法,瀚森和邁圖,於3月12日遭到勒索軟體的襲擊。根據贖金消息,瞄準瀚森和邁圖的勒索軟體是LockerGoga,同樣的勒索軟體迫使鋁製造巨頭Norsk Hydro 本周關閉其全球網絡。在將邁圖的攻擊相關的贖金消息與已知的LockerGoga攻擊交叉分析後,發現語言和格式相同,因此攻擊者很有可能是來自同一團夥。
  • 【重要漏洞預警】Petrwrap勒索病毒
    尊敬的百度雲用戶您好,百度雲安全團隊針對Microsoft Windows系列作業系統近期再次爆出多起Petya勒索病毒事件做重要預警
  • 【急轉】新型"勒索病毒"再襲!多國遭網絡攻擊!ATM機都不放過...
    有報導稱,這種新病毒的威力足以和5月份席捲全球的勒索病毒相提並論。 在這次病毒攻擊中,烏克蘭首當其衝,受到的攻擊最為嚴重, 甚至,烏克蘭的ATM機也被拖下了水。據報導,烏克蘭部分政府機構和多家重要企業的電腦當天都遭到了病毒攻擊,導致電腦死機和網絡癱瘓,使得這些機構無法正常工作,多家國有和私人銀行被迫提前關門。
  • 教你免遭勒索病毒之害
    據BBC等媒體報導,全球多國爆發電腦勒索病毒,目前已波及99個國家。目前,很多大學的官方微博、微信已發出了預警信息,說這段時間國內很多大學的校園網和同學的電腦都中病毒了。據悉,病毒是全國性的,疑似通過校園網傳播,十分迅速。
  • 2019上半年勒索病毒專題報告
    2019年3月,世界最大的鋁製品生產商挪威海德魯公司(Norsk Hydro)遭遇勒索軟體公司,隨後該公司被迫關閉幾條自動化生產線。2019年5月26日,國內某打車軟體平臺發布公告稱其伺服器遭受連續攻擊,伺服器內核心數據被加密,攻擊者索要巨額比特幣。該公司嚴厲譴責該不法行為,並向公安機關報警。
  • 《2020勒索病毒大盤點》
    2020年隨著疫情大爆發,企業紛紛開始線上辦公,數位化進程不斷加速,諸如「網絡疫情」的勒索病毒也借勢層出不窮,各類新型病毒不斷湧現,舊病毒不斷變種,攻擊對象也從以往個人為主到企業新市場。據相關數據顯示,2020年超過1000家大中型企業被勒索病毒攻擊。
  • 勒索病毒不僅僅是加密,更可怕的在這裡......
    被網絡病毒攻擊最怕的就是黑客的挾持,不但系統程序受到破壞,而且大額財產也遭到損失。
  • 全球爆發勒索病毒 簡單幾招教你免受攻擊!
    美聯社報導稱,英國各家醫院的電腦系統周五開始遭遇大規模網絡攻擊而癱瘓,導致預約取消、電話斷線、患者無法看病。英國國民保健署(National Health Service, NHS)稱,這些醫院明顯是受到了「勒索軟體」的攻擊,攻擊者用一種名為「Wanna Decryptor」的惡意軟體侵入醫院電腦系統中,鎖定電腦要求用戶支付贖金。目前尚無證據表明病人的數據資料遭到洩露。
  • 電腦勒索病毒全球爆發,公安機關發布預警!
    巴適江油✎微信號:JYR598江油人都在關注的微信公眾號結識江油人|了解江油事|展現江油美|傳播正能量  今天一早,微博上被一款名為WanaCrypt0r 2.0的比特幣勒索病毒爆發的消息刷屏了  簡單來說,這是一個利用SMB服務漏洞進行網絡攻擊的蠕蟲病毒,如果區域網有一臺機器中招,整個區域網都會傳播。
  • 預警!勒索病毒又來了!Petya病毒大規模爆發
    據外媒HackerNews報導,27日晚間消息,烏克蘭境內包括國家儲蓄銀行(Oschadbank)、Privatbank 銀行在內的幾家銀行機構、 電力公司 KyivEnergo 、國家郵政(UkrPoshta)均遭受「Petya」病毒的大規模網絡攻擊。目前,Petya病毒已經侵襲了烏克蘭、俄羅斯、印度、西班牙、法國、英國以及歐洲多個國家。
  • 手機勒索病毒來了!
    5月中旬,WannaCry勒索病毒席捲全球,導致150個國家的30萬臺電腦遭到攻擊,辦公使用的PC端遭遇前所未有的安全危機。不少網際網路人士表示,一旦勒索病毒從PC端轉攻移動端,帶來的損失將更為慘重。360對此發布安全預警該勒索病毒是國內第一款文件加密型勒索病毒有爆發跡象會威脅幾乎所有安卓平臺的手機用戶一旦中招可能丟失個人重要信息
  • 全球爆發電腦勒索病毒,攻擊仍在持續...
    這意味著英國多家醫院遭到大範圍網絡攻擊,內網被攻陷,電腦被鎖定,電話也不通..病人的病歷檔案無法查閱,甚至危急病人的手術也因為網絡原因被臨時取消!已經有網友對此表示關注:網絡安全公司 Avast 表示,目前已在世界各地看到了75,000個感染案例。說來也是淚中帶笑,這支幾乎蔓延至全世界的病毒名為WannaCry (想哭),不知道這個名字說出了多少人的心聲。