LockerGoga勒索病毒突袭挪威，部分工厂停产

病毒预警

近日，亚信安全截获最新LockerGoga勒索病毒。本周二，该病毒攻击了挪威铝制造公司，导致该公司部分工厂停止运营，有些工厂被迫改用“手动操作”方式来维持公司基本运行。

LockerGoga勒索病毒会修改受感染系统中的用户账号密码，其还会注销使用远程桌面协议（RDP）登录的用户。其使用各种有效证书进行数字签名，轻而易举的进入被感染系统，该勒索病毒加密后的文件扩展名为.locked。亚信安全将其命名为

Ransom.Win32.LOCKERGOGA.AA。

LockerGoga勒索病毒技术细节分析

LockerGoga勒索病毒将受感染系统中的账号密码修改为“HuHuHUHoHo283283@dJD”，其还会注销使用远程桌面协议（RDP）登录的用户。

LockerGoga勒索病毒将自身拷贝到临时文件夹，并使用命令行（cmd）将自身进行重命名。

%User Temp%\hvwfcsky{4-5 random numbers}.exe

LockerGoga勒索病毒加密台式机，笔记本电脑和服务器等系统上的文件，其还会删除备份文件。其加密文件时，会修改如下注册表项：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\

RestartManager\Session00{01-20}

RegFiles00{00-20} = {Encrypted File}

该病毒避免对以下文件夹中的文件进行加密：

%System Root%\Users

%Windows%

其会加密如下文件夹中的文件：

All drives except for network drives

%Program Files%

%ProgramData%

%System Root%\Recycle Bin

%System Root%\Boot

LockerGoga勒索病毒加密如下扩展名文件：

【加密文件扩展名代码截图】

在加密过程之后，LockerGoga在桌面文件夹中的文本文件（README_LOCKED.txt）中留下勒索赎金信息：

如何防范

•尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆；

•尽量关闭不必要的文件共享；

•采用高强度的密码，避免使用弱口令密码，并定期更换密码；

•不要点击来源不明的邮件以及附件；

•及时更新系统，更新应用程序，打全系统及应用程序补丁程序；

•请注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储。

总结

在目前的网络威胁领域中，勒索软件仍然扮演着十分重要的角色。勒索病毒通过不断的创新试图避开杀毒软件检测。这就要求我们的产品不断更新，与勒索病毒持续抗衡。

提供本地化安全专家应急及处置服务

高正信息是具有广东省计算机信息系统安全服务资质的企业，也是江门市公安局网警支队授权的本地区信息安全应急响应支撑机构。在江门市最早开展网络安全方面的研究与应用，配备优秀的网络安全专家，具有广东省信息系统安全服务资质和广东省安全技术防范系统资质，能够快速反应解决突发网络安全情况和问题。根据用户需求，提供预警通报、安全咨询、安全加固服务、定期安全巡检服务、网络安全系统建设、数据安全系统建设等安全服务，形成网络安全保障的业务闭环，为客户提供各类安全保障服务。

信息安全服务热线：

18922021181   彭先生

18933170028   伍先生