LØSEPENGEVIRUS

Sikkerhetsekspert «hacket» flere av de farligste løsepengevirusene og stoppet krypteringen

Demonstrerte at løsepengevirusene har sine egne sårbarheter som kan utnyttes.

Løsepengevirus har sine egne sårbarheter, og det er en god ting.
Løsepengevirus har sine egne sårbarheter, og det er en god ting. Illustrasjonsfoto: Colourbox/18269102
18. mai 2022 - 16:00

Ondsinnet programvare fungerer som kjent ofte ved å utnytte sårbarheter i nettverkene og sikkerhetssystemene til ofrene. Nå har vi imidlertid fått en nyttig påminnelse om at en av de farligste typene skadevare har sine egne sårbarheter som kan utnyttes i defensivt øyemed.

Blant andre nettstedet Techspot har nylig meldt at en sikkerhetsforsker klarte å hindre løsepengevirus i å kryptere filene ved å «hacke» de ondsinnede programmene.

DLL-kapring

Sikkerhetsforskeren John Page, som går under pseudonymet hyp3rlinx, fant ut at flere typer løsepengevirus er sårbare for det som kalles DLL-kapring

Dette er en type sårbarhet som gjør det mulig for den sårbare programvaren å laste modifiserte DLL-filer (dynamic-link library) i stedet for den originale DLL-filen, med det resultat at programmet ender opp med å kjøre kode fra tredjeparter.

Slike angrep utføres oftest ved at DLL-filen ligger i den samme mappen som datafiler som brukes av det aktuelle programmet.

Page sitt arbeid innebar å lage spesialdesignede DLL-filer som var i stand til å forhindre krypteringsfunksjonaliteten til flere av de mest beryktede løsepengevirusene. Disse omfattet blant annet Conti, Revil, LockBit, Fancybear, Petya og Wannacry.

Kan brukes til beskyttelse

Sikkerhetsforskeren lastet opp et knippe demonstrasjonsvideoer på YouTube som viser prosessen for flere av virusene. Han har også lastet opp detaljer om sårbarhetene til de ulike løsepengevirusene, og hvordan de kan utnyttes, på sin egen hjemmeside.

Det betydningsfulle ved arbeidet er at løsningen ifølge Page kan brukes aktivt som et sikkerhetstiltak for å beskytte seg mot løsepengevirusene.

– Fra et defensivt perspektiv kan du legge DLL-filen til en spesifikk nettverksressurs som inneholder viktig data, som et ekstra lag. Alle tester ble suksessfullt gjennomført i et virtuelt miljø, skriver Page på hjemmesiden sin.

Med tanke på at løsepengevirus er i stadig utvikling, kan det tenkes at operatørene bak disse programmene finner måter å omgå disse sårbarhetene på.

Flere av virusene som arbeidet omfattet, har gjort svært stor skade. Som Digi.no har skrevet, førte for eksempel et angrep fra Conti-gruppen nylig til unntakstilstand i Costa Rica.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.