WastedLocker勒索软件分析

2020年7月底，科技新闻网站上充斥着关于Garmin的文章。包括设备与云端同步、飞行员的工具在内的各种Garmin服务被禁用。准确信息的匮乏让大家胡乱猜测。当时我们决定等待一些具体的数据再来评估情况。

Garmin在其官方声明中确认遭遇了网络攻击，导致在线服务中断，部分内部系统被加密。截至本文发稿时的信息显示，攻击者使用的是WastedLocker勒索软件。我们的专家对该恶意软件进行了详细的技术分析，以下是他们的主要发现。

WastedLocker勒索软件

WastedLocker是定向勒索软件的一个例子：恶意软件经过调整后攻击特定公司。赎金信息提到了受害者的名字，所有加密的文件具有额外的扩展名.garminwasted。

网络犯罪分子的加密方案也指向了同样的结论。文件使用AES和RSA算法进行加密，勒索软件开发者经常将其结合使用。然而，用一个公共RSA密钥用于加密文件，而不是为每次感染生成唯一的密钥。换句话说，如果这种勒索软件的修改是针对多个目标的，那么数据解密程序也将是通用的，因为还必须有一个私钥。

此外，该勒索软件还显示出以下奇怪的特征：

• 数据加密的优先权也就是说，网络犯罪分子可以指定一个特定的文件目录先进行加密。这样万一安全机制在数据
• 加密完成之前就停止了数据加密，就能最大限度地提高损失。
• 支持对远程网络资源进行文件加密。
• 权限检查和利用DLL劫持进行权限提升。

你可以在Securelist上的《WastedLocker：技术分析》一文中找到对该勒索软件的详细分析。

那么，Garmin怎么样了

根据Garmin公司更新的声明，服务又开始运行了，尽管数据同步可能会很慢，而且在某些个别情况下仍然受到限制。这是可以理解的：几天都无法与云服务同步的设备，现在一下子都在联系公司服务器，增加了负载。

Garmin报告称，没有证据表明有人在此次事件中获得了未经授权的用户数据访问权限。

如何防范此类攻击

针对公司的勒索软件攻击将持续下去。在这种情况下，我们对防范这些攻击的建议是相当标准的：

• 始终保持软件的更新，尤其是操作系统，大多数木马程序都会利用已知的漏洞。
• 使用RDP拒绝公众访问公司系统（或在必要时使用VPN）。
• 对员工进行网络安全基础知识的培训。最常见的是，对员工进行社会工程手段让勒索软件木马病毒侵入公司网络;
• 使用先进的反勒索软件技术的尖端安全解决方案。我们的产品可以检测WastedLocker并防止感染。