Garmin收到了用于WastedLocker勒索软件的解密器

2020-08-02 20:04:18

蜂鸣器电脑可以确认Garmin已经收到解密密钥,以恢复他们在WastedLocker勒索软件攻击中加密的文件。

2020年7月23日,Garmin遭遇全球停机,客户无法访问他们的互联服务,包括Garmin Connect、flyGarmin、Strava、inReach解决方案。

在员工分享了加密工作站的照片后,BleepingComputer第一个确认他们遭受了WastedLocker勒索软件操作员的网络攻击,我们发现了攻击中使用的勒索软件样本。

停电四天后,Garmin突然宣布他们开始恢复服务,这让我们怀疑他们支付赎金是为了接收解密器。

今天,BedepingComputer获得了Garmin IT部门创建的可执行文件的访问权限,该文件用于解密工作站,然后在机器上安装各种安全软件。

WastedLocker是一款针对企业的勒索软件,其加密算法没有任何已知的弱点。这种没有瑕疵的情况意味着,不能免费制造一款新的解密器。

如果您在GARMIN工作或认识在那里工作的人,您可以通过SIGNAL+16469613731与我们联系,了解有关这一事件的第一手信息。

为了获得有效的解密密钥,Garmin必须向攻击者支付了赎金。目前尚不清楚支付了多少赎金,但如前所述,一名员工告诉beepingcomputer,最初的赎金要求是1000万美元。

解压后,此恢复包包括各种安全软件安装程序、一个解密密钥、一个WastedLocker解密器和一个运行它们的脚本。

执行时,恢复包对计算机进行解密,然后在计算机上安装安全软件。

Garmin的脚本包含一个时间戳';07/25/2020';,这表明赎金是在7月24日或7月25日支付的。

使用Garmin攻击中的WastedLocker样本,beepingcomputer加密了一个虚拟机,并测试了解密器,看它是否能解密我们的文件。

在我们的测试中,如下面的视频所示,解密器解密我们的文件没有任何问题。

所有公司在受到勒索软件攻击后,都应该遵循擦除所有计算机并安装干净形象的一般规则。重新安装是必要的,因为您永远不知道攻击者在入侵过程中更改了什么。

根据上面的脚本,Garmin似乎没有遵循这个指导原则,只是简单地解密工作站和安装安全软件。

包裹中包含的解密器包括网络安全公司Emsisoft和勒索软件谈判服务公司Coveware。

当嘟嘟计算机联系Coveware时,我们被告知他们不会对媒体报道的任何勒索软件事件发表评论。

在类似的回应中,Emsisoft告诉我们,他们不能对任何案件发表评论,但他们创造了解密工具,没有参与赎金支付。

我不能对具体案例发表评论,但总的来说,Emsisoft与赎金的谈判或交易没有任何牵连。安全公司Emsisoft的威胁分析师布雷特·卡洛(Brett Clow)告诉Bleepingcomputer,我们只需创建解密工具即可。

Emsisoft通常会在威胁参与者提供的工具有漏洞或公司担心它们可能包含后门时,生产定制的勒索软件解密器。

如果已支付赎金,但攻击者提供的解密器速度慢或有故障,我们可以提取解密代码并创建一个全新的定制解决方案,该解决方案的解密速度最高可提高50%,且数据损坏或丢失的风险更小,Emsisoft的勒索软件恢复服务页面状态。

由于Evil Corp被认为是WastedLocker的创造者,并因使用Dridex造成超过1亿美元的经济损失而被列入美国制裁名单,支付这种勒索软件可能会导致政府的巨额罚款。

由于这些制裁,熟悉Coveware的消息人士告诉BepingComputer,谈判公司已于7月初将WastedLocker列入限制名单,不会处理相关攻击的谈判。