Garmin 支付贖金,收到勒索軟件解密器
據外媒BleepingComputer報道,他們確認了Garmin已經收到解密密鑰以此來恢復他們在WastedLocker勒索軟件攻擊中加密的文件。當地時間2020年7月23日,Garmin遭受了全球范圍的中斷,客戶無法訪問他們的連接服務,包括Garmin Connect、flyGarmin、Strava、inReach解決方案。
在員工們分享了加密工作站的照片后,BleepingComputer是第一個證實他們受到了WastedLocker勒索軟件運營商網絡攻擊的公司。
之后,職工告訴BleepingComputer,勒索贖金要1000萬美元。
Garmin則在服務中斷了四天之后突然宣布他們開始恢復服務,這讓人們懷疑他們是否通過支付贖金來獲得一個解密器。
然而,Garmin拒絕就此做進一步評論。
今日,BleepingComputer獲得了一個由Garmin IT部門創建的可執行文件以解密工作站然后在機器上安裝各種安全軟件。
據了解,WastedLocker是一款針對企業的勒索軟件,其加密算法沒有已知的弱點。
為了獲得能工作的解密密鑰,Garmin必須向攻擊者支付贖金。目前還不清楚支付了多少贖金,但正如之前所述,一名員工告訴BleepingComputer,最初的贖金要求是1000萬美元。
當將該文件解壓后可以看到各種安全軟件安裝程序、一個解密密鑰、一個WastedLocker解密器和一個運行它們的腳本。
當執行時,恢復包解密計算機然后用安全軟件為計算機運行做準備。
Garmin的腳本包含了一個“07/25/2020”時間戳,這表明贖金是在7月24日或7月25日支付的。
通過使用來自Garmin攻擊的WastedLocker樣本,BleepingComputer加密了一臺虛擬機并測試了解密器看看其是否能解密文件。結果顯示,解密器在解密其文件時沒有出現任何問題。
在遭遇勒索軟件攻擊后,所有公司都應遵循清除所有電腦并安裝干凈圖像的一般規則。重新安裝是必要的,因為人們永遠不知道攻擊者在入侵期間更改了什么。
根據上面的腳本,Garmin似乎沒有遵循這條準則,只是簡單地解密工作站并安裝安全軟件。
轉載自:安全圈
