LockFile Ransomware anvender ny krypteringsteknik

Forskere, der arbejder med sikkerhedsfirmaet Sophos, offentliggjorde en rapport om en ny stamme af ransomware kaldet LockFile. Det, der gør den nye trussel unik, er den måde, den krypterer filer på offersystemer.

LockFile er et nyt navn på malware -landskabet, der først dukker op for nylig, kort efter opdagelsen af, at upatchede MS Exchange -servere var sårbare over for ProxyShell -angreb.

Sophos -teamet forklarer, at den nye ransomware bruger en krypteringsteknik, der aldrig tidligere blev brugt af en anden stamme af ransomware. Den måde, LockFile krypterer filer på, beskrives som "intermitterende kryptering". Rapporten forklarer, at malware krypterer "hver 16. byte" af hver fil. Sophos forklarer yderligere, at denne metode holder den resulterende krypterede fil "statistisk meget lig" tilstanden i den originale fil.

Denne nye tilgang til kryptering hjælper LockFile med at narre nogle anti-ransomware-modforanstaltninger, men det er ikke det eneste undvigelsesværktøj, ransomware bruger. LockFile bruger også hukommelseskortede I/O ved kryptering af filer. Dette holder disk I/O til et minimum og kan yderligere holde LockFiles ondsindede aktivitet under radaren.

I sidste ende har LockFile heller ikke behov for at kontakte nogen form for kommando- og kontrolserver til kommunikation. Dette gør ransomware endnu vanskeligere at få øje på tidligt på et offer system, da der ikke er sporbare mistænkelige udgående forbindelser.

LockFile bruger et legitimt Windows -værktøj kaldet Windows Management Interface eller WMI - et kommandolinjeværktøj, der følger med hver udgivelse og installation af moderne Windows. WMI bruges til at lukke processer relateret til databasestyring og virtualisering. Dette både sikrer, at filerne nu er modne til udnyttelse, og også at det ved at bruge WMI som mellemmand ikke umiddelbart bliver tydeligt, at de legitime processer blev lukket af ransomware.

Sophos forklarede yderligere, hvorfor den intermitterende krypteringsmetode kan narre nogle forsvar. Den måde, det fungerer på, har at gøre med en verifikationsmetode kaldet "chi squared". Denne metode tildeler hver fil en score. Hvis en fil er krypteret med andre stammer af ransomware, vil selv dem, der krypterer kun de første få blokke af filen, have en markant divergens i dens chi squared -score sammenlignet med den originale fil. Imidlertid producerer den intermitterende krypteringsmetode filer, der har chi -kvadrerede scores, der er meget tættere på de originale filer.