LockFile Ransomware verwendet eine neuartige Verschlüsselungstechnik

Forscher der Sicherheitsfirma Sophos haben einen Bericht über einen neuen Ransomware-Stamm namens LockFile veröffentlicht. Was die neue Bedrohung einzigartig macht, ist die Art und Weise, wie Dateien auf Opfersystemen verschlüsselt werden.

LockFile ist ein neuer Name in der Malware-Landschaft, der erst kürzlich aufgetaucht ist, kurz nachdem entdeckt wurde, dass ungepatchte MS Exchange-Server anfällig für ProxyShell-Angriffe waren.

Das Sophos-Team erklärt, dass die neue Ransomware eine Verschlüsselungstechnik verwendet, die in der Vergangenheit von keinem anderen Ransomware-Stamm verwendet wurde. Die Art und Weise, wie LockFile Dateien verschlüsselt, wird als "zeitweilige Verschlüsselung" bezeichnet. Der Bericht erklärt, dass die Malware "alle 16 Bytes" jeder Datei verschlüsselt. Sophos erklärt weiter, dass diese Methode die resultierende verschlüsselte Datei dem Zustand der Originaldatei "statistisch sehr ähnlich" hält.

Dieser neuartige Verschlüsselungsansatz hilft LockFile, einige Anti-Ransomware-Gegenmaßnahmen zu täuschen, aber es ist nicht das einzige Umgehungstool, das die Ransomware verwendet. LockFile verwendet beim Verschlüsseln von Dateien auch speicherabgebildete E/A. Dies hält die Datenträger-E/A auf einem Minimum und kann die böswilligen Aktivitäten von LockFile weiter unter dem Radar halten.

Letztendlich muss LockFile auch keine Art von Befehls- und Kontrollserver für die Kommunikation kontaktieren. Dies macht es noch schwieriger, die Ransomware frühzeitig auf einem Opfersystem zu erkennen, da es keine nachweisbaren verdächtigen ausgehenden Verbindungen gibt.

LockFile verwendet ein legitimes Windows-Tool namens Windows Management Interface oder WMI - ein Befehlszeilentool, das mit jeder Version und Installation von modernen Windows gebündelt wird. WMI wird verwendet, um Prozesse im Zusammenhang mit Datenbankverwaltung und Virtualisierung zu beenden. Dies stellt sowohl sicher, dass die Dateien nun reif für die Ausbeutung sind, als auch, dass durch die Verwendung von WMI als Vermittler nicht sofort klar wird, dass die legitimen Prozesse durch die Ransomware abgeschaltet wurden.

Sophos erklärte weiter, warum die intermittierende Verschlüsselungsmethode einige Abwehrmechanismen täuschen kann. Die Art und Weise, wie dies funktioniert, hat mit einer Überprüfungsmethode namens "Chi-Quadrat" zu tun. Diese Methode weist jeder Datei eine Punktzahl zu. Wenn eine Datei mit anderen Ransomware-Stämmen verschlüsselt wird, weisen selbst solche, die nur die ersten Blöcke der Datei verschlüsseln, eine deutliche Abweichung im Chi-Quadrat-Score im Vergleich zur Originaldatei auf. Die intermittierende Verschlüsselungsmethode erzeugt jedoch Dateien mit Chi-Quadrat-Werten, die viel näher an den Originaldateien liegen.

August 31, 2021
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.