LockFile ransomware emplea una técnica de cifrado novedosa

Los investigadores que trabajan con la empresa de seguridad Sophos publicaron un informe sobre una nueva cepa de ransomware llamada LockFile. Lo que hace que la nueva amenaza sea única es la forma en que cifra los archivos en los sistemas de las víctimas.

LockFile es un nuevo nombre en el panorama del malware, que surgió recientemente, poco después del descubrimiento de que los servidores de MS Exchange sin parchear eran vulnerables a los ataques de ProxyShell.

El equipo de Sophos explica que el nuevo ransomware utiliza una técnica de encriptación que nunca fue utilizada por otra cepa de ransomware en el pasado. La forma en que LockFile cifra los archivos se describe como "cifrado intermitente". El informe explica que el malware cifra "cada 16 bytes" de cada archivo. Sophos explica además que este método mantiene el archivo cifrado resultante "estadísticamente muy similar" al estado del archivo original.

Este nuevo enfoque del cifrado ayuda a LockFile a engañar a algunas contramedidas contra el ransomware, pero no es la única herramienta de evasión que utiliza el ransomware. LockFile también utiliza E / S mapeadas en memoria al cifrar archivos. Esto mantiene la E / S del disco al mínimo y puede mantener aún más la actividad maliciosa de LockFile bajo el radar.

En última instancia, LockFile tampoco tiene necesidad de ponerse en contacto con ningún tipo de servidor de comando y control para comunicarse. Esto hace que el ransomware sea aún más difícil de detectar temprano en el sistema de la víctima, ya que no hay conexiones salientes sospechosas rastreables.

LockFile utiliza una herramienta legítima de Windows llamada Interfaz de administración de Windows o WMI, una herramienta de línea de comandos que se incluye con cada versión e instalación de Windows actual. WMI se utiliza para cerrar procesos relacionados con la virtualización y administración de bases de datos. Esto asegura que los archivos estén listos para ser explotados y también que al usar WMI como intermediario, no se vuelve inmediatamente obvio que los procesos legítimos fueron cerrados por el ransomware.

Sophos explicó además por qué el método de cifrado intermitente puede engañar a algunas defensas. La forma en que esto funciona tiene que ver con un método de verificación llamado "chi cuadrado". Este método asigna a cada archivo una puntuación. Si un archivo está encriptado con otras cepas de ransomware, incluso aquellas que solo encriptan los primeros bloques del archivo, tendrán una divergencia significativa en su puntaje de chi cuadrado, en comparación con el archivo original. Sin embargo, el método de cifrado intermitente produce archivos que tienen puntuaciones de chi cuadrado mucho más cercanas a los archivos originales.

August 31, 2021
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.