A LockFile Ransomware új titkosítási technikát alkalmaz
A Sophos biztonsági céggel dolgozó kutatók jelentést tettek közzé a LockFile nevű új ransomware törzsről. Az új fenyegetést az teszi egyedivé, hogy hogyan titkosítja a fájlokat az áldozatrendszereken.
A LockFile egy új név a rosszindulatú programok táján, csak nemrégiben, röviddel azután derült ki, hogy nem sokkal azután fedezték fel, hogy a nem javított MS Exchange szerverek kiszolgáltatottak a ProxyShell támadásoknak.
A Sophos csapata elmagyarázza, hogy az új ransomware olyan titkosítási technikát használ, amelyet korábban egy másik ransomware -törzs sem használt. A LockFile titkosítja a fájlokat "szakaszos titkosításként". A jelentés elmagyarázza, hogy a kártevő minden fájl "minden 16 bájtját" titkosítja. A Sophos továbbá kifejti, hogy ez a módszer a kapott titkosított fájlt "statisztikailag nagyon hasonlónak" tartja az eredeti fájl állapotához.
A titkosítás újszerű megközelítése segít a LockFile-nek megtéveszteni néhány ransomware-ellenes ellenintézkedést, de nem ez az egyetlen kitérő eszköz, amelyet a ransomware használ. A LockFile memórialeképezett I/O -t is használ a fájlok titkosításakor. Ez minimálisra csökkenti a lemez I/O -t, és tovább tarthatja a LockFile rosszindulatú tevékenységét a radar alatt.
Végül a LockFile -nak sem kell kapcsolatba lépnie semmilyen parancs- és vezérlőszerverrel a kommunikáció érdekében. Ez még nehezebbé teszi a ransomware korai felismerését az áldozat rendszeren, mivel nincsenek nyomon követhető gyanús kimenő kapcsolatok.
A LockFile egy legitim Windows eszközt használ, Windows Management Interface vagy WMI néven - ez a parancssori eszköz, amely a modern Windows minden kiadásához és telepítéséhez tartozik. A WMI az adatbázis -kezeléssel és a virtualizációval kapcsolatos folyamatok leállítására szolgál. Ez mind biztosítja, hogy a fájlok most érettek a felhasználásra, és azt is, hogy a WMI -t közvetítőként használva nem válik azonnal nyilvánvalóvá, hogy a törvényes folyamatokat a ransomware leállította.
Sophos tovább magyarázta, hogy az időszakos titkosítási módszer miért téveszthet meg néhány védelmet. Ennek módja a "chi négyzet" nevű ellenőrzési módszerhez kapcsolódik. Ez a módszer minden fájlhoz pontszámot rendel. Ha egy fájlt más ransomware törzsekkel titkosítanak, még azok is, amelyek csak a fájl első néhány blokkját titkosítják, akkor jelentősen eltérnek a chi négyzet pontszám az eredeti fájlhoz képest. A szakaszos titkosítási módszer azonban olyan fájlokat állít elő, amelyek chi négyzetpontszámai sokkal közelebb vannak az eredeti fájlokhoz.