LockFileランサムウェアは新しい暗号化技術を採用しています

セキュリティ会社のソフォスと協力している研究者は、LockFileと呼ばれるランサムウェアの新種に関するレポートを公開しました。新しい脅威をユニークなものにしているのは、被害者のシステム上のファイルを暗号化する方法です。

LockFileはマルウェアランドスケープの新しい名前であり、パッチが適用されていないMS ExchangeサーバーがProxyShell攻撃に対して脆弱であることが発見された直後に、最近登場しました。

ソフォスのチームは、新しいランサムウェアは、過去に別の種類のランサムウェアでは使用されたことのない暗号化技術を使用していると説明しています。 LockFileがファイルを暗号化する方法は、「断続的な暗号化」と呼ばれます。レポートは、マルウェアが各ファイルの「16バイトごと」を暗号化すると説明しています。ソフォスはさらに、この方法により、結果の暗号化ファイルが元のファイルの状態と「統計的に非常に類似」した状態に保たれると説明しています。

暗号化に対するこの斬新なアプローチは、LockFileがランサムウェア対策をだますのに役立ちますが、ランサムウェアが使用する回避ツールはこれだけではありません。 LockFileは、ファイルを暗号化するときにメモリマップドI / Oも使用します。これにより、ディスクI / Oが最小限に抑えられ、LockFileの悪意のあるアクティビティがレーダーの下に置かれる可能性があります。

最終的に、LockFileは、通信のためにいかなる種類のコマンドアンドコントロールサーバーにも接続する必要がありません。これにより、追跡可能な疑わしい発信接続がないため、ランサムウェアを被害者のシステムの早い段階で見つけることがさらに困難になります。

LockFileは、Windows Management InterfaceまたはWMIと呼ばれる正規のWindowsツールを使用します。これは、現代のWindowsのすべてのリリースとインストールにバンドルされているコマンドラインツールです。 WMIは、データベース管理と仮想化に関連するプロセスをシャットダウンするために使用されます。これにより、ファイルが悪用される可能性が高くなり、WMIを仲介として使用することで、正当なプロセスがランサムウェアによって遮断されたことがすぐに明らかになることはありません。

ソフォスはさらに、断続的な暗号化方式が一部の防御をだますことができる理由を説明しました。これが機能する方法は、「カイ二乗」と呼ばれる検証方法と関係があります。このメソッドは、各ファイルにスコアを割り当てます。ファイルが他の種類のランサムウェアで暗号化されている場合、ファイルの最初の数ブロックだけを暗号化したものでも、元のファイルと比較して、カイ2乗スコアが大幅に異なります。ただし、間欠暗号化方式では、元のファイルにはるかに近いカイ2乗スコアを持つファイルが生成されます。