„LockFile Ransomware“ naudojama nauja šifravimo technika

Mokslininkai, dirbantys su saugumo įmone „Sophos“, paskelbė pranešimą apie naują išpirkos programų štampą, vadinamą „LockFile“. Naują grėsmę unikalų daro tai, kaip ji užšifruoja failus aukų sistemose.

„LockFile“ yra naujas kenkėjiškų programų pavadinimas, atsiradęs tik neseniai, netrukus po to, kai buvo nustatyta, kad nesugadinti „MS Exchange“ serveriai buvo pažeidžiami „ProxyShell“ atakų.

„Sophos“ komanda paaiškina, kad naujoji išpirkos programinė įranga naudoja šifravimo techniką, kurios anksčiau niekada nenaudojo kitos išpirkos programos. „LockFile“ failų šifravimo būdas apibūdinamas kaip „protarpinis šifravimas“. Ataskaitoje paaiškinta, kad kenkėjiška programa užšifruoja kiekvieno failo „kas 16 baitų“. „Sophos“ taip pat paaiškina, kad šis metodas išsaugo užšifruotą failą „statistiškai labai panašų“ į pradinio failo būseną.

Šis naujas šifravimo metodas padeda „LockFile“ suklaidinti kai kurias kovos su išpirkos programomis priemones, tačiau tai nėra vienintelis įrankis, kurį naudoja išpirkos programa. Šifruodama failus „LockFile“ taip pat naudoja atminties įvestį/išvestį. Tai sumažina disko įvesties ir išvesties skaičių iki minimumo ir toliau gali užkirsti kelią kenkėjiškai „LockFile“ veiklai po radaru.

Galų gale „LockFile“ taip pat nereikia susisiekti su bet kokiu komandų ir valdymo serveriu. Dėl to išpirkos programinę įrangą dar sunkiau pastebėti aukų sistemoje, nes nėra jokių įtartinų išeinančių ryšių.

„LockFile“ naudoja teisėtą „Windows“ įrankį, vadinamą „Windows Management Interface“ arba WMI - komandinės eilutės įrankį, kuris yra komplektuojamas su kiekvienu šiuolaikinio „Windows“ leidimu ir diegimu. WMI naudojamas procesams, susijusiems su duomenų bazių valdymu ir virtualizavimu, išjungti. Tai užtikrina ir tai, kad failai jau yra subrendę naudoti, ir tai, kad naudojant WMI kaip tarpininką, iš karto netaps akivaizdu, kad teisėtus procesus išjungė išpirkos programa.

Sophos taip pat paaiškino, kodėl protarpinis šifravimo metodas gali suklaidinti kai kurias gynybos priemones. Tai veikia su patvirtinimo metodu, vadinamu „chi kvadratu“. Šis metodas kiekvienam failui priskiria balą. Jei failas yra užšifruotas naudojant kitų tipų išpirkos programinę įrangą, net ir tuos, kurie užšifruoja tik pirmuosius failo blokus, chi kvadrato balas labai skirsis, palyginti su pradiniu failu. Tačiau protarpinis šifravimo metodas sukuria failus, kurių chi kvadrato balai yra daug arčiau originalių failų.