LockFile Ransomware bruker ny krypteringsteknikk

Forskere som jobber med sikkerhetsfirmaet Sophos publiserte en rapport om en ny ransomware -stamme som heter LockFile. Det som gjør den nye trusselen unik, er måten den krypterer filer på offersystemer.

LockFile er et nytt navn på skadelig programvare, som dukker opp nylig, kort tid etter oppdagelsen av at ikke -oppdaterte MS Exchange -servere var sårbare for ProxyShell -angrep.

Sophos -teamet forklarer at den nye ransomware bruker en krypteringsteknikk som aldri har blitt brukt av en annen stamme av ransomware tidligere. Måten LockFile krypterer filer på beskrives som "intermitterende kryptering". Rapporten forklarer at skadelig programvare krypterer "hver 16. byte" av hver fil. Sophos forklarer videre at denne metoden holder den resulterende krypterte filen "statistisk veldig lik" tilstanden til den opprinnelige filen.

Denne nye tilnærmingen til kryptering hjelper LockFile til å lure noen anti-ransomware-mottiltak, men det er ikke det eneste unnvikelsesverktøyet som ransomware bruker. LockFile bruker også minnekartet I/O ved kryptering av filer. Dette holder disk I/O til et minimum og kan ytterligere holde den ondsinnede aktiviteten til LockFile under radaren.

Til syvende og sist trenger LockFile heller ikke å kontakte noen form for kommando- og kontrollserver for kommunikasjon. Dette gjør ransomware enda vanskeligere å oppdage tidlig på et offersystem, siden det ikke er sporbare mistenkelige utgående forbindelser.

LockFile bruker et legitimt Windows -verktøy kalt Windows Management Interface eller WMI - et kommandolinjeverktøy som følger med hver utgivelse og installasjon av dagens Windows. WMI brukes til å stenge prosesser knyttet til databaseadministrasjon og virtualisering. Dette både sikrer at filene nå er modne for utnyttelse, og også at ved å bruke WMI som mellommann, blir det ikke umiddelbart åpenbart at de legitime prosessene ble stengt av ransomware.

Sophos forklarte videre hvorfor den intermitterende krypteringsmetoden kan lure noen forsvar. Måten dette fungerer på har å gjøre med en verifiseringsmetode kalt "chi squared". Denne metoden tildeler hver fil en poengsum. Hvis en fil er kryptert med andre stammer av ransomware, vil selv de som krypterer bare de første blokkene i filen, ha en betydelig avvik i sin chi squared score, sammenlignet med den opprinnelige filen. Imidlertid produserer den intermitterende krypteringsmetoden filer som har chi -kvadrerte score som er mye nærmere de originale filene.