LockFile Ransomware wykorzystuje nowatorską technikę szyfrowania

Badacze współpracujący z firmą Sophos zajmującą się bezpieczeństwem opublikowali raport na temat nowego szczepu oprogramowania ransomware o nazwie LockFile. To, co sprawia, że nowe zagrożenie jest wyjątkowe, to sposób, w jaki szyfruje pliki w systemach ofiar.

LockFile to nowa nazwa w krajobrazie złośliwego oprogramowania, która pojawiła się dopiero niedawno, wkrótce po odkryciu, że niezałatane serwery MS Exchange były podatne na ataki ProxyShell.

Zespół Sophos wyjaśnia, że nowe oprogramowanie ransomware wykorzystuje technikę szyfrowania, która w przeszłości nigdy nie była wykorzystywana przez inne odmiany oprogramowania ransomware. Sposób, w jaki LockFile szyfruje pliki, jest opisany jako „przerywane szyfrowanie”. Raport wyjaśnia, że złośliwe oprogramowanie szyfruje „co 16 bajtów” każdego pliku. Sophos wyjaśnia dalej, że ta metoda utrzymuje wynikowy zaszyfrowany plik „statystycznie bardzo podobny” do stanu oryginalnego pliku.

To nowatorskie podejście do szyfrowania pomaga LockFile oszukać niektóre środki zaradcze przeciwko oprogramowaniu ransomware, ale nie jest to jedyne narzędzie do unikania, którego używa oprogramowanie ransomware. LockFile używa również mapowanych we/wy pamięci podczas szyfrowania plików. Dzięki temu dyskowe operacje wejścia/wyjścia są ograniczone do minimum i mogą dalej ukrywać złośliwą aktywność LockFile.

Ostatecznie LockFile nie musi również kontaktować się z jakimkolwiek serwerem dowodzenia i kontroli w celu komunikacji. To sprawia, że ransomware jest jeszcze trudniejsze do wczesnego wykrycia w systemie ofiary, ponieważ nie ma żadnych podejrzanych połączeń wychodzących.

LockFile używa legalnego narzędzia Windows o nazwie Windows Management Interface lub WMI - narzędzia wiersza poleceń, które jest dołączone do każdej wersji i instalacji współczesnego systemu Windows. WMI służy do zamykania procesów związanych z zarządzaniem bazami danych i wirtualizacją. To gwarantuje, że pliki są teraz gotowe do wykorzystania, a także, że używając WMI jako pośrednika, nie staje się od razu oczywiste, że legalne procesy zostały wyłączone przez oprogramowanie ransomware.

Sophos wyjaśnił dalej, dlaczego metoda przerywanego szyfrowania może oszukać niektóre mechanizmy obronne. Sposób, w jaki to działa, ma związek z metodą weryfikacji o nazwie „chi do kwadratu”. Ta metoda przypisuje każdemu plikowi punktację. Jeśli plik jest zaszyfrowany innymi odmianami oprogramowania ransomware, nawet te, które szyfrują tylko kilka pierwszych bloków pliku, będą miały znaczną rozbieżność w wyniku chi-kwadrat w porównaniu z oryginalnym plikiem. Jednak metoda przerywanego szyfrowania tworzy pliki, które mają wyniki chi-kwadrat, które są znacznie bliższe oryginalnym plikom.