LockFile Ransomware emprega nova técnica de criptografia
Os pesquisadores que trabalham com a empresa de segurança Sophos publicaram um relatório sobre uma nova variedade de ransomware chamada LockFile. O que torna a nova ameaça única é a maneira como ela criptografa os arquivos nos sistemas das vítimas.
LockFile é um novo nome no cenário do malware, surgindo apenas recentemente, logo após a descoberta de que os servidores MS Exchange sem patch eram vulneráveis a ataques ProxyShell.
A equipe da Sophos explica que o novo ransomware usa uma técnica de criptografia que nunca foi usada por outra cepa de ransomware no passado. A maneira como o LockFile criptografa os arquivos é descrita como "criptografia intermitente". O relatório explica que o malware criptografa "a cada 16 bytes" de cada arquivo. Sophos explica ainda que este método mantém o arquivo criptografado resultante "estatisticamente muito semelhante" ao estado do arquivo original.
Essa nova abordagem de criptografia ajuda o LockFile a enganar algumas contramedidas anti-ransomware, mas não é a única ferramenta de evasão que o ransomware usa. LockFile também usa E / S mapeada de memória ao criptografar arquivos. Isso mantém a E / S de disco em um mínimo e pode manter ainda mais a atividade maliciosa do LockFile sob o radar.
Em última análise, o LockFile também não precisa entrar em contato com nenhum tipo de servidor de comando e controle para comunicação. Isso torna o ransomware ainda mais difícil de detectar precocemente no sistema da vítima, já que não há conexões de saída suspeitas rastreáveis.
O LockFile usa uma ferramenta legítima do Windows chamada Windows Management Interface ou WMI - uma ferramenta de linha de comando que acompanha cada versão e instalação do Windows moderno. O WMI é usado para encerrar processos relacionados ao gerenciamento de banco de dados e virtualização. Isso garante que os arquivos estejam prontos para exploração e também que, ao usar o WMI como intermediário, não fique imediatamente óbvio que os processos legítimos foram desligados pelo ransomware.
A Sophos explicou ainda por que o método de criptografia intermitente pode enganar algumas defesas. A forma como isso funciona tem a ver com um método de verificação chamado "chi quadrado". Este método atribui a cada arquivo uma pontuação. Se um arquivo for criptografado com outros tipos de ransomware, mesmo aqueles que criptografam apenas os primeiros blocos do arquivo, terão uma divergência significativa em sua pontuação qui quadrado, em comparação com o arquivo original. No entanto, o método de criptografia intermitente produz arquivos com pontuações chi ao quadrado muito mais próximas dos arquivos originais.
