Программа-вымогатель LockFile использует новую технику шифрования

Исследователи, работающие с охранной фирмой Sophos, опубликовали отчет о новом штамме вымогателя под названием LockFile. Уникальность новой угрозы заключается в том, как она шифрует файлы в системах-жертвах.

LockFile - это новое имя в среде вредоносных программ, появившееся совсем недавно, вскоре после того, как было обнаружено, что непропатченные серверы MS Exchange уязвимы для атак ProxyShell.

Команда Sophos объясняет, что новая программа-вымогатель использует метод шифрования, который ранее никогда не использовался другими видами программ-вымогателей. Способ, которым LockFile шифрует файлы, описывается как «прерывистое шифрование». В отчете поясняется, что вредоносная программа шифрует «каждые 16 байтов» каждого файла. Sophos далее поясняет, что этот метод сохраняет результирующий зашифрованный файл «статистически очень похожим» на состояние исходного файла.

Этот новый подход к шифрованию помогает LockFile обмануть некоторые меры противодействия программам-вымогателям, но это не единственный инструмент уклонения, который использует программа-вымогатель. LockFile также использует ввод-вывод с отображением памяти при шифровании файлов. Это сводит к минимуму дисковый ввод-вывод и может в дальнейшем скрыть вредоносную активность LockFile.

В конечном счете, LockFile также не нужно связываться с каким-либо сервером управления и контроля для связи. Это еще больше затрудняет обнаружение программы-вымогателя на ранней стадии в системе-жертве, поскольку нет отслеживаемых подозрительных исходящих соединений.

LockFile использует законный инструмент Windows под названием Windows Management Interface или WMI - инструмент командной строки, который входит в комплект с каждым выпуском и установкой современной Windows. WMI используется для завершения процессов, связанных с управлением базами данных и виртуализацией. Это гарантирует, что файлы теперь готовы к эксплуатации, а также то, что при использовании WMI в качестве посредника не сразу становится очевидным, что законные процессы были отключены программой-вымогателем.

Sophos также объяснил, почему метод прерывистого шифрования может обмануть некоторые средства защиты. То, как это работает, связано с методом проверки, называемым «хи в квадрате». Этот метод присваивает каждому файлу оценку. Если файл зашифрован другими штаммами программ-вымогателей, даже те, которые шифруют только первые несколько блоков файла, будут иметь значительное расхождение в оценке хи-квадрат по сравнению с исходным файлом. Однако метод прерывистого шифрования создает файлы с оценками хи-квадрат, которые намного ближе к исходным файлам.