LockFile Ransomware använder ny krypteringsteknik

Forskare som arbetar med säkerhetsföretaget Sophos publicerade en rapport om en ny ransomware -stam som heter LockFile. Det som gör det nya hotet unikt är hur det krypterar filer på offrens system.

LockFile är ett nytt namn på malware -landskapet, som nyligen uppstod, kort efter upptäckten att opatchade MS Exchange -servrar var sårbara för ProxyShell -attacker.

Sophos -teamet förklarar att den nya ransomware använder en krypteringsteknik som aldrig tidigare använts av en annan ransomware -stam. Sättet LockFile krypterar filer beskrivs som "intermittent kryptering". Rapporten förklarar att skadlig programvara krypterar "var 16 byte" i varje fil. Sophos förklarar vidare att denna metod håller den resulterande krypterade filen "statistiskt mycket lik" till tillståndet för den ursprungliga filen.

Denna nya metod för kryptering hjälper LockFile att lura några motåtgärder mot ransomware, men det är inte det enda undvikningsverktyget som ransomware använder. LockFile använder också minneskartade I/O vid kryptering av filer. Detta håller disk I/O till ett minimum och kan ytterligare hålla den skadliga aktiviteten hos LockFile under radarn.

I slutändan behöver LockFile inte heller behöva kontakta någon form av kommando- och kontrollserver för kommunikation. Detta gör ransomware ännu svårare att upptäcka tidigt på ett offersystem, eftersom det inte finns några spårbara misstänkta utgående anslutningar.

LockFile använder ett legitimt Windows -verktyg som kallas Windows Management Interface eller WMI - ett kommandoradsverktyg som följer med varje version och installation av moderna Windows. WMI används för att stänga av processer relaterade till databashantering och virtualisering. Detta både säkerställer att filerna nu är mogna för utnyttjande och även att genom att använda WMI som mellanhand blir det inte direkt uppenbart att de legitima processerna stängdes av ransomware.

Sophos förklarade vidare varför den intermittenta krypteringsmetoden kan lura vissa försvar. Hur detta fungerar har att göra med en verifieringsmetod som kallas "chi squared". Denna metod tilldelar varje fil en poäng. Om en fil är krypterad med andra stammar av ransomware, kommer även de som krypterar bara de första blocken i filen att ha en avsevärd avvikelse i dess chi -kvadratpoäng, jämfört med den ursprungliga filen. Emellertid producerar den intermittenta krypteringsmetoden filer som har chi -kvadrerade poäng som ligger mycket närmare de ursprungliga filerna.

August 31, 2021
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.