LockFile 勒索软件采用新颖的加密技术

与安全公司 Sophos 合作的研究人员发表了一份关于一种名为 LockFile 的新型勒索软件的报告。新威胁的独特之处在于它加密受害者系统上的文件的方式。

LockFile 是恶意软件领域的一个新名称，最近才出现，在发现未修补的 MS Exchange 服务器容易受到 ProxyShell 攻击之后不久。

Sophos 团队解释说，新的勒索软件使用的加密技术过去从未被其他勒索软件使用过。 LockFile 加密文件的方式被描述为“间歇性加密”。该报告解释说，该恶意软件对每个文件的“每 16 个字节”进行加密。 Sophos 进一步解释说，这种方法使生成的加密文件与原始文件的状态“在统计上非常相似”。

这种新颖的加密方法有助于 LockFile 欺骗一些反勒索软件的对策，但它并不是勒索软件使用的唯一逃避工具。 LockFile 在加密文件时还使用内存映射 I/O。这将磁盘 I/O 保持在最低限度，并可以进一步将 LockFile 的恶意活动置于雷达之下。

最终，LockFile 也不需要联系任何类型的命令和控制服务器进行通信。这使得勒索软件更难在受害系统的早期发现，因为没有可追踪的可疑传出连接。

LockFile 使用称为 Windows 管理界面或 WMI 的合法 Windows 工具 - 与现代 Windows 的每个版本和安装捆绑在一起的命令行工具。 WMI 用于关闭与数据库管理和虚拟化相关的进程。这既确保了文件现在可以被利用，而且通过使用 WMI 作为中介，合法进程被勒索软件关闭的情况不会立即变得明显。

Sophos 进一步解释了为什么间歇性加密方法可以欺骗一些防御。这种工作方式与称为“卡方”的验证方法有关。此方法为每个文件分配一个分数。如果文件被其他勒索软件株加密，即使是只加密文件的前几个块的文件，与原始文件相比，其卡方得分也会有显着差异。但是，间歇性加密方法会生成卡方分数更接近原始文件的文件。