LockFile 勒索軟件採用新穎的加密技術

與安全公司 Sophos 合作的研究人員發表了一份關於一種名為 LockFile 的新型勒索軟件的報告。新威脅的獨特之處在於它加密受害者係統上的文件的方式。

LockFile 是惡意軟件領域的一個新名稱,最近才出現,在發現未修補的 MS Exchange 服務器容易受到 ProxyShell 攻擊之後不久。

Sophos 團隊解釋說,新的勒索軟件使用的加密技術過去從未被其他勒索軟件使用過。 LockFile 加密文件的方式被描述為“間歇性加密”。該報告解釋說,該惡意軟件對每個文件的“每 16 個字節”進行加密。 Sophos 進一步解釋說,這種方法使生成的加密文件與原始文件的狀態“在統計上非常相似”。

這種新穎的加密方法有助於 LockFile 欺騙一些反勒索軟件的對策,但它並不是勒索軟件使用的唯一逃避工具。 LockFile 在加密文件時還使用內存映射 I/O。這將磁盤 I/O 保持在最低限度,並可以進一步將 LockFile 的惡意活動置於雷達之下。

最終,LockFile 也不需要聯繫任何類型的命令和控制服務器進行通信。這使得勒索軟件更難在受害系統的早期發現,因為沒有可追踪的可疑傳出連接。

LockFile 使用稱為 Windows 管理界面或 WMI 的合法 Windows 工具——一種命令行工具,與現代 Windows 的每個版本和安裝捆綁在一起。 WMI 用於關閉與數據庫管理和虛擬化相關的進程。這既確保了文件現在可以被利用,而且通過使用 WMI 作為中介,合法進程被勒索軟件關閉的情況不會立即變得明顯。

Sophos 進一步解釋了為什麼間歇性加密方法可以欺騙一些防禦。這種工作方式與稱為“卡方”的驗證方法有關。此方法為每個文件分配一個分數。如果文件被其他勒索軟件株加密,即使是只加密文件的前幾個塊的文件,與原始文件相比,其卡方得分也會有顯著差異。但是,間歇性加密方法會生成卡方分數更接近原始文件的文件。

August 31, 2021
正在加載...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载该应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的完整功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。