Вирус-вымогатель LockFile обходит защиту с помощью частичного шифрования файлов

image-loader.svg


Новое семейство программ-вымогателей, появившееся в прошлом месяце, использует собственный набор приемов для обхода защиты с помощью новейшей техники «прерывистого шифрования».

Операторы вируса, получившего название LockFile, были замечены в эксплуатации недавно обнаруженных уязвимостей ProxyShell и PetitPotam с целью развертывании на серверах Windows шифрующего файлы вредоноса. Этот вирус использует особый алгоритм шифрования, скремблируя не весь файл, а только чередующие секции по 16 байтов, что дает ему возможность обходить системы защиты.

«Частичное шифрование обычно используется операторами вирусов-вымогателей для ускорения скремблирования и уже применяется группировками BlackMatter, DarkSide и LockBit 2.0, — сообщил Марк Ломан, директор инженерного департамента компании Sophos. — LockFile же выделяется среди них тем, что этот вирус не трогает первые несколько блоков документа, а шифрует последующие перемежающиеся отрезки из 16 байтов.

То есть, к примеру, текстовый документ остается частично читаемым и статистически выглядит как оригинал. Такой трюк позволяет успешно обманывать программы защиты, которые определяют наличие шифрования, используя статистический криптоанализ документов». — добавил он.


Заключение Sophos относительно LockFile строится на основе анализа артефакта, загруженного на VirusTotal 22 августа 2021 года.

После внедрения вредонос, используя интерфейс управления Windows (WMI), предпринимает шаги для завершения ключевых процессов, связанных с программами виртуализации и базами данных, после чего переходит к шифрованию основных файлов и объектов, отображая в итоге уведомление, стилистически схожее с используемым в LockBit 2.0.

image-loader.svg

Это уведомление также призывает связаться с определенным адресом электронной почты, contact@contipauper.com, что, по мнению специалистов Sophos, может быть пренебрежительным жестом в адрес конкурирующей группировки вымогателей Conti.

Более того, после успешного шифрования всех документов на устройстве вирус удаляет себя из системы, «не оставляя исполняемого файла, который бы могла обнаружить/очистить группа реагирования или антивирусное ПО».

«Для противодействующей стороны это все означает, что сфера киберугроз не стоит на месте, и злоумышленники готовы быстро воспользоваться любой представившейся уязвимостью или инструментом для проведения успешной атаки», — сказал Ломан.


Информация была обнародована в виде оперативного отчета ФБР США, раскрывающего подробности тактики новой группировки Hive, предлагающей ПО для виртуального вымогательства (RaaS). Эта группа состоит из нескольких операторов, использующих различные механизмы для взлома бизнес-сетей, кражи или шифрования их данных, после чего пытается получить выкуп в обмен на доступ к программе для дешифровки.

image-loader.svg

© Habrahabr.ru