Вирус-вымогатель LockFile обходит защиту с помощью частичного шифрования файлов


Новое семейство программ-вымогателей, появившееся в прошлом месяце, использует собственный набор приемов для обхода защиты с помощью новейшей техники «прерывистого шифрования».

Операторы вируса, получившего название LockFile, были замечены в эксплуатации недавно обнаруженных уязвимостей ProxyShell и PetitPotam с целью развертывании на серверах Windows шифрующего файлы вредоноса. Этот вирус использует особый алгоритм шифрования, скремблируя не весь файл, а только чередующие секции по 16 байтов, что дает ему возможность обходить системы защиты.

«Частичное шифрование обычно используется операторами вирусов-вымогателей для ускорения скремблирования и уже применяется группировками BlackMatter, DarkSide и LockBit 2.0, — сообщил Марк Ломан, директор инженерного департамента компании Sophos. – LockFile же выделяется среди них тем, что этот вирус не трогает первые несколько блоков документа, а шифрует последующие перемежающиеся отрезки из 16 байтов.

То есть, к примеру, текстовый документ остается частично читаемым и статистически выглядит как оригинал. Такой трюк позволяет успешно обманывать программы защиты, которые определяют наличие шифрования, используя статистический криптоанализ документов». – добавил он.

Заключение Sophos относительно LockFile строится на основе анализа артефакта, загруженного на VirusTotal 22 августа 2021 года.

После внедрения вредонос, используя интерфейс управления Windows (WMI), предпринимает шаги для завершения ключевых процессов, связанных с программами виртуализации и базами данных, после чего переходит к шифрованию основных файлов и объектов, отображая в итоге уведомление, стилистически схожее с используемым в LockBit 2.0.

Это уведомление также призывает связаться с определенным адресом электронной почты, contact@contipauper.com, что, по мнению специалистов Sophos, может быть пренебрежительным жестом в адрес конкурирующей группировки вымогателей Conti.

Более того, после успешного шифрования всех документов на устройстве вирус удаляет себя из системы, «не оставляя исполняемого файла, который бы могла обнаружить/очистить группа реагирования или антивирусное ПО».

«Для противодействующей стороны это все означает, что сфера киберугроз не стоит на месте, и злоумышленники готовы быстро воспользоваться любой представившейся уязвимостью или инструментом для проведения успешной атаки», — сказал Ломан.

Информация была обнародована в виде оперативного отчета ФБР США, раскрывающего подробности тактики новой группировки Hive, предлагающей ПО для виртуального вымогательства (RaaS). Эта группа состоит из нескольких операторов, использующих различные механизмы для взлома бизнес-сетей, кражи или шифрования их данных, после чего пытается получить выкуп в обмен на доступ к программе для дешифровки.

Читайте так же:

  • «Чёрная вдова» и Xiaomi Mi 11 рекламируют друг друга«Чёрная вдова» и Xiaomi Mi 11 рекламируют друг друга В преддверии премьеры фильма «Чёрная вдова» (Black Widow) Xiaomi в партнёрстве с Marvel Studios запустили рекламную кампанию, объявив. Что Xiaomi Mi 11 стал официальным смартфоном фильма. Рекламная кампания проходит одновременно с семи странах Европы. А премьера фильма состоится уже в […]
  • Проверено! Запускаем мониторинг качества Турбо-страниц для магазиновПроверено! Запускаем мониторинг качества Турбо-страниц для магазинов Клиенты редко ждут. Пока заработает страница с нужным товаром. И вряд ли станут покупать в магазине с неактуальными ценами. Теперь вовремя обнаружить неполадки на Турбо-страницах. Сохранить заказы и доверие пользователей позволяет проверка качества […]
  • Разработка сайтов и их продвижениеРазработка сайтов и их продвижение Разработка сайтов под ключ и их дальнейшее продвижение - это основная сфера деятельности веб-студии «Ракета». Все сайты разрабатываются индивидуально под каждого заказчика и его требования.Плюсы работы с нами:1) Мы сразу рассказываем про все подводные камни, которые могут встретиться, […]
  • PPC CONF: интернет-маркетинг для малого бизнесаPPC CONF: интернет-маркетинг для малого бизнеса Описание 23 июня в рамках спецпроекта от ppc.world «Миссия выполнима: продвигаем бизнес при бюджете до 50 000 рублей» пройдет онлайн-конференция для SMB - «PPC CONF: интернет-маркетинг для малого бизнеса».Вам точно будет полезно участие. Если постоянно приходится ломать голову над […]