LockFile -ransomware dukkede op i juli 2021. Ransomware har udnyttet sårbarhederne i ProxyShell i Microsoft Exchange -servere i sine angreb. Fejlene indsættes “til at bryde mål med upatchede, på lokale Microsoft Exchange -servere, efterfulgt af et PetitPotam NTLM -relayangreb for at få kontrol over domænet,”Ifølge Sophos’ Mark Loman.
Hvad er mest bemærkelsesværdigt ved denne ransomware, dog, er dens kryptering. Intermitterende kryptering har ikke været brugt af nogen kendt ransomware hidtil, og det er blevet valgt af trusselsaktørerne til unddragelsesformål.
LockFile Ransomware intermitterende kryptering forklaret
Denne særlige funktion er, hvad der sætter Lås fil bortset fra andre ransomware -familier. Hvordan fungerer intermitterende kryptering? Cryptovirus krypterer hver 16 bytes af en fil i et forsøg på at undgå registrering af ransomware -beskyttelsesløsninger. Tilsyneladende, et dokument krypteret på denne måde ligner meget den krypterede original.
Unddragelse er mulig i tilfælde, hvor anti-ransomware-værktøjer bruger den såkaldte "chi-squared (chi^2)”Analyse, ændre den statistiske måde, denne analyse udføres på og dermed forvirre den. Hvad betyder det?
“En ukrypteret tekstfil af 481 KB (sige, en bog) har en chi^2 score på 3850061. Hvis dokumentet blev krypteret af DarkSide ransomware, det ville have en chi^2 score på 334 - hvilket er en klar indikation på, at dokumentet er blevet krypteret. Hvis det samme dokument er krypteret af LockFile ransomware, det ville stadig have en signifikant høj chi^2 -score på 1789811, ”forklarede Loman.
Når alle filer er krypteret på det målrettede system, ransomware fordamper og efterlader ingen spor, slette sig selv med en PING -kommando. Med andre ord, LockFile efterlader ikke en ransomware -binær bagved, hvilket forhindrer hændelsesresponsører og antivirusløsninger i at finde den.
Det er også bemærkelsesværdigt, at ransomware ikke behøver at oprette forbindelse til en kommando-og-kontrol-server, gør dens adfærd under radaren endnu mere sofistikeret. ”Det betyder, at det kan kryptere data på maskiner, der ikke har internetadgang," Sluttede Loman.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig:
Tak for at dele værdifuld information, til Ransomware bruger unik intermitterende kryptering.
Tak for delingen..