Die Ransomware LockFile tauchte im Juli auf 2021. Die Ransomware hat ausgenutzt die ProxyShell-Schwachstellen in Microsoft Exchange-Servern bei seinen Angriffen. Die Fehler werden eingesetzt, „um Ziele mit ungepatchten“, On-Premise-Microsoft Exchange-Server, gefolgt von einem PetitPotam NTLM-Relay-Angriff, um die Kontrolle über die Domain zu erlangen,“ laut Mark Loman von Sophos.
Was ist am meisten an dieser Ransomware bemerkenswert?, jedoch, ist seine Verschlüsselung. Intermittierende Verschlüsselung wurde bisher von keiner bekannten Ransomware verwendet, und es wurde von den Bedrohungsakteuren zu Umgehungszwecken ausgewählt.
LockFile Ransomware Intermittierende Verschlüsselung erklärt
Diese besondere Funktion ist das, was setzt LockFile abgesehen von anderen Ransomware-Familien. Wie funktioniert die intermittierende Verschlüsselung? Der Kryptovirus verschlüsselt jeden 16 Bytes einer Datei, um der Erkennung durch Ransomware-Schutzlösungen zu entgehen. Offenbar, ein so verschlüsseltes Dokument sieht dem verschlüsselten Original sehr ähnlich.
Umgehung ist möglich, wenn Anti-Ransomware-Tools das sogenannte „Chi-Quadrat“ verwenden (chi^2)" Analyse, die statistische Art und Weise, wie diese Analyse durchgeführt wird, zu verändern und sie somit zu verwirren. Was bedeutet das?
„Eine unverschlüsselte Textdatei von 481 KB (sagen, ein Buch) hat einen Chi^2-Wert von 3850061. Wenn das Dokument mit DarkSide-Ransomware verschlüsselt wurde, es hätte einen chi^2 Score von 334 – was ein deutlicher Hinweis darauf ist, dass das Dokument verschlüsselt wurde. Wenn dasselbe Dokument durch die LockFile-Ransomware verschlüsselt wird, es hätte immer noch einen signifikant hohen chi^2-Wert von 1789811“, erklärte Loman.
Sobald alle Dateien auf dem Zielsystem verschlüsselt sind, Die Ransomware verdunstet und hinterlässt keine Spuren, sich selbst mit einem PING-Befehl löschen. Mit anderen Worten, LockFile hinterlässt keine Ransomware-Binärdatei und verhindert so, dass Incident-Responder und Antivirenlösungen sie finden.
Bemerkenswert ist auch, dass die Ransomware keine Verbindung zu einem Command-and-Control-Server herstellen muss, macht sein Verhalten unter dem Radar noch ausgeklügelter. „Das bedeutet, dass es Daten auf Maschinen verschlüsseln kann, die keinen Internetzugang haben," Loman abgeschlossen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir:
Danke für das Teilen wertvoller Informationen, für Ransomware verwendet einzigartige intermittierende Verschlüsselung.
Danke fürs teilen..