Accueil > Nouvelles Cyber > LockFile Ransomware utilise un cryptage intermittent unique pour échapper à la détection
CYBER NOUVELLES

LockFile Ransomware utilise un cryptage intermittent unique pour échapper à la détection

LockFile Ransomware utilise un cryptage intermittent unique pour échapper à la détection-sensorstechforum
Le ransomware LockFile est apparu en juillet 2021. Le ransomware a exploité les vulnérabilités ProxyShell dans les serveurs Microsoft Exchange dans ses attaques. Les failles sont déployées « pour violer des cibles avec des, sur site serveurs Microsoft Exchange, suivi d'une attaque par relais PetitPotam NTLM pour prendre le contrôle du domaine,» selon Mark Loman de Sophos.

Ce qui est le plus remarquable à propos de ce ransomware, cependant, est son cryptage. Le cryptage intermittent n'a été utilisé par aucun ransomware connu jusqu'à présent, et il a été choisi par les acteurs de la menace à des fins d'évasion.

Le cryptage intermittent LockFile Ransomware expliqué

Cette caractéristique particulière est ce qui définit Fichier de verrouillage en dehors des autres familles de ransomwares. Comment fonctionne le cryptage intermittent? Le cryptovirus crypte chaque 16 octets d'un fichier pour tenter d'échapper à la détection par les solutions de protection contre les ransomwares. Apparemment, un document crypté de cette manière ressemble beaucoup à l'original crypté.

L'évasion est possible dans les cas où les outils anti-ransomware utilisent ce qu'on appelle le « chi carré (chi^2)" une analyse, altérer la manière statistique de faire cette analyse et donc la confondre. Qu'est-ce que cela signifie?




« Un fichier texte non crypté de 481 KB (dire, un livre) a un score chi^2 de 3850061. Si le document a été crypté par le ransomware DarkSide, il aurait un score chi^2 de 334 – ce qui indique clairement que le document a été crypté. Si le même document est crypté par le ransomware LockFile, il aurait toujours un score chi^2 significativement élevé de 1789811 », a expliqué Loman.

Une fois tous les fichiers cryptés sur le système ciblé, le ransomware s'évapore sans laisser de trace, se supprimer avec une commande PING. En d'autres termes, LockFile ne laisse pas derrière lui un binaire de ransomware, empêchant ainsi les intervenants en cas d'incident et les solutions antivirus de le trouver.

Il est également à noter que le ransomware n'a pas besoin de se connecter à un serveur de commande et de contrôle, rendant son comportement sous le radar encore plus sophistiqué. « Cela signifie qu'il peut crypter des données sur des machines qui n'ont pas accès à Internet," Loman a conclu.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

1 Commentaire
  1. Ariya Rathi

    Merci de partager des informations précieuses, for Ransomware utilise un cryptage intermittent unique.
    Merci pour le partage..

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord