RIPlace est nouvelle technique de by-pass de ransomware qui a été récemment détectée par des chercheurs de sécurité. La technique repose sur quelques lignes de code pour Evadé avec succès des fonctions intégrées de protection ransomware, présents dans des solutions de sécurité et de Windows 10.
La technique RIPlace a été découvert par plusieurs chercheurs en sécurité de Nyotron – Daniel Prizmant, Guy Meoded, Freddy Ouzan, et Hanan Natan. Les chercheurs ont contacté les fournisseurs de sécurité et Microsoft sur la question. Cependant, apparemment seulement deux fournisseurs ont pris les mesures nécessaires pour résoudre le problème et obtenir le produit visé.
Les autres entreprises semblent croire que RIPlace est un «pas de sortie", les chercheurs ont dit dans une conversation avec Bleeping ordinateur. entreprises concernées incluent des noms tels que Microsoft, Symantec, Sophos, Noir carbone, Trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, CrowdStrike, et pièges PANW. Kaspersky et Carbon Black sont les seules sociétés qui ont assuré leurs produits contre la technique de dérivation RIPlace.
RIPlace Ransomware Technique de dérivation Explained
Pour comprendre comment fonctionne le by-pass ransomware, nous devons examiner les ransomware de la chiffre les données ainsi. Pour le chiffrement lieu, le ransomware doit chiffrer les fichiers ciblés et les remplacer par des données chiffrées par l'une des trois principales méthodes:
1. Ouvrir et lire le fichier d'origine
2. Crypter le contenu en mémoire
3. Détruire le fichier d'origine:
– Rédaction de contenu crypté dans le fichier d'origine,-
– OU d'enregistrement du fichier crypté sur le disque, tout en supprimant le fichier d'origine en utilisant l'opération DeleteFile,
– OU d'enregistrement du fichier crypté sur le disque, puis le remplacer par le fichier d'origine en utilisant l'opération Renommer.
Pour une protection efficace ransomware, les trois conditions doivent être neutralisées. Cependant, il semble que la troisième méthode de remplacement des fichiers d'une manière spécifique pourrait permettre l'évasion de la protection ransomware.
Cela étant dit, "RIPlace est une technique de système de fichiers Windows, lorsqu'il est utilisé pour les fichiers malicieusement Crypter, peut échapper à la plupart des méthodes anti-ransomware existants," le chercheurs ont expliqué. La raison RIPlace est si délicat est qu'il met à profit un défaut de conception dans le système d'exploitation Windows plutôt que d'un défaut dans le logiciel spécifique. En outre, le by-pass est facile à mettre en œuvre.
Les chercheurs ont également fourni deux vidéos pour montrer comment astuces RIPlace deux produits de sécurité des terminaux populaires - Symantec Endpoint Protection et Microsoft Defender Antivirus.
Plus d'information A propos de RIPlace est disponible.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: