LockFileランサムウェアは7月に登場しました 2021. ランサムウェアは悪用されています ProxyShellの脆弱性 その攻撃でMicrosoftExchangeサーバーで. 欠陥は「パッチが適用されていないターゲットを突破するために展開されます, オンプレミスのMicrosoftExchangeサーバー, その後、ドメインの制御を奪うためのPetitPotamNTLMリレー攻撃が続きます,ソフォスのMarkLomanによると.
このランサムウェアで最も注目すべき点, でも, その暗号化です. 断続的な暗号化は、これまでのところ既知のランサムウェアでは使用されていません。, そしてそれは回避目的のために脅威アクターによって選ばれました.
LockFileランサムウェアの断続的な暗号化の説明
この特定の機能は何を設定するかです LockFile 他のランサムウェアファミリーは別として. 断続的な暗号化はどのように機能しますか? 暗号ウイルスはすべてを暗号化します 16 ランサムウェア保護ソリューションによる検出を回避するためのファイルのバイト数. どうやら, この方法で暗号化されたドキュメントは、暗号化された元のドキュメントと非常によく似ています.
ランサムウェア対策ツールがいわゆる「カイ二乗」を使用する場合、回避が可能です。 (カイ2乗)" 分析, この分析が行われる統計的方法を変更し、したがってそれを混乱させる. これは何を意味するのでしょうか?
「暗号化されていないテキストファイル 481 KB (いう, 一冊の本) カイ2乗スコアが 3850061. ドキュメントがDarkSideランサムウェアによって暗号化されている場合, カイ2乗スコアは 334 –これはドキュメントが暗号化されていることを明確に示しています. 同じドキュメントがLockFileランサムウェアによって暗号化されている場合, それでも、カイ2乗スコアは1789811と非常に高くなります」とローマンは説明しました。.
ターゲットシステムですべてのファイルが暗号化されたら, ランサムウェアは蒸発し、痕跡を残しません, PINGコマンドで自分自身を削除する. 言い換えると, LockFileはランサムウェアのバイナリを残さないため、インシデントレスポンダーとウイルス対策ソリューションがそれを見つけるのを防ぎます.
ランサムウェアがコマンドアンドコントロールサーバーに接続する必要がないことも注目に値します, レーダー下の動作をさらに洗練させます. 「これは、インターネットにアクセスできないマシン上のデータを暗号化できることを意味します,」 ローマンは結論を出しました.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください:
貴重な情報を共有してくれてありがとう, ランサムウェアは独自の断続的な暗号化を使用.
共有していただきありがとうございます。.