RIPlace é nova técnica ransomware desvio que foi recentemente detectado por pesquisadores de segurança. A técnica baseia-se em apenas algumas linhas de código para sucesso iludir embutido recursos de proteção de ransomware, presente em soluções de segurança e do Windows 10.
A técnica RIPlace foi descoberto por vários pesquisadores de segurança de Nyotron – Daniel Prizmant, guy Meoded, Freddy Ouzan, e Hanan Natan. Os pesquisadores contataram fornecedores de segurança e Microsoft sobre o assunto. Contudo, aparentemente apenas dois fornecedores tomou as medidas necessárias para resolver a questão e assegurar o produto afetado.
As outras empresas parecem acreditar que RIPlace é um “não é problema”, disseram os pesquisadores em uma conversa com Bleeping Computer. empresas afetadas incluem nomes como Microsoft, Symantec, Sophos, negro de carbono, Trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, Crowdstrike, e armadilhas PANW. Kaspersky e negro de fumo são as únicas empresas que asseguraram seus produtos contra a técnica de bypass RIPlace.
Técnica RIPlace Ransomware Bypass Explicada
Para entender como o desvio ransomware funciona, precisamos olhar para os dados criptografa maneira ransomware. Para a criptografia para ocorrer, o ransomware tem para criptografar os arquivos específicos e substituí-los por dados criptografados através de um dos três métodos primários:
1. Abrir e ler arquivo original
2. conteúdo Criptografar na memória
3. Destruir o arquivo original:
– Escrever o conteúdo criptografado no arquivo original,-
– Ou salvar arquivo criptografado para disco, ao remover o arquivo original usando a operação DeleteFile,
– Ou salvar arquivo criptografado para disco, em seguida, substituí-lo com o arquivo original usando a operação Rename.
Para proteção ransomware eficiente, todas as três condições devem ser neutralizados. Contudo, parece que o terceiro método de substituição de arquivos de uma maneira específica poderia permitir a evasão de proteção ransomware.
Dito, “RIPlace é uma técnica de sistema de arquivos do Windows que, quando usado para arquivos maliciosamente criptografar, pode iludir a maioria dos métodos anti-ransomware existentes," a pesquisadores explicaram. A razão RIPlace é tão complicado é que ele aproveita uma falha de projeto no sistema operacional Windows, em vez de uma falha específica no software. além disso, o desvio é fácil de implementar.
Os pesquisadores também disponibilizou dois vídeos para mostrar como truques RIPlace dois produtos de segurança endpoint populares - Symantec Endpoint Protection e Microsoft Defender Antivirus.
Mais Informações sobre RIPlace está disponível.