< 返回新闻公共列表

LockBit 2.0 之后, LockFile 勒索软件使用间歇性文件加密绕过保护

发布时间:2021-08-29 15:54:49

29.jpg

LockBit 2.0 之后,被称为LockFile的勒索软件的运营商是已被发现利用最近披露的缺陷(例如ProxyShell和PetitPotam)来破坏 Windows 服务器并部署文件加密恶意软件。LockFile利用一种称为“间歇性加密”的新技术来绕过勒索软件保护。该恶意软件仅对文件的每隔 16 个字节进行加扰,从而使其能够逃避勒索软件防御。


“勒索软件运营商通常使用部分加密来加快加密过程,我们已经看到 BlackMatter、DarkSide 和 LockBit 2.0 勒索软件实现了它,”Sophos 工程总监 Mark Loman 在一份声明中说。“LockFile 的不同之处在于,与其他的不同,它不加密前几个块。相反,LockFile 每隔 16 个字节就加密一个文档。”

“这意味着诸如文本文档之类的文件仍然部分可读,并且在统计上看起来像原始文件。这个技巧可以成功对抗依赖于使用统计分析检查内容来检测加密的勒索软件保护软件,”Loman 补充道。

Sophos 对 LockFile 的分析来自于2021 年 8 月 22 日上传到 VirusTotal 的一个工件。

一旦存放,恶意软件还会采取措施通过 Windows 管理界面 (WMI) 终止与虚拟化软件和数据库相关的关键进程,然后继续加密关键文件和对象,并显示与 LockBit 2.0 风格相似的勒索软件注释。

赎金说明还敦促受害者联系特定的电子邮件地址“contact@contipauper.com”,Sophos 怀疑这可能是对一个名为 Conti 的竞争性勒索软件组织的贬义。

更重要的是,勒索软件会在成功加密机器上的所有文档后将自身从系统中删除,这意味着“没有勒索软件二进制文件可供事件响应者或防病毒软件查找或清理。”

此外,美国联邦调查局 (FBI) 发布了一份Flash 报告,详细介绍了一种名为 Hive 的新型勒索软件即服务 (RaaS) 装备的策略,该装备由许多使用多种机制的参与者组成。


网络威胁格局永远不会停滞不前,破坏商业网络,窃取数据并加密网络上的数据,并试图收集赎金以换取对解密软件的访问,对手将迅速抓住每一个可能的机会或工具来发动成功的攻击,提前做好网络攻击防御,保护好商业机密。



Myasiacloud亞洲雲海

網路安全防禦專家

亞太高防資源 無上限防禦DDoS/CC攻擊!!

全球優質節點 中國大陸全境加速 海外加速

詳情訪問https://www.myasiacloud.com/clouddf

商務聯絡TG:@myasiacloud66



/template/Home/Zkeys2/PC/Static