باج افزار LockFile، حفاظت را دور می‌زند
پشتیبانی کاتالوگ
باج افزار LockFile، حفاظت را دور می‌زند 1400/06/16

یک خانواده باج‌افزار جدید که ماه پیش پدیدار شدند، با ترفندهای خاص خود حفاظت را با استفاده از تکنیک جدیدی به نام "رمزگذاری متناوب" دور می‌زنند.

اپراتورهای باج‌افزار از نقص‌هایی که اخیراً افشا شده است مانند ProxyShell و PetitPotam برای به خطر انداختن سرورهای ویندوز و استقرار بدافزار رمزگذاری فایل استفاده می‌کنند که فقط هر 16 بایت متناوب فایل را پوشش می‌دهند و در نتیجه توانایی آن را برای رفع موانع دفاعی به کار می‌برند.  

مدیر مهندسی Sophos، در بیانیه‌ای گفت: "رمزگذاری جزئی عموما توسط اپراتورهای باج‌افزار برای سرعت بخشیدن به فرآیند رمزگذاری استفاده می‌شود و ما شاهد آن بوده‌ایم که توسط باج‌افزار BlackMatter ، DarkSide و LockBit 2.0 پیاده سازی شده است. آنچه LockFile را متمایز می‌کند این است که برخلاف بقیه، چند بلوک اول را رمزگذاری نمی‌کند، در عوض  LockFile هر 16 بایت دیگر از سند را رمزگذاری می‌کند."

مدیر مهندسی Sophos اضافه کرد: "این بدان معناست که یک فایل مانند یک سند متنی تا حدی قابل خواندن است و از نظر آماری شبیه اصل است، این ترفند می‌تواند در برابر نرم‌افزارهای حفاظتی باج افزار که به بازرسی محتوا با استفاده از تجزیه و تحلیل آماری برای تشخیص رمزگذاری متکی است، موفق باشد."

این بدافزار پس از سپرده شدن، اقدامات لازم را برای خاتمه فرآیندهای مهم مرتبط با نرم افزارهای مجازی سازی و پایگاه‌های داده از طریق رابط مدیریت ویندوز (WMI) انجام می‌دهد، همچنین قبل از اقدام به رمزگذاری فایل‌ها و اشیاء مهم و نمایش یادداشت باج افزار که دارای شباهت‌های سبکی با ویژگی‌های سبکی LockBit است، عمل می‌کند.

باج افزار همچنین قربانی را ترغیب می‎کند با آدرس ایمیل خاصی "contact@contipauper.com" تماس بگیرد، که می‎تواند اشاره ‎ای به گروه باج افزارهای رقیب به نام Conti باشد.

علاوه بر این، باج‌افزار خود را از سیستم پس از رمزگذاری موفقیت آمیز همه اسناد روی دستگاه حذف می‌کند، به این معنی که "هیچ باج افزار باینری برای پاسخ دهندگان حادثه یا نرم‌افزار آنتی ویروس برای یافتن یا پاکسازی وجود ندارد. پیام مهم این باج افزار برای مدافعان امنیت سایبر این است که چشم‌انداز تهدیدات سایبری هرگز ثابت نمی‌ماند و دشمنان به سرعت از هر فرصت یا ابزاری برای حمله موفقیت‌آمیز استفاده خواهند نمود".

این افشاگری در حالی صورت می‌گیرد که اداره تحقیقات فدرال آمریکا (FBI) گزارشی منتشر کرده است که جزئیات تاکتیک‌های یک شکل جدید Ransomware-as-a-Service ‪(RaaS)‬ موسوم به Hive را شامل می‌شود، که در آن تعدادی از فعالان که از چندین مکانیزم برای به خطر انداختن شبکه‌های تجاری، تصحیح داده‌ها و رمز گذاری داده‌ها در شبکه‌ها و تلاش برای جمع آوری باج در ازای دسترسی به نرم افزار رمز گشایی استفاده می‌کنند. 

 

 

 

 

0