Александр Пономарёв

Текст

Новое семейство программ-вымогателей, которое появилось в прошлом месяце, использует набор приемов для обхода защиты файлов с помощью техники прерывистого шифрования

Вирус-шифровальщик LockFile использует недавно обнаруженные уязвимости ProxyShell и PetitPotam, чтобы развертывать на серверах Windows вредоносные программы. Он использует особый алгоритм шифрования, поражая весь файл, а лишь чередующие секции по 16 байт, что обеспечивает возможность обходить систему защиты. Частичное шифрование обычно используется операторами вирусов-вымогателей для ускорения шифрования и применяется группировками BlackMatter, DarkSide и LockBit 2.0. LockFile выделяется среди них тем, что не трогает первые несколько блоков документа, а шифрует последующие отрезки из 16 байтов.

Текстовый документ при этом останется частично читаемым и статистически выглядит как оригинал, вводя в заблуждение программы защиты, которые определяют наличие шифрования криптоанализом. После внедрения вирус использует интерфейс управления Windows (WMI) и завершает ключевые процессы, связанные с программами виртуализации и базами данных, после чего переходит к шифрованию основных файлов и объектов.

После успешного шифрования всех документов на устройстве вирус удаляет себя из системы, не оставляя исполняемого файла, который могло бы обнаружить антивирусное программное обеспечение. Эта информация была впервые обнародована в оперативном отчете ФБР, раскрывающем тактику работы новой группировки Hive, предлагающей программы для кибервымогательства. Она состоит из нескольких операторов, использующих различные механизмы для взлома корпоративных сетей, кражи или шифрования данных.