LockFile勒索软件使用间歇性文件加密绕过安全防护体系

上个月出现的一个新的勒索软件系列带有自己的一套技巧，可以利用一种称为“间歇性加密”的新技术来绕过勒索软件保护。

被称为LockFile的勒索软件的运营商已被发现利用最近披露的缺陷（例如ProxyShell和PetitPotam）来破坏 Windows 服务器并部署文件加密恶意软件，该恶意软件仅对文件的每隔 16 个字节进行加扰，从而使其能够逃避勒索软件防御.

“勒索软件运营商通常使用部分加密来加快加密过程，我们已经看到 BlackMatter、DarkSide 和 LockBit 2.0 勒索软件实现了它，”Sophos 工程总监 Mark Loman 在一份声明中说。“LockFile 的不同之处在于，与其他的不同，它不加密前几个块。相反，LockFile 每隔 16 个字节就加密一个文档。”

“这意味着诸如文本文档之类的文件仍然部分可读，并且在统计上看起来像原始文件。这个技巧可以成功对抗依赖于使用统计分析检查内容来检测加密的勒索软件保护软件，”Loman 补充道。

Sophos 对 LockFile 的分析来自于2021 年 8 月 22 日上传到 VirusTotal 的一个工件。

一旦存放，恶意软件还会采取措施通过 Windows 管理界面 (WMI) 终止与虚拟化软件和数据库相关的关键进程，然后继续加密关键文件和对象，并显示与 LockBit 2.0 风格相似的勒索软件注释.

赎金说明还敦促受害者联系特定的电子邮件地址“contact@contipauper.com”，Sophos 怀疑这可能是对一个名为 Conti 的竞争性勒索软件组织的贬义。

更重要的是，勒索软件会在成功加密机器上的所有文档后将自身从系统中删除，这意味着“没有勒索软件二进制文件可供事件响应者或防病毒软件查找或清理。”

“这里给防御者的信息是，网络威胁格局永远不会停滞不前，对手将迅速抓住每一个可能的机会或工具来发动成功的攻击，”洛曼说。

在披露这一消息之际，美国联邦调查局 (FBI) 发布了一份Flash 报告，详细介绍了一种名为 Hive 的新型勒索软件即服务 (RaaS) 装备的策略，该装备由许多使用多种机制的参与者组成。破坏商业网络，窃取数据并加密网络上的数据，并试图收集赎金以换取对解密软件的访问。