ΑρχικήsecurityΤο Sodinokibi ransomware μπορεί πλέον να κρυπτογραφήσει και κλειδωμένα αρχεία

Το Sodinokibi ransomware μπορεί πλέον να κρυπτογραφήσει και κλειδωμένα αρχεία

Το ransomware Sodinokibi (REvil) έχει προσθέσει μια νέα δυνατότητα που του επιτρέπει να κρυπτογραφεί τα περισσότερα από τα αρχεία ενός θύματος, ακόμη και εκείνα που είναι ανοιχτά και κλειδώνουν με άλλη διαδικασία.

Ορισμένες εφαρμογές, όπως βάσεις δεδομένων ή mail servers, θα κλειδώσουν τα αρχεία που έχουν ανοίξει, ώστε άλλα προγράμματα να μην μπορούν να τα τροποποιήσουν. Αυτές οι “κλειδαριές αρχείων” αποτρέπουν την καταστροφή των δεδομένων από δύο διαδικασίες που μπορεί να πραγματοποιούνται σε ένα αρχείο ταυτόχρονα.

Όταν ένα αρχείο είναι κλειδωμένο, αυτό αποτρέπει επίσης την εφαρμογή κρυπτογράφησης εφαρμογών ransomware χωρίς να τερματιστεί πρώτα η διαδικασία που κλειδώνει το αρχείο.

Για το λόγο αυτό, πολλές μολύνσεις ransomware θα προσπαθήσουν να κλείσουν τους database servers, mail servers και άλλες εφαρμογές που εκτελούν κλείδωμα αρχείων πριν κρυπτογραφήσουν έναν υπολογιστή.

Το Sodinokibi τερματίζει αυτόματα τις διαδικασίες κλειδώματος ενός αρχείου

Ενώ πολλά ransomware προσπαθούν να τερματίσουν τις πιο συνηθισμένες εφαρμογές που είναι γνωστό ότι κλειδώνουν αρχεία, δεν θα έχουν την δυνατότητα να τις κλείσουν όλες.

Σε μια νέα έκθεση της εταιρείας πληροφοριών Intel471 για την εγκληματικότητα στον κυβερνοχώρο, οι ερευνητές διαπίστωσαν ότι το Sodinokibi χρησιμοποιεί τώρα το Windows Restart Manager API για να κλείσει τις διαδικασίες ή τις υπηρεσίες των Windows διατηρώντας ένα αρχείο ανοιχτό κατά τη διάρκεια της κρυπτογράφησης.

Αυτό το API δημιουργήθηκε από τη Microsoft για να διευκολύνει την εγκατάσταση ενημερώσεων λογισμικού χωρίς να εκτελεί επανεκκίνηση σε δωρεάν αρχεία που πρέπει αντικατασταθούν ενημερώσεις.

“Το Restart Manager API μπορεί να εξαλείψει ή να μειώσει τον αριθμό των επανεκκινήσεων συστήματος που απαιτούνται για την ολοκλήρωση μιας εγκατάστασης ή ενημέρωσης. Ο κύριος λόγος για τον οποίο οι ενημερώσεις λογισμικού απαιτούν επανεκκίνηση του συστήματος κατά την εγκατάσταση ή ενημέρωση είναι ότι ορισμένα από τα αρχεία που ενημερώνονται εκείνη τη στιγμή χρησιμοποιούνται από μια τρέχουσα εφαρμογή ή υπηρεσία. Ο Restart Manager επιτρέπει σε όλες εκτός από τις κρίσιμες υπηρεσίες συστήματος να κλείσουν και να επανεκκινήσουν. Αυτό απελευθερώνει αρχεία που χρησιμοποιούνται και επιτρέπει την ολοκλήρωση των λειτουργιών εγκατάστασης,” εξηγεί η Microsoft στην τεκμηρίωση του API.

Εκτός από τη χρήση του API κατά την κρυπτογράφηση αρχείων, οι προγραμματιστές ransomware το χρησιμοποιούν επίσης στον decryptor τους.

Όπως σημειώνεται από τον ερευνητή ασφαλείας Vitali Kremez, στο REvil Decryptor v2.2, που φαίνεται παραπάνω, το Windows Restart Manager API χρησιμοποιείται για να βεβαιωθείτε ότι καμία διαδικασία δεν κρατά ένα αρχείο ανοιχτό όταν ο decryptor προσπαθεί να το αποκρυπτογραφήσει.

Sodinokibi

Το Sodinokibi / REvil δεν είναι οι πρώτες οικογένειες ransomware που χρησιμοποίησαν αυτό το API στο malware τους, καθώς το SamsSam και το LockerGoga το χρησιμοποιούν επίσης.

Δυστυχώς, η χρήση αυτού του API από μολύνσεις ransomware έχει τόσο μειονέκτηματα όσο και πλεονεκτήματα.

Θα είναι ευκολότερο για τα θύματα να αποκρυπτογραφήσουν αρχεία μετά την πληρωμή λύτρων, αλλά το Sodinokibi θα είναι πλέον σε θέση να κρυπτογραφεί περισσότερα αρχεία, ειδικά κρίσιμα.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS