“Η μερική κρυπτογράφηση χρησιμοποιείται γενικά από χειριστές ransomware για να επιταχύνει τη διαδικασία κρυπτογράφησης και την έχουμε δει να εφαρμόζεται από τα ransomware groups BlackMatter, DarkSide και LockBit 2.0′, δήλωσε ο Mark Loman, διευθυντής της Sophos.
“Αυτό που ξεχωρίζει το LockFile είναι ότι, σε αντίθεση με τα άλλα, δεν κρυπτογραφεί τα πρώτα byte κάθε εγγράφου, αλλά εφαρμόζει την κρυπτογράφηση ανά 16 byte. Αυτό έχει σαν αποτέλεσμα το τελικό αρχείο να μοιάζει αρκετά με το αρχικό και να διαφεύγει από λογισμικά προστασίας από ransomware”.
Επίσης, στις τεχνικές του LockFile περιλαμβάνεται ο τερματισμός processes του Windows Management Interface (WMI), ενώ το σημείωμα λύτρων προτρέπει το θύμα να επικοινωνήσει με μια συγκεκριμένη διεύθυνση ηλεκτρονικού ταχυδρομείου ‘contact@contipauper.com’ (για την οποία η Sophos υποψιάζεται ότι θα μπορούσε να είναι υποτιμητική αναφορά στην ανταγωνιστική ομάδα ransomware Conti). Επιπλέον, το ransomware διαγράφεται μετά την επιτυχημένη κρυπτογράφηση όλων των εγγράφων στο μηχάνημα, πράγμα που σημαίνει ότι δεν υπάρχει εκτελέσιμο αρχείο για τους incident responders.
Με πληροφορίες από thehackernews.com
