Daha evvel ProxyShell ve PetitPotam üzere güvenlik açıklarını kullanma hünerine sahip olmasıyla bilinen LockFile fidye çetesinin yeni zararlısı, kısmi şifreleme üzere garip anti-ransomware atlatma tekniklerini kullanıyor.
Sophos mühendislerinden Mark Loman’ın yapmış olduğu araştırmaya nazaran, evrakların kısmen şifrelenmesi tekniği şifreleme sürecini hızlandırmak emeliyle daha evvel BlackMatter, DarkSide ve Lockbit 2.0 zararlılarında görülmüştü.
Lakin LockFile’ı bunlardan daha farklı ve özel kılan şeyse başkalarının yaptığı üzere birinci birkaç bloğu şifrelememesi. Bunun yerine evrakların her bir 16 baytlık kısmını şifreliyor. Bu durumdaki dokümanlar kısmen okunabilir biçimde oluyor, bununla birlikte da rakamsal manada bakıldığında özgününe benziyor. bu biçimdece belge istatistiğini ve okunabilirliğini tahlil eden birtakım anti-ransomware yani fidye yazılımı müdafaa tahlillerine karşı muvaffakiyet gösterebiliyor.
Ayrıyeten şirketin olay müdahalesi gruplarının rastgele bir şey bulamaması ve isimli sürecin sekteye uğraması için bütün evrakların şifrelendiğinden emin olunduktan daha sonra LockFile kendisini siliyor.
LockFile zararlısını birinci vakit içinderda Sophos 22 Ağustos 2021’de VirusTotal’e yüklenmiş bir örnekle tespit etti. Zararlının şifreleme daha sonrası bırakmış olduğu not ise LockBit zararlısıyla çok emsal.
Sophos mühendislerinden Mark Loman’ın yapmış olduğu araştırmaya nazaran, evrakların kısmen şifrelenmesi tekniği şifreleme sürecini hızlandırmak emeliyle daha evvel BlackMatter, DarkSide ve Lockbit 2.0 zararlılarında görülmüştü.
Lakin LockFile’ı bunlardan daha farklı ve özel kılan şeyse başkalarının yaptığı üzere birinci birkaç bloğu şifrelememesi. Bunun yerine evrakların her bir 16 baytlık kısmını şifreliyor. Bu durumdaki dokümanlar kısmen okunabilir biçimde oluyor, bununla birlikte da rakamsal manada bakıldığında özgününe benziyor. bu biçimdece belge istatistiğini ve okunabilirliğini tahlil eden birtakım anti-ransomware yani fidye yazılımı müdafaa tahlillerine karşı muvaffakiyet gösterebiliyor.
Ayrıyeten şirketin olay müdahalesi gruplarının rastgele bir şey bulamaması ve isimli sürecin sekteye uğraması için bütün evrakların şifrelendiğinden emin olunduktan daha sonra LockFile kendisini siliyor.
LockFile zararlısını birinci vakit içinderda Sophos 22 Ağustos 2021’de VirusTotal’e yüklenmiş bir örnekle tespit etti. Zararlının şifreleme daha sonrası bırakmış olduğu not ise LockBit zararlısıyla çok emsal.