LockFile勒索软件使用间歇性文件加密绕过保护

上个月出现了一个新的勒索软件家族，它利用一种叫做“间歇加密”的新技术来绕过勒索软件保护

勒索软件的运营商被发现利用最近披露的漏洞，如ProxyShell和PetitPotam，危害Windows服务器，并部署文件加密恶意软件，只对文件的每16个字节进行加密，从而使其能够规避勒索软件防御。

Sophos工程总监马克·洛曼（Mark Loman）在一份声明中说：“勒索软件运营商通常使用部分加密来加快加密过程，我们已经看到Blackmate、DarkSide和LockBit 2.0勒索软件实现了部分加密。”。“与其他文件不同的是，LockFile不加密前几个数据块。相反，LockFile每隔16个字节加密一次文档。”

洛曼补充说：“这意味着，文本文档等文件仍保持部分可读性，在统计上与原始文件相似。这种伎俩可以成功对抗勒索软件保护软件，该软件依赖于使用统计分析来检测加密内容。”。

Sophos' analysis of LockFile comes from an artifact that was uploaded to VirusTotal on August 22, 2021.

一旦存放，该恶意软件还会采取措施，通过Windows管理界面（WMI）终止与虚拟化软件和数据库相关的关键进程，然后再继续加密关键文件和对象，并显示一个勒索软件注释，其风格与LockBit 2.0相似。

赎金通知还敦促受害者联系特定的电子邮件地址。”contact@contipauper.comSophos怀疑这可能是对竞争对手Conti勒索软件集团的贬损。

此外，在成功加密机器上的所有文件后，勒索软件会从系统中删除自己，这意味着“事件响应者或防病毒软件无法找到或清理勒索软件二进制文件”

洛曼说：“这里给捍卫者的信息是，网络威胁的形势永远不会停滞不前，对手将迅速抓住一切可能的机会或工具，发动成功的攻击。”。

披露消息之际，美国联邦调查局（FBI）发布了一份闪电报告，详细介绍了一个名为Hive的新勒索软件即服务（RaaS）机构的战术，该机构由多个参与者组成，他们使用多种机制破坏商业网络，过滤网络上的数据并加密数据，并试图收取赎金以换取解密软件的使用权。