Source :
https://www.bleepingcomputer.com/news/s ... ked-files/
Le ransomware Sodinokibi (REvil) a ajouté une nouvelle fonctionnalité qui lui permet de crypter davantage de fichiers d'une victime, même ceux qui sont ouverts et verrouillés par un autre processus.
Certaines applications, telles que la base de données ou les serveurs de messagerie, verrouillent les fichiers ouverts afin que d'autres programmes ne puissent pas les modifier. Ces verrous de fichiers empêchent les données d'être corrompues par deux processus écrivant dans un fichier en même temps.
Lorsqu'un fichier est verrouillé, cela empêche également les applications de ransomware de les chiffrer sans arrêter au préalable le processus qui a verrouillé le fichier.
Pour cette raison, de nombreuses infections de rançongiciels tentent d’arrêter les serveurs de base de données, les serveurs de messagerie et d’autres applications qui effectuent le verrouillage de fichiers avant de crypter un ordinateur.
Sodinokibi met désormais fin automatiquement aux processus de verrouillage d'un fichier
Bien que de nombreux ransomwares tentent de fermer les applications les plus courantes connues pour verrouiller des fichiers, ils ne pourront pas arrêter tout le monde.
Dans un nouveau rapport de la firme de renseignement sur la cybercriminalité Intel471 , les chercheurs ont remarqué que Sodinokibi utilise désormais l' API Windows Restart Manager pour fermer les processus ou arrêter les services Windows en gardant un fichier ouvert pendant le cryptage.
s1.jpg
Cette API a été créée par Microsoft pour faciliter l'installation des mises à jour logicielles sans effectuer de redémarrage pour libérer les fichiers que les mises à jour doivent remplacer.
«L'API du gestionnaire de redémarrage peut éliminer ou réduire le nombre de redémarrages du système requis pour terminer une installation ou une mise à jour. La raison principale pour laquelle les mises à jour logicielles nécessitent un redémarrage du système pendant une installation ou une mise à jour est que certains des fichiers mis à jour sont actuellement étant utilisé par une application ou un service en cours d'exécution. Le gestionnaire de redémarrage permet d' arrêter et de redémarrer tous les services système critiques, à l'exception des fichiers en cours d'utilisation et de terminer les opérations d'installation ", explique Microsoft dans sa documentation API .
En plus d'utiliser l'API lors du cryptage des fichiers, les développeurs de ransomware l'utilisent également dans leur décrypteur.
s2.jpg
Comme l'a noté le chercheur en sécurité Vitali Kremez ,
https://twitter.com/VK_Intel/status/1258747835195031553 dans REvil Decryptor v2.2, illustré ci-dessus, l'API Windows Restart Manager est utilisée pour s'assurer qu'aucun processus ne garde un fichier ouvert lorsque le décrypteur essaie de le décrypter.
s3.jpg
Sodinokibi / REvil n'est pas la première famille de ransomwares à utiliser cette API dans leurs logiciels malveillants car SamsSam et LockerGoga l' utilisent également.
Malheureusement, l'utilisation de cette API par des infections de ransomwares présente à la fois un inconvénient et un avantage.
Les victimes auront plus de facilité à décrypter les fichiers après avoir payé une rançon, mais Sodinokibi sera désormais en mesure de crypter davantage de fichiers, en particulier les fichiers critiques.
______________
Compléments
Documentation API
https://docs.microsoft.com/en-us/window ... ger-portal
Changements dans Revil (Intel 471 Malware Intelligence team)
https://blog.intel471.com/2020/05/04/ch ... rsion-2-2/
__________________
LIens :
https://www.malekal.com/ransomware-sodinokibi/
Decrypteurs :
viewtopic.php?f=98&t=57145Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
