Yeni LockFile fidye zararlısı, anti-ransomware çözümlerini başarıyla atlatabiliyor.
Daha önce ProxyShell ve PetitPotam gibi güvenlik açıklarını kullanma becerisine sahip olmasıyla bilinen LockFile fidye çetesinin yeni zararlısı, kısmi şifreleme gibi garip anti-ransomware atlatma tekniklerini kullanıyor.
Sophos mühendislerinden Mark Loman’ın yapmış olduğu araştırmaya göre, dosyaların kısmen şifrelenmesi tekniği şifreleme sürecini hızlandırmak amacıyla daha önce BlackMatter, DarkSide ve Lockbit 2.0 zararlılarında görülmüştü.
Fakat LockFile’ı bunlardan daha farklı ve özel kılan şeyse diğerlerinin yaptığı gibi ilk birkaç bloğu şifrelememesi. Bunun yerine belgelerin her bir 16 baytlık bölümünü şifreliyor. Bu durumdaki belgeler kısmen okunabilir halde oluyor, aynı zamanda da rakamsal anlamda bakıldığında orijinaline benziyor. Böylece dosya istatistiğini ve okunabilirliğini analiz eden birtakım anti-ransomware yani fidye yazılımı koruma çözümlerine karşı başarı gösterebiliyor.
Ayrıca şirketin olay müdahalesi ekiplerinin herhangi bir şey bulamaması ve adli sürecin sekteye uğraması için bütün dosyaların şifrelendiğinden emin olunduktan sonra LockFile kendisini siliyor.
LockFile zararlısını ilk olarak Sophos 22 Ağustos 2021’de VirusTotal’e yüklenmiş bir örnekle tespit etti. Zararlının şifreleme sonrası bırakmış olduğu not ise LockBit zararlısıyla oldukça benzer.
