Частичное шифрование файлов жертв повышает скорость работы вымогательских программ и помогает уклониться от них. Впервые эта техника была замечена в LockFile, но сейчас она получила широкое распространение.
Прерывистое шифрование важно для операторов ransomware с двух точек зрения:
- Скорость: шифрование может быть трудоемким процессом, а время имеет решающее значение для операторов выкупных программ - чем быстрее они шифруют файлы жертв, тем меньше вероятность того, что их обнаружат и остановят в процессе. Прерывистое шифрование наносит непоправимый ущерб за очень короткий промежуток времени.
- Уклонение: Системы обнаружения Ransomware могут использовать статистический анализ для обнаружения работы ransomware. Такой анализ может оценивать интенсивность операций ввода-вывода файлов или сходство между известной версией файла, которая не была затронута ransomware, и предполагаемой измененной, зашифрованной версией файла. В отличие от полного шифрования, прерывистое шифрование помогает обойти такие анализы, демонстрируя значительно меньшую интенсивность операций ввода-вывода файлов и гораздо большее сходство между незашифрованной и зашифрованной версиями данного файла.
SentinelLabs называет несколько последних семейств вымогательских программ, которые используют прерывистое шифрование в попытке обойти обнаружение и предотвращение: Qyick, Agenda, BlackCat (ALPHV), PLAY и Black Basta.
Indicators of Compromise
SHA1
- 14177730443c70aefeeda3162b324fdedf9cf9e0
- 5f99214d68883e91f586e85d8db96deda5ca54af
- 8917af3878fa49fe4ec930230b881ff0ae8d19c9
- a996ccd0d58125bf299e89f4c03ff37afdab33fc