Catégories
COVID-19 informatique Ransomware

Ransomware: Sodinokibi utilise Windows pour faciliter les choses

Sodinokibi rejoint la liste des ransomwares qui utilise le gestionnaire de redémarrage de Windows pour faciliter le chiffrement des fichiers.

Gestionnaire de redémarrage Windows, meilleur allié des ransomwares?

Nous avons vu des références comme SamSam et LockerGoga en faire usage.

Sodinokibi – également connu sous le nom de REvil – vient de rejoindre la liste.

En règle générale, l’administrateur du redémarrage supprime la nécessité de redémarrer Windows après l’installation ou la mise à jour d’une application.

Les installateurs peuvent l’utiliser pour signaler les fichiers qu’ils souhaitent remplacer. Windows peut alors s’assurer que ces fichiers sont «gratuits» en fermant temporairement toutes les applications ou services qui pourraient les avoir verrouillés.

Déverrouillez pour un meilleur cryptage
Sodinokibi utilise cet outil pour assurer un accès maximal aux fichiers à chiffrer.

Il met en œuvre une routine qui tente systématiquement de réserver ledit accès. Laisse appeler l’administrateur de redémarrage en cas de conflit avec la fonction RmStartSession.

Un autre appel, cette fois à la fonction RmRegisterResources, vous permet d’attacher des ressources (ici les noms des fichiers à déverrouiller) à la session en cours.

RmGetList récupère ensuite la liste des applications et / ou services qui utilisent ces fichiers.

Sodinokibi n’a alors plus qu’à terminer la session (RmEndSession) puis fermer ces éléments. Pour les processus, cela se fait avec TerminateProcess; pour les services avec ControlService puis DeleteService.
Étant donné que l’administrateur de redémarrage ne peut pas agir sur les processus critiques, ce statut est extrait à l’avance avec ZwSetInformationProcess.

  • LockerGaga a été découvert il y a environ un an et a la particularité d’accélérer le processus en démarrant un processus pour chaque fichier à chiffrer.
    SamSam, dont la première piste a été trouvée il y a quatre ans, a initialement exploité des vulnérabilités sur les serveurs JBoss. LIEN

Laisser un commentaire