Se ha agregado una nueva característica al ransomware Sodinokibi que le permite cifrar aún más archivos de una víctima, incluidos los que se abren y bloquean por otro proceso.
Las bases de datos, los servidores de correo y algunas otras aplicaciones bloquean los archivos abiertos para evitar que otros programas los modifiquen. Al bloquear estos archivos, los programas evitan la corrupción de los datos que contienen después de que dos procesos se escriben simultáneamente en un archivo.
Las aplicaciones de ransomware tampoco pueden cifrar archivos bloqueados sin detener primero el proceso que los bloqueó. Por esta razón, el ransomware intentará cerrar servidores de bases de datos, servidores de correo y otras aplicaciones que tengan la capacidad de bloquear archivos antes de encriptar una computadora.
La versión 2.2 del ransomware Sodinokibi ahora contiene una característica que le permite usar la API del Administrador de reinicio de Windows para cerrar procesos o detener los servicios de Windows que mantienen los archivos abiertos durante el cifrado.
Sodinokibi จัดระเบียบใหม่
La empresa de inteligencia de delitos cibernéticos Intel471 proporcionó más detalles sobre cómo el ransomware Sodinokibi (REvil) usa Windows Restart Manager para cifrar aún más archivos en un nuevo informe, diciendo:
“Una de las nuevas características más interesantes de REvil versión 2.2 es el uso del administrador de reinicio de Windows para finalizar los procesos y servicios que pueden bloquear archivos destinados a cifrado. Si un proceso tiene un descriptor de archivo abierto para un archivo específico y luego lo escribe otro archivo (en este caso, ransomware), el sistema operativo (SO) de Windows lo impedirá. Para solucionar este problema, los desarrolladores de REvil han implementado una técnica utilizando el administrador de reinicio de Windows que también utilizan otros ransomware como SamSam y LockerGoga. "
La API de Windows Restart Manager fue creada originalmente por Microsoft para permitir que las PC con Windows instalen fácilmente actualizaciones de software sin reiniciar primero para liberar los archivos que reemplazará la actualización.
Ahora que Sodinokibi está utilizando la API del gigante del software, las víctimas podrán descifrar los archivos más fácilmente después de pagar un rescate, pero la mayoría de sus archivos terminarán siendo encriptados por el ransomware.
Vía BleepingComputer