Complice la recente rivelazione di una nuova superficie d’attacco per i server microsoft exchange non aggiornati da maggio scorso la diffusione di nuovi ransomware non tende a diminuire assolutamente, attraverso le Attack-Chain di ProxyShell e PetitPotam, LockFile ha fatto la sua comparsa. A prima vista si tratta di un clone di Lockbit 2.0 dato che la sua hta (pagina di presentazione) è pressoché identica. Quello che distingue questo ransomware dagli altri è una curiosa tecnica di antivirus evasion.
Crittografia intermittente
Conti, Lockbit o altri malware della stessa famiglia, crittano i primi blocchi di un file impedendone così la lettura e velocizzando il completamento della fase di crittografica del malware. Lockfile invece critta i file a blocchi di 16 bytes in modo alternato, dato che il file può essere ancora parzialmente letto, vengono rese inutili le rilevazioni di compromissione crittografica basate su metodi statistici, poiché il file è sufficientemente simile all’originale da non generare allarmi. Una volta completata la fase di crittografia e generate le note di contatto il malware cancella sé stesso lasciando antivirus senza