FirstJohn Aug 10 2023 at 11:11

LockBit Green — новая версия опасного шифровальщика атакует компании по всему миру

Medium

12 min

8.8K

FirstVDS corporate blogInformation Security*

Tutorial

Comments 10

cupespresso Aug 10 2023 at 14:34

Удаление теневой копии томов диска выглядит следующим образом. Всё опять реализовано с помощью системного вызова функции:

Так понимаю, речь именно о теневых копиях, созданных встроенными средствами Windows, верно?

All999 Aug 10 2023 at 19:52

на данный момент дешифровка своих данных не является чем-то сложным, декрипторы создаются за считанные дни.

Объясните для домохозяина, я раньше считал, что ассиметричный АЕС - это очень надёжно и не расшифровывается даже спецслужбами, за что Телеграм и банили, а теперь оказывается, что всего-то пару дней и готово. Или это какой-то другой алгоритм не ломается, тогда почему им не шифруют? Или вся эта шумиха о телеграме - для заманивания врагов, чтобы создать у них чувство ложной надёжности?

mamontovss Aug 10 2023 at 21:07

Разве это не шаблонные операции, в чем сложность для антивируса их выявить вовремя выполнения вредоноса и заблокировать? Или антивирусы не считают такие действия вредоносными или хотябы подозрительными?

Защитные манипуляции: поиск и уничтожение неугодных вредоносу процессов, удаление теневых копий, отключение восстановления системы.
Шифрование с использованием алгоритма AES-256 и ChaCha20.

Blacklynx Aug 11 2023 at 05:28

Для EDR систем нет проблем обнаружить подобные действия. Проблема в том, что шифровальщик запускают уже в полностью скомпрометированой сети зачастую с доступом администратора домена.

mamontovss Aug 11 2023 at 07:38

а почему только для EDR? это ведь технологии поведенческого анализа, они вроде всегда были в антивирусах

Blacklynx Aug 11 2023 at 07:44

Это я обобщил

mamontovss Aug 11 2023 at 07:42

или Вы имеете ввиду, что антивирус будет либо уже отключен злоумышленником либо вредонос будет добавлен в исключения т.к сеть полностью скомпрометирована? Поэтому становятся возможны эти операции, а не потому что их антивирус не смог бы обнаружить?

Blacklynx Aug 11 2023 at 07:44

Все так

Anton-V-K Aug 11 2023 at 20:15

Далее с помощью вызова Process32FirstW, вредонос найдет первый каталог и получит соответствующий ему дескриптор, чтобы дальше задействовать вызов Process32NextW и запустить поиск других файлов в соответствии с дескриптором.

Если верить официальному сайту Microsoft, Process32First/Process32Next - это всё же итерация по процессам в "снимке" (snapshot), который получен через функцию CreateToolhelp32Snapshot .

jah Aug 14 2023 at 03:34

Наименование мьютекса в скринах "hsfjuukjzdoqu28oajh727 1 90". Единица не указана тексте статьи. Надеюсь это пасхалка на доп. скидку, а не перестраховочка.