Эта новая программа-вымогатель может стать самым быстрым шифровальщиком из когда-либо существовавших
6 апреля 2023 г.Исследователи в области кибербезопасности недавно обнаружили новый штамм программы-вымогателя, который, по их мнению, является самым быстрым.
Расследуя кибер-инцидент в американской компании, эксперты Check Point обнаружили неизвестный вариант программы-вымогателя, который после более тщательного анализа получил название Rorshach.
Исследователи пришли к выводу, что Rorshach является самым быстрым вирусом-вымогателем, когда речь заходит о шифровании. Они протестировали код, предоставив ему 220 000 файлов на машине с 6-ядерным процессором, чтобы увидеть, сколько времени потребуется для шифрования. файлы. Роршах выполнил задание за четыре с половиной минуты. Для сравнения, LockBit 3.0 раньше держал рекорд — семь минут для той же задачи.
Вводит исследователей в заблуждение
Хотя операторы программы-вымогателя до сих пор неизвестны, у исследователей есть несколько идей относительно того, кто может стоять за этим. Они говорят, что записка с требованием выкупа использует формат, аналогичный тому, который используется программой-вымогателем Yanlowang. Они также сказали, что в предыдущих версиях вредоносного ПО использовалась записка о выкупе, аналогичная той, что использовала DarkSide, что обманом заставило других исследователей поверить в то, что Роршах на самом деле был DarkSide.
Что касается технических характеристик программы-вымогателя, исследователи обнаружили, что Роршах поддерживает аргументы командной строки, которые могут расширить его функциональность. Однако параметры скрыты, и к ним нельзя получить доступ без обратного проектирования вредоносного ПО. Они также обнаружили, что шифровальщик начнет работать только в том случае, если обнаружит, что целевая машина настроена с языком за пределами Содружества Независимых Государств (СНГ).
Что касается схемы шифрования, то это сочетание алгоритмов шифра Curve25519 и eSTREAM hc-12. Вредоносная программа шифрует только части файла, что также используется другими разработчиками программ-вымогателей для ускорения процесса шифрования.
Процедура шифрования Роршаха предполагает «высокоэффективную реализацию планирования потоков через I/». О, порты завершения», — заключили исследователи.
- Это лучшие службы защиты конечных точек на данный момент.
Через: BleepingComputer
Оригинал