LockFile : ce ransomware au chiffrement discret

Sophos attire l’attention sur LockFile. Ciblant les serveurs Exchange, ce ransomware se distingue par sa technique de chiffrement intermittent.

Des ransomwares qui chiffrent partiellement les fichiers ? On en a connu. Par exemple LockBit, qui a notamment touché Accenture. Ou DarkSide, utilisé contre Colonial Pipeline. On retrouve la technique chez LockFile, qui a émergé cet été. Mais avec un complément : du chiffrement par intermittence. En l’occurrence, un bloc de 16 octets sur deux.

Ce procédé permet de déjouer certaines méthodes d’analyse statique. Parmi elles, celle du khi-deux (χ²). Les signatures ci-dessous en témoignent.

signature khi — La différence est moindre entre le fichier original (à gauche) et la version chiffrée par LockFile (à droite).

LockFile ne dépend pas d’un serveur de commande. Il semble cibler les serveurs Exchanges en exploitant la faille ProxyShell, assortie d’un relais NTLM (via PetitPotam).

Comme Maze, le ransomware chiffre en mémoire cache. Dans une certaine mesure, cela constitue une autre technique d’évasion. D’une part, en minimisant les I/O disque. De l’autre, en laissant le soin à l’OS – et non pas au processus malveillant – d’écrire les fichiers chiffrés.

Parmi les autres éléments susceptibles de contourner les solutions de sécurité :

Binaire doublement empaqueté
Création d’un mutex pour éviter les exécutions parallèles
Recours à WMI pour tuer certains processus (liés en particulier à la virtualisation et aux bases de données)

La note de rançon n’est pas au format texte, mais HTA (application HTML).