Ransomware : Sodinokibi utilise Windows pour se faciliter la tâche

RansomwareSécurité
Sodinokibi Windows ransomware

Sodinokibi rejoint la liste des ransomwares qui exploitent le gestionnaire de redémarrage Windows pour faciliter le chiffrement des fichiers.

Le gestionnaire de redémarrage Windows, meilleur allié des ransomwares ?

On a vu des références comme SamSam et LockerGoga en faire usage.

Sodinokibi – aussi connu sous le nom REvil – vient de rejoindre la liste.

En temps normal, le gestionnaire de redémarrage permet de ne pas avoir à relancer Windows après l’installation ou la mise à jour d’une application.

Les installeurs peuvent y faire appel pour signaler quels fichiers ils vont remplacer. Windows peut alors s’assurer que ces fichiers soient « libres » en fermant temporairement les applications ou les services qui les auraient éventuellement verrouillés.

Déverrouiller pour mieux chiffrer

Sodinokibi exploite cet outil pour s’assurer un accès maximal aux fichiers à chiffrer.

Il implémente une routine qui tente systématiquement de se réserver ledit accès. Quitte à faire appel, en cas de conflit, au gestionnaire de redémarrage, avec la fonction RmStartSession.

Un autre appel, cette fois à la fonction RmRegisterResources, permet d’associer des ressources (ici, les noms des fichiers à déverrouiller) à la session en question.

RmGetList récupère ensuite la liste des applications et/ou des services qui utilisent ces fichiers.

Sodinokibi n’a alors plus qu’à terminer la session (RmEndSession), puis à fermer les éléments concernés. Pour les processus, cela se fait avec TerminateProcess ; pour les services, avec ControlService, puis DeleteService.
Le gestionnaire de redémarrage ne pouvant agir sur les processus critique, ce statut est retiré au préalable avec ZwSetInformationProcess.

* Découvert il y a environ un an, LockerGaga a la particularité, pour accélérer ses démarches, de lancer un processus pour chaque fichier à chiffrer.
SamSam, dont on a repéré les premières traces voilà quatre ans, exploitait à l’origine des vulnérabilités dans des serveurs JBoss.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur 
Avis d'experts de l'IT