Ransomware : Sodinokibi utilise Windows pour se faciliter la tâche

Le gestionnaire de redémarrage Windows, meilleur allié des ransomwares ?

On a vu des références comme SamSam et LockerGoga en faire usage.

Sodinokibi – aussi connu sous le nom REvil – vient de rejoindre la liste.

En temps normal, le gestionnaire de redémarrage permet de ne pas avoir à relancer Windows après l’installation ou la mise à jour d’une application.

Les installeurs peuvent y faire appel pour signaler quels fichiers ils vont remplacer. Windows peut alors s’assurer que ces fichiers soient « libres » en fermant temporairement les applications ou les services qui les auraient éventuellement verrouillés.

Déverrouiller pour mieux chiffrer

Sodinokibi exploite cet outil pour s’assurer un accès maximal aux fichiers à chiffrer.

Il implémente une routine qui tente systématiquement de se réserver ledit accès. Quitte à faire appel, en cas de conflit, au gestionnaire de redémarrage, avec la fonction RmStartSession.

Un autre appel, cette fois à la fonction RmRegisterResources, permet d’associer des ressources (ici, les noms des fichiers à déverrouiller) à la session en question.

RmGetList récupère ensuite la liste des applications et/ou des services qui utilisent ces fichiers.

Sodinokibi n’a alors plus qu’à terminer la session (RmEndSession), puis à fermer les éléments concernés. Pour les processus, cela se fait avec TerminateProcess ; pour les services, avec ControlService, puis DeleteService.
Le gestionnaire de redémarrage ne pouvant agir sur les processus critique, ce statut est retiré au préalable avec ZwSetInformationProcess.

* Découvert il y a environ un an, LockerGaga a la particularité, pour accélérer ses démarches, de lancer un processus pour chaque fichier à chiffrer.
SamSam, dont on a repéré les premières traces voilà quatre ans, exploitait à l’origine des vulnérabilités dans des serveurs JBoss.