Autoři vyděračských programů mohou zneužít nativní funkci systému Windows

Technologii šifrování používanou společností Microsoft k ochraně systému souborů Windows mohou použít autoři ransomware během svých útoků. Tento způsob využití legitimní funkce byl prokázán společností Safebreach Labs.

Jedná se o „nativní“ systém šifrování dat – Windows Encrypting File System (EFS). Microsoft jej používá k ochraně systémových souborů.

Podle odborníků se mohou autoři ransomware nejen vetřít do práce EFS, ale zároveň se vyhnout detekci pomocí antivirových nástrojů.

Tým Safebreach Labs vyvinul speciální kód PoC, který umí donutit systém šifrovat data pomocí klíče útočníka. V procesu takového útoku je hlavním komponentem EFS.

Poté je klíč vymazán z paměti OS tak, aby oběť neměla možnost dešifrovat soubory samostatně. Podle expertů se takové útoky nejen obtížně identifikují a blokují, ale také se snadněji automatizují.

„Během testování této formy šifrování jsme využili antivirová řešení tří oblíbených výrobců: ESET, Kaspersky, Microsoft. Výsledkem je, že všechny tři programy zaostřené na detekci a odstranění ransomware nedokázaly tuto hrozbu identifikovat,“ stojí v odborné zprávě.

Někteří výrobci antivirového softwaru již aktualizovali své programy tak, aby poskytovaly řešení pro tento problém: nově Avast, Avira, Check Point, ESET nebo Kaspersky úspěšně detekují tuto šifrovací metodu.

Zdroj: https://www.anti-malware.ru/

 

Menu