El ransomware Sodinokibi ahora es capaz de cifrar archivos en uso

El ransomware Sodinokibi sigue evolucionando, al igual que el resto de las ciberamenazas, y con su versión 2.2 incorpora una funcionalidad que le permite cifrar archivos que se encuentren en uso, es decir bloqueados por otro proceso.

 

Un informe de Intel 471 da a conocer que el malware ha comenzado a utilizar Windows Restart Manager, al igual que lo han hecho ya SamSam y LockerGoga, para poder cifrar archivos que se encuentren siendo utilizados.

 

Windows Restart Manager

Por motivos lógicos, cuando un archivo se encuentra en uso por algún proceso, el sistema operativo bloquea cualquier intento de escritura o modificación sobre el mismo. Es por esto que en muchos casos es necesario reiniciar el sistema para finalizar la aplicación de actualizaciones o instalaciones de software, debido a que algunos componentes necesarios para la misma se encuentren ya en uso. 

 

Es aquí donde aparece Windows Restart Manager, una funcionalidad de Windows utilizada principalmente por aplicaciones que usan Windows Installer 4.0 y permite reducir la cantidad de reinicios del sistema necesarios para la instalación o actualización de un programa.

 

Lo que permite Restart Manager es detener o reiniciar cualquier aplicación o servicio que no sea crítica, siempre y cuando quien llame a la función tenga permisos para hacerlo, en el siguiente orden:

 

En caso de detener un servicio/aplicación

 

  1. Aplicaciones de GUI
  2. Aplicaciones de consola
  3. Servicios de Windows
  4. Windows Explorer

 

En caso de haberse marcado una aplicación para su reinicio

 

  1. Windows Explorer
  2. Servicios de Windows
  3. Aplicaciones de consola
  4. Aplicaciones de GUI

 

La técnica de Sodinokibi 

El ransomware se encarga de abrir los archivos para el cifrado con el parámetro dwShareMode en 0  (sin compartirle), lo que invoca al Restart Manager a causa de que se genera un problema al abrir un archivo que ya se encuentra en uso.

 

Créditos de la imagen: Intel471

Debajo se detalla un workflow de cómo Sodinokibi lleva a cabo esta técnica:

 

* Esto último puede causar comportamientos inesperados y aún más problemas en un equipo infectado

 

Otros cambios

Lo mencionado anteriormente no es la única novedad de la versión 2.2 del ransomware, la gente de Intel471 también ha notado la reaparición de un mecanismo de persistencia que había sido removido en la versión 2.1 así como una nueva opción a la hora de ejecución del cifrado.

 

El mecanismo de persistencia consiste, como la mayoría de las piezas de malware, en modificar la clave de registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run como puede verse en la siguiente captura:

 

 

La nueva opción durante la ejecución del ransomware, en cambio, consiste en el flag -silent que puede ser utilizado cuando se ejecuta por línea de comandos, cuyo uso evita que se lleven a cabo los procesos de terminación de procesos en lista negra, servicios y eliminación de shadow copies. Aunque no parece tener ningún impacto sobre la nueva funcionalidad que abusa de Restart Manager.

 

Indicadores de compromiso

Dos muestras de Sodinokibi 2.2

  • ffe7fe45327645a48ca83b7dd4586de22618206001b7a7354d9d285e0308f195
  • 774354fe16764fa513052ff714048858cb315691599a08d13ba56be1c796a16d

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *