Um novo recurso foi adicionado ao ransomware Sodinokibi que permite criptografar ainda mais arquivos da vítima, incluindo aqueles que são abertos e bloqueados por outro processo.
Bancos de dados, servidores de email e alguns outros aplicativos bloquearão os arquivos que eles abriram para impedir que outros programas os modifiquem. Ao bloquear esses arquivos, os programas impedem que os dados que eles contêm sejam corrompidos como resultado de dois processos gravados em um arquivo ao mesmo tempo.
Os aplicativos de ransomware também não conseguem criptografar arquivos bloqueados sem antes desligar o processo que os bloqueou. Por esse motivo, o ransomware tentará desligar os servidores de banco de dados, servidores de correio e outros aplicativos com a capacidade de bloquear arquivos antes de criptografar um computador.
A versão 2.2 do ransomware Sodinokibi agora contém um recurso que permite usar a API do Windows Restart Manager para fechar processos ou desligar os serviços do Windows que mantêm os arquivos abertos durante a criptografia.
Sodinokibi renovado
A empresa de inteligência cibernética Intel471 forneceu mais detalhes sobre como o ransomware Sodinokibi (REvil) está usando o Windows Restart Manager para criptografar ainda mais arquivos em um novo relatório, dizendo:
“Um dos novos recursos mais interessantes do REvil versão 2.2 é o uso do Windows Restart Manager para encerrar processos e serviços que podem bloquear arquivos direcionados à criptografia. Se um processo tiver um identificador de arquivo aberto para um arquivo específico, depois gravar nele por outro processo (nesse caso, um ransomware), ele será impedido pelo sistema operacional Windows (SO). Para contornar isso, os desenvolvedores do REvil implementaram uma técnica usando o Windows Restart Manager, também usado por outros ransomware, como SamSam e LockerGoga. ”
A API do Windows Restart Manager foi criada originalmente pela Microsoft para permitir que os PCs com Windows instalem facilmente atualizações de software sem primeiro executar uma reinicialização para liberar arquivos que a atualização substituirá.
Agora que Sodinokibi está usando a API da gigante do software, as vítimas poderão decriptar arquivos mais facilmente depois de pagarem um resgate, mas mais arquivos acabarão sendo criptografados pelo ransomware.