Рансъмуер банди преминават към частично криптиране

Picture of Здравко Боджов
Здравко Боджов
Aрхив | Зловреден код
12 септември 2022

Все по-голям брой групи за рансъмуер приемат нова тактика, която им помага да криптират по-бързо системите на своите жертви, като същевременно намаляват шансовете да бъдат открити и спрени.

Тази тактика се нарича частично или прекъснато  криптиране и се състои в криптиране само на части от съдържанието на целевите файлове, което пак би направило данните невъзстановими без използване на валиден дешифратор+ключ.

Например, чрез пропускане на всеки следващи 16 байта от файл, процесът на криптиране отнема почти половината от времето, необходимо за пълно криптиране, но все пак заключва съдържанието завинаги.

Освен това, тъй като криптирането е по-меко, автоматизираните инструменти за откриване, които разчитат на откриване на признаци на проблем под формата на интензивни файлови IO операции, е по-вероятно да се провалят.

„Какво използват готините типове“

SentinelLabs публикува доклад, разглеждащ тенденция, започната от LockFile в средата на 2021г. и сега възприета от такива като Black Basta, ALPHV (BlackCat), PLAY, Agenda и Qyick.

Тези групи активно популяризират наличието на функции за частично криптиране в тяхното семейство рансъмуер, за да привлекат повече филиали да се присъединят към операцията RaaS.

„Забележително е, че Qyick разполага с частично

 

криптиране, което готините типове използват, докато четете това. В комбинация с факта, че е написано в Go, скоростта е несравнима“, изтъква реклама на Qyick във форуми за хакване.

Qyick promoting its partial encryption features on forums

Изгледи за развитие на  частично криптиране

Прекъснатото криптиране изглежда има значителни предимства и почти никакви недостатъци, така че анализаторите по сигурността очакват скоро повече банди за рансъмуер да възприемат този подход.

Щамът на LockBit вече е най-бързият по отношение на скоростта на криптиране, така че ако бандата възприеме техниката на частично криптиране,времетраенето на нейните удари ще бъде намалена до няколко минути.

Разбира се, криптирането е сложен въпрос и внедряването на частично криптиране трябва да се извърши правилно, за да се гарантира, че няма да доведе до лесно възстановяване на данни от жертвите.

В момента внедряването на BlackCat е най-усъвършенстваното, докато това на Qyick остава неизвестно, тъй като анализаторите на зловреден софтуер все още не са анализирали проби от новия RaaS.

Снимка и изходна информация: SentinelLabs

#рансъмуер
По материали от Интернет

Подобни

Фалшиви съобщения примамват собственици на изгубени iPhone-и
7.11.2025
iPhone12Blue_shutterstock
239 зловредни приложения в Google Play с над 42 милиона изтегляния
6.11.2025
malware_android
Rhysida използва платформите на Microsoft за нова мащабна малуeр кампания
6.11.2025
malware-via-canva-1080x600
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Google и ФБР предупреждават за мащабна и глобална киберизмама
5.11.2025
cybercrime-3528223_1280
Super Quik е ударена от Play ransomware
4.11.2025
Ransomware is relentless

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.