In un nuovo rapporto della società di cyber-intelligence Intel471, i ricercatori affermano che ora Sodinokibi può utilizzare l’API Gestione riavvio di Windows per chiudere i processi in corso di Windows riuscendo poi a crittografare un file aperto.
Il ransomware Sodinokibi (REvil) ha aggiunto una nuova funzionalità che gli consente di crittografare anche quei file che vengono aperti e bloccati da un altro processo.
Alcune applicazioni, come database o server di posta, bloccano i file che hanno aperto in modo che altri programmi non possano modificarli. Questi blocchi di file impediscono che i dati vengano danneggiati da due processi che scrivono su un file contemporaneamente.
Quando un file è bloccato impedisce anche alle applicazioni ransomware di crittografarli senza prima arrestare il processo che ha bloccato il file.
Mentre molti ransomware tentano di chiudere le applicazioni più comuni, ma non sono in grado di chiuderli tutti, Sodinokibi ora termina automaticamente i processi che bloccano un file. L’area di manovra del cyber-crime continua ad espandersi mentre poche sono le tecnologie che tengono il passo e riescono a evitare tali danni. DECEPTIVE BYTES con la tecnologia ad inganno per end-point è una delle rare che prevenendo un attacco, evita che queste situazioni avvengano.
Comments