Laboratorios de violación segura reportado que los atacantes podrían utilizar el sistema de cifrado de archivos de Windows (EFS) para sus necesidades. Windows EFS puede ayudar a los cifradores y dificultar el trabajo de los antivirus.
EFS ha sido parte de los sistemas operativos Windows desde el lanzamiento de Windows. 2000. A diferencia del cifrado BitLocker completo, EFS puede cifrar selectivamente archivos o carpetas individuales. Los investigadores advierten ahora que los EFS presentan un gran interés para los delincuentes.
“El hecho es que utilizar las funciones “nativas” del propio Windows puede resultar confuso para las soluciones de seguridad que eventualmente perderán de vista al cifrador”, — dicen los investigadores de Safebreach Labs.
Para iniciar el ataque, el ransomware deberá generar una clave para EFS utilizando AdvApi32! ClaveCryptGen. Próximo, generó el certificado usando Crypt32! CertCreateSelfSignCertificate que se agrega al almacén de certificados a través de Crypt32! CertAddCertificateContextToStore. Se asigna una clave EFS para este certificado mediante AdvApi32! Establecer clave de cifrado de archivo de usuario.
Como resultado, el ransomware tiene la oportunidad de utilizar AdvApi32! EncryptFile para cifrar cualquier archivo y carpeta. El siguiente paso es guardar el archivo clave en la memoria y eliminarlo de %APPDATA% MicrosoftCryptoRSA[ID de usuario]\ and %ProgramData% \Microsoft\Crypto\RSA\MachineKeys\. Luego, los datos de EFS se borran de la memoria utilizando el AdvApi32 no documentado.! FlushEfsCache y los archivos cifrados se vuelven ilegibles para el usuario y el sistema operativo. El ransomware también puede "borrar" partes libres del disco para garantizar que los datos de los archivos clave eliminados y los archivos temporales no se restauren..
“Con un acorde final, el malware puede cifrar los datos del archivo clave y enviar la clave de descifrado al atacante. Como resultado, la única forma de descifrar los archivos afectados es utilizar la clave privada del atacante”, – informe expertos de Safebreach Labs.
Los investigadores probaron con éxito el cifrador EFS creado para pruebas en versiones de 64 bits de Windows 10 1803, 1809, y 1903. Los analistas también escriben que el malware debería funcionar con versiones de 32 bits de Windows y versiones anteriores del sistema operativo. (Windows 8.x, Windows 7 y Windows Vista).
El malware fue probado en combinación con ESET Internet Security 12.1.34.0, Herramienta Kaspersky Anti Ransomware para empresas 4.0.0.861 (a), así como MS Windows 10 Acceso controlado a carpetas en la versión de 64 bits de Windows 10 1809 (build 17763). Ninguna de estas soluciones detectó un ataque y una amenaza., pero esto era de esperarse porque el criptógrafo utilizó funciones legítimas y manipuló la lógica del sistema..
Los investigadores informaron inmediatamente 17 principales fabricantes de soluciones de seguridad sobre sus hallazgos, mostrándoles su prueba de concepto. La mayoría de ellos han reconocido la existencia del problema y ya han realizado correcciones en sus productos..
Recientemente, Windows se enfrentaba a una verdadera placa.. La NSA dijo que encontró one of the most dangerous vulnerabilities in Windows, apenas ayer un temporary patch for a serious bug appeared in IE.
Apaga tu sistema y vete al desierto.. De acuerdo, que era una broma. Mantenga su sistema actualizado con las últimas soluciones de seguridad de la información. Estoy seguro de que sabes cuál te protegerá con seguridad.!
