PoC-вымогатель шифрует файлы жертвы с помощью функции безопасности в Windows

Исследователи безопасности из Safebreach Labs разработали концепцию вымогательского ПО, использующего функцию безопасности в Windows.

Для осуществления атаки вредонос использует компонент Windows под названием Encrypting File System (EFS). Этот компонент шифрует определенные файлы и папки для защиты их содержимого на случай, если злоумышленник получит несанкционированный физический доступ к компьютеру. Для шифрования используется симметричный ключ, который в свою очередь шифруется с помощью открытого ключа (ассиметричное шифрование). Процессы шифрования и расшифровки проходят на уровне ниже файловой системы NTFS.

EFS используется в версиях Windows Professional и выше, начиная с Windows 2000, и отличается от Bitlocker, который шифрует жесткий диск целиком.

Специалисты Safebreach Labs создали концепцию вымогательского ПО, использующего EFS для шифрования файлов жертвы. Для их восстановления сначала потребуется с помощью закрытого ключа злоумышленника расшифровать файл с симметричным ключом.

Примечательно, что атака не является чисто теоретической – исследователи представили действующий образец, который не детектируется антивирусными решениями от популярных вендоров. Специалисты уведомили их о потенциальной угрозе, и некоторые производители уже обновили свои продукты. Microsoft рассматривает возможность исправления проблемы с выходом будущих обновлений.