Ransomware : Sodinokibi utilise Windows pour se faciliter la tâche
Sodinokibi rejoint la liste des ransomwares qui exploitent le gestionnaire de redémarrage Windows pour faciliter le chiffrement des fichiers.
![Ransomware : Sodinokibi utilise Windows pour se faciliter la tâche](https://cdn.edi-static.fr/image/upload/c_lfill,h_245,w_470/e_unsharp_mask:100,q_auto/f_auto/v1/Img/BREVE/2020/5/445487/Ransomware-Sodinokibi-utilise-Windows-faciliter-tache-LE.jpg)
Le gestionnaire de redémarrage Windows, meilleur allié des ransomwares ?
On a vu des références comme SamSam et LockerGoga en faire usage.
Sodinokibi - aussi connu sous le nom REvil - vient de rejoindre la liste.
En temps normal, le gestionnaire de redémarrage permet de ne pas avoir à relancer Windows après l'installation ou la mise à jour d'une application.
Les installeurs peuvent y faire appel pour signaler quels fichiers ils vont remplacer. Windows peut alors s'assurer que ces fichiers soient « libres » en fermant temporairement les applications ou les services qui les auraient éventuellement verrouillés.
Déverrouiller pour mieux chiffrer
Sodinokibi exploite cet outil pour s'assurer un accès maximal aux fichiers à chiffrer.
Il implémente une routine qui tente systématiquement de se réserver ledit accès. Quitte à faire appel, en cas de conflit, au gestionnaire de redémarrage, avec la fonction RmStartSession.
Un autre appel, cette fois à la fonction RmRegisterResources, permet d'associer des ressources (ici, les noms des fichiers à déverrouiller) à la session en question.
RmGetList récupère ensuite la liste des applications et/ou des services qui utilisent ces fichiers.
Sodinokibi n'a alors plus qu'à terminer la session (RmEndSession), puis à fermer les éléments concernés. Pour les processus, cela se fait avec TerminateProcess ; pour les services, avec ControlService, puis DeleteService.
Le gestionnaire de redémarrage ne pouvant agir sur les processus critique, ce statut est retiré au préalable avec ZwSetInformationProcess.
* Découvert il y a environ un an, LockerGaga a la particularité, pour accélérer ses démarches, de lancer un processus pour chaque fichier à chiffrer.
SamSam, dont on a repéré les premières traces voilà quatre ans, exploitait à l'origine des vulnérabilités dans des serveurs JBoss.
Sur le même thème
Voir tous les articles Cybersécurité