Conti 勒索軟件使用 32 個并發 CPU 線程進行快速加密

Carbon Black的安全研究人員在周三的一份報告中說，一種名為Conti的勒索病毒正在使用多達32個并行CPU線程來對受感染計算機上的文件進行加密，以達到極快的加密速度。

Conti只是今年發現的一系列勒索軟件中最新的一種。就像當今大多數勒索軟件系列一樣，Conti被設計為直接由對手控制，而不是自己自動執行。

這些類型的勒索軟件也稱為“人為勒索軟件”，它們被設計用來在有針對性地入侵大型企業或政府網絡時部署。

安全研究人員于今年 2 月初首次發現了Conti開發人員，但是Carbon Black現在報道其TAU 發現了Conti感染。

32個CPU線程，共贏！

在幕后，Conti像大多數勒索軟件一樣運作；但是，它也有自己的特征，包括某些其他勒索軟件未曾見過的特征。

Carbon Black的TAU在周三發布的技術報告中說，在分析Conti代碼時突出的項目是對多線程操作的支持。

這并不完全是唯一的。其他勒索軟件也支持多線程操作，在CPU上運行多個并發計算以提高執行速度，并允許加密過程在文件鎖定操作被防病毒解決方案檢測和停止之前更快完成。

使用多個CPU線程看到的其他勒索軟件病毒還包括REvil（Sodinokibi），LockBit，Rapid，Thanos，Phobos，LockerGoga和MagaCortex之類的病毒。

但是Carbon Black說Conti之所以脫穎而出，是因為它使用了大量并發線程（即32個），這使得“與許多其他家族相比，加密速度更快”。

棘手的網絡加密模式

但是，這并不是Carbon Black在Conti中看到的唯一獨特的細節。第二個是通過命令行客戶端對勒索軟件的加密目標進行細粒度控制。

Carbon Black研究人員說，勒索軟件可以配置為跳過本地驅動器上的加密文件，而僅通過通過命令行向勒索軟件的二進制文件提供IP地址列表，就可以加密網絡SMB共享上的數據。

Carbon Black威脅研究技術總監Brian Baskin解釋說：“此功能的顯著效果是，它可以在一個環境中造成有針對性的破壞，而這種破壞的方法可能會阻礙事件反應活動。”

“一次成功的攻擊所造成的破壞可能僅限于一個沒有互聯網能力的服務器，但是在環境的其他地方沒有類似破壞的證據。”

“這還具有減少勒索軟件攻擊的整體“噪音”的作用，在這種攻擊中，數百個系統立即開始顯示感染跡象。這也有降低勒索軟件攻擊的整體‘噪音’的效果，當數百個系統立即開始顯示感染的跡象時。”相反，一旦用戶訪問了數據，加密可能在幾天或幾周內都不明顯。”巴斯金說。

此外，這種行為還可能使執行事件響應的安全團隊感到困惑，除非他們對所有系統進行全面審核，否則安全團隊可能無法查明進入網絡的點，并允許黑客在受害者計算機上的一臺機器中徘徊。

CONTI濫用WINDOWS重新啟動管理器

Conti代碼中發現的第三個獨特技術是濫用Windows重新啟動管理器-Windows組件在執行操作系統重新啟動之前會解鎖文件。

根據Carbon Black的說法，Conti調用此組件來解鎖和關閉應用程序進程，以便它可以加密各自的數據。在大多數敏感數據通常由幾乎始終處于運行狀態的數據庫管理的Windows Server上，此技巧非常有用。

Carbon Black告訴ZDNet，這是一種非常獨特的技術，到目前為止，只有不到六個的惡意軟件家族使用了這種技術。在勒索軟件系列中，這是第二次濫用Windows Restart Manager，第一個是Medusa Locker，上個月由Carbon Black分析。

在撰寫本文時，無法恢復通過Conti勒索軟件鎖定的文件，這意味著應該優先考慮預防方法，例如保留離線備份，保護工作站，打開的遠程管理端口和網絡外圍設備，除非公司可以支付給Conti團伙巨大的贖金要求。