Il ransomware Sodinokibi è ancora più pericoloso: cripta più file, anche quelli chiusi

Il Ransomware Sodinokibi, del quale tocca purtroppo parlare spesso perchè attualmente nella top 3 dei ransomware, ha subito l'implementazione di una nuova funzione. La nuova versione, individuata in distribuzione la scorsa settimana, ha una funzione che permette la criptazione di più file della vittima, anche quelli che vengono aperti e bloccati da un altro processo. 

Ci sono infatti alcune applicazioni, si pensi ai database o ai mail server, che bloccano i file che hanno aperto in modo tale che non sia possibile per altri programmi procedere a modifiche. La tecnica della chiusura è molto utile per impedire che i file finiscano danneggiati da due processi che scrivono sullo stesso file contemporaneamente. Ovviamente se un file è chiuso anche i ransomware non possono criptarlo, a meno che prima non arrestino il processo che blocca il file stesso. Questo è il motivo per cui molti ransomware, prima di avviare la criptazione, cercano di arrestare database server, email server e le altre applicazioni che possono procedere al "file locking". 

Sodinokibi mira ad arrestare i processi che chiudono i file

Il problema, per i ransomware, è che talvolta i tentativi di arrestare quelle applicazioni che bloccano i file non vanno a buon fine. Gli sviluppatori di Sodinokibi hanno quindi escogitato e aggiunto al proprio ransomware questa tecnica per garantirsi maggior successo nello shut down di questo tipo di processi: utilizzano l'API Windows Restart Manager per chiudere processi o arrestare i servizi di Windows, così da mantenere aperti i file.

La porzione di codice di Sodinokibi che usa il Restart Manager. Fonte: Bleepincomputer.com

Questa API è stata creata da Microsoft allo scopo di rendere più facile l'installazione degli update dei software senza dover per forza eseguire un riavvio dell'intero sistema per aprire i file che devono essere sostituiti dagli aggiornamenti: insomma una API che, introdotta con Vista, ha permesso la drastica riduzione dei riavvi di sistema necessari per portare a termine l'installazione o l'update di un software. Il motivo principale per il quale l'aggiornamento di un software richiede il riavvio del sistema è che alcuni file da modificare risultano chiusi perchè in uso da altre applicazioni o servizi in esecuzione: Restart Manager consente di arrestare e riavviare tutti i servizi di sistema tranne quelli critici, liberando così i file in uso e permettendo di portare a termine le operazioni. 

Gli sviluppatori di Sodinokibi hanno così tanto "gradito" l'uso di questa API da utilizzarla non solo durante l'infezione per criptare più file possibili, ma anche per rendere più efficace il loro decryptor: anche il processo di decriptazione dei file incontra infatti lo stesso problema per il quale non può accedere ad alcuni file perchè bloccati dall'uso di altre applicazioni.

Il decryptor di Sodinokibi

Per le vittime insomma, l'uso di questa API è un'arma a doppio taglio: da una parte renderà più efficace il decryptor degli attaccanti, permettendo il recupero di molti più file. Dall'altra però, renderà criptabili anche file che prima non erano raggiungibili perchè già "occupati" da altri processi.

Va detto che quella di Sodinokibi non è la prima famiglia di ransomware ad utilizzare l'API Restart Manager: già Lockergoga e SamsSam la usano, ma non sono minimamente paragonabili in termini di diffusione e pericolosità rispetto a Sodinokibi.