卡巴斯基实验室的研究人员发现,SynAck 勒索软件新变种使用代码注入技术 Process Doppelg?nging 隐藏在合法进程中,可绕过反病毒安全机制,现有反病毒产品无法进行查杀。SynAck 是首款利用 Process Doppelg?nging 反查杀技术躲避检测的勒索软件。
研究人员根据目前观察到的数据推测,这款勒索软件可能是一款具有针对性的恶意软件,该软件目前瞄准的目标仅限于美国、科威特、德国和伊朗。
Process Doppelg?nging技术
SynAck 勒索软件自2017年9月开始活跃,其新变种新增了一些规避检测的功能,利用了 Process Doppelg?nging 等技术。
事务性NTFS(TxF)Transactional NTFS
微软 MSDN 的官方信息显示,事务性 NTFS(TxF)将事务集成到 NTFS 文件系统中,这使应用程序开发人员和管理员可以更轻松地处理错误并保持数据完整性。如果系统或应用程序在应用程序更新磁盘上的信息时失败,用户数据可能会被部分完成的文件更新操作损坏。TxF 使应用程序能够保护文件更新操作免受系统或应用程序故障的影响。
卡巴斯基的研究人员表示,首次于2018年4月发现这个新变种。为了加大反编译和逆向工程的难度,SynAck 新变种在编译中添加了其它混淆代码。这款勒索软件新变种有时会在被感染的系统将自定义文本添加到 Windows 登录界面。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!