Дослідники безпеки з Safebreach Labs розробили концепцію ПЗ-вимагача, що використовує функцію безпеки в Windows.
Для здійснення атаки шкідливе ПЗ використовує компонент Windows під назвою Encrypting File System (EFS). Цей компонент шифрує певні файли і папки для захисту їх вмісту на випадок, якщо зловмисник отримає несанкціонований фізичний доступ до комп’ютера. Для шифрування використовується симетричний ключ, який в свою чергу шифрується за допомогою відкритого ключа (асиметричне шифрування). Процеси шифрування і розшифровки проходять на рівні нижче файлової системи NTFS.
EFS використовується в версіях Windows Professional і вище, починаючи з Windows 2000, і відрізняється від Bitlocker, який шифрує жорсткий диск цілком.
Фахівці Safebreach Labs створили концепцію ПЗ-вимагача, що використовує EFS для шифрування файлів жертви. Для їх відновлення спочатку потрібно за допомогою закритого ключа зловмисника розшифрувати файл з симетричним ключем.
Примітно, що атака не є суто теоретичною – дослідники представили діючий зразок, який не детектується антивірусними рішеннями від популярних вендорів. Фахівці повідомили їх про потенційну загрозу, і деякі виробники вже оновили свої продукти. Microsoft розглядає можливість виправлення проблеми з виходом майбутніх оновлень.
Джерело: internetua.com
