Post #1080

DRAGONFORCE: МЕТОДЫ СХОЖИЕ С ДЕЯТЕЛЬНОСТЬЮ КАРТЕЛЯ ЧАСТЬ 2 Недавние технические исследования бинарных файлов DragonForce для Windows показывают, что, хотя основные процедуры шифрования и методы завершения процессов остаются неизменными, были внесены существенные структурные изменения. Программа-вымогатель продолжает использовать технику BYOVD (Bring Your Own Vulnerable Driver) для нейтрализации процессов безопасности, обеспечивая успешное шифрование. Однако структура метаданных, добавляемых к зашифрованным файлам, претерпела изменения. Поле «Коэффициент шифрования» было расширено с одного байта до четырех байтов, в результате чего общий размер метаданных увеличился до 537 байтов. Кроме того, в последней версии конструктора включена бета-функция под названием «encryption_rules», которая позволяет операторам переопределять режимы шифрования для определенных расширений файлов. Если конкретное правило не определено, вредоносная программа применяет полное, частичное или заголовочное шифрование в зависимости от размера файла. После запуска программа-вымогатель расшифровывает встроенную конфигурацию с помощью алгоритма ChaCha8, прежде чем инициировать эти процедуры. Эта новая опция конфигурации предоставляет злоумышленникам точный контроль над тем, как затрагиваются различные типы данных, оптимизируя скорость и серьезность процесса шифрования в зависимости от среды жертвы.