В «Лаборатории Касперского» проанализировали найденный в феврале образец LockBit Green и пришли к выводу, что авторы новой версии шифровальщика позаимствовали четверть кодовой базы Conti, в том числе его криптосхему.
Исходные коды Conti были слиты в Сеть в марте прошлого года, что ожидаемо спровоцировало появление новых модификаций некогда грозного зловреда. Готовые тексты заинтересовали также разработчиков LockBit, которые любят экспериментировать с различными шифраторами.
Так, например, в список параметров командной строки LockBit были добавлены флаги, которые ранее использовали операторы Conti. В целом версия Green, по данным Kaspersky, поддерживает восемь таких параметров:
- -p folder — шифрование выбранной папки в одном потоке;
- -m local — шифрование всех доступных дисков с разделением потоков;
- -m net — шифрование всех сетевых папок в раздельных потоках;
- -m all — шифрование всех доступных дисков и сетевых папок с отдельным потоком в каждом случае;
- -m backups — в найденных версиях флаг недоступен для использования, но вписан в код шифровальщика;
- -size chunk — шифрование только части файлов;
- -log file.log — регистрация каждого действия шифровальщика;
- -nomutex — пропуск создания мьютекса.
Схема шифрования LockBit Green тоже позаимствована у Conti. Для преобразования файлов используется кастомная реализация ChaCha8, произвольные ключ и одноразовый код генерируются по месту. Для защиты таких секретов вредонос снабжен открытым ключом RSA, который жестко прописан в коде.
