Conti 勒索软件使用 32 个并发 CPU 线程进行快速加密

Carbon Black的安全研究人员在周三的一份报告中说，一种名为Conti的勒索病毒正在使用多达32个并行CPU线程来对受感染计算机上的文件进行加密，以达到极快的加密速度。

Conti只是今年发现的一系列勒索软件中最新的一种。就像当今大多数勒索软件系列一样，Conti被设计为直接由对手控制，而不是自己自动执行。

这些类型的勒索软件也称为“人为勒索软件”，它们被设计用来在有针对性地入侵大型企业或政府网络时部署。

安全研究人员于今年 2 月初首次发现了Conti开发人员，但是Carbon Black现在报道其TAU 发现了Conti感染。

32个CPU线程，共赢！

在幕后，Conti像大多数勒索软件一样运作；但是，它也有自己的特征，包括某些其他勒索软件未曾见过的特征。

Carbon Black的TAU在周三发布的技术报告中说，在分析Conti代码时突出的项目是对多线程操作的支持。

这并不完全是唯一的。其他勒索软件也支持多线程操作，在CPU上运行多个并发计算以提高执行速度，并允许加密过程在文件锁定操作被防病毒解决方案检测和停止之前更快完成。

使用多个CPU线程看到的其他勒索软件病毒还包括REvil（Sodinokibi），LockBit，Rapid，Thanos，Phobos，LockerGoga和MagaCortex之类的病毒。

但是Carbon Black说Conti之所以脱颖而出，是因为它使用了大量并发线程（即32个），这使得“与许多其他家族相比，加密速度更快”。

棘手的网络加密模式

但是，这并不是Carbon Black在Conti中看到的唯一独特的细节。第二个是通过命令行客户端对勒索软件的加密目标进行细粒度控制。

Carbon Black研究人员说，勒索软件可以配置为跳过本地驱动器上的加密文件，而仅通过通过命令行向勒索软件的二进制文件提供IP地址列表，就可以加密网络SMB共享上的数据。

Carbon Black威胁研究技术总监Brian Baskin解释说：“此功能的显着效果是，它可以在一个环境中造成有针对性的破坏，而这种破坏的方法可能会阻碍事件反应活动。”

“一次成功的攻击所造成的破坏可能仅限于一个没有互联网能力的服务器，但是在环境的其他地方没有类似破坏的证据。”

“这还具有减少勒索软件攻击的整体“噪音”的作用，在这种攻击中，数百个系统立即开始显示感染迹象。这也有降低勒索软件攻击的整体‘噪音’的效果，当数百个系统立即开始显示感染的迹象时。”相反，一旦用户访问了数据，加密可能在几天或几周内都不明显。”巴斯金说。

此外，这种行为还可能使执行事件响应的安全团队感到困惑，除非他们对所有系统进行全面审核，否则安全团队可能无法查明进入网络的点，并允许黑客在受害者计算机上的一台机器中徘徊。

CONTI滥用WINDOWS重新启动管理器

Conti代码中发现的第三个独特技术是滥用Windows重新启动管理器-Windows组件在执行操作系统重新启动之前会解锁文件。

根据Carbon Black的说法，Conti调用此组件来解锁和关闭应用程序进程，以便它可以加密各自的数据。在大多数敏感数据通常由几乎始终处于运行状态的数据库管理的Windows Server上，此技巧非常有用。

Carbon Black告诉ZDNet，这是一种非常独特的技术，到目前为止，只有不到六个的恶意软件家族使用了这种技术。在勒索软件系列中，这是第二次滥用Windows Restart Manager，第一个是Medusa Locker，上个月由Carbon Black分析。

在撰写本文时，无法恢复通过Conti勒索软件锁定的文件，这意味着应该优先考虑预防方法，例如保留离线备份，保护工作站，打开的远程管理端口和网络外围设备，除非公司可以支付给Conti团伙巨大的赎金要求。