Kaspersky: шифровальщик LockBit Green содержит 25% исходников Conti

В «Лаборатории Касперского» проанализировали найденный в феврале образец LockBit Green и пришли к выводу, что авторы новой версии шифровальщика позаимствовали четверть кодовой базы Conti, в том числе его криптосхему.

Исходные коды Conti были слиты в Сеть в марте прошлого года, что ожидаемо спровоцировало появление новых модификаций некогда грозного зловреда. Готовые тексты заинтересовали также разработчиков LockBit, которые любят экспериментировать с различными шифраторами.

Так, например, в список параметров командной строки LockBit были добавлены флаги, которые ранее использовали операторы Conti. В целом версия Green, по данным Kaspersky, поддерживает восемь таких параметров:

• -p folder — шифрование выбранной папки в одном потоке;
• -m local — шифрование всех доступных дисков с разделением потоков;
• -m net — шифрование всех сетевых папок в раздельных потоках;
• -m all — шифрование всех доступных дисков и сетевых папок с отдельным потоком в каждом случае;
• -m backups — в найденных версиях флаг недоступен для использования, но вписан в код шифровальщика;
• -size chunk — шифрование только части файлов;
• -log file.log — регистрация каждого действия шифровальщика;
• -nomutex — пропуск создания мьютекса.

Схема шифрования LockBit Green тоже позаимствована у Conti. Для преобразования файлов используется кастомная реализация ChaCha8, произвольные ключ и одноразовый код генерируются по месту. Для защиты таких секретов вредонос снабжен открытым ключом RSA, который жестко прописан в коде.