Le ransomware Sodinokibi (REvil) a ajouté une nouvelle fonctionnalité qui lui permet de crypter davantage de fichiers d’une victime, même ceux qui sont ouverts et verrouillés par un autre processus.

Certaines applications, telles que les bases de données ou les serveurs de messagerie, verrouillent les fichiers qu’elles ont ouverts afin que d’autres programmes ne puissent pas les modifier. Ces verrous de fichier empêchent les données d’être corrompues par deux processus écrivant dans un fichier en même temps.

Lorsqu’un fichier est verrouillé, cela empêche également les applications de ransomware de les chiffrer sans arrêter d’abord le processus qui a verrouillé le fichier.

Pour cette raison, de nombreuses infections de rançongiciels tentent d’arrêter les serveurs de base de données, les serveurs de messagerie et d’autres applications qui effectuent le verrouillage de fichiers avant de crypter un ordinateur.

Bien que de nombreux ransomwares tentent de fermer les applications les plus courantes connues pour verrouiller des fichiers, ils ne pourront pas arrêter tout le monde.

Dans un nouveau rapport de la société de renseignement sur la cybercriminalité Intel471, les chercheurs ont remarqué que Sodinokibi utilise désormais l’API Windows Restart Manager pour fermer les processus en gardant un fichier ouvert pendant le cryptage.

Cette API a été créée par Microsoft pour faciliter l’installation des mises à jour logicielles sans effectuer de redémarrage pour libérer les fichiers que les mises à jour doivent remplacer.

«L’API du gestionnaire de redémarrage peut éliminer ou réduire le nombre de redémarrages du système requis pour terminer une installation ou une mise à jour. La raison principale pour laquelle les mises à jour logicielles nécessitent un redémarrage du système pendant une installation ou une mise à jour est que certains des fichiers mis à jour sont actuellement étant utilisé par une application ou un service en cours d’exécution. Le gestionnaire de redémarrage permet d’arrêter et de redémarrer tous les services système critiques, à l’exception des fichiers en cours d’utilisation et de terminer les opérations d’installation », explique Microsoft dans sa documentation API.

En plus d’utiliser l’API lors du cryptage des fichiers, les développeurs de ransomware l’utilisent également dans leur décrypteur.