勒索软件WastedLocker利用Windows缓存机制逃避检测(2020.8.14)

国外研究人员发现，为了绕过反勒索软件解决方案的检测，WastedLocker包含一个程序，该程序打开一个文件，将其读取到Windows缓存管理器中，然后关闭原始文件。WastedLocker将加密存储在缓存中的文件，而不是存储在文件系统中的文件。修改Windows缓存中存储的文件后，Windows缓存管理器会将加密的缓存数据写回到原始文件中。当Windows缓存管理器作为系统进程运行时，安全软件将看到从合法Windows进程中写入加密数据，因此，反勒索软件中的行为检测将看到一个合法的进程写入加密数据，而不会检测出异常。该方法有效地绕过了安全解决方案的勒索软件防护模块，并允许WastedLocker加密所有文件。完整报告可在www.bleepingcomputer.com下载。

国家计算机病毒应急处理中心建议广大计算机用户加强安全防范意识，做好日常备份（最好是异地备份），不要访问包含未知风险的网站或打开不明来历的电子邮件附件，保持开启杀毒软件实时监控功能，并持续关注我中心网站上关于勒索软件的有关资讯。

以上资讯由北京安天公司提供，国家计算机病毒应急处理中心研发部编译整理