勒索软体攻击极为泛滥,许多企业会透过各式资安防护系统与备份机制因应,但道高一尺,魔高一丈,骇客也采取更难被侦测的手法犯案,其中最常见的手法,就是自行携带存在已知弱点的驱动程式(骇客如何用OS内建API?用了哪些API进行攻击?研究人员指出,骇客透过VirtualProtect侦测是否在虚拟机器执行,并使用GetCurrentProcess、TerminateProcess控制恶意程式的运作,或是进行权限提升、把恶意程式码注入到特定处理程序的情况。接著,骇客使用GetDriveTypeW、FindNextFileExW从受害电脑找出想要加密的资料。
此勒索软体的另外一个特性,则是本身是以程式语言Python开发而成,而且是透过PyInstaller打造,而能直接整合运作过程所需的程式库元件,并打包成单一的可执行档。因此,该档案执行的过程,完全不需倚赖受害电脑事先部署特定的元件,使得攻击流程更加顺畅。
为了避免受害组织透过备份复原资料,Lyrix也同样锁定备份系统、磁区阴影复制服务(VSS),以及系统还原的备份档案而来,将这些档案删除。此外,骇客还会停用Windows内建的系统修复环境(WinRE)功能。