国外安全机构SentinelLabs近日称采用间歇性加密手法已成为勒索软件的最新趋势,从去年年中,LockFile采用间歇性加密的勒索软件之后,包括BlackCat、Black Basta、PLAY、Agenda与Qyick都已加入。
间歇性加密(Intermittent Encryption)或部分加密,是指仅加密部分文件而非所有的内容,这一来可加速加密或毁损数据的程序,二来还能欺骗依靠统计分析来检测勒索软件的安全系统,而成为最近勒索软件的热门手法。
手法最早来自去年出现的LockFile,它在文件中依照每16位元的间隔执行加密;然后是去年12月的BlackCat,BlackCat不仅是首个以Rust撰写的勒索软件,还支持众多的加密模式,包括全部加密、仅加密档案的前几个位元、间隔加密、先加密前几个位再间隔加密,或是依照档案大小自动判断加密模式。
此外,BlackCat还有一个最大化加密速度的设计,如果被攻击系统导入AES硬盘加速功能,那么它就会采用AES加密算法。
Black Basta则是在今年2月问世,这个C++撰写的勒索软件能攻击Windows与Linux业务系统,两周时间就有至少有20个大型组织机构被攻击,而且它也提供了自动化的间歇加密能力,可根据文件大小来决定加密模式。今年6月才出现的PLAY也是依照受害者的文件大小自动判断加密模式。
而今年8月才出现的Agenda与Qyick都是以Golang语言撰写,前者锁定非洲及亚洲的医疗及教育机构展开攻击,提供定制化的加密选项(下图);后者则仅供一次性购买,售价则根据买家的需求而从0.2到1.5个比特币不等,卖家不仅宣称Qyick有间歇性加密能力速度很快,还保证若在购买的半年内被安全软件检测到,会以2折至4折价格提供更新的样本。
……这不是考试培训班的套路么,考不上再考给你打折。