安全企业SentinelLabs近日披露,采用间歇性加密手法已成为勒索软件的最新趋势,自LockFile于去年中成为首批采用间歇性加密的勒索软件之后,包括BlackCat、Black Basta、PLAY、Agenda与Qyick都已加入该阵营,并相信它将越来越受欢迎。
所谓的间歇性加密(Intermittent Encryption)或部分加密,指的是只加密文件中的一部分而非所有的内容,这一来可加速加密或是毁损资料的程序,二来还可欺骗依赖统计分析来检测勒索软件的安全系统,而成为最近勒索软件的热门手法。
该手法的始祖之一为去年中出现的LockFile,它在文件中依照每16字节的间隔执行加密;接着是去年12月的BlackCat,BlackCat不仅是首个以Rust撰写的勒索软件,还支持众多的加密模式,包括全部加密、仅加密文件的前几个字节、间隔加密、先加密前几个字节再间隔加密,或是依照文件大小自动判断加密模式。
此外,BlackCat还有一个最大化加密速度的设计,倘若被害系统导入AES硬盘加速功能,那么它就会采用AES加密算法。
Black Basta则是在今年2月问世,该以C++撰写的勒索软件同时支持Windows与Linux操作系统,在现身的前两周就传出至少有20个大型组织受黑,而且它也提供了自动化的间歇加密能力,可根据文件大小来决定加密模式。今年6月才诞生的PLAY也是依照受害者的文件大小自动判断加密模式。
而今年8月才出现的Agenda与Qyick都是以Golang语言撰写,前者锁定非洲及亚洲的医疗及教育机构展开攻击,提供定制化的加密选项(下图);后者则仅供一次性购买,售价则根据买家的需求而从0.2到1.5个比特币不等,卖家不仅宣称Qyick的间歇性加密能力使其速度无与伦比,更保证若在购买的半年内被安全软件侦测到,那么将以2折至4折价提供更新的样本。
图片来源/SentinelLabs