新勒索軟體Conti濫用Restart Manager，正在使用的檔案也難逃被加密的命運

在7月初，VMware去年併購的次世代端點防護廠商Carbon Black，他們的威脅分析單位發現，一種名為Conti新的勒索軟體家族，採用了非常不尋常的攻擊手法。包含了能占用受害電腦32個處理器執行緒，同時加密大量檔案，讓防護系統來不及因應；再者，它不光能加密受害電腦的本機檔案，駭客還可以藉著命令列下達指令，使用加密模式來掃描企業內部的網路資料夾，針對企業重要資料加密；而對於使用者已經開啟的檔案，Conti也不放過，透過Windows作業系統內建模組Restart Manager，來強制將資料解除鎖定後加密。不過，對於可能會受到影響的範圍，以及有多少企業受害，Carbon Black並沒有進一步透露相關細節。

由於這個勒索軟體採用的手法極為特殊且精細，Carbon Black甚至認為，它展現了時下勒索軟體發展的轉捩點。新聞網站Bleeping Computer更引述情資公司Advanced Intelligence的看法，認為這款勒索軟體是由使用Ryuk的駭客組織所開發，直指Conti應該就是Ryuk的接班人。雖然使用Ryuk的駭客組織向來鎖定大型企業發動攻擊，但是Conti導入的獨特手法，以往幾乎不曾出現或引起注意，再加上Carbon Black發現，利用Conti發動的攻擊事件越來越多，因此這個新出現的勒索軟體非常值得我們關注。

Carbon Black表示，這些攻擊手法未必是Conti首先採用，但是在這款勒索軟體裡被運用得更加極致。例如，支援使用受害電腦處理器的多個執行緒，來加速加密作業，其實已有不少惡名昭彰的勒索軟體具備這種特性，像是Sodinokibi（REvil）、LockBit、Thanos、Phobos、LockerGoga，以及MagaCortex等，但在探討這些勒索軟體的時候，我們很少看到研究人員強調此事。而Carbon Black特別提及Conti的這項能力在於，該勒索軟體能一口氣支援到最多使用32個處理器執行緒運作，如此強大的執行加密工作能力，可說是前所未見。該公司指出，在這種情況下，Conti加密受害電腦檔案的速度會大幅提升。這代表著企業如果發現遭到Conti攻擊，想要拔網路線或是關機來挽救，很可能已經有一大部分檔案早就遇害。

駭客能透過命令列遠端控制，指定目標下手

一般來說，許多被研究人員揭露的勒索軟體，大多是在找尋對象的時候，駭客利用鎖定目標的手法，像是釣魚郵件附件，或是偷渡式下載（Drive-by Download）等方法，進入到企業的網路環境，一旦成功滲透，就大肆搜尋可被攻擊的電腦，進行擴散，鮮少直接鎖定企業重要的伺服器或是資料下手。雖然Conti也具備這種感染威力，但Carbon Black指出，Conti提供了遠端控制的機制，讓駭客在進入到企業環境後，可透過命令列，來下達較為精確的掃描或是攻擊指令。例如，駭客可指定加密本機磁碟的資料，或者是網路資料夾的內容，甚至是匯入一系列的IP位址名單，針對企業的機密資料，更為精準地發動攻擊。

對於Conti這種可被遠端控制的能力，究竟會造成什麼影響呢？Carbon Black認為，要是駭客善用此種機制，可以持續攻擊檔案共享伺服器，讓它超載導致中斷連線能力，形成阻斷服務攻擊（DoS）。再者，由於採用針對特定工作站電腦與伺服器攻擊的策略，對於企業想要透過網路流量偵測來防禦勒索軟體，藉由疑似攻擊行為來加以防範，然而因為企業找不到其他類似遭到攻擊的電腦，這種方式會擾亂企業偵測勒索軟體攻擊態勢的步調，更難掌握情勢。

對於正在使用的檔案也不放過，採用Windows內建工具強制解除鎖定

另一個引起關注的能力，就是Conti對於少數正在使用的檔案，所採取的做法。一般來說，檔案被使用者開啟後，其他人再執行，這個檔案就會變成唯讀的狀態。對於這種已經開啟的檔案，勒索軟體如何將其加密？過往比較常見的手法，很可能是藉由重新開機到安全模式，來強制關閉應用程式和檔案。但是Conti採用的手法很特別，是濫用Windows作業系統內建的Restart Manager，藉著這種許多人都不太清楚的工具，來強制關閉正在執行的檔案。而濫用Restart Manager的做法可說是相當新，因為，Carbon Black剛在上個月，首度發現勒索軟體Medusa Locker，採用了這種手法。

什麼是Restart Manager？這是微軟自Windows Vista時期開始提供的系統工具，當時推出的用意，就是在管理者安裝應用程式的時候，能夠將正在執行的應用程式強制關閉，以便順利更新相關檔案，並且在安裝完成後，恢復原本正在執行的工作。這款工具在Vista以後的作業系統，成為內建功能，這也意味著，時下的Windows電腦都會受到這種手法的影響。