資安業者SentinelLabs近日披露,採用間歇性加密手法已成為勒索軟體的最新趨勢,自LockFile於去年中成為首批採用間歇性加密的勒索軟體之後,包括BlackCat、Black Basta、PLAY、Agenda與Qyick都已加入此一陣營,並相信它將愈來愈受歡迎。

所謂的間歇性加密(Intermittent Encryption)或部分加密,指的是只加密檔案中的一部分而非所有的內容,這一來可加速加密或是毀損資料的程序,二來還可欺騙仰賴統計分析來檢測勒索軟體的安全系統,而成為最近勒索軟體的熱門手法。

此一手法的始祖之一為去年中出現的LockFile,它在檔案中依照每16位元組的間隔執行加密;接著是去年12月的BlackCat,BlackCat不僅是首個以Rust撰寫的勒索軟體,還支援眾多的加密模式,包括全部加密、僅加密檔案的前幾個位元組、間隔加密、先加密前幾個位元組再間隔加密,或是依照檔案大小自動判斷加密模式。

此外,BlackCat還有一個最大化加密速度的設計,倘若被害系統導入AES硬碟加速功能,那麼它就會採用AES加密演算法。

Black Basta則是在今年2月問世,此一以C++撰寫的勒索軟體同時支援Windows與Linux作業系統,在現身的前兩周就傳出至少有20個大型組織受駭,而且它也提供了自動化的間歇加密能力,可根據檔案大小來決定加密模式。今年6月才誕生的PLAY也是依照受害者的檔案大小自動判斷加密模式。

而今年8月才出現的Agenda與Qyick都是以Golang語言撰寫,前者鎖定非洲及亞洲的醫療及教育機構展開攻擊,提供客製化的加密選項(下圖);後者則僅供一次性購買,售價則根據買家的需求而從0.2到1.5個比特幣不等,賣家不僅宣稱Qyick的間歇性加密能力使其速度無與倫比,更保證若在購買的半年內被安全軟體偵測到,那麼將以2折至4折價提供更新的樣本。

圖片來源/SentinelLabs

熱門新聞

Advertisement