勒索軟件新技術趨勢：間歇性加密 - 網安 - 專業的網絡安全產業、社區、知識平臺

攻擊者正在大量應用間歇性加密來快速加密受害者的文件，這也是一個重大的賣點。

從兩方面來看，間歇性加密對勒索軟件運營者來說是非常重要的：

速度：完全加密是非常耗時的，而時間對攻擊者來說是非常重要的，加密速度越快就越能防止被檢測與攔截
逃避：防御者可以使用統計分析來檢測勒索軟件的加密操作，通過評估文件 IO 操作強度或文件修改的相似性可以進行檢測。與完全加密相比，間歇加密可以有效規避此類分析

2021 年夏天，LockFile 勒索軟件是首批引入間歇性加密技術的勒索軟件家族之一。后來，越來越多的勒索軟件都應用了這一技術。

Qyick 勒索軟件

2022 年 8 月末，研究人員發現一個名為 lucrostm 的用戶在地下犯罪論壇上宣傳一種名為 Qyick 的新型勒索軟件。

Qyick 勒索軟件是一次性買斷制，而非更常見的訂閱制。根據購買的級別，價格從 0.2 比特幣到 1.5 比特幣不等。賣家可以得到保證，如果勒索軟件在購買六個月內被安全軟件檢測到，攻擊者將會以六折到八折的價格提供一個新的樣本。

【Qyick 勒索軟件廣告】

Qyick 勒索軟件是用 Go 編寫的，并且具備間歇性加密功能。lucrostm 聲稱 Qyick 勒索軟件具備如此快的加密能力，就是通過間歇性加密實現的。

當前版本的 Qyick 并不具備數據泄露功能，但 lucrostm 表示未來將會新增執行任意可執行代碼的功能，主要用于數據泄露。

Agenda 勒索軟件

Agenda 勒索軟件在 2022 年 8 月首次被發現，主要針對非洲和亞洲的醫療保健和教育組織進行攻擊。該勒索軟件有一些自定義選項，包括更改加密文件的文件擴展名以及要終止的進程和服務列表。

Agenda 勒索軟件支持多種加密模式（skip-step、percent和 fast），如下所示：

【幫助信息】

每種模式如下所示：

加密方式描述skip-step

每 Y MB 加密文件、跳過 N MB

fast

加密文件的前 N MB

percent

每 N MB 加密文件、跳過 P MB（P 為總大小的百分比）

BlackCat 勒索軟件

BlackCat 勒索軟件在 2021 年底開始頻繁攻擊，也是第一個已知的使用 Rust 編寫的勒索軟件。BlackCat 背后的開發者于 2021 年 12 月初首次被發現在俄羅斯地下犯罪論壇上進行宣傳。

【論壇信息】

BlackCat 勒索軟件運行著勒索軟件即服務（RaaS），使用防彈主機來部署網站，并且使用比特幣混合服務來進行匿名交易。

【ALPHV Collections 一個可搜索泄露受害者數據的數據庫】

BlackCat 勒索軟件攻擊全球各種組織與企業，2022 年 9 月，BlackCat 勒索軟件針對意大利的國有能源服務公司 GSE 發起攻擊。

SentinelLabs 研究員 Aleksandar Milenkoski 對 BlackCat 勒索軟件樣本進行了逆向分析，加密模式如下所示：

【加密模式信息】

與完全加密相比，使用 Auto 模式的 BlackCat 勒索軟件可以顯著減少加密時間。

P=LAY 勒索軟件

該勒索軟件是勒索軟件領域的新玩家，于 2022 年 6 月下旬首次被發現。最近，該勒索軟件攻擊了多個知名目標，如 2022 年 8 月攻擊了阿根廷科爾多瓦法院。

【勒索軟件勒索信息】

與 Agenda 和 BlackCat 相比，該勒索軟件不可配置。其加密模式是固定的：

如果文件大小小于或等于 0x3fffffff 字節，加密 2 個塊

如果文件大小小于或等于 0x27fffffff 字節，加密 3 個塊

如果文件大小大于 0x280000000 字節，加密 5 個塊

分析時觀察到一個樣本每隔一個 0x100000 字節塊進行加密，該文件包含空字符串，可以有效區分加密塊與未加密塊。

【加密文件的部分內容】

Black Basta 勒索軟件

Black Basta 是一個 RaaS 程序，于 2022 年 4 月出現。Black Basta 勒索軟件接棒 Conti 勒索軟件出現，該勒索軟件采用 C++ 語言編寫。

Black Basta 在勒索軟件領域迅速占據了一席之地，兩周內公布了二十多個受害者，主要集中在公用事業、技術、金融和制造業。

【Black Basta 網站】

與 P=LAY 勒索軟件一樣，Black Basta 不具備可配置加密模式。其加密模式為：

如果文件大小小于 704 字節，完全加密

如果文件大小小于 4 KB，則從文件開頭開始跳過 192 字節并每 64 字節進行加密

如果文件大小大于 4 KB，則從文件開頭開始跳過 128 字節并每 64 字節進行加密

與 P=LAY 勒索軟件類似，由于包含空字符，使加密塊和未加密塊在視覺上更容易區分。

【Black Basta 加密內容】

結論

間歇性加密對于攻擊者來說是非常有用的，這種方法有助于規避勒索軟件檢測機制，更快地加密文件。研究人員預計，間歇性加密將會被更多勒索軟件家族所采用。