攻击者大量使用间歇性加密来快速加密受害者的文件,这也是一个主要卖点。间歇性加密在两个方面对勒索软件运营商很重要:速度:完全加密很耗时,时间对攻击者来说至关重要,加密越快越好防止检测和拦截规避:防御者可以使用统计分析来检测勒索软件加密操作,可以通过评估文件IO操作的强度或文件修改的相似性来检测。与完全加密相比,间歇加密可以有效规避此类分析2021年夏天,LockFile勒索软件是最早引入间歇加密的勒索软件家族之一。后来,越来越多的勒索软件应用了这种技术。Qyick勒索软件2022年8月下旬,研究人员发现名为lucrostm的用户正在犯罪地下论坛上推广一种名为Qyick的新型勒索软件。Qyick勒索软件是一次性购买,而不是更常见的订阅。根据购买的级别,价格从0.2BTC到1.5BTC不等。卖家可以保证,如果勒索软件在购买后六个月内被安全软件检测到,攻击者将以40%到20%的价格提供新样品。Qyick勒索软件广告Qyick勒索软件是用Go语言编写的,具有间歇性加密功能。lucrostm声称,由于间歇性加密,Qyick勒索软件能够如此快速地加密。Qyick当前版本没有数据泄露功能,但lucrostm表示未来会增加执行任意可执行代码的功能,主要针对数据泄露。Agenda勒索软件Agenda勒索软件于2022年8月首次被发现,主要针对非洲和亚洲的医疗保健和教育组织。该勒索软件有一些自定义选项,包括更改加密文件的文件扩展名以及要终止的进程和服务列表。Agenda勒索软件支持多种加密模式(skip-step、percent、fast),具体如下:帮助信息各模式如下:BlackCat勒索软件BlackCat勒索软件在2021年底开始频繁攻击已知的Rust编写的勒索软件。BlackCat背后的开发者于2021年12月上旬首次被发现在俄罗斯地下犯罪论坛上推广它。论坛信息BlackCat勒索软件运行勒索软件即服务(RaaS),使用防弹主机托管网站,并使用比特币混合服务进行匿名交易。ALPHV集合可搜索的泄露受害者数据数据库BlackCat勒索软件攻击世界各地的各种组织和企业。2022年9月,BlackCat勒索软件对意大利国有能源服务公司GSE发起攻击。SentinelLabs研究员AleksandarMilenkoski对BlackCat勒索病毒样本进行了逆向分析,加密模式如下:加密模式信息与完全加密相比,BlackCat勒索病毒使用Auto模式可以显着减少加密时间。P=LAY勒索软件该勒索软件是勒索软件领域的新成员,于2022年6月下旬首次被发现。最近,该勒索软件袭击了几个备受瞩目的目标,例如2022年8月对阿根廷科尔多瓦法院的攻击。RansomwareRansomware与Agenda和BlackCat相比,此勒索软件不可配置。它的加密方式是固定的:如果文件大小小于等于0x3fffffff字节,加密2块如果文件大小小于等于0x27fffffff字节,加密3块如果文件大小大于0x280000000字节,加密5blocks分析时观察一个样本每隔0x100000字节块加密一次,文件中包含一个空字符串,可以有效区分加密块和未加密块。加密文件部分BlackBasta勒索软件BlackBasta是2022年4月出现的RaaS程序。BlackBasta勒索软件是Conti勒索软件的后继产品,使用C++编写。BlackBasta在勒索软件领域迅速站稳脚跟,在两周内宣布了超过20名受害者,主要是在公用事业、技术、金融和制造业领域。BlackBasta网站与P=LAY勒索软件一样,BlackBasta没有可配置的加密模式。其加密方式为:如果文件小于7??04字节,则完全加密如果文件小于4KB,则从文件开头跳过192字节,每64字节加密如果文件大于4KB,从文件的开头开始跳过128个字节并每64个字节加密类似于P=LAY勒索软件,由于包含空字符,使加密和未加密的块在视觉上更容易区分。BlackBasta加密内容结论间歇性加密对攻击者非常有用,这种方法有助于规避勒索软件检测机制并更快地加密文件。研究人员预计间歇性加密将被更多的勒索软件家族采用。
