美国输油管道公司ColonialPipeline遭到DarkSide勒索软件攻击导致运营中断后,美国政府和民间对俄语感到震惊和恐惧支持的勒索软件组织。尽管拜登总统行政令出台了六大举措,包括大力推进零信任架构保护基础设施和供应链安全,但远水不解近渴,如何有效抵御勒索软件攻击等。关键基础设施仍然是一个悬而未决的问题。为了解决这个问题,就连提供赎金保险服务的保险巨头AXA也因拒绝支付赎金而遭到勒索软件的攻击。随着输油管道事件调查的深入,网络安全专家发现DarkSide与REvil关系密切,同属于受俄罗斯庇护的勒索软件组织。REvil以前称为GandCrab,GandCrab与REvil的许多共同点之一是这两个程序都禁止分支机构感染叙利亚的受害者。另请阅读:破坏美国输油管道的勒索软件组织DarkSide与REvil有染(下),与克里姆林宫的关系一直很好。以下是DarkSide的完整排除列表(由Cyber??eason发布):数据来源:Cyber??reason简而言之,很多恶意软件在发起攻击之前会检查目标系统上是否存在上述(独联体和叙利亚)语言之一,如果检测到它们,恶意软件将退出并无法安装。由于俄罗斯独特的法律文化(不起诉境外公司或个人),该国的犯罪黑客使用语言检查来确保他们只攻击境外(非独联体国家)的受害者。“这是勒索软件组织为获得法律保护而采取的自我保护措施,”纽约网络调查公司Unit221B的首席研究员AllisonNixon说。(非独联体国家的用户)在您的系统上安装西里尔文(俄语)虚拟键盘,或将某些注册表项更改为“RU”等,可能足以防止恶意软件将您误认为是讲俄语的实体进行攻击。从技术上讲,这种方法可以用作对抗俄罗斯恶意软件的“疫苗”。在您的系统上安装俄语键盘是否可以抵御所有恶意软件?显然不是,很多恶意软件并不关心你在哪个国家。纵深防御仍然是任何组织的基本措施。但对于目前猖獗的俄罗斯勒索组织来说,在系统中安装俄语键盘绝对是短期内有效的“奇招”。当然,如果大量用户采用这种方式,俄罗斯勒索软件组织可能会面临失去法律保护和更改语言检查筛选机制的风险。Unit221B创始人LanceJames指出,在Windows注册表中将系统标记为虚拟机的方法对很多勒索软件都失败了(过去,为了绕过安全软件,很多勒索软件会在安装时自动退出。检测到虚拟机环境。)。但安装俄语虚拟键盘目前仍然是一种经济高效且立竿见影的方法。James还专门制作了一个俄语键盘“一键安装”Windows批处理脚本(链接在文末),在勒索软件攻击前检查的Windows注册表项中增加了一个俄语选项。当然,用户也可以通过传统方式在桌面添加键盘语言(同时按下Windows键和X,然后选择“设置”,然后选择“时间和语言”)。不小心别慌设置完成后切换到俄语界面,使用Windows+空格键组合调出语言切换界面(上图)。参考:https://krebsonsecurity.com/2021/05/try-this-one-weird-trick-russian-hackers-hate/俄语键盘安装脚本:https://github.com/Unit221B/Russian【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看该作者更多好文
