美國輸油管道公司Colonial Pipeline被勒索軟件DarkSide攻擊導(dǎo)致運(yùn)營中斷后，美國政府和私營部門對俄羅斯背景的勒索軟件組織已經(jīng)風(fēng)聲鶴唳，聞風(fēng)喪膽。雖然拜登的總統(tǒng)行政命令頒布了六大舉措，包括強(qiáng)推零信任架構(gòu)來保護(hù)基礎(chǔ)設(shè)施和供應(yīng)鏈安全，但遠(yuǎn)水不解近渴，當(dāng)下關(guān)鍵基礎(chǔ)設(shè)施如何有效防御勒索軟件攻擊依然是一道無解難題，甚至提供贖金保險服務(wù)的保險巨頭安盛公司也因?yàn)榫芙^承保勒索贖金而遭到勒索軟件攻擊。

[[400726]]

隨著輸油管道事件調(diào)查的深入，網(wǎng)絡(luò)安全專家們發(fā)現(xiàn)DarkSide與REvil有著密切關(guān)系，同屬于俄羅斯庇護(hù)的勒索軟件組織。REvil以前被稱為GandCrab，而GandCrab與REvil的許多共同點(diǎn)之一是，這兩個程序都禁止分支機(jī)構(gòu)感染敘利亞的受害者。

參考閱讀：破壞美國輸油管道的勒索軟件組織DarkSide與REvil有染

與REvil等許多其他惡意軟件一樣，DarkSide帶有硬編碼的請勿安裝國家“白名單”，這些國家都是前蘇聯(lián)獨(dú)聯(lián)體國家(下圖)，與克里姆林宮的關(guān)系一直很好。

以下是DarkSide(由Cybereason發(fā)布)中的完整排除列表：

數(shù)據(jù)來源：Cyberreason

簡而言之，大量惡意軟件都會在發(fā)動攻擊前先檢查目標(biāo)系統(tǒng)上是否存在上述(獨(dú)聯(lián)體國家以及敘利亞)語言中的一種，如果檢測到它們，則惡意軟件將退出并無法安裝。

由于俄羅斯獨(dú)特的法律文化(對非本國境內(nèi)的公司或個人的起訴不予立案調(diào)查)，該國的犯罪黑客利用語言檢查來確保它們僅攻擊該國境外的受害者(非獨(dú)聯(lián)體國家)。

總部位于紐約的網(wǎng)絡(luò)調(diào)查公司Unit221B的首席研究員艾里森·尼克松(Allison Nixon)表示：

在系統(tǒng)中安裝俄語鍵盤是否就能防范所有惡意軟件呢?顯然不是，很多惡意軟件并不關(guān)心您所處的國家。對于任何組織來說，深度防御依然是必不可少的措施。

但是針對眼下猖獗的俄羅斯勒索軟件組織，在系統(tǒng)中安裝俄語鍵盤短期來看絕對是有效的“怪招”，當(dāng)然，如果大量用戶都采用此方法，俄羅斯勒索軟件組織也許將會冒著失去法律庇護(hù)的風(fēng)險改變語言檢查篩選機(jī)制。

Unit221B的創(chuàng)始人Lance James指出，在Windows注冊表中將系統(tǒng)標(biāo)注為虛擬機(jī)的方法對于很多勒索軟件來說已經(jīng)失效(過去很多勒索軟件為了繞過安全軟件，在檢測到虛擬機(jī)環(huán)境會自動退出安裝)。但安裝俄語虛擬鍵盤目前來說依然是個惠而不費(fèi)、立竿見影的方法。

James還專門制作了一個俄語鍵盤“一鍵安裝”的Windows批處理腳本(鏈接在文末)，該腳本在勒索軟件攻擊前檢查的Windows注冊表項(xiàng)中增加了俄語選項(xiàng)。當(dāng)然，用戶也可以傳統(tǒng)方式在桌面添加鍵盤語言(同時按下Windows鍵和X，然后選擇“設(shè)置”，然后選擇“時間和語言”。)

設(shè)置完成后如果您不小心切換到俄語界面也不用驚慌，使用Windows+空格鍵組合可以調(diào)出語言切換界面(上圖)。

• 參考資料：https://krebsonsecurity.com/2021/05/try-this-one-weird-trick-russian-hackers-hate/
• 俄語鍵盤安裝腳本：https://github.com/Unit221B/Russian

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文