攻擊者正在大量應(yīng)用間歇性加密來快速加密受害者的文件，這也是一個(gè)重大的賣點(diǎn)。

從兩方面來看，間歇性加密對勒索軟件運(yùn)營者來說是非常重要的：

• 速度：完全加密是非常耗時(shí)的，而時(shí)間對攻擊者來說是非常重要的，加密速度越快就越能防止被檢測與攔截
• 逃避：防御者可以使用統(tǒng)計(jì)分析來檢測勒索軟件的加密操作，通過評估文件 IO 操作強(qiáng)度或文件修改的相似性可以進(jìn)行檢測。與完全加密相比，間歇加密可以有效規(guī)避此類分析

2021 年夏天，LockFile 勒索軟件是首批引入間歇性加密技術(shù)的勒索軟件家族之一。后來，越來越多的勒索軟件都應(yīng)用了這一技術(shù)。

Qyick 勒索軟件

2022 年 8 月末，研究人員發(fā)現(xiàn)一個(gè)名為 lucrostm 的用戶在地下犯罪論壇上宣傳一種名為 Qyick 的新型勒索軟件。

Qyick 勒索軟件是一次性買斷制，而非更常見的訂閱制。根據(jù)購買的級別，價(jià)格從 0.2 比特幣到 1.5 比特幣不等。賣家可以得到保證，如果勒索軟件在購買六個(gè)月內(nèi)被安全軟件檢測到，攻擊者將會以六折到八折的價(jià)格提供一個(gè)新的樣本。

Qyick 勒索軟件廣告

Qyick 勒索軟件是用 Go 編寫的，并且具備間歇性加密功能。lucrostm 聲稱 Qyick 勒索軟件具備如此快的加密能力，就是通過間歇性加密實(shí)現(xiàn)的。

當(dāng)前版本的 Qyick 并不具備數(shù)據(jù)泄露功能，但 lucrostm 表示未來將會新增執(zhí)行任意可執(zhí)行代碼的功能，主要用于數(shù)據(jù)泄露。

Agenda 勒索軟件

Agenda 勒索軟件在 2022 年 8 月首次被發(fā)現(xiàn)，主要針對非洲和亞洲的醫(yī)療保健和教育組織進(jìn)行攻擊。該勒索軟件有一些自定義選項(xiàng)，包括更改加密文件的文件擴(kuò)展名以及要終止的進(jìn)程和服務(wù)列表。

Agenda 勒索軟件支持多種加密模式（skip-step、percent?和 fast），如下所示：

幫助信息

每種模式如下所示：

BlackCat 勒索軟件

BlackCat 勒索軟件在 2021 年底開始頻繁攻擊，也是第一個(gè)已知的使用 Rust 編寫的勒索軟件。BlackCat 背后的開發(fā)者于 2021 年 12 月初首次被發(fā)現(xiàn)在俄羅斯地下犯罪論壇上進(jìn)行宣傳。

論壇信息

BlackCat 勒索軟件運(yùn)行著勒索軟件即服務(wù)（RaaS），使用防彈主機(jī)來部署網(wǎng)站，并且使用比特幣混合服務(wù)來進(jìn)行匿名交易。

ALPHV Collections 一個(gè)可搜索泄露受害者數(shù)據(jù)的數(shù)據(jù)庫

BlackCat 勒索軟件攻擊全球各種組織與企業(yè)，2022 年 9 月，BlackCat 勒索軟件針對意大利的國有能源服務(wù)公司 GSE 發(fā)起攻擊。

SentinelLabs 研究員 Aleksandar Milenkoski 對 BlackCat 勒索軟件樣本進(jìn)行了逆向分析，加密模式如下所示：

加密模式信息

與完全加密相比，使用 Auto 模式的 BlackCat 勒索軟件可以顯著減少加密時(shí)間。

P=LAY 勒索軟件

該勒索軟件是勒索軟件領(lǐng)域的新玩家，于 2022 年 6 月下旬首次被發(fā)現(xiàn)。最近，該勒索軟件攻擊了多個(gè)知名目標(biāo)，如 2022 年 8 月攻擊了阿根廷科爾多瓦法院。

勒索軟件勒索信息

與 Agenda 和 BlackCat 相比，該勒索軟件不可配置。其加密模式是固定的：

• 如果文件大小小于或等于 0x3fffffff 字節(jié)，加密 2 個(gè)塊
• 如果文件大小小于或等于 0x27fffffff 字節(jié)，加密 3 個(gè)塊
• 如果文件大小大于 0x280000000 字節(jié)，加密 5 個(gè)塊

分析時(shí)觀察到一個(gè)樣本每隔一個(gè) 0x100000 字節(jié)塊進(jìn)行加密，該文件包含空字符串，可以有效區(qū)分加密塊與未加密塊。

加密文件的部分內(nèi)容

Black Basta 勒索軟件

Black Basta 是一個(gè) RaaS 程序，于 2022 年 4 月出現(xiàn)。Black Basta 勒索軟件接棒 Conti 勒索軟件出現(xiàn)，該勒索軟件采用 C++ 語言編寫。

Black Basta 在勒索軟件領(lǐng)域迅速占據(jù)了一席之地，兩周內(nèi)公布了二十多個(gè)受害者，主要集中在公用事業(yè)、技術(shù)、金融和制造業(yè)。

Black Basta 網(wǎng)站

與 P=LAY 勒索軟件一樣，Black Basta 不具備可配置加密模式。其加密模式為：

• 如果文件大小小于 704 字節(jié)，完全加密
• 如果文件大小小于 4 KB，則從文件開頭開始跳過 192 字節(jié)并每 64 字節(jié)進(jìn)行加密
• 如果文件大小大于 4 KB，則從文件開頭開始跳過 128 字節(jié)并每 64 字節(jié)進(jìn)行加密

與 P=LAY 勒索軟件類似，由于包含空字符，使加密塊和未加密塊在視覺上更容易區(qū)分。

Black Basta 加密內(nèi)容

結(jié)論

間歇性加密對于攻擊者來說是非常有用的，這種方法有助于規(guī)避勒索軟件檢測機(jī)制，更快地加密文件。研究人員預(yù)計(jì)，間歇性加密將會被更多勒索軟件家族所采用。