資安公司 Check Point 發現了新型勒索軟體,並命名為 Rorschach,其特殊的加密方式使之成為最快速的加密勒索軟體。可以在五分鐘之內,加密多達22萬個檔案。 俗話說,知己知彼,百戰百勝,為了制定更好的資安策略,了解新型勒索病毒也是各企業必做的功課。跟嗨雲一起看一下 Rorschach 的可怕之處。
Rorschach 4大可怕之處
Rorschach 勒索病毒的可怕之處在於它集成了其他勒索病毒最強的部分,可以快速加密、自動化程序並有效躲避防護機制、干擾資安人員分析。除此之外,Rorschach 還是一個可高度客製化的病毒,提供網路犯罪更多選項。
極快速加密
Rorschach 採用混合加密法,只加密檔案部分,增加加密效率。同時,還會自動減少加密串數量以降低加密所需時間。經過分析後,Check Point 研究人員認為 Rorschach 的混合加密法取自另一勒索病毒 Babuk 被洩露的原始碼,下圖為兩勒索病毒加密法比較:左邊是 Rorschach 病毒,右邊是 Babuk 病毒。
研究人員實際測試 Rorschach 和 LookBit v3 的加密速度,發現在相同環境中,加密22萬個檔案,LookBit v3 平均需要7分鐘,而 Rorschach 只要4分半。
自動化程序
Rorschach 更把程序自動化,可以自動建立群組原則 (GPO),LockBit 2.0 也有類似功能。而執行在網域控制器 (Domain Controller) 上時,Rorschach 還可以自動散布,並清除受害機器 Log 紀錄。
躲避防護機制
Rorschach 的躲避資安防護機制和以往的勒索病毒大不相同,以特殊的封裝方式使用直接系統呼叫,躲避資安防護系統。這樣的躲避機制以往只出現在其他惡意軟體,這是第一次出現在勒索病毒裡。
另外,Rorschach 還會透過偽造引數來干擾資安人員分析和補救。下圖為 Rorschach 偽造的引述,把真實引數全部以1替代。
高客製化
研究人員也指出 Rorschach 有很大的彈性,除了預設好的配置以外,使用 Rorschach 的攻擊者有其他選擇,更可以以自身的需求改變勒索病毒的行為。
如何預防勒索病毒
Rorschach 勒索病毒這麼可怕,無論是個人還是企業都更需要更新自己的資安策略,保護資料安全。下面五大方法,讓你更好預防勒索病毒,預防勝於治療!
- 定期備份檔案
- 謹慎上網
- 更新防毒軟體
- 更新程式和作業系統
- 使用監控和警示系統
全方位資安防護,預防勝於治療!
嗨雲的資安專家可針對您的需求量身打造資安方案,提供事前防護、事中排查與事後漏洞修復的全面支持。 立即查看 HiYun 嗨雲 專業資安防護,保護您的數位資產安全!
*本文資料參考 Check Point 研究文章
