Theft Ransomware

现代威胁环境无情无义。网络犯罪分子不断改进工具，以利用毫无防备的用户。其中最具破坏性的威胁之一是勒索软件，这是一种加密数据并勒索受害者钱财的恶意软件。其中一种新兴的勒索软件被称为“盗窃勒索软件”，据观察，它已经对毫无防备的系统造成了严重破坏。

勒索软件的危险性体现在哪些方面

盗窃勒索软件是一种新型勒索软件，与臭名昭著的 Dharma 勒索软件家族有关，该家族以针对个人和组织而闻名。恶意软件入侵设备后，会加密文件并通过附加以下内容重命名：

• 唯一的受害者ID
• 攻击者的电子邮件地址
• “.theft”扩展名

例如，“1.png”变成“1.png.id-9ECFA84E.[datatheft@tuta.io].theft。”

受害者随后会收到以文本文件（“info.txt”）和弹出窗口形式出现的勒索信息。文本信息简洁明了，仅提供联系方式，而弹出窗口则提供了更多详细信息，包括保证支付赎金后即可恢复数据。攻击者甚至提供“解密证明”，允许免费恢复三个非关键的小文件。

进一步施加压力的是，犯罪分子声称窃取了敏感的商业数据，并威胁说如果拒绝付款，他们就会泄露数据。

威胁的技术特征

与其他基于 Dharma 的变种一样，Theft Ransomware 不会锁定整个系统，而是加密本地和网络共享文件。该恶意软件会主动执行以下操作：

• 终止与正在使用的文件相关的进程（数据库、阅读器等）
• 将自身复制到 %LOCALAPPDATA% 路径并通过 Run 键注册持久性
• 设置为系统重启时自动启动
• 删除卷影副本以防止轻易恢复

该恶意软件还收集地理位置数据以确定是否继续加密，可能排除某些区域。

感染如何传播

盗窃勒索软件使用多种渗透策略，最常见的是安全性较弱的 RDP（远程桌面协议）服务。针对保护不力的账户进行暴力破解和字典攻击是常见的入口点。一旦进入系统，恶意软件甚至可能会禁用防火墙以简化其操作。

其他知名分销渠道包括：

网络钓鱼和社会工程——电子邮件、DM 和帖子中的恶意附件或链接。

木马和后门——用于悄悄投放勒索软件。

恶意广告和驱动下载——只需访问受感染的网站即可触发。

可疑的软件来源——盗版工具、免费软件包和虚假更新。

可移动媒体和本地网络——允许恶意软件在进入系统后在内部传播。

为什么支付赎金是一场冒险的赌注

在没有攻击者密钥的情况下解密被盗窃加密的文件几乎是不可能的。虽然某些勒索软件变种存在缺陷，但基于 Dharma 的威胁通常构建得非常牢固。重要的是，支付赎金并不能保证恢复，许多受害者即使转账后也空手而归。更糟糕的是，支付赎金只会为进一步的犯罪活动提供资金。

加强对勒索软件的防御

对抗盗窃勒索软件的最佳方法是预防。由于恶意软件的删除不会自动恢复加密文件，因此用户必须注重恢复能力和主动防御。每位用户都应采取的关键措施如下：

• 定期备份——在多个安全位置（例如未映射到受感染系统的离线驱动器和云服务）保留重要文件的副本。
• 更新软件和系统——应用补丁来修复勒索软件利用的漏洞。
• 使用强身份验证 – 使用独特、复杂的密码保护 RDP 服务并启用多因素身份验证。
• 谨慎对待电子邮件和链接——不要打开意外的附件或点击未知的链接，即使它们看起来是合法的。
• 限制管理权限——限制权限以减少潜在恶意软件执行的影响。
• 安装信誉良好的安全工具——采用具有勒索软件保护功能的反恶意软件解决方案。

• 禁用宏和脚本——许多勒索软件攻击都是通过 Office 文档或脚本触发的。

• 分段网络——防止恶意软件在商业环境中横向传播。

最后的想法

盗窃勒索软件凸显了 Dharma 家族的持续演进及其在全球勒索软件活动中的持久影响力。它集加密、数据窃取和勒索于一身，破坏力极强。由于文件恢复通常需要干净的备份，因此唯一真正的防御措施是分层预防、强大的网络卫生措施和可靠的恢复策略。