RDAT勒索軟體

勒索軟體仍然是家庭用戶和組織面臨的最具破壞性的威脅之一。一次入侵就能在幾分鐘內竊取文件、照片和業務數據，然後勒索受害者取得存取權限。 RDAT 勒索軟體是 Dharma 勒索軟體家族的一個分支，它充分說明了分層防禦和嚴謹的復原計畫的重要性。

威脅概況：RDAT 概覽

資訊安全研究人員在對新興惡意軟體進行廣泛審查時發現了 RDAT。它是 Dharma 的變種，專門用於資料勒索：它會加密文件，並迫使受害者付費解密。 RDAT 會同時攻擊本機磁碟機和網路共用，刻意避開關鍵系統文件，以便裝置保持可啟動狀態，受害者能夠閱讀勒索資訊。

受害者看到了什麼

一旦 RDAT 執行，它會加密各種類型的檔案。檔案名稱會被修改，包含唯一的受害者 ID、攻擊者的電子郵件以及「.RDAT」副檔名，例如：
1.png 變成 1.png.id-9ECFA84E.[dat@mailum.com].RDAT

接下來是兩封勒索信：一個彈出窗口，提示文件已加密，以及一個名為「DAT_INFO.txt」的文字文件，其中包含聯絡說明。攻擊者聲稱最多可以解密三個文件（受大小/格式限制）作為證據，同時警告使用第三方工具或修改加密資料可能會導致永久性損失。這些伎倆旨在建立信譽和緊迫感，而非幫助你。

RDAT 如何存在與傳播

RDAT 繼承了 Dharma 的持久性和防恢復策略。該惡意軟體將自身複製到 %LOCALAPPDATA% 中，透過特定的 Run 鍵註冊自動執行條目，並在系統重新啟動後重新啟動。為了阻止快速恢復，它會刪除影集副本。在加密之前，它會終止可能保持文件開啟的進程（資料庫、文件讀取器等），以確保最大程度的覆蓋。它還會嘗試透過檢查已知清單（一種不完善的安全檢查）來避免對已被其他勒索軟體攻擊的資料進行「雙重加密」。

目標選擇和地理圍欄

該惡意軟體會收集地理位置數據，以判斷受害者是否有可能支付贖金。如果該地區在經濟或地緣政治方面看起來不利，它可能會完全跳過加密。這種行為純粹是為了最大化贖金收益。

為什麼支付是一場失敗的賭注

勒索軟體攻擊後，如果沒有攻擊者的金鑰，通常無法解密，除非病毒庫存在嚴重缺陷。即便如此，付款也存在風險：許多受害者從未收到可用的解密器。付款還會為更多攻擊提供資金。負責任的做法是清除惡意軟體，使用可靠的備份進行重建，並強化系統以防止再次發生此類事件。

確認交付管道

Dharma 家族的入侵通常始於暴露或保護薄弱的遠端桌面協定 (RDP)。攻擊者依賴暴力破解和字典攻擊，一旦入侵，可能會停用主機防火牆。除了 RDP 之外，該生態系統還利用網路釣魚和社會工程、惡意廣告、不可信的軟體來源、垃圾郵件附件以及載入器/後門木馬。惡意負載通常以壓縮檔案（RAR/ZIP）、執行檔、腳本（包括 JavaScript）和文件（PDF、Office、OneNote）的形式傳送。某些家族也會透過本地網路和可移動介質進行傳播。

遏制和恢復

清除勒索軟體以阻止進一步加密，但要明白，刪除勒索軟體並不能恢復鎖定的檔案。復原需要乾淨的、版本化的備份。最佳做法是在多個位置和多種媒體上保存副本，包括惡意軟體無法觸及的離線儲存。

勒索軟體威脅的常見存取和分發媒介包括：

• 暴露/薄弱的 RDP 服務、憑證填充和暴力登錄
• 網路釣魚電子郵件、社會工程誘餌、垃圾郵件附件和連結、惡意廣告、木馬下載、驅動下載、盜版軟體和「破解」、假更新程式以及載入器/後門感染；透過 LAN 和可移動 USB/儲存裝置橫向傳播

底線

RDAT 勒索軟體是一種嚴謹的、以盈利為目的的 Dharma 變種：它能夠在系統重啟後持續存在，刪除恢復點，攻擊本地和共享數據，並利用施壓手段勒索贖金。最可靠的防禦方法是主動加固，並進行強大的離線備份和精心演練的恢復。切勿付費；根除、恢復並加強防禦，以防止下一次攻擊。