Theft Ransomware

現代威脅環境無情無義。網路犯罪分子不斷改進工具，以利用毫無防備的使用者。其中最具破壞性的威脅之一是勒索軟體，這是一種加密資料並勒索受害者錢財的惡意軟體。其中一種新興的勒索軟體被稱為“盜竊勒索軟體”，據觀察，它已經對毫無防備的系統造成了嚴重破壞。

勒索軟體的危險性體現在哪些方面

竊取勒索軟體是一種新型勒索軟體，與臭名昭著的 Dharma 勒索軟體家族有關，該家族以針對個人和組織而聞名。惡意軟體入侵裝置後，會加密檔案並透過附加以下內容重新命名：

• 唯一的受害者ID
• 攻擊者的電子郵件地址
• “.theft”副檔名

例如，“1.png”變成“1.png.id-9ECFA84E.[datatheft@tuta.io].theft.”

受害者隨後會收到以文字檔案（“info.txt”）和彈出視窗形式出現的勒索訊息。文字訊息簡潔明了，僅提供聯繫方式，而彈出視窗則提供了更多詳細信息，包括保證支付贖金後即可恢復資料。攻擊者甚至提供“解密證明”，允許免費恢復三個非關鍵的小檔案。

進一步施加壓力的是，犯罪分子聲稱竊取了敏感的商業數據，並威脅說如果拒絕付款，他們就會洩露數據。

威脅的技術特徵

與其他基於 Dharma 的變種一樣，Theft Ransomware 不會鎖定整個系統，而是加密本地和網路共享檔案。該惡意軟體會主動執行以下操作：

• 終止與正在使用的文件相關的程序（資料庫、閱讀器等）
• 將自身複製到 %LOCALAPPDATA% 路徑並透過 Run 鍵註冊持久性
• 設定為系統重新啟動時自動啟動
• 刪除卷影副本以防止輕易恢復

該惡意軟體還會收集地理位置資料以確定是否繼續加密，可能排除某些區域。

感染如何傳播

盜竊勒索軟體使用多種滲透策略，最常見的是安全性較弱的 RDP（遠端桌面協定）服務。針對保護不力的帳戶進行暴力破解和字典攻擊是常見的入口點。一旦進入系統，惡意軟體甚至可能會停用防火牆以簡化其操作。

其他知名分銷管道包括：

網路釣魚和社會工程——電子郵件、DM 和貼文中的惡意附件或連結。

木馬和後門－用於悄悄投放勒索軟體。

惡意廣告和驅動程式下載－只需訪問受感染的網站即可觸發。

可疑的軟體來源——盜版工具、免費軟體包和虛假更新。

可移動媒體和本地網路－允許惡意軟體在進入系統後在內部傳播。

為什麼支付贖金是一場冒險的賭注

在沒有攻擊者金鑰的情況下解密被竊取加密的檔案幾乎是不可能的。雖然某些勒索軟體變種有缺陷，但基於 Dharma 的威脅通常建構得非常牢固。重要的是，支付贖金並不能保證恢復，許多受害者即使轉帳後也空手而歸。更糟的是，支付贖金只會為進一步的犯罪活動提供資金。

加強對勒索軟體的防禦

對抗盜竊勒索軟體的最佳方法是預防。由於惡意軟體的刪除不會自動恢復加密文件，因此使用者必須專注於復原能力和主動防禦。每位使用者都應採取的關鍵措施如下：

• 定期備份－在多個安全位置（例如未對應到受感染系統的離線磁碟機和雲端服務）保留重要檔案的副本。
• 更新軟體和系統－應用修補程式來修復勒索軟體利用的漏洞。
• 使用強身份驗證 – 使用獨特、複雜的密碼保護 RDP 服務並啟用多因素身份驗證。
• 謹慎對待電子郵件和鏈接——不要打開意外的附件或點擊未知的鏈接，即使它們看起來是合法的。
• 限制管理權限－限制權限以減少潛在惡意軟體執行的影響。
• 安裝信譽良好的安全工具－採用具有勒索軟體保護功能的反惡意軟體解決方案。

• 停用巨集和腳本－許多勒索軟體攻擊都是透過 Office 文件或腳本觸發的。

• 分段網路－防止惡意軟體在商業環境中橫向傳播。

最後的想法

竊盜勒索軟體凸顯了 Dharma 家族的持續演進及其在全球勒索軟體活動中的持久影響力。它集加密、資料竊取和勒索於一身，破壞力極強。由於檔案復原通常需要乾淨的備份，因此唯一真正的防禦措施是分層預防、強大的網路衛生措施和可靠的復原策略。