我最近在阅读 Malwarebytes Labs 对 Sage Ransomware 的威胁分析。我发现这很有趣,显然,除了系统目录(这是有道理的)之外,英雄联盟等游戏的路径以及 Steam 应用程序的路径都被排除在攻击之外。这篇文章没有推测为什么会这样,这让我对自己感到好奇和猜测。恶意软件的创建者这样做有什么显而易见的原因吗?还是我只是想多了?它是否表明目标人口统计、攻击媒介和/或交付方式?唯一可能显而易见的我能想到这样做的原因是为了不打断分心的游戏玩家,从而允许进程继续在后台运行,不太可能被用户注意到。但是,我觉得这个解释太简单了。我敢冒险,即使普通计算机用户没有全神贯注于系统上的某些游戏或任务,他们也不会识别出感染的迹象。与绝大多数勒索软件的本质一样,目标人群通常是不太可能备份数据的临时用户,而不是更有可能注意到感染迹象的高级用户,这使得这种解释似乎更不可能了。考虑到许多游戏的大部分数据都没有存储在本地(本地存储的大部分数据也备份在云中,与 Steam 的情况一样)和许可证密钥现在通常由数字分发平台管理,我可以理解为什么加密这些文件几乎毫无意义。* 尽管如此,我还是冒险加密这些文件将进一步有助于受害者经历的入侵/脆弱/损失感。从社会工程学/心理学的角度来看,这可能会增加受害者支付赎金的机会。我只是给了创作者太多的信任吗?像这样的举动似乎是一件非常刻意的事情,这让我很好奇作为动机。我敢冒险,加密这些文件将进一步加剧受害者所经历的入侵/脆弱/损失感。从社会工程学/心理学的角度来看,这可能会增加受害者支付赎金的机会。我只是给了创作者太多的信任吗?像这样的举动似乎是一件非常刻意的事情,这让我很好奇作为动机。我敢冒险,加密这些文件将进一步加剧受害者所经历的入侵/脆弱/损失感。从社会工程学/心理学的角度来看,这可能会增加受害者支付赎金的机会。我只是给了创作者太多的信任吗?像这样的举动似乎是一件非常刻意的事情,这让我很好奇作为动机。
认识到试图确定或确定 Sage 编码人员对其编程决策的实际动机将更多的是意见和推测而非事实,我的问题归结为我在推测中遇到的两个问题:
- 通常针对哪些版本的 Windows?它是否类似于WannaCry 的传播方式,针对各种 Windows 操作系统?还是更侧重于家庭用户操作系统(例如 XP、Vista、7)而不是商业操作系统(例如 Windows Server 2000、2008)?
- Sage 在什么地方被传播/丢弃?正如文章所述,“大多数情况下,Sage 会被通过网络钓鱼电子邮件分发的下载脚本丢弃。” 然而,由于文章指出它被删除的一种形式是独立的 JavaScript 文件,这会打开许多潜在的攻击媒介。我很想知道是否有人知道 Sage 使用的任何其他攻击媒介(如果有的话)。
*主要谈论在线游戏,如英雄联盟,其中用户的个人资料信息在线存储。但是,Sage 不包括整个 steamapps 路径,这也是存储仅限本地/单人游戏的保存信息的位置。
更新:澄清一下,我理解为什么试图防止加密低价值、易于替换的文件是合乎逻辑的。但是,我发现有趣的是编码人员用来完成此任务的方法。可以说,您可以生成一个黑名单,指定至少一百个目录,其中低价值数据和文件通常存储用于各种用例。但是,编码人员仅从加密中排除了非常特定的文件路径。如果您的目标是尽可能快地加密尽可能多的最高价值数据,尝试将加密目标定位到最通常存储最有价值数据的文件路径,这不是更有意义吗?这将缩小被加密文件的范围,并增加捕获有价值的东西以激励用户支付赎金的机会。