【公益譯文】卡內基梅隆大學軟體工程學院：勒索軟體威脅現狀（三）

3       技術概述

 

3.1   勒索軟體：攻擊方法和技術

3.1.1           勒索軟體攻擊概述

一般來說，勒索軟體攻擊分為多個階段。只有充分了解各階段活動，組織才能有備無患，應對自如。需要注意的是，勒索軟體是軟體程式碼，在攻陷相容計算機後執行，對本地儲存、網路或雲中的可訪問資料進行操控。此外，還可能利用網路訪問許可權和網際網路與命令控制（C2）伺服器（攻擊者的基礎設施）通訊。攻擊受害人應料到勒索軟體會利用強加密演算法加密資料且只有聯絡勒索軟體組織才能獲得解密秘鑰。受害人支付贖金後，攻擊者提供的解密工具和秘鑰可能無法正常使用，導致某些資料仍無法解密和訪問。

受害人應事先知曉，勒索軟體不僅可加密本地計算機儲存器中的資料，而且還能透過網路加密資料。儘管資料訪問可能受限，但勒索軟體仍可能利用漏洞訪問受限資料。此外，勒索軟體可能導致企業無法訪問關鍵資料，而這些資料對於面向客戶的服務和後端服務來說非常必要。

3.1.2           勒索軟體常見感染途徑

勒索軟體利用多種方法入侵系統。下面幾節介紹最常見感染途徑：郵件、被攻陷的網站以及網路上誤配置系統中的漏洞。

3.1.2.1      電子郵件

電子郵件是最常用的勒索軟體傳播機制。第二節中提及的所有家族幾乎都利用電子郵件作為感染途徑。網路攻擊者可透過各種方式獲得大量電子郵件地址，並利用這些地址發起釣魚攻擊。透過釣魚郵件傳播的勒索軟體使用了社會工程手段，旨在讓使用者相信郵件正常且其附件和連結可靠。大多數情況下，郵件包含惡意附件，可導致勒索軟體攻擊。

圖2是魚叉式釣魚郵件例子，即勒索軟體利用的定向釣魚郵件。（Klein，2015年）在此類釣魚攻擊中，郵件正文內容和連結面向特定人員和組織量身定製。本例中，釣魚郵件內容為顧客對Backblaze的投訴。正常情況下，郵件傳送給被投訴公司的CEO。人們收到後很容易相信該郵件正常，然後根據指示點選連結。

圖2：2015年Locker勒索軟體的魚叉式釣魚郵件（Klein，2015年）

3.1.2.2      網站

透過入侵站點投遞的勒索軟體主要利用惡意廣告和漏洞利用工具包。惡意廣告並不是一種新的傳播方式，最早出現在2007年。2019年6月，Sodinokibi勒索軟體被發現利用惡意廣告作為感染途徑，藉助PopCash廣告網路將受害人重定向至RIG漏洞利用工具包。（趨勢科技，2019年）Nemty也利用RIG漏洞利用工具包開展惡意廣告活動。（Ilascu，Nemty勒索軟體透過RIG漏洞利用工具包傳播，2019年）利用網站傳播勒索軟體的好處是無需使用者互動即可成功感染機器，單單讓使用者瀏覽網頁就可使惡意廣告的惡意程式碼自動執行，進而感染機器。

惡意廣告不僅利用危險的網站，還滲透了諸如紐約時報、NFL、MSN和BBC等主流網站。要在網站上展示惡意廣告，關鍵是攻擊者以合法方式參與廣告網路的活動。攻擊者在網路上註冊成為廣告商，透過競標在流行網站上投入廣告，最初透過投放無惡意軟體的合法廣告贏得信任，一段時間後會在這些網路中引入惡意廣告，贏得廣告位競標後將廣告顯示在網站上。若廣告網路實現了交易自動化和最小安全檢查，那麼廣告投放會非常方便。惡意廣告商可輕鬆地在無人察覺情況下投放廣告。一旦惡意廣告被展示（有時需要點擊），將出現多個重定向方式。最常見的情況是，程式碼中隱藏的內聯框架（iframe）標籤開始執行一系列域名/IP跳轉，最終達到儲存漏洞利用工具包的惡意伺服器。

圖3是惡意重定向至RIG漏洞利用工具包的例子。該重定向利用PopCash廣告網路下載和安裝Sodinokibi勒索軟體。（Abrams，透過漏洞利用工具包和惡意廣告實現Sodinokibi勒索軟體攻擊，2019年）Sodinokibi在下載並執行後可加密檔案，如圖4所示。

圖3：在未安裝補丁的Windows PC上進行惡意廣告重定向（Abrams，透過漏洞利用工具包和惡意廣告實現Sodinokibi勒索軟體攻擊，2019年）

 

 

圖4：Sodinokibi勒索軟體加密未打Windows補丁的 PC（Abrams，透過漏洞利用工具包和惡意廣告實現Sodinokibi勒索軟體攻擊，2019年）

 

3.1.2.3      漏洞利用工具包

漏洞利用工具包指試圖利用作業系統、瀏覽器、外掛和其他軟體中的已知和未知漏洞入侵機器的軟體。這些工具包主要攻擊瀏覽器及其他可透過訪問網頁自動執行的軟體。大多數現代Web瀏覽器透過限制對系統資源的網頁訪問防禦入侵，並要求進行實際的使用者互動才能訪問網頁。

惡意程式碼一旦侵入系統，則會從遠端伺服器中下載勒索軟體並在機器上執行。感染通常在後臺執行，若未及時發現，勒索軟體會完成資料加密，彈出贖金支付訊息。

漏洞利用工具包成功執行的關鍵在於是否能發現漏洞。有些工具包只利用公開發布的漏洞，有些工具對發現的漏洞秘而不宣，囤積居奇，在黑市中待價而沽。以下是最常用的技術：

·       流行軟體（如Adobe Acrobat Reader、Microsoft Office和WordPress）

·       瀏覽器（如Internet Explorer (IE)、Firefox、Chrome和Safari）

·       外掛（如Adobe Flash）

有些漏洞利用工具包已成功利用。有些勒索軟體運營商可能正在減少使用這些工具包，而更多的採用釣魚郵件。下面介紹幾個有代表性的工具包。

RIG：該漏洞利用工具包在2016年出現，據知已傳播了Nemty和Sodinokibi等至少35個勒索軟體家族。（邁克菲，2018年）RIG漏洞利用工具包一直在維護和升級，可對34個漏洞進行惡意利用，包括近期發現的Adobe Flash Player和Microsoft Windows中的CVE-2018-4878和CVE-2018-8174漏洞。

Fallout：該漏洞利用工具包在2018年8月被發現，據悉已傳播了包括Maze和Sodinokibi在內的多種勒索軟體家族。（邁克菲，2019年）Fallout利用Adobe Flash Player和Microsoft Windows中的CVE-2018-4878、CVE-2018-8174和CVE-2018-15982漏洞。

Spelevo：該漏洞利用工具包在2019年年初被發現，據悉已傳播了Maze勒索軟體。（邁克菲，2019年） Spelevo漏洞利用工具包利用CVE-2018-8174和CVE-2018-15982漏洞，透過Adobe Flash Player投放木馬在Microsoft Windows中建立持續定時任務。（邁克菲，2019年）

Radio：該漏洞利用工具包針對Microsoft Windows，據知已傳播了Nemty勒索軟體。（Abrams，漏洞利用工具包利用勒索軟體和木馬攻擊Windows使用者，2019）Radio漏洞利用工具包基於Internet Explorer中廣泛利用的漏洞CVE-2016-0189（已修復），與其他漏洞利用工具包相比可能不夠先進。（nao_sec，2019年）

漏洞利用工具包五花八門，甚至無需使用者互動也能入侵系統。為避免遭受這些工具包的攻擊，最好嚴格遵守軟體更新策略。似乎大多數工具包均利用公開發布的漏洞的攻擊利用程式，只有少數利用個人發現的漏洞。漏洞利用程式之所以成功執行，說明軟體未能定期打補丁，導致工具包可持續完全依賴公開發布的漏洞。

3.1.3           修改作業系統

勒索軟體一旦在受害人機器人執行，其行為與大多數惡意軟體並無二致。勒索軟體的初始執行目標均為：

·       在已攻陷機器上實現持久化。

·       避免從已攻陷機器上檢出並移除。

·       在某些情況下，與C2伺服器建立網路連線。

3.1.3.1      建立持久化

建立持久化後，勒索軟體可持續執行並可在足夠長時間內訪問系統中所有必要資源，實現惡意目標。勒索軟體利用下面的一些策略在入侵的系統中建立持久化：

·         在新檔案中自我複製。勒索軟體在系統資料夾及臨時資料夾等不常見的位置生成其執行檔案的多個副本。這樣，就可以避免被徹底刪除，除非所有副本都被檢出並移除。在Windows系統中，典型位置包括system32、AppData、Local和臨時資料夾。

·         在現有檔案中自我複製。勒索軟體在現有二進位制檔案中寫入惡意程式碼，該惡意程式碼或為自身副本，或為其他惡意程式碼。勒索軟體一般在系統資料夾中複製，原因是這些系統檔案對作業系統功能的正常執行至關重要，反惡意軟體程式不會刪除這些系統檔案或不阻止其執行。此外，系統資料夾中的檔案一般具備系統管理許可權。

·         建立新二進位制檔案。系統中釋放的勒索軟體通常會建立二進位制檔案，這些檔案稍後執行，完成惡意任務。此舉的目的是將兩個檔案分開。若所建立的檔案被移除，原始的釋放檔案可重新建立檔案，再次嘗試實現惡意目標。二進位制檔案可從遠端主機上下載，也可從其可執行檔案的嵌入程式碼中複製（並非精確複製）；第二種情況是一種自我複製行為。

·         Windows登錄檔。有時，勒索軟體利用Windows登錄檔建立持久化。Windows登錄檔是個分層資料庫，包含作業系統以及相關應用程式的設定。勒索軟體試圖建立和修改登錄檔項用於自身目的，並且重置或刪除安全和反惡意軟體相關的表項。此外，勒索軟體就數個已知的開機自啟動登錄檔項（主要是“CurrrentVersion\Run”）設定路徑，從而建立開機自啟動的惡意二進位制檔案。

3.1.3.2      逃避檢測

勒索軟體加密受害者的資料需要時間（有時需數小時），所以，須保證在這段時間內不被檢出並移除。勒索軟體採取如下策略逃避檢測：

·         刪除之前檔案：勒索軟體執行之前下載或建立的二進位制檔案。這些程式通常會衍生很多惡意子程式，避免其從被入侵的系統上移除。一般情況下，這些衍生出來的子程式執行相同例項，也就是說，指子程式執行與父程式同樣的行動。在這些程式中，木馬可能進行各項惡意任務或執行其他二進位制檔案，而這些二進位制檔案提供的是一些本身並無惡意的支援功能。為逃避檢測，衍生出的子程式可能會從檔案系統中刪除父程式的二進位制圖片，從而儘可能地減少在入侵系統上的執行結果和痕跡。

·         終止父程式：如上所述，勒索軟體一般會在首次下載或建立二進位制檔案後建立和生成惡意子程式。建立子程式後，父程式可能自動終止。在某些情況下，子程式會終止父程式，即刪除父程式，旨在將釋放的勒索軟體程式與執行惡意任務的子程式分離，避免勒索軟體從入侵系統上被檢出和移除。

·         禁用反惡意軟體程式：一些勒索軟體變體知曉反惡意軟體程式的程式和配置選項。為逃避檢測，勒索軟體試圖透過終止程式禁用反惡意軟體程式，導致反惡意軟體程式無法正常執行或完全停止執行。

 

圖5為勒索軟體的典型檔案加密示意圖，從內至外，加密可能性依次遞增。通常，最常見的目標檔案為各種office文件（如.doc、.sxw、.xlsx和.sxc）、影像格式（如.tiff、.png和.bmp）、存檔檔案（如.zip和.tar）、音訊檔案（如.mp3和.sxc）.wav）和影片檔案（如.mp4和.avi）。一些勒索軟體變體還可能包括資料庫（如.sqlite和.mdb）和網站相關檔案（如.html和.aspx）。不太複雜的加密勒索軟體可能會將目標限制在系統的特定目錄上，而目標明確的勒索軟體可能會鎖定特定應用程式（如MongoDB）。

 

圖5：從勒索軟體最青睞的加密檔案（最外圈）到最不常見的加密檔案（最裡圈[1]）

如圖5所示，許多勒索軟體家族避免加密可執行檔案或系統檔案，因為這樣做會使系統不穩定，甚至可能導致勒索軟體無法執行。然而，這種情況正在改變，許多勒索軟體家族現在僅將啟動計算機所需的最基本檔案列入白名單，其餘檔案一律加密。勒索軟體還瞄準組織伺服器上的資料（如資料庫、網站和檔案共享），利用資料洩露的負面影響，迫使受害者支付贖金。

3.2   加密

勒索軟體使用某種形式的加密來限制對作為勒索籌碼的資料的訪問。加密指透過使用唯一加密金鑰的加密演算法對資料進行打散來保護資料。正確使用加密可防止未經授權（即唯一解密金鑰）訪問資料，勒索軟體正是基於此思路設計，只有收到贖金，才會提供解密金鑰。本節將回顧勒索軟體使用的加密演算法。

3.2.1  演算法

大多數勒索軟體變種在攻擊中結合使用對稱和非對稱加密演算法。對稱加密比較簡單和快速，通常用於加密大容量資料。對稱加密只使用一個加密金鑰進行資料加密和解密，如圖6所示。非對稱加密更復雜，需要兩個不同加密金鑰（公鑰和私鑰），如圖7所示。公鑰加密資料，私鑰用於解密由公鑰加密的資料。由於非對稱加密較為複雜，所以速度慢得多，通常用於加密少量資料。

 

圖6：對稱加密演算法

 

 

圖7：非對稱加密演算法

這裡我們以MedusaLocker為例進行介紹。勒索軟體利用AES-256對稱加密演算法加密檔案。由於AES-256是對稱加密演算法，須使用同一金鑰加密和解密資料，如圖6所示。MedusaLocker利用RSA-2048非對稱加密演算法對對稱金鑰進行加密保護，其中加密透過公鑰完成，解密則利用對應私鑰實現，如圖7所示。大多數情況下，公鑰由C2伺服器提供給勒索軟體，而C2伺服器也儲存相關私鑰。這就對加密方法設定了限制，因為如果不訪問C2伺服器，則無法獲得用於加密資料的對稱加密金鑰。不過，MedusaLocker透過在可執行檔案中嵌入公鑰繞過了這一限制，也就是說它無需連線到C2伺服器利用對稱和非對稱加密。

從MedusaLocker例項中，我們可看出在勒索軟體中利用加密演算法組合的典型複雜性。事實上，許多新的勒索軟體家族都試圖採取相似的最佳實踐進行加密以及生成和管理金鑰，這使得在不支付贖金的情況下恢復資料愈加困難。

資料加密中的一個最佳實踐是建議採取對稱加密對大量資料進行加密，因為對稱加密比非對稱加密快得多。因此，合理實現的加密方案通常包括對稱加密元件（例如AES）和非對稱加密元件（例如RSA），如圖8所示。在自定義加密演算法中，漏洞很常見，因為它們不會受到嚴格的大範圍程式碼審查。勒索軟體開發人員可透過使用構建的加密演算法限制潛在漏洞面。因為減少了勒索軟體所使用加密過程的漏洞，。如上所述，MedusaLocker採取了最佳實踐，使用AES-256對稱加密演算法和RSA-2048加密演算法。目前，沒有用於MedusaLocker的公共解密程式。

 

 

圖8：結合使用對稱性和非對稱性加密保護金鑰

 

將對稱和非對稱加密方法結合使用在fuxsocyl、GlobeImposter、LockerGoga、Ryuk和Nemty等很多其他勒索軟體家族中非常常見。與Medu-saLocker不同，在這些勒索軟體家族中，有些會與C2伺服器通訊，生成用於加密AES對稱金鑰的RSA公鑰，這就使得C2伺服器連線成為了一項必要條件。如果勒索軟體無法連線到C2伺服器將無法獲得加密AES對稱金鑰的公鑰，若缺乏安全的對稱金鑰，勒索軟體組織將無法加密資料，進行勒索。

一些勒索軟體試圖透過使用本地生成的AES-256對稱金鑰加密資料解決該問題。若是明文金鑰，那麼受害者就可在不支付贖金的情況下解密他們的資料。除非無法與C2伺服器通訊，否則勒索軟體不會在本地儲存明文對稱金鑰。在這種情況下，勒索軟體使用硬編碼的RSA公鑰基於對稱金鑰建立恢復金鑰。恢復金鑰建立後，原始明文格式的AES對稱金鑰將從系統中刪除。

恢復金鑰稍後會和贖金一起提交給威脅攻擊方控制的網站，從而恢復原始的AES主對稱金鑰。然後，解密工具可使用該對稱金鑰恢復資料。

3.2.2           資料完整性

資料加密包含資料修改，可能導致資料損壞。如果資料在加密過程中損壞，即使使用正常執行的解密工具也可能無法恢復。從勒索軟體實現來看，原始明文資料可在原位修改，也可複製到另一個檔案容器中進行加密。一旦加密，原始明文資料檔案將從系統中刪除。然而，勒索軟體程式碼實現中的缺陷可能導致加密資料不完整。與許多其他涉及大量資料寫入的應用程式一樣，資料寫入過程若突然中斷可能導致資料損壞。

最近幾個勒索軟體家族對原始資料檔案進行了修改，新增了加密金鑰和唯一識別符號，在解密工具恢復原始檔案前必須刪除這些金鑰和唯一識別符號。最後，解密工具在實現上可能存在缺陷，導致資料損壞。

如果原始資料已刪除但未在儲存器中覆蓋，則可利用正規的資料恢復工具恢復刪除的檔案。如果解密工具損壞了資料，則可對該工具進行修改避免資料損壞。在任何情況下，我們都建議您在嘗試進行資料恢復前對加密資料進行備份。

與任何惡意資料修改一樣，若不將資料與之前儲存的副本或資料雜湊值進行比較，就無法保證資料完整性未受到破壞。因此，應將恢復的資料與洩露的資料採取同樣的方式處理。

 

 

3.3   支付

3.3.1           提示使用者

一旦加密完成，勒索軟體會向使用者提示相關情況和下一步行動。提示訊息以各種形式傳送，包括桌面牆紙、瀏覽器視窗、勒索軟體執行程式生成彈出視窗和提醒。此外，勒索軟體通常還會鎖定計算機或限制其使用，連續顯示資訊。

訊息內容通常包含四個部分：

1.  檔案加密宣告；

2.  加密原因；

3.  受害者恢復檔案須採取的步驟；

4.  支付贖金的最後期限及受害者延遲支付贖金的後果；贖金金額一般在最後期限前隨時間的推移而增加。

這些資訊通常使用社會工程讓使用者相信這一情況非常嚴重，除了支付贖金別無選擇。有時候會表示可以解密少數檔案，從而使受害者相信支付贖金會解密剩餘檔案。

 

3.3.2           貨幣

隨著加密貨幣的廣泛使用，勒索軟體也在最近幾年興起。加密貨幣交易因具備不受監管特性而成為勒索軟體支付的首選支付機制。2019年第一季度支付的贖金中，比特幣約佔98%。（Coverware，2019）

除了加密貨幣，一些勒索軟體家族還接受各種形式的預付簽帳金融卡、禮品卡和更為傳統的電匯和匯款單。預付卡為可能不適應加密貨幣交易複雜性的受害者提供了一種方便的支付方法。但是，預付卡支付方式可能會因使用者所在地而異。歐洲、亞洲、北美和其他市場存在各種不同的預付卡和支付終端。

3.3.3           客戶服務

有一些勒索軟體運營商提供客戶服務，幫助受害者獲得所需的支付貨幣進行支付，然後解密資料。這項服務背後的邏輯是，向受害者提供的幫助越多，獲得贖金的可能性就越大。勒索軟體客戶服務通常透過使用者填寫常見支援請求表或聊天視窗實現。進一步通訊通常透過電子郵件進行。除了幫助受害者付款和解密資料外，通訊通道還可用於協商贖金金額或延長付款期限。（Shackelford和Wade，2020年）

3.3.4           付款期限超期

勒索軟體通常會設定支付贖金的截止日期,該日期到期則銷燬解密金鑰。在傳統意義上的密碼安全屬性中，若解密金鑰不復存在，則認為加密資料被銷燬。勒索軟體依靠該屬性迫使受害者儘早付款。解密金鑰通常儲存在攻擊者控制的C2伺服器上。因此，在感染目標後，攻擊者可根據時間逐步實施金鑰銷燬過程。

透過之前對勒索軟體C2伺服器進行分析，我們發現解密金鑰在截止日期到期後未被銷燬。儘管金鑰過期警告可能用於誘使受害者儘早付款並阻止其拖延時間尋找替代解決方案，但若不進行分析，通常無法判斷金鑰過期威脅是否真實。因此，若無其他輔助知識，應對此認真分析。

勒索軟體也可利用截止日期提高贖金，而不是威脅銷燬解密金鑰。在這種情況下，贖金通常每7至10天翻一番，直到付清為止。對於勒索軟體客服來說，延長付款期限或協商價格並不罕見。

3.4   解密

3.4.1           攻擊者提供的服務

贖金支付完成後，勒索軟體運營商提供解密金鑰、軟體和支援。有時，解密軟體訪問許可權嵌入在贖金支付螢幕中。在這些情況下，使用者只需提供加密檔案。在其他情況下，必須下載軟體。

運營商進一步確保解密正確且所有檔案都恢復到其原始形式。這項服務對於攻擊活動持續取得成功至關重要。讓受害者知道檔案會正確恢復是確保支付贖金的一條可靠途徑。圖9為Alma Locker勒索軟體示例。

 

圖9：Alma Locker 內建的解密工具（Cimpanu，2016年）

3.4.2           解密的可信度

一些報告指出，即使支付了贖金，也無法恢復資料。加密資料只有在未損壞的情況下才能成功解密。2019年第四季度，平均而言，受害者在支付了解密程式費用後仍損失了3%的加密資料。（Coveware，2019年）此外，解密工具通常不僅進行資料解密，還定位資料並識別正確的解密秘鑰。若每個檔案均使用唯一金鑰，解密工具的功能可能更為複雜。

若識別和解密過程較為複雜，則更容易出現編碼和功能性錯誤，導致資料解密不完整或受損。此外，解密工具通常提供解密金鑰，該金鑰對儲存加密資料的計算機有效。威脅源起方提供了正確的解密秘鑰，該金鑰來自儲存用於勒索贖金的解密秘鑰的資料庫。我們在這裡舉一個無效解密秘鑰的例子：為受損系統提供了不正確的識別符號，導致金鑰資料庫出現多個衝突。無效的解密金鑰會導致解密嘗試失敗或資料損壞。

如果不將解密資料與原始資料進行比較，或不驗證解密資料的雜湊值，則無法保證和驗證解密資料的完整性。無論解密結果如何，無論解密工具來自何處，解密的資料都應被視為受損資料。

3.4.3           可靠性問題

勒索軟體的設計目的是操控靜態磁碟中的資料。加密是將明文格式的資料轉換的加密格式。這種資料操控由合理實現的軟體執行，該軟體通常會加密資料，將其儲存在單獨建立的新檔案中，然後安全刪除原始明文資料，如圖10所示。在該過程中，需對檔案系統操作考慮周詳，以確保資料完整性。

 

圖10：勒索軟體檔案加密流程

如果資料操控流程中斷或失敗，資料可能會停留在損壞狀態。與執行類似資料操控商業軟體產品相比，勒索軟體程式碼通常缺乏嚴格的測試階段。這種未測試的程式碼可能會產生更大錯誤面，從而導致資料損壞。

在解密方面，勒索軟體解密資料，將其儲存新建立的明文檔案中，然後刪除原始加密檔案，如圖11所示。雖然解密過程通常不太容易出現與檔案系統和作業系統相關的錯誤，但解密工具的穩定性可能不及勒索軟體加密元件。

 

 

圖11：勒索軟體檔案加密流程

勒索軟體通常會修改受損的系統或網路，並致使系統穩定性和安全性下降。這些修改可能包括利用各種程式碼漏洞來獲得執行攻擊所需的訪問許可權。例如，勒索軟體使用提升的許可權安裝核心級驅動程式，導致受損系統不穩定，效能下降甚至經常崩潰，直至勒索軟體被刪除。

在決定如何處理勒索軟體事件時，應考慮這些問題。事件發生後，應在解密前對加密資料進行備份。同樣，刪除勒索軟體恢復資料時，應在事件發生後徹底移除受損的系統，對其重新安裝和配置。這樣可避免整個系統出現穩定性和安全性問題，並減少將來可能出現的危害。

3.5   資料轉移

大多數早期勒索軟體並非用於感染網路，轉移大量資料。然而，可以預見的是，威脅源起方蓄意從受害人處竊取敏感資訊。之前的勒索軟體家族分析表明，大多數勒索軟體收集受損系統的一些資訊，建立唯一識別符號。命令控制（C2）伺服器使用此資訊跟蹤勒索軟體攻擊以及資料恢復所需的加密金鑰。通常，勒索軟體利用受損系統的計算機名、儲存裝置序列號和作業系統版本生成唯一識別符號，然後傳輸到威脅源起方控制的命令控制（C2）伺服器上。

一些勒索軟體還可竊取處於加密中的各檔案的資訊，如檔名和路徑。顯然，這個過程會招致資料洩漏風險，尤其是檔名或路徑中含有敏感資訊時。

此外，Nemty、MegaCortex、Maze和Sodinokibi勒索軟體家族在未得贖金的情況下已開始竊取全部資料內容，將之公之於眾。資料轉移通常發生在資料加密之前。這四個勒索軟體家族對受害者組織進行攻擊，導致資料洩露。大多數情況下，文件、資料庫和其他敏感數字材料最終都會落入攻擊者手中。但是，攻擊者在收到贖金後也不一定能老老實實地刪除資料，而且其他威脅源起方可能獲得這些資料的訪問許可權。

---

[1] 該圖由計算機應急響應小組的研究員和設計人員繪製