被勒索軟件攻擊、關(guān)鍵數(shù)據(jù)被加密也許還不是最糟糕的。近日，反病毒公司Emsisoft發(fā)現(xiàn)多起“雙重加密勒索”，受害者的數(shù)據(jù)被多個勒索軟件先后加密，或者被同一個勒索軟件對數(shù)據(jù)進行了兩次加密。

[[401549]]

勒索軟件組織大多沒有道德底線和“契約精神”，很多受害者支付了贖金，恢復(fù)營業(yè)后，勒索軟件組織會二次光顧。此外，如今越來越多的勒索軟件采用“雙重勒索”策略，攻擊者加密目標系統(tǒng)數(shù)據(jù)之前會先竊取數(shù)據(jù)，因此，即便受害者有備份數(shù)據(jù)，勒索軟件依然可以用泄漏數(shù)據(jù)作為要挾勒索贖金。

如果說“雙重勒索”只是確保受害企業(yè)支付贖金，那么勒索軟件團伙最新升級的策略——“雙重加密”，更加讓人發(fā)指：

勒索軟件黑客會對受害者的數(shù)據(jù)進行兩次加密，并且索要兩份贖金。

以前業(yè)界觀測到的兩次加密勒索軟件攻擊，往往是“意外”，通常是由兩個獨自行動的勒索軟件幫派恰巧同時攻擊了同一個受害者造成的。而“雙重加密”則是單一勒索軟件團伙對受害者有意為之的攻擊方式。

根據(jù)反病毒公司Emsisoft的報告，該公司已經(jīng)發(fā)現(xiàn)數(shù)十起”雙重加密“勒索軟件攻擊事件，勒索軟件團伙有意將兩種類型的勒索軟件組合使用。

Emsisoft威脅分析師布雷特·卡洛(Brett Callow)說：“這些勒索軟件團隊一直在努力找出最好的勒索策略，用最少的精力賺到最多的錢。遭受雙重加密攻擊的受害者發(fā)現(xiàn)，他們繳納贖金解密的數(shù)據(jù)，仍然處于被加密狀態(tài)。”

Callow透露，有些受害者立即收到了兩張贖金通知，這意味著在這些攻擊中黑客希望他們的受害者知道遭受的是雙重加密攻擊。但是，在某些情況下，受害者在支付了消除第一層加密的費用后，才會看到第二條贖金通知，需要第二次付費才能解開第二層加密。

Callow說：“即使在標準的單層加密勒索軟件案例中，數(shù)據(jù)恢復(fù)也常常是噩夢，更糟糕的是，如今我們越來越多地看到雙重加密攻擊，我們認為企業(yè)在考慮他們的勒索軟件響應(yīng)時應(yīng)該意識到這一點。”

Emsisoft已經(jīng)發(fā)現(xiàn)了兩種截然不同的雙重加密勒索策略。首先，黑客使用勒索軟件A對數(shù)據(jù)進行加密，然后使用勒索軟件B對數(shù)據(jù)進行重新加密。另一個策略是所謂的“并行加密”攻擊，攻擊者對企業(yè)一部分數(shù)據(jù)使用勒索軟件A加密，對另外一些數(shù)據(jù)使用勒索軟件B加密，在這種情況下，雖然數(shù)據(jù)僅被加密一次，但受害者將需要“購買”兩個解密密鑰才能解鎖所有內(nèi)容。研究人員還注意到，在并行加密攻擊中，攻擊者會盡可能采用兩種看上去非常相似的勒索軟件，這讓事件響應(yīng)人員更難弄清正在發(fā)生的事情。

勒索軟件幫派通常以收益分享模式(RaaS)運作，其中一個小組開發(fā)并維護一系列勒索軟件，然后將其攻擊基礎(chǔ)設(shè)施租借給進行特定攻擊的“會員”。Callow指出，雙重加密適合此模型，直接實施攻擊的“會員”可以與兩個勒索軟件開發(fā)運營者分享收益。

此前，業(yè)界的報告已經(jīng)顯示支付贖金的風險很大，因為只有8%的企業(yè)能夠在支付贖金后獲得全部數(shù)據(jù)的解密密鑰，雙重加密攻擊的“雙份贖金”增加了這種風險，同時也意味著企業(yè)備份和恢復(fù)數(shù)據(jù)能力比以往任何時候都更加重要。

但是Callow指出：“雖然從備份中恢復(fù)數(shù)據(jù)是一個漫長的復(fù)雜過程，但是雙重加密并不會使其進一步復(fù)雜化。如果您決定從備份中重建，那么您將重新開始，舊數(shù)據(jù)被加密多少次都無關(guān)緊要。”

對于最初沒有充分備份或不想花時間從頭開始重建系統(tǒng)的勒索軟件受害者來說，雙重加密攻擊構(gòu)成了新的威脅。但是，如果發(fā)現(xiàn)更多的受害者不愿意為雙重加密攻擊“埋單”，那么攻擊者可能會選擇新的策略。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文