美國輸油管道公司Colonial Pipeline被勒索軟件DarkSide攻擊導致運營中斷后，美國政府和私營部門對俄羅斯背景的勒索軟件組織已經風聲鶴唳，聞風喪膽。雖然拜登的總統行政命令頒布了六大舉措，包括強推零信任架構來保護基礎設施和供應鏈安全，但遠水不解近渴，當下關鍵基礎設施如何有效防御勒索軟件攻擊依然是一道無解難題，甚至提供贖金保險服務的保險巨頭安盛公司也因為拒絕承保勒索贖金而遭到勒索軟件攻擊。

[[400726]]

隨著輸油管道事件調查的深入，網絡安全專家們發現DarkSide與REvil有著密切關系，同屬于俄羅斯庇護的勒索軟件組織。REvil以前被稱為GandCrab，而GandCrab與REvil的許多共同點之一是，這兩個程序都禁止分支機構感染敘利亞的受害者。

參考閱讀：破壞美國輸油管道的勒索軟件組織DarkSide與REvil有染

與REvil等許多其他惡意軟件一樣，DarkSide帶有硬編碼的請勿安裝國家“白名單”，這些國家都是前蘇聯獨聯體國家(下圖)，與克里姆林宮的關系一直很好。

以下是DarkSide(由Cybereason發布)中的完整排除列表：

數據來源：Cyberreason

簡而言之，大量惡意軟件都會在發動攻擊前先檢查目標系統上是否存在上述(獨聯體國家以及敘利亞)語言中的一種，如果檢測到它們，則惡意軟件將退出并無法安裝。

由于俄羅斯獨特的法律文化(對非本國境內的公司或個人的起訴不予立案調查)，該國的犯罪黑客利用語言檢查來確保它們僅攻擊該國境外的受害者(非獨聯體國家)。

總部位于紐約的網絡調查公司Unit221B的首席研究員艾里森·尼克松(Allison Nixon)表示：

在系統中安裝俄語鍵盤是否就能防范所有惡意軟件呢?顯然不是，很多惡意軟件并不關心您所處的國家。對于任何組織來說，深度防御依然是必不可少的措施。

但是針對眼下猖獗的俄羅斯勒索軟件組織，在系統中安裝俄語鍵盤短期來看絕對是有效的“怪招”，當然，如果大量用戶都采用此方法，俄羅斯勒索軟件組織也許將會冒著失去法律庇護的風險改變語言檢查篩選機制。

Unit221B的創始人Lance James指出，在Windows注冊表中將系統標注為虛擬機的方法對于很多勒索軟件來說已經失效(過去很多勒索軟件為了繞過安全軟件，在檢測到虛擬機環境會自動退出安裝)。但安裝俄語虛擬鍵盤目前來說依然是個惠而不費、立竿見影的方法。

James還專門制作了一個俄語鍵盤“一鍵安裝”的Windows批處理腳本(鏈接在文末)，該腳本在勒索軟件攻擊前檢查的Windows注冊表項中增加了俄語選項。當然，用戶也可以傳統方式在桌面添加鍵盤語言(同時按下Windows鍵和X，然后選擇“設置”，然后選擇“時間和語言”。)

設置完成后如果您不小心切換到俄語界面也不用驚慌，使用Windows+空格鍵組合可以調出語言切換界面(上圖)。

• 參考資料：https://krebsonsecurity.com/2021/05/try-this-one-weird-trick-russian-hackers-hate/
• 俄語鍵盤安裝腳本：https://github.com/Unit221B/Russian

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文