上周在推特上关于勒索软件攻击的讨论中，KrebsOnSecurity指出，几乎所有勒索软件都内置了一种保护恶意软件传播者的安全机制：它们不会安装在已安装某些虚拟键盘（如俄语或乌克兰语）的微软Windows电脑上。这一发现引发了大量读者提问，促使作者撰写博客文章探讨这一独特的网络防御技巧。讨论源于对Colonial Pipeline勒索软件攻击的分析，该攻击导致美国5500英里的输油管道关闭近一周，引发全国加油站供应短缺和价格上涨。FBI称此次攻击由DarkSide发起，该勒索软件即服务（RaaS）声称仅针对大型企业。DarkSide及其他俄语附属赚钱程序长期禁止其犯罪伙伴在乌克兰、俄罗斯等东欧国家的电脑上安装恶意软件，以减少当地当局的审查和干预。

文章主要讨论了勒索软件攻击中的一种特殊防御技巧，即通过安装某些语言的虚拟键盘来防止勒索软件在计算机上安装。以下是文章的关键点和重要信息：

1. 勒索软件的内置安全机制：大多数勒索软件都有一个内置的安全机制，即不会在已经安装了某些语言（如俄语或乌克兰语）虚拟键盘的Windows计算机上安装。这种机制旨在保护恶意软件的传播者，避免他们在本国或友好国家内引发法律问题。

2. DarkSide勒索软件案例：文章以DarkSide勒索软件为例，该软件攻击了Colonial Pipeline，导致美国燃油供应中断。DarkSide及其类似的俄语系勒索软件通常禁止其合作伙伴在东欧国家（如乌克兰和俄罗斯）安装恶意软件，以避免引起当地执法部门的关注。

3. 地缘政治因素：勒索软件团伙如DarkSide非常注重使其平台具有地缘政治性，因为他们的恶意软件被设计为仅在世界的某些地区运行。DarkSide等软件有一个硬编码的“不安装”国家列表，主要是独联体（CIS）成员国，这些国家与俄罗斯关系良好。

4. 防御技巧的局限性：虽然安装这些语言的虚拟键盘可以防止某些勒索软件安装，但这并不能保护计算机免受所有恶意软件的侵害。文章强调，深度防御策略和避免在线风险行为仍然是保护计算机安全的最佳方法。

5. 俄罗斯黑客的法律保护：由于俄罗斯独特的法律文化，黑客们通过这些检查确保他们只攻击国外的受害者。安装西里尔键盘或更改特定的注册表项可能会让恶意软件认为计算机位于俄罗斯，从而避免攻击。

6. 虚拟机的防御效果：文章还讨论了另一种防御方法，即在Windows注册表中添加条目，指定系统在虚拟机（VM）中运行。然而，这种方法的效果已经减弱，因为许多组织已经过渡到虚拟环境进行日常使用。

7. 脚本工具：文章提到了一种简单的Windows批处理脚本，可以在不实际下载语言包的情况下，让计算机看起来像是安装了俄语键盘。

总结来说，文章探讨了通过安装特定语言的虚拟键盘来防止勒索软件安装的防御技巧，并分析了其背后的法律和地缘政治因素。虽然这种方法有一定的局限性，但在某些情况下可能提供额外的保护。

主要观点总结：

1. 键盘布局与恶意软件的关系

   • 一些评论认为，恶意软件可能会根据键盘布局（如俄语键盘）来判断目标，甚至避免攻击某些系统。
   • 关键引用：
     • "If you make your machine look like a malware execution sandbox, a lot of malware will terminate to avoid being analyzed." (ttul)
     • "The presence of a Russian keyboard makes it attractive to NSA malware." (KnuthIsGod)

2. 非管理员账户的安全性

   • 使用非管理员账户作为日常操作账户，可以显著提高系统安全性，类似于Linux的sudo机制。
   • 关键引用：
     • "The best anti malware on any version of windows has always been to make your default account you use everyday a non admin account." (Melatonic)
     • "If an admin elevation popup happens when you haven’t triggered it then you probably know something is wrong." (Melatonic)

3. 俄罗斯与勒索软件的关系

   • 有评论指出，许多勒索软件可能源自俄罗斯，并且俄罗斯政府可能为这些行为提供非官方保护。
   • 关键引用：
     • "Mostly because the Russia gov. unofficial guaranties immunity if the target is not Russian." (exiguus)
     • "The title alone is hilarious because it obviously implies, probably correctly so, that most ransomware comes from Russia." (fracus)

4. 恶意软件的进化与检测

   • 恶意软件可能会进一步检测键盘的实际使用情况或其他系统信息（如时区），以规避简单的防御措施。
   • 关键引用：
     • "So woudn’t the next step in this cat and mouse game be that they check if the keyboard is actually being used?" (amelius)
     • "If they change it, will they make it to check the time zone as well as the keyboard layout?" (zzo38computer)

5. 网络攻击溯源的不确定性

   • 评论质疑通过攻击方法判断攻击来源的可靠性，认为存在“假旗”操作的可能性。
   • 关键引用：
     • "But if these methods are so clearly indicators of a certain group or certain national origin, then wouldn’t it be effortless to then mimic those same methods to make it appear it’s those groups when it’s not?" (93po)
     • "It feels like if you had a battleship with a Russian flag and it fired on a US ship and ran way and wasn’t caught, it’d be silly to be like 'oh it’s definitely the Russians 100%'." (93po)

6. AI与潜在威胁

   • 有评论探讨了AI在战争等极端情况下的潜在威胁，认为AI可能被“催眠”以执行特定任务，且无法自我察觉。
   • 关键引用：
     • "An AI Agent can be trained to be harmful, and not have any way of even self introspecting what it’s 'Trigger Words' are." (quantadev)
     • "The Trigger Words could indeed be some news headline that only China knows how to inject into the news cycle." (quantadev)

总结：

评论主要围绕恶意软件的行为模式、键盘布局对攻击的影响、非管理员账户的安全性、网络攻击溯源的不确定性以及AI的潜在威胁展开。观点多样，既有技术性讨论，也有对地缘政治因素的质疑。