近期发现的**“.sorry”后缀勒索软件基于开源Hidden Tear项目，感染后采用AES对称加密，对所有文件追加“.sorry”后缀。每台受害机器生成唯一加密密钥，密钥加密后上传到黑客服务器，本地无法解密（无通用解密器）。相比之下，常见的“.locked”后缀属于TellYouThePass（LockBit）等成熟家族，使用文件级AES+RSA混合加密**。两者属于不同变种，除加密行为相似外，代码与密钥体系无关联。

• “.sorry”勒索软件加密完成后生成名为How Recovery Files.txt的勒索说明，提示联系指定邮箱（如“hitler.rocks”域）赎回密钥。

• “.locked”家族加密后文件后缀为.locked，通常提供其他邮箱地址（如“beautifulgirls@youknowmynameisbob.online”）作为联系方式。

• 目前尚无官方解密工具可破解这两类勒索，只能通过清洁备份恢复。企业需快速隔离感染、取证分析、清除病毒并从备份恢复数据，同时严禁支付赎金。

背景与定义

• .sorry 后缀：基于Hidden Tear源码衍生的勒索软件。感染时加密文件并追加“.sorry”后缀（如报表.xlsx.sorry），并创建勒索说明文件（常见名为How Recovery Files.txt）。历史上，俄语变种Purge/Globe勒索软件也曾使用过“.sorry”后缀，但其加密机制与当前“.sorry”并不一致。其他变种如Im Sorry（.imsorry）等也属于同一类思路的勒索软件。

• .locked 后缀：“Locked”后缀勒索软件多为TellYouThePass家族的成员（一些报道称其部分成员又名LockBit等）。这类勒索软件对每个文件生成随机AES密钥并用RSA加密该密钥，生成后缀“.locked”加密文件。常见的变种还有.locked1后缀，这些都与TellYouThePass框架相关。

• 主要区别：.sorry和.locked本质上并非同一病毒，名称上仅后缀相似。.sorry主要特点是简单的AES对称加密流程，而.locked家族采用双重加密（AES+RSA）。.sorry通常加密后直接放弃本地密钥，由远程服务器管理；.locked则将AES密钥加密后存于每个文件头。

技术分析

• 传播途径：两者传播途径相近，常见包括钓鱼邮件（诱导启用宏脚本）、漏洞利用、盗版软件捆绑、弱口令的远程桌面（RDP）入侵等。比如打开恶意Office文档、访问被挂马的下载站点都可能中招。这两类勒索软件都是通过社会工程或网络暴露端口的方式获得初始执行权限。

• 加密流程：

• .sorry样本使用AES对称算法加密文件。感染后，它遍历本地磁盘，对常见文档、数据库、图像等数据文件进行加密，并在文件名后追加“.sorry”后缀。完成加密后，病毒生成勒索说明文件（例：“How Recovery Files.txt”）。

• .locked家族对每个目标文件生成随机的32字节AES-256密钥和16字节IV，然后使用受害者电脑上预置的RSA公钥对该密钥信息加密。加密后的数据（约128字节）存于新文件头部，文件名后追加“.locked”。因此，每个文件均有独立AES密钥，加密强度较高。

• 密钥管理：

• .sorry使用每台主机唯一的AES密钥，密钥在加密完成后通过网络上传至攻击者控制的服务器。这意味着攻击者持有解密密钥，受害者无法自行恢复数据。

• .locked家族则将每个文件的AES密钥用RSA公钥加密后存储在文件中，攻击者控制的私钥负责解密。受害者需将RSA加密的密钥发送给攻击者，由其解密并返回AES密钥进行文件恢复。

• 行为特征：

• .sorry在加密完成后会弹出勒索提示框或留下说明，要求联系特定邮箱（如例子中的systems@hitler.rocks或tutanota.com）索要解密密钥。说明文件通常包含“HELLO”, “ENCRYPTED”等英文关键词。

• .locked家族的说明文件通常指向TellYouThePass系列的邮箱/暗网通道，如发现文件名后缀为“.locked”或“.locked1”时要特别注意。360安全中心分析显示，TellYouThePass样本会生成隐藏文件和邮件地址信息，联系步骤略有不同。

• 是否共享：截至目前，没有公开证据表明“.sorry”与“.locked”在代码或基础设施上有任何共享。它们分属于不同的攻击团队，攻击工具和部署方式均不相同。唯一相似点在于都是加密勒索、要求赎金，且常通过删除备份和日志强化攻击效果。

检测与取证

• 磁盘痕迹：查找后缀为.sorry的文件及How Recovery Files.txt等勒索说明文件，它们通常伴随加密事件生成。说明文件中出现的邮箱域名（如hitler.rocks）也可作为IOC。检查其他被修改或新增的可疑可执行文件。

• 日志与卷影副本：勒索程序会执行多种命令清除系统还原点和事件日志：

• 删除卷影副本：vssadmin delete shadows /all /quiet或wmic shadowcopy delete，也可能通过PowerShell删除（Get-WmiObject Win32_ShadowCopy | ...）。

• 清除事件日志：wevtutil cl System|Security|Application，或先net stop eventlog后直接删除C:\Windows\System32\winevt\Logs\*.evtx文件。
  检查安全日志和任务计划中是否出现类似操作轨迹，这些命令通常记录在系统日志中，可作为检测线索。

• 系统缓存与注册表：.sorry样本会清除预读取文件（Prefetch）和AmCache记录，以隐藏自身运行痕迹。可通过磁盘取证工具恢复C:\Windows\Prefetch\*.pf和C:\Windows\AppCompat\Programs\Amcache.hve中的信息，查找与勒索程序相关的条目。此外，关注注册表Run项、计划任务等，以发现可能的自启动配置。

• 内存取证：如果感染后未重启，则内存中可能残留关键信息。采集内存镜像后，使用Volatility等工具分析：例如搜索”AES“、勒索程序名称或者上述邮箱关键词，可能找到未清的日志片段或AES密钥残留。内存是关键证据库，可以弥补磁盘日志被清除的缺陷。

• 网络流量：监测出站流量，尤其是向未授权域名或IP段的通信。虽然公开资料未揭示“.sorry”家族具体C2地址，但可以关注与勒索时间点匹配的异常HTTP/HTTPS请求或DNS查询。如发现访问hitler.rocks等域名的记录，应立即隔离并深入调查。

• 示例工具与命令：

• 查找加密文件：dir /s *.sorry (Windows) 或 grep -r ".sorry" /path (Linux)。

• 查找勒索说明：grep -i "Recovery Files" *.txt。

• 卷影副本查看：vssadmin list shadows。

• 事件日志导出：使用wevtutil el列出日志，再逐一导出查看。

• 端点监控：部署Sysinternals Process Monitor抓取文件操作，或通过SIEM设置对vssadmin、wevtutil等可疑命令的监控告警。

处置与恢复步骤

1. 隔离：立即断开受感染主机网络连接，阻止勒索软件扩散。确定是否存在多台受害机器，必要时切断相关网段的网络。

2. 取证：在隔离环境下采集证据：包含内存镜像、磁盘镜像和系统日志。禁止重启系统，以免丢失内存信息。记录加密前后文件哈希、事件时间戳等，以备日后分析或法律取证。

3. 清除勒索程序：对感染主机进行全面扫描，使用权威杀毒软件或专用工具清除勒索程序及植入组件。必要时在恢复前重新安装操作系统。请注意保留样本以供分析，但不要继续使用受感染系统进行正常工作。

4. 数据恢复：根据备份策略快速恢复数据。如果存在干净且最新的离线备份，从备份中还原是最佳方案。千万不要直接从被感染系统上复制数据。若没有有效备份，可联系专业恢复团队尝试低级数据恢复，如利用磁盘碎片重组或密钥残留等技术进行恢复。不建议支付赎金，因为黑客往往敲诈未果，且可能涉及违法（国际制裁风险）。

5. 系统加固：恢复业务后进行根因分析：找出攻击入口（如未修补漏洞、弱口令或钓鱼邮件入口），并立即修补或补救。重置所有重要账户（特别是管理员和服务账号）密码。应用所有必要补丁，关闭不必要端口，删除被篡改的服务和计划任务。落实多因素认证和最小权限策略。整个恢复过程结束后，编制事件报告，总结经验教训并更新应急预案。

对外通告与应急流程

• 客户沟通要点：准备标准化通报模板，说明事件影响（如被加密的文件后缀）、当前措施和建议。强调不建议支付赎金、应以技术手段恢复；提醒客户配合隔离受感染设备并保存日志。提供专门联系人和热线，承诺及时反馈恢复进度。

• 服务流程：接到事件报告后，即刻启动紧急响应小组，安排经验丰富的安全工程师跟进。通常按照合同约定提供24×7响应，首诊时间（TTA）建议在1小时内，最终处置时间（TTR）根据损失程度而定。可先进行免费初步评估，再根据工作量收费。

• 证据链管理：在整个应急过程中保持严格的链路记录：对样本和日志做哈希标记、明确责任人、记录操作过程、保存通信记录，以满足法律和监管要求。事件调查报告应包括时间线、技术分析、影响评估和恢复方案等。

• 样本提交方式：客户应通过安全渠道（如加密邮件或VPN传输）提交可疑文件样本、日志和内存镜像。建议使用物理介质（硬盘快递）时进行加密，以防敏感数据泄露。提交前请务必隔离样本环境，避免二次感染。

防护建议

• 终端安全：部署并及时更新杀毒/EDR软件，开启勒索防护功能。使用应用白名单限制未知程序执行。对可疑行为（大规模文件改名、系统工具频繁调用等）实时告警。

• 邮件与用户培训：加强邮件安全过滤，屏蔽带宏脚本的附件和可疑链接；定期对员工进行安全培训，增强钓鱼邮件识别能力。

• 备份策略：严格执行“3-2-1”备份方案（3份备份、2种介质、1份异地备份）。备份系统保持离线或只读状态，定期测试备份可用性，确保在主系统失效时能快速恢复。

• 权限与认证：关闭不必要的远程服务端口（如3389）、限制网络访问范围。启用多因素认证（MFA）保护远程登录和关键管理账户。所有账户使用强密码策略，定期更换或回收不再使用的账号。

• 监控与审计：强化网络和系统监控，特别监视异常的卷影复制、事件日志清空和大批量文件加密行为。使用SIEM建立规则：检测vssadmin、wevtutil、wmic等命令执行，以及. sorry/.locked 文件活动。定期审计系统日志与备份状态，发现异常立即响应。

可复用交付物清单

• IOC 列表：.sorry、.imsorry、.locked后缀；勒索说明中的关键词（如“Please write to systems@hitler.rocks”）；恶意命令字符串（vssadmin delete shadows、wevtutil cl System等）。

• 检测脚本：示例PowerShell/批处理脚本，用于全盘查找勒索文件后缀和关键字符串。

• 恢复SOP 文档：包含隔离、取证、病毒清除、恢复数据和加固的详细操作步骤，供应急团队直接使用。

• 对外通告模板：客户事件声明和公告范本，包括事件说明、建议措施、联系方式等，可根据具体情况快速修改发布。

• 取证表单和日志：事件响应表格（记录时间、操作、责任人）、通信记录模板等，用于规范应急流程和法律取证。