根据最新Malwarebytes报告显示，最近出现一种被称为Sorebrect的完全无文件勒索软件，该勒索软件“史无前例地”结合了传统赎金功能与无文件策略。

在《Under the Radar: The Future of Undetected Malware》的报告中，Malwarebytes详述了他们在整个2018年观察到的四起无文件攻击，包括Emotet、TrickBot、SamSam和Sorebrect。该报告还引用了Ponemon Institute的研究，该研究表明“无文件恶意软件攻击估计占2018年所有攻击的35％，并且它们成功率几乎是基于文件攻击的10倍”。

Sorebrect也已进入美国。它于2017年首次出现在中东国家，主要影响到制造业网络。而Malwarebytes表示，今年这个无文件勒索软件被发现出现在在包括密苏里州和田纳西州在内的几个州。

该报告指出，“对我们来说，幸运的是，这种威胁并没有显著扩散，我们还没有观察到这种威胁产生巨大影响。然而，攻击者改进攻击方法只是时间问题，他们很快会制造更大的威胁。”

Kujawa表示，Sorebrect将传统的赎金功能与无文件策略相结合，并以网络共享为目标。

Kujawa说：“目前最受欢迎的勒索软件是GandCrab，它具有全部功能。但事实是，Sorebrect是勒索软件的新变体，我们以前从未见过。并且，在不久的将来，它肯定会被复制。对于无文件恶意软件，主要感染方式是通过漏洞利用脚本或利用恶意Office文档。无论通过哪种方式，它都允许勒索软件驻留在内存中而不会在磁盘上放置其他任何东西，一直到它想开始加密为止。”

Sorebrect带来风险更加明显，因为它不需要人类来启动它。虽然我们尚不清楚其传播机制，但Kujawa相信这歌无文件勒索软件部分通过漏洞利用工具包和恶意垃圾邮件活动传播。

Kujawa指出：“对于任何类型的无文件恶意软件，一旦它出现在系统上，通常发生的事情是，它会找到方法来使自己具有抵抗力。否则，它们无法发挥作用。因此，在许多情况下，它们会创建格式错误的注册表项或密钥，并在其中包含代码。每次计算机重新启动时，它都会启动该代码，该代码会触发、抓取恶意软件并再次感染系统。对于Sorebrect ，因为它可以加密一切，我认为，在初次感染后，在开始加密时，它有可能会暴露自己。”

为了抵御无文件勒索软件等威胁，该报告建议企业扩展目前的保护范围，而不是局限于基于签名的恶意软件检测，同时还应该采用行为检测。此外，Malwarebytes建议企业更多地关注如何阻止威胁的传递机制，特别是电子邮件消息，并使用具有自我防御模式的安全产品，以防止恶意软件禁用或从系统中删除它。