自2005年以來，勒索軟件已經(jīng)成為最普遍的網(wǎng)絡(luò)威脅。根據(jù)資料顯示，在過去11年間，勒索軟件感染已經(jīng)涉及超過7694到6013起數(shù)據(jù)泄露事故。

[[170003]]

多年來，主要有兩種勒索軟件：基于加密和基于locker的勒索軟件。加密勒索軟件通常會(huì)加密文件和文件夾、硬盤驅(qū)動(dòng)器等。而Locker勒索軟件則會(huì)鎖定用戶設(shè)備，通常是基于Android的勒索軟件。

新時(shí)代勒索軟件結(jié)合了高級(jí)分發(fā)技術(shù)(例如預(yù)先建立基礎(chǔ)設(shè)施用于快速?gòu)V泛地分發(fā)勒索軟件)以及高級(jí)開發(fā)技術(shù)(例如使用crypter以確保逆向工程極其困難)。此外，離線加密方法正越來越流行，其中勒索軟件利用合法系統(tǒng)功能(例如微軟的CryptoAPI)以消除命令控制通信的需要。

Solutionary公司安全工程及研究小組(SERT)的Terrance DeJesus探討了這些年以來勒索軟件的發(fā)展史以及亮點(diǎn)。

AIDS Trojan

第一個(gè)勒索軟件病毒AIDS Trojan由哈佛大學(xué)畢業(yè)的Joseph L.Popp在1989年創(chuàng)建。2萬張受感染的軟盤被分發(fā)給國(guó)際衛(wèi)生組織國(guó)際艾滋病大會(huì)的與會(huì)者。該木馬的主要武器是對(duì)稱加密，解密工具很快可恢復(fù)文件名稱，但這開啟了近30年的勒索軟件攻擊。

Archievus

在第一款勒索惡意軟件出現(xiàn)的近二十年(17年)后，另一種勒索軟件出現(xiàn)。不同的是，這個(gè)勒索軟件更加難以移除，并在勒索軟件歷史上首次使用RSA加密。這個(gè)Archiveus Trojan會(huì)對(duì)系統(tǒng)中“我的文檔”目錄中所有內(nèi)容進(jìn)行加密，并要求用戶從特定網(wǎng)站來購(gòu)買以獲取密碼解密文件。Archiveus也是第一個(gè)使用非對(duì)稱加密的勒索軟件辯題。

2011年無名木馬

在五年后，主流匿名支付服務(wù)讓攻擊者更容易使用勒索軟件來從受害者收錢，而不會(huì)暴露自己身份。在同一年，與勒索軟件木馬有關(guān)的產(chǎn)品開始流行。一款木馬勒索軟件模擬用戶的Windows產(chǎn)品激活通知，告知用戶其系統(tǒng)的安裝因?yàn)槠墼p需要重新激活，并定向用戶到假的在線激活選項(xiàng)，要求用戶撥打國(guó)際長(zhǎng)途。該惡意軟件聲稱這個(gè)呼叫為免費(fèi)，但實(shí)際呼叫被路由到假冒的接線員，并被擱置通話，導(dǎo)致用戶需要承擔(dān)高額國(guó)際長(zhǎng)途電話費(fèi)。

Reveton

名為Reveton的主要勒索木馬軟件開始在整個(gè)歐洲蔓延。這個(gè)軟件是基于Citadel Trojan，該勒索軟件會(huì)聲稱計(jì)算機(jī)受到攻擊，并被用于非法活動(dòng)，用戶需要使用預(yù)付現(xiàn)金支付服務(wù)來支付罰款以解鎖系統(tǒng)。在某些情況下，計(jì)算機(jī)屏幕會(huì)顯示計(jì)算機(jī)攝像頭記錄的畫面，讓用戶感覺非法行為已被記錄。此事件發(fā)生后不久，涌現(xiàn)很多基于警察的勒索軟件，例如Urausy和Tohfy。

研究人員在美國(guó)發(fā)現(xiàn)Reveton的新變種，聲稱需要使用MoneyPak卡向FBI支付200元罰款。

Cryptolocker

2013年9月是勒索軟件歷史的關(guān)鍵時(shí)刻，因?yàn)镃ryptoLocker誕生了。CryptoLocker是第一款通過受感染網(wǎng)站下載或者發(fā)送給商務(wù)人士的電子郵件附件形式的加密惡意軟件。CryptoLocker感染快速蔓延，因?yàn)橥{著利用了現(xiàn)有的GameOver Zeus僵尸網(wǎng)絡(luò)基礎(chǔ)設(shè)施。在2014年的Operation Tovar終止了GameOver Zeus Trojan和CryptoLocker活動(dòng)。

CryptoLocker利用AES-256lai加密特定擴(kuò)展名的文件，然后使用命令控制服務(wù)器生成的2048位RSA密鑰來加密AES-256位密鑰。C2服務(wù)器位于Tor網(wǎng)絡(luò)，這讓解密很困難，因?yàn)楣粽邔SA公鑰放在其C2服務(wù)器。攻擊者威脅稱如果在三天內(nèi)沒有收到錢他們將刪除私鑰。

Cryptodefense

在2014年，CryptoDefense開始出現(xiàn)，這個(gè)勒索軟件利用Tor和Bitcoin來保持匿名，并使用2048位RSA加密。CryptoDefense使用Windows內(nèi)置加密CryptoAPI，私鑰以純文本格式保存在受感染計(jì)算機(jī)—這個(gè)漏洞當(dāng)時(shí)沒有立即發(fā)現(xiàn)。

CryptoDefense的創(chuàng)造者很快推出改名版CrytoWall。與CryptoDefense不同，CryptoWall不會(huì)存儲(chǔ)加密密鑰在用戶可獲取的地方。CryptoWall很快廣泛傳播，因?yàn)樗昧薈utwail電子郵件活動(dòng)，該活動(dòng)主要針對(duì)美國(guó)地區(qū)。CryptoWall也通過漏洞利用工具包來傳播，并被發(fā)現(xiàn)是Upatre活動(dòng)中下載的最后有效載荷。

CryptoWall有過多次有效的活動(dòng)，都是由相同的攻擊者執(zhí)行。CryptoWall展現(xiàn)出惡意軟件開發(fā)的進(jìn)步，它可通過添加額外的注冊(cè)表項(xiàng)以及復(fù)制自身到啟動(dòng)文件夾來保持持續(xù)能力。在2015年，網(wǎng)絡(luò)威脅聯(lián)盟公布覆蓋全球的CryptoWall活動(dòng)，金額達(dá)到3.25億美元。

Sypeng和Koler

Sypeng可被認(rèn)為是第一款鎖定用戶屏幕并顯示FBI處罰警告消息的基于Android的勒索軟件。Sypeng通過短消息中假的Adobe Flash更新來傳播，需要支付MonkeyPak 200美元。

Koler勒索軟件與Sypeng非常類似，它也是用假冒警察處罰，并要求MoneyPak支付贖金。Koler被認(rèn)為是第一個(gè)Lockerworm，因?yàn)樗晕曳敝臣夹g(shù)，它可發(fā)送自定義消息到每個(gè)人的聯(lián)系人列表，指引他們到特定網(wǎng)址再次下載勒索軟件，然后鎖定其系統(tǒng)。

CTB-Locker和SimplLocker

與過去其他變體不同，CTB-Locker直接與Tor中C2服務(wù)器通信，而不是具有多層基礎(chǔ)設(shè)施。它也是第一個(gè)開始刪除windows中Shadow Volume副本的勒索軟件變體。在2016年，CTB-Locker更新為針對(duì)目標(biāo)網(wǎng)站。

SimplLocker也在2014年被發(fā)現(xiàn)，它被認(rèn)為是第一款針對(duì)Android移動(dòng)設(shè)備的基于Crypto的勒索軟件，它會(huì)簡(jiǎn)單地加密文件和文件夾，而不是鎖定用戶手機(jī)。

LockerPin

在去年9月，一款侵略性Android勒索軟件開始在美國(guó)各地蔓延。ESET安全研究人員發(fā)現(xiàn)第一個(gè)可重置手機(jī)PIN以永久鎖定設(shè)備的真實(shí)惡意軟件，被稱為L(zhǎng)ockerPin，該惡意軟件會(huì)修改受感染設(shè)備的鎖屏Pin碼，讓受害者無法進(jìn)入屏幕。LockerPin隨后需要500美元來解鎖設(shè)備。

勒索軟件即服務(wù)(RaaS)在2015年開始出現(xiàn)，這些服務(wù)通常包含用戶友好型勒索軟件工具包，這可在黑市購(gòu)買，售價(jià)通常為1000到3000美元，購(gòu)買者還需要與賣方分享10%到20%的利潤(rùn)。Tox通常被認(rèn)為是第一款以及最廣泛分布的RaaS工具包/勒索軟件。

TeslaCrypt

TeslaCrypt也出現(xiàn)在2015年，這可能將是持續(xù)威脅，因?yàn)殚_發(fā)人員制作出四個(gè)版本。它首先通過Angler漏洞利用工具包來分發(fā)，隨后通過其他來分發(fā)。TeslaCrypt利用AES-256來加密文件，然后使用RSA-4096來加密AES私鑰。Tor內(nèi)的C2域被用于支付和分發(fā)。在其基礎(chǔ)設(shè)施內(nèi)包含多層，包括代理服務(wù)器。TeslaCrypt本身非常先進(jìn)，其包含的功能可允許在受害者機(jī)器保持靈活性和持久性。在2016年，TeslaCrypt編寫者將其主解密沒有交給ESET。

LowLevel04和Chimera

LowLevel04勒索軟件在2015年被發(fā)現(xiàn)，主要瞄準(zhǔn)遠(yuǎn)程桌面和終端服務(wù)。與其他勒索軟件活動(dòng)不同，攻擊者通過遠(yuǎn)程手動(dòng)進(jìn)行，他們遠(yuǎn)程進(jìn)入服務(wù)器、繪制內(nèi)部系統(tǒng)。在這種情況下，攻擊者被發(fā)現(xiàn)會(huì)刪除應(yīng)用、安全和系統(tǒng)日志。

Chimera勒索軟件在2015年年底被發(fā)現(xiàn)，它被認(rèn)為是第一款doxing勒索軟件，它會(huì)威脅稱在網(wǎng)上公開發(fā)布敏感或私人文件。Chimera使用BitMessage的P2P協(xié)議用于進(jìn)行C2通信，這些C2只是Bitmessage節(jié)點(diǎn)。

Ransom32和7ev3n

Ransom32被認(rèn)為是第一個(gè)使用JavaScript編寫的勒索軟件。該惡意軟件本身比其他軟件要大，達(dá)到22MB，它使用NW.js，這允許它處理和執(zhí)行與其他C++或Delphi編寫的勒索軟件相類似的操作。Ransom32被認(rèn)為具有革命性，因?yàn)樗碚撋峡稍诙鄠€(gè)平臺(tái)運(yùn)行，例如Linux、Mac OSX以及windows。

7ev3n勒索軟件在過去幾個(gè)月中開始引起大家關(guān)注。在13 bitcoin，它可能是索要贖金最高的勒索軟件。7ev3n勒索軟件不僅執(zhí)行典型的加密再勒索，它還會(huì)破壞windows系統(tǒng)。該惡意軟件開發(fā)人員似乎很大程度側(cè)重于確保7ev3n可破壞任何恢復(fù)加密文件的方法。7ev3n-HONE$T隨后被發(fā)布，降低了贖金要求并增加了一些有效的功能。

Locky

在2016年，EDA2和Hidden Tear的惡意軟件編寫者在GitHub公開發(fā)布了源代碼，并聲稱這樣做是出于研究目的，而那些很快復(fù)制改代碼并做出自定義更改的攻擊者導(dǎo)致大量隨機(jī)變體出現(xiàn)。

臭名昭著的Locky勒索軟件也在2016年被發(fā)現(xiàn)，Locky快速通過網(wǎng)絡(luò)釣魚活動(dòng)以及利用Dridex基礎(chǔ)設(shè)施傳播。Locky也因?yàn)楦腥久绹?guó)多個(gè)地區(qū)的醫(yī)院而登上新聞?lì)^條。攻擊者很快發(fā)現(xiàn)受感染醫(yī)療機(jī)構(gòu)快速支付贖金，從而導(dǎo)致包含勒索軟件下載的網(wǎng)絡(luò)釣魚電子郵件在醫(yī)療行業(yè)廣泛傳播。

SamSam

SamSam或者SAMAS勒索軟件被發(fā)現(xiàn)專門分發(fā)給易受攻擊的JBoss服務(wù)器。起初，攻擊者會(huì)通過JexBoss工具對(duì)JBoss服務(wù)器執(zhí)行偵查，隨后利用漏洞并安裝SamSam。與其他勒索軟件不同，SamSam包含一個(gè)通道，讓攻擊者可實(shí)時(shí)通過.onion網(wǎng)站與受害者通信。

KeRanger

第一個(gè)正式基于Mac OSX的勒索軟件KeRanger在2016年被發(fā)現(xiàn)，它通過針對(duì)OSX的Transmission BitTorrent客戶端來交付。該勒索軟件使用MAC開發(fā)證書簽名，讓其可繞過蘋果公司的GateKeeper安全軟件。

Petya

Petya在2016年開始流行，它通過Drop-Box來交付，并改寫受感染機(jī)器的主啟動(dòng)記錄(MBR)，然后加密物理驅(qū)動(dòng)器本身。它在加密驅(qū)動(dòng)器時(shí)還是用假冒的CHKDISK提示。如果在7天內(nèi)沒有支付431美元贖金，支付費(fèi)用將會(huì)翻一倍。Petya更新包含第二個(gè)有效載荷，這是Mischa勒索軟件變體，而它沒有加密硬盤驅(qū)動(dòng)器。

Maktub

Maktub也是在2016年被發(fā)現(xiàn)，它表明勒索軟件開發(fā)人員在試圖創(chuàng)建非常先進(jìn)的變體。Maktub是第一個(gè)使用Crypter的勒索軟件，這是用來隱藏或加密惡意軟件源代碼的軟件。Maktub利用windows CryptoAPI執(zhí)行離線加密，而不是使用C2來檢索和存儲(chǔ)加密密鑰。

Jigsaw

Jigsaw勒索軟件在勒索信息中包含SAW電影系列中流行的Jigsaw人物，它還威脅稱如果沒有支付150美元的贖金將會(huì)每隔60分鐘刪除一個(gè)文件。此外，如果受害者試圖阻止進(jìn)程或重啟電腦，將刪除1000個(gè)文件。

CryptXXX

在2016年5月底，CryptXXX是被廣泛分發(fā)的最新勒索軟件辯題。研究人員認(rèn)為它與Reveton勒索軟件變體有關(guān)，因?yàn)樵诟腥倦A段有著類似的足跡。CryptXXX通過多種漏洞利用工具包傳播，主要是Angler，并通常在bedep感染后被觀察到。它的功能包含但不限于：反沙箱檢測(cè)、鼠標(biāo)活動(dòng)監(jiān)控能力、定制C2通信協(xié)議以及通過TOR付款。

ZCryptor

微軟發(fā)表文章詳細(xì)介紹了一種新型勒索軟件變體ZCryptoer。除了調(diào)整的功能(例如加密文件、添加注冊(cè)表項(xiàng)等)，Zcryptoer還被認(rèn)為是第一個(gè)Crypto蠕蟲病毒。它通過垃圾郵件分發(fā)，它有自我繁殖技術(shù)來感染外部設(shè)備以及其他系統(tǒng)，同時(shí)加密每臺(tái)機(jī)器和共享驅(qū)動(dòng)器。

勒索軟件的未來?

專家預(yù)測(cè)我們?cè)?016年還將繼續(xù)觀測(cè)到多個(gè)新變種，在這些變種中，可能只有少數(shù)會(huì)帶來很大影響—這取決于惡意軟件編寫者以及涉及的網(wǎng)絡(luò)團(tuán)伙?，F(xiàn)在勒索軟件編寫者還在繼續(xù)其開發(fā)工作，更新預(yù)先存在的勒索軟件或者制造新的勒索軟件，我們預(yù)測(cè)，增強(qiáng)靈活性和持久性將會(huì)成為勒索軟件標(biāo)準(zhǔn)。

如果勒索軟件具有這種能力，這將會(huì)是全球性的噩夢(mèng)。根據(jù)最近使用crypter的勒索軟件表明，勒索軟件編寫者知道很多研究人員試圖逆向工程其軟件，這種逆向工程和分析可能導(dǎo)致勒索軟件開發(fā)人員改進(jìn)其勒索軟件變體。