前言

整個2016年，勒索軟件呈現(xiàn)出集中的爆發(fā)態(tài)勢。那么，到底爆發(fā)到了什么程度?來看一下12月份的統(tǒng)計數(shù)據(jù)，相當(dāng)令人震驚：整個12月份，出現(xiàn)了32個新勒索軟件樣本，并出現(xiàn)了33個勒索軟件的新變種。安全專家發(fā)布了9款勒索軟件的解密工具，他們的工作還是很有成效的，但是，與出現(xiàn)的速度相比，還有很大差距。

[[181704]]

下面我們按照時間，來具體說明每天發(fā)生的勒索事件、及反勒索事件。

12月1日

（1）Matrix勒索軟件首次出現(xiàn)，并使用了GnuPG加密系統(tǒng)

研究人員在實(shí)際環(huán)境中發(fā)現(xiàn)了一款新型勒索木馬，叫做“Matrix”，它使用開源的GnuPG加密系統(tǒng)，來加密受害人的個人數(shù)據(jù)，并禁止受害人訪問。同時，會給受害人留下一個勒索信件，名稱是“matrix-readme.rtf”，并留下了兩個郵箱，分別是“matrix9643@yahoo.com”和“redtablet9643@yahoo.com”，以便受害人聯(lián)系攻擊者。

（2）Avast發(fā)布勒索解密工具

Avast的安全分析師針對4款勒索軟件家族，分別是CrySiS、Globe、Alcatraz Locker、和NoobCrypt，開發(fā)了4款免費(fèi)的解密工具。任何被上述勒索軟件感染的受害者，都可以免費(fèi)下載并使用。

12月2日

（1）黑客在暗網(wǎng)公開出售Alpha Locker勒索軟件

對于那些崇拜敲詐的人，可以通過購買Alpha Locker勒索軟件，去釋放他們邪惡的力量。該惡意程序采用了C#程序語言。有效載荷只有50KB，整套工具價值65美元。

（2）勒索軟件作者給安全專家發(fā)了一條秘密信息

NMoreira勒索木馬的作者，該作者跟XPan勒索軟件也有關(guān)系，他使用了一個有趣的策略，給Emsisoft的杰出安全專家Fabian Wosar發(fā)了一條信息，F(xiàn)abian Wosar曾經(jīng)破解過很多加密威脅。NMoreira的作者在他最新勒索產(chǎn)品的核心代碼中添加了一段明文:“希望你能再一次破解這個勒索軟件。”Fabian Wosar是以這樣的方式評論這件事的：“這次，他們至少算是個有禮貌的笨蛋，盡管如此，他們?nèi)匀贿€是笨蛋。”

（3）Phoenix勒索軟件首次出現(xiàn)

盡管仍在開發(fā)之中，但是Phoenix 加密惡意軟件很有可能成為一個大的安全問題。它會將一系列系統(tǒng)文件加密，并給受害人留下一個解密手刪，名稱為“Important!.txt”。

12月3日

（1）PadCrypt勒索軟件出現(xiàn)更新版

一個新版的PadCrypt浮出水面。除了版本名稱變成了3.1.2以外，它的特征幾乎沒有任何值得注意的變化。

12月4日

（1）一個俄羅斯勒索者被逮捕

這是一個40歲的網(wǎng)絡(luò)騙子，名為Pornopoker ，俄羅斯警方在莫斯科附近的一個機(jī)場逮捕了他。他被指控開發(fā)和傳播了Ransomlock.P勒索軟件，并偽裝成不同國家的執(zhí)法機(jī)構(gòu)對受害人進(jìn)行詐騙活動。

（2）Emsisoft開發(fā)了另一個免費(fèi)的解密工具

Fabian Wosar，前面提到過的Emsisoft 公司的安全專家，發(fā)布了Nemucod勒索軟件最新變種的解密工具。

（3）Apocalypse勒索軟件出現(xiàn)更新版

一個新版本的Apocalypse 勒索軟件出現(xiàn)了，它會將加密后的文件按以下方式命名：[original_filename].ID-*[random_8_chars + country_code][cryptservice@inbox.ru].[random_7_chars]。

（4）Globe勒索軟件出現(xiàn)新變種

該勒索軟件將文件加密后，會添加“.lovewindow”后綴名，并將攻擊者的聯(lián)系方式告訴了受害人(bahij2@india.com)。

12月5日

（1）Shade勒索軟件利用僵尸網(wǎng)絡(luò)來傳播

Shade勒索軟件(又名Troldesh)利用Kelihos來傳播，Kelihos是一個臭名昭著的僵尸網(wǎng)絡(luò)。該勒索軟件將受害人的文件鎖定后，會添加“.no_more_ransom”后綴名。

（2）具有加密特性的Screen locker (屏幕鎖定者)

研究人員發(fā)現(xiàn)了一個新的Screen locker(屏幕鎖定)勒索軟件，會對文件實(shí)施加密。然而，它的早期版本在功能上并不正確，實(shí)際上沒有加密過程。受害人的文件將會添加“.encrypted”后綴名。贖金達(dá)到0.3比特幣。

（3）Locky勒索軟件出現(xiàn)更新版

聲名狼藉的Locky勒索軟件出現(xiàn)了一個小的更新版，它的特點(diǎn)是具有埃及神話主題，加密文件的后綴名是“.osiris”。勒索信件的名稱是“OSIRIS-[4_hexadecimal_chars].htm”。

12月6日

（1）GoldenEye勒索軟件首次出現(xiàn)

該勒索軟件似乎是Petya勒索軟件的繼承者，Petya在2016年初比較活躍。和原型有點(diǎn)相似，GoldenEye會將計算機(jī)的MBR(主引導(dǎo)記錄是位于磁盤最前邊的一段引導(dǎo)代碼。它負(fù)責(zé)磁盤操作系統(tǒng)對磁盤進(jìn)行讀寫時分區(qū)合法性的判別、分區(qū)引導(dǎo)信息的定位，它是磁盤操作系統(tǒng)在對硬盤進(jìn)行初始化時產(chǎn)生的)替換掉，并且會將MFT(主文件表,它是NTFS文件系統(tǒng)的核心)進(jìn)行加密,從而使受害人完全沒法進(jìn)入系統(tǒng)。相對于Petya，GoldenEye在禁止受害人進(jìn)入系統(tǒng)之前就已經(jīng)將重要文件加密了。

12月8日

（1）網(wǎng)絡(luò)犯罪分子想出一個憤世嫉俗的勒索計劃

“Popcorn Time”勒索軟件的作者給受害人兩個選擇，用于恢復(fù)加密文件，一種選擇是支付1比特幣的贖金，第二種選擇太卑鄙了，要求受害人感染兩個新用戶，就可以得到免費(fèi)解密密鑰。

（2）Jigsaw勒索軟件出現(xiàn)新變種

該勒索軟件會在受害人屏幕中間顯示“HACKED”單詞，并要求受害人在24小時內(nèi)支付0.25比特幣。否則，贖金會漲到0.35比特幣。目前好的一點(diǎn)是，安全專家已經(jīng)發(fā)布了該勒索軟件的免費(fèi)解密工具。

（3）SamSam勒索軟件首次出現(xiàn)

該勒索軟件會加密受害人的文件，并添加“.VforVendetta”擴(kuò)展名，勒索信件名稱為“000-PLEASE-READ-WE-HELP.html”。

（4）“教育型”勒索軟件，好心干壞事

安全專家推出了一個有爭議的教育計劃，叫做“EDA2/Hidden Tear”，并研發(fā)了模擬的勒索軟件，旨在教育人們遠(yuǎn)離勒索軟件的危害。但是，他們卻公開了源代碼，壞人們以此源代碼為核心，開發(fā)出了很多真正的勒索軟件，同時，更多的騙子們還可以從暗網(wǎng)中購買到這些勒索軟件。

12月9日

（1）CryptoWire POC遭到濫用

CryptoWire勒索軟件的POC源代碼被公開到了GitHub上，這下好了，壞人們利用它開發(fā)出了更多真正的勒索軟件，比如“Lomix”和“UltraLocker”。

（2）UltraLocker勒索軟件的傳播策略

上面提到過，UltraLocker勒索軟件是從CryptoWire演變過來的，它的傳播方法是垃圾郵件，郵件中包含了“booby-trapped .doc”附件文件。

（3）“Cyber SpLiTTer Vbs”勒索軟件出現(xiàn)2.0版本

該加密類勒索軟件基于“Hidden Tear”，“Hidden Tear”是一個土耳其安全愛好者寫的開源勒索軟件，“Cyber SpLiTTer Vbs”是它的變種，會向受害人要求0.5比特幣的贖金，如果受害人在76小時內(nèi)沒有支付贖金，勒索軟件就會刪除所有加密文件。

（4）Locked-In勒索軟件首次出現(xiàn)

這個新勒索軟件使用標(biāo)準(zhǔn)的AES-256對稱加密算法去加密受害人的文件，并留下文件名為“RESTORE_CORRUPTED_FILES.html”的勒索信件。并要求受害人15天內(nèi)支付贖金。

12月10日

（1）有點(diǎn)卡通的CHIP勒索軟件新版本

新版本的CHIP勒索軟件會給加密文件添加“.DALE”后綴名，給受害人留下名稱為“DALE_FILES.txt”的勒索信件，并更新了受害人聯(lián)系攻擊者的郵箱列表，包括以下郵箱：grions@protonmail.com，grion@techie.com，grion@protonmail.com，和grion@dr.com。

（2）Deadly_60 屏幕鎖定勒索軟件

盡管這個叫做“Deadly_60”的勒索軟件鎖定受害人屏幕的同時，并不會加密任何個人數(shù)據(jù)，但是處理時還是有點(diǎn)費(fèi)勁，因?yàn)樗鼤诒尘吧巷@示一個令人討厭的動畫。

（3）PadCrypt勒索軟件出現(xiàn)新的3.1.5版本

和之前提到的一樣，除了版本名稱以外，功能上沒有什么新變化。

（4）M4N1F3STO屏幕鎖定者首次出現(xiàn)

這個新的勒索軟件影響較小，它只會鎖定屏幕，并不加密文件。它的贖金要求是0.3比特幣。目前，安全專家已經(jīng)計算出了解鎖碼。

12月12日

（1）Samas勒索軟件非法收入被曝光

在分析了Samas勒索軟件的行為后，PaloAlto的網(wǎng)絡(luò)安全專家計算出了該犯罪團(tuán)伙的收益額。該犯罪團(tuán)伙在2016年非法收益超過450,000美元。但同時幾乎沒有對大型組織的攻擊。

（2）PayDay勒索軟件首次出現(xiàn)

PayDay勒索軟件首次出現(xiàn)，不過，它的目標(biāo)只針對安裝了葡萄牙語言包的WINDOWS用戶。加密文件后綴名為“.sexy”,勒索信件名稱為“!!!!! ATENÇÃO!!!!!.html”。事實(shí)上，這是“Hidden Tear”的另一個變種。

（3）“You Have Been Hacked!!!”勒索軟件

該勒索軟件給受害人顯示一個簡短的信息：“You Have Been Hacked!!!”。它會給受損的文件添加“.Locked”擴(kuò)展名,同時，該勒索軟件還會盜取受害人的各種在線賬號和密碼。它的贖金要求是0.25比特幣。

（4）Kraken勒索軟件

受害人的文件會被添加“.kraken”后綴名，并用base64加密真實(shí)的文件名。勒索信件名稱為“_HELP_YOUR_FILES.html”。

12月13日

（1）另一個屏幕鎖定勒索軟件首次出現(xiàn)

這個討厭的程序會產(chǎn)生一個嚇人的鎖屏信息：“你的Windows已經(jīng)被禁用了”，并聲稱受害人違反了使用條款。幸運(yùn)的是，安全專家已經(jīng)發(fā)現(xiàn)了解鎖碼，解鎖碼是“nvidiagpuareshit”。

（2）CryptoMix勒索軟件出現(xiàn)更新版

這個新版本的CryptoMix勒索軟件會給加密文件添加一個長的、復(fù)雜的后綴名，格式如下：“.email[supl0@post.com]id[unique_victim_ID].lesli”。勒索信件的名稱是“INSTRUCTION RESTORE FILE.txt”。

（3）Locked-In勒索軟件被安全專家破解

前面已經(jīng)提到過這個勒索軟件，13日，安全專家michael gillespie開發(fā)了一款免費(fèi)的解密工具。這個勒索軟件使用“.novalid ”后綴名。

12月14日

（1）Cerber采用新的垃圾郵件傳播策略

Cerber勒索軟件有了新變化，它采用了一個新的社會工程學(xué)策略。它通過郵件給受害人發(fā)送一個虛假的信用卡報告，這是一個誤導(dǎo)性的消息，會告訴收件人，他的信用卡正在發(fā)生一筆新的交易，建議打開一個WORD文檔去取消交易。其實(shí)這個WORD文檔是一個惡意文件，包含了惡意宏病毒。

（2）Xorist勒索軟件出現(xiàn)更新版

最新版的Xorist勒索軟件將文件鎖定后，會添加“.antihacker2017”后綴名，用于受害人聯(lián)系攻擊者的郵箱是“antihacker2017@8ox.ru”。幸運(yùn)的是，目前安全專家已經(jīng)開發(fā)出了相關(guān)免費(fèi)解密工具。

（3）Globe勒索軟件又出現(xiàn)新變種

用于受害人聯(lián)系攻擊者的郵箱發(fā)生了變化，變成了“unlockvt@india.com”，贖金要求是1.5比特幣。

（4）叫做“美國中央情報局特工767”的鎖屏勒索軟件

實(shí)際上，該勒索軟件是M4N1F3STO勒索軟件的變種，會呈現(xiàn)出一個與眾不同的鎖定屏幕。最初的贖金要求是價值100美元的比特幣，但是在5天之內(nèi)，會慢慢漲到250美元。

（5）FenixLocker出現(xiàn)更新版

該勒索軟件的勒索信件更新為“Help to decrypt.txt”。同時，作為恢復(fù)的步驟，受害人被要求向thedon78@mail.com郵箱中發(fā)送一封郵箱。

（6）Koolova勒索軟件正在開發(fā)之中

安全專家獲取到一個正在開發(fā)中的勒索軟件，名叫“Koolova”。勒索軟件中的警告信息是用意大利語寫的。必須在48小時內(nèi)支付贖金，否則，贖金將會升高。

12月15日

（1）“沒有更多贖金”項(xiàng)目的成就

“沒有更多贖金”項(xiàng)目是一個獨(dú)特的倡議，旨在聚集勒索軟件數(shù)據(jù)、提高分析水平，并給受害人提供免費(fèi)的解密工具。截至十二月中旬，該項(xiàng)目已經(jīng)聚集了34個合作伙伴，聯(lián)合起來對抗勒索瘟疫。

（2）BandarChor勒索軟件采用特殊傳播方法

這個勒索軟件的傳播方法比較特殊，通過在成人在線網(wǎng)站、和一個無人機(jī)電商平臺上添加惡意廣告的方法傳播。

（3）Chris，又一個勒索犯罪崇拜者

安全專家截獲了一個基于“Hidden Tear”源代碼開發(fā)的新的勒索軟件，在代碼中多處包含了“Chris”名稱。因此這可能是一個新的勒索軟件，正在將手伸向在線勒索。

（4）Cryptorium，一個新的勒索軟件被釋放出來

安全專家正在分析的Cryptorium樣本有點(diǎn)古怪，因?yàn)樗鼉H僅是對文件進(jìn)行了重命名，并沒有加密文件。Cryptorium會將“.ENC”后綴名添加到受影響的數(shù)據(jù)后面。

12月16日

（1）表面上像Globe 的勒索軟件

這個未命名的樣本可能是Globe 的一個復(fù)制品。受影響的文件會被添加“.crypt”后綴名，并留下名為“HOW_OPEN_FILES.hta”的勒索信件，及聯(lián)系郵箱alex_pup@list.ru。

（2）Cerber勒索軟件的新變化

Cerber的運(yùn)維人員為了統(tǒng)計目的，修改了IP的配置。新的IP范圍是：37.15.20.0/27, 77.1.12.0/27, 和91.239.24.0/23.

（3）Globe勒索軟件又出了新變種

這個新版本的Globe唯一明顯的改變是文件的擴(kuò)展名。后綴改成了“.rescuers@india.com.3392cYAn548QZeUf.lock”。

12月18日

（1）Dharma勒索軟件出現(xiàn)更新版

這是Dharma 的一個新版本，告訴受害人發(fā)送一封郵件到amagnus@india.com郵箱，用于獲取詳細(xì)的數(shù)據(jù)恢復(fù)步驟。

（2）CryptoBlock勒索軟件，走出了獨(dú)具特色的路

研究者發(fā)現(xiàn)了一個正在開發(fā)中的勒索軟件，名叫“CryptoBlock”。很獨(dú)特，它使用了非對稱的RSA2048加密算法，贖金要求是0.3比特幣。

12月19日

（1）進(jìn)化的Android銀行惡意軟件

事實(shí)證明，目前的一些Android銀行木馬已經(jīng)具備了鎖定設(shè)備的功能，有一些樣本甚至可以對用戶的數(shù)據(jù)進(jìn)行加密。

（2）RansomFree，一種反勒索的新方法

這個反勒索軟件叫“RansomFree”，由以色列Cybereason安全公司開發(fā)，能阻止勒索軟件攻擊不同版本的windows系統(tǒng)。

（3）Apocalypse勒索軟件出現(xiàn)更新版

新版的Apocalypse會給受害人留下一個勒索信件，和一個用于聯(lián)系攻擊者的郵箱。

（4）M4N1F3STO屏幕鎖定勒索軟件增加了加密功能

前面提到過，該勒索軟件只會鎖定屏幕，初級版沒有加密功能，但是，現(xiàn)在已經(jīng)將加密作為一個基本功能了。同時，它會將加密文件的過程，偽裝成一個老版本的教育型應(yīng)用程序的更新提示。

（5）MNS CryptoLocker首次出現(xiàn)

這是一個新勒索軟件，勒索信件名稱為“RESTORE_YOUR_FILES.txt”，聯(lián)系攻擊者的郵箱是“alex.vas@dr.com”。

12月20日

（1）卡巴斯基更新了CryptXXX的解密工具

卡巴斯基更新了他們的RannohDecryptor工具，該工具可以恢復(fù)由CryptXXX勒索軟件加密的數(shù)據(jù)。特別是可以解密帶有 “.cryp1”、“.crypt”和“.crypz”擴(kuò)展名的文件。

（2）Samas勒索軟件出現(xiàn)新版本

也被稱為SamSam，這個勒索軟件將受害人的文件加密后會添加“.theworldisyours”后綴名，勒索信件的名稱改成了“CHECK-IT-HELP-FILES.html”。這和之前的版本存在區(qū)別。

（3）網(wǎng)絡(luò)騙子越來越喜歡Go語言

研究專家發(fā)現(xiàn)了一個新的勒索軟件，使用了GO語言。在加密的文件后面添加了“.braincrypt”后綴名，并留下了一個名為“!!! HOW TO DECRYPT FILES !!!.txt”的勒索信件。聯(lián)系攻擊者的郵箱是“headlessbuild@india.com”。

（4）EnkripsiPC勒索軟件只針對印度尼西亞人

EnkripsiPC，也被稱為IDRANSOMv3，該勒索軟件的解密密鑰和被感染的計算機(jī)名稱有關(guān)系。目前安全專家已經(jīng)找到了一個解密文件的辦法。

12月21日

（1）Manifestus勒索軟件首次出現(xiàn)

該勒索軟件似乎是M4N1F3STO的變種。會鎖定屏幕，并加密文件。并要求0.2比特幣的贖金。

（2）ProposalCrypt勒索軟件首次出現(xiàn)

該勒索軟件會給加密的文件添加“.crypted”后綴名。并要求1比特幣的贖金。

（3）Padlock屏幕鎖定勒索軟件不是很危險

Padlock勒索軟件會呈現(xiàn)一個鎖定的屏幕信息：“你的文件已經(jīng)被刪除，你的電腦已經(jīng)被鎖定。”，但是這僅僅是嚇唬一下，實(shí)際上，它并沒有刪除任何東西，只是把屏幕鎖定了，解鎖碼是“ajVr/G\RJz0R”。

（4）Free-Freedom勒索軟件

根據(jù)警告窗口的顯示信息，這個樣本可能是一個13歲的孩子編寫的。幸運(yùn)的是，F(xiàn)ree-Freedom實(shí)際上沒有做任何加密動作，它只是改變了文件的權(quán)限。安全分析師已經(jīng)還原出了解鎖碼，解鎖碼是“adam”，這可能是這個孩子的名字。

12月22日

（1）Cerber勒索軟件采用了一個新策略

和所有早期的變種不同，最新版的Cerber不再刪除加密文件的復(fù)本了， 此外，它還有針對性的跳過了一些文件夾，并將鎖定Office文檔放在了首位。

（2）Winnix Cryptor詳細(xì)信息被披露

該病毒會給文件添加“.wnx”后綴名，同時創(chuàng)建一個名為“YOUR FILES ARE ENCRYPTED!.txt”的勒索信件。攻擊者會遠(yuǎn)程訪問了服務(wù)器，并在目標(biāo)環(huán)境中執(zhí)行一個批處理命令。這個勒索軟件會利用GPG密碼算法對數(shù)據(jù)進(jìn)行加密。

（3）Cerber開始使用新的IP池

為了繞過黑名單限制，獲得準(zhǔn)確的UDP統(tǒng)計數(shù)據(jù)，Cerber現(xiàn)在又換了一批新IP：91.239.24.0/23，114.23.16.0/27，和115.22.15.0/27。

（4）可惡的Guster勒索軟件

新的Guster樣本在加密文件后會添加“.locked”后綴名。并產(chǎn)生一個非常令人討厭的警告屏幕，具有動畫和聲音效果。

（5）Free-Freedom勒索軟件出現(xiàn)更新版

和12月21日出現(xiàn)的最初版本有所不同，新版的Free-Freedom將鎖定密碼改成了“Roga.”，并使用“.madebyadam”作為加密文件的后綴名。根據(jù)專家的分析，解密密鑰是“adamdude9”。

12月23日

（1）Koolova勒索軟件變的很有教育意義

這個勒索軟件在14日首次被截獲，現(xiàn)在變的很有趣，受害人感染了最新版的Koolova勒索軟件后，只要看兩篇Koolova提供的避免勒索的教育文章，就可以得到免費(fèi)的解密密鑰。

（2）發(fā)現(xiàn)了CryptoLocker勒索軟件的模仿者

這個犯罪程序偽裝成CryptoLocker勒索軟件，但實(shí)際上，該勒索軟件和臭名昭著的CryptoLocker沒有什么共同點(diǎn)，只是把加密后的文件后綴寫成了“.cryptolocker ”。

（3）Cerber的開發(fā)者在盼望圣誕節(jié)的到來

根據(jù)MalwareHunterTeam安全小組的研究，Cerber勒索軟件的操作人員使用了一些新的域名，域名URL中包含了“Christmas”單詞。

（4）持久的VenusLocker勒索軟件

盡管被叫做VenusLocker 的網(wǎng)絡(luò)寄生物似乎已經(jīng)永遠(yuǎn)滅絕了，但是在一次新的活動中，它再次出現(xiàn)了，該勒索軟件要求受害人在72小時內(nèi)支付1比特幣的贖金。

（5）Alphabet勒索軟件的細(xì)節(jié)

Alphabet勒索軟件正在開發(fā)之中，在功能上，既能鎖定屏幕，又能對數(shù)據(jù)進(jìn)行加密，至少，它的鎖屏警告信息上是這樣說的。但是，當(dāng)前版本中并沒有加密文件、和提供解鎖碼。

12月24日

（1）GlobeImposter的解密工具

GlobeImposter勒索軟件是Globe的一個復(fù)制品，借用了Globe的勒索信件、文件后綴名、包括基本的外觀和感覺。幸運(yùn)的是，Emsisoft已經(jīng)開發(fā)出了免費(fèi)的解密工具。

（2）DeriaLock勒索軟件登上了報紙的頭條

新發(fā)現(xiàn)的DeriaLock勒索軟件具有一定的獨(dú)特性，它的作者只需要幾個按鍵，就可以解鎖所有受感染的計算機(jī)。這是經(jīng)過分析它的代碼得到的結(jié)果。鎖定受害者的屏幕后，會要求30美元的贖金，并要求受害者通過聯(lián)系的攻擊者的Skype帳號來獲得支付細(xì)節(jié)。

（3）Cerber又更新了

Cerber為了繞過黑名單限制，獲得準(zhǔn)確的UDP統(tǒng)計數(shù)據(jù)，又更新IP池了。同時，勒索信件也改變了，現(xiàn)在的名稱是“_[random]_README.hta and _[random]_README.jpg”。

12月25日

（1）BadEncript的作者應(yīng)該努力寫好他的拼寫

這個新的樣本名稱是“BadEncript”，被鎖定的文件會添加“.bript”后綴名，并在桌面上給受害人留下名為“More.html”的勒索手冊。不過，勒索軟件名稱的拼寫質(zhì)量真是不敢恭維。

（2）Jigsaw使用了新的擴(kuò)展

Jigsaw在圣誕節(jié)的這一天發(fā)布了更新，該版本在保持原文件名稱完整性的同時，會添加“.hush”后綴名。

（3）探測到最新版的NMoreira勒索軟件

該勒索軟件會給鎖定的文件添加“.maktub”后綴名。目前，大多數(shù)經(jīng)過這個勒索軟件加密的文件，都可以用Emsisoft發(fā)布的免費(fèi)解密工具來解密。不過，解密過程花的時間可能較長。

12月27日

（1）ODCODC勒索軟件復(fù)出了

研究人員發(fā)現(xiàn)了ODCODC的新樣本，它的勒索信件名稱是“HOW_TO_RESTORE_FILES.txt”，加密文件以后會用下面的策略來命名：“C-email-[attacker’s_email_address]-[original_filename].odcodc”。

12月28日

（1）勒索軟件感染了智能電視

一個LG智能電視，被發(fā)現(xiàn)感染了屏幕鎖定勒索軟件。它給受害人顯示了一個假的FBI的警告，并要求支付500美元的解鎖費(fèi)用。

一個用郵箱地址作為文件后綴名的新樣本

又一個加密勒索軟件浮出水面，被鎖定的文件會添加“-opentoyou@india.com”后綴，并留下名為“!!!.txt”的勒索信件。

12月29日

（1）killdisk病毒開始表現(xiàn)出勒索行為

KillDisk 惡意軟件的新版本已經(jīng)有了勒索屬性，而不是簡單的刪除受害人的文件，現(xiàn)在，它會加密文件，并要求支付222比特幣的贖金。

（2）勒索軟件偽裝成流行的安全套裝

安全分析人員偶然發(fā)現(xiàn)了GoldenEye磁盤加密勒索軟件，它的有效載荷偽裝成了ESET antivirus的安裝程序。另一個名稱為“Stampado”的樣本，偽裝成AVG的產(chǎn)品，在電腦中被發(fā)現(xiàn)了。

（3）Dharma勒索軟件使用HTA格式的勒索信件

作為最近更新的一部分，Dharma的作者采用了新的與被害人互動的方法，它的勒索信件使用了HTA格式，現(xiàn)在的名稱是“Info.hta”。

12月30日

（1）Samas勒索軟件出現(xiàn)更新版

最新版的Samas勒索軟件(也被稱為SamSam)，文件加密后的后綴名變成了“.whereisyourfiles ”，勒索信件的名稱改為了“WHERE-YOUR-FILES.html”。

（2）開放源碼的勒索問題剖析

在MalwareTech上發(fā)表了一篇文章，解釋了勒索軟件代碼開源的原因，并強(qiáng)調(diào)網(wǎng)絡(luò)犯罪份子與安全研究人員相比，網(wǎng)絡(luò)犯罪份子從中受益更多。

總結(jié)

主流的觀點(diǎn)仍然是相同的：用戶和組織面對勒索攻擊時，最好有一個B計劃，而不是僅僅在被攻擊后去處理它。應(yīng)該圍繞在線安全實(shí)踐和可靠的數(shù)據(jù)備份來制定相關(guān)對策。我們相信，2017年，在安全行業(yè)的共同努力下，情況肯定會有所好轉(zhuǎn)。