自2005年以來，勒索軟件已經(jīng)成為最普遍的網(wǎng)絡威脅。根據(jù)資料顯示，在過去11年間，勒索軟件感染已經(jīng)涉及超過7694到6013起數(shù)據(jù)泄露事故。

[[170003]]

多年來，主要有兩種勒索軟件：基于加密和基于locker的勒索軟件。加密勒索軟件通常會加密文件和文件夾、硬盤驅(qū)動器等。而Locker勒索軟件則會鎖定用戶設備，通常是基于Android的勒索軟件。

新時代勒索軟件結合了高級分發(fā)技術(例如預先建立基礎設施用于快速廣泛地分發(fā)勒索軟件)以及高級開發(fā)技術(例如使用crypter以確保逆向工程極其困難)。此外，離線加密方法正越來越流行，其中勒索軟件利用合法系統(tǒng)功能(例如微軟的CryptoAPI)以消除命令控制通信的需要。

Solutionary公司安全工程及研究小組(SERT)的Terrance DeJesus探討了這些年以來勒索軟件的發(fā)展史以及亮點。

AIDS Trojan

第一個勒索軟件病毒AIDS Trojan由哈佛大學畢業(yè)的Joseph L.Popp在1989年創(chuàng)建。2萬張受感染的軟盤被分發(fā)給國際衛(wèi)生組織國際艾滋病大會的與會者。該木馬的主要武器是對稱加密，解密工具很快可恢復文件名稱，但這開啟了近30年的勒索軟件攻擊。

Archievus

在第一款勒索惡意軟件出現(xiàn)的近二十年(17年)后，另一種勒索軟件出現(xiàn)。不同的是，這個勒索軟件更加難以移除，并在勒索軟件歷史上首次使用RSA加密。這個Archiveus Trojan會對系統(tǒng)中“我的文檔”目錄中所有內(nèi)容進行加密，并要求用戶從特定網(wǎng)站來購買以獲取密碼解密文件。Archiveus也是第一個使用非對稱加密的勒索軟件辯題。

2011年無名木馬

在五年后，主流匿名支付服務讓攻擊者更容易使用勒索軟件來從受害者收錢，而不會暴露自己身份。在同一年，與勒索軟件木馬有關的產(chǎn)品開始流行。一款木馬勒索軟件模擬用戶的Windows產(chǎn)品激活通知，告知用戶其系統(tǒng)的安裝因為欺詐需要重新激活，并定向用戶到假的在線激活選項，要求用戶撥打國際長途。該惡意軟件聲稱這個呼叫為免費，但實際呼叫被路由到假冒的接線員，并被擱置通話，導致用戶需要承擔高額國際長途電話費。

Reveton

名為Reveton的主要勒索木馬軟件開始在整個歐洲蔓延。這個軟件是基于Citadel Trojan，該勒索軟件會聲稱計算機受到攻擊，并被用于非法活動，用戶需要使用預付現(xiàn)金支付服務來支付罰款以解鎖系統(tǒng)。在某些情況下，計算機屏幕會顯示計算機攝像頭記錄的畫面，讓用戶感覺非法行為已被記錄。此事件發(fā)生后不久，涌現(xiàn)很多基于警察的勒索軟件，例如Urausy和Tohfy。

研究人員在美國發(fā)現(xiàn)Reveton的新變種，聲稱需要使用MoneyPak卡向FBI支付200元罰款。

Cryptolocker

2013年9月是勒索軟件歷史的關鍵時刻，因為CryptoLocker誕生了。CryptoLocker是第一款通過受感染網(wǎng)站下載或者發(fā)送給商務人士的電子郵件附件形式的加密惡意軟件。CryptoLocker感染快速蔓延，因為威脅著利用了現(xiàn)有的GameOver Zeus僵尸網(wǎng)絡基礎設施。在2014年的Operation Tovar終止了GameOver Zeus Trojan和CryptoLocker活動。

CryptoLocker利用AES-256lai加密特定擴展名的文件，然后使用命令控制服務器生成的2048位RSA密鑰來加密AES-256位密鑰。C2服務器位于Tor網(wǎng)絡，這讓解密很困難，因為攻擊者將RSA公鑰放在其C2服務器。攻擊者威脅稱如果在三天內(nèi)沒有收到錢他們將刪除私鑰。

Cryptodefense

在2014年，CryptoDefense開始出現(xiàn)，這個勒索軟件利用Tor和Bitcoin來保持匿名，并使用2048位RSA加密。CryptoDefense使用Windows內(nèi)置加密CryptoAPI，私鑰以純文本格式保存在受感染計算機—這個漏洞當時沒有立即發(fā)現(xiàn)。

CryptoDefense的創(chuàng)造者很快推出改名版CrytoWall。與CryptoDefense不同，CryptoWall不會存儲加密密鑰在用戶可獲取的地方。CryptoWall很快廣泛傳播，因為它利用了Cutwail電子郵件活動，該活動主要針對美國地區(qū)。CryptoWall也通過漏洞利用工具包來傳播，并被發(fā)現(xiàn)是Upatre活動中下載的最后有效載荷。

CryptoWall有過多次有效的活動，都是由相同的攻擊者執(zhí)行。CryptoWall展現(xiàn)出惡意軟件開發(fā)的進步，它可通過添加額外的注冊表項以及復制自身到啟動文件夾來保持持續(xù)能力。在2015年，網(wǎng)絡威脅聯(lián)盟公布覆蓋全球的CryptoWall活動，金額達到3.25億美元。

Sypeng和Koler

Sypeng可被認為是第一款鎖定用戶屏幕并顯示FBI處罰警告消息的基于Android的勒索軟件。Sypeng通過短消息中假的Adobe Flash更新來傳播，需要支付MonkeyPak 200美元。

Koler勒索軟件與Sypeng非常類似，它也是用假冒警察處罰，并要求MoneyPak支付贖金。Koler被認為是第一個Lockerworm，因為它包含自我繁殖技術，它可發(fā)送自定義消息到每個人的聯(lián)系人列表，指引他們到特定網(wǎng)址再次下載勒索軟件，然后鎖定其系統(tǒng)。

CTB-Locker和SimplLocker

與過去其他變體不同，CTB-Locker直接與Tor中C2服務器通信，而不是具有多層基礎設施。它也是第一個開始刪除windows中Shadow Volume副本的勒索軟件變體。在2016年，CTB-Locker更新為針對目標網(wǎng)站。

SimplLocker也在2014年被發(fā)現(xiàn)，它被認為是第一款針對Android移動設備的基于Crypto的勒索軟件，它會簡單地加密文件和文件夾，而不是鎖定用戶手機。

LockerPin

在去年9月，一款侵略性Android勒索軟件開始在美國各地蔓延。ESET安全研究人員發(fā)現(xiàn)第一個可重置手機PIN以永久鎖定設備的真實惡意軟件，被稱為LockerPin，該惡意軟件會修改受感染設備的鎖屏Pin碼，讓受害者無法進入屏幕。LockerPin隨后需要500美元來解鎖設備。

勒索軟件即服務(RaaS)在2015年開始出現(xiàn)，這些服務通常包含用戶友好型勒索軟件工具包，這可在黑市購買，售價通常為1000到3000美元，購買者還需要與賣方分享10%到20%的利潤。Tox通常被認為是第一款以及最廣泛分布的RaaS工具包/勒索軟件。

TeslaCrypt

TeslaCrypt也出現(xiàn)在2015年，這可能將是持續(xù)威脅，因為開發(fā)人員制作出四個版本。它首先通過Angler漏洞利用工具包來分發(fā)，隨后通過其他來分發(fā)。TeslaCrypt利用AES-256來加密文件，然后使用RSA-4096來加密AES私鑰。Tor內(nèi)的C2域被用于支付和分發(fā)。在其基礎設施內(nèi)包含多層，包括代理服務器。TeslaCrypt本身非常先進，其包含的功能可允許在受害者機器保持靈活性和持久性。在2016年，TeslaCrypt編寫者將其主解密沒有交給ESET。

LowLevel04和Chimera

LowLevel04勒索軟件在2015年被發(fā)現(xiàn)，主要瞄準遠程桌面和終端服務。與其他勒索軟件活動不同，攻擊者通過遠程手動進行，他們遠程進入服務器、繪制內(nèi)部系統(tǒng)。在這種情況下，攻擊者被發(fā)現(xiàn)會刪除應用、安全和系統(tǒng)日志。

Chimera勒索軟件在2015年年底被發(fā)現(xiàn)，它被認為是第一款doxing勒索軟件，它會威脅稱在網(wǎng)上公開發(fā)布敏感或私人文件。Chimera使用BitMessage的P2P協(xié)議用于進行C2通信，這些C2只是Bitmessage節(jié)點。

Ransom32和7ev3n

Ransom32被認為是第一個使用JavaScript編寫的勒索軟件。該惡意軟件本身比其他軟件要大，達到22MB，它使用NW.js，這允許它處理和執(zhí)行與其他C++或Delphi編寫的勒索軟件相類似的操作。Ransom32被認為具有革命性，因為它理論上可在多個平臺運行，例如Linux、Mac OSX以及windows。

7ev3n勒索軟件在過去幾個月中開始引起大家關注。在13 bitcoin，它可能是索要贖金最高的勒索軟件。7ev3n勒索軟件不僅執(zhí)行典型的加密再勒索，它還會破壞windows系統(tǒng)。該惡意軟件開發(fā)人員似乎很大程度側重于確保7ev3n可破壞任何恢復加密文件的方法。7ev3n-HONE$T隨后被發(fā)布，降低了贖金要求并增加了一些有效的功能。

Locky

在2016年，EDA2和Hidden Tear的惡意軟件編寫者在GitHub公開發(fā)布了源代碼，并聲稱這樣做是出于研究目的，而那些很快復制改代碼并做出自定義更改的攻擊者導致大量隨機變體出現(xiàn)。

臭名昭著的Locky勒索軟件也在2016年被發(fā)現(xiàn)，Locky快速通過網(wǎng)絡釣魚活動以及利用Dridex基礎設施傳播。Locky也因為感染美國多個地區(qū)的醫(yī)院而登上新聞頭條。攻擊者很快發(fā)現(xiàn)受感染醫(yī)療機構快速支付贖金，從而導致包含勒索軟件下載的網(wǎng)絡釣魚電子郵件在醫(yī)療行業(yè)廣泛傳播。

SamSam

SamSam或者SAMAS勒索軟件被發(fā)現(xiàn)專門分發(fā)給易受攻擊的JBoss服務器。起初，攻擊者會通過JexBoss工具對JBoss服務器執(zhí)行偵查，隨后利用漏洞并安裝SamSam。與其他勒索軟件不同，SamSam包含一個通道，讓攻擊者可實時通過.onion網(wǎng)站與受害者通信。

KeRanger

第一個正式基于Mac OSX的勒索軟件KeRanger在2016年被發(fā)現(xiàn)，它通過針對OSX的Transmission BitTorrent客戶端來交付。該勒索軟件使用MAC開發(fā)證書簽名，讓其可繞過蘋果公司的GateKeeper安全軟件。

Petya

Petya在2016年開始流行，它通過Drop-Box來交付，并改寫受感染機器的主啟動記錄(MBR)，然后加密物理驅(qū)動器本身。它在加密驅(qū)動器時還是用假冒的CHKDISK提示。如果在7天內(nèi)沒有支付431美元贖金，支付費用將會翻一倍。Petya更新包含第二個有效載荷，這是Mischa勒索軟件變體，而它沒有加密硬盤驅(qū)動器。

Maktub

Maktub也是在2016年被發(fā)現(xiàn)，它表明勒索軟件開發(fā)人員在試圖創(chuàng)建非常先進的變體。Maktub是第一個使用Crypter的勒索軟件，這是用來隱藏或加密惡意軟件源代碼的軟件。Maktub利用windows CryptoAPI執(zhí)行離線加密，而不是使用C2來檢索和存儲加密密鑰。

Jigsaw

Jigsaw勒索軟件在勒索信息中包含SAW電影系列中流行的Jigsaw人物，它還威脅稱如果沒有支付150美元的贖金將會每隔60分鐘刪除一個文件。此外，如果受害者試圖阻止進程或重啟電腦，將刪除1000個文件。

CryptXXX

在2016年5月底，CryptXXX是被廣泛分發(fā)的最新勒索軟件辯題。研究人員認為它與Reveton勒索軟件變體有關，因為在感染階段有著類似的足跡。CryptXXX通過多種漏洞利用工具包傳播，主要是Angler，并通常在bedep感染后被觀察到。它的功能包含但不限于：反沙箱檢測、鼠標活動監(jiān)控能力、定制C2通信協(xié)議以及通過TOR付款。

ZCryptor

微軟發(fā)表文章詳細介紹了一種新型勒索軟件變體ZCryptoer。除了調(diào)整的功能(例如加密文件、添加注冊表項等)，Zcryptoer還被認為是第一個Crypto蠕蟲病毒。它通過垃圾郵件分發(fā)，它有自我繁殖技術來感染外部設備以及其他系統(tǒng)，同時加密每臺機器和共享驅(qū)動器。

勒索軟件的未來?

專家預測我們在2016年還將繼續(xù)觀測到多個新變種，在這些變種中，可能只有少數(shù)會帶來很大影響—這取決于惡意軟件編寫者以及涉及的網(wǎng)絡團伙?，F(xiàn)在勒索軟件編寫者還在繼續(xù)其開發(fā)工作，更新預先存在的勒索軟件或者制造新的勒索軟件，我們預測，增強靈活性和持久性將會成為勒索軟件標準。

如果勒索軟件具有這種能力，這將會是全球性的噩夢。根據(jù)最近使用crypter的勒索軟件表明，勒索軟件編寫者知道很多研究人員試圖逆向工程其軟件，這種逆向工程和分析可能導致勒索軟件開發(fā)人員改進其勒索軟件變體。