勒索軟件的歷史悠久，甚至可以追溯到1980年代后期。如今，勒索軟件正為其背后的犯罪集團(tuán)創(chuàng)造數(shù)十億美元的收入。

根據(jù)Sophos報告數(shù)據(jù)，2020年勒索軟件攻擊的平均受害成本驚人。對于支付了贖金的受害組織而言損失接近150萬美元，未支付贖金的組織損失約為73.2萬美元。。

在經(jīng)濟(jì)利益的驅(qū)使之下，勒索軟件團(tuán)伙和惡意軟件激增。能夠開發(fā)和交付代碼的勒索軟件運營者數(shù)量高達(dá)數(shù)百個，而分發(fā)者，即從勒索軟件作者手上購買RaaS服務(wù)并分發(fā)獲益的惡意分子更是數(shù)不勝數(shù)。

本文總結(jié)了主要的勒索軟件及運營團(tuán)伙，盡管其中一些組織活躍度下降，但并不保證它們會大規(guī)模卷土重來。

[[383934]]

Cerber

Cerber是一個RaaS平臺，于2016年首次出現(xiàn)，并且在當(dāng)年7月就為攻擊者凈賺200,000美元。

工作原理：Cerber利用Microsoft漏洞感染網(wǎng)絡(luò)。其功能與其他勒索軟件類似，主要使用AES-256算法對文件進(jìn)行加密，攻擊覆蓋多種文件類型，包括文檔、圖片、音頻文件、視頻、檔案和備份。即使未映射到計算機(jī)中的驅(qū)動器號，也可以掃描和加密可用的網(wǎng)絡(luò)共享。攻擊成功后，Cerber會將三個文件放到受害者的桌面上，其中包含贖金要求以及付款說明。

目標(biāo)受害者：All

歸因：Cerber的創(chuàng)作者在一個私人俄語論壇上出售服務(wù)。

Conti

Conti RaaS平臺于2020年5月首次出現(xiàn)，被認(rèn)為是Ryuk勒索軟件的后繼產(chǎn)品。截至2021年1月，Conti已感染了150多個組織，并為其網(wǎng)絡(luò)犯罪開發(fā)商和分支機(jī)構(gòu)賺取了數(shù)百萬美元。目前至少發(fā)現(xiàn)了三個新版本。

工作原理：Conti使用了雙重威脅策略，即保留解密密鑰并出售或泄露受害者的敏感數(shù)據(jù)。實際上，Conti團(tuán)伙還經(jīng)營著一個名為Conti News的網(wǎng)站，該網(wǎng)站列出了受害名單并公開泄露竊取數(shù)據(jù)。​一旦惡意軟件感染了受害系統(tǒng)，它會嘗試橫向移動以訪問更敏感的內(nèi)容。此外，Conti通過使用多線程來快速加密文件。

目標(biāo)受害者：2021年1月的最新一輪感染似乎針對政府組織，但作為RaaS行動，對任何組織/個人都構(gòu)成威脅。

歸因： Conti是獨立團(tuán)伙運作，其成員身份不明。

CryptoLocker

CryptoLocker于2013年首次被發(fā)現(xiàn)，開啟了現(xiàn)代勒索軟件時代，并在其高峰期感染了多達(dá)500,000臺Windows計算機(jī)，也被稱為TorrentLocker。2014年7月，美國司法部宣布已取締 CryptoLocker。

工作原理：CryptoLocker是一種木馬程序，在受感染的計算機(jī)、任何內(nèi)部或網(wǎng)絡(luò)連接的存儲設(shè)備中搜索要加密的文件。通常是通過網(wǎng)絡(luò)釣魚電子郵件進(jìn)行分發(fā)，郵件帶有包含惡意鏈接的文件附件。一旦打開文件，就會激活下載程序，從而感染計算機(jī)。

目標(biāo)受害者：似乎沒有針對任何特定實體。

歸因： CryptoLocker是由犯罪團(tuán)伙成員創(chuàng)建的，該犯罪團(tuán)伙還開發(fā)了銀行木馬Gameover Zeus。

CryptoWall

CryptoWall又名CryptoBit或CryptoDefense，于2014年首次出現(xiàn)，并在CryptoLocker關(guān)閉后開始流行。據(jù)悉，該惡意軟件經(jīng)歷了幾次改動。

工作原理：通過垃圾郵件或漏洞利用工具包進(jìn)行分發(fā)。CryptoWall的開發(fā)人員似乎避免使用復(fù)雜的方法，更傾向于簡單但有效的經(jīng)典勒索軟件方法。在運營的前六個月，它感染了625000臺電腦。

目標(biāo)受害者：該勒索軟件已經(jīng)損害全球數(shù)以萬計的組織，但避開了俄語環(huán)境的國家。

歸因： CryptoWall開發(fā)人員很可能來自講俄語的國家。此外，CryptoWall 3.0能夠檢測它是否在白俄羅斯、烏克蘭、俄羅斯、哈薩克斯坦、亞美尼亞或塞爾維亞的計算機(jī)上運行，是的話會自行卸載。

CTB-Locker

CTB-Locker于2014年被首次報道，以高感染率而聞名。2016年，以web服務(wù)器為目標(biāo)的新版本的CTB-Locker發(fā)布。

工作原理：勒索軟件會員必須向CTB-Locker開發(fā)人員支付月費，才能訪問托管的勒索軟件代碼。該勒索軟件使用橢圓曲線密碼來加密數(shù)據(jù)。它還以多語言能力而聞名，這使得潛在受害者遍布全球。

目標(biāo)受害者：鑒于其RaaS模式，CTB Locker對任何組織都是一個威脅，尤其是來自西歐、北美和澳大利亞等國家，并且曾支付過贖金的組織。

DoppelPaymer

DoppelPaymer于2019年6月首次出現(xiàn)，至今仍然活躍。最值得注意的是，2020年9月，DoppelPaymer勒索軟件攻擊了一家德國醫(yī)院，導(dǎo)致該醫(yī)院被迫將患者送往另一家醫(yī)院，引發(fā)患者死亡。

工作原理：DoppelPaymer團(tuán)伙使用不同尋常的戰(zhàn)術(shù)，即通過偽造的美國電話號碼打給受害者，要求支付贖金，一般贖金為50比特幣左右(最初為60萬美元)。他們聲稱自己來自朝鮮，并威脅會泄露或出售被盜數(shù)據(jù)。在某些情況下，他們還會威脅受害公司的員工。

據(jù)悉，DoppelPaymer似乎是基于BitPaymer勒索軟件的變種，不過兩者存在一些關(guān)鍵區(qū)別，例如DoppelPaymer會使用線程文件加密來提高加密率，并且使用一個名為Process Hacker的工具來終止安全措施、電子郵件服務(wù)器、備份和數(shù)據(jù)庫進(jìn)程等，以此削弱受害者的防御能力并避免加密過程被打斷。

目標(biāo)受害者：醫(yī)療保健、緊急服務(wù)和教育等關(guān)鍵行業(yè)。

歸因：疑似由Dridex特洛伊木馬背后的一個分支TA505負(fù)責(zé)​。

Egregor

Egregor出現(xiàn)在2020年9月。直到2021年2月9日，美國、烏克蘭和法國當(dāng)局在聯(lián)合行動中逮捕了Egregor的集團(tuán)成員和附屬機(jī)構(gòu)成員，使其網(wǎng)站下線。

工作原理： Egregor遵循“雙重勒索”趨勢，既加密數(shù)據(jù)又威脅如果不支付贖金就泄露敏感信息。它的代碼庫相對復(fù)雜，并且能夠通過使用混淆和反分析技術(shù)來避免檢測。

目標(biāo)受害者： 截至11月下旬，Egregor破壞了全球19個行業(yè)的至少71個組織。

歸因：Egregor的崛起與Maze勒索軟件團(tuán)伙的關(guān)閉相吻合，因此判斷Maze的分支機(jī)構(gòu)似乎轉(zhuǎn)移到了Egregor。此外，Egregor也是Sekhmet勒索軟件系列的變體，與Qakbot惡意軟件相關(guān)聯(lián)。

FONIX

FONIX是一種RaaS產(chǎn)品，于2020年7月首次發(fā)現(xiàn)。經(jīng)歷了許多代碼修訂后于2021年1月突然關(guān)閉。FONIX運營團(tuán)伙隨后釋放了其主要密鑰。

工作原理： FONIX運營團(tuán)伙在網(wǎng)絡(luò)犯罪論壇和暗網(wǎng)上宣傳其服務(wù)。FONIX的購買者將向該團(tuán)伙發(fā)送電子郵件地址和密碼。然后，該團(tuán)伙將定制的勒索軟件有效載荷發(fā)送給買方。攻擊成功后，運營團(tuán)伙收取25%的贖金作為報酬。

目標(biāo)受害者：All

歸因：未知

GandCrab

GandCrab可能是有史以來最賺錢的RaaS產(chǎn)品。GandCrab于2018年1月首次被發(fā)現(xiàn)，而截至2019年7月，其開發(fā)商聲稱受害者賠償金超過20億美元。

工作原理： 該惡意軟件通常通過網(wǎng)絡(luò)釣魚電子郵件發(fā)送的惡意Microsoft Office文檔傳遞的。目前，GandCrab的變體通過利用Atlassian’s Confluence等軟件中的漏洞注入惡意模板，從而完成遠(yuǎn)程代碼​執(zhí)行。

目標(biāo)受害者：GandCrab已經(jīng)在全球多個行業(yè)感染了系統(tǒng)，但避免在俄語地區(qū)的活動。

歸因：與俄羅斯有聯(lián)系。

GoldenEye

GoldenEye出現(xiàn)在2016年，疑似基于Petya勒索軟件開發(fā)的。

工作原理： GoldenEye最初瞄準(zhǔn)人力資源部門，以投遞虛假的求職信和簡歷發(fā)動攻擊。一旦其有效負(fù)載感染計算機(jī)，就會執(zhí)行一個宏來加密計算機(jī)上的文件，并在每個文件的末尾添加一個隨機(jī)的8個字符擴(kuò)展名。然后，勒索軟件使用自定義啟動加載程序修改計算機(jī)的硬盤主啟動記錄。

目標(biāo)受害者：以說德語的用戶為目標(biāo)。

歸因：未知

Jigsaw

Jigsaw于2016年首次出現(xiàn)，但很快研究人員就公布了解密工具。

工作原理： Jigsaw最特別之處在于它加密了一些文件后會索要贖金，然后逐步刪除文件，直到受害者支付贖金為止?；久啃r刪除一個文件，一般會持續(xù)72個小時，超過這個時間，將刪除所有剩余文件。

目標(biāo)受害者：不針對特定目標(biāo)

歸因：未知

KeRanger

2016年發(fā)現(xiàn)的KeRanger被認(rèn)為是第一個旨在攻擊Mac OS X應(yīng)用程序的可運行勒索軟件。

工作原理：通過合法但受感染的BitTorrent客戶端進(jìn)行分發(fā)，該客戶端具有有效的證書，能夠逃避檢測。

目標(biāo)受害者： Mac用戶

歸因：未知

Leatherlocker

Leatherlocker于2017年在兩個Android應(yīng)用程序中被發(fā)現(xiàn)：Booster&Cleaner和Wallpaper Blur HD。發(fā)現(xiàn)后不久，Google便從商店中刪除了這些應(yīng)用。

工作原理：當(dāng)受害者下載似乎合法的應(yīng)用程序后，該應(yīng)用會請求權(quán)限，以授予執(zhí)行所需的惡意軟件訪問權(quán)限。該勒索軟件不加密文件，而是鎖定設(shè)備主屏幕禁止受害者訪問數(shù)據(jù)。

目標(biāo)受害者：下載受感染應(yīng)用程序的Android用戶

歸因：未知

LockerGoga

LockerGoga在2019年針對工業(yè)公司的攻擊中活躍。盡管攻擊者要求贖金，但LockerGoga似乎在設(shè)計上很難讓受害者真的支付贖金。這使一些研究人員認(rèn)為其意圖是搞破壞而不是單純的經(jīng)濟(jì)利益。

工作原理：LockerGoga使用包含惡意文檔附件的網(wǎng)絡(luò)釣魚活動來感染系統(tǒng)。有效負(fù)載使用有效證書簽名，從而使它們可以繞過安全性。

目標(biāo)受害者：歐洲的制造業(yè)公司，其中最著名的受害者是Norsk Hydro公司，攻擊導(dǎo)致該公司全球IT系統(tǒng)癱瘓。

Locky

Locky于2016年開始傳播，并使用類似于銀行惡意軟件Dridex的攻擊模式。據(jù)悉，Locky激發(fā)了包括Osiris、Diablo6在內(nèi)的多個變種。

工作原理：向受害者發(fā)送一封帶有Microsoft Word文檔的電子郵件，聲稱為發(fā)票，其中包含惡意宏。一般情況下，Microsoft會禁用宏，但如果啟用了宏，則文檔會運行宏，并下載Locky(Dridex也使用相同的技術(shù)來竊取帳戶憑據(jù))。

目標(biāo)受害者：早期針對醫(yī)院，后期沒有針對性。

歸因：Locky背后的網(wǎng)絡(luò)犯罪組織疑似隸屬于Dridex背后的組織。

Maze

Maze是一個相對較新的勒索軟件組織，于2019年5月被發(fā)現(xiàn)。如果受害者不支付解密費用，它就會向公眾發(fā)布被盜數(shù)據(jù)。2020年9月，Maze宣布將關(guān)閉其運營。

工作原理：Maze攻擊者通常使用可以通過網(wǎng)絡(luò)釣魚活動來猜測或獲取有效憑據(jù)，遠(yuǎn)程進(jìn)入網(wǎng)絡(luò)。然后，該惡意軟件會使用開源工具掃描網(wǎng)絡(luò)，以發(fā)現(xiàn)漏洞。接著會在整個網(wǎng)絡(luò)中橫向移動，以尋找更多可用于特權(quán)升級的憑據(jù)。找到域管理員憑據(jù)后，就可以訪問和加密網(wǎng)絡(luò)上的任何內(nèi)容。

目標(biāo)受害者：遍及全球所有行業(yè)。

歸因：擁有共同專長的多個犯罪集團(tuán)，而非單一團(tuán)伙。

Netwalker

Netwalker自2019年以來一直活躍，它使用雙重威脅，即扣留解密密鑰和出售或泄露被盜數(shù)據(jù)。然而，在2021年1月下旬，美國司法部宣布了一項全球行動，擾亂了Netwalker的運作。

工作原理：從技術(shù)角度來看，Netwalker是相對普通的勒索軟件，利用網(wǎng)絡(luò)釣魚電子郵件獲得據(jù)點，對數(shù)據(jù)進(jìn)行加密和滲漏，并發(fā)送贖金要求。據(jù)悉，該公司發(fā)布被盜數(shù)據(jù)的方法是將數(shù)據(jù)放在暗網(wǎng)上的受密碼保護(hù)的文件夾中，然后公開釋放密鑰。

目標(biāo)受害者：醫(yī)療保健和教育機(jī)構(gòu)

歸因：由Circus Spider運營

NotPetya

首次出現(xiàn)于2016年，實際上是數(shù)據(jù)破壞惡意軟件(“刮水器”)，但其偽裝成了勒索軟件。

工作原理：NotPetya與Petya類似，都會加密文件并要求以比特幣支付贖金。但不同的是，Petya要求受害者點擊惡意郵件，從而啟動惡意軟件并獲取管理員權(quán)限，但NotPetya可以在沒有人工干預(yù)的情況下進(jìn)行傳播。

最初的感染媒介似乎是通過MEDoc中植入的后門程序?qū)崿F(xiàn)的，該文件幾倍被所有烏克蘭公司使用。攻擊者通過Medoc服務(wù)器感染了計算機(jī)之后，使用多種技術(shù)的NotPetya也可以感染到其他計算機(jī)，包括 EternalBlue和EternalRomance。它甚至還可以利用Mimikatz在受感染機(jī)器的內(nèi)存中查找網(wǎng)絡(luò)管理憑據(jù)，然后使用Windows PsExec和WMIC工具遠(yuǎn)程訪問并感染本地網(wǎng)絡(luò)上的其他計算機(jī)。

目標(biāo)受害者：集中在烏克蘭

歸因： 俄羅斯GRU內(nèi)的Sandworm小組

Petya

Petya惡意軟件的初始版本于2016年3月開始傳播。這個名字來自于1995年007電影《黃金眼》中的一顆衛(wèi)星。而一個疑似該惡意軟件作者的推特賬號使用了扮演反派的演員艾倫-卡明的照片作為頭像。

工作原理：Petya通過一封聲稱是求職者簡歷的郵件發(fā)送，其中包含兩個文件：一個年輕男子的圖像和一個可執(zhí)行文件。當(dāng)受害者點擊該文件時，Windows用戶訪問控制警告會告訴他們，該可執(zhí)行文件將對計算機(jī)進(jìn)行更改。一旦受害者接受更改，惡意軟件就會加載，然后通過攻擊存儲介質(zhì)上的低級結(jié)構(gòu)拒絕訪問。

目標(biāo)受害者：任何Windows系統(tǒng)都是潛在的目標(biāo)，但烏克蘭是這次攻擊的重災(zāi)區(qū)。

歸因：未知

Purelocker

在2019年發(fā)現(xiàn)的PureLocker RaaS平臺，目標(biāo)是運行Linux或Windows的企業(yè)生產(chǎn)服務(wù)器。因為它是用PureBasic語言編寫的，因此得名。

工作原理：PureLocker依靠more_eggs后門惡意軟件獲得訪問權(quán)，而非釣魚嘗試。攻擊者針對已經(jīng)被入侵的計算機(jī)，有選擇地對數(shù)據(jù)進(jìn)行加密。

目標(biāo)受害者：只有少數(shù)犯罪團(tuán)伙能夠負(fù)擔(dān)得起PureLocker的費用，因此更針對高價值目標(biāo)。

歸因：惡意軟件即服務(wù)提供商可能是PureLocker的幕后黑手。

RobbinHood

RobbinHood是使用EternalBlue的勒索軟件變體。

工作原理：RobbinHood最獨特的地方在于其有效載荷如何繞過終端安全。它有五個部分：殺死安全產(chǎn)品的進(jìn)程和文件的可執(zhí)行文件、部署有簽名的第三方驅(qū)動和惡意的無簽名內(nèi)核驅(qū)動的代碼、有漏洞的舊版本Authenticode-signed驅(qū)動、殺死內(nèi)核空間的進(jìn)程和刪除文件的惡意驅(qū)動，以及一個包含要殺死和刪除的應(yīng)用程序列表的文本文件。

目標(biāo)受害者：Baltimore和Greenville的地方政府是重災(zāi)區(qū)。

歸因：未知

Ryuk

Ryuk于2018年8月首次出現(xiàn)，是基于2017年在地下網(wǎng)絡(luò)犯罪論壇上出售的一個名為Hermes的舊勒索軟件程序開發(fā)的。

工作原理：通常與TrickBot等其他惡意軟件結(jié)合使用。Ryuk運營團(tuán)伙以使用手動黑客技術(shù)和開源工具在專用網(wǎng)絡(luò)中橫向移動，并在啟動文件加密之前獲得盡可能多的系統(tǒng)管理訪問權(quán)而聞名。

一般Ryuk攻擊者要求受害者支付高額贖金，即15至50比特幣(約100,000至500,000美元) 。

目標(biāo)受害者：企業(yè)、醫(yī)院和政府組織

歸因：最初歸因于朝鮮拉撒路集團(tuán)(Lazarus Group)，該集團(tuán)在2017年10月使用Hermes攻擊中國臺灣遠(yuǎn)東國際銀行(FEIB)。后期Ryuk被認(rèn)為是一個俄語網(wǎng)絡(luò)犯罪集團(tuán)所創(chuàng)造，他們同樣獲得了Hermes的訪問權(quán)限。此外，Ryuk運營團(tuán)伙也經(jīng)營TrickBot。一些研究人員認(rèn)為，Ryuk可能是Hermes的原作者或CryptoTech旗下的作者創(chuàng)建的。

SamSam

SamSam自2015年以來活躍至今，主要針對醫(yī)療保健組織，并在接下來的幾年中大幅提升。

工作原理： SamSam的控制器探測預(yù)選目標(biāo)的弱點，利用從IIS到FTP到RDP的一系列漏洞。一旦進(jìn)入系統(tǒng)，攻擊者就會升級特權(quán)，以確保在開始加密文件時，攻擊具有極大的破壞性。

目標(biāo)受害者：醫(yī)療保健和政府組織

歸因：最初被認(rèn)為起源于東歐。2018年底，美國司法部起訴兩名伊朗人，聲稱是他們是攻擊的幕后黑手。

SimpleLocker

2014年出現(xiàn)的SimpleLocker是第一個廣泛針對移動設(shè)備(尤其是Android設(shè)備)的勒索軟件。

工作原理：當(dāng)受害者下載惡意應(yīng)用程序時，SimpleLocker會感染設(shè)備。隨后，惡意軟件會在設(shè)備的SD卡上掃描某些文件類型，并進(jìn)行加密。最后，顯示贖金和有關(guān)付款方式的說明。

目標(biāo)受害者：由于贖金票據(jù)是俄文并要求以烏克蘭貨幣付款，因此推測攻擊者最初的目標(biāo)是該地區(qū)。

歸因：由開發(fā)其他俄羅斯惡意軟件(例如SlemBunk和GM Bot)的同一位黑客編寫的。

Sodinokibi/REvil

Sodinokibi是一個RaaS平臺，于2019年4月首次出現(xiàn)，并在2019年除夕關(guān)閉了英國貨幣兌換服務(wù)Travelex。該勒索軟件與GandCrab有關(guān)，并且代碼不在俄羅斯和幾個鄰國以及敘利亞執(zhí)行。

工作原理：Sodinokibi以多種方式傳播，包括利用Oracle WebLogic服務(wù)器或Pulse Connect Secure 虛擬專用網(wǎng)中的漏洞 。它的目標(biāo)是微軟Windows系統(tǒng)，并對除配置文件外的所有文件進(jìn)行加密。如果受害者不支付贖金，他們的敏感數(shù)據(jù)將被出售或公布在地下論壇上。

目標(biāo)受害者：其所排除地區(qū)以外的全球不同組織。

歸因： Sodinokibi在GandCrab關(guān)閉后嶄露頭角。一名據(jù)稱是該集團(tuán)成員的人，證實該勒索軟件是建立在一個舊的代碼庫之上。

TeslaCrypt

TeslaCrypt是Windows勒索軟件木馬，2015年首次出現(xiàn)，主要針對計算機(jī)游戲玩家。2016年5月，開發(fā)者關(guān)閉了運營并發(fā)布了主密鑰。

工作原理：在受害者訪問了運行漏洞工具包的黑客網(wǎng)站之后，TeslaCrypt會查找并加密游戲文件，如游戲保存、錄制的重播和用戶配置文件。然后索要價值500美元的比特幣來解密文件。

目標(biāo)受害者：電腦游戲玩家

歸因：未知

Thanos

Thanos出現(xiàn)在2019年末，是第一個使用RIPlace技術(shù)，可以繞過大多數(shù)反勒索軟件策略的勒索軟件。

工作原理：Thanos一般在地下論壇和其他封閉渠道發(fā)布廣告，作為一個定制的工具，其附屬機(jī)構(gòu)使用它來創(chuàng)建勒索軟件有效載荷。目前Thanos提供的許多功能都是為了逃避檢測而設(shè)計的，其開發(fā)人員也已經(jīng)發(fā)布了多個版本，如增加了禁用第三方備份、刪除Windows Defender簽名文件、使響應(yīng)團(tuán)隊更難進(jìn)行取證的多個功能。

目標(biāo)受害者：All

歸因：未知

WannaCry

由于美國國家安全局(NSA)開發(fā)的永恒之藍(lán)漏洞被黑客竊取，2017年5月，WannaCry蠕蟲通過計算機(jī)網(wǎng)絡(luò)迅速傳播，感染了數(shù)百萬臺Windows電腦。

工作原理： WannaCry由多個組件組成，以dropper的形式到達(dá)受感染的計算機(jī)。dropper作為一個自帶程序，可以提取嵌入自身的其他應(yīng)用組件，包括：加解密的應(yīng)用程序、包含加密密鑰的文件、Tor的副本 。

一旦啟動，WannaCry將嘗試訪問硬編碼的URL。如果不能，它將繼續(xù)搜索和加密重要格式的文件，包括Microsoft Office文件、MP3和MKV。然后顯示贖金通知，要求比特幣解密文件。

目標(biāo)受害者：攻擊影響了全球范圍的公司，但在醫(yī)療保健、能源、運輸和通訊領(lǐng)域的企業(yè)受到的打擊更為嚴(yán)重。

歸因：朝鮮的拉撒路集團(tuán)(Lazarus Group)。

WastedLocker

WastedLocker是最近出現(xiàn)的一種勒索軟件，于2020年5月開始攻擊。該勒索軟件相對復(fù)雜，且其創(chuàng)造者以索要高額勒索費而聞名。

工作原理：該惡意軟件使用基于JavaScript的攻擊框架SocGholish，該框架在一個感染的網(wǎng)站上以虛假更新的方式，通過ZIP文件形式進(jìn)行分發(fā) 。一旦激活WastedLocker，然后下載并執(zhí)行PowerShell腳本和一個名為Cobalt Strike的后門。該惡意軟件就會探索網(wǎng)絡(luò)，并部署工具以竊取憑證并訪問高價值系統(tǒng)。最后使用AES和RSA加密技術(shù)對數(shù)據(jù)進(jìn)行加密。

目標(biāo)受害者：最有可能支付高贖金的高價值目標(biāo)，主要在北美和西歐。

歸因：知名的犯罪團(tuán)伙Evil Corp。

WYSIWYE

WYSIWYE(所看到的就是所加密的)是針對Windows系統(tǒng)的RaaS平臺，于2017年被發(fā)現(xiàn)。

工作原理：在網(wǎng)絡(luò)上掃描打開的遠(yuǎn)程桌面協(xié)議(RDP)服務(wù)器，然后使用弱憑據(jù)執(zhí)行登錄嘗試。購買所見即所得服務(wù)的犯罪分子一般可以選擇要加密的文件類型以及加密后是否刪除原始文件。

掃描web查找開放式遠(yuǎn)程桌面協(xié)議(RDP)服務(wù)器，然后使用默認(rèn)或弱憑據(jù)執(zhí)行登錄嘗試，以訪問系統(tǒng)并在網(wǎng)絡(luò)中移動。購買WYSIWYE服務(wù)的犯罪分子可以選擇要加密的文件類型，以及加密后是否刪除原始文件。

目標(biāo)受害者：最初出現(xiàn)在德國、比利時、瑞典和西班牙。

歸因：未知

Zeppelin

Zeppelin首次出現(xiàn)在2019年11月，是Vega或VegasLocker RaaS產(chǎn)品的后代，據(jù)悉該勒索軟件使俄羅斯和東歐的會計公司蒙受了損失。

工作原理：Zeppelin擁有豐富的功能(尤其是在可配置性方面)，該勒索軟件可以通過多種方式部署，包括作為EXE、DLL或PowerShell加載程序進(jìn)行部署，不過它的一些攻擊仍然是通過被入侵的托管安全服務(wù)提供商來實現(xiàn)的。

目標(biāo)受害者：Zeppelin比Vega更具針對性，即不在俄羅斯、烏克蘭、白俄羅斯或哈薩克斯坦運行的計算機(jī)上執(zhí)行，更多針對北美和歐洲的醫(yī)療保健及技術(shù)公司。

歸因：疑似來自俄羅斯的攻擊者通過Vega的代碼庫開發(fā)了Zeppelin。

參考來源：csoonline