更新时间:2022-08-25 12:47
勒索软件(ransomware)是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。
勒索软件的传播手段与常见的木马非常相似,主要有以下几种:
1.借助网页木马传播,当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行。
2. 与其他恶意软件捆绑发布。
3. 作为电子邮件附件传播。
4. 借助可移动存储介质传播。
一旦用户受到勒索软件的感染,通常会有如下表现形式,包括:
1. 锁定计算机或移动终端屏幕 。
2. 借杀毒软件之名,假称在用户系统发现了安全威胁,令用户感到恐慌,从而购买所谓的“杀毒软件”。
3. 计算机屏幕弹出的提示消息,称用户文件被加密,要求支付赎金。
根据勒索软件所使用的勒索方式,主要分为以下三类:
1. 影响用户系统的正常使用。比如 PC Cyborg、QiaoZhaz(Trojan/Win32.QiaoZhaz)等,会采用锁定系统屏幕等方式,迫使系统用户付款,以换取对系统的正常使用。
2. 恐吓用户。比如 FakeAV(Trojan[Ransom]/Win32.FakeAV)等,会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买其“反病毒软件”。又如Reveton(Trojan[Ransom]/Win32.Foreign),会根据用户所处地域不同而伪装成用户所在地的执法机构,声称用户触犯法律,迫使用户支付赎金。
3. 绑 架 用 户 数 据 。 这是近期比较常见的一种勒索方式,最典型的是CTB-Locker家 族(Trojan[Ransom]/Win32.CTBLocker),采用高强度的加密算法,加密用户文档,只有在用户支付赎金后,才提供解密文档的方法。
已知最早的勒索软件出现于 1989 年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg木马”),其作者为 Joseph Popp。该木马程序以“艾滋病信息引导盘”的形式进入系统,采用替换 AUTOEXEC.BAT(DOS 系统文件,位于启动盘根目录,文件为文件格式,用于描述系统启动时自动加载执行的命令)文件的方式,实现在开机时记数。一旦系统启动次数达到 90 次时,该木马将隐藏磁盘的多个目录,C 盘的全部文件名也会被加密(从而导致系统无法启动)。此时,屏幕将显示信息,声称用户的软件许可已经过期,要求用户向“PC Cyborg”公司位于巴拿马的邮箱寄去 189 美元,以解锁系统。作者在被起诉时曾为自己辩解,称其非法所得用于艾滋病研究。2001 年,专门仿冒反病毒软件的恶意代码家族(Trojan[Ransom]/Win32.FakeAV)出现,2008 年左右开始在国外流行。该恶意代码家族的界面内容为英文,又因为当时国内部分反病毒厂商已经开始采用免费的价格策略,所以该恶意代码家族在国内不容易得逞,对国内影响相对较小。FakeAV 在伪装成反病毒软件欺骗用户的过程中,所使用的窗体标题极具迷惑性。据安天 CERT 统计,其标题有数百种之多,常用标题如下表所示:
AntiSpyWare2008 反间谍软件 2008 ;
AntiVirus2013 反病毒软件 2013 ;
Security Defender 安全卫士 ;
ScannRepair 扫描修复工具 ;
Virus Doctor 病毒医生 ;
Spyware Cleaner 间谍软件清除者/终结者 ;
System Care Antivirus 系统护理杀毒 ;
Data Recovery 数据恢复;
AVDefender 2014 反病毒卫士 2014 ;
AVSecurity 2015 反病毒安全 2015;
Adware Checker 广告软件清除者/终结者。
2005 年出现了一种加密用户文件的木马(Trojan/Win32.GPcode)。该木马在被加密文件的目录生成具有警告性质的 txt 文件,要求用户购买解密程序。所加密的文件类型包括:.doc、.html、.jpg、.xls、.zip 及.rar。2006 年出现的 Redplus 勒索木马(Trojan/Win32.Pluder),是国内首个勒索软件。该木马会隐藏用户文档和包裹文件,然后弹出窗口要求用户将赎金汇入指定银行账号。据国家计算机病毒应急处理中心统计,来自全国各地的该病毒及其变种的感染报告有 581 例。在 2007 年,出现了另一个国产勒索软件 QiaoZhaz,该木马运行后会弹出“发现您硬盘内曾使用过盗版了的我公司软件,所以将您部分文件移动到锁定了的扇区,若要解锁将文件释放,请电邮 liugongs19670519@yahoo.com.cn 购买相应软件”的对话框。
早期的勒索软件采用传统的邮寄方式接收赎金(比如 Trojan/DOS.AidsInfo),会要求受害者向指定的邮箱邮寄一定数量的赎金。我们也发现了要求受害者向指定银行账号汇款(比如 Trojan/Win32.Pluder)和向指定号码发送可以产生高额费用的短信(比如 Trojan[rog,sys,fra]/Android.Koler)的勒索软件。直到比特币(比特币是一种 P2P 形式的数字货币,可以兑换成大多数国家的货币)这种虚拟货币支付形式出现后,由于它可以为勒索软件提供更为隐蔽的赎金获取方式,2013 年以来,勒索软件逐渐采用了比特币为代表的虚拟货币的支付方式。可以说,虚拟货币的出现,加速了勒索软件的泛滥。
2015年1月,Cryptowall 家族新变种(3.0)被发现使用I2P 匿名网络通信,在一天内感染288个用户,该变种在加密受害者的文件后,向其勒索比特币,同时还有直接窃取用户比特币的行为。2月和4月新出现的勒索软件家族Tesla Crypt和Alpha Crypt,被发现利用了Adobe 新近修复的Flash安全漏洞。同样利用这些漏洞还有 CTB-Locker、CryptoWall、TorrentLocker、BandarChor、Angler 等家族。其中最为值得关注的是CTB-Locker,它使用了高级逃逸技术,可以躲避某些安全软件的检测。2015年4月30日,安天CERT曾接到用户提供的含有CTB-Locker 的邮件附件,用户称已将该附件提交至第三方开放沙箱,怀疑其具有专门攻击国产办公系统的行为。经安天CERT分析确认,在该样本中并未发现针对国产办公环境的攻击能力。但随着勒索软件的持续泛滥和攻击手段的花样翻新,不能排除未来会出现专门针对我国办公环境的勒索软件。从目前获取的勒索软件新家族看,多数仍是采用社工手段群发邮件,但这些邮件往往紧随潮流趋势,令人防不胜防。比如:据 threatpost 报导,CTB_Locker 家族已经开始采用包含“Windows 10 免费升级”(Upgrade to Windows 10 for free)标题的社工邮件传播。
2022年5月1日,Magniber 勒索软件此前进行过一系列入侵活动,比如通过漏洞等。而最新手法是通过虚假的 Windows 10 更新进行传播。