勒索軟件

勒索軟件的傳播手段與常見的木馬非常相似，主要有以下幾種：

1.藉助網頁木馬傳播，當用户不小心訪問惡意網站時，勒索軟件會被瀏覽器自動下載並在後台運行。

2. 與其他惡意軟件捆綁發佈。

3. 作為電子郵件附件傳播。

4. 藉助可移動存儲介質傳播 ^[1]  。

一旦用户受到勒索軟件的感染，通常會有如下表現形式，包括：

1. 鎖定計算機或移動終端屏幕 。

2. 借殺毒軟件之名，假稱在用户系統發現了安全威脅，令用户感到恐慌，從而購買所謂的“殺毒軟件”。

3. 計算機屏幕彈出的提示消息，稱用户文件被加密，要求支付贖金。

根據勒索軟件所使用的勒索方式，主要分為以下三類：

1． 影響用户系統的正常使用。比如 PC Cyborg、QiaoZhaz（Trojan/Win32.QiaoZhaz）等，會採用鎖定系統屏幕等方式，迫使系統用户付款，以換取對系統的正常使用。

2． 恐嚇用户。比如 FakeAV（Trojan[Ransom]/Win32.FakeAV）等，會偽裝成反病毒軟件，謊稱在用户的系統中發現病毒，誘騙用户付款購買其“反病毒軟件”。又如Reveton（Trojan[Ransom]/Win32.Foreign），會根據用户所處地域不同而偽裝成用户所在地的執法機構，聲稱用户觸犯法律，迫使用户支付贖金。

3． 綁 架 用 户 數 據 。 這是近期比較常見的一種勒索方式，最典型的是CTB-Locker家 族（Trojan[Ransom]/Win32.CTBLocker），採用高強度的加密算法，加密用户文檔，只有在用户支付贖金後，才提供解密文檔的方法 ^[2]  。

已知最早的勒索軟件出現於 1989 年，名為“艾滋病信息木馬”（Trojan/DOS.AidsInfo，亦稱“PC Cyborg木馬”），其作者為 Joseph Popp。該木馬程序以“艾滋病信息引導盤”的形式進入系統，採用替換 AUTOEXEC.BAT（DOS 系統文件，位於啓動盤根目錄，文件為文件格式，用於描述系統啓動時自動加載執行的命令）文件的方式，實現在開機時記數。一旦系統啓動次數達到 90 次時，該木馬將隱藏磁盤的多個目錄，C 盤的全部文件名也會被加密（從而導致系統無法啓動）。此時，屏幕將顯示信息，聲稱用户的軟件許可已經過期，要求用户向“PC Cyborg”公司位於巴拿馬的郵箱寄去 189 美元，以解鎖系統。作者在被起訴時曾為自己辯解，稱其非法所得用於艾滋病研究。2001 年，專門仿冒反病毒軟件的惡意代碼家族（Trojan[Ransom]/Win32.FakeAV）出現，2008 年左右開始在國外流行。該惡意代碼家族的界面內容為英文，又因為當時國內部分反病毒廠商已經開始採用免費的價格策略，所以該惡意代碼家族在國內不容易得逞，對國內影響相對較小。FakeAV 在偽裝成反病毒軟件欺騙用户的過程中，所使用的窗體標題極具迷惑性。據安天 CERT 統計，其標題有數百種之多，常用標題如下表所示：

AntiSpyWare2008 反間諜軟件 2008 ；

AntiVirus2013 反病毒軟件 2013 ；

Security Defender 安全衞士 ；

ScannRepair 掃描修復工具 ；

Virus Doctor 病毒醫生 ；

Spyware Cleaner 間諜軟件清除者/終結者 ；

System Care Antivirus 系統護理殺毒 ；

Data Recovery 數據恢復；

AVDefender 2014 反病毒衞士 2014 ；

AVSecurity 2015 反病毒安全 2015；

Adware Checker 廣告軟件清除者/終結者。

2005 年出現了一種加密用户文件的木馬（Trojan/Win32.GPcode）。該木馬在被加密文件的目錄生成具有警告性質的 txt 文件，要求用户購買解密程序。所加密的文件類型包括：.doc、.html、.jpg、.xls、.zip 及.rar。2006 年出現的 Redplus 勒索木馬（Trojan/Win32.Pluder），是國內首個勒索軟件。該木馬會隱藏用户文檔和包裹文件，然後彈出窗口要求用户將贖金匯入指定銀行賬號。據國家計算機病毒應急處理中心統計，來自全國各地的該病毒及其變種的感染報告有 581 例。在 2007 年，出現了另一個國產勒索軟件 QiaoZhaz，該木馬運行後會彈出“發現您硬盤內曾使用過盜版了的我公司軟件，所以將您部分文件移動到鎖定了的扇區，若要解鎖將文件釋放，請電郵 liugongs19670519@yahoo.com.cn 購買相應軟件”的對話框 ^[3]  。

早期的勒索軟件採用傳統的郵寄方式接收贖金（比如 Trojan/DOS.AidsInfo），會要求受害者向指定的郵箱郵寄一定數量的贖金。我們也發現了要求受害者向指定銀行賬號匯款（比如 Trojan/Win32.Pluder）和向指定號碼發送可以產生高額費用的短信（比如 Trojan[rog,sys,fra]/Android.Koler）的勒索軟件。直到比特幣（比特幣是一種 P2P 形式的數字貨幣，可以兑換成大多數國家的貨幣）這種虛擬貨幣支付形式出現後，由於它可以為勒索軟件提供更為隱蔽的贖金獲取方式，2013 年以來，勒索軟件逐漸採用了比特幣為代表的虛擬貨幣的支付方式。可以説，虛擬貨幣的出現，加速了勒索軟件的泛濫。

2015年1月，Cryptowall 家族新變種（3.0）被發現使用I2P 匿名網絡通信，在一天內感染288個用户，該變種在加密受害者的文件後，向其勒索比特幣，同時還有直接竊取用户比特幣的行為。2月和4月新出現的勒索軟件家族Tesla Crypt和Alpha Crypt，被發現利用了Adobe 新近修復的Flash安全漏洞。同樣利用這些漏洞還有 CTB-Locker、CryptoWall、TorrentLocker、BandarChor、Angler 等家族。其中最為值得關注的是CTB-Locker，它使用了高級逃逸技術，可以躲避某些安全軟件的檢測。2015年4月30日，安天CERT曾接到用户提供的含有CTB-Locker 的郵件附件，用户稱已將該附件提交至第三方開放沙箱，懷疑其具有專門攻擊國產辦公系統的行為。經安天CERT分析確認，在該樣本中並未發現針對國產辦公環境的攻擊能力。但隨着勒索軟件的持續氾濫和攻擊手段的花樣翻新，不能排除未來會出現專門針對我國辦公環境的勒索軟件。從目前獲取的勒索軟件新家族看，多數仍是採用社工手段羣發郵件，但這些郵件往往緊隨潮流趨勢，令人防不勝防。比如：據 threatpost 報導，CTB_Locker 家族已經開始採用包含“Windows 10 免費升級”（Upgrade to Windows 10 for free）標題的社工郵件傳播。

2022年5月1日，Magniber 勒索軟件此前進行過一系列入侵活動，比如通過漏洞等。而最新手法是通過虛假的 Windows 10 更新進行傳播。 ^[4]