Ransomware是一种电脑恶意软件(computer malware),它的中文意思是:勒索软件、赎金软件。Ransomware是一个合成词,由Ransom(赎金)和后缀”-ware”构成。Ransomware的运作机制是以木马病毒(Trojan)的方式侵入电脑,然后对受害电脑非法加密(可能对文件、目录、甚至是硬盘加密),并向受害人索要赎金以提供解锁密码。

Reveton

2012年,一款叫做Reveton的勒索软件开始广布。该病毒基于Citadel木马病毒,而病毒的有效数据会显示假造成来自执法机关的消息(因此,此类病毒又被称为police Trojan或cop Trojan)。该病毒会宣称执法机关查获该电脑有非法活动,例如下载盗版软件或是儿童色情媒体 ,并且提示受害者使用Ukash 或Paysafecard等匿名电子货币进行缴纳。为了更进一步取信于被害人,该警讯也会同时列出受害者的IP地址,某些版本甚至会显示受害者摄像头的画面。

CryptoLocker

2013年9月,加密性勒索软件以CryptoLocker之姿重出江湖。该病毒使用2048位的RSA加密密钥,并将其回传至主控病毒行动的服务器。关于加密文件,该病毒使用白名单以只对特定的扩展名加密。CryptoLocker威胁受害者,若不以比特币或付费卡在三天内缴款,就会将所有加密文件删除。由于其使用了极大长度的密钥,被其加密的文件一般是认为无法撤销的。尽管付款期限已过,解密的密钥仍能利用其提供的在线工具获取,但是价格会增加为10BTC,相当于2300美元(2013年11月汇率)。

CryptoLocker.F 与 TorrentLocker

2014年9月,新一波针对澳洲的勒索攻击开始,以CryptoWall及CryptoLocker(连同CryptoLocker 2.0,不和原始CryptoLocker有关)。该病毒透过假造的电子邮件散布,宣称受害者有投递失败的澳大利亚邮政包裹。为了避开安全软件的扫描,该变种会先提示用户输入CAPTCHA验证码来诱使受害者下载病毒数据。赛门铁克确认了该变种,命名为CryptoLocker.F。其中的一个受害者是澳洲广播公司,而其现场转播的新闻频道ABC News 24被迫中断半小时并转至墨尔本摄影棚录影,因为雪梨的摄影棚被该病毒攻击了。

CryptoWall

另一个针对Windows的重大病毒CryptoWall在2014年出现。CryptoWall随着Zedo广告网的恶意广告散布。在2014年9月,其针对数个主要网站进行了攻击,将受害者导向至独立网站,利用浏览器漏洞传输病毒。一名Barracuda Networks研究员发现该病毒带有数字签名,以取信于安全软件。CryptoWall 3.0以JavaScript写成,作为电子邮件的附加文件。该脚本会下载伪装成JPG图像文件的可执行档。为了更进一步避开侦测,该病毒会创建复制的explorer.exe及svchost.exe与其服务器沟通。创建加密文件时,该病毒也会同时删除系统还原的备份文件,并且安装间谍软件,窃取受害者的密码与比特币钱包。

KeRanger

KeRanger在2016年3月出现,是第一个在OS X操作系统上运作的勒索软件。该病毒加密受害者的个人文件,并且要求1BTC的赎金以解密文件。该病毒将.DMG可执行档伪装成RTF文件。该病毒会潜伏三日,接着开始加密文件,再附上一个写入解密教学的文本文件。该病毒也使用2048位的RSA公钥加密文件。后续研究表明,该病毒其实是Linux.Encoder.1为OS X系统而重写的。

RSA4096

RSA4096是目前加密性勒索软件的最新世代。最初出现于2015年,该病毒使用公钥加密,付款则要求受害者利用比特币向暗网内的代理人购买,却不保证在付款后能取回私钥。该病毒有数种变种,大部分都尚未找到解决办法。某些变种会将文件的扩展名改变。唯一从攻击中撤销的方法,除了付费购买私钥以外,只有从外部设备撤销受感染的文件一途。 由于比特币汇率近年的大幅上升,赎金的价格也相对的上升了。在2016年4月,该价格大约为三十万英镑。

Manamecrypt (CryptoHost)

该病毒宣称加密受害者的文件,并且要求1/3BTC(大约140美元)来解密文件。事实上,该病毒却不将文件加密,而是将文件移动进入密码保护的RAR压缩包。 不过压缩包的密码很容易找到,使得受害者有方法能取回受感染的文件。

CryptoHost将受害者的文件移至 C:\Users\用户名\AppData\Roaming 的一个RAR压缩包内。 文件名称为41个字符,且没有扩展名。

Mischa

Mischa是一款勒索软件,并且和Petya勒索软件有明显的关系。 该病毒会将加密的文件改为特定的扩展名,如 .3P7m.arpT.eQTz.3RNu 等。遭受感染的受害者电脑会在浏览器内显示出威胁消息,声称电脑已经遭到“军规级加密”。该病毒也利用Tor浏览器和暗网(Tor隐藏服务)要求比特币赎金,价值通常介于20美元至1000美元间。

WannaCrypt

WannaCrypt是利用Windows系统漏洞进行侵入的一款勒索病毒,在2017年5月12日后全球超过230,000台计算机皆遭此病毒侵害,此病毒要求支付价值等同于300美元的比特币才可解密所有遭加密文件。受害者电脑大多数皆装载Windows 7系统,微软也针对此漏洞进行更新。

Petya

Petya于2016年3月首次出现,不像其他加密勒索软件,该恶意软件旨在感染主引导记录,安装有效负载,受感染的系统下次引导时便加密NTFS文件系统文件表,完全阻止系统引导进Windows,直至支付赎金。Check Point报告指出,尽管该软件被认为是勒索软件设计上的创新性进展,但和在相同时间范围内话语的其他软件相比,感染率相对较低。

Bad Rabbit

2017年10月24日,俄罗斯和乌克兰有用户报告了新型勒索软件“Bad Rabbit”。类似于WannaCry和Petya的模式,Bad Rabbit加密了用户的文件表后,要求支付比特币解锁。ESET认为,该勒索软件伪装成Adobe Flash更新发布。受影响的机构包括国际文传电讯社、敖德萨国际机场、基辅地铁和乌克兰基础设施部。由于利用网络结构进行传播,软件也流入到别国,如土耳其、德国、波兰、日本、韩国和美国。专家认为此番袭击和乌克兰的Petya袭击有关,尽管罪魁祸首的唯一标识是将《权力的游戏》系列角色的名字嵌入代码。

安全专家建议采取以下措施来防御勒索软件攻击并从中恢复:

  • 定期备份所有企业服务器和PC。虽然数据备份无法阻止勒索软件,但是它们可用于从某些类型的勒索软件攻击中恢复。许多专家建议将数据备份到云中,以防止识别、破坏或加密本地备份文件的复杂勒索软件攻击。
  • 使用防病毒和端点检测及响应工具在进入点处阻止(黑名单)已知的勒索软件变体。
  • 删除标准用户帐户的本地管理员权限以减少攻击面并防止勒索软件在整个组织中传播,因为某些勒索软件攻击试图获取本地管理员权限以造成破坏。
  • 使用应用程序灰名单主动防御以前未知的勒索软件变体。使用灰名单方法,您可以限制对未知应用程序的读取、写入和修改权限,以防止勒索软件加密数据。您还可以使用灰名单阻止对网络驱动器的访问,以防止勒索软件攻击在整个企业中传播。


Software or libraries: