【勒索专题】勒索病毒基本介绍

• 1989年：第一个已知的勒索软件名AIDS(PC Cyborg)由哈佛大学毕业的Joseph Popp创建，这是一种替换AUTOEXEC.BAT文件的特洛伊木马程序，当潜伏AIDS的计算机启动次数到达第90次时就会隐藏目录并加密驱动器C:上的所有文件的名称(使系统无法使用)，随后会要求用户"更新许可证"并联系PC Cyborg Corporation付款(将189美元寄到巴拿马的一个邮政信箱内)，作者称其非法所得费用用于艾滋病研究

• 2005年：出现了一种加密用户文件的木马(Trojan/Win32.GPcode)，该木马在被加密文件的目录下生成具有警告性质的txt文件并要求用户购买解密程序，所加密的文件类型包 括.doc、.html、.jpg、.xls、.zip及.rar

• 2006年：首次出现使用RSA加密算法的勒索软件Archievus，同年国内出现首个勒索木马Redplus，该木马会隐藏用户文档和包裹文件然后弹出窗口要求用户将赎金汇入指定银行账号

• 2011年：出现模仿Windows产品激活通知的勒索软件蠕虫

• 2013年：广为人知的勒索软件CryptoLocker出现，其通过受感染的电子邮件附件分发， 受害者可以通过比特币或GreenDot MoneyPak支付赎金，黑客威胁受害者如果未能在 72小时内付款将删除私钥无法进行解密

• 2015年：勒索即服务(RaaS)出现，这种商业模式使得勒索攻击的发起者无需任何专业技术知识就可以轻易地发起网络敲诈活动，勒索开发团队在这种模式下坐享其成且不需要直接对受害者发起攻击，而在RaaS中扮演服务供应商，提供客户需要的定制化攻击方案，为客户提供有限的攻击技术支持从而赚取一部分佣金或分成，勒索即服务(RaaS)模式时至今日仍被推崇，这种低门槛的运作方式时常活跃在互联网背后的暗网交易平台里

• 2016年：国际网络范围中勒索软件活跃的首个鼎盛时期，也被称为勒索软件元年，据业内数据表明同比增长达752%，Locky、Goldeneye、Crysis、CryLocker等勒索软件所造成的损失超过10亿美元

• 2017年：全球爆发著名的电脑勒索软件WannaCry，涉及多达150个国家7.5万多台的电脑被感染，有99个国家遭受到直接攻击，其中包括英国、美国、中国、俄罗斯、西班牙和意大利等

加密勒索软件

加密勒索软件主要以加密个人文件和文件夹(文档、电子表格、图片和视频)为主，受影响的文件一旦加密就会被删除，用户通常会在与现在无法访问的文件同名的文件夹中遇到带有付款说明的文本文件，当文件扩展名被自动更改时用户可能会察觉到勒索软件所带来的影响

锁定屏幕勒索软件

锁定屏幕类勒索软件会锁定计算机屏幕并要求付款，同时它会显示一个全屏图像阻止所有其他窗口，有一个特点就是它不会加密任何个人文件

主引导记录勒索软件

主启动记录(MBR)是计算机硬盘驱动器中允许操作系统启动的部分，MBR通过更改计算机的MBR以便中断正常的启动过程，赎金要求显示在屏幕上并且防止操作系统的启动

Web服务器加密勒索

Web服务器加密勒索以Web服务器为目标并加密其上的许多文件，它通过利用内容管理系统中的已知漏洞在Web服务上部署勒索软件

在计算机上广泛应用于文件加密的技术可分为以下四种类型：

基础加密

基础加密是指以一种极其简单的运算方式来修改原始文件的数据，而没有特定数学算法参与，比较典型的方式比如异或运算、加法运算、减法运算或者结合起来使用，最初的勒索软件由于技术水平不成熟，加密算法技术未普及等诸多原因会使用这种运算符操作数据的方式修改文件的数据，解密这样的文件只需要进行运算符暴力枚举，文件数据碰撞或者逆向勒索软件运算时使用的密钥就能直接对数据内容进行还原

对称加密

随着技术的更新和发展勒索软件开始重视加密算法的应用，早期勒索软件开始使用一些对称式的加密算法，对称式加密算法其特点是有一个密钥，由于加密和解密使用相同的密钥且加密和解密的运算逻辑往往相同，对称加密算法的密钥十分容易泄露，文件或HASH碰撞的方式仍然有机会解密以反推正确的密钥或者通过逆向勒索软件运行时密钥的来源以此获得密钥就能够解密被对称算法加密的文件

稍微聪明的攻击者会将对称密钥通过网络传输的方式发送回攻击者的服务器，然后销毁本地密钥痕迹，这样一来如果不能从攻击者服务器获取到算法密钥那么解密文件的过程必然会非常繁琐困难，但是这样一来攻击者的服务器就会暴露在大众视野之下对他们来说这是很不安全的，被勒索软件广泛应用的对称加密算法有：AES，DES，3DES，RC4，Salsa20，TEA

非对称加密

非对称加密算法也称为开放密钥算法或称为公钥加密算法，与对称算法不同的是它需要两个密钥：一个是公有密钥，另一个是私有密钥，顾名思义公有密钥公开公布主要作为加密信息时使用的加密密钥，而私有密钥并不能随意公布且仅用来解密与之对应公钥加密的信息时才能使用的，攻击者仅需要将公钥嵌入到勒索软件代码中并在适当的时机通过导入公钥来加密那些文件信息，而私钥被攻击者严加保管，在这样的情况下加密的文件信息如果没有攻击者的私钥，往往难以被解密

对称加密算法的特点是加密速度快而非对称算法加密速度慢，因此黑客在勒索软件中会采用两种算法相结合的方式来锁定用户文件，他们使用对称算法快速地加密文件，仅仅使用非对称算法去加密对称算法的密钥，这样一来整个加密逻辑能够做到既安全又高效，是当今勒索软件彼此心照不宣的加密方案，目前被勒索软件广泛应用的非对称加密算法有：RSA，ECC

混合加密类

现代勒索软件不会使用单一加密手段对文件进行直接加密，那样的方式要么是效率十分低下，要么是安全性不足，在这种情况下混合加密成为了勒索软件主流的运用手法，以GandCrab的RSA+Salsa20为例：
作者的RSA公钥用于加密第一个salsa20的Key和Iv ，之后使用第一个salsa20加密程序生成的RSA私钥

使用程序RSA公钥加密第二个salsa20的Key和Iv，之后使用第二个Salsa20算法来加密磁盘文件

被加密的文件隐藏着能够解密文件的salsa20密钥，但是这将需要作者的RSA私钥才能够进行解密，使用两次RSA的好处是作者不需要暴露自己的私钥，交给用户一个程序生成的RSA私钥来针对不同的受害机器执行单独解密的操作

目前勒索病毒常见的攻击手法主要有以下几种：

• 文件感染

  
  

• 钓鱼邮件

  
  

• 网站挂马

  
  

• 服务器入侵

  
  

• 操作系统漏洞

  
  

• 网络共享文件

CrySiS

发现日期：2016 年
简要描述：CrySiS曾经主要目标是针对澳大利亚和新西兰，特别是医疗机构
入侵手法：通常利用RDP弱口令爆破的方式渗透到目标计算机中
加密方式：RSA+AES
赎金类型：虚拟货币（比特币）

Phobos

发现日期：2017 年
简要描述：作为CrySiS模仿者从2019年活跃传播至今，除了勒索技术在传播渠道上也与CrySiS相一致
入侵手法：通常利用RDP弱口令爆破的方式渗透到目标计算机中，通过投递钓鱼邮件传播
加密方式：RSA+AES
赎金类型：虚拟货币（比特币）

WannaCry

发现日期：2017年
简要描述：影响目标为全球150多个国家网络的计算机，受害者涉及到医疗、金融、能源等诸多行业
入侵手法：依靠NSA泄露的"EternalBlue"(MS17-010)漏洞利用工具进行传播，该漏洞允许攻击者构造特殊的消息触发漏洞导致远程代码执行
加密方式：RSA非对称算法+AES对称算法
加密后缀：.WNCRY
赎金类型：虚拟货币（比特币）

GlobeImposter

发现日期：2017 年
简要描述：GlobeImposter针对国内不同规模企业公共机构均发起过勒索攻击，其样本迭代较快，不同版本勒索信与勒索后缀风格各异
入侵手法：通常利用RDP弱口令爆破的方式渗透到目标计算机中
加密方式：RSA非对称算法+AES对称算法
赎金类型：虚拟货币（比特币）

GandCrab

发现日期：2018 年
简要描述：GandCrab作为勒索软件界"劳模"臭名昭著，曾一年勒索20亿美元，在其停止更新以前版本迭代频繁，发展迅速影响范围广
入侵手法：通过钓鱼邮件、网站挂马、漏洞传播
加密方式：RSA+Salsa20
赎金类型：虚拟货币（达世币）

LockBit 

发现日期：2019 年
简要描述：LockBit于19年出现至今共诞生出三个版本，在2.0增加了StealBit窃密木马，而最新的LockBit 3.0提升了安全软件对抗能力
入侵手法：通常利用RDP弱口令爆破的方式渗透到目标计算机中
加密方式：RSA+AES
赎金类型：虚拟货币(比特币)

Maze

发现日期：2019 年
简要描述：知名勒索软件GandCrab退隐后最优秀的效仿者Maze继承了它的传播渠道和勒索方式
入侵手法：通过钓鱼邮件、网站挂马、漏洞传播
加密方式：RSA+Salsa20
赎金类型：虚拟货币（比特币）

DarkSide

发现日期：2020年
简要描述：DarkSide勒索软件十分热衷于对石油和天然气相关部门机构发起攻击，截至2021年获得超过9000万美元比特币付款
入侵手法：通常利用RDP弱口令爆破的方式渗透到目标计算机中
加密方式：RSA+Salsa20
赎金类型：虚拟货币（比特币）

Makop

发现日期：2020 年
简要描述：2020年曾发起多起大规模针对医疗机构的勒索事件，随后延伸到对政务企业等 发起勒索攻击
入侵手法：通常利用RDP弱口令爆破的方式渗透到目标计算机中通过投递钓鱼邮件传播
加密方式：RSA+AES
赎金类型：虚拟货币（比特币）

BlackCat 

发现日期：2021年
简要描述：BlackCat一经公布即在俄语论坛售卖服务与分发合作，并且于22年7月入侵万代南梦宫并窃取敏感信息
入侵手法：通常利用RDP弱口令爆破的方式渗透到目标计算机中
加密方式：RSA+ChaCha20
赎金类型：虚拟货币（比特币）

Hive 

发现日期：2021年
简要描述：采用双重勒索的方式不仅加密受害者文件索要钱财同时在暗网公布受害者数据胁迫受害者缴纳赎金，目前已有多家企业组织遭受威胁
入侵手法：由ExChange的ProxyShell漏洞入侵
加密方式：RSA+AES
赎金类型：虚拟货币（比特币）

BlackBasta 

发现日期：2022年
简要描述：作为新兴勒索软件针对企业用户的Windows系统以及Linux服务器运行的VMware ESXi虚拟机
入侵手法：通过僵尸网络传播
加密方式：RSA+ChaCha20
赎金类型：虚拟货币（比特币）

自2017年5月WannaCry勒索软件在全球范围大爆发后勒索攻击就成为了企业面临的重大网络安全风险之一，也是黑客及攻击组织最常使用的攻击手段，而近两年黑客和攻击 组织对于企业的勒索方式已发生了改变，从以往单纯加密用户数据、勒索赎金解密逐渐增加成了在攻击过程中窃取企业隐私数据和商业信息并威胁不交付赎金则会公布企业内部私用数据的方式进行勒索，这种以发布企业隐私数据和商业信息的勒索方式造成的危害巨大，企业不仅要面临隐私数据泄露还要面临相关法规、财务和声誉受损的影响从而大大增加了攻击者勒索的成功率

勒索软件也随着云计算业务的发展趋势而转移目标，未来有越来越多公司业务迁移到虚拟机，诸如BlackBasta瞄准Linux服务器下虚拟机的勒索攻击活动也会在未来逐渐形成流行事态

参考链接

https://baike.baidu.com/item/%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92/16623990?fr=aladdin

http://it.rising.com.cn/d/file/it/dongtai/20220906/lsrjzhbg.pdf

原文始发于微信公众号（七芒星实验室）：【勒索专题】勒索病毒基本介绍