基本介紹
- 中文名:勒索軟體
- 外文名:ransomware
- 類型:惡意軟體
傳播手段,表現形式,分類,典型家族,贖金支付方式,威脅趨勢,
傳播手段
勒索軟體的傳播手段與常見的木馬非常相似,主要有以下幾種:
1.藉助網頁木馬傳播,當用戶不小心訪問惡意網站時,勒索軟體會被瀏覽器自動下載並在後台運行。
2. 與其他惡意軟體捆綁發布。
3. 作為電子郵件附屬檔案傳播。
4. 藉助可移動存儲介質傳播。
表現形式
一旦用戶受到勒索軟體的感染,通常會有如下表現形式,包括:
1. 鎖定計算機或移動終端螢幕 。
2. 借防毒軟體之名,假稱在用戶系統發現了安全威脅,令用戶感到恐慌,從而購買所謂的“防毒軟體”。
3. 計算機螢幕彈出類似下圖的提示訊息,稱用戶檔案被加密,要求支付贖金。
分類
根據勒索軟體所使用的勒索方式,主要分為以下三類:
1. 影響用戶系統的正常使用。比如 PC Cyborg、QiaoZhaz(Trojan/Win32.QiaoZhaz)等,會採用鎖定系統螢幕等方式,迫使系統用戶付款,以換取對系統的正常使用。
2. 恐嚇用戶。比如 FakeAV(Trojan[Ransom]/Win32.FakeAV)等,會偽裝成反病毒軟體,謊稱在用戶的系統中發現病毒,誘騙用戶付款購買其“反病毒軟體”。又如Reveton(Trojan[Ransom]/Win32.Foreign),會根據用戶所處地域不同而偽裝成用戶所在地的執法機構,聲稱用戶觸犯法律,迫使用戶支付贖金。
3. 綁 架 用 戶 數 據 。 這是近期比較常見的一種勒索方式,最典型的是CTB-Locker家 族(Trojan[Ransom]/Win32.CTBLocker),採用高強度的加密算法,加密用戶文檔,只有在用戶支付贖金後,才提供解密文檔的方法。
典型家族
已知最早的勒索軟體出現於 1989 年,名為“愛滋病信息木馬”(Trojan/DOS.AidsInfo,亦稱“PC Cyborg木馬”),其作者為 Joseph Popp。該木馬程式以“愛滋病信息引導盤”的形式進入系統,採用替換 AUTOEXEC.BAT(DOS 系統檔案,位於啟動盤根目錄,檔案為檔案格式,用於描述系統啟動時自動載入執行的命令)檔案的方式,實現在開機時記數。一旦系統啟動次數達到 90 次時,該木馬將隱藏磁碟的多個目錄,C 盤的全部檔案名稱也會被加密(從而導致系統無法啟動)。此時,螢幕將顯示信息,聲稱用戶的軟體許可已經過期,要求用戶向“PC Cyborg”公司位於巴拿馬的信箱寄去 189 美元,以解鎖系統。作者在被起訴時曾為自己辯解,稱其非法所得用於愛滋病研究。2001 年,專門仿冒反病毒軟體的惡意代碼家族(Trojan[Ransom]/Win32.FakeAV)出現,2008 年左右開始在國外流行。該惡意代碼家族的界面內容為英文,又因為當時國內部分反病毒廠商已經開始採用免費的價格策略,所以該惡意代碼家族在國內不容易得逞,對國內影響相對較小。FakeAV 在偽裝成反病毒軟體欺騙用戶的過程中,所使用的窗體標題極具迷惑性。據安天 CERT 統計,其標題有數百種之多,常用標題如下表所示:
AntiSpyWare2008 反間諜軟體 2008 ;
AntiVirus2013 反病毒軟體 2013 ;
Security Defender 安全衛士 ;
ScannRepair 掃描修復工具 ;
Virus Doctor 病毒醫生 ;
Spyware Cleaner 間諜軟體清除者/終結者 ;
System Care Antivirus 系統護理防毒 ;
Data Recovery 數據恢復;
AVDefender 2014 反病毒衛士 2014 ;
AVSecurity 2015 反病毒安全 2015;
Adware Checker 廣告軟體清除者/終結者。
2005 年出現了一種加密用戶檔案的木馬(Trojan/Win32.GPcode)。該木馬在被加密檔案的目錄生成具有警告性質的 txt 檔案,要求用戶購買解密程式。所加密的檔案類型包括:.doc、.html、.jpg、.xls、.zip 及.rar。2006 年出現的 Redplus 勒索木馬(Trojan/Win32.Pluder),是國內首個勒索軟體。該木馬會隱藏用戶文檔和包裹檔案,然後彈出視窗要求用戶將贖金匯入指定銀行賬號。據國家計算機病毒應急處理中心統計,來自全國各地的該病毒及其變種的感染報告有 581 例。在 2007 年,出現了另一個國產勒索軟體 QiaoZhaz,該木馬運行後會彈出“發現您硬碟內曾使用過盜版了的我公司軟體,所以將您部分檔案移動到鎖定了的扇區,若要解鎖將檔案釋放,請電郵 [email protected] 購買相應軟體”的對話框。
贖金支付方式
早期的勒索軟體採用傳統的郵寄方式接收贖金(比如 Trojan/DOS.AidsInfo),會要求受害者向指定的信箱郵寄一定數量的贖金。我們也發現了要求受害者向指定銀行賬號匯款(比如 Trojan/Win32.Pluder)和向指定號碼傳送可以產生高額費用的簡訊(比如 Trojan[rog,sys,fra]/Android.Koler)的勒索軟體。直到比特幣(比特幣是一種 P2P 形式的數字貨幣,可以兌換成大多數國家的貨幣)這種虛擬貨幣支付形式出現後,由於它可以為勒索軟體提供更為隱蔽的贖金獲取方式,2013 年以來,勒索軟體逐漸採用了比特幣為代表的虛擬貨幣的支付方式。可以說,虛擬貨幣的出現,加速了勒索軟體的泛濫。
威脅趨勢
2015年1月,Cryptowall 家族新變種(3.0)被發現使用I2P 匿名網路通信,在一天內感染288個用戶,該變種在加密受害者的檔案後,向其勒索比特幣,同時還有直接竊取用戶比特幣的行為。2月和4月新出現的勒索軟體家族Tesla Crypt和Alpha Crypt,被發現利用了Adobe 新近修復的Flash安全漏洞。同樣利用這些漏洞還有 CTB-Locker、CryptoWall、TorrentLocker、BandarChor、Angler 等家族。其中最為值得關注的是CTB-Locker,它使用了高級逃逸技術,可以躲避某些安全軟體的檢測。2015年4月30日,安天CERT曾接到用戶提供的含有CTB-Locker 的郵件附屬檔案,用戶稱已將該附屬檔案提交至第三方開放沙箱,懷疑其具有專門攻擊國產辦公系統的行為。經安天CERT分析確認,在該樣本中並未發現針對國產辦公環境的攻擊能力。但隨著勒索軟體的持續泛濫和攻擊手段的花樣翻新,不能排除未來會出現專門針對我國辦公環境的勒索軟體。從目前獲取的勒索軟體新家族看,多數仍是採用社工手段群發郵件,但這些郵件往往緊隨潮流趨勢,令人防不勝防。比如:據 threatpost 報導,CTB_Locker 家族已經開始採用包含“Windows 10 免費升級”(Upgrade to Windows 10 for free)標題的社工郵件傳播。
