17/70 勒索软件前世今生

今天时间紧迫，请允许我偷偷懒。
前一阵勒索软件WannaCry盛行，最近需要做一个勒索软件的相关分享，顺带着把调研结果放到上，帮助大家普及一下勒索软件。

本文将从以下几方面介绍勒索软件

1. 勒索软件是什么鬼
2. 历史与演进
3. 案例
4. 勒索软件相关知识
5. 其他平台的勒索软件
6. 解密方法与防御措施

1. 勒索软件是什么鬼

勒索软件（RansomWare）是一种流行的木马程序，通过骚扰、恐吓甚至采用绑架用户电子资产等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。

关键字：
骚扰、恐吓、绑架
勒索钱财

骚扰、恐吓、绑架

1.1 勒索钱财

邮寄现金
汇款转账
短信支付
Q币
…
Bitcoin

Bitcoin

早期的勒索软件采用传统的邮寄方式接收赎金，要求受害者向指定的邮箱邮寄一定数量的卢布。
2006年的redplus木马要求受害者向指定银行账号汇款
手机病毒Koler要求受害者向指定号码发送可以产生高额费用的短信，勒索300美金。
直到比特币（比特币是一种 P2P 形式的数字货币，可以兑换成大多数国家的货币）这种虚拟货币支付形式出现后，由于它可以为勒索软件提供
 更为隐蔽的赎金获取方式，2013 年以来，勒索软件逐渐采用了比特币为代表的虚拟货币的支付方式。可以说，虚拟货币的出现，加速了勒索软件的
 泛滥。 当然，另一个重要的因素是匿名网络和匿名支付的高度成熟。
 

2. 勒索软件的历史与演进

2.1勒索软件的演进史

演进史

2.2 勒索软件崛起的原因

1. 存在出售高端成熟的勒索软件（RaaS）服务，越来越多的不法分子发现这种攻击方式利润丰厚而加入市场。
2. 勒索工具、开发包和服务的易用性和破坏力不断提高
3. 比特币匿名支付和匿名网络带来的犯罪隐蔽性
4. 其他原因：成熟丰富的加密算法、动态域名

2.3 2016-5~2017-5流行的勒索软件

2016-5~2017-5流行的勒索软件

3. 案例

3.1 Cerber

Cerber.png

3.1.1 Cerber的演进

Cerber的演进

3.2 Locky

从Locky开始，勒索软件彻底进入了爆发阶段。下图是Locky运行后截图。

Locky.png

3.2.1 Locky的演进

Locky的演进

3.3 WannaCry

Paste_Image.png

3.3.1 WannaCry演进

WannaCry是最近流行的勒索软件，利用了微软漏洞。感染了大批量机器。

WannaCry演进

3.3.2 网络军火工具使用

1. Shadow Brokers（影子经纪人）公布的方程式组织使用的“网络军火”中包含了基于445端口的SMB漏洞MS17-010的利用程序。
2. 源码免费公开，导致许多人加以利用。

4. 勒索软件相关知识

4.1 勒索软件的主要传播手段

勒索软件的主要传播手段

4.2 勒索软件攻击流程

1. 执行和解包、收集系统信息；
2. 修改注册表设置、以保持持久性；
3. 禁用系统还原并删除备份中的所有内容；
4. 通过C&C来获取将用于加密文件的公钥；
5. 枚举系统文件；
6. 阅读文件并加密；
7. 加密文件写入到一个新的文件，删除原始文件；
8. 从本地机上获得加密密钥并发送回C&C。

4.3 典型勒索软件的加密方式对比

加密方式对比

5. 其他平台的勒索软件

5.1 移动平台的勒索软件

2014年开始出现移动终端的勒索软件，其主要恶意行为是：给手机设置锁屏密码、置顶勒索界面，勒索用户付费解锁、加密SD卡上的文件。

伪装FBI的勒索界面，拍照显示当事人面貌，上传设备信息，强制将自身程序解锁的界面置顶、甚至还有说如果你不交赎金就向你的朋友发送你浏览黄色网站。

5.2 工控平台（SCADA）的勒索软件

工控平台（SCADA）的勒索软件

6. 解密方法与防御措施

6.1 解密方法

就目前而言，勒索软件多采用非对称加密方式，除使用攻击者提供的密钥外，破解密码的可能性几乎为零。现有的勒索软件解密工具主要是通过以下几个方式获得秘钥，恢复被加密的文件：

1. 研究人员通过逆向分析，发现勒索软件执行上的逻辑漏洞，根据漏洞获得加密密钥或者跳过密钥直接解密文档。
2. 有些勒索软件保存解密密钥的服务器被当地警方发现，警方在服务器中找到了大量密钥。这些密钥是由感染勒索软件的计算机生成后上传到此服务器中保存的。它们在感染者交付赎金后被用作加密文档的解密密钥。警方与一些技术公司合作，根据从服务器中取出的解密密钥制作了相应的解密工具。
3. 勒索软件保存密钥的服务器被安全厂商反制，在取得服务器权限后，将服务器内的密钥导出制作成相应勒索软件的解密工具。
4. 解密密钥被其他竞争对手泄露或是勒索软件作者主动将密钥交出。
5. 一些勒索软件加密算法复杂程度较低，加密过程照搬其他现有的加密算法或者只做小部分修改，使得研究人员可以编写程序暴力破解，计算出对应的解密密钥。
6. 密钥在上传的过程中没有使用加密的通讯协议，被技术人员截获解密密钥。

6.2 预防勒索软件的部分安全建议

PC用户

1. 及时备份重要文件，且文件备份应与主机隔离；
2. 及时安装更新补丁，避免一些勒索软件利用漏洞感染计算机；
3. 尽量避免打开社交媒体分享等来源不明的链接，给信任网站添加书签并通过书签访问；
4. 对非可信来源的邮件保持警惕，避免打开附件或点击邮件中的链接；
5. 定期用反病毒软件扫描系统，如杀毒软件有启发式扫描功能，可使用该功能扫描计算机。

Android平台的移动终端用户

1. 安装手机杀毒软件；
2. 由可靠的安卓市场下载手机应用程序；
3. 尽量少或者不访问博彩、色情等潜在危险程度较大的网站。

随着比特币的流行，宙斯远控木马的代码开源，影子经纪人的工具泄露，当前世面出现的病毒越来越模块化，隐蔽性更强，只有大家都加强安全防范意识。才是王道。