勒索病毒演义

如果你对信息安全有所关注，近几年应该听说了很多有关勒索软件的消息，甚至已经遭受过攻击。毫不夸张的说，勒索软件是当今时代最危险的恶意软件。

但是，你知道吗？这种恶意程序并不是这几年的“新生儿”，它已经存在有30多年了，并且经研究人员推测，现代袭击的许多特征可以追溯到90年代中期。加密为何代替了锁屏？历史上最大的赎金是多少？AIDS艾滋病与这一切有什么关系？

在这篇文章中，整理了勒索软件的历史，其中包含了对上述问题以及更多问题的解答。让我们一起来追踪过去几十年中锁屏程序、加密程序、雨刷程序和其他勒索软件的发展。

勒索软件字典

在文章正式开始前，先对文本中经常出现的专业术语作一些解释：

1、**密码学（**Cryptography **）：**防止外部人阅读机密信息的一种科学。加密是密码学的一方面。

2、对称加密（Symmetric encryption）：一种数据加密方法，其中使用一个密钥对信息进行加密和解密。

3、非对称加密（Asymmetric encryption）：一种涉及使用两个密钥的数据加密方法，一个公共密钥用于加密信息，一个私有密钥用于解密信息。只知道公钥无法进行解密，还需要知道私钥。

4、RSA ：常用的非对称加密算法。

5、勒索软件（Ransomware）：迫使受害者向攻击者支付赎金的任何恶意程序。勒索包括锁屏程序、加密程序和伪装成加密程序的雨刷程序。

6、锁屏程序（Blocker）：一种勒索软件，一般会弹出窗口或锁定屏幕，阻止对计算机或移动设备的访问，要求受害者支付赎金。

7、加密程序（Cryptomalware (cryptor)）：一种勒索软件，用于加密用户文件，导致用户无法使用它们。

8、雨刷程序（Wiper）：一种旨在擦除受害者设备上的数据的恶意软件。有时，模拟一个加密程序的勒索软件实际上是一种雨刷程序，对文件造成了不可挽回的损害。因此，即使支付了赎金，也仍然无法恢复数据。

9、勒索软件及服务（RaaS (Ransomware-as-a-Service)）：一种网络犯罪方式，创建者将勒索软件租借给任何想要借此赢利的人。

1989年首次勒索软件攻击 

生物研究员Joseph L. Popp博士创建了第一个已知的加密程序，这个过程中Popp利用了人们对艾滋病的广泛兴趣，因此他的恶意软件被称为AIDS Trojan。

那时，互联网还处于起步阶段，因此Popp使用了现在看来非常原始的传送方法。在收到WHO AIDS（世卫组织艾滋病会议）和PC Business World（个人电脑商业世界）杂志订户的邮寄名单后，他向受害者发送了一张带有“ AIDS Information Introductory Disk”（艾滋病信息介绍盘）标签的软盘，以及安装该程序的详细说明。许可协议称，通过安装该程序，用户同意向该公司支付378美元。但谁会认真对待这样的事情呢？

实际上，安装程序的作用是将恶意软件传送到硬盘，当你执行安装程序的时候，恶意软件就会传递到硬盘驱动器。在启动了一定数量的系统后，AIDS木马即被激活，对受感染计算机的“C：”驱动器上的文件名（包括扩展名）进行加密。名称变成一堆乱七八糟的随机字符，从而使文件无法正常使用。要打开或运行文件，首先需要弄清楚文件应具有的扩展名并手动进行更改。

与此同时，该恶意软件在屏幕上显示一条消息，指出软件试用期已结束，用户必须支付订阅费：一年189美元，终身访问378美元。这笔钱将转入巴拿马的一个帐户。

该恶意软件使用了对称加密，因此恢复文件的密钥就包含在代码中。该问题相对容易解决：检索密钥，删除恶意软件，然后使用密钥恢复文件名。到1990年1月，Virus Bulletin编辑顾问Jim Bates已经创建了AIDSOUT和CLEARAID程序来实现这一目的。

后来，约瑟夫·波普（Joseph Popp）被捕，但法院认为他精神上有问题，不适合受审。然而，讽刺的是，他在十年后出版了《大众进化：人类学的生命教训》（Popular Evolution: Life-Lessons from Anthropology a decade later）一书。

1995-2004Young,Yung和未来的勒索病毒

也许是因为AIDS 病毒未能让其创造者发家致富，所以在当时，这种以赎金为目的的加密数据想法并没有激发犯罪分子的兴趣。直到1995年，科学界才对它产生了兴趣。

密码学家Adam L. Young和Moti Yung开始着手研究更为强大的计算机病毒。他们提出了使用非对称加密算法的勒索软件的概念。

他们的模型使用的加密方法不是添加一个必需的密钥到程序代码中，而是使用公共和私有两个密钥，从而将解密密钥保密。而且，Young和Yung设定受害者将不得不使用当时尚不存在的电子货币付款。

这两位网络安全先知在1996年的IEEE安全性和隐私会议上表达了他们的想法，但并没有得到与会人员的认可。2004年，他们出版了《恶意密码学：暴露密码病毒学》（Malicious Cryptography: Exposing Cryptovirology）一书，在书中Young和Yung将他们的研究成果系统化。

2007-2010锁屏软件的黄金岁月

当恶意加密程序还在等待时机的时候，另一种新的勒索软件已悄然崛起：锁屏程序。这种相当原始的恶意软件通过将其添加到Windows的启动进程中，从而干扰了操作系统的正常运行。此外，为了防止自身被删除，许多锁屏软件都阻止了注册表编辑器和任务管理器的运行。

这类恶意软件使用了多种方法来阻止受害者使用计算机，比如弹出一个无法关闭的窗口导致你无法返回桌面。一种常见的付款方式是发送特定内容到一个特殊的号码。

清除这种锁屏程序通常不需要防病毒程序，但手动删除这种恶意程序需要用户有相当多的专业知识。例如，必须从应急光盘引导系统，以安全模式启动或以其他配置文件登录Windows，要能够通过注册表清除病毒的加载项。

虽然这类木马风险较小，但其编写和传播的简便性弥补了其不足，任何人都可以用自己的方法进行传播和分发，有时，该恶意软件还会使用栽赃的伎俩，在受害者桌面上放置色情横幅，并声称受害者查看了违禁内容（该策略至今仍在使用）。由于勒索者索要的赎金并不是很高，所以许多人采用的方式是付款息事宁人，而不是寻求专业人士的帮助。

2010年采用非对称加密的加密恶意软件

2011年，加密恶意软件开发人员大幅提高了他们的游戏水平，并且正如Yung和Young所预言的那样，开始使用非对称加密。例如，对GpCode密码的修改是基于RSA算法的。

2013年CryptoLocker混合勒索软件

2013年末，混合了加密和锁屏两形式的“混血儿”-混合型勒索病毒出现。这增加了网络犯罪分子牟取暴利的机会，因为即使删除恶意软件也无法恢复受害者对文件的访问权限。这些“混血儿”中最臭名昭著的可能就是CryptoLocker了。该恶意软件以垃圾邮件的形式分发，其背后的网络犯罪分子从中牟取了一定数量的比特币赎金。

2015年用加密代替了锁屏

2015年，卡巴斯基侦测到加密恶意软件感染数量激增，攻击数量增长了5.5倍。加密的方式开始取代了锁屏的方式。

对数据进行加密的方式盛行的原因有很多。首先，一个重要的原因是用户的数据要比操作系统和应用程序有价值得多。操作系统和应用程序可以重装，而数据不能。通过加密，网络犯罪分子可能会要求更高的赎金，并且更有可能获得成功。

其次，到2015年，加密货币被广泛用于匿名汇款，因此攻击者不再害怕被追踪。比特币和其他加密数字货币使得勒索者可轻易获得大笔赎金且不必担心被追踪。

2016年大规模勒索软件

勒索软件作为网络安全领域的一支力量，一直在持续增长，到2016年勒索软件修改数量增长了5倍，平均勒索金额从0.5比特币到数百比特币不等（价值仅为当今价格的一小部分）。攻击的主要重点从个人用户转移到单位和企业用户，人们开始谈论这一新兴的犯罪行业的出现。

网络犯罪分子不再需要自己开发恶意软件，他们只需购买现成的。例如，Stampado勒索软件的“终身许可证”开始销售，犯罪分子借由“在一段时间后删除随机文件”来威胁、吓唬受害者支付赎金。

勒索软件也在RaaS（Ransomware-as-a-Service）模式下可用，这个术语是随着加密机RaaS的出现而出现的。这种模式促使助勒索软件更广泛地传播。

除企业和家庭用户外，勒索者开始以政府和市政组织为目标。HDDCryptor就是一个典型的例子，它感染了2,000多台旧金山市政运输局的计算机。网络罪犯要求市政运输局交付100 BTC（当时约合70,000美元）来恢复系统，但该机构的IT部门设法自行解决了该问题。

2016-2017Petya，NotPetya和WannaCry

2016年4月，名为Petya的新恶意软件出现了。先前的加密程序保留了完整的操作系统以允许受害者支付赎金，而Petya完全破坏了受感染的计算机。它以MFT（主文件表）为目标（MFT是一个数据库，用于存储硬盘驱动器上文件和文件夹的整个结构）。

尽管破坏性很强，但Petya的渗透和传播机制很粗糙。为了激活它，受害者必须手动下载并运行一个可执行文件，这使得感染的可能性降低。事实上，如果不是另一个勒索软件——名字恰如其分的WannaCry，它可能不会有太大的影响。

2017年5月，WannaCry感染了全球超过500,000台设备，造成了40亿美元的损失。它是怎么做到的？该病毒利用了Windows中一个非常危险的“永恒之蓝”漏洞。该木马渗透了网络，并在受害者的计算机上安装了WannaCry。然后，该恶意软件继续传播，并传播到本地网络上的其他设备。在受感染的系统内部，WannaCry行为正常，对文件进行加密并要求赎金。

WannaCry爆发后不到两个月，又出现了另一种加密软件，也针对“永恒之蓝”进行了修改：NotPetya，也称为ExPetr。NotPetya吞噬了整个硬盘。

此外，NotPetya对文件分配表进行了加密，即使在支付了勒索赎金后也难以解密，它实际上是伪装成加密软件的擦除程序。NotPetya造成的总损失超过100亿美元。

WannaCry攻击造成了灾难性的后果，以至于微软为它不再支持的操作系统XP发布了一个紧急补丁。而其他受支持的系统的更新其实早在这个病毒出现之前就已经存在，但是很多人并没有及时的更新这个补丁，所以这种勒索在很长一段时间持续发挥了威力。

2017年一百万美元用于解密

除了史无前例的损失外，2017年还创下了另一个记录，是单个组织最大的赎金。韩国网络主机商Nayana同意支付100万美元（从4.5倍的价格协商下来），以解除对感染了Erebus密码的计算机的封锁。

最令专家们感到惊讶的是，该公司公开宣布了支付赎金，因为大多数受害者对此都是讳莫高深。

2018-2019对社会的威胁

过去几年，公用事业和社区设施遭到了大规模勒索软件攻击。交通、水、能源和医疗机构发现自己面临的风险越来越大。网络罪犯就指望他们付清赎金了，对这些单位而言，即使有非常大的赎金要求，他们往往也会支付，因为一旦系统停滞也就意味着成千上万的人将会陷入困境。

例如，在2018年，对英国布里斯托尔机场的一次勒索病毒攻击使得机场的显示大屏中断了整整两天。工作人员只能使用白板展示航班信息，所幸的是机场方面的反应是迅速而有效的，并未对机场声誉造成太大的损失。据我们所知，机场没有取消任何航班，也没有向勒索者支付任何赎金。

但是美国一家医院Hancock Health的反应就不是很好，在SamSam勒索软件袭击其系统后，支付了4 BTC（当时为$ 55,000美元）。首席执行官史蒂夫龙（stevelong）表示，当地马上面临一场即将来临的暴风雪，而且当时是流感高发期，医院没有太多的时间用来处理和恢复这些电脑中的数据。

总体而言，2019年美国有170多个市政机构成为勒索软件的受害者，赎金要求高达500万美元。在这样的组织中及时给操作系统打补丁可能是一件很困难的事，而这些旧的系统漏洞更容易被犯罪分子所利用。

2020年规模扩大和数据泄露勒索

除了不断上升的感染规模、后果和勒索金额，2020年还出现了一个“史诗级”的混合方法，黑客通过勒索软件加密数据，如果不支付赎金，黑客威胁将信息泄露给竞争对手或将其公布。现如今大家对于个人数据的敏感度很高，这对一家企业来说都可能造成致命一击。早在2019年，梅兹集团就首次掌握了这一策略，但是直到2020年，这一策略才成为一种真正的趋势。

Transform Hospital Group的整容手术链是2020年最引人注目的事件之一。REvil黑客组织加密并窃取了900GB的患者信息，包括患者术前和术后的照片，攻击者威胁如果不付款要将这些数据进行公布。

此外，加密恶意软件运营商在2020年采用了一系列新策略。例如，REvil集团开始拍卖被盗信息，网络犯罪分子还联合成卡特尔型组织。第一个是Maze小组，该小组开始发布LockBit密码器窃取的信息。据网络罪犯称，他们现在与LockBit紧密合作，为数据泄漏提供平台并共享知识。

他们还吹嘘说另一个著名的组织RagnarLocker即将加入卡特尔集团，这是一个对受害者资源进行DDoS攻击的先驱，这是对勒索公司施加压力的另一杠杆。

总    结

在三十年的时间里，勒索软件已经从一个相对无害的玩具演变成对所有平台用户，尤其是企业的严重威胁。为了防范攻击，一定要遵守的安全规则——如果黑客成功攻占了你的系统，一定要向网络安全专家寻求帮助，不要对网络犯罪分子的命令言听计从。

**注：**本文为翻译文章

翻译：大兵说安全

原作者：列昂尼德·格鲁斯尼（Leonid Grustniy）

欢迎扫描二维码关注：大兵说安全