1991年，一位生物學(xué)家曾通過(guò)郵件向其他艾滋病研究人員傳播PC Cyborg，這便是有史以來(lái)的第一個(gè)勒索軟件。

在00年左右，Archiveus則是第一個(gè)使用加密的勒索軟件，雖然它早已被攻克，但現(xiàn)在仍舊能在網(wǎng)上搜到它的光輝戰(zhàn)績(jī)。

到了10年，網(wǎng)絡(luò)中出現(xiàn)了一系列“警察”勒索軟件包，因?yàn)檫@些軟件自稱(chēng)是執(zhí)法部門(mén)用來(lái)警告犯法者并要求支付罰款的;并且開(kāi)始使用匿名支付來(lái)避免暴露自身。

近些年來(lái)，隨著加密貨幣的興起，勒索軟件又出現(xiàn)了新的趨勢(shì)：使用加密貨幣作為網(wǎng)絡(luò)犯罪分子的資金流動(dòng)渠道。

因?yàn)榧用茇泿啪邆淠涿覠o(wú)法追蹤的特點(diǎn)，幾乎成了為網(wǎng)絡(luò)犯罪分子量身定做的產(chǎn)品。

而加密貨幣中，又以比特幣為甚，因其價(jià)格的波動(dòng)性充滿了吸引力。

經(jīng)過(guò)多年的發(fā)展，勒索軟件已經(jīng)成為與國(guó)際陰謀、間諜等事件同量級(jí)的問(wèn)題。

本文就將對(duì)近五年來(lái)發(fā)生過(guò)最大的幾次勒索軟件攻擊事件作出盤(pán)點(diǎn)。

一、TeslaCrypt最初被當(dāng)作CryptLocker的一個(gè)變種出現(xiàn)，后來(lái)便被單獨(dú)命名為T(mén)eslaCrypt。

該軟件的行為很有特點(diǎn)：它的主要針對(duì)目標(biāo)是視頻游戲的相關(guān)輔助文件，例如游戲存檔、各種可下載的內(nèi)容以及地圖文件等。

這些內(nèi)容對(duì)于游戲玩家來(lái)說(shuō)是不可或缺的，并且多數(shù)也會(huì)存儲(chǔ)在本地計(jì)算機(jī)中，大大增加了勒索軟件的成功率。

截止2016年，TeslaCrypt在勒索軟件攻擊中占據(jù)了48%的比例。

除此之外，該軟件還有一個(gè)神奇的點(diǎn)在于，2016年初，它還在全世界范圍內(nèi)肆虐，如果沒(méi)有軟件使用者的幫助，想要恢復(fù)文件基本是不可能的，但到了年中時(shí)段，TeslaCrypt創(chuàng)建者便對(duì)外宣稱(chēng)已經(jīng)結(jié)束了所有的惡意活動(dòng)，并主動(dòng)提供了解密密鑰。可以說(shuō)是匪夷所思了～

二、SimpleLocker隨著移動(dòng)端設(shè)備日益發(fā)達(dá)，越來(lái)越多的數(shù)據(jù)開(kāi)始存儲(chǔ)在移動(dòng)設(shè)備，其具備的價(jià)值也越來(lái)越高，勒索軟件也開(kāi)始將側(cè)重點(diǎn)逐漸轉(zhuǎn)移到了移動(dòng)設(shè)備上。

其中，Android是攻擊者首選的平臺(tái)，在2015年底至2016年初，Android設(shè)備在移動(dòng)端被惡意軟件感染的概率飆升了近四倍。

彼時(shí)移動(dòng)端的防護(hù)手段還多以“阻止”為主，僅僅通過(guò)阻止用戶(hù)訪問(wèn)UI的部分內(nèi)容顯然是不夠的。

到了2015年末，一種名為SimpleLocker的“激進(jìn)派”惡意軟件開(kāi)始廣泛傳播，這也是出現(xiàn)在Android系統(tǒng)中的第一次以文件加密使用戶(hù)無(wú)法訪問(wèn)的方式進(jìn)行勒索的攻擊事件，以當(dāng)時(shí)的安全防御手段，可以說(shuō)是束手無(wú)策。雖然說(shuō)該軟件出生于東歐，但多數(shù)受害者卻位于美國(guó)地區(qū)。

好消息是，雖然該軟件的感染率在不斷增加，但相對(duì)于總數(shù)，這個(gè)數(shù)量并不龐大——截至2016年底受感染人數(shù)也不過(guò)15萬(wàn)人，這對(duì)Andriod龐大的用戶(hù)群體來(lái)說(shuō)不過(guò)是九牛一毛。

多數(shù)用戶(hù)試圖通過(guò)從Google Play官方商店下載應(yīng)用程序以避免被惡意軟件感染，但隨著官方不斷爆出安全問(wèn)題，針對(duì)勒索軟件的防范仍舊難以避免。

SimpleLocker至今還是一個(gè)潛在的威脅。

三、WannaCry2017年中，兩起勒索軟件攻擊事件在全球蔓延，攻擊直接導(dǎo)致了烏克蘭的一家醫(yī)院和加州廣播電臺(tái)關(guān)閉，也使得世界第一次正視勒索軟件攻擊的嚴(yán)重性。

其中一起便是威震四海的WannaCry。

研究人員表示這“可能是史上最嚴(yán)重的一次勒索軟件攻擊”。

是年5月12日，WannaCry出現(xiàn)在歐洲網(wǎng)絡(luò)中，僅僅四天之后，便在全球116個(gè)國(guó)家及地區(qū)中檢測(cè)到了超過(guò)250000起惡意事件。但WannaCry真正的影響遠(yuǎn)超這個(gè)數(shù)字。RepaQuest首席技術(shù)官Joe Partlow指出，這是“第一次通過(guò)利用NSA泄露的工具發(fā)動(dòng)的黑客攻擊行為。

因?yàn)槎鄶?shù)系統(tǒng)的445端口處于開(kāi)放狀態(tài)，因此其利用微軟的一個(gè)SMB協(xié)議漏洞便可以實(shí)現(xiàn)勒索。”雖然微軟早已發(fā)布了針對(duì)該漏洞的補(bǔ)丁，但仍然有很多沒(méi)有安裝補(bǔ)丁的用戶(hù)。

由于WannaCry并不需要與用戶(hù)發(fā)生任何互動(dòng)，因此也通過(guò)該漏洞在不斷傳播，時(shí)至今日，安全領(lǐng)域仍舊不敢對(duì)其掉以輕心。

四、NotPetya如果說(shuō)WannaCry開(kāi)啟了網(wǎng)絡(luò)攻擊新時(shí)代，那么NotPetya的存在便是對(duì)這一點(diǎn)的最好證明。

Petya是一個(gè)勒索軟件包，起源可以追溯到2016年，在WannaCry爆發(fā)幾周之后，它也不甘寂寞的出現(xiàn)了一個(gè)新版本，并且同樣使用了WannaCry的EtrnalBlue軟件包。

并且由于該軟件的發(fā)展歷程早已超出其起源，因此研究人員將其稱(chēng)為NotPetya。人們猜測(cè)它實(shí)際上根本就不是勒索軟件，而是俄羅斯對(duì)烏克蘭發(fā)動(dòng)網(wǎng)絡(luò)攻擊的偽裝。無(wú)論是哪一種，該軟件的出現(xiàn)也都讓人們明白了一個(gè)道理。

RedLock的首席執(zhí)行官Varun Badhwar表示，從WannaCry開(kāi)始，惡意軟件便呈現(xiàn)出了不可阻擋的趨勢(shì)。

在網(wǎng)絡(luò)世界中，不論是惡意軟件漏洞還是工具都極易傳播，并且使用者也可以從犯罪分子覆蓋到平頭百姓再到國(guó)家、政府部門(mén)等。NotPetya如此迅速的傳播證明了全世界仍然有很多組織并沒(méi)有重視網(wǎng)絡(luò)安全，WannaCry便是前車(chē)之鑒。

五、SamSam使用SamSam的攻擊最早出現(xiàn)在2015年，在隨后的幾年內(nèi)開(kāi)始被頻繁使用，并且獲得了一系列亮眼的“戰(zhàn)績(jī)”，例如科羅拉多交通局、亞特蘭大市的眾多醫(yī)療機(jī)構(gòu)等等。

SamSam的特別之處在于：它不會(huì)像普通勒索軟件一樣尋找某些特定的漏洞，而是將勒索軟件作為一項(xiàng)服務(wù)，通過(guò)探測(cè)來(lái)搜索并選擇可利用的目標(biāo)，隨后利用漏洞來(lái)進(jìn)行下一步操作。一旦該軟件進(jìn)入系統(tǒng)，攻擊者便會(huì)立即進(jìn)行提權(quán)，并開(kāi)始進(jìn)行加密攻擊。盡管多數(shù)安全研究人員認(rèn)為SamSam起源于歐洲，但其攻擊多數(shù)針對(duì)的卻是美國(guó)地區(qū)用戶(hù)。

2018年底，美國(guó)司法部起訴兩名伊朗人，稱(chēng)其是該軟件襲擊事件的幕后黑手;起訴書(shū)表示，此二人通過(guò)勒索軟件造成了超過(guò)3000萬(wàn)美元的損失。

六、RyukRyuk是另一個(gè)勒索軟件的變種，在2018和2019年廣受歡迎。

該軟件以專(zhuān)門(mén)攻擊“對(duì)設(shè)備停機(jī)時(shí)間容忍度較低”的組織聞名，比如報(bào)社、北卡羅來(lái)納水務(wù)公司等等。

其中，洛杉磯時(shí)報(bào)曾對(duì)自己遭到攻擊進(jìn)行了描述：“Ryuk的一個(gè)非常狡猾的點(diǎn)在于，它可以在被感染計(jì)算機(jī)上禁用Windows自帶的系統(tǒng)還原選項(xiàng)，這使得受害者除了支付贖金以外的選項(xiàng)進(jìn)一步減少。他們往往會(huì)索要巨額贖金，這個(gè)額度還會(huì)與被攻擊者的價(jià)值而浮動(dòng)。而且這些喪心病狂的人并不會(huì)在意任何攻擊的時(shí)間，哪怕是圣誕節(jié)這種日子。”分析專(zhuān)家表示，Ryuk源代碼主要來(lái)源于Hermes，后者是朝鮮著名黑客組織Lazarus的產(chǎn)品。但這并不能表明朝鮮就是攻擊的始作俑者。

McAfee認(rèn)為，Ryuk的構(gòu)建代碼來(lái)自基于俄語(yǔ)的供應(yīng)商，這么認(rèn)為的原因是該勒索軟件無(wú)法在語(yǔ)言設(shè)置為俄語(yǔ)、烏克蘭語(yǔ)或白俄羅斯語(yǔ)的計(jì)算機(jī)上運(yùn)行。

提名：CryptoLocker在這里我們還要提起一位“特別嘉賓”——CryptoLocker，因?yàn)樵撥浖谖覀兊慕y(tǒng)計(jì)時(shí)間之外。

CryptoLocker于2013年現(xiàn)世，它的出現(xiàn)正式開(kāi)啟了大規(guī)模勒索軟件的時(shí)代。

CryptoLocker通過(guò)郵件附件來(lái)傳播，使用RSA公鑰來(lái)加密用戶(hù)文件，并向用戶(hù)索取贖金。

Avast的戰(zhàn)略總監(jiān)Jonathan Penn指出，僅在2013年底至2014年初，就有超過(guò)500000臺(tái)計(jì)算機(jī)被CryptoLocker感染。

作為一款勒索軟件，CryptoLocker算是比較原始的，并最終被Operation Tovar(一個(gè)白帽活動(dòng)，它擊潰了控制CryptoLocker的僵尸網(wǎng)絡(luò)，并在此過(guò)程中發(fā)現(xiàn)了該軟件用于加密文件的私鑰)擊敗。

但正如研究人員所說(shuō)，CryptoLocker的出現(xiàn)，開(kāi)啟了加密勒索的大門(mén)，有很多后續(xù)的勒索軟件都是基于CryptoLocker編寫(xiě)的，例如CryptoWall(該軟件在2015年的勒索軟件中感染比例高達(dá)50%)。

并且這些“子孫”也為犯罪分子帶來(lái)了約300萬(wàn)美元的收益。

時(shí)代更迭盡管勒索軟件的存在是十足的威脅，但在2018-2019年，勒索軟件出現(xiàn)的頻率已經(jīng)開(kāi)始了大幅下降：2017年，勒索軟件影響了全球約48%的企業(yè)、組織機(jī)構(gòu)，到了2018年這個(gè)比例僅為4%。

造成這個(gè)現(xiàn)象的原因有幾種：勒索軟件的攻擊越來(lái)越多的開(kāi)始針對(duì)特定目標(biāo)進(jìn)行定制化攻擊，例如SamSam和Ryuk。

2017年48%的數(shù)字聽(tīng)起來(lái)可能令人震驚，但其中包括了很多僅僅是收到釣魚(yú)郵件的目標(biāo)，這些實(shí)際上的威脅非常小。

雖然有針對(duì)性的攻擊影響范圍變小了，但成功率卻比以往要高得多。

勒索軟件是一種非常“引人注目”的攻擊，其要求受害者采取一系列積極的措施來(lái)實(shí)現(xiàn)自身的收益。

例如，受害者需要搞清楚什么是比特幣、怎么用比特幣(畢竟還存在那么多電腦小白)，然后再評(píng)估他們是否愿意支付贖金或是是否會(huì)采取其他補(bǔ)救措施。

事實(shí)證明，如果攻擊者的目標(biāo)是通過(guò)滲透其他人的計(jì)算機(jī)系統(tǒng)來(lái)獲取比特幣，那么就可以采取加密攻擊的方式。

加密劫持多年來(lái)一直遵循一樣的套路：在計(jì)算機(jī)主人不知情的情況下取得計(jì)算機(jī)控制權(quán)，并將其變?yōu)橥诘V設(shè)備，在后臺(tái)進(jìn)行加密貨幣的挖掘。

巧合的是，2018年以來(lái)，勒索軟件攻擊大幅下降，而加密劫持的比例卻增加了480%。

作者：【深圳維創(chuàng)推薦】文件加密軟件--為企業(yè)數(shù)據(jù)安全保駕護(hù)航！輕松實(shí)現(xiàn)企業(yè)內(nèi)部文件自動(dòng)加密，加密后的文件在企業(yè)內(nèi)部正常使用，未經(jīng)許可私自拷貝外發(fā)出去，都將無(wú)法打開(kāi)使用！對(duì)于發(fā)送給第三方的文件可實(shí)現(xiàn)控制打開(kāi)時(shí)間，打開(kāi)次數(shù)等防泄密參數(shù)！同時(shí)可設(shè)置對(duì)員工電腦文件自動(dòng)備份，防止惡意刪除造成核心數(shù)據(jù)的遺失！從源頭防止企業(yè)核心文件被外泄！

【本文關(guān)鍵詞】：加密軟件，文件加密，文檔加密，圖紙加密軟件，防泄密軟件，CAD加密軟件，文件外發(fā)加密