从90年代到今天，我们面对的勒索软件有哪些变化？

本文主要作者Elie Bursztein为 谷歌反欺诈研究小组的首席研究员。
本文主要介绍的是目前全球范围内勒索软件犯罪团伙中的“领头羊”，并分析了他们之所以可以影响整个世界信息安全环境的原因。该文为我们用文字上演一部现代勒索软件发展大电影；同时也让我们在了解“敌人”的情况后可以更好地部署防范工作。

AIDS trojan是世界上第一个被载入史册的勒索软件，由PC Cyborg犯罪团伙于1989年开发。在那个普通人都接触不到计算机的年代，他们利用软盘（PC中最早使用的可移介质）开发了这款勒索软件。这个软件伪装成评估受艾滋病毒感染风险的工具，采用的是最基本最脆弱的密码学。PC Cyborg要求受害者将189美元汇至位于巴拿马的某个地址。


2014年CryptoLocker的出现标志着勒索软件行业开启了全新的时代，具有决定性意义。它是第一个将所有关键技术结合起来的勒索软件，构成了现代勒索软件的基础。

通过强大的公钥密码技术加密用户文件，完全没有无需支付赎金即可恢复文件的漏洞可钻。CryptoLocker案件被彻底破获时，解密工具才面世。

以比特币作为交易货币。尽管CryptoLocker也提供了其它支付方式，但开发者着重强调了比特币支付对受害者来说是最划算的。

设置最晚支付时间，给受害者施加压力。CryptoLocker规定受害者必须在收到通知后的72小时内支付赎金，否则他所有的文件都将被销毁。

对于CryptoLocker整个组织在这次行动中究竟谋取了多少不义之财，人们也是众说纷纭。但可以肯定的是，数目一定是上百万的（维基百科的数字是约300万美元，我们的估算是200万）。CryptoLocker是欧州国际刑警组织、FBI和众多知名信息安全公司联合进行的托瓦尔行动（Operation Tovar）中的其中一个成功案例。


Locky毫无疑问是2016年的勒索软件之王。2016年单月所获赎金最高达到了200万美元，Locky也是历史上少数收益达几百万美元的勒索软件之一。其总额接近800万美元的地位甚至到目前为止都能排上No.1。

Locky影响范围如此之广的主要原因是幕后人员整合了其它恶意分子已经开发好的现成的基础设施来传播勒索软件payload。例如，在Gmail中，我们发现Locky几乎完全依赖Necurs这个大型的僵尸网络来完成恶意负载的传播。这个僵尸网络也常常被其它网络犯罪团伙所利用，其中包括银行木马Dridex。

利用现成资源让Locky团伙具备充分的时间和精力去研究他们的“核心业务”（勒索软件的开发与迭代），同时发送无数的恶意邮件。根据我们对Gmail邮箱攻击的持续观察，Locky的最高记录仅在三个小时内就发送了1亿多个恶意邮件。

简单总结Locky：
利用其他网络犯罪分子的基础设施扩大影响范围，成为2016年勒索软件领域的主力军，并在整个过程中牟取暴利达800万美元。


2017年，Cerber凭借创新的联盟商业模式超越了Locky这个独霸一方的“山大王”。在勒索软件即服务的模式中，Cerber通过网络犯罪领域中技术level较低的菜鸟向任何能够感染他人的用户提供cut的方式掀起大浪。让非团队成员选择自己的感染策略，这也拓宽了Cerber的分销渠道，最终远远地将Locker甩在了身后。另外，这样的模式也使得Cerber成为历史上“收入最稳定”的勒索软件。截至2017 Q2，Cerber每个月至少能够产生20万美元的非法收入。

Cerber的遥测显示，它的每个分支感染分布的确隐藏着一些重要信息。首先，遥测工作证实了Cerber成功的关键在于招募了团体外的数百名网络犯罪人员来帮助传播恶意程序。其次，遥测显示，Cerber的传播联盟规模实际并不大，只有几个分支，也就是说，我们只需要打击几个犯罪团伙就能够彻底打垮Cerber。

Cerber凭借创新的联盟模式成为2017年最大的勒索软件家族，总收益近700万美元。


从2016年年底开始，新的勒索软件的出现一定程度上削弱了Cerber的风头。在所有的竞争对手中，Spora、SamSam和Al-Namrood“脱颖而出”，他们的不法收入均超过100万美元。这些勒索软件家族存在一个共性：深谙“创新促发展”的道理，比如提供更好的“用户体验”。受害者可以选择多种支付和解密方式，大大提高了赎金支付几率。

到2017年底，整个市场不再是单个勒索软件集团的“主场”，相反地，这似乎已经变成了一场竞赛，很多攻击者都在想方设法地超越自己的竞争对手，不断改进软件、拓展分销渠道。这样的局势对普通网民来说却是一场灾难。最终哪些勒索软件能够在比赛中名列前茅不得而知，但不得不再次强调的是，2016年的Locker实力极其雄厚、不可小觑。

“随着网络犯罪组织之间的竞争愈演愈烈，谁都想扩张自己的市场份额，勒索软件的复杂性也将日益增加！”


只要提到勒索软件，很多人最为印象深刻的就是那场Wannacry和Nonpetya带来的噩梦。更精确的说法是，Wannacry和Nonpetya实际上属于wipeware（清除软件，其唯一的目的即彻底损毁所有的文件数据），而不是ransomware（勒索软件）。人们普遍认为，这两个恶意软件都受到了某国家政府的支持，故意伪装成勒索软件，隐匿行踪、混淆视听，延长调查周期。

wipeware与ransomware差异很小，区分它们非常困难，而且大多数情况下只有通过大量的逆向工作才能实现。以下两个信号能够为读者区分两者提供一定参考：
wipeware只使用随机值作为加密密钥，且对密钥不作保存；
wipeware不需要为每个受害者生成比特币钱包用作成功感染后的赎金收取。

如果遭遇wipeware，支付赎金只会让你血本无归。

优炫操作系统安全增强系统（RS-CDPS）
随着勒索软件的不断发展，信息安全环境面临的威胁也越来越大。基础软件中的操作系统安全更是整个信息安全中最核心的环节，是其他软件安全运营的基础。目前，现有操作系统存在系统安全漏洞、自主访问控制问题以及脆弱的认证体系等缺陷。当操作系统遭受攻击，就可能造成极其严重的后果。

面对新时期网络威胁新常态，已呈现出由网络安全向数据安全转变、由被动防御向主动保护发展的趋势。当下部署相应的主动防御类网络安全工具是关键。

优炫操作系统安全增强系统（RS-CDPS）通过安装在服务器的安全内核保护服务器数据，通过截取系统调用实现对文件系统的访问控制，以加强操作系统安全性。它具有完整的用户认证，访问控制及审计功能，不用更改操作系统就可以安装，提供信息系统主动防护功能，操作方便、易于系统管理和安全管理。