2005年起，勒索軟件便成為了最普遍的網絡威脅。公開信息統計，過去11年來，勒索軟件感染數量比數據泄露事件數量還多，分別是7694件和6013起。

勒索軟件一直以來走的是兩種不同的技術路線：加密和鎖定。基于加密的勒索軟件是真的加密受害者的文件、目錄、硬盤等等。而基于鎖定的勒索軟件則只是鎖定設備，讓用戶無法登錄，常見于安卓系統中。

新一代勒索軟件融合了高級分發與開發技術，比如預置基礎設施以便簡單而廣泛地分發新變種，利用加殼器確保難以逆向等等。另外，離線加密方法也越來越多地被勒索軟件加以利用，比如微軟的CrytoAPI之類合法系統功能就常被勒索軟件征用，省去了對命令與控制(C2)通信的需求。

Solutionary的安全工程和研究團隊成員特倫斯對這些年的勒索軟件焦點事件及其進化過程進行了回顧。

"艾滋"木馬(AIDS)

第一款勒索軟件病毒——AIDS木馬，是哈佛學生約瑟夫·L·波普在1989年創造的。2萬份受感染的軟盤被分發給了世衛組織國際艾滋大會的參加者手中。該木馬的主要武器是對稱加密。解密工具沒花多少時間就修復了文件名，但這一舉動激發了隨后近乎30年的勒索軟件攻擊。

Archievus

在首款勒索軟件散布17年后，另一款勒索軟件被發布了。很不幸，新勒索軟件比前者難清除得多，是勒索軟件歷史上第一款使用了RSA加密的。Archievus木馬會將系統中“我的文檔”里面的所有文件都加密，需要用戶從指定網站購買密鑰才可以解密文件。Archievus也是首款已知的使用非對稱加密的勒索軟件。

2011年的無名木馬

相隔5年，主流匿名支付服務讓黑客利用勒索軟件秘密斂財更加容易了。產品相關的勒索軟件木馬在同年開始成為主流。一款模仿Windows產品激活通知讓用戶重新激活系統的木馬就是詐騙用戶的勒索軟件。該軟件提供虛假在線激活選項，但用戶無法通過這個選項激活產品，只能按照引導去撥打一個國際電話。勒索軟件宣稱該號碼是免費的，但呼叫實際上一接通便被擱置，讓用戶在遭受勒索軟件感染之余還要承擔高額國際長途話費。

Reveton

名為Reveton的勒索軟件木馬開始席卷歐洲。該款勒索軟件基于Citadel木馬，宣稱受感染計算機被用于非法活動，想解鎖系統，用戶就得使用匿名預付現金服務的代金券支付罰款。在一些變種里，計算機屏幕會播放攝于該計算機攝像頭的視頻，制造“罪犯”在被記錄的假象。此事件后不久，涌現了一股“基于警方”的勒索軟件風潮，其中包括有Urausy和Tohfy。

在美國也發現了Reveton的新變種，宣稱需要使用MoneyPak卡向FBI支付200美元罰款。

Cryptolocker

2013年9月是勒索軟件歷史上的一個轉捩點，因為CryptoLocker誕生了。CryptoLocker是第一款通過被控網站下載或偽裝客戶投訴電郵附件進行傳播的加密型惡意軟件。由于威脅行為人利用了現有的 GameOver Zeus僵尸網絡基礎設施，CrytoLocker的擴散非常迅速。2014年的Tovar行動暫時遏制了 GameOver Zeus 木馬，CryptoLocker便開始盯上分發和支持所用的點對點基礎設施進行傳播。

CryptoLocker利用AES-256算法加密帶特定后綴名的文件，然后用C2服務器上產生的2048比特RSA密鑰來加密該AES-256密鑰。C2服務器建在Tor網絡中。這讓解密萬分困難，因為攻擊者將RSA公鑰保存在了他們的C2服務器上。使用CryptoLocker的黑客會威脅受害者說，如果沒在3天內收到贖金，私鑰就會被刪除。

Cryptodefense

2014年，CryptoDefense，一款使用Tor和比特幣潛藏蹤跡，利用2048比特RSA加密的勒索軟件，發布了。CryptoDefense采用了Windows內置CryptoAPI加密接口，私鑰存在受感染計算機的明文文本中——不幸的是，此一漏洞卻沒能立即被發現。

CryptoDefense的作者很快又推出了改進版——CryptoWall。與CryptoDefense不同，CryptoWall不將加密密鑰存放在用戶能接觸到的地方了。因為利用了Cutwail僵尸網絡垃圾郵件發送，CryptoWall成為了廣泛傳播的勒索軟件，其目標主要針對美國。

CryptoWall通過Angler一類漏洞利用工具包分發，是Upatre行動最終下載的載荷。其數個活躍行動都是由通過唯一ID追蹤它們的威脅行為人操控的。CryptoWall展示了惡意軟件開發中的進步之處，它能通過加入注冊表鍵值和將自身復制到自啟動文件夾來在系統中長期駐留。

2015年，網絡威脅聯盟針對一次全球性的CryptoWall行動發布了一份報告，這次行動需要包括4層以上的基礎設施才能操作，但斂取了3.25億美元財富。

Sypeng和Koler

Sypeng可謂是首款基于安卓的勒索軟件，它可以鎖定受害者屏幕，顯示FBI處罰警告消息。通過短信發送的虛假 Adobe Flash 更新是Sypeng的傳播途徑。價值200美元的MoneyPak卡是其索要的贖金。

Koler與Sypeng極其相似，也利用了虛假“警方”處罰和MoneyPak。Koler可被認為是第一款“鎖定蠕蟲”——它包含自我繁殖技術，會向手機聯系人列表里的所有人發送定制消息，讓他們訪問特定URL，下載自身并鎖定受害者的系統。

CTB-Locker和SimplLocker

與之前的其他變種都不一樣，CTB-Locker直接與位于Tor網絡中的C2服務器進行通信，絲毫不使用由代理、僵尸網絡、多個比特幣錢包等組成的多層基礎設施。它也是第一款開始刪除Windows影子卷的勒索軟件。2016年，CTB-Locker進行了升級，專門針對網站。

SimplLocker同樣是在2014年被發現的。因為它不是簡單地鎖定設備不讓用戶登錄，而是加密文件和目錄，SimplLocker也被認為是第一款“基于加密”的安卓移動設備勒索軟件。

LockerPin

去年9月，美國開始流傳一款侵略性的安卓勒索軟件。ESET安全研究人員發現這是第一款能真正重置手機PIN碼，永久鎖定設備的惡意軟件。該惡意軟件被命名為LockerPin，能修改受感染設備的PIN碼，留給受害者一個永遠鎖屏的手機。LockerPin要求500美元才幫受害者解鎖。

勒索軟件即服務(RaaS)始于2015年。此類服務通常包含用戶友好的勒索軟件工具包，可在黑市上買到。價格在1000到3000美元之間，賣家會從買家收益中抽取10%到20%的抽成。通常認為，Tox是首先出現且散布最廣的RaaS工具包。

TeslaCrypt

TeslaCrypt同樣出現于2015年，因為其開發者推出了約4個版本，有可能成為持續性威脅。它先是通過Angler漏洞利用工具包分發，然后逐漸采用了其他工具投放。TeslaCrypt使用AES-256加密文件，然后用RSA-4096加密AES私鑰。Tor匿名網絡里的C2域被用來進行數據支付和載荷投放。其基礎設施包含多個層級，包括代理服務器。TEslaCrypt自身便十分先進，包含有能在受害機器上長期駐留、自我修復的各種功能。2016年，TeslaCrypt作者將其主解密密鑰交給了ESET。

LowLevel04和Chimera

LowLevel04勒索軟件在2015年被發現，針對的是遠程桌面和終端服務。與其他勒索軟件行動不同，攻擊是由攻擊者手動完成，先遠程潛入服務器，在手動分發勒索軟件前映射出內部系統和驅動器。此案例中，攻擊者刪除了應用、安全日志和系統日志。

Chimera在2015年年末被發現。這是第一款“doxing”勒索軟件，受害人的敏感或私密文件會被威脅要被發布到公網上。Chimera使用了BitMessage的P2P通信協議進行C2通信。最后發現，這些C2服務器其實就是Bitmessage節點。

RAnsom32和7ev3n

Ransom32是首款用JavaScript寫成的勒索軟件。該惡意軟件自身體積非常之巨大，足有22MB。它的NW.js腳本可以執行其他用C++或Delphi寫成的勒索軟件所擁有的功能。Ransom32被認為是游戲改變者——因為它理論上可跨平臺使用，Linux、Mac OSX和Windows都不能幸免。

7ev3n為公眾所知只是近幾個月的事。它要求的贖金高達13比特幣，可以說是索要贖金最高的勒索軟件了。7ev3n不僅僅是加密然后勒索，它還會搗毀Windows系統。該惡意軟件的作者是特別專注于確保7ev3n能摧毀修復被加密文件的任何可能性。7ev3n-HONE$T隨后被發布出來，降低了贖金要求，添加了一些效率功能。

LOcky

2016年，EDA2和 Hidden Tear 的作者在GitHub上公布了源代碼，宣稱是為了研究意圖。發現了此代碼的人迅速復制并對代碼進行了定制修改，造成了勒索軟件變種的大爆發。

同年，臭名昭著的Locky出現。通過泛濫的網絡釣魚和利用早已覆蓋全球的Dridex基礎設施，Locky開始流傳開來。由于肯塔基、加利福尼亞、堪薩斯和國外的多家醫院均遭感染，Locky登上了多家報紙頭條。威脅行為人馬上發現，感染醫療保健必備設施的相關系統會帶來巨大收益，因為多家醫院都立即支付了贖金。于是，針對醫療保健行業的帶勒索軟件下載釣魚電郵攻擊趨勢抬頭。

SamSam

SamSam，或者說SAMAS勒索軟件是專門針對JBoss服務器的。在利用漏洞安裝SamSam之前，威脅行為人先利用JexBoss工具偵察JBoss服務器。與其他勒索軟件不同，SamSam包含了一個信道，可供攻擊者通過一個 .onion 網站與受害者直接實時聯系。

KeRanger

首款“官方” Mac OSX 勒索軟件，KeRanger發現于2016年，通過OSX的BT傳輸客戶端傳播。該勒索軟件使用了MAC開發證書簽名，可以繞過蘋果的GateKeeper安全軟件。

Petya

Petya流傳于2016年，通過Drop-Box投放，能重寫受感染機器的主引導記錄(MBR)，然后加密物理硬盤驅動器自身。在加密硬盤的時候還會顯示假冒的CHKDISK屏顯。如果其索要的431美元贖金未在7天之內收到，贖金金額還會翻倍。Petya后來還進行了升級，包含了第二個載荷，也就是Mischa勒索軟件變種，該變種并不加密硬盤。

Maktub

Maktub同樣發現于2016年，且其開發者還試圖創建極端復雜的變種。它還是第一款利用Crypter(加殼器)加密自身源代碼的勒索軟件。Maktub沒有使用C2服務器進行密鑰檢索和存儲，而是使用了 Windows CryptoAPI進行離線加密。

Jigsaw

Jigsaw的勒索通告使用了《電鋸驚魂》系列電影里的Jigsaw角色(拼圖殺人狂)。如果150美元的贖金未被支付，它將會每60分鐘刪除一份文件。另外，如果受害者試圖終止該進程，或者重啟機器，它就會馬上刪除1000份文件。

CryptXXX

2016年5月底，CryptXXX是散布最嚴重的最新勒索軟件變體。研究人員稱，鑒于感染過程中的相似足跡，該勒索軟件與Reveton有關聯。CryptXXX通過多種漏洞利用工具包進行傳播，主要是Angler，但通常會在Bedep感染后發現CryptXXX的蹤跡。其包含的功能有，但不局限于：反沙箱技術、鼠標活動監測、定制C2通信協議、Tor贖金支付。

ZCryptor

微軟發布了一篇文章詳細描述了一款名為ZCryptor的新型勒索軟件變體。除了其前輩們都有的加密文件、添加注冊表項確保駐留等功能，ZCryptor還可以被理解為首款“加密蠕蟲”。它通過垃圾郵件傳播，有自繁殖技術，能感染外部設備和網絡中的其他系統，加密每臺機器和共享硬盤。

勒索軟件的“未來”

專家預測，2016年還將繼續見證更多新變種的誕生。這些變種中，有可能只有少數，會在其作者和網絡黑幫的努力下帶來嚴重影響。勒索軟件的作者在延續開發周期，升級已有變種，或制作新變種的同時，加強軟件彈性和駐留能力的額外功能也將成為勒索軟件的標配。

帶有這些功能的變種，如果結合廣泛的基礎設施和匿名網絡及支付服務，將會是全球噩夢。隨著威脅行為人試圖確保花費較少精力卻帶來更多收入，不遠的將來還將包含進繁殖技術絲毫不出乎預料。近期的變種開始利用加殼器加密自身源碼就昭示著，勒索軟件作者已經知道有研究人員試圖逆向他們的“作品”了。這些逆向工程和分析的結果將有助于勒索軟件開發者改進他們自己的勒索軟件變種。

似乎離線加密，那些不需要C2基礎設施來創建、維護和分發私鑰、公鑰的勒索軟件變種，將會繼續在基于Windows的勒索軟件中看到，攻擊者們會大量利用微軟的內置功能。