盡管勒索軟件問題直到現在才受到媒體和安全公司的廣泛關注,事實上自第一款我們所知的勒索軟件(AIDS Trojan)誕生至今已經過去了27年。卡巴斯基實驗室分析了2014~2016年間卡巴斯基用戶所反應的被勒索數據發現——勒索軟件正在飛速增長,基于locker的勒索軟件一如既往地令人擔憂。
從2014年到2015年,勒索軟件的增長可以說是爆發式的,這一年中勒索軟件數量相對于2014年整整翻了5倍,且支付金額也在快速增加。
勒索軟件作為一種惡意軟件常常感染人們的設備,勒索軟件會鎖定被勒索者的重要文件或是操作系統,致使設備中的文件無法被打開或訪問,并且伴隨著錢款勒索信息出現,支付方式以比特幣為主。勒索者通常會在被勒索者的屏幕上顯示交付贖金的方式和地址,甚至會手把手教你如何購買比特幣來提高勒索成功率。
如果不幸遭遇勒索軟件也不要慌張,有很多免費的工具能夠幫助你解鎖文件,嘗試失敗過后再交贖金也不遲。當然,也不要太過爽快地交付贖金,勒索者可能會因為你強大的支付能力再次實施勒索。
一些主要發現
自2014年4月到2015年3月,全球范圍內受到勒索軟件敲詐的用戶數量一年之內上漲了17.7%(從1,967,784 例上升到 2,315,931例)
遭遇勒索軟件一次以上的用戶數量上升0.7個百分點。2014年-2015年遭遇多次勒索軟件攻擊的用戶占總受害者人數的3.63%,2015-2016占4.34%。
在這些受害者中,遭到加密型勒索軟件的用戶比例爆發式增長,達到25個百分點,從2014年的6.6%到2015年的31.6%。數量整整增加了5.5倍,從2014年的 131,111 例增加到2015年的718,536例。
遭到Win-locker型勒索軟件敲詐的用戶數量下降13.03%,從2014年的1,836,673例下降到2015年的1,597,395例。
勒索軟件簡史
一個勒索軟件的命運要靠自我奮斗,也要考慮到歷史的行程。勒索軟件并不新鮮,已經以各種形態存在了近20年,它可以分為兩種性質的勒索:
1、基于locker的勒索軟件。顧名思義,這種勒索軟件會阻止受害者訪問目標文件。
2、基于加密的勒索軟件,他們給受害者的重要文件加密使得受害者不得不交出贖金才能訪問文件。
基于locker的勒索軟件
第一起真正意義上的勒索軟件“疫情”發生在2010年,數以千計的俄羅斯以及周邊國家的家庭用戶受到了影響。他們的電腦屏幕被勒索窗口占滿,對方要求給受害者給指定的手機號發送指定的內容,就會解除瀏覽器鎖定。
這個事件的規模越來越大,受害者數量劇增,甚至俄羅斯的司法機構開始介入,從電視到博客都經過媒體的大肆報道。
2010年8月,在莫斯科抓捕了數個罪犯,這幾個罪犯都是制作locker軟件的開發人員。據悉,該組織的非法收入大約有5億盧布(約1250萬歐元)。
基于locker的勒索軟件的崛起是必然的,因為編寫這種勒索軟件并不需要很強的編程能力,而且還能獲得不菲的收入,因此地下論壇中這種locker隨處可見,如此簡單的獲利方式成功地吸引了大批的低水平網絡犯罪者。
2010年底,卡巴斯基實驗室的研究人員預測:
盡管逮捕了這些勒索軟件的開發者,但是并沒有從根本上解決勒索軟件的問題。網絡犯罪者會從其他渠道向受害者索取贖金,比如說電子貨幣系統。
幾年后勒索軟件的大逆轉驗證了這位研究員的預測。
基于加密的勒索軟件
數年之前,風云突變。比特幣的誕生給勒索軟件帶來又一春。比特幣具有無法被追蹤的特點的同時還擁有健全的支付系統,因此被廣泛運用在網絡犯罪中,基于加密的勒索軟件如雨后春筍般涌現,深受網絡犯罪者的喜愛。這個時期的勒索軟件迎來了一次轉變:它們不再鎖住受害者的操作系統轉而開始加密硬盤中的文件。
轉變的原因很簡單,因為加密文件的效率啊,efficiency。個人的文件是獨一無二的,對于用戶來說被加密的文件如果是無可替代的,那么他支付贖金的概率就會很高。隨著基于加密的勒索軟件的出現,解密工具也應運而生,加密與解密技術之間的對抗從未停止。如果犯罪者想要加強加密算法的強度,那么他可能需要花數百到數千美元向勒索軟件的開發人員或是公司購買。
這兩種勒索軟件的最大的區別就在于:locker的加密勒索的損傷是可逆的。即使在最壞的情況下,一個受感染的PC的所有者可以簡單地重新安裝操作系統,來奪回文件的所有權。而基于加密的勒索軟件遠比基于locker的復雜,因為要解密已加密的文件必須有加密密鑰,而加密密鑰通常在加密者手中。強行解密很有可能損壞文件,造成巨大的損失,這也是勒索軟件被企業用戶所厭惡的原因之一,因此自覺主動地保護文件顯得格為重要。
成功感染的后果的嚴重性也是為什么加密勒索受網絡犯罪分子追捧的原因之一。
一時間,年輕人加密相對于長者locker來說并不普遍,但是精明的犯罪分子們并沒有花太多的時間就做出了轉變——由locker轉向加密。一直到2015年底,勒索攻擊的數量真正迎來了一次高潮。
據統計,在這一年中基于加密的勒索軟件增幅達到5.5倍,從2014年的 131,111 例增加到2015年的718,536例。
全球范圍內活躍的勒索軟件家族
受勒索人數排名前10位的國家為是印度,俄羅斯,哈薩克斯坦,意大利,德國,越南,阿爾及利亞,巴西,烏克蘭和美國。
然而,印度、阿爾及利亞、俄羅斯、越南、哈薩克斯坦、烏克蘭和巴西的勒索是仍然是基于locker的勒索軟件且版本較低。
2015年-2016年,以下四個勒索軟甲家族最為活躍:TeslaCrypt(獨占半壁江山,不過已經有針對的解密工具,文章回顧傳送門)、CTB-Locker、Scatter、Cryakl(已有解密工具)。這四個家族幾乎占了80%的勒索軟件市場。
值得一提的是,勒索軟件的目標也隨著它的成長在發生轉變,基于加密的勒索軟件更多地瞄準企業。據統計,2015年遭到勒索軟件攻擊的企業比例較2014年翻了一番,從6.8%上漲到13.13%。
Reference To
http://www.theinquirer.net/inquirer/news/2462564/ransomware-attacks-increase-fivefold-in-just-one-year
https://securelist.com/analysis/publications/75145/pc-ransomware-in-2014-2016/
http://www.securityweek.com/history-and-statistics-ransomware?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A%20Securityweek%20%28SecurityWeek%20RSS%20Feed%29
https://blog.kaspersky.com/ransomware-blocker-to-cryptor/12435/
*本文作者:bimeover,轉載請注明來自FreeBuf(FreeBuf.COM)
京公網安備 11010502049343號