近日Flashpoint對當前的惡意勒索活動作出了一份報告，并在報告中對惡意勒索活動作出了獨到的見解。

惡意勒索真的那么賺錢?

前一段時間有報道稱， 惡意勒索軟件Nuclear EK的作者每月收入高達10萬美元，對此可以看出惡意軟件勒索已經(jīng)演變成一種生意行為了。從報告中的得到的信息，甚至還可以分析到，一個年輕人可以獨自操作去騙錢。Flashpoint對去年12月份俄羅斯網(wǎng)絡黑幫的斗爭進行了分析，對招募新成員、付款流程、惡意軟件分發(fā)給其成員都作出了說明。

2012年是該種勒索軟件活動的一個高峰時段，勒索軟件雇主在招聘人員時會做出一個承諾——可以獲取金錢。一個勒索軟件雇主通常有10-15個下線，當有人受到惡意勒索軟件影響時，下線可要求雇主支付300美元的傭金。勒索軟件感染用戶的途徑主要有：僵尸網(wǎng)絡、電子郵件、社交網(wǎng)絡、文件共享網(wǎng)站等，而支付方式也還是比特幣。另外根據(jù)分析可以得知惡意勒索軟件首要目標選擇的是醫(yī)療行業(yè)，當然也不僅僅限于這一個行業(yè)。

這種勒索方式就是典型的勒索軟件即服務(RAAS)，特點是以上下線的方式存在，也就是說“老板”雇傭人員來執(zhí)行勒索活動。比如之前的一個經(jīng)典案例，攻擊者釋放勒索軟件，加密Mac OS用戶的文件，然后留下支付贖金的支付方式和聯(lián)系方式。

這次主要是針對俄羅斯目前狀況進行的研究，主要分析對象是違法活動的社區(qū)平臺還有惡意勒索軟件樣本(2015年-目前)，對于下線主要以招募的形式為主，內(nèi)容如下

“祝你今天過的順利，這個建議主要是針對想要賺錢的人，無抵押無押金，這不是通常的那種賺錢方式，如果你有想法可以利用業(yè)余時間賺錢，當然可以利用我的軟件達到雙贏的局面，有工作經(jīng)驗最好，沒有也沒關(guān)系，如果你想要加入就可以收到一個文件，這里面包括詳細的指南，哪怕是在校生也可以做到，而你僅僅需要的是時間和想法，操作簡單收益豐厚，無風險，在工作中可以積累經(jīng)驗，如果你成功完成工作量就可以獲得現(xiàn)金獎勵，而在這個時間不需要你去制作軟件，也不需要處理其它細節(jié)。”

加密是重點

OK，下面就說一下認定受害者之后怎樣下手。這里可以利用僵尸網(wǎng)絡來完成，前期可以先去某些論壇購買惡意軟件，然后利用僵尸網(wǎng)絡散發(fā)出去。電子郵件以及社交平臺可以通過發(fā)送郵件的方式來攻擊受害者，對于文件共享網(wǎng)站可以利用有吸引力的一些方式來誘導受害者，其實方法也不僅僅限于此，可能隨著時間的推進，有可能出現(xiàn)更高明的方式，當然在這些方法里面都會以復雜的算法來加密受害者的文件，然后勒索受害者，最后只有獲得適合自己的密匙才能解密。

　　報告中有幾處值得注意的地方

1.從當前角度來看，這種勒索活動已經(jīng)開始降低門檻了。

2.勒索活動并不想象是那么賺錢的，在分析中可知其核心人物一年的收入在9萬美元

3.這個是一種典型的勒索軟件即服務(RAAS)

那么上下線是如何交流的呢?一旦下線人員完成任務就可以通過郵件來聯(lián)系“老板”，然后老板會驗證真實性，最后發(fā)放獎金(比特幣)。老板在收到受害者的贖金之后，也會向其同伙發(fā)送60%的獎金，而在受害者完全解密之前有可能收到加錢的要求。老板一旦獲得了屬于自己的那份之后，會立刻將錢轉(zhuǎn)到比特幣錢包中。下面這張圖就是從2012年開始統(tǒng)計的。

像這種犯罪團伙一般年收入在9萬美元左右，有些犯罪組織在收到贖金之后并不會給受害者或者受害企業(yè)提供解密密鑰，這就很尷尬了。