勒索软件演变趋势探析

金翔宇

摘要：勒索软件严重地威胁着网络安全，是人类面临的共同挑战。随着时代的发展，勒索软件呈现出许多新的发展趋势。发展趋势主要表现为6个方面：软件种类复杂化、勒索方式多样化、传播手段广泛化、支付方式隐蔽化、勒索目的多元化、破坏程度扩大化。

关键词：勒索软件；网络安全；病毒

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）30-0118-02

勒索软件（Ransomware）是一种特殊的恶意软件，被归类为阻断访问式攻击（denial-of-access attack）[1]。有的勒索软件只是单纯地将受害者的电脑、手机锁起来，而有的则系统性地对受害者硬盘上的文件、手机上的通讯录等进行加密。所有的勒索软件都有一个共同的目的：要求受害者在规定的时间内向指定的账户缴纳一定数额的赎金，以此作为受害者获取解密密钥的交换条件，否则，受害者无法取回对电脑、手机的控制权。勒索软件通常以木马病毒的形式传播，将自身掩盖为无害的文件，如通常假冒成普通的电子邮件等，来欺骗受害者点击链接下载，但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在联网的电脑间传播。

随着勒索软件的更新换代，其传播手段、传播速度、破坏程度、交易方式等都发生了显著变化。只有全面地了解勒索软件的演变趋势，才能更好地做好网络安全保护工作。鉴于此，笔者拟探讨勒索软件演变趋势，为网络安全保护提供参考。

1 软件种类复杂化

最早出现的勒索软件是1989年的AIDS Trojan病毒，由Joseph Popp制作。2万张受该木马病毒感染的软盘被分发给了国际卫生组织国际艾滋病大会的与会者。该木马病毒发作后，磁盘上的文件被加密，并声称用户的软件许可已经过期，要求受害者缴纳189美元的费用给PC Cyborg 公司以解除锁定[2]。该木马病毒开启了近30 年的勒索软件攻击历史。据ID Ransomware网站[3]统计，截至目前，全世界共发现了490种不同的勒索软件。

早期的勒索软件多为木马病毒，一般没有自我复制能力，主要通过邮件或者Web浏览等传播，传播速度相对较慢。2016年出现的ZCryptor勒索软件具有自我复制能力，随系统启动运行，被认为是第一个Crypto蠕虫病毒[4]。2017年5月爆发的WannaCry勒索病毒是一款蠕虫病毒，具有自我复制、主动传播能力，传播速度快、影响范围广，破坏力极强。

同一个勒索软件家族往往有多个变种，且变形速度相当快，如勒索软件Mole在短短的4天内就进行了3次变形。

2 勒索方式多样化

根据所使用的勒索方式，勒索软件主要分为三类[5]：一类是影响用户系统的正常使用。比如QiaoZhaz、DevLockeer、Koler、Locker、Cokri等，会采用锁定系统屏幕等方式，迫使系统用户付款，以换取对系统的正常使用。二类是恐吓用户。比如FakeAV等，会伪装成反病毒软件，谎称在用户的系统中发现病毒，诱骗用户付款购买其“反病毒软件”。又如Reveton会根据用户所处地域不同而伪装成用户所在地的执法机构，声称用户触犯法律，迫使用户支付赎金。三类是绑架用户数据。最典型的是CTB-Locker家族，采用高强度的加密算法，加密用户文档，只有在用户支付赎金后，才提供解密文档的方法。

3 传播手段广泛化

勒索软件的传播途径主要为邮件传播，一般通过社会工程学的原理诱骗收件人点击垃圾邮件、钓鱼邮件，或者邮件中的链接，导致电脑感染病毒，从而实施勒索。随着人们网络安全防范意识的提高，勒索软件也通过其他途径进行传播，如漏洞传播、网页挂马传播、借助可移动介质传播、与其他恶意软件捆绑传播、社交网络传播等，Cerber 就是利用工具Rig-V ExploitEK通过垃圾邮件和漏洞进行传播的。

勒索软件即服务（Ransomware-as-a-Service，RaaS）的出现，加速了勒索软件的传播。勒索软件编写者通过暗网出售、出租或其他方式，让更多的人去实施勒索，而他们自己不需要去亲自执行，但仍然能从中获利。RaaS模式让勒索软件编写者扩大了犯罪的规模，而自己只承担最小的风险。Cerber就是依靠RaaS实现快速传播的，曾一度“领跑”勒索软件[6]。

此外，有的勒索软件通过诱使受害者将恶意代码链接传播给两名以上的其他人，其他受害者支付赎金后，最初的受害者就能免费获取解密密钥。如PopcornTime除了通过正常支付比特币外，还增加了这种“传销”解密的方式[2]。受害者为了解密文件很有可能将勒索软件再次传播出去，这无疑会加速勒索软件的传播。

4 支付方式隐蔽化

早期的勒索软件一般采用传统的方式接收赎金，要求受害者向指定的邮箱邮寄一定数量的赎金，或者向指定银行账号汇款，或者向指定号码发送可以产生高额费用的短信。使用的货币有人民币、美元、卢布等。随着比特币的出现，勒索软件的制作者逐渐采用了这种虚拟货币的支付方式，旨在充分利用比特币具有的全球化、去中心化和匿名性等优势来躲避被追踪。可以说，比特币的出现，加速了勒索软件的泛滥。

虽然比特币交易时是匿名的，但是比特币交易者身份实际上是可以追踪的，使用者支付时的IP地址是可查的。另外，比特币全网记账的特点，使它每一笔交易在所有记账节点都可以看到其交易的内容[7]。因此，多数交易者还是可以查到身份的。勒索软件制作者为了逃避追查，采用更加隐藏的洋葱路由（Tor），通过完全匿名的比特币交易方式获取赎金，如CryptoWall3.0和Petya在勒索支付阶段使用了Tor网络提供支付比特币赎金地址，勒索信息里就包含一条以“.onion”结尾的链接地址，告知受害者交易地址，这样就很难被追踪[8]。

5 勒索目的多元化

大多数勒索软件制作者的目的是为了获取金钱，这是一个不争的事实。然而，有些勒索软件的制作者似乎不是为了金钱，而是为了摧毁目标系统和數据，甚至是为了某些政治目的。endprint

針对2017年爆发的Petya（NotPetya）勒索软件，世界头号电脑黑客米特尼克表示，别以为黑客入侵电脑系统只是为了勒索，勒索软件只是他们的伪装，真正的目的是恶意摧毁目标系统[9]。与米特尼克持有相同观点的还有俄罗斯安全公司卡巴斯基实验室以及网络安全公司Comae。BBC也认为这次网络攻击的动机可能源于政治目的。来自Comae Technologies的研究员Matt Suiche同样认为这实际上是一场伪装的国家级网络攻击。

6 破坏程度扩大化

对个人而言，勒索软件不仅给受害者造成直接经济损失，而且会造成重要文档、珍贵图片等的丢失；对于企业而言，除缴纳赎金外，还会导致业务停顿，商业声誉受损等更为严重的损失；对于国家而言，勒索软件攻击关键基础设施系统，如电力、交通运输等，就可能严重影响国家安全、国计民生、公共利益。

2017年5月12日，WannaCry勒索病毒在全球爆发，该勒索病毒不但破坏了很多高价值数据，而且直接导致很多公共服务、重要业务、基础设施无法正常开展，多个国家的高校、加油站、火车站、自助终端、邮政、医院、出入境签证、交通管理等机构陷入瘫痪。此次网络攻击被认为达到了史无前例的级别。勒索软件已成为当今全球网络安全的主流威胁之一。

参考文献：

[1] 勒索软件[EB/OL].[2017-09-20].https：//zh.wikipedia.org/wiki/%E5%8B%92%E7%B4%A2%E8%BB%9F%E9%AB%94#citenoteacademia.edu.

[2] 安天安全研究与应急处理中心.勒索软件简史[J]. 中国信息安全，2017（4）：50-57.

[3] Which ransomwares are detected？[EB/OL]. [2017-10-01].https：//id-ransomware.malwarehunterteam.com/index.php.

[4] 姜正涛，李满意.全球网络共治新考验——勒索病毒Wannacry爆发[J].保密科学技术，2017（6）：10-13.

[5] 安天安全研究与应急处理中心. 揭开勒索软件的真面目[EB/OL].[2017-10-01]. http：//www.antiy.com/response/ransomware.html.

[6] Cerber. 借勒索软件即服务快速传播[EB/OL].[2017-10-01].http：//www.sohu.com/a/136327420_610481.

[7] 殷怡. 勒索病毒“绑架”比特币：黑客也是看上了它的支付优势[EB/OL].[2017-10-01].http：//www.yicai.com/news/5284244.html.

[8] ArkTeam. Tor的恶意应用[EB/OL]. [2017-10-01]. http：//www.freebuf.com/articles/network/133361.html.

[9] 钱童心. 世界头号黑客：勒索软件是网络犯罪的“障眼法”[EB/OL].[2017-10-01].http：//www.yicai.com/news/5308491.html.endprint