勒索病毒软件的历史:过去、现在及未来

我们一起来窥探勒索病毒的历史及它多年来如何进化的过程。

在2017年5月爆发大型的WannaCry恶意软件袭击成为世界头条并带来广为普罗大众使用的新词汇–勒索病毒。

在网络安全及技术的圈子里,勒索病毒已经是一个老生常谈的话题。事实上,在过去的十年来,勒索病毒可以说是市面上最多产和最普遍的网络威胁。根据美国政府的数据,自2005年以来的勒索病毒攻击次数已超过在线数据泄露威胁的次数了。

也许事实上,勒索病毒攻击传统上并不是全球性的,这样的的情况使的人们将其置于公众意识的大背景之下。WannaCry将这一切都颠覆改变。全世界有超过300,000台计算机受到影响,WannaCry让各大机构陷入崩溃,包括英国国家保健服务而成为新闻头条。

若是WannaCry是那种能让世界为之一惊并开始注意的大规模网络袭击的威胁的话,这就显示出它即将成型成一种趋势。由于用于散播勒索病毒的毒虫变得更为复杂细致,而且用来散播他们的的方法也越来越有效,很有可能的就是攻击的规模也会越来越巨大

在这篇文章中,我们会探讨勒索病毒的历史,追溯它的发展,一直到它从暗地里为非作歹到明目张胆大肆勒索,成为21世纪最大的网络安全威胁之一的过程。在我们一探未来可能预料发生的状况之前,我们会列出重大的事件、各种使用过的方法、导致近期全球袭击事件的主要创新等。

何为勒索病毒?

首先,有些定义上来说,勒索病毒是落在不良软件的等级,专门用来获取金钱上的利益。可是不像其他用于进行黑客袭击的病毒那样,勒索病毒不是专门设计来侵入计算机或信息科技系以从中盗取数据,也不是为了寻早可以诈骗金钱的受害者的软件,如各种假冒杀毒软件和网络钓鱼诈骗软件。

不幸的是,对于受害者来说,勒索病毒的效果只是太现实

勒索病毒是通过妨害计算机系统的操作程序,使其无法使用。届时涉案者就会对系统主人发出勒索信,要求对方付钱改变现状。

大多勒索病毒可被归纳成两类。一些勒索病毒会通过冻结中央处理器、占领用户的认证系统或类似的方法封锁用户使用他们的设备。其他种类的勒索病毒,通常指的就是一个加密勒索病毒,将会对存储驱动器及其内容进行加密,从而无法打开文件夹和文件或运行程序。

在大多数情况下,当一个勒索病毒在一个系统上被执行时,也会被启动发送勒索信息。这可能会从被锁住的系统中跳出来,或在受到加密攻击的情况下,甚至还会电邮或发送私信给受害人。

勒索软件史前史

艾滋病木马

最广为人知的勒索病毒袭击事件,其实早在我们如今所认知的在线威胁出现前的近乎20年前就发生过了。在1989 年,一名哈佛学生约瑟夫·鲍普出席了世界卫生组织的艾滋病研讨会。在为出席大会的准备过程中,它制作了20,000片软盘要发送给出席者们,命题为艾滋病信息-简介磁碟”。

那些不疑有他的出席者并不晓得的就是这个软盘其实包含了计算机病毒,在操作了磁碟内的其他内容以后,剩下的就会隐藏在受害者的计算机内一段时间。在计算机被重启了90次以后,这个病毒就会被激活,很快的就会将档案加密起来以及将目录隐藏起来。此时就会显示一个信息,通知使用者他们的系统会在他们对一个位于巴拿马的一个邮政信箱打款189美元后恢复正常。

鲍普教授的智慧超越了当时的时代,也只有在经历了16年之后才有人接下它创造勒索病毒的传递棒子并在互联网世界中纵横。鲍普本人虽被捕但因为精神状况异常而从未受审。

2005:零年

在下一个勒索病毒案例出现时,约瑟夫鲍普博士已经久久被遗忘,而且计算机的世界已经转变成互联网的世界。尽管互联网的优点已经让网络罪犯们更容易传播各种类型的恶意软件,但这段时间允许了程序员开发比鲍普所使用的还要更加强大的加密方法。

GPCoder

其中一个在线上散布的勒索病毒的首例就是GPCoder木马程式。第一次被确认时是2005年,GPcoder会感染Windows系统并会通过各种的延伸程式来标靶档案。一旦被找到,该档案就会以被加密的形式被复制,然后原档就会从系统中被删除。刚才被加密的档案就无法被解读,并使用强大的RSA1024加密功能来确保那些试图要解锁这些档案的人几乎没有办法成功办到。此时使用者的主荧幕就会显示一个信息,指示他们到一个贴在他们的桌面上的txt.档案,这个档案内含如何支付赎金及解锁受感染的档案的办法信息。

Archievus

在GPCoder 被确认的同一年,另一个使用了1024比RSA加密功能的木马程式也登场了。与其将目标对象设为可执行的档案及档案延伸程式,Achievus就只是将受害者所有在“我的文件夹”当中的全部档案都加密起来。理论上来说,这就意味着受害者可能还会是用任何储存在其他档案夹内的任何档案。可大多数情况下人们会将他们大多重要的档案,包括工作文件大量的默认储存在我的档案夹,效果还是挺薄弱的。

要取消Archievus,受害者就会收到一个指示前往一个网站要他们购买一个30位数的密码-这是意料中的状况。

2009 – 2012年: 收入兑现

这些勒索病毒是在过了一段时期才开始在网络犯罪的世界中渐成气候的。从像是GPCoder以及Archievus等木马程式中取得的收益相对来说并不高,这主要是因为它们能轻易的就被探测出来并被防毒软件所移除,意味着它们能用来赚钱的寿命很短。

总的来说,当时的网络匪党会比较倾向于继续使用黑入别人系统、钓鱼或通过假冒的抗传染骗局软件等方法来侵害他人。

第一次有改变的迹象开始出现是在2009年。那一年,一个被称为Vundo的假冒安全软件就改变了所使用的伎俩并开始做为一种勒索病毒来进行操作。在这之前,Vundo只是感染过计算机系统然后引发计算机自己启动安全警报,诱导使用者去进行一个假冒的修复而已。但是,在2009年,分析家发现Vundo开始会去加密受害者计算机上的档案,再卖出一个真的解决方案让受害者将档案解锁。

这就是黑客们开始觉得勒索病毒能赚钱的先兆。通过不断增加的匿名付款服务的推波助澜,大量的收取使劲也变得更加易如反掌。当然,加上勒索病毒本身发展越来越精进,当然也是让它容易赚钱的原因之一。

在2011年,原本只是涓涓流水竟成洪流。在那一年的首四个月,就有60,000宗勒索病毒袭击案被侦察到。在2012年首四个月,正阳的案例就增加到200,000宗。在2012年终,赛门铁克研究人员估计勒索软件黑市价值500万美元。

WinLock木马程式

2011年,一个新型的勒索病毒出现了。WinLock木马程式被认为是第一个传染的最广的例子,并切实广为人知的的“封锁型”勒索病毒。与其对受害者设备上的档案进行加密,封锁病毒索性就让人不能登入使用该设备即可。

WinLock木马程式为勒索病毒开启了去模仿正牌产品的风潮,呼应旧有的假冒安全软件的伎俩。那就是去感染Windows的系统,复制出Windows产品激活系统,锁住用户直到他们购买激活密钥为止。为了能为攻击的步数起画龙点睛的作用,在诱导他们拨打一组国际电话号码以解决这个问题之前,显示在伪造的激活荧幕上的信息确实的告知受害者他们的Windows帐号因为被盗用所以必须重启。这个电话号码被伪装成免费热线电话,其实在拨打后就会征收高昂的电话费,估计是进了散播这不良软件的罪犯的口袋里了。

Reveton 和“警察”勒索病毒

各种以模仿软件产品欺骗受害者付款做虚假签购为主题的事件就是所谓的“警察”勒索病毒。在这样的攻击当中,此等不良软件会会对受感染的目标系统发出声称是有执法单位或国家当局发出的信息,说明有证据显示相关的设备已被发现用来进行不法活动。这台设备将会被封锁起来当作没收直到缴交了某种形式的贿金或罚款为止。

这个勒索软件通常是通过色情网站、档案分享服务以及任何其他各种可能用来进行非法活动的网络平台来传播的。毫无疑问的其概念就是用来恐吓或让受害人感到羞耻,并在他们能理智思考这个威胁是否属实之前就付款消灾。

为了让袭击看起来更逼真及更有威胁性,警察勒索病毒通常会根据受害者的地点来进行配置,显示他们的IP地址,又或者在某些情况下让受害者看到通过他们自己的摄像头所拍摄的录像,让他们以为自己被监视或被录像。

其中一个广为人知的警察勒索病毒被称为Reveton 。一开始是在整个欧洲传染,然后就蔓延广传到开始在美国出现,受害者会被告知他们受到了美国联邦调查局的监视,并被勒令需交付200美元的罚款来为其设备解锁。付款是通过电子预付服务像是MoneyPak及Ukash来进行的。后来这个伎俩就为其他的警察勒索病毒像是Urausy及Kovter所使用。

2013 – 2015年:回归加密形式

在2013年下半年,一个新变种的加密勒索病毒出现了并在网络安全斗争中表明了鲜明的立场。CryptoLocker以各种方法改变了勒索病毒的游戏规则。首先它不屑使用假冒安全软件或警察勒索病毒的欺诈及欺骗伎俩。CryptoLocker’s的编程员对他们的所作所为表现得非常直截了当,会向受害者发出唐突的信息告知他们自己档案已经被加密,若在三天内不付赎金将会把该档案的删除。

其二,CryptoLocker’s显示了如今网络罪犯能使用的加密功能比起接近10年前首次出现的加密病毒软件更加强大。CryptoLocker’s通过使用隐藏在Tor网络的C2伺服器, 的编程员就能生成出2048比 R S A公用及专用密钥加密功能去通过特定的延伸程式来感染档案。这样的行动起着双重作用——那些打算使用公用密钥作为解密档案的基础方式的人就会有所挣扎,那是因为他们都隐藏在Tor网络中,而由编程员所持有的专用密钥却是非常强大的。

其三,CryptoLocker在传播的方式上也有新的突破。一开始它是通过Gameover Zeus 僵尸网络来传播的,这是一个受感染的僵尸计算机网络,专门用来通过互联网传播不良软件。因此,CryptoLocker被标识为首个通过被感染的网站来传播的勒索病毒案例。但是,CryptoLocker也通过鱼叉式网络钓鱼传播,特别是发送给企业的电子邮件附件,这些附件看起来像是客户投诉。

自此以后上述所有特性都成为了勒索病毒的主要特性,这都是受到CryptoLocker成功的影响。一次解密受感染系统就要支付300美元,其开发者能赚取高达3,000,000美元一点也不意外。

洋葱网络和集比特币

在2014年当Gameover Zeus僵尸网络瓦解之后CryptoLocker就大规模销声匿迹,可是之后就有很多的模仿者摩拳擦掌准备接棒。CryptoWall是当中最显著的,它操作着隐藏在T O R网络背后生成出来的的RSA公用及专用密钥加密功能,并通过钓鱼骗局来散播。

洋葱路由器,更多人称它为Tor开始在勒索软件的发展及传播上扮演着越来越重要的角色。以它将互联网流量路由到一个复杂的全球服务器网络的方式命名,据说被排列成像是葱一层层那样的,Tor就是一个帮助人们在上网办事时保持隐私的 匿名计划。遗憾的是,这个方法却吸引网络犯罪分子用它来极力的保持他们的活动瞒过执法单位的法眼,也因为这样,Tor在勒索病毒的历史也占有一席地位了。

CryptoWall也证实了比特币在勒索软件攻击中扮演的日益重要的角色。在2014年,加密货币是其中一种付款方式选项。预付电子信贷是匿名的可是若没把钱洗干净的话就很难兑现,而比特币能像一般的货币在网上被使用来直接进行交易。

By 2015, 于2015年,单是CryptoWall就大约收入3.25亿美元。

安卓攻击

勒索病毒的另一大事件就是它进展出专门以流动设备为目标的版本。这是这些都是首先针对Android设备,利用开源的Android代码来散播。

第一个案例出现在2014年,它是复制警察勒索病毒。Sypeng是一个透过伪造的Adobe Flash信息来感染设备的病毒,会锁住荧幕并闪出假冒美国联邦调查局信息要求受害者交付200美元解锁。Koler是类似的病毒,值得注意的是成为勒索软件蠕虫的第一个例子之一,这是一个自我复制的恶意软件,它创建了自己的分发路径。Koler会自动对受感染的设备的联络簿内的每一个人发送信息,内附连接至蠕虫的下载连结。

尽管名称如此,SimplLocker曾经是专门针对流动设备而设的早期类型加密勒索病毒,而大多数其他的病毒就采取封锁形式的攻击。另一个安卓勒索病毒的革新发展就是出现了一种网络罪犯会去购买,并且能自行配置的DIY工具套件。一个早期的例子是基于Pletor 木马程式做出的套件,它在网上以5000美元的价格出售。

2016年::威胁进化

2016年对勒索病毒来说是重要的一年。新的呈现模式、新的平台还有新种类的不良软件所有这些加起来就是一个严重的威胁进化过程,为下列的大规模·全球袭击设立了舞台。

CryptoWall 的进化

不像很多的勒索病毒案例那样去它们中有曝光的一天,然后就会被另一所取代及中和,CryptoWall的威胁是永远挥之不去的。通过四个不同版本的演进,CryptoWall的先锋技术倍受其他的勒索病毒所效仿,例如使用复制的注册表键项,以便在每次重新启动时加载恶意软件。这一招真是聪明,因为不良软件不一定就要马上执行,可以等到它能连接至内含加密功能的密钥的远距离伺服器才那样做。自动化加载重启会最有机会让这样的情况发生。

Locky

凭借具有攻击性的钓鱼为基础的散播方式,Locky打先锋,再有像是WannaCry这样快速及大规模散播。在它的巅峰时期,有报告指出它一天内就感染了高达100,000个新系统,通过最先由安卓工具套件使用特许经营系统激励越来越多的罪犯加入散播的行列中。此外,它也通过将目标锁定为保健服务供应者来预示WannaCry病毒袭击,因为它的原创者发现重要的公共 服务领域会快速支付赎金以回复它们系统运作这一事实。

多平台感染

在2016年我们也见证了第一个会对Mac系统产生影响的勒索病毒脚本的到来。KeRanger是特别的难以对付,因为它能将TimeMachine的备份以及一般的Mac档案加密起来,并得以克服Mac每当在问题出现时就会回到先前版本的这个常见功能的抵御。

在KeRanger出现不久后,第一个能感染多种操作系统的勒索软件出现了。Ransom32实在JavaScript中被编程而出,理论上能感染操作Windows、Mac或Linux等的设备。

已知的威胁漏洞

所谓的“攻击工具包”是恶意软件传送协议,其目的是在热门软件系统中已知的漏洞中植入病毒。Angler Kit是其中一个已知用来进行勒索病毒攻击的其中一个例子,最早在2015年就出现了。在2016年情况有升级的迹象,有多个是以Adobe Flash及Microsoft Silverlight的漏洞为目标的勒索病毒倾巢而出–其中一个就是CryptoWall 4.0。

Cryptoworm

Cryptoworms随着Koler病毒革新而出,成为2016年勒索软件主流的一部分。其中一个案例是微软首次举报ZCryptor蠕虫袭击。一开始它是透过垃圾邮件钓鱼袭击来传播的,ZCryptor能通过自我复制及执行来通过连接网络的设备自动进行传播。

2017年: 勒索病毒爆发的一年

有鉴于在2016年勒索病毒无论是在精密度及规模都有飞速进阶发展,很多的网络安全分析家都坚信真的在全球发生最大规模的黑客袭击及数据泄漏事件也只是迟早的事。WannaCry证明了这个恐惧,并成为世界新闻头条。可是WannaCry迄今是唯一一个在今年威胁计算机用户们的勒索病毒。

WannaCry

在2017年5月17日,一个在后来成为全世界家喻户晓的勒索病毒蠕虫WannaCry第一次在西班牙对受害者进行袭击。在一小时内,就已经感染数个国家的上百台计算机。过了几天之后,病毒散播量已经是一百万的四分之一,这使得WannaCry成为史上规模最大的勒索病毒袭击事件,它肯定是震惊全世界,且让此威胁收到关注。

WannaCry是WannaCrypt的简写,意味着WannaCry是加密病毒软件的事实。更具体来说就是,它就是一个加密蠕虫,能自动复制及散播开来。

让WannaCry那么有效,同时让普罗大众大惊失色的是它传播的方式。它没有使用钓鱼骗局、不需要从受到威胁的僵尸网络网站名进行下载。反之,WannaCry建立的勒索病毒的新篇章,就是将计算机上已知的漏洞作为目标。它被编程为在运行于旧版Windows Server上的计算机(这种计算机存在一个已知的安全漏洞)的网络进行拖网,并感染它们。一旦他已经感染到了网络中的一台计算机,就会快速找出其他一样的漏洞并将它们一并感染。

这就是WannaCry能快速传播的方式,以及它特别专门攻击大公司机构,包括银行、运输机构、大专学府及公共保健服务如:英国国家保健服务的系统的原因。而这样的袭击也是他成为多处新闻头条的原因。

可是,让众人大惊失色的事实就是美国国家安全机构多年以前就已经证实出WannaCry会侵入的Windows漏洞。可是与其警告全世界这样的情况有可能会发生,国家安全机构却三缄其口,并自行开发利用这个弱点作为网络武器。事实上,WannaCry就是在一个由国家安全机构开发的系统上被建立出来的。

Petya

WannaCry之后接踵而来的是另一个穿越各大洲的勒索病毒袭击,让世界各地的上千台计算机都被击溃。这个病毒被称为 Petya,这次袭击最让人惊叹之处就在于它使用的正是和WannaCry一样的Windows漏洞显示国家安全局计划的网络武器本来是多么强大。此外,这也显示出,尽管在WannaCry攻击之后各种补丁程序已经被广泛使用,但要让用户保持安全更新还是多么的困难。

LeakerLocker

在勒索病毒威胁显现出越来越顺利的迹象当儿,一个最新使用回过去假冒安全软件及勒索的伎俩,可是加入一点最新元素的大规模攻击再上头条。LeakerLocker以安卓设备为目标,威胁会将流动设备用户设备上的全部内容与他们联络簿上面的人分享。那如果你有些见不得人活会对你造成威胁的东西储存在手机里的话,就最好付钱消灾,要不然的话你的好友、同事、亲戚很快就会看到那些你不想见人的东西了。

勒索病毒的未来去向何方?

鉴于网络犯罪分子能够通过勒索病毒获得的收入不断攀升,我们可以假设会以后会耳闻更多这样的事件发生。WannaCry成功的将自我复制蠕虫技术及将以已知的系统漏洞作为目标结合起来的方式,很有可能会在短期内为大多数袭击事件的性质设定了先例。可是若是认为勒索病毒开发者还没有先想好下一步棋并开发出新的感染、传播及运用他们的不良软件去赚钱的方式的话,那就太天真了。

那我们可以预见的是怎样的情况?

最大的疑虑是勒索病毒开始以计算机及智能手机以外的数字设备为目标的潜在可能性。随着互联网主宰一切的时代开始,就会有越来越多我们一般日常使用的设备会被数字化并连接上网。这为网络罪犯达开了一个庞大的市场,他们会选择使用勒索病毒去把车子反锁起来让车主不得其门而入,又或者将家中的中央加热恒温器冻结起来知道他们付出赎金才能再使用。这样一来,勒索病毒会直接对我们的日常生活造成影响的能力只会越来越大。

另一个可能性就是勒索病毒会将目标从攻击个人的设备转为设备的使用者。与其以在计算机上的档案为目标,勒索病毒会使用SQL注入来加密网络服务器上的数据库。这样做将会有灾难性的结果–一个国际企业的整个基础设施会因为这一步而崩溃,又或者整个互联网服务会鼓掌,为成千上万的用户带来不良的影响。

无论它们会如何的发展进化,我们都应该做好准备未来几年勒索病毒都会是主要的网络威胁。所以留心你所打开的电邮、访问的网站以及不断进行安全更新,要不然的话你就要和比你先受害的勒索病毒受害者同声一哭!

使用VPN服务是否能避免勒索病毒袭击?

虽说使用VPN服务不能让你幸免于不良软件的攻击,可是却能加强你的系统的安全性,让它更加安全。以下是VPN服务的种种好处。

  • 当你在使用一项VPN服务时,你的IP地址是被隐藏起来的,而且你可以匿名使用网络。这样让不良软件的创造者更难将你的计算机定为目标。一般上来说,他们会选择更脆弱的使用者来下手。
  • 当你在分享或在线访问数据时使用VPN服务,相关的数据就会被加密起来,维持很让勒索病毒的创造者无法侵入的可能性。
  • 可靠的VPN服务还会将可以的网址拉黑。

多亏了上述的因素,shiyongVPN就能让你更加安全免受不良软件,包括勒索病毒的侵袭。市面上有很多的VPN服务可供选择。确保你圈定的VPN服务供应商是具有良好信誉及有掌握网络安全必要专业知识的。

若是你有打算使用VPN服务,请查阅我们可信赖的用户最推荐的VPN服务

这对您有帮助吗?把它分享出去吧!