勒索软件的历史

自2005年以来，勒索软件一直是最普遍的网络威胁。根据公开的信息，勒索软件感染的数量超过了数据泄露7694年至6013年在过去的11年。

多年来，已经有两个不同品种的勒索其保持一致：加密和基于更衣室。加密勒索是勒索软件的变种，实际上加密文件和文件夹，硬盘驱动器等。而更衣室勒索只有用户锁定了他们的设备，最常见与基于Android的勒索。

新时代的勒索软件涉及到的先进的分销工作，例如用于方便地预建的基础设施相结合，并广泛散发新品种以及先进的开发技术，如使用crypters确保逆向工程是非常困难的。此外，使用离线加密方法越来越流行，其中勒索采取合法的系统的优势功能，如微软的CryptoAPI，省去了指挥和控制（C2）通信的需要。

特伦斯德的Solutionary该公司的安全工程和研究团队(SERT)回顾了这些年来的亮点和勒索软件的演变。

最先勒索病毒，艾滋病木马，被哈佛大学毕业的约瑟夫L.波普在1989年20000感染软盘创建分发到世界卫生组织的国际艾滋病会议的与会者。该木马的主要武器是对称加密。它没有多久，解密工具恢复的文件名，但这种努力在运动中设置了近三十年的勒索软件攻击。

第一勒索恶意软件分发近二十年（17岁）后，另一株被释放。不幸的是，这种新菌株是更加难以去除，并使用RSA加密在勒索历史上尚属首次。该Archiveus木马加密的系统上，在“我的文档”目录一切，需要用户进行从特定的网站购买，以获得解密文件的密码。Archiveus也是第一个已知的变种勒索使用非对称加密。

跳转五年主流匿名支付服务使其更使用勒索从受害者身上收钱黑客更容易没有透露自己的身份。相关勒索木马，产品开始走向主流，同年。特洛伊木马勒索来模仿用户的Windows产品激活通知所告知用户他们的系统的Windows安装不得不被重新激活因欺诈。假上网激活选项被提供但最终为用户试图解决他们的问题，需要用户拨打国际长途了死胡同。该恶意软件声称，这一呼吁是免费的，但呼叫实际上是通过一个流氓算谁搁置呼叫路由，导致用户承担大型国际长途电话费与他们的勒索软件感染一起去。

被称为Reveton主要勒索木马开始传遍欧洲。基于城堡木马，这块勒索声称受到攻击的计算机都以解锁用户将被要求从一个匿名预付现金支付服务使用凭证罚款系统被用于非法活动和。在一些菌株，电脑屏幕上显示的画面从电脑的摄像头给了“刑法”中被记录的错觉。此事件发生后不久，出现了的“警察型”勒索软件包括Urausy和Tohfy乱舞。

研究人员发现Reveton在美国的新变种，自称需要使用MoneyPak卡联邦调查局支付的罚款$ 200。2020欧洲杯夺冠热门

2013年9月在勒索历史的关键时刻，CryptoLocker诞生了。CryptoLocker是通过下载第一密码的恶意软件传播从受损的网站和/或看上去像客户投诉作出电子邮件附件的形式发送给商务人士。因为威胁者利用了现有的GAMEOVER宙斯僵尸网络基础设施CryptoLocker感染迅速蔓延。操作托瓦尔在2014年制止向GAMEOVER宙斯木马CryptoLocker活动通过靶向用于分发和支持的对等网络基础设施。

CryptoLocker使用AES-256对具有特定扩展名的文件进行加密，然后使用命令与控制(C2)服务器生成的2048位RSA密钥对AES-256位密钥进行加密。C2服务器建立在Tor网络上。这使得解密变得困难，因为攻击者将RSA公钥保存在他们的C2服务器上。使用CryptoLocker的黑客会威胁说，如果在三天内没有收到付款，他们就会删除私钥。

在2014年，CryptoDefense，所使用Tor和比特币匿名和2048位与RSAEncryption一个勒索，被释放。CryptoDefense使用Windows内置的加密CryptoAPIs，和私钥保存在被感染计算机上的纯文本 - 这是不幸的是没有立即发现了一个漏洞。

CryptoDefense的相同的创造者很快推出了被称为CryptoWall的改进版本。不像CryptoDefense，CryptoWall不存储加密密钥，用户可以得到它。Cryptowall成为一个普遍的问题，因为它使用的侵略性Cutwail垃圾邮件活动，该活动主要是针对美国。2020欧洲杯夺冠热门CryptoWall也已经通过交付漏洞利用工具包，如钓鱼，发现是在Upatre活动下载最终的有效载荷。CryptoWall有过几次有效的广告活动由同样的威胁演员谁通过唯一的ID跟踪他们进行的所有福利。CryptoWall显示的，因为它通过添加额外的注册表项，并复制自身启动文件夹建立持久能力的恶意软件发展的一个进步。在2015年，网络威胁联盟公布了一个覆盖全球的CryptoWall运动，净赚约3.25亿$的报告。这CryptoWall系列所需的含有超过四层经营一个广阔的基础设施。

Sypeng可以认为，锁定被害人的屏幕与FBI处罚警告消息，第一款基于Android的勒索。Sypeng在短信通过假的Adobe Flash动态更新。价值$ 200 MonkeyPaks预计付款。

Koler勒索是，它使用的假冒“警察”的处罚，并要求赎金MoneyPaks极其相似Sypeng。Koler can be considered the first “Lockerworm” in that it contained self-propagating techniques in which it would send customized messages to everyone in a phone’s contact list, pointing them to a specific URL to be downloaded again, then locking them out of their systems.

与过去的其他变种不同，CTB-Locker直接与Tor中的C2服务器通信，而不是使用由代理、僵尸网络、多个比特币钱包等组成的多层基础设施。它也是第一个勒索软件的变种，开始删除影子卷拷贝的Windows机器。2016年，CTB-Locker针对特定网站进行了更新。

SimplLocker还发现在2014年这被认为是对的，因为它加密的文件和文件夹与简单的用户锁定了自己的手机的Android移动设备的第一个“基于加密”勒索。

一个积极的Android勒索应变开始在美国各地蔓延在去年九月。安全研究人员在发现ESET恶意软件能够重置手机的PIN的永久您锁定自己的设备出了第一个真实的例子。名曰LockerPin的勒索软件改变被感染的设备的锁定屏幕的PIN码和叶受害者锁定手机屏幕。LockerPin则需要$ 500来解锁设备。

勒索，作为一种服务在2015年开始，这些通常包括可能在地下市场购买用户友好勒索包服务（RAAS）。通常售价为$ 1,000到$ 3,000，购房者共享大致为自己与卖家利润的10％至20％的削减。弓形虫通常被认为是第一和分布最广的RAAS工具/勒索。

TeslaCrypt出现在2015年以及和将继续是一个持续的威胁，因为开发者所做的大致四个版本。这是第一次通过分布钓鱼漏洞利用工具包，并成长为受人分发。TeslaCrypt使用AES-256加密文件，然后RSA-4096加密AES私钥。Tor中C2结构域用于支付和配送工作。包括在其基础设施是多层，包括代理服务器。TeslaCrypt本身是非常先进的，含有允许弹性和持久性是受害机器的功能。在2016年，TeslaCrypt作家放弃了自己的主人解密密钥ESET。

LowLevel04勒索是在2015年发现的，针对远程桌面和终端服务。不像其他的勒索活动，攻击是由他们远程的服务器到攻击者手动完成，手动分配勒索之前制定了内部系统和驱动器。在这种情况下，攻击者观察到删除应用程序，安全性和系统日志。

奇美拉勒索是在向2015年被认为是其首创的“doxing”勒索年底发现，奇美拉威胁要在网上发布敏感或私人文件向社会公布。嵌合体使用比特信的P2P协议进行通信，以C2S。原来，这些C2S只是比特信节点。

Ransom32被发现，并被认为是第一个用JavaScript编写的勒索软件。与其他恶意软件相比，恶意软件本身非常大，有22MB。它使用NW.js，这使得它可以处理和执行类似于其他用c++或Delphi编写的勒索程序的操作。Ransom32被认为是一个游戏改变者，因为它理论上可以在多个平台上工作，比如Linux、Mac OSX和Windows。

7ev3n勒索已经成为过去的几个月中公开闻名。在13个比特币，它可能需要最高赎金呢。7ev3n勒索不仅执行的典型加密，然后索要赎金，还捣毁Windows系统上也是如此。该恶意软件开发商似乎过于注重保证7ev3n有能力摧毁恢复加密文件的任何可能的方式。7ev3n-HONE $ T发布不久，降低了赎金要求，并增加了一些有效的功能。

在2016年，EDA2和隐藏撕裂的恶意软件的作者公开发表在GitHub上的源代码，并声称这样做是出于研究目的。这些谁发现了它迅速复制的代码和了自定义更改，导致随机变异一个巨大涨幅出现。

臭名昭著的Locky勒索软件也在2016年被发现。Locky迅速开始通过激进的网络钓鱼活动和利用Dridex基础设施，这是已经蔓延到全球。洛克还因为感染了肯塔基州、加利福尼亚州、堪萨斯州和外国地区的多家医院而登上新闻头条。威胁行动者很快发现，与医疗机构必要设施相关的感染系统得到了回报，多家医院迅速支付了赎金，从而引发了一场钓鱼邮件的风潮，导致医疗行业的勒索软件被下载。

SamSam或SAMAS勒索软件被观察到被专门分发到脆弱的JBoss服务器。一开始，在利用漏洞并安装SamSam之前，威胁行动者使用一种称为JexBoss的工具对JBoss服务器进行侦察。与其他网站不同的是，SamSam提供了一个通道，这样攻击者就可以通过.onion网站与受害者进行实时直接沟通。

第一次正式基于OSX的Mac勒索，KeRanger在2016年被发现后，通过传输BitTorrent客户端的OSX交付。在勒索用MAC开发的证书签名，允许其绕过苹果的关守的安全软件。

彼佳在2016年开始流行，因为它是被通过下拉框和改写被感染机器的主引导记录（MBR）交付，然后进行加密的物理驱动器本身。它还使用了假CHKDISK提示，同时加密驱动器。如果$ 431的付款未在七天内收到，支付一倍。彼佳被更新为包括第二有效载荷，这竟然是米沙勒索软件的变体，它没有加密的硬盘驱动器。

Maktub被发现，以及在2016年，证明该研究人员勒索开发商正试图用一个非常先进的变种。Maktub是其首次使用Crypter，这是用来隐藏软件或恶意软件加密的源代码。除了使用C2S检索和存储加密密钥，Maktub脱机使用Windows的CryptoAPI进行加密。

该拼图勒索成为首开先河，其中的赎金说明载有从电影系列SAW流行拼图字符。它还威胁要删除一个文件，每60分钟，如果没有支付$ 150的赎金。此外，如果受害者试图阻止该进程或重新启动他们的机器，它就会删除1,000个文件。

随着2016年5月底，CryptXXX是被大量分布的最新变种勒索。研究人员认为，它连接到Reveton勒索软件变种，因为在感染期类似的脚印。CryptXXX散布经由多个利用试剂盒，主要是垂钓者，和Bedep感染后通常观察到。包含的功能，是的，但通过TOR不限于，反沙盒检测，鼠标活动监控功能，自定义C2通信协议和付款。

微软发布了一篇文章，详细介绍了一种名为ZCryptor的新勒索软件变种。Zcryptor除了具有其前辈所具有的适应功能(如加密文件、为持久性添加注册表项等)之外，还可以被认为是最早的“加密蠕虫”之一。Zcryptor通过垃圾邮件分发，它拥有自我传播技术，可以感染网络上的外部设备和其他系统，同时对每台机器和共享驱动器进行加密。

专家预测，我们将继续在整个2016年。这些变体观察多个新变种，很可能只有少数实际上将根据所涉及的恶意软件作者和网络团伙的努力有很大影响。尽管勒索软件作者继续他们的开发周期，无论是更新预先存在的菌株或作出新的，额外的功能，这增强弹性和持续性预计将成为勒索软件的标准。

如果与庞大的基础设施、匿名网络和支付服务一起使用，那么这些功能和功能所带来的压力将是一场全球噩梦。在不久的将来，由于威胁行动者试图确定如何在减少努力的同时增加他们的收入，所包括的传播技术也就不足为奇了。最近使用密码的病毒变种表明，勒索软件的作者明白，有多个研究人员试图对他们的病毒变种进行反向工程。这种逆向工程和分析有助于引导勒索软件开发人员改进他们自己的勒索软件变种。

这很可能是离线加密（它不需要C2的基础设施，以正确地创建，维护和分发私钥和公钥勒索变种）将继续基于Windows的勒索内观察到在攻击者利用很多微软的内部能力。