• 正在加载中...
  • 勒索软件

    勒索软件(ransomware)是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨。有时,即使用户支付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。

    编辑摘要

    基本信息 编辑信息模块

    中文名称: 勒索软件 外文名: ransomware
    发布属性: 病毒软件 文件类型: 恶意软件

    目录

    传播手段/勒索软件 编辑

    勒索软件勒索软件
    勒索软件的传播手段与常见的木马非常相似,主要有以下几种:
    1.借助网页木马传播,当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行。
    2. 与其他恶意软件捆绑发布。 
    3. 作为电子邮件附件传播。
    4. 借助可移动存储介质传播。[1]

    表现形式/勒索软件 编辑

    一旦用户受到勒索软件的感染,通常会有如下表现形式,包括:
    1. 锁定计算机或移动终端屏幕 。
    2. 借杀毒软件之名,假称在用户系统发现了安全威胁,令用户感到恐慌,从而购买所谓的“杀毒软件”。
    3. 计算机屏幕弹出类似下图的提示消息,称用户文件被加密,要求支付赎金。[2]

    分类/勒索软件 编辑

    根据勒索软件所使用的勒索方式,主要分为以下三类:
    1. 影响用户系统的正常使用。比如 PC Cyborg、QiaoZhaz(Trojan/Win32.QiaoZhaz)等,会采用锁定系统屏幕等方式,迫使系统用户付款,以换取对系统的正常使用。
    2. 恐吓用户。比如 FakeAV(Trojan[Ransom]/Win32.FakeAV)等,会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买其“反病毒软件”。又如Reveton(Trojan[Ransom]/Win32.Foreign),会根据用户所处地域不同而伪装成用户所在地的执法机构,声称用户触犯法律,迫使用户支付赎金。
    3. 绑 架 用 户 数 据 。 这是近期比较常见的一种勒索方式,最典型的是CTB-Locker家 族(Trojan[Ransom]/Win32.CTBLocker),采用高强度的加密算法,加密用户文档,只有在用户支付赎金后,才提供解密文档的方法。[3]

    典型家族/勒索软件 编辑

    已知最早的勒索软件出现于 1989 年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg木马”),其作者为 Joseph Popp。该木马程序以“艾滋病信息引导盘”的形式进入系统,采用替换 AUTOEXEC.BAT(DOS 系统文件,位于启动盘根目录,文件为文件格式,用于描述系统启动时自动加载执行的命令)文件的方式,实现在开机时记数。一旦系统启动次数达到 90 次时,该木马将隐藏磁盘的多个目录,C 盘的全部文件名也会被加密(从而导致系统无法启动)。此时,屏幕将显示信息,声称用户的软件许可已经过期,要求用户向“PC Cyborg”公司位于巴拿马的邮箱寄去 189 美元,以解锁系统。作者在被起诉时曾为自己辩解,称其非法所得用于艾滋病研究。2001 年,专门仿冒反病毒软件的恶意代码家族(Trojan[Ransom]/Win32.FakeAV)出现,2008 年左右开始在国外流行。该恶意代码家族的界面内容为英文,又因为当时国内部分反病毒厂商已经开始采用免费的价格策略,所以该恶意代码家族在国内不容易得逞,对国内影响相对较小。FakeAV 在伪装成反病毒软件欺骗用户的过程中,所使用的窗体标题极具迷惑性。据安天 CERT 统计,其标题有数百种之多,常用标题如下表所示:
    AntiSpyWare2008 反间谍软件 2008 ;
    AntiVirus2013 反病毒软件 2013 ;
    Security Defender 安全卫士 ;
    ScannRepair 扫描修复工具 ;
    Virus Doctor 病毒医生 ;
    Spyware Cleaner 间谍软件清除者/终结者 ;
    System Care Antivirus 系统护理杀毒 ;
    Data Recovery 数据恢复;
    AVDefender 2014 反病毒卫士 2014 ;
    AVSecurity 2015 反病毒安全 2015;
    Adware Checker 广告软件清除者/终结者。
    2005 年出现了一种加密用户文件的木马(Trojan/Win32.GPcode)。该木马在被加密文件的目录生成具有警告性质的 txt 文件,要求用户购买解密程序。所加密的文件类型包括:.doc、.html、.jpg、.xls、.zip 及.rar。2006 年出现的 Redplus 勒索木马(Trojan/Win32.Pluder),是国内首个勒索软件。该木马会隐藏用户文档和包裹文件,然后弹出窗口要求用户将赎金汇入指定银行账号。据国家计算机病毒应急处理中心统计,来自全国各地的该病毒及其变种的感染报告有 581 例。在 2007 年,出现了另一个国产勒索软件 QiaoZhaz,该木马运行后会弹出“发现您硬盘内曾使用过盗版了的我公司软件,所以将您部分文件移动到锁定了的扇区,若要解锁将文件释放,请电邮 liugongs19670519@yahoo.com.cn 购买相应软件”的对话框。[4]

    赎金支付方式/勒索软件 编辑

    早期的勒索软件采用传统的邮寄方式接收赎金(比如 Trojan/DOS.AidsInfo),会要求受害者向指定的邮箱邮寄一定数量的赎金。我们也发现了要求受害者向指定银行账号汇款(比如 Trojan/Win32.Pluder)和向指定号码发送可以产生高额费用的短信(比如 Trojan[rog,sys,fra]/Android.Koler)的勒索软件。直到比特币(比特币是一种 P2P 形式的数字货币,可以兑换成大多数国家的货币)这种虚拟货币支付形式出现后,由于它可以为勒索软件提供更为隐蔽的赎金获取方式,2013 年以来,勒索软件逐渐采用了比特币为代表的虚拟货币的支付方式。可以说,虚拟货币的出现,加速了勒索软件的泛滥。

    威胁趋势/勒索软件 编辑

    2015年1月,Cryptowall 家族新变种(3.0)被发现使用I2P 匿名网络通信,在一天内感染288个用户,该变种在加密受害者的文件后,向其勒索比特币,同时还有直接窃取用户比特币的行为。2月和4月新出现的勒索软件家族Tesla Crypt和Alpha Crypt,被发现利用了Adobe 新近修复的Flash安全漏洞。同样利用这些漏洞还有 CTB-Locker、CryptoWall、TorrentLocker、BandarChor、Angler 等家族。其中最为值得关注的是CTB-Locker,它使用了高级逃逸技术,可以躲避某些安全软件的检测。2015年4月30日,安天CERT曾接到用户提供的含有CTB-Locker 的邮件附件,用户称已将该附件提交至第三方开放沙箱,怀疑其具有专门攻击国产办公系统的行为。经安天CERT分析确认,在该样本中并未发现针对国产办公环境的攻击能力。但随着勒索软件的持续泛滥和攻击手段的花样翻新,不能排除未来会出现专门针对我国办公环境的勒索软件。从目前获取的勒索软件新家族看,多数仍是采用社工手段群发邮件,但这些邮件往往紧随潮流趋势,令人防不胜防。比如:据 threatpost 报导,CTB_Locker 家族已经开始采用包含“Windows 10 免费升级”(Upgrade to Windows 10 for free)标题的社工邮件传播。

    添加视频 | 添加图册相关影像

    参考资料
    [1]^引用日期:2017-05-15
    [2]^引用日期:2017-06-14
    [3]^引用日期:2017-06-14
    [4]^引用日期:2017-06-14
    开放分类 我来补充
    病毒社会软件

    互动百科的词条(含所附图片)系由网友上传,如果涉嫌侵权,请与客服联系,我们将按照法律之相关规定及时进行处理。未经许可,禁止商业网站等复制、抓取本站内容;合理使用者,请注明来源于www.baike.com。

    登录后使用互动百科的服务,将会得到个性化的提示和帮助,还有机会和专业认证智愿者沟通。

    互动百科用户登录注册
    此词条还可添加  信息模块

    WIKI热度

    1. 编辑次数:15次 历史版本
    2. 参与编辑人数:6
    3. 最近更新时间:2017-06-15 11:23:28

    互动百科

    扫码下载APP