勒索软件的历史

自2005年以来勒索已经成为最普遍的网络威胁。根据公开资料，勒索软件感染已寡不敌众数据泄露7694来6013在过去的11年中。

多年来，有两种截然不同的勒索软件一直保持一致:加密勒索和基于储物柜的勒索。加密勒索软件是勒索软件的变种，实际上加密文件和文件夹，硬盘驱动器等。而锁勒索软件只把用户锁在他们的设备之外，最常见的是基于Android的勒索软件。

新时代勒索软件包括先进的传播手段和先进的开发技术，例如使用预先建立的基础设施来方便和广泛地传播新毒株，以及使用加密程序来确保逆向工程极其困难的开发技术。此外，使用离线加密方法也越来越流行，勒索软件利用合法系统的特性，如微软的CryptoAPI，消除了命令和控制(C2)通信的需要。

台地德吉泽斯Solutionary的安全工程和研究小组（SERT）需要在亮点回顾和勒索的演变多年来。

第一个勒索病毒，艾滋病木马，是由哈佛大学毕业的约瑟夫·l·波普在1989年创造的。向世界卫生组织国际艾滋病会议的与会者分发了2万张感染磁盘。特洛伊人的主要武器是对称密码术。解密工具没过多久就恢复了文件名，但这一努力在近30年的勒索软件攻击中启动。

在第一个勒索软件恶意软件被传播近20年(17年)之后，另一个毒株被释放。不幸的是，这个新的毒株很难被移除，这是勒索史上第一次使用RSA加密。Archiveus木马加密了系统中“我的文档”目录中的所有内容，并要求用户从特定的网站购买，以获得密码解密文件。Archiveus也是第一个已知的使用非对称加密的勒索软件变种。

五年过去了，主流的匿名支付服务使得黑客更容易使用勒索软件在不透露身份的情况下从受害者那里收集资金。同年，与勒索软件相关的木马开始成为主流。一个木马勒索软件，模仿用户的Windows产品激活通知通知用户，他们的系统的Windows安装必须重新激活由于欺诈。他们提供了一个虚假的在线激活选项，但最终要求用户拨打一个国际号码，这对试图解决问题的用户来说是一个死胡同。该恶意软件声称，这个电话是免费的，但实际上，这个电话是通过一个流氓运营商路由的，他让电话暂停，导致用户在感染勒索软件的同时，产生了巨额的国际长途费用。

一种名为Reveton的勒索木马开始在欧洲蔓延。基于“城堡”木马，这款勒索软件声称受到攻击的电脑被用于非法活动，为了解锁该系统，用户将被要求使用匿名预付现金服务的代金券支付罚款。在某些情况下，电脑屏幕会显示来自电脑网络摄像头的片段，给人一种“罪犯”正在被录像的错觉。事件发生后不久，出现了一系列“基于警察”的勒索软件，包括Urausy和Tohfy。

研究人员在美国发现了Reveton的新变种，声称使用MoneyPak卡向FBI支付200美元的罚款。雷竞技比分

2013年9月，CryptoLocker诞生了，这是勒索软件历史上的一个关键时刻。CryptoLocker是第一个通过从受攻击的网站下载来传播的加密恶意软件，或者通过电子邮件附件的形式发送给专业人士，使其看起来像客户投诉。CryptoLocker感染迅速传播，因为威胁行动者利用了宙斯僵尸网络基础设施上现有的游戏。2014年，托瓦尔行动(Operation Tovar)针对用于分发和支持的点对点(Peer-to-Peer)基础设施，叫停了围绕宙斯木马(Zeus Trojan)和CryptoLocker的活动。

CryptoLocker使用AES-256加密具有特定扩展名的文件，则使用由命令和控制（C2）服务器生成加密AES-256位密钥的2048位RSA密钥。C2服务器都在Tor的网络建立。这使得解密困难，因为攻击者保持他们的C2服务器上的RSA公钥。使用CryptoLocker黑客会威胁到删除私钥如果付款在三天内没有收到。

2014年，使用Tor和比特币进行匿名和2048位RSAencryption的勒索软件CryptoDefense发布。“加密防御”使用了Windows内置的加密加密api，而该私钥以明文形式存储在受感染的计算机上——不幸的是，这个漏洞没有立即被发现。

加密防御系统的同一家公司不久就推出了一款名为CryptoWall的改进版本。与加密防御不同，CryptoWall不会将加密密钥存储在用户可以获取的地方。Cryptowall成为了一个广泛的问题，因为它使用了攻击性的Cutwail电子邮件垃圾邮件运动，主要针对美国。雷竞技比分在Upatre战役中，CryptoWall也通过诸如Angler这样的开发工具包被交付，并被发现是最终下载的有效载荷。CryptoWall已经发起了几次积极的行动，都是由同一个通过唯一id跟踪他们的威胁行动者发起的。CryptoWall在恶意软件开发方面取得了进步，因为它能够通过添加额外的注册表键和复制自己到启动文件夹来建立持久性。2015年，网络威胁联盟(Cyber Threat Alliance)发布了一份报告，介绍了一场在全球范围内传播的“加密所有”(CryptoWall)行动，该行动共获利约3.25亿美元。这场加密战需要一个扩容的基础设施，包括超过四层才能运行。

Sypeng可以被认为是第一个基于安卓系统的勒索软件，它通过FBI的惩罚警告信息锁定受害者的屏幕。Sypeng是通过假的Adobe Flash更新短信发送的。MonkeyPaks价值200美元的期望支付。

Koler勒索软件与Sypeng极其相似，它使用伪造的“警察”惩罚，向MoneyPaks索要赎金。Koler可以被认为是第一个“Lockerworm”，因为它包含了自我传播的技术，它会向手机通讯录中的每个人发送定制的信息，将它们指向一个特定的URL，以便再次下载，然后将它们锁定在系统之外。

不像过去的其他变体，CTB-储物柜与Tor的C2服务器直接沟通，对具有多层次的基础设施方面取得的代理，僵尸网络，多比特币钱包了，等它也是第一个勒索的一个变种开始在Windows机器上删除影卷副本。在2016年，CTB-更衣室进行了更新，具体的目标网站。

SimplLocker也是在2014年被发现的。它被认为是第一个“基于加密”的Android移动设备勒索软件，因为它加密了文件和文件夹，而不是简单地把用户锁在手机外。

去年9月，一股咄咄逼人的安卓勒索病毒开始在美国蔓延。ESET的安全研究人员发现了第一个真正的恶意软件实例，它可以重置你手机的PIN，从而永久锁定你的手机。这款勒索软件名为LockerPin，它会更改受感染设备的锁屏PIN码，让受害者的手机屏幕被锁定。洛克平随后要求500美元来解锁该设备。

勒索即服务(RaaS)始于2015年。这些服务通常包括用户友好的勒索软件工具包，可以在地下市场购买。通常售价在1000美元到3000美元之间，买家和卖家分享大约10%到20%的利润分成。Tox通常被认为是第一个和最广泛分布的RaaS工具包/勒索软件。

TeslaCrypt也是在2015年出现的，并将继续成为一个持续的威胁，因为开发人员制作了大约四个版本。它最初是通过钓鱼者开发工具包分发的，后来逐渐被其他人分发。TeslaCrypt使用AES-256加密文件，然后使用RSA-4096加密AES私钥。Tor中的C2域用于支付和分发工作。它的基础设施包括多个层，包括代理服务器。TeslaCrypt本身是高度先进的，包含允许受害者机器具有弹性和持久性的功能。2016年，TeslaCrypt的作者将他们的主解密密钥交给了ESET。

2015年，LowLevel04勒索软件被发现，目标是远程桌面和终端服务。与其他勒索软件不同的是，攻击是由攻击者手动完成的，他们在手动分发勒索软件之前，远程进入服务器，规划内部系统和驱动器。在这种情况下，可以看到攻击者正在删除应用程序、安全和系统日志。

奇美拉勒索软件是在2015年底被发现的。奇美拉被认为是同类软件中第一个“doxing”勒索软件，它威胁要在网上向公众公布敏感或私人文件。Chimera使用BitMessage的P2P协议与C2s进行通信。事实证明，这些C2s只是位消息节点。

Ransom32被发现，被认为是用JavaScript编写的第一个勒索。比别人恶意软件本身是非常大的，在22MB进来。它使用NW.js这使它能够处理和执行类似于C ++编写或Delphi其他勒索动作。Ransom32被认为是一个改变游戏规则，因为它理论上可以在多个平台，如Linux，Mac OSX版，和Windows工作。

7ev3n勒索软件在过去的几个月里已经被公开。13比特币的价格可能是迄今为止最高的赎金。7ev3n勒索软件不仅执行了赎金要求的典型加密，还破坏了Windows系统。恶意软件开发者似乎非常关注于确保7ev3n有能力摧毁任何可能的恢复加密文件的方法。7ev30 - hone $T很快被释放，降低了赎金要求，并添加了一些有效的功能。

2016年，恶意软件EDA2和Hidden Tear的作者在GitHub上公开发布了源代码，声称这样做是为了研究目的。那些发现了它的人迅速复制了代码并自定义更改，导致随机变体出现了一个巨大的峰值。

臭名昭著的Locky勒索是在2016年发现的为好。Locky很快就开始通过积极的网络钓鱼活动蔓延和通过利用Dridex基础设施，这是已经在全球蔓延。Locky也感染总部设在肯塔基州，加利福尼亚州，堪萨斯州和国外地区多家医院做了标题。威胁者很快发现，感染系统内的医疗绑必要的设施还清多家医院迅速支付赎金的，从而开始钓鱼邮件，导致在医疗行业勒索软件下载的趋势。

观察讪讪或SAMAS勒索被特异地分布到脆弱的JBoss服务器。起初，威胁者进行反对使用被称为JexBoss的工具，利用漏洞并安装讪讪前的JBoss服务器侦察。不像其他人，讪讪包括通道，以便攻击者可以实时直接与他们的受害者通过.onion网站沟通。

第一个官方的基于Mac os的勒索软件，KeRanger在2016年被发现，通过一个传输BitTorrent客户端为OSX交付。勒索软件签署了MAC开发证书，允许它绕过苹果的GateKeeper安全软件。

Petya在2016年开始流行，因为它通过Drop-Box发送，覆盖被感染机器的主引导记录(MBR)，然后对物理驱动器本身进行加密。在加密驱动器时，它还使用了一个假的CHKDISK提示符。如果在七天内未收到431美元的付款，则付款额增加一倍。Petya得到了更新，增加了第二个有效载荷，原来是米沙勒索软件的变种，没有加密硬盘。

Maktub也是在2016年被发现的，它向研究人员证明，勒索软件开发人员曾试图创建非常高级的变种。Maktub是第一个使用加密软件的公司。加密软件是一种用来隐藏或加密恶意软件源代码的软件。Maktub没有使用C2s来检索和存储加密密钥，而是使用Windows CryptoAPI离线执行加密。

“拼图”勒索软件成为此类勒索软件中第一个包含电影《锯》系列中受欢迎的“拼图”角色的勒索软件。它还威胁说，如果不支付150美元赎金，就会每60分钟删除一个文件。此外，如果受害者试图停止进程或重新启动他们的机器，它就会删除1000个文件。

截至2016年5月底，CryptXXX是最新的大量传播的勒索软件变种。研究人员认为，它与Reveton勒索软件的变种有关，因为在感染期间有相似的足迹。CryptXXX通过多种开发工具传播，主要是垂钓者，通常在Bedep感染后被观察到。包含的功能包括(但不限于)抗沙盒检测、鼠标活动监控功能、定制C2通信协议和通过TOR支付。

微软发布了一篇文章，详细命名ZCryptor一个新的变种勒索。除了适应功能作为它的前辈，如加密文件，添加注册表项的持久性等等，Zcryptor可以被认为是第一个“Cryptoworms”之一。通过垃圾邮件分发，Zcryptor具有自我繁殖的技术来感染外部设备和其它系统的网络上，而每一台机器和共享驱动器进行加密，以及。

专家预测，2016年全年我们将继续观察到多种新的变异。在这些变种中，基于恶意软件作者和网络团伙的努力，很可能只有少数会真正产生高影响。当勒索软件的作者们继续他们的开发周期，或者更新现有的压力，或者制造新的压力时，那些增强弹性和持久性的附加特性预计将成为勒索软件的标准。

这样的功能和能力的菌株，如果有大量的基础设施和匿名网络和支付服务一起使用将是一个全球性的噩梦。包括繁殖技术不会在不久的将来将令人惊讶，因为威胁者试图确定如何增加农民收入，同时降低努力。它使用crypters最近株表明，勒索作者理解有多个研究人员，试图反向工程的菌株。这种逆向工程和分析有助于铅勒索软件开发人员提高自己的勒索软件的变体。

离线加密(勒索软件变种，不需要C2基础设施来正确地创建、维护和分发私钥和公钥)将继续在基于windows的勒索软件中被观察到，攻击者利用了大部分微软内部的能力。