今年2月份，美国旧金山好莱坞某医疗中心遭黑客攻击，并使用勒索软件锁定了其中的文件，导致不能查看电子病历，甚至连邮件都无法接收，黑客索要340万美元才会提供代码解锁，3月18日Methodist医院同样遭受勒索软件攻击，一次又一次的勒索软件案例不禁让人唏嘘，更让人们意识到勒索软件的威力。古人云谈虎色变，现在谈到勒索软件也会让人变脸，因为很多人中了勒索软件后都束手无策，只能乖乖支付赎金解锁重新获取系统控制权。

其实，自2005年起，勒索软件便成为了最普遍的网络威胁。公开信息统计，过去11年来，勒索软件感染数量比数据泄露事件数量还多，分别是7694件和6013起。而据美国联邦调查局统计，从2016年1月1日-6月30日已接收到1308件勒索软件投诉，损失金额攻击约268.53万美元。

趋势科技网络安全总监Ed Cabrera表示，勒索软件网络犯罪方面的“业务”还在不断增加，他的研究小组去年跟踪了29个勒索软件家族，到今年已经演变出100多个变体。

Cabrera说：“这些勒索软件攻击与传统的数据泄漏有很大的不同，它们不像过去一样将数据渗漏并出售给其他犯罪分子。”大多数的这些勒索软件变体通过加密锁定个人设备，随后尝试索要赎金，金额通常在几百美元左右。令安全经理夜不能寐的是这些勒索软件已经能够侵入他们的企业。今年2月份的好莱坞长老会医院的勒索事件就为我们敲响了警钟。但是目前存在的新型变种已经能够攻击整个数据库和服务器，它们现在使用大家熟悉的聊天功能方便受害者交纳赎金。

据悉第一款勒索软件出现于1989年，哈佛大学毕业的Joseph L.Popp创建，名为“艾滋病信息木马”(AIDS Trojan)。这款勒索软件使用对称加密，解密工具没花多少时间就修复了文件名，但这一举动激发了随后近乎30年的勒索软件工具。

而今天，作为对本季度的警示，以下总结7款最可怕的勒索软件变体。以下内容根据采访趋势科技的安全总裁Cabrera，Invincea公司的首席安全官Chris Day以及Palo Alto Networks Unit 42 威胁情报分析师Bryan Lee总结而成。希望了解这些勒索软件的行为特征后，能够帮助大家在对抗勒索软件的斗争中占据主动。

1. Locky

作恶手法：RSA-2048和AES-128算法批量加密上百种后缀文件，并留下勒索信息；

入侵手段：欺骗性邮件、网站插件劫持、中小型甚至大型软件劫持、windows漏洞、密码侵入、潜伏木马等；

病毒特征：所有文件文件名都被改为一个32为串码（前16位是个人ID，而扩展名都被改为.Locky）并留下一封勒索信，如help_instraction.txt，howdo.html形式的文件生成在中毒者的电脑中。

Locky勒索软件出现于2016年年初，作为勒索软件家族的新成员，它的力量主要来自其改变创新的能力。Locky使用多个开发套件，包括Angler和Neutrino等，还可以通过RSA-2048和AES-128算法对100多种文件类型进行加密。Locky通过漏洞工具包或包含JS、WSF、 HTA或LNK文件的钓鱼电子邮件传播。6月27日，最新变种为ZEPTO后缀，9月28日最新变种为Odin，10月25日再次变种为thor，此次为Locky的第四次变种。

2. Cerber

在2015年9月的一个深入研究中，研究人员在研究Neutrino exploit kit时发现了一个可疑文件的样本，从而发现了Cerber。这有可能是最早被发现的Cerber勒索软件样本。

从发现至今，Cerbe已经成为当今勒索威胁界最活跃、最臭名昭著的勒索软件之一，它可以针对294种不同的文件拓展名进行加密，包括.doc(典型的Microsoft Word文档)、.ppt(通常的Microsoft PowerPoint幻灯片)、.jpg和其他图像文件。它同样针对金融文件格式，例如.ibank(用于某些个人金融管理软件)和.wallet(用于比特币)。该病毒就一直在进行持续不断地更新，并且直至现在也没有任何人能够提供出一个免费的解密软件。

特别危险的是，Cerber可以运用多种手段，包括运用一些非典型的勒索软件行为（如DDOS攻击）对云平台和Windows脚本实施攻击。Cerber除了可以攻击个人设备外，还被发现可以加密整个企业的数据库，这一行为也引发安全管理人员的深深担忧。

此外，Cerber还可以利用计算机扬声器向受害者说出语音消息，它通过产生一个VBScript脚本文件，名为“# DECRYPT MY FILES #.vbs”，具备让计算机将勒索消息说给受害者听的能力。它只能说英语，但其解密网站却有12种语言可选。它的语音消息是：“注意!注意!注意!你的文档、照片、数据库和其他重要文件已经被加密了!”

3. Jigsaw

Jigsaw勒索软件一般会给受害者带来双重考验。首先，它会加密受害者数据；其次，它会窃取这些数据，所以受害者面临着双重敲诈勒索。

此外，Jigsaw的勒索通告使用了《电锯惊魂》系列电影里的Jigsaw角色(拼图杀人狂)。如果150美元的赎金未被支付，它将会每60分钟删除一份加密文件，即使赎金支付后用另一种方法解密，也无法恢复。另外，如果受害者试图终止该进程，或者重启机器登录windows系统，该恶意软件就会马上删除1000份文件。通过这种方式，增强用户支付赎金的紧迫感。

4. Crysis

2016年6月，国外安全专家发现，能够通过Java Applet传播的跨平台（Windows、MacOS）恶意软件Crysis开始加入勒索功能，并于8月份被发现用于攻击澳大利亚和新西兰的企业。Crysis恶意软件甚至能够感染VMware虚拟机，还能够全面收集受害者的系统用户名密码，键盘记录，系统信息，屏幕截屏，聊天信息，控制麦克风和摄像头，现在又加入了加密勒索功能，其威胁性大有取代TeslaCrypt和对手Locky勒索软件的趋势。

Crysis勒索软件的可怕之处在于其使用暴力攻击手段，任何一个技能娴熟的黑客都可以使用多种特权升级技术来获取系统的管理权限，寻找到更多的服务器和加密数据来索取赎金。

5. TorrentLocker

中小企业要小心了！研究人员发现，该勒索软件开发人员已经从攻击个人转变为攻击中小型企业。中小型企业之所以成为目标是因为他们通常没有专业的IT人员以及不会部署最佳的安全实践策略。研究人员已经发现了多起针对中小型企业使用TorrentLocker勒索软件的攻击案例。垃圾邮件通常会在早上9点钟，人们开始上班的时段进行发送，内容通常为伪造的求职者简历或是申请护照等信息。

2016年5月，网络犯罪分子就模拟电信巨头Telia在欧洲和亚洲的业务，运用TorrentLocker勒索软件进行了新一轮的攻击。攻击者精心设计电子邮件，索要赎金票据等一系列活动。在这种攻击中，受害者接收到来自值得信赖的电信公司Telia的发票。随后攻击者要求受害人进入到勒索信中提到的指定TOR地址的网站支付赎金，受害人支付约1.15比特币才能解密文件。这次袭击的主要目标是在瑞典，但更多的活动将紧紧跟随，复制相同的模型。

6. CryptMIC

CryptMIC是一款“山寨”（copycat）勒索软件，主要借助了CryptXXX勒索软件的成功。两种恶意软件都通过Neutrino exploit kit部署，使用相同的subversion ID/botID格式和导出函数名。不同且又令人不安的一点是，CryptMIC并不会延长其加密文件的拓展名，这使得安全管理人员很难分辨哪些文件已经被索要赎金。CryptMIC和CryptXXX勒索软件都可以在移动和网络驱动器上加密文件。

7. HDDCryptor

HDDCryptor是一个可以加密感染主机上的文件并且要求用户以支付的方式解密的木马程序。它不仅会针对网络分享的资源，如通过服务器讯息区块（SMB）分享的磁盘、文件夹、档案、打印机和序列端口，还会锁住磁盘本身。这种破坏性做法使得该勒索软件成为家庭用户和企业严重而真实的威胁。影响平台包括Windows2000/7/8/95 /98/Me/NT/Server 2003/Server 2008/Vista/XP等。

HDDCryptor可能是通过无意间从恶意网站下载或是经由其他恶意软件所带来的方式感染系统。这个勒索软件的安装方式是将整个组件（正常或恶意的都有）植入系统的根目录：

1. dll（侦测为Ransom_HDDCRYPTOR.A）
2. exe（用来加密磁盘）
3. sys
4. txt（恶意软件活动日志）
5. EXE（扫描挂载中的网络磁盘和加密存储在上面的档案）
6. exe（用来扫描之前存取过的网络文件夹）
7. txt（用来存储挂载网络磁盘的信息）
8. txt（用来存储使用者密码）

它还会加入一个名为Defragment Service的服务并且通过命令行加以执行，好持续存活在系统内部。

专家预测，2017年还将继续见证更多新变种的诞生。这些变种中，有可能只有少数，会在其作者和网络黑帮的努力下带来严重影响。勒索软件的作者在延续开发周期，升级已有变种，或制作新变种的同时，加强软件弹性和驻留能力的额外功能也将成为勒索软件的标配。

带有这些功能的变种，如果结合广泛的基础设施和匿名网络及支付服务，将会是全球噩梦。随着威胁行为人试图确保花费较少精力却带来更多收入，不远的将来还将包含进繁殖技术丝毫不出乎预料。近期的变种开始利用加壳器加密自身源码就昭示着，勒索软件作者已经知道有研究人员试图逆向他们的“作品”了。这些逆向工程和分析的结果将有助于勒索软件开发者改进他们自己的勒索软件变种。

似乎离线加密，那些不需要C2基础设施来创建、维护和分发私钥、公钥的勒索软件变种，将会继续在基于Windows的勒索软件中看到，攻击者们会大量利用微软的内置功能。

勒索软件的威胁性不容小觑，本文仅介绍7种最为可怕的勒索软件群组，希望大家在了解这些软件的行为模式后，能够很好的防范勒索软件威胁，在对抗勒索软件的斗争中占据主动。