近日，研究人员发现了一款新的勒索软件，通过定制网络钓鱼邮件针对目标组织实施攻击，并向受害者索要巨额赎金。

Proofpoint的研究人员率先发现了该勒索软件，并将其命名为“Defray”。该名称是以第一次观察到的攻击中的命令和控制服务器（C&C）名称：“defrayable-listing”来命名的。

事实上，这也是一个非常适合该勒索软件的名称，因为“defray”翻译成中文即为“支付”，意味着提供资金来支付费用或花销。而该恶意软件会向受害者索要价值5000美元的比特币来换取解密文件，这个数目比大多数勒索软件索要的费用都要高得多。

研究人员发现，该勒索软件运动主要针对美国和英国的医疗保健和教育机构。然而，针对制造业和技术部门的攻击也已经开始出现；此外，其他类型的组织（包括水族馆）也开始受到该勒索软件影响。

像许多其他类型的勒索软件攻击一样，该运动也是使用带有Microsoft Word恶意附件的网络钓鱼电子邮件，以分发恶意的有效载荷。但是，与其他形式的勒索软件不同的是，该勒索软件并未使用大量的垃圾邮件，而是正在使用为特定目标设计的定制钓鱼邮件以及少量的垃圾邮件。

研究人员在8月15日和8月22日分别观察到了两次针对性攻击，并且都是针对具体组织实施的。8月15日的攻击主要针对医疗保健和教育行业，涉及包含嵌入式可执行文件（特别是OLE包装器shell对象）的Microsoft Word文档的消息。该附件上设有英国医院标志，并自称来自医院信息管理与技术总监。

8月22日，攻击者试图使用类似的手段来感染制造业和技术部门，发送包含“订单/报价”等交易相关主题的钓鱼邮件，再次在Microsoft Word文档中嵌入可执行文件。

Defray勒索软件的幕后开发者甚至专门定制了一款针对英国水族馆的钓鱼邮件，该邮件自称是来自水族馆的代表，以此针对水族馆实施勒索软件攻击。

这些案例表明，攻击者正在花时间、花精力为他们的恶意攻击活动做准备，这意味着，Defray背后是一群高度有组织的网络犯罪分子。

目前尚不清楚是否有任何目标组织已经成功感染了Defray，但是只要受害者双击Microsoft Word文档中的可执行文件，该勒索软件就会进行部署和执行，随后受害者的文件就会被加密，并要求支付赎金。

据悉，该勒索通知会告诉受害者“阅读该通知并联系IT部门工作人员”，详细说明了什么是勒索软件，以及一切是如何发生的。专为IT专业人员设计的阅读部分还声称，该勒索软件使用了AES-256加密技术，没有办法在不支付5,000美元赎金的情况下解密文件。

令人哭笑不得的是，该勒索通知还建议受害者使用离线备份，以避免再次遭遇攻击。想要支付赎金，受害者需要联系3个电子邮件地址中的一个——一个瑞士人、一个俄罗斯人还有一个德国人——或是通过BitMessage联系攻击者，以免出现无人回应的情况。

除了加密文件外，研究人员还警告称，Defray勒索软件还可以禁用启动恢复和删除卷影副本来对系统造成其他破坏。在Windows 7系统上，该勒索软件还可以使用GUI来监视和杀死运行的程序，例如任务管理器和浏览器，而在Windows XP系统上，该勒索软件并不具备这种能力。

目前还不清楚该勒索软件攻击活动的幕后黑手是谁，但研究人员指出，该组织之所以会选择定制钓鱼邮件，并索要如此高的赎金，正是由于他们认为这是最快捷的赚钱方式。

Proofpoint威胁情报中心副总裁Kevin Epstein表示，

勒索软件的投资回报率是以最低的成本获取更多的收益。攻击者发现，高度自定义的钓鱼邮件可以为他们的攻击活动带来更好的资金回报——这种方式在数十年前就已经被市场营销人员用来提升产品响应率。

无论是全球蔓延的WannaCry勒索软件还是随后而至的Petya，一切事实都在提醒着我们，网络犯罪分子正在大力开发独特的恶意勒索软件家族。今年年初，研究人员就发现了这样一款新型Spora勒索软件家族，该恶意软件不仅能够不通过C&C服务器就加密文件，而且每个受害者的解密密钥还各不相同。

传统勒索软件为每个被加密的文件产生一个AES密钥，然后用C&C服务器产生的RSA公钥来加密这些AES密钥。而Spora的开发者则在传统勒索软件的基础上，又再加了一轮AES和RSA加密。

如果受害者想付赎金，必须将他们那些被加密的AES密钥，上传到攻击者的支付网站。攻击者再用他们的主RSA私钥解密之，并连同解密工具一并返还给受害者。解密器就用该AES密钥，来解密受害者本机产生的唯一RSA私钥，再用这私钥解密恢复每个文件所需的AES密钥。通过这种方式，Spora可以不用到C&C服务器就完成加解密，避免了主密钥的泄露。

此外，Spora还在其他方面实现了创新。比如说，它实现了一套系统，可以针对不同类型的受害者索要不同的赎金。受害者不得不上传到赎金支付网站的密钥文件中，也包含有被感染计算机上收集来的身份标识信息，比如唯一的勒索行动编号等。

勒索软件正以我们难以预测的速度进行发展创新，而我们保护自己最好的方式还是拥有可靠的备份策略，此外，还可以借助反恶意软件进行日常的检测防护，避免在毫无防护的情况下遭遇勒索软件攻击，只落得名利双失的后果。