fbpx
维基百科

勒索軟體

七月 18, 2023

勒索軟體,又稱勒索病毒,是一種特殊的惡意軟體,又被人歸類為「阻斷存取式攻擊」(denial-of-access attack),其與其他病毒最大的不同在於手法以及中毒方式。其中一种勒索軟體仅是單純地將受害者的電腦锁起来,而另一種則系統性地加密受害者硬碟上的檔案。所有的勒索軟體都會要求受害者繳納贖金以取回對電腦的控制權,或是取回受害者根本無從自行取得的解密金鑰以便解密档案。勒索軟體通常透過木馬病毒的形式傳播,將自身為掩蓋為看似無害的檔案,通常会通过假冒成普通的电子邮件等社会工程学方法欺骗受害者点击链接下载,但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在联网的电脑间传播。[1]

原先勒索病毒只在俄羅斯境內盛行,但隨著時間推進,受害者開始廣布全球。[2][3][4]2013年6月,網路安全公司McAfee釋出了一份數據,顯示該公司光在該年度(2013)第一季就取得了超過250,000種不同的勒索病毒樣本,並表示該數字是去年(2012)同季的超過兩倍。 [5] 隨著CryptoLocker的流行,加密形式的勒索軟體開始進行大規模的攻擊,在遭當局瓦解以前取得了估計三百萬美元的贖金。[6] 另一個勒索軟體CryptoWall,被美國聯邦調查局估計在2015年6月以前獲得了超過一百八十萬美元的贖金。[7]

行為

勒索軟體通常透過木馬病毒的方式傳播,例如透過下載檔案夾帶,或是透過網路系統的漏洞而進入受害者的電腦。勒索軟體在進入後,會直接執行,或是透過網路下載病毒的實體數據,並恐嚇受害者。恐嚇訊息隨著不同的病毒而異,例如假借執法機關的名義,恐嚇受害者的電腦被發現進行非法行動,如色情盜版媒體,或是非法的作業系統等。[8][9][10]

某些實體數據只將作業系統鎖住,直到受害者付清贖金後才將電腦解鎖。實體數據可能以數種手段來達成恐嚇,包括將Windows使用者介面(Windows Shell)綁定為病毒程式,[11] 或甚至修改磁碟的主啟動磁區、硬碟分割表等。 [12] 最嚴重的一種實體數據將受害者的檔案加密,以多種加密方法讓受害者無法使用檔案,唯一的方法通常就是向該病毒的作者繳納贖金,換取加密金鑰,以解開加密檔案。[13][14][15]

獲得贖金是這類病毒的最終目標。要讓病毒的開發者不易被執法單位發現,匿名的繳款管道是開發者的必要元素。有數種的管道發現被開發者用作匿名繳款,例如匯款、簡訊小額付款[16]、線上虛擬貨幣(Ukash、Paysafecard)[2][17][18]、數位貨幣比特幣等。[19][20][21]

歷史

加密性勒索軟體

最早已知的此種病毒是1989年的"AIDS" Trojan病毒,由Joseph Popp製作。該病毒的實體數據會宣稱受害者的某個軟體已經結束了授權使用,並且加密磁碟上的檔案,要求繳出189美元的費用給PC Cyborg Corporation以解除鎖定。開發者Popp在法庭上以精神障礙(無行為能力)為自己辯護,但他仍承諾將獲得的非法款項用於資助愛滋病的研究。[22] 使用公開金鑰加密的構想是1996年由Adam L. Young和Moti Yung所提出的。兩人指出,AIDS Trojan之所以無法有效發揮作用,是因為其採用的是私鑰加密,該技術的加密金鑰會儲存於病毒的原始碼中,從而瓦解該病毒的作用。兩人並且實作了一隻概念驗證的實驗性病毒,在Macintosh SE/30電腦上使用RSATEA演算法加密資料。他們將這種行為稱作明顯的「加密病毒勒索」(cryptoviral extortion),屬於現今稱作加密病毒學中的一個分支。[13] 兩人在1996年的IEEE安全與隱私研討會(IEEE S&P)中描述了攻擊者利用電子貨幣從被害者身上勒贖的過程:「專門的加密病毒能被設計成搜尋受害者的電子貨幣並加密。這樣一來,攻擊者就能名正言順的保證受害者付錢,否則受害者將失去所有的電子貨幣。」

2005年5月開始,勒索軟體變得更為猖獗。[23] 在2006年中,勒索軟體開始運用更加複雜的RSA加密手段,甚至加長金鑰的長度,像是Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip、MayArchive等病毒。例如在2006年6月發現的Gpcode.AG使用了660位元的RSA公鑰。[24] 2008年6月,發現了該病毒的新變種Gpcode.AK。該變種使用了1024位元的RSA公鑰,據信在不使用分散式計算的情況下,破解該金鑰對單一電腦來說,將是徒勞無功的。[25][26][27][28]

加密勒索軟體隨著2013年尾開始出現行蹤的CryptoLocker又開始了新一波的活躍期,該病毒最大的差異在於利用新時代的比特幣進行勒索。2013年12月,ZDNet估計該病毒單單在該月(12月)15日至18日間,就利用比特幣從受害者身上汲取了2700萬美元的鉅額。[29]CryptoLocker的手法在緊接著的幾個月內被多種病毒所效仿,包括CryptoLocker 2.0(被認為和原始的CryptoLocker無關)、CryptoDefense(值得注意的是,該病毒的初始版本包含了一個嚴重的設計缺陷,將私鑰儲存在使用者能找到的位置,因為其使用Windows的內建加密API進行行動。)[20][30][31][32],以及2014年8月一個專門針對群暉科技(Synology)生產的網路附加儲存(NAS)設備進行攻擊的病毒。[33]

在2014年尾,High-Tech Bridge資安公司甚至發現了將整個伺服器上網站都加密的RansomeWeb病毒。[34]

在2015年,刊載了一份詳盡的報告,列舉出不同的勒索軟體所使用的加密技術、弱點,及可能的防範措施等。[35]

2017年5月,勒索软件WannaCry大规模感染了包括西班牙電信在内的许多西班牙公司、英国國民保健署[36]聯邦快遞德国铁路股份公司。据报道,至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击。[37][38][39][40]俄罗斯联邦内务部俄羅斯聯邦緊急情況部和俄罗斯电信公司MegaFon共有超过1000台计算机受到感染。[41]中国教育网相连的中国大陆高校也出现大规模的感染[42],感染甚至波及到了公安机关使用的内网[43],使得河南省洛阳市的公安系统遭到破坏[44]国家互联网应急中心亦发布通报[45]

2020年12月23日,美国各级政府部门、北约、英国政府、欧洲议会、微软等至少200个政府单位、组织或公司遭遇数据泄露,影响范围甚广[46]

2021年5月7日,起源于美国德克萨斯州休斯敦、主要负责向美国东南部运输重油石油管道系统殖民管道遭遇DarkSide发动的勒索软件网络攻击,影响负责管理管道的计算机系统,导致服务地区出现燃油短缺情况[47]

非加密性勒索軟體

在2010年8月,俄羅斯當局逮捕了十名與WinLock木馬病毒有關聯的嫌犯。WinLock病毒並不像前面所提到的Gpcode一樣對電腦加密,相反的,WinLock顯示色情圖片遮擋使用者的電腦螢幕,並提示受害者利用大約10美元的簡訊付費以接收解鎖的密碼。這個病毒襲擊了俄羅斯及鄰近國家的許多人,並被報導指出,攻擊者賺取了超過一千六百萬美元的收入。[10][48]

2011年,一個勒索軟體假藉Windows產品啟用的名義行騙,提示受害者的Windows因為是詐騙的受害者(victim of fraud),所以必須重新啟用。就像真正的產品啟用一樣,病毒也提供了線上啟動的選項,卻顯示成無法使用,並要求受害者撥打六支國際電話的其中一隻,並且輸入六位數密碼。雖然病毒宣稱該電話號碼為免費撥打,電話卻實際上會被轉接到高費率的國家,再刻意將該通話置於保留(on hold),藉此讓受害者付出高額的國際長途電話費用。[8]

2013年,一款基於Stamp.EK攻擊套件的病毒浮上檯面。該病毒散發訊息在各個SourceForgeGitHub專案頁面中,並宣稱提供名人的假造裸照。[49] 2013年7月,一個針對OS X的勒索軟體出現。該病毒會顯示一個網頁,宣稱受害者被發現下載色情媒體。不像Windows的病毒一樣對整個系統上鎖,該病毒只能利用點擊劫持來混淆受害者的視聽,試圖不讓受害者用正常方式關閉該頁面。[50]

2013年7月,一名來自維吉尼亞州的21歲男子中了勒索軟體,卻在巧合之下,因為自己的電腦確實儲存了和他聊天過的未成年少女的裸照,而病毒顯示FBI查獲兒童色情媒體的警告,向警方自首。[51] 2016年1月,也發現了威脅要將受害者的瀏覽紀錄公開的勒索軟體。[52]

案例

Reveton

2012年,一款叫做Reveton的勒索軟體開始廣布。該病毒基於Citadel木馬病毒,而病毒的有效數據會顯示假造成來自執法機關的訊息(因此,此類病毒又被稱為police Trojancop Trojan)。該病毒會宣稱執法機關查獲該電腦有非法活動,例如下載盜版軟體或是兒童色情媒體[53] ,並且提示受害者使用Ukash 或Paysafecard等匿名電子貨幣進行繳納。為了更進一步取信於被害人,該警訊也會同時列出受害者的IP位址,某些版本甚至會顯示受害者網路攝影機的畫面。[2][54]

Reveton在2012年開始在歐洲各國間活動。[2]變種則有各式各樣的在地化版本,搭配受害者語言與當地執法機關的圖示。例如在英國的變種就會顯示成倫敦警察廳、著作權集體管理團體 PRS for Music(搭配受害者下載盜版音樂的警告)、PeCU等。[55] 倫敦警察廳曾公開澄清,執法單位絕對不會像病毒一樣,將使用者的電腦以調查名義鎖上。[2][9]

2012年5月,趨勢科技研究員發現美國加拿大的版本,代表病毒開發者可能本來有意攻擊北美地區。[56] 2012年8月,Reveton的新變種開始在美國流竄,要求受害者用MoneyPak卡向FBI繳納200美元的罰鍰。[3][4][54] 2013年2月,一個俄羅斯公民在杜拜遭西班牙當局逮捕,因為被發現他所屬的犯罪組織曾使用過Reveton;十名共犯則以洗錢罪名逮捕。[57]

2014年8月,Avast Software回報發現新變種,攜帶竊取密碼的軟體作為實體數據之一。[58]

CryptoLocker

2013年9月,加密性勒索軟體以CryptoLocker之姿重出江湖。該病毒使用2048位元的RSA加密金鑰,並將其回傳至主控病毒行動的伺服器。關於加密檔案,該病毒使用白名單以只對特定的副檔名加密。CryptoLocker威脅受害者,若不以比特币或付費卡在三天內繳款,就會將所有加密檔案刪除。由於其使用了極大長度的金鑰,被其加密的檔案一般是認為無法復原的。[19][59][60][61] 儘管付款期限已過,解密的金鑰仍能利用其提供的線上工具取得,但是價格會增加為10BTC,相當於2300美元(2013年11月匯率)。[62][63]

美國司法部在2014年6月2日宣布,CryptoLocker在Gameover ZeuS殭屍網絡遭到執法機關關閉後被分離出來。司法部也提起了對俄國駭客Evgeniy Bogachev的公訴,因為其對該殭屍網路運作的涉入。[64][65] 據估計,在該病毒遭關閉前,已經獲得了至少三百萬美元的收入。[6]

CryptoLocker.F 與 TorrentLocker

2014年9月,新一波針對澳洲的勒索攻擊開始,以CryptoWallCryptoLocker(連同CryptoLocker 2.0,不和原始CryptoLocker有關)。該病毒透過假造的電子郵件散布,宣稱受害者有投遞失敗的澳大利亞郵政包裹。為了避開安全軟體的掃瞄,該變種會先提示使用者輸入CAPTCHA驗證碼來誘使受害者下載病毒數據。赛门铁克確認了該變種,命名為CryptoLocker.F[66][67] 其中的一個受害者是澳洲廣播公司,而其現場轉播的新聞頻道ABC News 24被迫中斷半小時並轉至墨尔本攝影棚錄影,因為雪梨的攝影棚被該病毒攻擊了。[68][69][70]

另一個搭上順風車的病毒TorrentLocker,最初含有與CryptoDefense類似的缺陷。該病毒對每台受感染的電腦都使用相同的密鑰流,導致安全單位能利用此弱點解開加密的檔案。該缺陷在後來的版本中被修正了。[30] 在2014年尾,估計光是澳洲就有超過9000名受害者受TorrentLocker所害,僅次於土耳其的11,700名。[71]

CryptoWall

另一個針對Windows的重大病毒CryptoWall在2014年出現。CryptoWall隨著Zedo廣告網的惡意廣告散布。在2014年9月,其針對數個主要網站進行了攻擊,將受害者導向至獨立網站,利用瀏覽器漏洞傳輸病毒。一名Barracuda Networks研究員發現該病毒帶有數位簽章,以取信於安全軟體。[72] CryptoWall 3.0以JavaScript寫成,作為電子郵件的附加檔案。該腳本會下載偽裝成JPG圖檔的可執行檔。為了更進一步避開偵測,該病毒會建立複製的explorer.exesvchost.exe與其伺服器溝通。建立加密檔案時,該病毒也會同時刪除系統還原的備份檔案,並且安裝間諜軟體,竊取受害者的密碼與比特幣錢包[73]

聯邦調查局表示,在2015年6月有上千名的受害者向網路犯罪回報中心回報了CryptoWall的感染,估計損失至少一千八百萬美元。[7]

在最新的4.0版本中,CryptoWall改進了其程式碼以避免防毒軟體的偵測,並且除了檔案內容外,也一併加密檔案名稱。[74]

KeRanger

KeRanger在2016年3月出現,是第一個在OS X作業系統上運作的勒索軟體。該病毒加密受害者的個人檔案,並且要求1BTC的贖金以解密檔案。該病毒將.DMG可執行檔偽裝成RTF檔案。該病毒會潛伏三日,接著開始加密檔案,再附上一個寫入解密教學的文字檔案。該病毒也使用2048位元的RSA公鑰加密檔案。後續研究表明,該病毒其實是Linux.Encoder.1為OS X系統而重寫的。

RSA4096

RSA4096是目前加密性勒索軟體的最新世代。最初出現於2015年,該病毒使用公鑰加密,付款則要求受害者利用比特幣向暗網內的代理人購買,卻不保證在付款後能取回私鑰。該病毒有數種變種,大部分都尚未找到解決辦法。某些變種會將檔案的副檔名改變。唯一從攻擊中復原的方法,除了付費購買私鑰以外,只有從外部裝置復原受感染的檔案一途。 由於比特幣匯率近年的大幅上升,贖金的價格也相對的上升了。在2016年4月,該價格大約為三十萬英鎊。

Manamecrypt (CryptoHost)[75]

該病毒宣稱加密受害者的檔案,並且要求1/3BTC(大約140美元)來解密檔案。事實上,該病毒卻不將檔案加密,而是將檔案移動進入密碼保護的RAR壓縮檔。 不過壓縮檔的密碼很容易找到,使得受害者有方法能取回受感染的檔案。

CryptoHost將受害者的檔案移至C:\Users\使用者名稱\AppData\Roaming的一個RAR壓縮檔內。 檔案名稱為41個字元,且沒有副檔名。

CryptoHost目前綑綁在竄改的μTorrent安裝程式內,將自身的cryptohost.exe解壓縮進入%AppData%後執行病毒。

Mischa

Mischa是一款勒索軟體,並且和Petya勒索軟體有明顯的關聯。 該病毒會將加密的檔案改為特定的副檔名,如.3P7m、.arpT、.eQTz.3RNu等。遭受感染的受害者電腦會在瀏覽器內顯示出威脅訊息,聲稱電腦已經遭到「軍規級加密」。該病毒也利用Tor瀏覽器和暗網(Tor隐藏服务)要求比特幣贖金,價值通常介於20美元至1000美元間。

WannaCrypt

WannaCrypt是利用Windows系統漏洞進行侵入的一款勒索病毒,在2017年5月12日後全球超过230,000台计算机皆遭此病毒侵害,此病毒要求支付价值等同于300美元的比特幣才可解密所有遭加密文件。受害者電腦大多數皆裝載Windows 7系統,微軟也針對此漏洞進行更新。[76]

Petya

主条目:Petya

Petya于2016年3月首次出现,不像其他加密勒索软件,该恶意软件旨在感染主引导记录,安装有效负载,受感染的系统下次引导时便加密NTFS文件系统文件表,完全阻止系统引导进Windows,直至支付赎金。Check Point报告指出,尽管该软件被认为是勒索软件设计上的创新性进展,但和在相同时间范围内话语的其他软件相比,感染率相对较低[77]

2017年6月27日,Petya重大修改版本被用来反动主要针对乌克兰的全球性网络攻击。经修改的版本和WannaCry同样使用永恒之蓝漏洞传播。由于设计变更,即使支付赎金系统也不会真正解锁,故安全分析师猜测这次袭击不是为了获取非法利益,仅仅是搞破坏[78][79]

Bad Rabbit

2017年10月24日,俄罗斯和乌克兰有用户报告了新型勒索软件“Bad Rabbit”。类似于WannaCry和Petya的模式,Bad Rabbit加密了用户的文件表后,要求支付比特币解锁。ESET认为,该勒索软件伪装成Adobe Flash更新发布[80]。受影响的机构包括国际文传电讯社敖德萨国际机场基辅地铁和乌克兰基础设施部[81]。由于利用网络结构进行传播,软件也流入到别国,如土耳其、德国、波兰、日本、韩国和美国[82]。专家认为此番袭击和乌克兰的Petya袭击有关,尽管罪魁祸首的唯一标识是将《权力的游戏》系列角色的名字嵌入代码[82]

安全专家发现,软件没有使用永恒之蓝漏洞,这种给运行旧版Windows的未被感染的机器接种疫苗的简单方法传播[83][84]。此外,一直用来传播假Flash更新已经离线,或是在勒索软件被发现后几天内删除了有问题的文件,从而有效阻止软件传播[82]

勒索軟體即服務(Ransomware as a service)

暗網中已有越來越多的人宣稱提供勒索軟體作為服務,例如現在已經失效的Tox[85]與Encryptor RaaS等。[86]

反制

就像其他形式的惡意軟體一樣,安全軟體不一定能偵測出勒索軟體的實體數據──尤其是加密用的軟體──直到開始加密或是完成加密了才被發現。對於未知的病毒來說更是如此。[87] 若攻擊尚在早期階段,加密檔案尚未成功,此時強制移除病毒實體數據就能避免對資料的進一步加密,例如拔除電源等物理性做法也是可以搶救回部分資料。[88][89] 安全專家建議了一些預防措施來應對勒索軟體,例如使用安全軟體或設定以避免已知的勒索軟體執行;保留與不與電腦連接的資料備份,尤其某些病毒會將仍與電腦連接的備份檔案一併加密。[19][90]非加密性勒索軟體能被專家移除,或是利用現成的安全軟體刪除。

雖然勒索軟體的威脅無法被完全革除,使用IT業界所稱的多層次預防策略(defense-in-layers security strategy)卻稱得上是不錯的預防手段。多層次預防策略提倡同時部署多種獨立、領域互相重疊的安全措施以建立穩固的安全措施。各安全層被設計和其他安全層互補,使得威脅不易穿透重重防護。例如一個安全策略可能包含下列五層: [1]

  • 全面性的、完備的安全政策
  • 網路和郵件的內容過濾代理伺服器
  • 限制級別存取
  • 以密碼上鎖特定功能
  • 不間斷的員工警覺性訓練

流行文化

尼尔·斯蒂芬森的小說Reamde探討一次勒索軟體的攻擊及其後果。

參見

  • 網路釣魚
  • Operation Tovar──國際合作瓦解Gameover ZeuS殭屍網路的聯合行動

參考資料

  1. ^ 1.0 1.1 Musa, S. (2016). 5 Steps to Take on Ransomware.. [2016-05-23]. (原始内容于2016-07-18). 
  2. ^ 2.0 2.1 2.2 2.3 2.4 Dunn, John E. . TechWorld. [2012-03-10]. (原始内容存档于2014-07-02). 
  3. ^ 3.0 3.1 New Internet scam: Ransomware.... FBI. 2012-08-09 [2016-05-23]. (原始内容于2012-10-17). 
  4. ^ 4.0 4.1 Citadel malware continues to deliver Reveton ransomware.... Internet Crime Complaint Center (IC3). 2012-11-30 [2016-05-23]. (原始内容于2017-03-04). 
  5. ^ Update: McAfee: Cyber criminals using Android malware and ransomware the most. InfoWorld. [2013-09-16]. (原始内容于2014-07-02). 
  6. ^ 6.0 6.1 Cryptolocker victims to get files back for free. BBC News. 2014-08-06 [2014-08-18]. (原始内容于2014-08-09). 
  7. ^ 7.0 7.1 FBI says crypto ransomware has raked in >$18 million for cybercriminals. Ars Technica. [2015-06-25]. (原始内容于2016-10-23). 
  8. ^ 8.0 8.1 Ransomware squeezes users with bogus Windows activation demand. Computerworld. [2012-03-09]. (原始内容于2014-07-03). 
  9. ^ 9.0 9.1 . Helsingin Sanomat. [2012-03-09]. (原始内容存档于2012-03-14). 
  10. ^ 10.0 10.1 McMillian, Robert. Alleged Ransomware Gang Investigated by Moscow Police. PC World. [2012-03-10]. (原始内容于2011-12-25). 
  11. ^ . SecureList (Kaspersky Lab). [2012-03-10]. (原始内容存档于2012-02-05). 
  12. ^ . SecureList (Kaspersky Lab). [2012-03-10]. (原始内容存档于2012-04-14). 
  13. ^ 13.0 13.1 Young, A.; M. Yung. Cryptovirology: extortion-based security threats and countermeasures. IEEE Symposium on Security and Privacy: 129–140. 1996. ISBN 0-8186-7417-2. doi:10.1109/SECPRI.1996.502676. 
  14. ^ Adam Young. Zhou, Jianying; Lopez, Javier , 编. Building a Cryptovirus Using Microsoft's Cryptographic API. Springer-Verlag. 2005: 389–401.  |journal=被忽略 (帮助)
  15. ^ Young, Adam. Cryptoviral Extortion Using Microsoft's Crypto API: Can Crypto APIs Help the Enemy?. International Journal of Information Security (Springer-Verlag). 2006, 5 (2): 67–76. doi:10.1007/s10207-006-0082-7. 
  16. ^ Danchev, Dancho. New ransomware locks PCs, demands premium SMS for removal. ZDNet. 2009-04-22 [2009-05-02]. (原始内容于2009-04-26). 
  17. ^ Ransomware plays pirated Windows card, demands $143. Computerworld. [2012-03-09]. (原始内容于2014-07-03). 
  18. ^ Cheng, Jacqui. New Trojans: give us $300, or the data gets it!. Ars Technica. 2007-07-18 [2009-04-16]. (原始内容于2011-09-12). 
  19. ^ 19.0 19.1 19.2 You’re infected—if you want to see your data again, pay us $300 in Bitcoins. Ars Technica. [2013-10-23]. (原始内容于2016-11-10). 
  20. ^ 20.0 20.1 CryptoDefense ransomware leaves decryption key accessible. Computerworld. IDG. [2014-04-07]. (原始内容于2014-07-03). 
  21. ^ What to do if Ransomware Attacks on your Windows Computer?. Techie Motto. [2016-04-25]. (原始内容存档于2016-05-23). 
  22. ^ Kassner, Michael. Ransomware: Extortion via the Internet. TechRepublic. [2012-03-10]. (原始内容于2012-06-21). 
  23. ^ Schaibly, Susan. Files for ransom. Network World. 2005-09-26 [2009-04-17]. (原始内容于2013-10-19). 
  24. ^ Leyden, John. Ransomware getting harder to break. The Register. 2006-07-24 [2009-04-18]. (原始内容于2016-12-07). 
  25. ^ Naraine, Ryan. Blackmail ransomware returns with 1024-bit encryption key. ZDNet. 2008-06-06 [2009-05-03]. (原始内容于2008-08-03). 
  26. ^ Lemos, Robert. Ransomware resisting crypto cracking efforts. SecurityFocus. 2008-06-13 [2009-04-18]. (原始内容于2016-03-03). 
  27. ^ Krebs, Brian. Ransomware Encrypts Victim Files with 1,024-Bit Key. The Washington Post. 2008-06-09 [2009-04-16]. (原始内容于2012-05-31). 
  28. ^ Kaspersky Lab reports a new and dangerous blackmailing virus. Kaspersky Lab. 2008-06-05 [2008-06-11]. (原始内容于2016-04-02). 
  29. ^ Violet Blue. CryptoLocker's crimewave: A trail of millions in laundered Bitcoin. ZDNet. 2013-12-22 [2013-12-23]. (原始内容于2013-12-23). 
  30. ^ 30.0 30.1 Encryption goof fixed in TorrentLocker file-locking malware. PC World. [2014-10-15]. (原始内容于2016-05-06). 
  31. ^ Cryptolocker 2.0 – new version, or copycat?. WeLiveSecurity. ESET. [2014-01-18]. (原始内容于2016-11-22). 
  32. ^ New CryptoLocker Spreads via Removable Drives. Trend Micro. [2014-01-18]. (原始内容于2016-11-04). 
  33. ^ Synology NAS devices targeted by hackers, demand Bitcoin ransom to decrypt files. ExtremeTech (Ziff Davis Media). [2014-08-18]. (原始内容于2014-08-19). 
  34. ^ Fox-Brewster, Thomas. RansomWeb: Crooks Start Encrypting Websites And Demanding Thousands Of Dollars From Businesses. Forbes.com. [2016-01-12]. (原始内容于2020-11-08). 
  35. ^ Ben Herzog. What You Can (and Can't) Do Against Ransomware. Checkpoint Technologies. 2015-08-17 [2016-03-14]. (原始内容于2020-12-12). 
  36. ^ Marsh, Sarah. The NHS trusts hit by malware – full list. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. (原始内容于2017-05-15) (英国英语). 
  37. ^ Statement on reported NHS cyber attack. digital.nhs.uk. [2017-05-13]. (原始内容于2017-05-19) (英国英语). 
  38. ^ Hern, Alex; Gibbs, Samuel. What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. (原始内容于2017-05-12) (英国英语). 
  39. ^ NHS cyber-attack: GPs and hospitals hit by ransomware. BBC News. 2017-05-13 [2017-05-13]. (原始内容于2017-05-12) (英国英语). 
  40. ^ Larson, Selena. Massive ransomware attack hits 99 countries. CNNMoney. 2017-05-12 [2017-05-13]. (原始内容于2017-05-21). 
  41. ^ Ransomware virus plagues 75k computers across 99 countries. RT International. [2017-05-13]. (原始内容于2017-05-12) (美国英语). 
  42. ^ 安天发布措施紧急应对新型勒索软件“wannacry”. 新浪科技. [2017-05-13]. (原始内容于2020-08-20). 
  43. ^ cnBeta. 勒索病毒国内蔓延 多地出入境系统受影响瘫痪_警告!_cnBeta.COM. cnbeta. [2017-05-13]. (原始内容于2021-08-01) (中文(中国大陆)). 
  44. ^ . 网易新闻. [2017-05-15]. (原始内容存档于2019-06-09). 
  45. ^ 国家互联网应急中心发布勒索软件情况通报. 新浪科技. 2017-05-13 [2017-05-13]. (原始内容于2021-08-01). 
  46. ^ Sanger, David E.; Perlroth, Nicole; Schmitt, Eric. . The New York Times. December 15, 2020 [December 15, 2020]. (原始内容存档于December 18, 2020). 
  47. ^ Helmore, Edward. FBI confirms DarkSide hacking group behind US pipeline shutdown. The Guardian. 2021-05-10 [2021-05-10]. (原始内容于2021-05-12) (英语). 
  48. ^ Leyden, John. Russian cops cuff 10 ransomware Trojan suspects. The Register. [2012-03-10]. (原始内容于2017-02-22). 
  49. ^ Criminals push ransomware hosted on GitHub and SourceForge pages by spamming ‘fake nude pics’ of celebrities. TheNextWeb. [2013-07-17]. (原始内容于2017-02-16). 
  50. ^ New OS X malware holds Macs for ransom, demands $300 fine to the FBI for ‘viewing or distributing’ porn. TheNextWeb. [2013-07-17]. (原始内容于2017-01-03). 
  51. ^ Man gets ransomware porn pop-up, goes to cops, gets arrested on child porn charges. Ars Technica. [2013-07-31]. (原始内容于2016-11-09). 
  52. ^ Leyden, John. Two-thirds of Android users vulnerable to web history sniff ransomware. 2016-01-28 [2016-02-01]. (原始内容于2019-08-07). 
  53. ^ Fake cop Trojan 'detects offensive materials' on PCs, demands money. The Register. [2012-08-15]. (原始内容于2016-11-09). 
  54. ^ 54.0 54.1 Reveton Malware Freezes PCs, Demands Payment. InformationWeek. [2012-08-16]. (原始内容于2013-05-14). 
  55. ^ Dunn, John E. . TechWorld. [2012-08-16]. (原始内容存档于2014-07-02). 
  56. ^ Constantian, Lucian. Police-themed Ransomware Starts Targeting US and Canadian Users. PC World. [2012-05-11]. [失效連結]
  57. ^ . TechWorld. [2014-10-18]. (原始内容存档于2014-12-14). 
  58. ^ 'Reveton' ransomware upgraded with powerful password stealer. PC World. [2014-10-18]. (原始内容于2016-04-02). 
  59. ^ Disk encrypting Cryptolocker malware demands $300 to decrypt your files. Geek.com. [2013-09-12]. (原始内容于2016-11-04). 
  60. ^ CryptoLocker attacks that hold your computer to ransom. The Guardian. [2013-10-23]. (原始内容于2013-11-18). 
  61. ^ Destructive malware "CryptoLocker" on the loose - here's what to do. Naked Security. Sophos. [2013-10-23]. (原始内容于2017-05-08). 
  62. ^ CryptoLocker crooks charge 10 Bitcoins for second-chance decryption service. NetworkWorld. [2013-11-05]. (原始内容于2013-11-05). 
  63. ^ CryptoLocker creators try to extort even more money from victims with new service. PC World. [2013-11-05]. (原始内容于2017-04-30). 
  64. ^ . Computerworld. IDG. [2014-08-18]. (原始内容存档于2014-07-03). 
  65. ^ U.S. Leads Multi-National Action Against "Gameover Zeus" Botnet and "Cryptolocker" Ransomware, Charges Botnet Administrator. Justice.gov. U.S. Department of Justice. [2014-08-18]. (原始内容于2014-09-03). 
  66. ^ Australians increasingly hit by global tide of cryptomalware. Symantec. [2014-10-15]. (原始内容于2016-03-29). 
  67. ^ Grubb, Ben. Hackers lock up thousands of Australian computers, demand ransom. Sydney Morning Herald. 2014-09-17 [2014-10-15]. (原始内容于2014-10-20). 
  68. ^ Australia specifically targeted by Cryptolocker: Symantec. ARNnet. 2014-10-03 [2014-10-15]. (原始内容于2014-10-07). 
  69. ^ Scammers use Australia Post to mask email attacks. Sydney Morning Herald. 2014-10-15 [2014-10-15]. (原始内容于2014-10-16). 
  70. ^ Ransomware attack knocks TV station off air. CSO. [2014-10-15]. (原始内容于2016-10-12). 
  71. ^ Over 9,000 (Vegeta - "OVER 9000!!!!!!!") PCs in Australia infected by TorrentLocker ransomware. CSO.com.au. [2014-12-18]. (原始内容于2016-11-11). 
  72. ^ Malvertising campaign delivers digitally signed CryptoWall ransomware. PC World. [2015-06-25]. (原始内容于2016-07-19). 
  73. ^ CryptoWall 3.0 Ransomware Partners With FAREIT Spyware. Trend Micro. [2015-06-25]. (原始内容于2016-10-18). 
  74. ^ Andra Zaharia. Security Alert: CryptoWall 4.0 – new, enhanced and more difficult to detect. HEIMDAL. 2015-11-05 [2016-01-05]. (原始内容于2016-11-10). 
  75. ^ CryptoHost Decrypted: Locks files in a password protected RAR File. BleepingComputer. [2016-04-20]. (原始内容于2020-11-08) (美国英语). 
  76. ^ 引用错误:没有为名为CNN WannaCrypt的参考文献提供内容
  77. ^ Constantin, Lucian. Petya ransomware is now double the trouble. NetworkWorld. [2017-06-27]. (原始内容于2017-07-31) (英语). 
  78. ^ Tuesday’s massive ransomware outbreak was, in fact, something much worse. Ars Technica. [2017-06-28]. (原始内容于2017-07-17) (美国英语). 
  79. ^ Cyber-attack was about data and not money, say experts. BBC News. 2017-06-29 [2017-06-29]. (原始内容于2019-08-05) (英国英语). 
  80. ^ 'Bad Rabbit' ransomware strikes Ukraine and Russia. BBC. 2017-10-24 [2017-10-24]. (原始内容于2021-01-06). 
  81. ^ Hern, Alex. Bad Rabbit: Game of Thrones-referencing ransomware hits Europe. Theguardian.com. 2017-10-25 [2017-10-25]. (原始内容于2020-11-09). 
  82. ^ 82.0 82.1 82.2 Larson, Selena. New ransomware attack hits Russia and spreads around globe. CNN. 2017-10-25 [2017-10-25]. (原始内容于2020-11-12). 
  83. ^ Cameron, Dell. 'Bad Rabbit' Ransomware Strikes Russia and Ukraine. Gizmodo. 2017-10-24 [2017-10-24]. (原始内容于2020-11-12). 
  84. ^ Palmer, Danny. Bad Rabbit ransomware: A new variant of Petya is spreading, warn researchers. ZDNet. 2017-10-24 [2017-10-24]. (原始内容于2021-01-14). 
  85. ^ Brook, Chris. . 2015-06-04 [2015-08-06]. (原始内容存档于2018-09-29). 
  86. ^ Dela Paz, Roland. . 2015-07-29 [2015-08-06]. (原始内容存档于2016-05-16). 
  87. ^ Yuma Sun weathers malware attack. Yuma Sun. [2014-08-18]. (原始内容于2017-10-08). 
  88. ^ Cannell, Joshua. Cryptolocker Ransomware: What You Need To Know, last updated 06/02/2014. Malwarebytes Unpacked. [2013-10-19]. (原始内容于2016-03-14). 
  89. ^ Leyden, Josh. Fiendish CryptoLocker ransomware: Whatever you do, don't PAY. The Register. [2013-10-18]. (原始内容于2016-11-10). 
  90. ^ "Cryptolocker Infections on the Rise; US-CERT Issues Warning" (页面存档备份,存于互联网档案馆).

延伸閱讀

  • Russinovich, Mark. . Microsoft TechNet blog. 2013-01-07 [2016-05-23]. (原始内容存档于2015-11-16). . Microsoft TechNet blog. 
  • Simonite, Tom. Holding Data Hostage: The Perfect Internet Crime? Ransomware (Scareware). MIT Technology Review. 2015-02-04 [2016-05-23]. (原始内容于2015-11-27). "Holding Data Hostage: The Perfect Internet Crime? (页面存档备份,存于互联网档案馆) Ransomware (Scareware)" (页面存档备份,存于互联网档案馆). MIT Technology Review. 
  • Brad, Duncan. . The Rackspace Blog! & NewsRoom. 2015-03-02 [2016-05-23]. (原始内容存档于2015-09-24). . The Rackspace Blog! & NewsRoom. 
  • Ransomware on the Rise. The Federal Bureau of Investigation JANUARY 2015. [2016-05-23]. (原始内容于2016-07-09). 
  • Yang, T.; Yang, Y.; Qian, K.; Lo, D.C.T.; Qian, L. & Tao, L. Automated Detection and Analysis for Android Ransomware. IEEE Internet of Things Journal, CONFERENCE, AUGUST 2015. 
  • Richet, Jean-Loup. Extortion on the Internet: the Rise of Crypto-Ransomware (PDF). Harvard. [2016-05-23]. (原始内容 (PDF)于2017-03-05). 

外部連結

七月 18, 2023
勒索軟體, 又稱勒索病毒, 是一種特殊的惡意軟體, 又被人歸類為, 阻斷存取式攻擊, denial, access, attack, 其與其他病毒最大的不同在於手法以及中毒方式, 其中一种仅是單純地將受害者的電腦锁起来, 而另一種則系統性地加密受害者硬碟上的檔案, 所有的都會要求受害者繳納贖金以取回對電腦的控制權, 或是取回受害者根本無從自行取得的解密金鑰以便解密档案, 通常透過木馬病毒的形式傳播, 將自身為掩蓋為看似無害的檔案, 通常会通过假冒成普通的电子邮件等社会工程学方法欺骗受害者点击链接下载, 但也有可能与. 勒索軟體 又稱勒索病毒 是一種特殊的惡意軟體 又被人歸類為 阻斷存取式攻擊 denial of access attack 其與其他病毒最大的不同在於手法以及中毒方式 其中一种勒索軟體仅是單純地將受害者的電腦锁起来 而另一種則系統性地加密受害者硬碟上的檔案 所有的勒索軟體都會要求受害者繳納贖金以取回對電腦的控制權 或是取回受害者根本無從自行取得的解密金鑰以便解密档案 勒索軟體通常透過木馬病毒的形式傳播 將自身為掩蓋為看似無害的檔案 通常会通过假冒成普通的电子邮件等社会工程学方法欺骗受害者点击链接下载 但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在联网的电脑间传播 1 原先勒索病毒只在俄羅斯境內盛行 但隨著時間推進 受害者開始廣布全球 2 3 4 2013年6月 網路安全公司McAfee釋出了一份數據 顯示該公司光在該年度 2013 第一季就取得了超過250 000種不同的勒索病毒樣本 並表示該數字是去年 2012 同季的超過兩倍 5 隨著CryptoLocker的流行 加密形式的勒索軟體開始進行大規模的攻擊 在遭當局瓦解以前取得了估計三百萬美元的贖金 6 另一個勒索軟體CryptoWall 被美國聯邦調查局估計在2015年6月以前獲得了超過一百八十萬美元的贖金 7 目录 1 行為 2 歷史 2 1 加密性勒索軟體 2 2 非加密性勒索軟體 3 案例 3 1 Reveton 3 2 CryptoLocker 3 3 CryptoLocker F 與 TorrentLocker 3 4 CryptoWall 3 5 KeRanger 3 6 RSA4096 3 7 Mischa 3 8 WannaCrypt 3 9 Petya 3 10 Bad Rabbit 4 勒索軟體即服務 Ransomware as a service 5 反制 6 流行文化 7 參見 8 參考資料 9 延伸閱讀 10 外部連結行為 编辑勒索軟體通常透過木馬病毒的方式傳播 例如透過下載檔案夾帶 或是透過網路系統的漏洞而進入受害者的電腦 勒索軟體在進入後 會直接執行 或是透過網路下載病毒的實體數據 並恐嚇受害者 恐嚇訊息隨著不同的病毒而異 例如假借執法機關的名義 恐嚇受害者的電腦被發現進行非法行動 如色情 盜版媒體 或是非法的作業系統等 8 9 10 某些實體數據只將作業系統鎖住 直到受害者付清贖金後才將電腦解鎖 實體數據可能以數種手段來達成恐嚇 包括將Windows的使用者介面 Windows Shell 綁定為病毒程式 11 或甚至修改磁碟的主啟動磁區 硬碟分割表等 12 最嚴重的一種實體數據將受害者的檔案加密 以多種加密方法讓受害者無法使用檔案 唯一的方法通常就是向該病毒的作者繳納贖金 換取加密金鑰 以解開加密檔案 13 14 15 獲得贖金是這類病毒的最終目標 要讓病毒的開發者不易被執法單位發現 匿名的繳款管道是開發者的必要元素 有數種的管道發現被開發者用作匿名繳款 例如匯款 簡訊小額付款 16 線上虛擬貨幣 Ukash Paysafecard 2 17 18 數位貨幣比特幣等 19 20 21 歷史 编辑加密性勒索軟體 编辑 最早已知的此種病毒是1989年的 AIDS Trojan病毒 由Joseph Popp製作 該病毒的實體數據會宣稱受害者的某個軟體已經結束了授權使用 並且加密磁碟上的檔案 要求繳出189美元的費用給PC Cyborg Corporation以解除鎖定 開發者Popp在法庭上以精神障礙 無行為能力 為自己辯護 但他仍承諾將獲得的非法款項用於資助愛滋病的研究 22 使用公開金鑰加密的構想是1996年由Adam L Young和Moti Yung所提出的 兩人指出 AIDS Trojan之所以無法有效發揮作用 是因為其採用的是私鑰加密 該技術的加密金鑰會儲存於病毒的原始碼中 從而瓦解該病毒的作用 兩人並且實作了一隻概念驗證的實驗性病毒 在Macintosh SE 30電腦上使用RSA及TEA演算法加密資料 他們將這種行為稱作明顯的 加密病毒勒索 cryptoviral extortion 屬於現今稱作加密病毒學中的一個分支 13 兩人在1996年的IEEE安全與隱私研討會 IEEE S amp P 中描述了攻擊者利用電子貨幣從被害者身上勒贖的過程 專門的加密病毒能被設計成搜尋受害者的電子貨幣並加密 這樣一來 攻擊者就能名正言順的保證受害者付錢 否則受害者將失去所有的電子貨幣 2005年5月開始 勒索軟體變得更為猖獗 23 在2006年中 勒索軟體開始運用更加複雜的RSA加密手段 甚至加長金鑰的長度 像是Gpcode TROJ RANSOM A Archiveus Krotten Cryzip MayArchive等病毒 例如在2006年6月發現的Gpcode AG使用了660位元的RSA公鑰 24 2008年6月 發現了該病毒的新變種Gpcode AK 該變種使用了1024位元的RSA公鑰 據信在不使用分散式計算的情況下 破解該金鑰對單一電腦來說 將是徒勞無功的 25 26 27 28 加密勒索軟體隨著2013年尾開始出現行蹤的CryptoLocker又開始了新一波的活躍期 該病毒最大的差異在於利用新時代的比特幣進行勒索 2013年12月 ZDNet估計該病毒單單在該月 12月 15日至18日間 就利用比特幣從受害者身上汲取了2700萬美元的鉅額 29 CryptoLocker的手法在緊接著的幾個月內被多種病毒所效仿 包括CryptoLocker 2 0 被認為和原始的CryptoLocker無關 CryptoDefense 值得注意的是 該病毒的初始版本包含了一個嚴重的設計缺陷 將私鑰儲存在使用者能找到的位置 因為其使用Windows的內建加密API進行行動 20 30 31 32 以及2014年8月一個專門針對群暉科技 Synology 生產的網路附加儲存 NAS 設備進行攻擊的病毒 33 在2014年尾 High Tech Bridge資安公司甚至發現了將整個伺服器上網站都加密的RansomeWeb病毒 34 在2015年 刊載了一份詳盡的報告 列舉出不同的勒索軟體所使用的加密技術 弱點 及可能的防範措施等 35 2017年5月 勒索软件WannaCry大规模感染了包括西班牙電信在内的许多西班牙公司 英国國民保健署 36 聯邦快遞和德国铁路股份公司 据报道 至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2 0的攻击 37 38 39 40 俄罗斯联邦内务部 俄羅斯聯邦緊急情況部和俄罗斯电信公司MegaFon共有超过1000台计算机受到感染 41 中国教育网相连的中国大陆高校也出现大规模的感染 42 感染甚至波及到了公安机关使用的内网 43 使得河南省洛阳市的公安系统遭到破坏 44 国家互联网应急中心亦发布通报 45 2020年12月23日 美国各级政府部门 北约 英国政府 欧洲议会 微软等至少200个政府单位 组织或公司遭遇数据泄露 影响范围甚广 46 2021年5月7日 起源于美国德克萨斯州休斯敦 主要负责向美国东南部运输重油的石油管道系统殖民管道遭遇DarkSide发动的勒索软件网络攻击 影响负责管理管道的计算机系统 导致服务地区出现燃油短缺情况 47 非加密性勒索軟體 编辑 在2010年8月 俄羅斯當局逮捕了十名與WinLock木馬病毒有關聯的嫌犯 WinLock病毒並不像前面所提到的Gpcode一樣對電腦加密 相反的 WinLock顯示色情圖片遮擋使用者的電腦螢幕 並提示受害者利用大約10美元的簡訊付費以接收解鎖的密碼 這個病毒襲擊了俄羅斯及鄰近國家的許多人 並被報導指出 攻擊者賺取了超過一千六百萬美元的收入 10 48 2011年 一個勒索軟體假藉Windows產品啟用的名義行騙 提示受害者的Windows因為是詐騙的受害者 victim of fraud 所以必須重新啟用 就像真正的產品啟用一樣 病毒也提供了線上啟動的選項 卻顯示成無法使用 並要求受害者撥打六支國際電話的其中一隻 並且輸入六位數密碼 雖然病毒宣稱該電話號碼為免費撥打 電話卻實際上會被轉接到高費率的國家 再刻意將該通話置於保留 on hold 藉此讓受害者付出高額的國際長途電話費用 8 2013年 一款基於Stamp EK攻擊套件的病毒浮上檯面 該病毒散發訊息在各個SourceForge和GitHub專案頁面中 並宣稱提供名人的假造裸照 49 2013年7月 一個針對OS X的勒索軟體出現 該病毒會顯示一個網頁 宣稱受害者被發現下載色情媒體 不像Windows的病毒一樣對整個系統上鎖 該病毒只能利用點擊劫持來混淆受害者的視聽 試圖不讓受害者用正常方式關閉該頁面 50 2013年7月 一名來自維吉尼亞州的21歲男子中了勒索軟體 卻在巧合之下 因為自己的電腦確實儲存了和他聊天過的未成年少女的裸照 而病毒顯示FBI查獲兒童色情媒體的警告 向警方自首 51 2016年1月 也發現了威脅要將受害者的瀏覽紀錄公開的勒索軟體 52 案例 编辑Reveton 编辑 2012年 一款叫做Reveton的勒索軟體開始廣布 該病毒基於Citadel木馬病毒 而病毒的有效數據會顯示假造成來自執法機關的訊息 因此 此類病毒又被稱為police Trojan或cop Trojan 該病毒會宣稱執法機關查獲該電腦有非法活動 例如下載盜版軟體或是兒童色情媒體 53 並且提示受害者使用Ukash 或Paysafecard等匿名電子貨幣進行繳納 為了更進一步取信於被害人 該警訊也會同時列出受害者的IP位址 某些版本甚至會顯示受害者網路攝影機的畫面 2 54 Reveton在2012年開始在歐洲各國間活動 2 變種則有各式各樣的在地化版本 搭配受害者語言與當地執法機關的圖示 例如在英國的變種就會顯示成倫敦警察廳 著作權集體管理團體 PRS for Music 搭配受害者下載盜版音樂的警告 PeCU等 55 倫敦警察廳曾公開澄清 執法單位絕對不會像病毒一樣 將使用者的電腦以調查名義鎖上 2 9 2012年5月 趨勢科技研究員發現美國及加拿大的版本 代表病毒開發者可能本來有意攻擊北美地區 56 2012年8月 Reveton的新變種開始在美國流竄 要求受害者用MoneyPak卡向FBI繳納200美元的罰鍰 3 4 54 2013年2月 一個俄羅斯公民在杜拜遭西班牙當局逮捕 因為被發現他所屬的犯罪組織曾使用過Reveton 十名共犯則以洗錢罪名逮捕 57 2014年8月 Avast Software回報發現新變種 攜帶竊取密碼的軟體作為實體數據之一 58 CryptoLocker 编辑 2013年9月 加密性勒索軟體以CryptoLocker之姿重出江湖 該病毒使用2048位元的RSA加密金鑰 並將其回傳至主控病毒行動的伺服器 關於加密檔案 該病毒使用白名單以只對特定的副檔名加密 CryptoLocker威脅受害者 若不以比特币或付費卡在三天內繳款 就會將所有加密檔案刪除 由於其使用了極大長度的金鑰 被其加密的檔案一般是認為無法復原的 19 59 60 61 儘管付款期限已過 解密的金鑰仍能利用其提供的線上工具取得 但是價格會增加為10BTC 相當於2300美元 2013年11月匯率 62 63 美國司法部在2014年6月2日宣布 CryptoLocker在Gameover ZeuS殭屍網絡遭到執法機關關閉後被分離出來 司法部也提起了對俄國駭客Evgeniy Bogachev的公訴 因為其對該殭屍網路運作的涉入 64 65 據估計 在該病毒遭關閉前 已經獲得了至少三百萬美元的收入 6 CryptoLocker F 與 TorrentLocker 编辑 2014年9月 新一波針對澳洲的勒索攻擊開始 以CryptoWall及CryptoLocker 連同CryptoLocker 2 0 不和原始CryptoLocker有關 該病毒透過假造的電子郵件散布 宣稱受害者有投遞失敗的澳大利亞郵政包裹 為了避開安全軟體的掃瞄 該變種會先提示使用者輸入CAPTCHA驗證碼來誘使受害者下載病毒數據 赛门铁克確認了該變種 命名為CryptoLocker F 66 67 其中的一個受害者是澳洲廣播公司 而其現場轉播的新聞頻道ABC News 24被迫中斷半小時並轉至墨尔本攝影棚錄影 因為雪梨的攝影棚被該病毒攻擊了 68 69 70 另一個搭上順風車的病毒TorrentLocker 最初含有與CryptoDefense類似的缺陷 該病毒對每台受感染的電腦都使用相同的密鑰流 導致安全單位能利用此弱點解開加密的檔案 該缺陷在後來的版本中被修正了 30 在2014年尾 估計光是澳洲就有超過9000名受害者受TorrentLocker所害 僅次於土耳其的11 700名 71 CryptoWall 编辑 另一個針對Windows的重大病毒CryptoWall在2014年出現 CryptoWall隨著Zedo廣告網的惡意廣告散布 在2014年9月 其針對數個主要網站進行了攻擊 將受害者導向至獨立網站 利用瀏覽器漏洞傳輸病毒 一名Barracuda Networks研究員發現該病毒帶有數位簽章 以取信於安全軟體 72 CryptoWall 3 0以JavaScript寫成 作為電子郵件的附加檔案 該腳本會下載偽裝成JPG圖檔的可執行檔 為了更進一步避開偵測 該病毒會建立複製的explorer exe及svchost exe與其伺服器溝通 建立加密檔案時 該病毒也會同時刪除系統還原的備份檔案 並且安裝間諜軟體 竊取受害者的密碼與比特幣錢包 73 聯邦調查局表示 在2015年6月有上千名的受害者向網路犯罪回報中心回報了CryptoWall的感染 估計損失至少一千八百萬美元 7 在最新的4 0版本中 CryptoWall改進了其程式碼以避免防毒軟體的偵測 並且除了檔案內容外 也一併加密檔案名稱 74 KeRanger 编辑 KeRanger在2016年3月出現 是第一個在OS X作業系統上運作的勒索軟體 該病毒加密受害者的個人檔案 並且要求1BTC的贖金以解密檔案 該病毒將 DMG可執行檔偽裝成RTF檔案 該病毒會潛伏三日 接著開始加密檔案 再附上一個寫入解密教學的文字檔案 該病毒也使用2048位元的RSA公鑰加密檔案 後續研究表明 該病毒其實是Linux Encoder 1為OS X系統而重寫的 RSA4096 编辑 RSA4096是目前加密性勒索軟體的最新世代 最初出現於2015年 該病毒使用公鑰加密 付款則要求受害者利用比特幣向暗網內的代理人購買 卻不保證在付款後能取回私鑰 該病毒有數種變種 大部分都尚未找到解決辦法 某些變種會將檔案的副檔名改變 唯一從攻擊中復原的方法 除了付費購買私鑰以外 只有從外部裝置復原受感染的檔案一途 由於比特幣匯率近年的大幅上升 贖金的價格也相對的上升了 在2016年4月 該價格大約為三十萬英鎊 Manamecrypt CryptoHost 75 該病毒宣稱加密受害者的檔案 並且要求1 3BTC 大約140美元 來解密檔案 事實上 該病毒卻不將檔案加密 而是將檔案移動進入密碼保護的RAR壓縮檔 不過壓縮檔的密碼很容易找到 使得受害者有方法能取回受感染的檔案 CryptoHost將受害者的檔案移至C Users 使用者名稱 AppData Roaming的一個RAR壓縮檔內 檔案名稱為41個字元 且沒有副檔名 CryptoHost目前綑綁在竄改的mTorrent安裝程式內 將自身的cryptohost exe解壓縮進入 AppData 後執行病毒 Mischa 编辑 Mischa是一款勒索軟體 並且和Petya勒索軟體有明顯的關聯 該病毒會將加密的檔案改為特定的副檔名 如 3P7m arpT eQTz 3RNu等 遭受感染的受害者電腦會在瀏覽器內顯示出威脅訊息 聲稱電腦已經遭到 軍規級加密 該病毒也利用Tor瀏覽器和暗網 Tor隐藏服务 要求比特幣贖金 價值通常介於20美元至1000美元間 WannaCrypt 编辑 WannaCrypt是利用Windows系統漏洞進行侵入的一款勒索病毒 在2017年5月12日後全球超过230 000台计算机皆遭此病毒侵害 此病毒要求支付价值等同于300美元的比特幣才可解密所有遭加密文件 受害者電腦大多數皆裝載Windows 7系統 微軟也針對此漏洞進行更新 76 Petya 编辑 主条目 Petya Petya于2016年3月首次出现 不像其他加密勒索软件 该恶意软件旨在感染主引导记录 安装有效负载 受感染的系统下次引导时便加密NTFS文件系统文件表 完全阻止系统引导进Windows 直至支付赎金 Check Point报告指出 尽管该软件被认为是勒索软件设计上的创新性进展 但和在相同时间范围内话语的其他软件相比 感染率相对较低 77 2017年6月27日 Petya重大修改版本被用来反动主要针对乌克兰的全球性网络攻击 经修改的版本和WannaCry同样使用永恒之蓝漏洞传播 由于设计变更 即使支付赎金系统也不会真正解锁 故安全分析师猜测这次袭击不是为了获取非法利益 仅仅是搞破坏 78 79 Bad Rabbit 编辑 2017年10月24日 俄罗斯和乌克兰有用户报告了新型勒索软件 Bad Rabbit 类似于WannaCry和Petya的模式 Bad Rabbit加密了用户的文件表后 要求支付比特币解锁 ESET认为 该勒索软件伪装成Adobe Flash更新发布 80 受影响的机构包括国际文传电讯社 敖德萨国际机场 基辅地铁和乌克兰基础设施部 81 由于利用网络结构进行传播 软件也流入到别国 如土耳其 德国 波兰 日本 韩国和美国 82 专家认为此番袭击和乌克兰的Petya袭击有关 尽管罪魁祸首的唯一标识是将 权力的游戏 系列角色的名字嵌入代码 82 安全专家发现 软件没有使用永恒之蓝漏洞 这种给运行旧版Windows的未被感染的机器接种疫苗的简单方法传播 83 84 此外 一直用来传播假Flash更新已经离线 或是在勒索软件被发现后几天内删除了有问题的文件 从而有效阻止软件传播 82 勒索軟體即服務 Ransomware as a service 编辑暗網中已有越來越多的人宣稱提供勒索軟體作為服務 例如現在已經失效的Tox 85 與Encryptor RaaS等 86 反制 编辑就像其他形式的惡意軟體一樣 安全軟體不一定能偵測出勒索軟體的實體數據 尤其是加密用的軟體 直到開始加密或是完成加密了才被發現 對於未知的病毒來說更是如此 87 若攻擊尚在早期階段 加密檔案尚未成功 此時強制移除病毒實體數據就能避免對資料的進一步加密 例如拔除電源等物理性做法也是可以搶救回部分資料 88 89 安全專家建議了一些預防措施來應對勒索軟體 例如使用安全軟體或設定以避免已知的勒索軟體執行 保留與不與電腦連接的資料備份 尤其某些病毒會將仍與電腦連接的備份檔案一併加密 19 90 非加密性勒索軟體能被專家移除 或是利用現成的安全軟體刪除 雖然勒索軟體的威脅無法被完全革除 使用IT業界所稱的多層次預防策略 defense in layers security strategy 卻稱得上是不錯的預防手段 多層次預防策略提倡同時部署多種獨立 領域互相重疊的安全措施以建立穩固的安全措施 各安全層被設計和其他安全層互補 使得威脅不易穿透重重防護 例如一個安全策略可能包含下列五層 1 全面性的 完備的安全政策 網路和郵件的內容過濾代理伺服器 限制級別存取 以密碼上鎖特定功能 不間斷的員工警覺性訓練流行文化 编辑尼尔 斯蒂芬森的小說Reamde探討一次勒索軟體的攻擊及其後果 參見 编辑網路釣魚 Operation Tovar 國際合作瓦解Gameover ZeuS殭屍網路的聯合行動參考資料 编辑 1 0 1 1 Musa S 2016 5 Steps to Take on Ransomware 2016 05 23 原始内容存档于2016 07 18 2 0 2 1 2 2 2 3 2 4 Dunn John E Ransom Trojans spreading beyond Russian heartland TechWorld 2012 03 10 原始内容存档于2014 07 02 3 0 3 1 New Internet scam Ransomware FBI 2012 08 09 2016 05 23 原始内容存档于2012 10 17 4 0 4 1 Citadel malware continues to deliver Reveton ransomware Internet Crime Complaint Center IC3 2012 11 30 2016 05 23 原始内容存档于2017 03 04 Update McAfee Cyber criminals using Android malware and ransomware the most InfoWorld 2013 09 16 原始内容存档于2014 07 02 6 0 6 1 Cryptolocker victims to get files back for free BBC News 2014 08 06 2014 08 18 原始内容存档于2014 08 09 7 0 7 1 FBI says crypto ransomware has raked in gt 18 million for cybercriminals Ars Technica 2015 06 25 原始内容存档于2016 10 23 8 0 8 1 Ransomware squeezes users with bogus Windows activation demand Computerworld 2012 03 09 原始内容存档于2014 07 03 9 0 9 1 Police warn of extortion messages sent in their name Helsingin Sanomat 2012 03 09 原始内容存档于2012 03 14 10 0 10 1 McMillian Robert Alleged Ransomware Gang Investigated by Moscow Police PC World 2012 03 10 原始内容存档于2011 12 25 Ransomware Fake Federal German Police BKA notice SecureList Kaspersky Lab 2012 03 10 原始内容存档于2012 02 05 And Now an MBR Ransomware SecureList Kaspersky Lab 2012 03 10 原始内容存档于2012 04 14 13 0 13 1 Young A M Yung Cryptovirology extortion based security threats and countermeasures IEEE Symposium on Security and Privacy 129 140 1996 ISBN 0 8186 7417 2 doi 10 1109 SECPRI 1996 502676 Adam Young Zhou Jianying Lopez Javier 编 Building a Cryptovirus Using Microsoft s Cryptographic API Springer Verlag 2005 389 401 journal 被忽略 帮助 Young Adam Cryptoviral Extortion Using Microsoft s Crypto API Can Crypto APIs Help the Enemy International Journal of Information Security Springer Verlag 2006 5 2 67 76 doi 10 1007 s10207 006 0082 7 Danchev Dancho New ransomware locks PCs demands premium SMS for removal ZDNet 2009 04 22 2009 05 02 原始内容存档于2009 04 26 Ransomware plays pirated Windows card demands 143 Computerworld 2012 03 09 原始内容存档于2014 07 03 Cheng Jacqui New Trojans give us 300 or the data gets it Ars Technica 2007 07 18 2009 04 16 原始内容存档于2011 09 12 19 0 19 1 19 2 You re infected if you want to see your data again pay us 300 in Bitcoins Ars Technica 2013 10 23 原始内容存档于2016 11 10 20 0 20 1 CryptoDefense ransomware leaves decryption key accessible Computerworld IDG 2014 04 07 原始内容存档于2014 07 03 What to do if Ransomware Attacks on your Windows Computer Techie Motto 2016 04 25 原始内容存档于2016 05 23 Kassner Michael Ransomware Extortion via the Internet TechRepublic 2012 03 10 原始内容存档于2012 06 21 Schaibly Susan Files for ransom Network World 2005 09 26 2009 04 17 原始内容存档于2013 10 19 Leyden John Ransomware getting harder to break The Register 2006 07 24 2009 04 18 原始内容存档于2016 12 07 Naraine Ryan Blackmail ransomware returns with 1024 bit encryption key ZDNet 2008 06 06 2009 05 03 原始内容存档于2008 08 03 Lemos Robert Ransomware resisting crypto cracking efforts SecurityFocus 2008 06 13 2009 04 18 原始内容存档于2016 03 03 Krebs Brian Ransomware Encrypts Victim Files with 1 024 Bit Key The Washington Post 2008 06 09 2009 04 16 原始内容存档于2012 05 31 Kaspersky Lab reports a new and dangerous blackmailing virus Kaspersky Lab 2008 06 05 2008 06 11 原始内容存档于2016 04 02 Violet Blue CryptoLocker s crimewave A trail of millions in laundered Bitcoin ZDNet 2013 12 22 2013 12 23 原始内容存档于2013 12 23 30 0 30 1 Encryption goof fixed in TorrentLocker file locking malware PC World 2014 10 15 原始内容存档于2016 05 06 Cryptolocker 2 0 new version or copycat WeLiveSecurity ESET 2014 01 18 原始内容存档于2016 11 22 New CryptoLocker Spreads via Removable Drives Trend Micro 2014 01 18 原始内容存档于2016 11 04 Synology NAS devices targeted by hackers demand Bitcoin ransom to decrypt files ExtremeTech Ziff Davis Media 2014 08 18 原始内容存档于2014 08 19 Fox Brewster Thomas RansomWeb Crooks Start Encrypting Websites And Demanding Thousands Of Dollars From Businesses Forbes com 2016 01 12 原始内容存档于2020 11 08 Ben Herzog What You Can and Can t Do Against Ransomware Checkpoint Technologies 2015 08 17 2016 03 14 原始内容存档于2020 12 12 Marsh Sarah The NHS trusts hit by malware full list The Guardian 2017 05 12 2017 05 13 ISSN 0261 3077 原始内容存档于2017 05 15 英国英语 Statement on reported NHS cyber attack digital nhs uk 2017 05 13 原始内容存档于2017 05 19 英国英语 Hern Alex Gibbs Samuel What is WanaCrypt0r 2 0 ransomware and why is it attacking the NHS The Guardian 2017 05 12 2017 05 13 ISSN 0261 3077 原始内容存档于2017 05 12 英国英语 NHS cyber attack GPs and hospitals hit by ransomware BBC News 2017 05 13 2017 05 13 原始内容存档于2017 05 12 英国英语 Larson Selena Massive ransomware attack hits 99 countries CNNMoney 2017 05 12 2017 05 13 原始内容存档于2017 05 21 Ransomware virus plagues 75k computers across 99 countries RT International 2017 05 13 原始内容存档于2017 05 12 美国英语 安天发布措施紧急应对新型勒索软件 wannacry 新浪科技 2017 05 13 原始内容存档于2020 08 20 cnBeta 勒索病毒国内蔓延 多地出入境系统受影响瘫痪 警告 cnBeta COM cnbeta 2017 05 13 原始内容存档于2021 08 01 中文 中国大陆 勒索病毒来袭 洛阳市这些单位办理业务受影响 网易新闻 2017 05 15 原始内容存档于2019 06 09 国家互联网应急中心发布勒索软件情况通报 新浪科技 2017 05 13 2017 05 13 原始内容存档于2021 08 01 Sanger David E Perlroth Nicole Schmitt Eric Scope of Russian Hack Becomes Clear Multiple U S Agencies Were Hit The New York Times December 15 2020 December 15 2020 原始内容存档于December 18 2020 Helmore Edward FBI confirms DarkSide hacking group behind US pipeline shutdown The Guardian 2021 05 10 2021 05 10 原始内容存档于2021 05 12 英语 Leyden John Russian cops cuff 10 ransomware Trojan suspects The Register 2012 03 10 原始内容存档于2017 02 22 Criminals push ransomware hosted on GitHub and SourceForge pages by spamming fake nude pics of celebrities TheNextWeb 2013 07 17 原始内容存档于2017 02 16 New OS X malware holds Macs for ransom demands 300 fine to the FBI for viewing or distributing porn TheNextWeb 2013 07 17 原始内容存档于2017 01 03 Man gets ransomware porn pop up goes to cops gets arrested on child porn charges Ars Technica 2013 07 31 原始内容存档于2016 11 09 Leyden John Two thirds of Android users vulnerable to web history sniff ransomware 2016 01 28 2016 02 01 原始内容存档于2019 08 07 Fake cop Trojan detects offensive materials on PCs demands money The Register 2012 08 15 原始内容存档于2016 11 09 54 0 54 1 Reveton Malware Freezes PCs Demands Payment InformationWeek 2012 08 16 原始内容存档于2013 05 14 Dunn John E Police alert after ransom Trojan locks up 1 100 PCs TechWorld 2012 08 16 原始内容存档于2014 07 02 Constantian Lucian Police themed Ransomware Starts Targeting US and Canadian Users PC World 2012 05 11 失效連結 Reveton police ransom malware gang head arrested in Dubai TechWorld 2014 10 18 原始内容存档于2014 12 14 Reveton ransomware upgraded with powerful password stealer PC World 2014 10 18 原始内容存档于2016 04 02 Disk encrypting Cryptolocker malware demands 300 to decrypt your files Geek com 2013 09 12 原始内容存档于2016 11 04 CryptoLocker attacks that hold your computer to ransom The Guardian 2013 10 23 原始内容存档于2013 11 18 Destructive malware CryptoLocker on the loose here s what to do Naked Security Sophos 2013 10 23 原始内容存档于2017 05 08 CryptoLocker crooks charge 10 Bitcoins for second chance decryption service NetworkWorld 2013 11 05 原始内容存档于2013 11 05 CryptoLocker creators try to extort even more money from victims with new service PC World 2013 11 05 原始内容存档于2017 04 30 Wham bam Global Operation Tovar whacks CryptoLocker ransomware amp GameOver Zeus botnet Computerworld IDG 2014 08 18 原始内容存档于2014 07 03 U S Leads Multi National Action Against Gameover Zeus Botnet and Cryptolocker Ransomware Charges Botnet Administrator Justice gov U S Department of Justice 2014 08 18 原始内容存档于2014 09 03 Australians increasingly hit by global tide of cryptomalware Symantec 2014 10 15 原始内容存档于2016 03 29 Grubb Ben Hackers lock up thousands of Australian computers demand ransom Sydney Morning Herald 2014 09 17 2014 10 15 原始内容存档于2014 10 20 Australia specifically targeted by Cryptolocker Symantec ARNnet 2014 10 03 2014 10 15 原始内容存档于2014 10 07 Scammers use Australia Post to mask email attacks Sydney Morning Herald 2014 10 15 2014 10 15 原始内容存档于2014 10 16 Ransomware attack knocks TV station off air CSO 2014 10 15 原始内容存档于2016 10 12 Over 9 000 Vegeta OVER 9000 PCs in Australia infected by TorrentLocker ransomware CSO com au 2014 12 18 原始内容存档于2016 11 11 Malvertising campaign delivers digitally signed CryptoWall ransomware PC World 2015 06 25 原始内容存档于2016 07 19 CryptoWall 3 0 Ransomware Partners With FAREIT Spyware Trend Micro 2015 06 25 原始内容存档于2016 10 18 Andra Zaharia Security Alert CryptoWall 4 0 new enhanced and more difficult to detect HEIMDAL 2015 11 05 2016 01 05 原始内容存档于2016 11 10 CryptoHost Decrypted Locks files in a password protected RAR File BleepingComputer 2016 04 20 原始内容存档于2020 11 08 美国英语 引用错误 没有为名为CNN WannaCrypt的参考文献提供内容 Constantin Lucian Petya ransomware is now double the trouble NetworkWorld 2017 06 27 原始内容存档于2017 07 31 英语 Tuesday s massive ransomware outbreak was in fact something much worse Ars Technica 2017 06 28 原始内容存档于2017 07 17 美国英语 Cyber attack was about data and not money say experts BBC News 2017 06 29 2017 06 29 原始内容存档于2019 08 05 英国英语 Bad Rabbit ransomware strikes Ukraine and Russia BBC 2017 10 24 2017 10 24 原始内容存档于2021 01 06 Hern Alex Bad Rabbit Game of Thrones referencing ransomware hits Europe Theguardian com 2017 10 25 2017 10 25 原始内容存档于2020 11 09 82 0 82 1 82 2 Larson Selena New ransomware attack hits Russia and spreads around globe CNN 2017 10 25 2017 10 25 原始内容存档于2020 11 12 Cameron Dell Bad Rabbit Ransomware Strikes Russia and Ukraine Gizmodo 2017 10 24 2017 10 24 原始内容存档于2020 11 12 Palmer Danny Bad Rabbit ransomware A new variant of Petya is spreading warn researchers ZDNet 2017 10 24 2017 10 24 原始内容存档于2021 01 14 Brook Chris Author Behind Ransomware Tox Calls it Quits Sells Platform 2015 06 04 2015 08 06 原始内容存档于2018 09 29 Dela Paz Roland Encryptor RaaS Yet another new Ransomware as a Service on the Block 2015 07 29 2015 08 06 原始内容存档于2016 05 16 Yuma Sun weathers malware attack Yuma Sun 2014 08 18 原始内容存档于2017 10 08 Cannell Joshua Cryptolocker Ransomware What You Need To Know last updated 06 02 2014 Malwarebytes Unpacked 2013 10 19 原始内容存档于2016 03 14 Leyden Josh Fiendish CryptoLocker ransomware Whatever you do don t PAY The Register 2013 10 18 原始内容存档于2016 11 10 Cryptolocker Infections on the Rise US CERT Issues Warning 页面存档备份 存于互联网档案馆 延伸閱讀 编辑Russinovich Mark Hunting Down and Killing Ransomware Scareware Microsoft TechNet blog 2013 01 07 2016 05 23 原始内容存档于2015 11 16 Microsoft TechNet blog Simonite Tom Holding Data Hostage The Perfect Internet Crime Ransomware Scareware MIT Technology Review 2015 02 04 2016 05 23 原始内容存档于2015 11 27 Holding Data Hostage The Perfect Internet Crime 页面存档备份 存于互联网档案馆 Ransomware Scareware 页面存档备份 存于互联网档案馆 MIT Technology Review Brad Duncan Exploit Kits and CryptoWall 3 0 The Rackspace Blog amp NewsRoom 2015 03 02 2016 05 23 原始内容存档于2015 09 24 The Rackspace Blog amp NewsRoom Ransomware on the Rise The Federal Bureau of Investigation JANUARY 2015 2016 05 23 原始内容存档于2016 07 09 Yang T Yang Y Qian K Lo D C T Qian L amp Tao L Automated Detection and Analysis for Android Ransomware IEEE Internet of Things Journal CONFERENCE AUGUST 2015 Richet Jean Loup Extortion on the Internet the Rise of Crypto Ransomware PDF Harvard 2016 05 23 原始内容存档 PDF 于2017 03 05 外部連結 编辑Incidents of Ransomware on the Rise 页面存档备份 存于互联网档案馆 Federal Bureau of Investigation Geeknights 20160418 Ransomware 页面存档备份 存于互联网档案馆 SSpyware 20160512 Mischa ransomware 永久失效連結 取自 https zh wikipedia org w index php title 勒索軟體 amp oldid 76789850, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。