常見(jiàn)的勒索病毒

GandCrab

GandCrab勒索病毒首次出現(xiàn)于2018年1月，是國(guó)內(nèi)首個(gè)使用達(dá)世幣（DASH）作為贖金的勒索病毒，也是2019上半年是最為活躍的病毒之一。該病毒在一年多的時(shí)間里經(jīng)歷了5個(gè)大版本的迭代，該病毒作者也一直和安全廠商、執(zhí)法部門(mén)斗智斗勇。該病毒在國(guó)內(nèi)擅長(zhǎng)使用弱口令爆破，掛馬，垃圾郵件等各種方式傳播。

2018年10月16日，一位敘利亞用戶在推特表示，GandCrab病毒加密了他的電腦文件，因無(wú)力支付勒索贖金，他再也無(wú)法看到因?yàn)閼?zhàn)爭(zhēng)喪生的小兒子的照片。隨后GandCrab放出了敘利亞地區(qū)的部分密鑰，并在之后的病毒版本中將敘利亞地區(qū)列入白名單不再感染，這也是國(guó)內(nèi)有廠商將其命名為“俠盜勒索”的原因。

2019年6月1日，GandCrab運(yùn)營(yíng)團(tuán)隊(duì)在某俄語(yǔ)論壇公開(kāi)聲明“從出道到現(xiàn)在的16個(gè)月內(nèi)共賺到20多億美金，平均每人每年入賬1.5億，并成功將這些錢(qián)洗白。同時(shí)宣布關(guān)閉勒索服務(wù)，停止運(yùn)營(yíng)團(tuán)隊(duì)，后續(xù)也不會(huì)放出用于解密的密鑰，往后余生，要揮金如土，風(fēng)流快活去”。

2019年6月17日，Bitdefender聯(lián)合羅馬尼亞與歐洲多地區(qū)警方一起通過(guò)線上線下聯(lián)合打擊的方式，實(shí)現(xiàn)了對(duì)GandCrab最新病毒版本v5.2的解密。該事件也標(biāo)志著GandCrab勒索團(tuán)伙故事的終結(jié)。

GlobeImposter

2017年5月，勒索病毒Globelmposter首次在國(guó)內(nèi)出現(xiàn)。2018年2月全國(guó)各大醫(yī)院受Globelmposter勒索病毒攻擊，導(dǎo)致醫(yī)院系統(tǒng)被加密，嚴(yán)重影響了醫(yī)院的正常業(yè)務(wù)。Globelmposter攻擊手法都極其豐富,通過(guò)垃圾郵件、社交工程、滲透掃描、RDP爆破、惡意程序捆綁等方式進(jìn)行傳播,其加密的后綴名也不斷變化。由于Globelmposter采用RSA+AES算法加密,目前該勒索樣本加密的文件暫無(wú)解密工具。

Crysis

Crysis勒索病毒從2016年開(kāi)始具有勒索活動(dòng) ，加密文件完成后通常會(huì)添加“ID+郵箱+指定后綴”格式的擴(kuò)展后綴，例：“id-編號(hào).[gracey1c6rwhite@aol.com].bip”，其家族衍生Phobos系列變種在今年2月開(kāi)始也有所活躍。該病毒通常使用弱口令爆破的方式入侵企業(yè)服務(wù)器，安全意識(shí)薄弱的企業(yè)由于多臺(tái)機(jī)器使用同一弱密碼，面對(duì)該病毒極容易引起企業(yè)內(nèi)服務(wù)器的大面積感染，進(jìn)而造成業(yè)務(wù)系統(tǒng)癱瘓。

Sodinokibi

Sodinokibi勒索病毒首次出現(xiàn)于2019年4月底，由于之后GandCrab停止運(yùn)營(yíng)事件，該病毒緊跟其后將GandCrab勒索家族的多個(gè)傳播渠道納入自身手中。該病毒目前在國(guó)內(nèi)主要通過(guò)web相關(guān)漏洞和海量的釣魚(yú)郵件傳播，也被國(guó)內(nèi)廠商稱為GandCrab的“接班人”，從該病毒傳播感染勢(shì)頭來(lái)看，毫無(wú)疑問(wèn)是勒索黑產(chǎn)中的一顆上升的新星。

WananCry

WannaCry于2017年5月12日在全球范圍大爆發(fā)，引爆了互聯(lián)網(wǎng)行業(yè)的“生化危機(jī)”。借助“永恒之藍(lán)”高危漏洞傳播的WannaCry在短時(shí)間內(nèi)影響近150個(gè)國(guó)家，致使多個(gè)國(guó)家政府、教育、醫(yī)院、能源、通信、交通、制造等諸多關(guān)鍵信息基礎(chǔ)設(shè)施遭受前所未有的破壞，勒索病毒也由此事件受到空前的關(guān)注，由于當(dāng)前網(wǎng)絡(luò)中仍有部分機(jī)器未修復(fù)漏洞，所以該病毒仍然有較強(qiáng)活力（大部分加密功能失效）。

Stop

Stop勒索病毒家族在國(guó)內(nèi)主要通過(guò)軟件捆綁、垃圾郵件等方式進(jìn)行傳播，加密時(shí)通常需要下載其它病毒輔助工作模塊。Stop勒索病毒會(huì)留下名為_(kāi)readme.txt的勒索說(shuō)明文檔，勒索980美元，并聲稱72小時(shí)內(nèi)聯(lián)系病毒作者將獲得50%費(fèi)用減免，同時(shí)，該病毒除加密文件外，還具備以下行為特點(diǎn)。

加密時(shí)，禁用任務(wù)管理器、禁用Windows Defender、關(guān)閉Windows Defender的實(shí)時(shí)監(jiān)控功能;

通過(guò)修改hosts文件阻止系統(tǒng)訪問(wèn)全球范圍內(nèi)大量安全廠商的網(wǎng)站；

因病毒執(zhí)行加密時(shí)，會(huì)造成系統(tǒng)明顯卡頓，為掩人耳目，病毒會(huì)彈出偽造的Windows 自動(dòng)更新窗口；

釋放一個(gè)被人為修改后不顯示界面的TeamViewer模塊，用來(lái)實(shí)現(xiàn)對(duì)目標(biāo)電腦的遠(yuǎn)程控制；

下載AZORult竊密木馬，以竊取用戶瀏覽器、郵箱、多個(gè)聊天工具的用戶名密碼。

Paradise

Paradise勒索病毒最早出現(xiàn)于2018年7月，該病毒勒索彈窗樣式與Crysis極為相似，勒索病毒加密文件完成后將修改文件名為以下格式：[原文件名]_[隨機(jī)字符串]_{郵箱}.隨機(jī)后綴，并留下名為Instructions with your files.txt或###_INFO_you_FILE_###.txt 的勒索說(shuō)明文檔。

Clop

Clop勒索病毒使用RSA+RC4的方式對(duì)文件進(jìn)行加密，與其他勒索病毒不同的是，Clop勒索病毒部分情況下攜帶了有效的數(shù)字簽名，數(shù)字簽名濫用，冒用以往情況下多數(shù)發(fā)生在流氓軟件，竊密類木馬程序中。勒索病毒攜帶有效簽名的情況極為少見(jiàn)，這意味著該病毒在部分?jǐn)r截場(chǎng)景下更容易獲取到安全軟件的信任，進(jìn)而感染成功，對(duì)企業(yè)造成無(wú)法逆轉(zhuǎn)的損失。

SCarab

Scarab索病毒主要利用Necurs僵尸網(wǎng)絡(luò)進(jìn)行傳播，在國(guó)內(nèi)也有發(fā)現(xiàn)通過(guò)RDP過(guò)口令爆破后投毒。該家族變種較多，部分變種感染后外觀展現(xiàn)形態(tài)差異較大，例如今年3月份我國(guó)部分企業(yè)感染的ImmortalLock（不死鎖）病毒則為Scarab家族在國(guó)內(nèi)活躍的一個(gè)變種。

Maze

Maze（迷宮）勒索病毒也叫ChaCha勒索病毒，擅長(zhǎng)使用Fallout EK漏洞利用工具通過(guò)網(wǎng)頁(yè)掛馬等方式傳播。被掛馬的網(wǎng)頁(yè)，多見(jiàn)于黃賭毒相關(guān)頁(yè)面，通常會(huì)逐步擴(kuò)大到盜版軟件、游戲外掛（或破解）、盜版影視作品下載，以及某些軟件內(nèi)嵌的廣告頁(yè)面，該病毒的特點(diǎn)之一是自稱根據(jù)染毒機(jī)器的價(jià)值來(lái)確認(rèn)勒索所需的具體金額。