金翔宇

摘要：勒索軟件嚴(yán)重地威脅著網(wǎng)絡(luò)安全，是人類面臨的共同挑戰(zhàn)。隨著時(shí)代的發(fā)展，勒索軟件呈現(xiàn)出許多新的發(fā)展趨勢。發(fā)展趨勢主要表現(xiàn)為6個(gè)方面：軟件種類復(fù)雜化、勒索方式多樣化、傳播手段廣泛化、支付方式隱蔽化、勒索目的多元化、破壞程度擴(kuò)大化。

關(guān)鍵詞：勒索軟件；網(wǎng)絡(luò)安全；病毒

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）30-0118-02

勒索軟件（Ransomware）是一種特殊的惡意軟件，被歸類為阻斷訪問式攻擊（denial-of-access attack）[1]。有的勒索軟件只是單純地將受害者的電腦、手機(jī)鎖起來，而有的則系統(tǒng)性地對受害者硬盤上的文件、手機(jī)上的通訊錄等進(jìn)行加密。所有的勒索軟件都有一個(gè)共同的目的：要求受害者在規(guī)定的時(shí)間內(nèi)向指定的賬戶繳納一定數(shù)額的贖金，以此作為受害者獲取解密密鑰的交換條件，否則，受害者無法取回對電腦、手機(jī)的控制權(quán)。勒索軟件通常以木馬病毒的形式傳播，將自身掩蓋為無害的文件，如通常假冒成普通的電子郵件等，來欺騙受害者點(diǎn)擊鏈接下載，但也有可能與許多其他蠕蟲病毒一樣利用軟件的漏洞在聯(lián)網(wǎng)的電腦間傳播。

隨著勒索軟件的更新?lián)Q代，其傳播手段、傳播速度、破壞程度、交易方式等都發(fā)生了顯著變化。只有全面地了解勒索軟件的演變趨勢，才能更好地做好網(wǎng)絡(luò)安全保護(hù)工作。鑒于此，筆者擬探討勒索軟件演變趨勢，為網(wǎng)絡(luò)安全保護(hù)提供參考。

1 軟件種類復(fù)雜化

最早出現(xiàn)的勒索軟件是1989年的AIDS Trojan病毒，由Joseph Popp制作。2萬張受該木馬病毒感染的軟盤被分發(fā)給了國際衛(wèi)生組織國際艾滋病大會(huì)的與會(huì)者。該木馬病毒發(fā)作后，磁盤上的文件被加密，并聲稱用戶的軟件許可已經(jīng)過期，要求受害者繳納189美元的費(fèi)用給PC Cyborg 公司以解除鎖定[2]。該木馬病毒開啟了近30 年的勒索軟件攻擊歷史。據(jù)ID Ransomware網(wǎng)站[3]統(tǒng)計(jì)，截至目前，全世界共發(fā)現(xiàn)了490種不同的勒索軟件。

早期的勒索軟件多為木馬病毒，一般沒有自我復(fù)制能力，主要通過郵件或者Web瀏覽等傳播，傳播速度相對較慢。2016年出現(xiàn)的ZCryptor勒索軟件具有自我復(fù)制能力，隨系統(tǒng)啟動(dòng)運(yùn)行，被認(rèn)為是第一個(gè)Crypto蠕蟲病毒[4]。2017年5月爆發(fā)的WannaCry勒索病毒是一款蠕蟲病毒，具有自我復(fù)制、主動(dòng)傳播能力，傳播速度快、影響范圍廣，破壞力極強(qiáng)。

同一個(gè)勒索軟件家族往往有多個(gè)變種，且變形速度相當(dāng)快，如勒索軟件Mole在短短的4天內(nèi)就進(jìn)行了3次變形。

2 勒索方式多樣化

根據(jù)所使用的勒索方式，勒索軟件主要分為三類[5]：一類是影響用戶系統(tǒng)的正常使用。比如QiaoZhaz、DevLockeer、Koler、Locker、Cokri等，會(huì)采用鎖定系統(tǒng)屏幕等方式，迫使系統(tǒng)用戶付款，以換取對系統(tǒng)的正常使用。二類是恐嚇用戶。比如FakeAV等，會(huì)偽裝成反病毒軟件，謊稱在用戶的系統(tǒng)中發(fā)現(xiàn)病毒，誘騙用戶付款購買其“反病毒軟件”。又如Reveton會(huì)根據(jù)用戶所處地域不同而偽裝成用戶所在地的執(zhí)法機(jī)構(gòu)，聲稱用戶觸犯法律，迫使用戶支付贖金。三類是綁架用戶數(shù)據(jù)。最典型的是CTB-Locker家族，采用高強(qiáng)度的加密算法，加密用戶文檔，只有在用戶支付贖金后，才提供解密文檔的方法。

3 傳播手段廣泛化

勒索軟件的傳播途徑主要為郵件傳播，一般通過社會(huì)工程學(xué)的原理誘騙收件人點(diǎn)擊垃圾郵件、釣魚郵件，或者郵件中的鏈接，導(dǎo)致電腦感染病毒，從而實(shí)施勒索。隨著人們網(wǎng)絡(luò)安全防范意識(shí)的提高，勒索軟件也通過其他途徑進(jìn)行傳播，如漏洞傳播、網(wǎng)頁掛馬傳播、借助可移動(dòng)介質(zhì)傳播、與其他惡意軟件捆綁傳播、社交網(wǎng)絡(luò)傳播等，Cerber 就是利用工具Rig-V ExploitEK通過垃圾郵件和漏洞進(jìn)行傳播的。

勒索軟件即服務(wù)（Ransomware-as-a-Service，RaaS）的出現(xiàn)，加速了勒索軟件的傳播。勒索軟件編寫者通過暗網(wǎng)出售、出租或其他方式，讓更多的人去實(shí)施勒索，而他們自己不需要去親自執(zhí)行，但仍然能從中獲利。RaaS模式讓勒索軟件編寫者擴(kuò)大了犯罪的規(guī)模，而自己只承擔(dān)最小的風(fēng)險(xiǎn)。Cerber就是依靠RaaS實(shí)現(xiàn)快速傳播的，曾一度“領(lǐng)跑”勒索軟件[6]。

此外，有的勒索軟件通過誘使受害者將惡意代碼鏈接傳播給兩名以上的其他人，其他受害者支付贖金后，最初的受害者就能免費(fèi)獲取解密密鑰。如PopcornTime除了通過正常支付比特幣外，還增加了這種“傳銷”解密的方式[2]。受害者為了解密文件很有可能將勒索軟件再次傳播出去，這無疑會(huì)加速勒索軟件的傳播。

4 支付方式隱蔽化

早期的勒索軟件一般采用傳統(tǒng)的方式接收贖金，要求受害者向指定的郵箱郵寄一定數(shù)量的贖金，或者向指定銀行賬號(hào)匯款，或者向指定號(hào)碼發(fā)送可以產(chǎn)生高額費(fèi)用的短信。使用的貨幣有人民幣、美元、盧布等。隨著比特幣的出現(xiàn)，勒索軟件的制作者逐漸采用了這種虛擬貨幣的支付方式，旨在充分利用比特幣具有的全球化、去中心化和匿名性等優(yōu)勢來躲避被追蹤?？梢哉f，比特幣的出現(xiàn)，加速了勒索軟件的泛濫。

雖然比特幣交易時(shí)是匿名的，但是比特幣交易者身份實(shí)際上是可以追蹤的，使用者支付時(shí)的IP地址是可查的。另外，比特幣全網(wǎng)記賬的特點(diǎn)，使它每一筆交易在所有記賬節(jié)點(diǎn)都可以看到其交易的內(nèi)容[7]。因此，多數(shù)交易者還是可以查到身份的。勒索軟件制作者為了逃避追查，采用更加隱藏的洋蔥路由（Tor），通過完全匿名的比特幣交易方式獲取贖金，如CryptoWall3.0和Petya在勒索支付階段使用了Tor網(wǎng)絡(luò)提供支付比特幣贖金地址，勒索信息里就包含一條以“.onion”結(jié)尾的鏈接地址，告知受害者交易地址，這樣就很難被追蹤[8]。

5 勒索目的多元化

大多數(shù)勒索軟件制作者的目的是為了獲取金錢，這是一個(gè)不爭的事實(shí)。然而，有些勒索軟件的制作者似乎不是為了金錢，而是為了摧毀目標(biāo)系統(tǒng)和數(shù)據(jù)，甚至是為了某些政治目的。endprint

針對2017年爆發(fā)的Petya（NotPetya）勒索軟件，世界頭號(hào)電腦黑客米特尼克表示，別以為黑客入侵電腦系統(tǒng)只是為了勒索，勒索軟件只是他們的偽裝，真正的目的是惡意摧毀目標(biāo)系統(tǒng)[9]。與米特尼克持有相同觀點(diǎn)的還有俄羅斯安全公司卡巴斯基實(shí)驗(yàn)室以及網(wǎng)絡(luò)安全公司Comae。BBC也認(rèn)為這次網(wǎng)絡(luò)攻擊的動(dòng)機(jī)可能源于政治目的。來自Comae Technologies的研究員Matt Suiche同樣認(rèn)為這實(shí)際上是一場偽裝的國家級(jí)網(wǎng)絡(luò)攻擊。

6 破壞程度擴(kuò)大化

對個(gè)人而言，勒索軟件不僅給受害者造成直接經(jīng)濟(jì)損失，而且會(huì)造成重要文檔、珍貴圖片等的丟失；對于企業(yè)而言，除繳納贖金外，還會(huì)導(dǎo)致業(yè)務(wù)停頓，商業(yè)聲譽(yù)受損等更為嚴(yán)重的損失；對于國家而言，勒索軟件攻擊關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)，如電力、交通運(yùn)輸?shù)?，就可能?yán)重影響國家安全、國計(jì)民生、公共利益。

2017年5月12日，WannaCry勒索病毒在全球爆發(fā)，該勒索病毒不但破壞了很多高價(jià)值數(shù)據(jù)，而且直接導(dǎo)致很多公共服務(wù)、重要業(yè)務(wù)、基礎(chǔ)設(shè)施無法正常開展，多個(gè)國家的高校、加油站、火車站、自助終端、郵政、醫(yī)院、出入境簽證、交通管理等機(jī)構(gòu)陷入癱瘓。此次網(wǎng)絡(luò)攻擊被認(rèn)為達(dá)到了史無前例的級(jí)別。勒索軟件已成為當(dāng)今全球網(wǎng)絡(luò)安全的主流威脅之一。

參考文獻(xiàn)：

[1] 勒索軟件[EB/OL].[2017-09-20].https：//zh.wikipedia.org/wiki/%E5%8B%92%E7%B4%A2%E8%BB%9F%E9%AB%94#citenoteacademia.edu.

[2] 安天安全研究與應(yīng)急處理中心.勒索軟件簡史[J]. 中國信息安全，2017（4）：50-57.

[3] Which ransomwares are detected？[EB/OL]. [2017-10-01].https：//id-ransomware.malwarehunterteam.com/index.php.

[4] 姜正濤，李滿意.全球網(wǎng)絡(luò)共治新考驗(yàn)——勒索病毒W(wǎng)annacry爆發(fā)[J].保密科學(xué)技術(shù)，2017（6）：10-13.

[5] 安天安全研究與應(yīng)急處理中心. 揭開勒索軟件的真面目[EB/OL].[2017-10-01]. http：//www.antiy.com/response/ransomware.html.

[6] Cerber. 借勒索軟件即服務(wù)快速傳播[EB/OL].[2017-10-01].http：//www.sohu.com/a/136327420_610481.

[7] 殷怡. 勒索病毒“綁架”比特幣：黑客也是看上了它的支付優(yōu)勢[EB/OL].[2017-10-01].http：//www.yicai.com/news/5284244.html.

[8] ArkTeam. Tor的惡意應(yīng)用[EB/OL]. [2017-10-01]. http：//www.freebuf.com/articles/network/133361.html.

[9] 錢童心. 世界頭號(hào)黑客：勒索軟件是網(wǎng)絡(luò)犯罪的“障眼法”[EB/OL].[2017-10-01].http：//www.yicai.com/news/5308491.html.endprint