花式勒索,仅去年12月新增33款勒索软件变种。整个2016年,勒索软件呈现出集中的爆发态势。那么,到底爆发到了什么程度?来看一下12月份的统计数据,相当令人震惊:整个12月份,出现了32个新勒索软件样本,并出现了33个勒索软件的新变种。安全专家发布了9款勒索软件的解密工具,他们的工作还是很有成效的,但是,与出现的速度相比,还有很大差距。
下面我们按照时间,来具体说明每天发生的勒索事件、及反勒索事件。
12月1日
Matrix勒索软件首次出现,并使用了GnuPG加密系统
研究人员在实际环境中发现了一款新型勒索木马,叫做“Matrix”,它使用开源的GnuPG加密系统,来加密受害人的个人数据,并禁止受害人访问。同时,会给受害人留下一个勒索信件,名称是“matrix-readme.rtf”,并留下了两个邮箱,分别是“matrix9643@yahoo.com”和“redtablet9643@yahoo.com”,以便受害人联系攻击者。
Avast发布勒索解密工具
Avast的安全分析师针对4款勒索软件家族,分别是CrySiS、Globe、Alcatraz Locker、和NoobCrypt,开发了4款免费的解密工具。任何被上述勒索软件感染的受害者,都可以免费下载并使用。
12月2日
黑客在暗网公开出售Alpha Locker勒索软件
对于那些崇拜敲诈的人,可以通过购买Alpha Locker勒索软件,去释放他们邪恶的力量。该恶意程序采用了C#程序语言。有效载荷只有50KB,整套工具价值65美元。
勒索软件作者给安全专家发了一条秘密信息
NMoreira勒索木马的作者,该作者跟XPan勒索软件也有关系,他使用了一个有趣的策略,给Emsisoft的杰出安全专家Fabian Wosar发了一条信息,Fabian Wosar曾经破解过很多加密威胁。NMoreira的作者在他最新勒索产品的核心代码中添加了一段明文:“希望你能再一次破解这个勒索软件。”Fabian Wosar是以这样的方式评论这件事的:“这次,他们至少算是个有礼貌的笨蛋,尽管如此,他们仍然还是笨蛋。”
Phoenix勒索软件首次出现
尽管仍在开发之中,但是Phoenix 加密恶意软件很有可能成为一个大的安全问题。它会将一系列系统文件加密,并给受害人留下一个解密手删,名称为“Important!.txt”。
12月3日
PadCrypt勒索软件出现更新版
一个新版的PadCrypt浮出水面。除了版本名称变成了3.1.2以外,它的特征几乎没有任何值得注意的变化。
12月4日
一个俄罗斯勒索者被逮捕
这是一个40岁的网络骗子,名为Pornopoker ,俄罗斯警方在莫斯科附近的一个机场逮捕了他。他被指控开发和传播了Ransomlock.P勒索软件,并伪装成不同国家的执法机构对受害人进行诈骗活动。
Emsisoft开发了另一个免费的解密工具
Fabian Wosar,前面提到过的Emsisoft 公司的安全专家,发布了Nemucod勒索软件最新变种的解密工具。
Apocalypse勒索软件出现更新版
一个新版本的Apocalypse 勒索软件出现了,它会将加密后的文件按以下方式命名:[original_filename].ID-*[random_8_chars + country_code][cryptservice@inbox.ru].[random_7_chars]。Globe勒索软件出现新变种
该勒索软件将文件加密后,会添加“.lovewindow”后缀名,并将攻击者的联系方式告诉了受害人(bahij2@india.com)。
12月5日
Shade勒索软件利用僵尸网络来传播
Shade勒索软件(又名Troldesh)利用Kelihos来传播,Kelihos是一个臭名昭著的僵尸网络。该勒索软件将受害人的文件锁定后,会添加“.no_more_ransom”后缀名。
具有加密特性的Screen locker (屏幕锁定者)
研究人员发现了一个新的Screen locker(屏幕锁定)勒索软件,会对文件实施加密。然而,它的早期版本在功能上并不正确,实际上没有加密过程。受害人的文件将会添加“.encrypted”后缀名。赎金达到0.3比特币。
Locky勒索软件出现更新版
声名狼藉的Locky勒索软件出现了一个小的更新版,它的特点是具有埃及神话主题,加密文件的后缀名是“.osiris”。勒索信件的名称是“OSIRIS-[4_hexadecimal_chars].htm”。12月6日
GoldenEye勒索软件首次出现
该勒索软件似乎是Petya勒索软件的继承者,Petya在2016年初比较活跃。和原型有点相似,GoldenEye会将计算机的MBR(主引导记录是位于磁盘最前边的一段引导代码。它负责磁盘操作系统对磁盘进行读写时分区合法性的判别、分区引导信息的定位,它是磁盘操作系统在对硬盘进行初始化时产生的)替换掉,并且会将MFT(主文件表,它是NTFS文件系统的核心)进行加密,从而使受害人完全没法进入系统。相对于Petya,GoldenEye在禁止受害人进入系统之前就已经将重要文件加密了。
12月8日
网络犯罪分子想出一个愤世嫉俗的勒索计划
“Popcorn Time”勒索软件的作者给受害人两个选择,用于恢复加密文件,一种选择是支付1比特币的赎金,第二种选择太卑鄙了,要求受害人感染两个新用户,就可以得到免费解密密钥。
Jigsaw勒索软件出现新变种
该勒索软件会在受害人屏幕中间显示“HACKED”单词,并要求受害人在24小时内支付0.25比特币。否则,赎金会涨到0.35比特币。目前好的一点是,安全专家已经发布了该勒索软件的免费解密工具。
SamSam勒索软件首次出现
该勒索软件会加密受害人的文件,并添加“.VforVendetta”扩展名,勒索信件名称为“000-PLEASE-READ-WE-HELP.html”。
“教育型”勒索软件,好心干坏事
安全专家推出了一个有争议的教育计划,叫做“EDA2/Hidden Tear”,并研发了模拟的勒索软件,旨在教育人们远离勒索软件的危害。但是,他们却公开了源代码,坏人们以此源代码为核心,开发出了很多真正的勒索软件,同时,更多的骗子们还可以从暗网中购买到这些勒索软件。
12月9日
CryptoWire POC遭到滥用
CryptoWire勒索软件的POC源代码被公开到了GitHub上,这下好了,坏人们利用它开发出了更多真正的勒索软件,比如“Lomix”和“UltraLocker”。
UltraLocker勒索软件的传播策略
上面提到过,UltraLocker勒索软件是从CryptoWire演变过来的,它的传播方法是垃圾邮件,邮件中包含了“booby-trapped .doc”附件文件。
“Cyber SpLiTTer Vbs”勒索软件出现2.0版本
该加密类勒索软件基于“Hidden Tear”,“Hidden Tear”是一个土耳其安全爱好者写的开源勒索软件,“Cyber SpLiTTer Vbs”是它的变种,会向受害人要求0.5比特币的赎金,如果受害人在76小时内没有支付赎金,勒索软件就会删除所有加密文件。
Locked-In勒索软件首次出现
这个新勒索软件使用标准的AES-256对称加密算法去加密受害人的文件,并留下文件名为“RESTORE_CORRUPTED_FILES.html”的勒索信件。并要求受害人15天内支付赎金。
12月10日
有点卡通的CHIP勒索软件新版本
新版本的CHIP勒索软件会给加密文件添加“.DALE”后缀名,给受害人留下名称为“DALE_FILES.txt”的勒索信件,并更新了受害人联系攻击者的邮箱列表,包括以下邮箱:grions@protonmail.com,grion@techie.com,grion@protonmail.com,和grion@dr.com。
Deadly_60 屏幕锁定勒索软件
尽管这个叫做“Deadly_60”的勒索软件锁定受害人屏幕的同时,并不会加密任何个人数据,但是处理时还是有点费劲,因为它会在背景上显示一个令人讨厌的动画。
PadCrypt勒索软件出现新的3.1.5版本
和之前提到的一样,除了版本名称以外,功能上没有什么新变化。
M4N1F3STO屏幕锁定者首次出现
这个新的勒索软件影响较小,它只会锁定屏幕,并不加密文件。它的赎金要求是0.3比特币。目前,安全专家已经计算出了解锁码。
12月12日
Samas勒索软件非法收入被曝光
在分析了Samas勒索软件的行为后,PaloAlto的网络安全专家计算出了该犯罪团伙的收益额。该犯罪团伙在2016年非法收益超过450,000美元。但同时几乎没有对大型组织的攻击。
PayDay勒索软件首次出现
PayDay勒索软件首次出现,不过,它的目标只针对安装了葡萄牙语言包的windows用户。加密文件后缀名为“.sexy”,勒索信件名称为“!!!!! ATENÇÃO!!!!!.html”。事实上,这是“Hidden Tear”的另一个变种。
“You Have Been Hacked!!!”勒索软件
该勒索软件给受害人显示一个简短的信息:“You Have Been Hacked!!!”。它会给受损的文件添加“.Locked”扩展名,同时,该勒索软件还会盗取受害人的各种在线账号和密码。它的赎金要求是0.25比特币。
Kraken勒索软件
受害人的文件会被添加“.kraken”后缀名,并用base64加密真实的文件名。勒索信件名称为“_HELP_YOUR_FILES.html”。
12月13日
另一个屏幕锁定勒索软件首次出现
这个讨厌的程序会产生一个吓人的锁屏信息:“你的Windows已经被禁用了”,并声称受害人违反了使用条款。幸运的是,安全专家已经发现了解锁码,解锁码是“nvidiagpuareshit”。
CryptoMix勒索软件出现更新版
这个新版本的CryptoMix勒索软件会给加密文件添加一个长的、复杂的后缀名,格式如下:“.email[supl0@post.com]id[unique_victim_ID].lesli”。勒索信件的名称是“INSTRUCTION RESTORE FILE.txt”。Locked-In勒索软件被安全专家破解
前面已经提到过这个勒索软件,13日,安全专家michael gillespie开发了一款免费的解密工具。这个勒索软件使用“.novalid ”后缀名。
12月14日
Cerber采用新的垃圾邮件传播策略
Cerber勒索软件有了新变化,它采用了一个新的社会工程学策略。它通过邮件给受害人发送一个虚假的信用卡报告,这是一个误导性的消息,会告诉收件人,他的信用卡正在发生一笔新的交易,建议打开一个WORD文档去取消交易。其实这个WORD文档是一个恶意文件,包含了恶意宏病毒。
Xorist勒索软件出现更新版
最新版的Xorist勒索软件将文件锁定后,会添加“.antihacker2017”后缀名,用于受害人联系攻击者的邮箱是“antihacker2017@8ox.ru”。幸运的是,目前安全专家已经开发出了相关免费解密工具。
Globe勒索软件又出现新变种
用于受害人联系攻击者的邮箱发生了变化,变成了“unlockvt@india.com”,赎金要求是1.5比特币。
叫做“美国中央情报局特工767”的锁屏勒索软件
实际上,该勒索软件是M4N1F3STO勒索软件的变种,会呈现出一个与众不同的锁定屏幕。最初的赎金要求是价值100美元的比特币,但是在5天之内,会慢慢涨到250美元。
FenixLocker出现更新版
该勒索软件的勒索信件更新为“Help to decrypt.txt”。同时,作为恢复的步骤,受害人被要求向thedon78@mail.com邮箱中发送一封邮箱。
Koolova勒索软件正在开发之中
安全专家获取到一个正在开发中的勒索软件,名叫“Koolova”。勒索软件中的警告信息是用意大利语写的。必须在48小时内支付赎金,否则,赎金将会升高。
12月15日
“没有更多赎金”项目的成就
“没有更多赎金”项目是一个独特的倡议,旨在聚集勒索软件数据、提高分析水平,并给受害人提供免费的解密工具。截至十二月中旬,该项目已经聚集了34个合作伙伴,联合起来对抗勒索瘟疫。
BandarChor勒索软件采用特殊传播方法
这个勒索软件的传播方法比较特殊,通过在成人在线网站、和一个无人机电商平台上添加恶意广告的方法传播。
Chris,又一个勒索犯罪崇拜者
安全专家截获了一个基于“Hidden Tear”源代码开发的新的勒索软件,在代码中多处包含了“Chris”名称。因此这可能是一个新的勒索软件,正在将手伸向在线勒索。
Cryptorium,一个新的勒索软件被释放出来
安全专家正在分析的Cryptorium样本有点古怪,因为它仅仅是对文件进行了重命名,并没有加密文件。Cryptorium会将“.ENC”后缀名添加到受影响的数据后面。
12月16日
表面上像Globe 的勒索软件
这个未命名的样本可能是Globe 的一个复制品。受影响的文件会被添加“.crypt”后缀名,并留下名为“HOW_OPEN_FILES.hta”的勒索信件,及联系邮箱alex_pup@list.ru。
Cerber勒索软件的新变化
Cerber的运维人员为了统计目的,修改了IP的配置。新的IP范围是:37.15.20.0/27, 77.1.12.0/27, 和91.239.24.0/23.
Globe勒索软件又出了新变种
这个新版本的Globe唯一明显的改变是文件的扩展名。后缀改成了“.rescuers@india.com.3392cYAn548QZeUf.lock”。
12月18日
Dharma勒索软件出现更新版
这是Dharma 的一个新版本,告诉受害人发送一封邮件到amagnus@india.com邮箱,用于获取详细的数据恢复步骤。
CryptoBlock勒索软件,走出了独具特色的路
研究者发现了一个正在开发中的勒索软件,名叫“CryptoBlock”。很独特,它使用了非对称的RSA2048加密算法,赎金要求是0.3比特币。
