一、前言

2013年9月，戴爾公司的SecureWorks威脅應對部門（CTU）發現了一種名為“CryptoLocker”的勒索軟件，它以郵件附件形式分發，感染計算機并加密近百種格式文件（包括電子表格、數據庫、圖片等），向用戶勒索300美元或300歐元。據統計，僅在最初的100天時間內，該勒索軟件就感染了20萬至25萬個系統。[1]

2014年8月，《紐約時報》報道了這樣一則消息：一種名為“ScarePackage”的勒索軟件在一個月的時間內感染了約90萬部Android手機，該軟件不僅會訪問手機的攝像頭、電話功能，還會在手機屏幕彈出消息，指責手機用戶傳播色情內容，手機用戶只有支付了幾百美元的“贖金”才能正常使用手機。[2]

2014年12月，安全公司Sophos和ESET的研究人員發現了一種可以自我復制的勒索軟件（VirLock，又稱VirRansom），該軟件不僅會加密受害主機的文檔、圖片、音頻、視頻和壓縮文件，同時還會使計算機“鎖屏”，并以侵犯著作權為由，向計算機用戶索要0.652個比特幣[3]（根據本文撰寫時的比特幣兌換價格，約合1027元人民幣）。

對于傳統的感染式病毒，未安裝反病毒軟件的用戶會因中毒而導致系統程序和應用程序被感染，不過一般可以通過重新安裝操作系統和應用程序解決問題；對于遠程控制類木馬，用戶可以采用臨時斷開網絡的辦法，暫時擺脫攻擊者的遠程控制。但是，如果計算機上的照片被勒索軟件加密，用戶很可能會徹底失去一段美好的回憶；如果被加密的是急需使用而又沒有備份的畢業論文、重要資料，恐怕用戶也只好向犯罪分子屈服，乖乖地支付贖金。勒索軟件為何如此猖狂？它是如何向用戶進行勒索的？我們又該如何檢測與預防這類威脅？本文將全面介紹勒索軟件的傳播手段、攻擊流程及防御方法，徹底揭開勒索軟件的真面目。

1.1 何謂勒索軟件

勒索軟件（Ransomware）是一種流行的木馬，通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數據資產或計算資源無法正常使用，并以此為條件向用戶勒索錢財。這類用戶數據資產包括文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實貨幣、比特幣或其它虛擬貨幣。一般來說，勒索軟件作者還會設定一個支付時限，有時贖金數目也會隨著時間的推移而上漲。有時，即使用戶支付了贖金，最終也還是無法正常使用系統，無法還原被加密的文件。

1.2 主要傳播手段

勒索軟件的傳播手段與常見的木馬非常相似，主要包括以下幾種：

1. 借助網頁木馬傳播，當用戶不小心訪問惡意網站時，勒索軟件會被瀏覽器自動下載并在后臺運行；
2. 與其他惡意軟件捆綁發布；
3. 作為電子郵件附件傳播；
4. 借助可移動存儲介質傳播。

1.3 主要表現形式

一旦用戶受到勒索軟件的感染，表現形式通常包括以下幾種：

1. 鎖定計算機或移動終端屏幕；
2. 借殺毒軟件之名，假稱在用戶系統發現了安全威脅，令用戶感到恐慌，從而購買所謂的“殺毒軟件”；
3. 計算機屏幕彈出如圖1所示的提示消息，稱用戶文件被加密，要求支付贖金。

圖 1勒索軟件彈出的提示消息

根據勒索軟件所使用的勒索方式，其主要分為以下三類：

1. 影響用戶系統的正常使用的勒索軟件

比如PC Cyborg、QiaoZhaz（Trojan/Win32.QiaoZhaz）等，其會采用鎖定系統屏幕等方式，迫使系統用戶付款，以換取對系統正常使用的權限。

2. 恐嚇用戶的勒索軟件

比如FakeAV（Trojan[Ransom]/Win32.FakeAV）等，會偽裝成反病毒軟件，謊稱在用戶的系統中發現病毒，誘騙用戶付款購買其“反病毒軟件”。又如Reveton（Trojan[Ransom]/Win32.Foreign），會根據用戶所處地域不同而偽裝成用戶所在地的執法機構，聲稱用戶觸犯法律，迫使用戶支付贖金。

3. 綁架用戶數據的勒索軟件

這是近期比較常見的一種勒索方式，最典型的是CTB-Locker家族（Trojan[Ransom]/Win32.CTBLocker），其采用高強度的加密算法對用戶文檔進行加密，只有在用戶支付贖金后，才提供解密文檔的方法。

根據上述勒索軟件的分類方法，結合其具體行為、運行平臺，可將勒索軟件整理如下表：

表 1 勒索軟件分類表

3 勒索軟件的演進史

3.1 幾種典型勒索軟件家族的出現

• 最早的勒索軟件

已知最早的勒索軟件出現于1989年，名為“艾滋病信息木馬”（Trojan/DOS.AidsInfo，亦稱“PC Cyborg木馬”），其作者為Joseph Popp。該木馬程序以“艾滋病信息引導盤”的形式進入系統，采用替換AUTOEXEC.BAT（DOS系統文件，位于啟動盤根目錄，文件為文件格式，用于描述系統啟動時自動加載執行的命令）文件的方式，實現在開機時記數。一旦系統啟動次數達到90次時，該木馬將隱藏磁盤的多個目錄，C盤的全部文件名也會被加密（從而導致系統無法啟動）。此時，屏幕將顯示信息，聲稱用戶的軟件許可已經過期，要求用戶向“PC Cyborg”公司位于巴拿馬的郵箱寄去189美元，以解鎖系統。作者在被起訴時曾為自己辯解，稱其非法所得用于艾滋病研究。

• 專門仿冒反病毒軟件的勒索軟件

2001年，專門仿冒反病毒軟件的惡意代碼家族（Trojan[Ransom]/Win32.FakeAV）出現，并于2008年左右開始在國外流行。該惡意代碼家族的界面內容為英文，又因為當時國內部分反病毒廠商已經開始采用免費的價格策略，所以該惡意代碼家族在國內不容易得逞，對國內影響相對較小。FakeAV在偽裝成反病毒軟件欺騙用戶的過程中，所使用的窗體標題極具迷惑性。據安天CERT統計，其標題有數百種之多，常用標題如表2所示：

表 2 FakeAV常用標題

• 加密用戶文件的勒索軟件

2005年出現了一種加密用戶文件的木馬（Trojan/Win32.GPcode）。該木馬在被加密文件的目錄生成具有警告性質的txt文件，要求用戶購買解密程序。所加密的文件類型包括：.doc、.html、.jpg、.xls、.zip及.rar。

• 國內首個勒索軟件

2006年出現的Redplus勒索木馬（Trojan/Win32.Pluder），是國內首個勒索軟件。該木馬會隱藏用戶文檔和包裹文件，然后彈出窗口要求用戶將贖金匯入指定銀行賬號。據國家計算機病毒應急處理中心統計，來自全國各地的該病毒及其變種的感染報告有581例。在2007年，出現了另一個國產勒索軟件QiaoZhaz，該木馬運行后會彈出“發現您硬盤內曾使用過盜版了的我公司軟件，所以將您部分文件移動到鎖定了的扇區，若要解鎖將文件釋放，請電郵liugongs19670519@yahoo.com.cn購買相應軟件”的對話框。

3.2 贖金支付方式的變化

早期的勒索軟件采用傳統的郵寄方式接收贖金（比如Trojan/DOS.AidsInfo），會要求受害者向指定的郵箱郵寄一定數量的贖金。我們也發現了要求受害者向指定銀行賬號匯款（比如Trojan/Win32.Pluder）和向指定號碼發送可以產生高額費用的短信（比如Trojan[rog,sys,fra]/Android.Koler）的勒索軟件。直到比特幣（比特幣是一種P2P形式的數字貨幣，可以兌換成大多數國家的貨幣）這種虛擬貨幣支付形式出現后，由于它可以為勒索軟件提供更為隱蔽的贖金獲取方式，2013年以來，勒索軟件逐漸采用了比特幣為代表的虛擬貨幣的支付方式。可以說，虛擬貨幣的出現，加速了勒索軟件的泛濫。

3.3 移動終端的勒索軟件

2014年4月下旬，勒索軟件陸續出現在以Android系統為代表的移動終端。較早出現的為Koler家族（Trojan[rog,sys,fra]/Android.Koler）。該家族主要行為是：在用戶解鎖屏及運行其它應用時，會以手機用戶非法瀏覽色情信息為由，反復彈出警告信息，提示用戶需繳罰款，從而向用戶勒索高額贖金。近兩年的移動平臺勒索軟件家族樣本中，東歐和俄羅斯所占比例最多，達到59%，其次是英、美和中國。從下圖可以看到安天從各國捕獲的移動終端勒索軟件家族的比例，其中simplelock.a類所占比例接近總數的一半。

圖 2移動終端的勒索軟件

典型的移動終端勒索軟件家族如表3所示：

表 3移動終端的典型勒索軟件家族

3.4 新的威脅趨勢

2015年1月，Cryptowall家族新變種（3.0）被發現使用I2P匿名網絡通信，在一天內感染288個用戶，該變種在加密受害者的文件后，向其勒索比特幣，同時還有直接竊取用戶比特幣的行為。2月和4月新出現的勒索軟件家族TeslaCrypt和Alpha Crypt，被發現利用了Adobe新近修復的Flash安全漏洞。同樣利用這些漏洞還有CTB-Locker、CryptoWall、TorrentLocker、BandarChor、Angler等家族。其中最為值得關注的是CTB-Locker，它使用了高級逃逸技術，可以躲避某些安全軟件的檢測。

2015年4月30日，安天CERT曾接到用戶提供的含有CTB-Locker的郵件附件，用戶稱已將該附件提交至第三方開放沙箱，懷疑其具有專門攻擊國產辦公系統的行為。經安天CERT分析確認，在該樣本中并未發現針對國產辦公環境的攻擊能力。但隨著勒索軟件的持續泛濫和攻擊手段的花樣翻新，不能排除未來會出現專門針對我國辦公環境的勒索軟件。從目前獲取的勒索軟件新家族看，多數仍是采用社工手段群發郵件，但這些郵件往往緊隨潮流趨勢，令人防不勝防。比如：據threatpost報導，CTB_Locker家族已經開始采用包含“Windows 10免費升級”（Upgrade to Windows 10 for free）標題的社工郵件傳播。

3.5 小結

從最早的“艾滋病信息木馬”到最近出現的Locker勒索軟件，二十幾年的時間里，雖然勒索軟件的新家族層出不窮，但主要的勒索方式仍以綁架用戶數據為主。圖3展示了1989年到2015年間勒索軟件的演進史，在圖片左側標明了幾個重要的時間點，從圖中可以看出隨著Android平臺的日益普及，面向移動終端的勒索軟件也日漸增多；隨著比特幣的廣泛應用，以比特幣代為贖金支付形式的勒索軟件也逐漸多了起來。

?

勒索軟件的本質是木馬，下面以幾個典型勒索軟件家族為例，詳細地介紹其勒索過程，力求揭開勒索軟件的真面目。

4.1 Redplus

安天在2006年6月9日捕獲了國內最早出現的Redplus敲詐者木馬，該木馬會隱藏用戶的文檔文件，向用戶勒索70元至200元不等的贖金。Redplus木馬運行后首先彈出虛假正版軟件的對話框，點擊OK后，會彈出勒索窗口。其主要行為流程如下：

圖 4 Redplus木馬主要行為流程

Redplus木馬勒索70元至200元之間的一個贖金數目，并將贖金數編輯到需要發送的短信中，如（贖金數=70，需要發送的短信內容為=000000120209011000061010#70）。

Redplus木馬為達到目的，生成的文本文件內容如下：

圖 5 Redplus木馬生成的文本內容

Redplus木馬在本地磁盤根目錄下建立一個屬性為系統、隱藏和只讀的備份文件夾，名為“控制面板.”，同時搜索本地磁盤上的用戶文檔和包裹文件（包括.xls、.doc、.mdb、.ppt、.wps、.zip、.rar），把搜索到的文件移動到上述備份文件夾中，造成用戶常用文檔丟失的假象，趁機勒索錢財。

Redplus木馬的作者歐陽某某于2007年在廣州落網，共借助Redplus木馬勒索款項95筆，合計人民幣7061.05元。法院考慮到其自首情節，最終判其有期徒刑4年。

4.2 QiaoZhaz

2007年3月1日至2日，安天分別捕獲了兩個敲詐者病毒，分別命名為QiaoZhaz.c和QiaoZhaz.d。當用戶中了QiaoZhaz后，彈出“發現您硬盤內曾使用過盜版了的我公司軟件，所以將您部分文件移動到鎖定了的扇區，若要解鎖將文件釋放，請電郵liugongs19670519@yahoo.com.cn購買相應軟件”的對話框，當用戶點擊“確定”按鈕后，系統會自動注銷，全屏黑屏。QiaoZhaz的行為流程如圖6所示。

圖 6 QiaoZhaz的行為流程圖

由于木馬添加了注冊表啟動項和服務，導致每次開機后點擊確定后木馬就注銷系統。去除“文件夾選項”，使用戶無法選擇“顯示所有隱藏文件”并無法去掉“隱藏受保護的系統文件”“隱藏已知文件類型的擴展名”。去除開始菜單中的“搜索”、“運行”項和“關機”項，使用戶不能使用搜索、command命令和關機、注銷。修改txt文件關聯，當用戶試圖運行txt文件時，則會激活木馬，使用同樣的方法修改任務管理器關聯，當用戶打開任務管理器時就會激活木馬。木馬把屏保時間修改為60秒，在%system32%文件夾下生成木馬屏保文件，當用戶60秒不操作計算機時，系統會自動運行木馬。該木馬利用多種方法保護自身，結束指定的反病毒軟件或反病毒工具。

QiaoZhaz.d的行為更加惡劣，它除上述與QiaoZhaz.c相似的行為外，還刪除非系統盤外的所有文件，使用戶必須使用數據恢復軟件才能找回原來的數據。同時在每個磁盤根目錄下建立一個名為“警告.h”的文件，以此向用戶進行敲詐勒索。

安天在2007年3月6日發布了“敲詐者病毒變種專用注冊表修復工具”，是專門針對QiaoZhaz的注冊表修復工具。

4.3 CryptoLocker

CryptoLocker在2013年9月被首次發現，它可以感染大部分的Windows操作系統，包括：Windows XP、Windows Vista、Windows 7、Windows 8。CryptoLocker通常以郵件附件的方式進行傳播，附件執行之后會使用RSA&AES對特定類型的文件進行加密。并彈出勒索窗體，如圖7所示：

圖 7 CryptoLocker的勒索界面

完成加密操作彈出付款窗口，需要用戶使用moneypak或比特幣，在72小時或4天內付款100或300美元，方可對加密的文件進行解密。

加密的文件類型：

安天CERT分析人員測試了一個已知的CryptoLocker樣本，由于服務器已經無法正常返回，導致網絡數據包通信不完整，如圖8所示：

圖 8 CryptoLocker的網絡通信

ESET在2013年12月發表了一篇文章，對新出現的Cryptolocker 2.0與Cryptolocker進行了相關技術的對比，如下表[4]：

由于Cryptolocker所使用的技術在CTB-Locker中基本都包含，并未對該類勒索軟件進行深入分析，具體細節請看下面CTB-Locker的分析。

4.4 CTB-Locker

CTB-Locker是Curve-Tor-Bitcoin Locker的縮寫，是當前全球影響較大的勒索軟件家族，主要通過郵件附件傳播，使用高強度的加密算法，加密用戶系統中的文檔、圖片、數據庫等重要資料。加密完成后，CTB-Locker會采用彈出窗體和修改桌面背景等方式，提示用戶支付贖金，并要求用戶在96小時內支付8比特幣（約合人民幣1萬元）贖金，否則將銷毀用戶文件。該家族在國外一直很活躍，國內也陸續出現受害者。該家族的另一個特點是使用洋蔥路由（Tor），通過完全匿名的比特幣交易方式獲取贖金，這使得該勒索軟件的作者難以追蹤。

典型攻擊流程如圖9所示：

圖 9 CTB-Locker的攻擊流程

安天CERT分析人員隨機提取了一個樣本，該樣本執行后，會彈出窗體要求用戶向其支付贖金。

圖 10 CTB-Locker的勒索界面

同時，還會修改桌面背景，告訴用戶如何下載安裝Tor瀏覽器，以及如何通過Tor瀏覽器訪問其贖金支付頁面。

?

圖 11 CTB-Locker要求用戶安裝Tor瀏覽器

通過分析該樣本，可以了解CTB-Locker的一般執行過程，如圖12所示。

圖 12 CTB-Locker樣本一般執行過程

該樣本在文件遍歷過程中，一旦發現具有以下后綴的文件時，將對其進行加密操作。

?

圖 13解密后的CTB-Locker文件擴展名數據

加密部分是整個流程中比較關鍵的一部分，在這里我們會進行重點說明。

首先樣本會將要加密的文件以后綴名為.tmp的形式調用函數MoveFileEx移動到臨時目錄下面。接著根據文件的時間和和當前系統運行的時間等信息，填充一個緩沖區。然后對這個緩沖區計算SHA256。根據計算的SHA256值作為會話私鑰(session private key)使用Elliptic curve Diffie-Hellman（ECDH）算法產生一個會話公鑰（sessIonpublickey)。再與配置文件中的一個主公鑰（master public key）使用ECDH算法產生一個會話共享密鑰(session shared secret)，對會話共享密鑰計算SHA256并將這個值作為AES加密的KEY。相關代碼如下：

需要說明的是，這個AES密鑰是要保存到該函數的一個參數中給調用者的，但是調用者只是保存了5個AES密鑰，這也就是為什么離線模式下CTB-Locker仍然能夠解密5個文件的原因。把文件讀取出來，然后使用ZLIB壓縮后使用AES加密。加密的數據從一個臨時文件的頭部偏移0x30位置開始寫入。文件加密完后會向臨時文件的頭部寫入0x30的數據，其中開頭的0x20字節就是會話公鑰。文件加密后五個AES加密的密鑰，加密文件個數，加密的磁盤等信息會保存在配置文件中。

4.5 移動平臺勒索軟件

2014年4月，國外開始出現移動平臺勒索軟件，國內也很快出現了類似軟件，并且有愈演愈烈地趨勢。目前國內外出現的移動平臺的贖金方式有人民幣、Q幣、美元、盧布等，勒索方式有鎖屏、加密文件、加密通訊錄等方式。據了解該類軟件爆發后國內已經有上千人的手機受到感染。這類勒索軟件的發展將對用戶手機及資料形成嚴重威脅。

國內出現的勒索軟件通常偽裝游戲外掛或付費破解軟件，用戶點擊即會鎖定屏幕，需加手機界面留下的QQ號為好友去支付贖金才能解鎖。

如圖14所示是該類勒索軟件的一個真實案例。受害用戶手機被鎖定，勒索軟件作者在手機界面給出QQ號碼，要求受害用戶加QQ好友并支付一定贖金才能解鎖。

用戶加該QQ后會提示回答驗證問題。在該案例中，可以看到勒索者的相關資料，在用戶個人信息中可以看到勒索者的相關身份信息，但無法確保其真實性。

圖 14勒索過程示意圖

在受害用戶加好友以后，勒索軟件作者與其聊天，勒索人民幣20元，并要求用戶轉賬到指定支付寶賬戶才給出解鎖密碼。據了解，該勒索軟件作者同時也對其他Android手機用戶進行勒索行為，并且在受害用戶支付贖金后，未能提供解鎖密碼。甚至還在勒索軟件中加入短信攔截木馬功能，盜取用戶支付寶和財富通賬戶。有時，受害用戶在多次進行充值、轉賬等方式后，仍不能獲得解鎖密，甚至會被勒索軟件作者將受害用戶加入黑名單。

5.1 安全建議與部分解決辦法

為了避免受到勒索軟件的威脅，安天CERT安全工程師針對不同用戶給出如下建議：

• PC用戶

1. 及時備份重要文件；
2. 及時安裝更新補丁，避免一些勒索軟件利用漏洞感染計算機；
3. 給信任網站添加書簽并通過書簽訪問；
4. 對非可信來源的郵件保持警惕，避免打開附件或點擊郵件中的鏈接；
5. 定期用反病毒軟件掃描系統。

• Android平臺的移動終端用戶

1. 安裝手機殺毒軟件（比如LBE安全大師、安天AVL Pro等）；
2. 由可靠的安卓市場下載手機應用程序。

• 已經受到勒索軟件感染的移動終端用戶

1. 如果手機已root并開啟USB調度模式，可進入adb shell后直接刪除惡意應用；
2. 如果是利用系統密碼進行鎖屏，部分手機可嘗試利用找回密碼功能；
3. 進入手機安全模式刪除惡意應用程序。主流安卓手機進入安全模式的方式是，按住【電源鍵】開機，直到屏幕上出現品牌LOGO或運營商畫面后，按住【音量減少】鍵不放。如果進入安全模式成功，鎖屏界面的左下角會顯示“安全模式”字樣。此時可對惡意應用進行正常的卸載處理。

5.2 普通用戶的防御方法

通過前面的分析可以看出，采用高強度加密方式綁架用戶數據的勒索軟件，將對用戶的數據安全構成嚴重威脅，做好安全防御顯得極為重要。普通用戶可下載專門的防御產品如CryptoMonitor（該程序可以根據行為檢測結果，在勒索軟件試圖加密用戶數據時將其阻止[5]）。

5.3 企業用戶的防御方法

對于企業用戶來說，針對勒索軟件類的安全威脅防護可從預警、防御、保護、處置和審計幾個步驟來進行有效防御和處理，保護系統免受攻擊，安天的企業安全產品即是從這幾方面入手進行防御和處理的。

• 首先，將企業用戶接觸到的未知應用程序自動提交到企業內部的云平臺，通過特征檢測、虛擬化執行等方式集中鑒定，及時發現惡意程序。
• 其次，企業IT管理人員可將具有重要價值的文件資源的主機設置為重要計算機或受限計算機，一旦勒索軟件或其它可疑程序運行時，可以通過可信應用基線（白名單）檢測的方式及時將其發現，并予以阻止。
• 再次，可采用安全文檔措施保護具有重要價值的文件。
• 最后，通過云端追溯功能來對惡意樣本進行全網追查，便于事后審計和定損。

?

圖 15安天企業安全產品工作流程

雖然勒索軟件的技術含量不高，但卻可以對用戶的數據安全造成嚴重危害，其威脅不可小覷。

2015年5月底，勒索軟件Locker的作者公布了其使用的勒索數據庫并公開表達了歉意，隨后還提供了自動解密程序供受害者使用。據統計，該數據庫中共包含62,703條勒索記錄。按該軟件顯示的勒索金額0.1比特幣（約合175元人民幣）計算，如果這些受害者都支付贖金，作者獲得的非法收入可達一千萬元。在巨額非法收入的誘惑下，很可能會有越來越多的惡意代碼作者開始從事勒索軟件的開發；借助比特幣等難于追蹤的支付方式的保護，勒索軟件的作者也會越來越有恃無恐。

“希臘戰士跳出木馬，殺死睡夢中的守軍，打開城門。城外隱藏的軍隊如潮水般涌入特洛伊城，將城市燒成一片灰燼。此時的特洛伊人懊悔沒有聽從拉奧孔的勸告，但為時已晚……”對于一般的感染式病毒或木馬，即使用戶在遭受安全威脅之后再安裝反病毒軟件，依然可以亡羊補牢，讓系統重新處于安全狀態。但對于綁架用戶數據的勒索軟件而言，沒有可靠的事前防御和檢測能力，面對已經被勒索軟件加密的用戶數據，側重于保護系統安全的反病毒軟件也無能為力。只有安裝側重于保護數據安全的工具或部署針對企業安全特點的安全產品，才能盡量避免給勒索軟件以可乘之機。

原文發布時間為：2016-04-25

本文來自云棲社區合作伙伴至頂網，了解相關信息可以關注至頂網。