现代勒索软件发展简史

PC Cyborg—勒索软件的前身 aids-trojan

AIDS trojan是世界上第一个被载入史册的勒索软件，由PC Cyborg犯罪团伙于1989年开发。在那个普通人都接触不到计算机的年代，他们利用软盘（PC中最早使用的可移介质）开发了这款勒索软件。这个软件伪装成评估受艾滋病毒感染风险的工具，采用的是最基本最脆弱的密码学。PC Cyborg要求受害者将189美元汇至位于巴拿马的某个地址。

CryptoLocker——现代勒索软件的兴起

2014年CryptoLocker的出现标志着勒索软件行业开启了全新的时代，具有决定性意义。它是第一个将所有关键技术结合起来的勒索软件，构成了现代勒索软件的基础。

通过强大的公钥密码技术加密用户文件，完全没有无需支付赎金即可恢复文件的漏洞可钻。CryptoLocker案件被彻底破获时，解密工具才面世。

以比特币作为交易货币。尽管CryptoLocker也提供了其它支付方式，但开发者着重强调了比特币支付对受害者来说是最划算的。

设置最晚支付时间，给受害者施加压力。CryptoLocker规定受害者必须在收到通知后的72小时内支付赎金，否则他所有的文件都将被销毁。

对于CryptoLocker整个组织在这次行动中究竟谋取了多少不义之财，人们也是众说纷纭。但可以肯定的是，数目一定是上百万的（维基百科的数字是约300万美元，我们的估算是200万）。CryptoLocker是欧州国际刑警组织、FBI和众多知名信息安全公司联合进行的托瓦尔行动（Operation Tovar）中的其中一个成功案例。

Locky——勒索软件规模化、全球化蔓延

2016-2017Locky收到的赎金

Locky毫无疑问是2016年的勒索软件之王。从上图中可以看出，2016年单月所获赎金最高达到了200万美元，Locky也是历史上少数收益达几百万美元的勒索软件之一。其总额接近800万美元的地位甚至到目前为止都能排上No.1。

利用现成资源让Locky团伙具备充分的时间和精力去研究他们的“核心业务”（勒索软件的开发与迭代），同时发送无数的恶意邮件。根据我们对Gmail邮箱攻击的持续观察，Locky的最高记录仅在三个小时内就发送了1亿多个恶意邮件。

简单总结Locky：利用其他 络犯罪分子的基础设施扩大影响范围，成为2016年勒索软件领域的主力军，并在整个过程中牟取暴利达800万美元。

Cerber——开启”勒索软件即服务”的罪恶时代

2016-2017年Cerber所获非法收入

2017年，Cerber凭借创新的联盟商业模式超越了Locky这个独霸一方的“山大王”。在勒索软件即服务的模式中，Cerber通过 络犯罪领域中技术level较低的菜鸟向任何能够感染他人的用户提供cut的方式掀起大浪。让非团队成员选择自己的感染策略，这也拓宽了Cerber的分销渠道，最终远远地将Locker甩在了身后。另外，这样的模式也使得Cerber成为历史上“收入最稳定”的勒索软件（详见上图）。截至2017 Q2，Cerber每个月至少能够产生20万美元的非法收入。

首先我要在这里感谢我们的眼线，在他们的帮助下我们才得以完成对Cerber传播分支的遥测。每个分支的感染分布的确隐藏着一些重要信息。首先，遥测工作证实了Cerber成功的关键在于招募了团体外的数百名 络犯罪人员来帮助传播恶意程序。传播效果从上图中也能够看出。其次，遥测显示，Cerber的传播联盟规模实际并不大，只有几个分支，也就是说，我们只需要打击几个犯罪团伙就能够彻底打垮Cerber。

简单总结Cerber：Cerber凭借创新的联盟模式成为2017年最大的勒索软件家族，总收益近700万美元。

挑战者——Spora等

图10 2013至2017主要勒索软件家族的非法收入分布

观察上图我们可以发现，从2016年年底开始，新的勒索软件的出现一定程度上削弱了Cerber的风头。在所有的竞争对手中，Spora、SamSam和Al-Namrood“脱颖而出”，他们的不法收入均超过100万美元。这些勒索软件家族存在一个共性：深谙“创新促发展”的道理，比如提供更好的“用户体验。下面这张图片是Spora的界面，受害者可以选择多种支付和解密方式，大大提高了赎金支付几率。

到2017年底，整个市场不再是单个勒索软件集团的“主场”，相反地，这似乎已经变成了一场竞赛，很多攻击者都在想方设法地超越自己的竞争对手，不断改进软件、拓展分销渠道。这样的局势对普通 民来说却是一场灾难。最终哪些勒索软件能够在比赛中名列前茅不得而知，但不得不再次强调的是，2016年的Locker实力极其雄厚、不可小觑。

“随着 络犯罪组织之间的竞争愈演愈烈，谁都想扩张自己的市场份额，勒索软件的复杂性也将日益增加！”

伪装者——Wannacry和Nonpetya

只要提到勒索软件，很多人最为印象深刻的就是那场Wannacry和Nonpetya带来的噩梦。更精确的说法是，Wannacry和Nonpetya实际上属于wipeware（清除软件，其唯一的目的即彻底损毁所有的文件数据），而不是ransomware（勒索软件）。人们普遍认为，这两个恶意软件都受到了某国家政府的支持，故意伪装成勒索软件，隐匿行踪、混淆视听，延长调查周期。wipeware与ransomware差异很小，区分它们非常困难，而且大多数情况下只有通过大量的逆向工作才能实现。以下两个信 能够为读者区分两者提供一定参考：

wipeware只使用随机值作为加密密钥，且对密钥不作保存；

wipeware不需要为每个受害者生成比特币钱包用作成功感染后的赎金收取。

如果遭遇wipeware，支付赎金只会让你血本无归。

“2017年，开始出现全球范围内的受国家政府支持的勒索软件‘伪装者’——wipeware。”