就怕流氓有文化：扒一扒勒索软件为啥那么牛？（二）

勒索软件出现差不多30年了，这些年勒索软件经历了更新换代，鸟枪换炮，推陈出新，百花齐放。那么，勒索软件的发展情况是什么呢？让我们来看看勒索软件事件中那些有代表性的案例。

昨天（2017年之前）：

最早的勒索软件出现于1989年，名为“艾滋病信息木马”，它可以隐藏磁盘目录，将C盘的全部文件加密，让系统无法启动，从而要求受害者邮寄189美元以解锁系统。

2006年出现的Redplus勒索木马是国内首款勒索软件，通过隐藏用户文档，要求用户将70元至200元不等的赎金汇入指定银行账 。据统计，全国各地受感染581例。

Redplus的勒索公告

2014年4月下旬，勒索软件陆续出现在以Android系统为代表的移动终端，较早出现的为Koler家族。8月，名为”ScarePackage”的勒索软件在一个月的时间内感染了约90万部Android手机。该软件可以访问手机摄像头，还能拨打电话、甚至访问 银APP，并在手机屏幕弹出消息，指责用户传播色情内容，用户只有支付了几百美元的”赎金”才能正常使用手机。

国内某移动勒索软件

这些勒索事件，主要的勒索方式仍以绑架用户数据为主，主要目的是为赎金，大多数是个人单干，还未形成规模化的高级攻击。

今天（2017-2018年）：

2017年是勒索软件大爆发的一年。在这一年，爆发了三次史无前例的大规模勒索事件，或将改变我们对勒索软件的态度与看法。

5月12日WannaCry爆发，影响包括我国在内的150多个国家和地区，波及政府部门、医疗服务、公共交通、邮政、通信、汽车制造及教育事业。我国的部分加油业务、出入境业务、高校科研受到影响。WannaCry利用了Windows 络共享协议的漏洞，该漏洞的补丁微软已在3月份公布，但大量主机未打补丁而受到影响。WannaCry还利用了永恒之蓝漏洞，而在事件爆发前一个多月，该漏洞也已由Shadow Broker组织进行了公开。

WannaCry影响范围非常广

6月27日，第二波勒索软件Expetr爆发，这次受影响的主要是乌克兰、俄罗斯和西欧的港口、超市、广告机构和法律公司，例如Maersk、FedEx（TNT）和WPP。这次攻击很复杂，使用了许多入侵手段，包括修改版的永恒之蓝以及永恒浪漫漏洞。

10月24日，勒索病毒BadRabbit出现，攻击了俄罗斯、乌克兰、土耳其和德国的机场、地铁、媒体等行业。它通过一些被入侵的 站提供的模仿Adobe Flash Player更新的Drive-by download（重定向下载）服务进行攻击，并利用了永恒浪漫的漏洞和类似于ExPetr所使用的横向移动技术进行传播。

在勒索事件上，这是一对难兄难弟

2017年的勒索事件显然是高级攻击者利用勒索软件进行的大规模攻击行动，主要是为了破坏数据而不是获得金钱：65%的被攻击企业表示失去了重要的甚至全部数据，Expetr的受害者交赎金后根本无法恢复他们受感染的文件，受害者为此付出了数亿美元的代价；而攻击者收入并不多，WannaCry攻击者仅仅收获了5.5万美元的比特币。

这种损人不利己的事情真有人干？No！WannaCry爆发期间及之后比特币暴涨，如果攻击者在攻击前囤积了大量的比特币，本次勒索事件将会让攻击者赚得盆满钵满。

好一招明修栈道，暗度陈仓。

WannaCry爆发期间及之后比特币暴涨

明天：

勒索事件的背后，可能隐藏着商业利益、政治利益、甚至国家利益的驱动。

络空间已成为第五战争空间

（未完待续，请大家关注小贝说安全，欢迎留言交流）