启明星辰ADLab勒索软件专题报告（上篇）

作者：ADLab

由于启明星辰ADLab勒索软件专题报告篇幅较长，为了方便大家阅读，我们将报告分为上、下两篇发布在ADLab微信公众号，请大家持续关注。以下内容为报告（上）篇，更多资讯和分析文章请关注启明星辰ADLab官方网站（adlab.venustech.com.cn）。

1概述

1.1  2016，勒索之年

纵观过去一年国内外网络勒索事件，可以看到，勒索软件在运行模式、加密技术等方面不断创新和改进，攻击目标从医疗、交通、政府、酒店等行业，开始出现向IOT、工控，以及公有云领域扩展的趋势。

另外,据趋势科技的2016年度安全报告显示，新勒索软件家族的数量仅2016年就增加了752%。

图1 每月增加的勒索软件家族数量【图片来源：TrendMicro】

1.2  2017勒索攻击活动威胁情报信息速递

在刚刚过去的RSA 2017的一个专题演讲中，勒索软件被定义为七大致命攻击之首，成为最受关注的安全威胁。从去年开始，我们的威胁情报研究团队就一直与合作伙伴一起持续关注勒索软件的发展动向，以便及时为我们用户提供咨询和支持。以下是我们威胁情报研究团队在过去的一个月观察到的勒索软件威胁情报。

•  Cerber勒索软件瞄准国内某金融机构

我们的威胁情报研究团队和合作伙伴于2017年2月20日左右观察到某金融机构遭到Cerber勒索软件的威胁，随即开始对这个勒索软件活动进行相应的分析。分析发现该恶意团伙疑似2016年圣诞节开始针对个人实施勒索活动， 2017年春节期间开始针对企业目标实施勒索活动，并且该团伙的威胁活动仍然在继续。该团伙使用网络钓鱼邮件手段，利用恶意Office携带宏代码投递Cerber恶意程序。通过样本分析，我们推测该勒索软件团伙可能位于欧洲且使用俄语作为主要语言。该勒索活动针对13种语言操作系统发起勒索攻击，涉及语言有:英文、阿拉伯文、中文、荷兰语、法语、德语、意大利语、日语、韩语、波兰语、葡萄牙语、西班牙语、土耳其语，上述语言的Windows操作系统可能会被攻击，而这个语言列表中没有俄罗斯语。我们观察到此团伙的威胁活动针对行业有：金融银行业、IT及网络服务商、政府机构、医疗行业、能源电力等。以下是该攻击活动的威胁情报指标。

威胁源：

图2 Cerber威胁指标分布图

攻击目标：Windows 10、Windows 8、Windows 7、Windows XP

传播方式：网络钓鱼邮件等。

应对措施：针对该攻击活动共观察到1319条指示器，网关设备可对指示器进行阻断。

指示器：

•  Nymaim勒索软件瞄准国内某金融机构

我们的威胁情报研究团队和合作伙伴于2017年3月10日左右观察到某金融机构遭到Nymaim勒索软件的威胁，随即开始针对该勒索活动进行相应的分析。分析发现该恶意团伙从2016年11月开始发起Nymaim勒索攻击，并且该团伙的威胁活动还在继续。该团伙使用网络钓鱼邮件手段，利用恶意Office文档携带宏代码投递Nymaim恶意程序。通过样本分析我们推测出该勒索团伙位于欧洲地区且有可能是使用波兰语的威胁组织，使用鱼叉式钓鱼邮件方式、Office文件携带恶意VBA宏代码实施了Nymaim下载器并携带勒索软件功能的恶意活动。此次威胁活动主要针对的目标是网络购物及金融行业的个人用户。以下是该攻击活动的威胁情报指标。

威胁源：

图3 Nymaim威胁指标分布图

 

攻击目标：Windows 10、Windows 8、Windows 7、Windows XP

传播方式：网络钓鱼邮件等。

应对措施：针对该攻击活动共观察到68条指示器，网关设备可对指示器进行阻断。

指示器：

2016年被称为勒索之年，勒索软件攻击活动如火如荼，2017年这种攻击活动将继续猖獗，作为企业用户也好，个人用户也罢，都会成为勒索软件的攻击目标。所以不管作为企业用户还是个人用户，了解什么是勒索软件，勒索软件如何传播和感染，勒索软件如何进行防范和缓解，一旦受感染如何进行有效应对，对于我们来讲都有非常重要的意义和作用。

 

2勒索软件的基本概念与原理

2.1  什么是勒索软件

勒索软件（Ransomware）是一个复杂的恶意软件，它利用垃圾邮件等各种方式感染受害者的电脑或者移动设备，通过锁定系统、加密文件等方式阻止受害者访问他/她的文件，并以此为条件勒索钱财。

对于加密型勒索软件，加密的对象包括文档、邮件、数据库、源代码、图片、压缩文件等多种形式。赎金包括真实货币、比特币或其他虚拟货币。一般来说，勒索软件编写者还会设定支付时限，赎金随时间推移上涨。有时即使用户支付了赎金，仍然无法正常使用系统、还原被加密的文件。

2.2  勒索软件的分类

目前为止有两种类型的勒索软件比较流行，具体情况如下：

加密勒索软件，该类型结合了先进的加密算法，它利用加密技术加密系统文件，以阻止对系统文件的访问，并要求支付赎金，然后为受害者提供可以解密被阻止的内容的密钥。例如CryptoLocker、Locky、CrytpoWall等。

图4 加密勒索软件

Locker勒索软件，它锁定受害者的操作系统，使用户无法访问桌面和任何应用程序或文件。这种情况下文件不加密，但攻击者仍然要求赎金解锁受感染的计算机。例如Police-Themed Ransomware和WinLocker等。

图5  Locker勒索软件

与Locker勒索软件类型相关的另一个版本是主引导记录（MBR）勒索软件。MBR是PC硬盘驱动器的一部分，使操作系统能够启动。当MBR勒索软件触发时，引导进程无法照常完成，并在屏幕上显示赎金注释。例如Satana和Petya Ransomware。

2.3  勒索软件的特点

在已知的已发现勒索软件中，勒索软件具有一些关键的特点，使他们与其他恶意软件区分开来。当然随着新的勒索软件家族和新的勒索软件变种的不断出现，勒索软件的新功能也会不断增加。具体情况如下：

（1）有难以破解的加密；

（2）有能力加密各种文件，从文档到图片、视频、音频文件和电脑上的其他东西；

（3）可以干扰您的文件名，所以很难知道哪些数据受到影响，这是用来混淆和强迫受害者支付赎金的社会工程技巧之一；

（4）感染文件后，会在文件添加不同的扩展名，有时表示特定类型的勒索软件；

（5）感染后，会显示一个图像或一个消息，以通知计算机用户其数据已被加密，必须支付一定金额才能进行解密；

（6）要求用比特币支付，因为这种加密货币网络安全研究人员或执法机构很难跟踪；

（7）通常，支付赎金有时间限制，超过最后期限意味着赎金将增加，也可能会伴随着数据被销毁和永远丢失；

（8）使用一组复杂的逃避技术，躲避传统的杀毒软件的检测；

（9）经常将受感染的PC加入到僵尸网络中，因此网络犯罪分子可以扩展其基础设施并为未来的攻击提供燃料；

（10）可以传播到本地网络中连接的其他主机，造成进一步的损坏；

（11）经常会导致数据泄露，勒索软件可以从受影响的计算机中提取数据，并将其发送到网络罪犯控制的服务器；

（12）有时包括地理位置定位，意味着赎金注释被翻译成受害者的语言，以增加支付赎金的机会。

2.4  勒索软件的原理

2.4.1 加密勒索软件运行原理

利用公钥密码术进行攻击的加密勒索软件最初是由哥伦比亚大学的Adam L . Young和Moti Yung发明和实现的，他们在1996年IEEE安全与隐私会议上提出了这一概念。它被称为加密病毒勒索，在攻击者和受害者之间进行以下3轮协议：

【攻击者→受害者】攻击者生成密钥并将相应的公钥置入恶意软件。恶意软件被释放。

【受害者→攻击者】为了执行加密病毒勒索攻击，恶意软件生成随机对称密钥，并用其加密受害者的数据。然后使用恶意软件中的公钥来加密对称密钥。这被称为混合加密。然后勒索软件将对称密钥和原始明文数据归零，以防止被恢复。然后向用户发出包含不对称密文和如何支付赎金的消息。受害者向攻击者发送不对称的密文和电子货币。

【攻击者→受害者】攻击者接收付款，用其私钥解密非对称密文，并将对称秘钥发送给受害者。受害者用所需的对称密钥解密加密的数据，从而完成加密病毒勒索的攻击。

对称密钥是随机生成的，所以解密密钥对其他受害者是没有任何作用的。攻击者的私钥不会暴露给受害者，受害者只需要向攻击者发送一个非常小的密文（非对称密文）。

勒索软件攻击通常使用木马来执行，通过例如下载的文件或者网络服务中的漏洞进入系统。然后程序运行有效载荷，其以某种方式锁定系统或声称锁定系统，或不锁定系统（例如Scareware程序）。有效载荷可能会显示一个实体假警告，如执法机构，假称该系统已用于非法活动，包含的内容如色情和“盗版”的媒体内容。

2.4.2  勒索软件传播方式

勒索软件Ransomware可以通过任何可用的手段进行传播。网络犯罪分子通常只寻最简单的传播方法。以下是网络犯罪分子用来传播勒索软件最常用的方法：

（1）包含恶意链接或附件的垃圾邮件；

（2）易受攻击软件中的安全漏洞；

（3）互联网流量重定向到恶意网站；

（4）在其网页中注入恶意代码的合法网站；

（5）驱动下载；

（6）恶意广告活动；

（7）短信（适用于针对移动设备的勒索软件）；

（8）僵尸网络；

（9）自我传播（从一台感染的计算机传播到另一台）；

（10）勒索软件即服务的联盟计划（通过帮助进一步传播勒索软件获得一部分利润）。

当然，勒索软件也会利用社会工程学的方法与以上的一些方法进行组合攻击，这些攻击日益精炼，网络犯罪分子从之前的错误中不断学习，升级他们的恶意代码，以使其功能更强大，更具侵扰性，更适合逃避检测。

例如，网络犯罪分子在互联网上找到易受攻击的网站，比如在全球范围内广泛部署的未及时更新的WordPress架构的网站，通过在网站中注入恶意Javascript代码，并以此为基础将潜在的受害者重定向到受感染的网站，从而使受害者感染勒索软件。

图6  勒索软件的传播方式

2.4.3 勒索软件感染方式

虽然每个勒索软件版本的感染阶段略有不同，但是关键阶段基本如下图所示。

图7  勒索软件的感染方式

（1）最初，受害者收到包含恶意链接或恶意软件附件的电子邮件，或者源自恶意网站，其通过使用来自系统的易受攻击的软件漏洞来传递攻击代码，以使在受害者的PC上安装后门；

（2）如果受害者单击链接或下载并打开附件，下载器（有效载荷）将放置在受影响的PC上；

（3）下载器从由网络罪犯控制域名或C&C服务器的列表里的系统上下载勒索软件程序；

（4）被联系的C&C服务器对请求进行响应；

（5）勒索软件开始加密整个硬盘的内容，几乎所有的个人文件和敏感信息，甚至包括PC上同步的存储在云账户中的数据，还可以加密连接在本地网络中的其他计算机上的数据；

（6）在屏幕上弹出警告信息以及如何支付指令的解密秘钥。

 

图8  CTB-Locker

3 勒索软件的发展历史

 

历史上第一个已知的勒索软件出现在1989年（28年前）。是由约瑟夫•波普开发的“AIDS Trojan”，该木马在设计上存在一个缺陷，可以不需要支付赎金。该勒索软件的有效载荷会隐藏硬盘驱动器上的文件，并仅加密文件名称，然后显示一条消息，声称用户使用的某个软件的许可证已过期。要求用户向“PC Cyborg Corporation”支付189美元，以便获得修复工具。但实际上解密密钥可以从木马的代码中提取。木马也被称为“PC机器人”。最终波普被宣布为精神上存在问题而不适合为他的行为进行宣判，但是他承诺将勒索软件的所有所得捐赠给艾滋病研究机构进行艾滋病的研究。

但是现在已经发生了巨大变化，随着网路犯罪的发展，以及比特币出现和加密算法的进步，使得勒索软件的开发技术日趋成熟，勒索软件攻击逐渐发展成为流行的安全威胁。下图显示了恶意软件研究人员在过去10年发现的勒索软件家族信息。

图9  勒索软件家族信息[图片来源：CERT-RO]

3.1  加密勒索软件

如前文所述第一个已知的勒索软件是“AIDS Trojan”，由约瑟夫•波普在1989年开发，众所周知，该勒索软件有一个致命的设计缺陷，利用对称加密算法，并且密钥就包含在勒索软件样本中，解密工具可以很快恢复文件名称，但这开启了近三十年的勒索软件攻击。

1996年Adam L.Young和Moti Yung介绍了使用公钥密码术进行攻击的概念。他们批评了失败的“AIDS Trojan”的缺陷，并通过实验验证了他们的概念。使用RSA和TEA混合加密受害者数据，从此进入了公钥密码术勒索软件攻击时代。

勒索软件的实例在2005年5月变得比较突出，到2006年年中，勒索软件Gpcode、TROJ.RANSOM.A、Archiveus、Krotten、Cryzip和MayArchive开始使用更复杂的RSA加密方案。2006年检测到的Gpcode.AG使用660位RSA公钥加密。2008年6月，被检测的Gpcode.AK变种，使用1024位RSA密钥。

随着以CryptoLocker为代表的勒索软件在2013年底的崛起–使用比特币数字货币平台收受赎金。2013年12月，ZDNet根据比特币交易信息估计，10月15日至12月18日，CryptoLocker犯罪运营集团从受感染用户处收受了约2700万美元。随后CryptoLocker技术被广泛的复制，勒索软件进入繁荣的阶段。2015年1月，据报道，出现了瞄准Linux服务器的勒索软件攻击事件。

3.2  不加密勒索软件

2010年8月，俄罗斯当局逮捕了9名与勒索软件WinLock相关的人。与以前的Gpcode不同，WinLock通过显示色情图片来限制对系统的访问，并要求用户发送付费短信（花费大约10美元）来接收可用于解锁其计算机的代码。这个骗局袭击了俄罗斯和邻国的众多用户,勒索所得收入据说超过1600万美元。

2011年，另外一个勒索软件模仿Windows产品激活通知，并通知用户系统必须重新激活，由于“作为一个欺诈的受害者”，提供了在线激活选项（如实际的Windows激活过程），但是实际上是虚假的，要求用户拨打六个国际号码中的一个以输入6位数代码。

2013年2月，基于Stamp.EK exploit套件的勒索软件木马出现；该恶意软件是通过站点托管服务SourceForge和GitHub且声称提供名人的“假裸体图片”的网站分发。2013年7月，一个OS X平台勒索软件浮出水面，该勒索软件通过启动一个网页，并显示出指责用户下载色情文件的消息进行勒索。与基于Windows的同类产品不同，它不会阻止整个计算机，而只是利用Web浏览器本身的行为来阻止通过正常方式尝试关闭网页的行为。

3.3  移动勒索软件

随着勒索软件在PC上日益流行，勒索软件数量也大大增加。智能手机也受到勒索软件的影响，特别是Android设备。（IOS设备由苹果公司提供保护，他们限制哪些应用程序可以放到IOS App Store。）

与计算机上的勒索软件不同，计算机平台上加密勒索软件比非加密勒索软件更加普遍，移动设备上几乎没有加密勒索软件，因为移动平台上大多数关键数据存储在云中。数据会在云存储中备份，不需要支付赎金也一样能够恢复。为此，非加密勒索软件在移动平台上更受欢迎。

移动勒索软件通常通过在第三方商店中假冒合法应用程序进行传播，它们也可以通过其他方式传播，例如受感染的电子邮件和不安全的网站。它们通过一些技术手段阻止用户正常使用手机。这种类型的勒索软件在移动设备上更加有效，因为硬盘驱动器通常被焊接在主板上，在PC上可以简单地从受感染的PC拔出硬盘驱动器并使用另一个PC来检索其数据。为了保护手机免受勒索软件的攻击，可以定期扫描手机上的恶意软件，避免可疑的链接和应用程序。