专题报告 | 流行勒索病毒分析总结（上）

本篇报告内容较长，将分为上下两篇发布，本文为上篇。

目录

1. 概述

2. 背景

3. 勒索软件发展历程

3.1 PC Cyborg(第一款勒索软件)

3.2 非对称加密

3.3 加密货币兴起

3.4 RaaS

3.5 双重破坏

4. 勒索软件TTPS

4.1 传播

4.2 横向移动

4.3 扩大影响（上篇结束于此）

5.常见勒索软件

5.1 Sodinokibi/Revil（下篇开始于此）

5.2 Crysis/Dharma

5.3 Globelmposter

5.4 Buran

5.5 NetWalker

6. 勒索软件的趋势

7. 勒索软件响应措施

7.1 感染迹象

7.2 应急处理

7.3 加密数据处理

8. 日常防范

9. 附录

1

概述

信息安全 (Information Security)，意为保护信息及信息系统不受侵害。主要保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。从层面的概念来看，计算机硬件可以看作是物理层面，软件可以看做是运行层面，然后就是数据层面。从属性的概念来看，破坏涉及的是可用性，更改涉及的是完整性，显露涉及的是机密性。随着当代网络技术的高速发展和人们对所面临问题理解程度的日益加深，信息安全已是当今众多互联网领域的突出问题之一。

在众多信息安全风险中，居首位者当属网络攻击。无论是公司还是组织，都随时可能成为网络攻击的对象。而每年网络犯罪所带来的经济损失也与日俱增。综合以往，我们从攻击对象和利益最大化的角度来看，影响最大也最恶劣的当属勒索软件攻击。一旦公司、企业的资产如数据库、服务器等被加密甚至被破坏，所造成的损失不可估量。如果是公共设施和服务被勒索，如医院、交通部门被窃密、勒索，不仅会对我们的生活造成影响，甚至可能威胁到我们的生命。

近期，我们整合流行的勒索家族、梳理历史上著名的攻击事件，对勒索软件的发展历史进行回顾，对勒索软件的加密流程和传播途径进行深入探讨，对勒索软件今后的发展趋势进行畅想，并对被勒索攻击后应急处置流程进行分享，使读者对勒索攻击事件有新的整体把握，更好地应对此类网络攻击。

2

背景

勒索软件，又称勒索病毒，是一种特殊的恶意软件，又被归类为“阻断访问式攻击”（denial-of-access attack）。勒索软件与其他病毒最大的不同在于攻击手法和中毒方式，部分勒索软件仅是单纯地将受害者的电脑锁起来，而也有部分勒索软件会系统性地加密受害者硬盘上的文件。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权，或是取回受害者根本无从自行获取的解密密钥以解密文件。

勒索软件通常透过木马病毒的形式传播，将自身伪装为看似无害的文件，如利用邮件等社会工程学方法欺骗受害者点击链接下载，另外也可能与许多其他蠕虫病毒一样利用软件的漏洞在联网的电脑间传播。

勒索攻击事件频繁发生，且在数量上逐年增多。勒索软件如此盛行的背后是巨大利益的驱动。2020年，全球因勒索软件造成的总损失高达25万亿美元，高额的收益让更多的犯罪者趋之若鹜，而以往诸如 GandCrab 勒索病毒，不仅高调宣布仅仅一年就获得超过20亿美元的赎金，并且已成功兑现。诸如此类事件的推波助澜，加剧了勒索事件的爆发。

另一方面，即使没有任何编程经验的人借助 RaaS 平台也可以制作分发勒索病毒，这也让更多犯罪者铤而走险。

另外，勒索软件一般采用加密货币进行交易，加密货币由于其本身的特殊性，很难被第三方监管，更难以追踪和溯源，导致执法人员很难抓到犯罪者。

从1989年历史上已知的第1款勒索软件 PC Cyborg 出现到现在的广泛流行，勒索软件经历了漫长的发展历程。从非对称加密算法的应用，加密货币的兴起，到勒索软件即服务（Raas， Ransomware as a service）概念和双重破坏技术的出现，勒索软件在技术和理论层面不断革新，使其在当前仍具有强劲的发展势头和极大的破坏力。

3

勒索软件发展历程

3.1 PC Cyborg（第一款勒索软件）

时间追溯到1989年，当时大多数人并没有接触过电脑，并且信息传输也是通过软盘进行传递。这时一位哈佛大学博士学位的生物学家约瑟夫·波普 （Joseph Popp） 开发了一款软件，并且他向世界卫生组织艾滋病会议的参加者分发了20,000张受到感染的磁盘，并且以"艾滋病信息-入门软盘"命名。当软盘被插入电脑，就会显示以下消息：

该勒索信息要求用户必须在巴拿马的邮政邮箱向 PC Cyborg Corporation 发送189美元，以解锁访问权限。这就是已知的历史上第一款勒索病毒，"AIDS" 木马，也被称为 PC Cyborg。

从原理上来讲，该病毒通过替换受害者计算机上的 Autoexec.bat 文件，在计算机每次启动时运行，一旦运行次数达到90，该病毒将会隐藏目录并利用简单的对称加密技术加密 C 盘的文件。虽然现在看来该软件无论是复杂程度还是加密算法都不值一提，但是它却象征着计算机犯罪的一个新分支——勒索软件的兴起。

3.2 非对称加密

All knowledge is, in the final analysis, history.  All sciences are, in the abstract,mathematics. All methods of acquiring knowledge are, essentially, throughstatistics. 

—— C. R. Rao，数学家、统计学家（在终极的分析中，一切知识都是历史；在抽象的意义下，一切科学都是数学；在理性的基础上，所有的判断都是统计学）。

公开密钥密码学（英语：Public-key Cryptography）也称非对称式密码学（英语：Asymmetric Cryptography）是密码学的一种算法，它需要两个密钥：一个是公开密钥，另一个是私有密钥；公钥用作加密，私钥则用作解密。使用公钥把明文加密后所得的密文，只能用相对应的私钥才能解密并得到原本的明文，最初用来加密的公钥不能用作解密。由于加密和解密需要两个不同的密钥，故被称为非对称加密；不同于加密和解密都使用同一个密钥的对称加密。公钥可以公开，可任意向外发布；私钥不可以公开，必须由用户自行严格秘密保管。

1996年，Adam L. Young 和 Moti M. Yung 两个密码学家发出警告，非对称加密算法将会用于勒索事件。十年之后，也就是2006年，做为第一个利用非对称加密(RSA)手法加密的恶意家族 Archiveus 发布。该病毒会对文档目录进行加密，并要求受害者必须在特定的 Web 站点上购买商品才能获得用于解密文件的密码。之后出现的 Krotten 、GPcode 和 Cryzip、等勒索软件也开始使用非对称加密算法进行文件加密。即使到了现在，假如受害者被一个使用2048位RSA加密算法的勒索软件加密文件，在不知道私钥的情况下，利用当前世界上最大、 最好的超级计算机进行暴力破解，需要的时间也长达80年。因此如果一旦文件被加密，在当前计算机计算能力有限的情况下，基本不可能无损解密数据。要么舍弃数据，要么交钱解密，无法自行解密的二选一窘境下，勒索的成功率大大提高。

3.3 加密货币兴起

2008年，以比特币为首的加密货币进入历史的舞台，因为其独特的特性引起攻击者的关注，例如比特币所具有的 POW 共识机制和双重的 sha256 区块哈希算法保证了绝对的去中心化、匿名和隐私等特性，另外根据 Coin Center 研究部主任 Peter Van Valkenburgh 的观点：作为一种电子货币，很容易开发出自动要求付款的软件。黑客能够轻松地查看公共区块链以验证受害者是否已经付款，并且可以在收到付款的同时自动执行将受害者所需要的文件或者密钥发送给受害者的操作，这些特性导致加密货币成为在勒索事件的首选货币。

2011年开始，使用加密货币进行交易的勒索软件开始疯狂增长，基本每个季度的勒索样本数量都在成倍的增加。截至到现在，根据区块链分析公司最新的统计报告，2020年勒索软件支付的赎金占加密货币总交易金额的7%左右。同比相较于2019年，这一比例增长了311%。

基于加密货币的匿名性和隐私性，导致很难被第三方进行监管，相关执法部门也几乎不太可能溯源到发动勒索攻击者的真实身份。在很长一段时间之内，勒索软件和加密货币还会保持紧密联系，并且不会有很大改善。

3.4 RaaS

2015年，为了寻求勒索软件收益的最大化，攻击者创建了一种全新的服务模式，勒索软件即服务 (RaaS) ，该模式借鉴软件即服务（SaaS）的模型。

勒索软件即服务是一个恶意软件销售商-客户通过订阅模式进行盈利的模型。首先犯罪分子编写完成勒索软件之后，通过类似会员的方式将其出售或出租给意图发动攻击的客户或者想要加盟进行分成的分销商，并且提供有关如何使用该软件发动勒索攻击的技术知识和相关步骤的教程，甚至提供可视化软件进行实时监控查看当前攻击状态。这种模型犯罪分子通过不同的"客户"可以轻松攻击那些自己无法接触到的新的受害者，扩大收益。一旦攻击成功，其赎金会按照一定比例分成给销售商、编码者、攻击者等各方。相比之前的单一模式的攻击，这种多层代理的攻击模型让勒索软件更容易传播。即使是攻击者自身没有高超的技术或者昂贵的设备，也可以通过低价购买和下载勒索软件，轻而易举的发起勒索攻击。

2015年中期，第一个 RaaS 服务在暗网中悄然诞生：

Tox 勒索软件套件作为 RaaS 服务开始投入销售，该工具包提供各种反分析反检测功能。攻击者只需要提供几个自定义字段就可以开发出一个自定义的勒索软件，其易用性之高，让不同水平的攻击者瞬间涌入勒索事件的行列。

虽然 Tox 勒索软件套件不久就被封禁，但是不同的 RaaS 服务如雨后春笋般层出不穷，勒索攻击的事件进一步增多。

2020年新型Raas平台：

3.5 双重破坏

窃密软件一般具有隐匿性，通过执行窃取受害者密码或者文件信息。而勒索软件具有暴力性，会直接加密用户文件。当这两种不同类型家族发生碰撞，会发生什么样的火花。

当前，勒索软件日益猖狂的同时，人们的防范意识也越来越强。即时备份成为越来越多的企业、公司的标准操作。即使被勒索，只要恢复备份即可。当用户认为备份数据之后就可以高枕无忧时，一种新的勒索形式让人们再次陷入被动泥潭。

2019年初， Megacortex 勒索病毒借助 Emotet 僵尸网络进行传播。在留下的勒索信中，不仅加密用户文件，同时还窃取了用户信息，如果不缴纳赎金，则公开用户文件。

紧接2019下半年开始，针对政企的勒索病毒大量增加，勒索的同时窃取了受害者信息，这不仅对企业经济造成损失，而且对企业声誉和用户隐私的造成更大影响。基于双重的压力之下，受害企业往往只能缴纳赎金，即时止损。

4

勒索软件 TTPs

勒索软件不同于其他蠕虫或者木马等恶意软件，大部分勒索软件具有暴力性，不需要考虑隐藏自身等行为，但危害程度相对与其他恶意软件有过之而无不及。我们对恶意软件的讨论，主要集中在投递、横向传播以及攻击特点方面。对于那些我们目前还无法无损解密的情况，我们着重讲解其传播特性，为以后的预防打下基础。

4.1 传播

勒索软件的传播其主要方式为垃圾邮件、漏洞利用、RDP 弱口令，如下图：

4.1.1 垃圾邮件

垃圾邮件 ( junk Mail 或 Email spam ) 是滥发电子消息中最常见的一种，指的就是不请自来，未经用户许可就塞入信箱的电子邮件。

垃圾邮件也是恶意软件(无论是勒索病毒还是蠕虫木马)最主要的传播方式之一。攻击者为了提高恶意软件的传播率和提高自身隐秘性，通常会通过 Necurs 、 Rustock等大型僵尸网络进行邮件的分发，全球计算机网络中每天都会有数以万计的垃圾邮件在用户之间传播。其中大部分都包含恶意软件附件或者有害的钓鱼链接。这不仅浪费用户正常的工作时间，还大大增加了网络资源的浪费。

垃圾邮件结构多为一封携带附件的电子邮件，邮件内容多为交货收据、退税单或票证发票，然后提示受害者必须打开附件才能收到货物或收取款项，诱惑受害者运行附件内容，其附件多为 Word文档、 JavaScript 脚本文件或者伪装后的可执行文件。如果受害者没有一定的计算机知识，很容易误认为这个文件是正常的，直接运行后导致计算机文件被勒索或者被攻击者远程控制。除了垃圾邮件之外，如果对指定政企单位进行勒索攻击，通常会采用发送钓鱼邮件，其内容相比垃圾邮件多为实时消息或者与其单位相关的话题，如利用2020新冠等话题进行定向攻击，如下就是一个典型的垃圾邮件。

4.1.2 RDP/弱口令

远程桌面协议 (RDP: Remote Desktop Protocol) 主要用于用户远程连接并控制计算机，通常使用3389端口进行通信。当用户输入正确的用户密码，则可以直接对其远程电脑进行操作，这为攻击者提供了新的攻击面。只要拥有正确的凭证，任何人都可以登录该电脑。故攻击者可以通过工具对攻击目标进行端口扫描，如果用户开启了3389端口，并且没有相关的防范意识，使用弱密码如123456，攻击者可以进行远程连接并通过字典尝试多种方式组合，暴力破解用户名密码。一旦拥有登录权限，就可以直接投放勒索病毒并进一步横向渗透扩大影响面。

下图展示了2020年度最新排名前十的弱密码:

4.1.3 漏洞利用

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未被授权的情况下访问或破坏系统。

漏洞利用与时间息息相关，如果攻击者利用 0day 进行攻击，那么相关的系统或者组件是极其危险的。但是在以往的勒索事件中，大多数攻击者一般采用成熟的漏洞利用工具进行攻击，如永恒之蓝、RIG 、GrandSoft 等漏洞攻击包等。如果用户没有及时修复相关漏洞，很可能遭受攻击。

在过去的一年里，受疫情影响，很多人开始居家办公，由于工作方式的转化促进了远程办公工具的兴起，进而导致了远程工具相关漏洞利用攻击事件的显著增加，除了传统的 office 漏洞（如 CVE 2012-0158、CVE 2017-11882 等），一些新的漏洞利用攻击也频繁出现，如 CVE-2019-19781、CVE-2019-11510 等。

4.2 横向移动

一旦勒索软件进入用户环境，为了尽可能扩大影响，很可能不会直接进行加密，而是通过感染机进行渗透其他机器、权限提升或者窃取更有价值的凭证。通过横向移动攻击如果可以拿到域控权限，从而获取控制域环境下的全部机器。无论是赎金额度还是勒索成功率都会大大提高。

其主要方式包括:

1. 使用如 PsExec 等工具

如 WastedLocker 勒索软件通过入侵系统后，会通过 psexec 等命令进行横向渗透，寻找价值较高的系统并进行加密
psexec -s \\<HOSTNAME>|<IP_ADDRESS> cmd

2. 通过 WMI 命令完成

如 Conti 勒索软件在通过 wmic 远程执行命令，收集域密码哈希，进行横向渗透，利用 IPC$ 或者默认共享如 makop 通过遍历共享资源进行加密

3. 利用永恒之蓝等漏洞

如著名的 WanaCry 勒索病毒通过永恒之蓝漏洞和445端口进行内网传播。

4.3 扩大影响

正如之前所说，当前的勒索软件不在是功能单一的勒索，而是联合其他恶意软件如僵尸网络、窃密木马等一起发动攻击。通过对用户敏感数据进行窃取，从而进行勒索。而且对目标的攻击更加具有针对性，所利用的工具也大都为定制化工具。如 Nozelesn 勒索软件利用 Emotet 僵尸网络进行传播、Locky 勒索软件通过 Necurs 僵尸网络传播垃圾邮件进行分发、Ruyk 利用 Trickbot 木马进行传播并窃取用户信息。

- To be continued -

本篇为“专题报告 | 流行勒索病毒分析总结“ · 上篇，下篇将于下期发布，敬请持续关注。

━ ━ ━ ━ ━

关于微步在线研究响应团队

微步情报局，即微步在线研究响应团队，负责微步在线安全分析与安全服务业务，主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。

微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成，并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统，对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来，累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动，协助数百家各个行业头部客户处置了肆虐全球的 WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。

内容转载与引用

1. 内容转载，请微信后台留言：转载+转载平台+转载文章

2. 内容引用，请注明出处：以上内容引自公众号“微步在线研究响应中心”

点个"在看"再走吧~

↓↓↓