勒索软件的激荡三十年

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

2019年，勒索软件已成为全球最常见的网络威胁之一，而在短时间内应该不会消散。

从企业、学校到整个市政府，它们都曾沦为网络加密恶意软件攻击的受害者，而现在勒索软件混入比特币或其它密币之间，手握文件勒索数十万美元。

虽然执法部门建议受害者不要向网络犯罪分子妥协而支付赎金，但很多人选择支付数万美元以期了断，因为他们认为恢复网络最快速也最容易的方法就是“拿钱摆平”，息事宁人。这就意味着某些勒索软件犯罪团伙在2019年应该轻松入账数百万美元。

1

1989：始于 AIDS 木马

但如今的网络绑架“恶霸”刚开始时并不起眼。1989年12月，某人发动勒索攻击，而他也应该未曾料到这次攻击最终将在30年后影响全球某些最重大的网络攻击活动。

我们现在口中的“勒索软件”原来被称为“AIDS木马”，它因受攻击的目标——1989年在斯德哥尔摩参加世界卫生组织 AIDS 大会的代表——而得名。

参会人员在会上收到了包含恶意代码的软盘，该恶意代码会自我安装到MS-DOS 系统中而且它会统计机器启动的次数。当机器启动第90次时，该木马就隐藏所有的目录并将磁盘上偶有文件的名称加密，使其不可用。

受害者随后看到声称来自“PC Cyborg 公司”的一条留言称，他们的软件租期已失效，需要向位于巴拿马的一个地址汇款189美元才能重新访问系统。

而这实际上是支付勒索要求，受害者支付赎金才能重新获得对计算机的访问权限，而这也让AID 木马成为史上第一款勒索软件。

幸运的是，该木马所使用的加密较弱，因此安全研究员发布了一款免费的解密工具，而这也拉开了至今仍在进行的勒索与解密之间的斗争：网络犯罪分子忙着开发勒索软件，而安全研究员忙着尝试逆向。

但此后，时隔20年之后我们才会看到勒索软件如今的模样，而且和今天出现的勒索软件相比，最初的勒索攻击仍然相对简单。

这种勒索软件的常见形式如“Police Locker”攻击。如下载 Police Locker（常常从P2P 下载网站下载或托管盗版或成人内容），则会将用户的桌面更改为声称来自执法部门的留言称因具有不法行为，机器已被锁定。

这些攻击实际并未使用任何加密算法，而且在很多情况下重启电脑就能删除该Locker，但一些人出于恐惧心理支付了数百美元的赎金。

2

2012：成熟成型

虽然Police Lockers 在2010年到2012年左右达到顶峰，但它们并未远去，而是被我们视作“真正的”勒索软件取而代之。

Emsisoft公司的勒索软件研究员Michael Gillespie 表示，“2012年至2014年是勒索软件的‘西大荒’。它还是一个新概念而普通人尚未认识它而且并不理解正在发生的事情。当时出现了林林总总的屏幕锁定、文件加密等等。”

而正是在此时，勒索软件开始转向文件加密，从而真正地触及受害者。尽管由于目标大多是家庭用户勒索金很少超过数百美元，而且由于勒索金以标准货币支付，因此并非十分隐秘的操作。

然而，比特币的出现打破了这一切，不久之后分发勒索软件的犯罪分子要求以交易更难以被追踪的密币支付，使得这些幕后黑手更难以追踪。

3

2016：稀疏平常

到了2016年，勒索软件即服务变得稀疏平常。恶意软件家族如Cerber 的创建者出让实施攻击的能力，虽然利润削减但事实证明是一个成功的商业模式。截止2016年年底，勒索软件变体跻身最常见的恶意软件家族行列。

虽然过程缓慢但却一定发生的事实是，勒索软件在不停地变换目标，很多专业的犯罪团伙从攻击家庭用户转向企业和公共行业的组织机构，他们一次加密整个网络并攫取数万美元。

尽管如此，勒索软件仍然在信息安全圈子的雷达视线之外，不过在2017年4月，WannaCry 勒索软件永远地打破了这种状况。

在那一天，全球所有机构的员工发现自己的显示器上出现了一条勒索留言，要求缴纳赎金才能拿回文件。WannaCry借“永恒之蓝”之手横扫全球。

如果不是安全研究员发现制止攻击的“生死开关”（后来被归咎于朝鲜），那么WannaCry所造成的损失应该会更大。然而，即使组织机构支付赎金后，他们发现竟然没有检索文件的机制——该攻击似乎在本质上就是毁灭性的。

就在几周之后，NotPetya 如出一辙，它的魔爪同样伸向全球各地。它看似是勒索软件，行动起来却更像是一款毁灭性的擦除器。

不过，尽管这些事件的本质如此复杂，也并非是勒索软件的终结，因为组织机构仍然大开网络之门，导致网络攻击者发现新的甚至比以往更能加强勒索能力的方法：黑客们发现可以通过钓鱼攻击以外的更多方法传播这款恶意软件。

Darktrace公司的反威胁主管Max Heinemeyer 表示，“WannaCry是一种范式转变。因为当时人们意识到可以结合横向移动和强大的payload 如勒索软件实施攻击。”

此后，网络犯罪分子更加大胆地推送勒索软件，而攻击规模也越来越大。现在，当黑客攻陷整个网络时，勒索软件已成为攻击变现的一种方式。

通过结合面向互联网端口的攻击、使用被盗凭证、网络内的横向移动和其它技术，攻击者将偷偷溜进网络，攻陷其中的每座城池，然后最终导致一切瘫痪为止，而其中通常包括服务器和备份。

这就导致勒索软件成为一种极具诱惑力的业务，攻击者通常提出6位数的勒索金才给出解密密钥。而且尽管赎金数额巨大，但2019年很多组织机构都选择支付赎金。

在很多情况下，它就像两害相侵取其轻——因为从零恢复网络要耗费数周的时间，它不仅成本更高，而且企业会在网络宕机期间会失去大量业务。因此，受害者选择支付赎金，向攻击者证实勒索软件确实起作用。

正因如此，而且鲜有勒索软件分发者会被绳之以法，勒索软件的问题更加前所未有地纷繁复杂，而在2020年，这个问题将持续存在。

4

未卜先知

其实，只要做对一件简单的事，所有规模的组织机构就可免受此劫：确保系统脱机本分并定期测试这些备份。

Gillespie表示，“它就像薛定谔的备份，你在恢复时方知备份的状态。你应该知道的一点是，如有不测，它将救你一命。”

他补充道，“有时候人们不想为 IT 支付一揽子费用，他们也不想为可能永远用不到的存储安全网付费，但是可以选择其它方式而且从总体上看更好。”

如果组织机构能抵御攻击而且确保即使发生最糟糕的情况也有备份可用的话，那么就不必支付赎金。而且，如果人们不支付赎金，那么网络犯罪分子就不会将勒索软件视作摇钱树。

或许，如果现在学到了这些教训，那么勒索软件在未来30年就无法侵害企业了；但遗憾的是，在这一天到达之时，这种情况也有可能变得更加糟糕。

推荐阅读

突发：安全公司 Prosegur 因遭 Ryuk 勒索软件攻击被迫关网

iTunes 被曝未加引号的路径 0day：勒索软件如何利用它执行任意代码并逃避检测？

英国机场航空信息显示系统遭勒索软件干扰

原文链接

https://www.zdnet.com/article/30-years-of-ransomware-how-one-bizarre-attack-laid-the-foundations-for-the-malware-taking-over-the-world/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 点个“在看”，bounty 多多~