傳播手段
勒索軟體1.藉助網頁木馬傳播,當用戶不小心訪問惡意網站時,勒索軟體會被瀏覽器自動下載並在後台運行。
2.與其他惡意軟體捆綁發布。3.作為電子郵件附屬檔案傳播。
4.藉助可移動存儲介質傳播。
表現形式
一旦用戶受到勒索軟體的感染,通常會有如下表現形式,包括:1.鎖定計算機或移動終端螢幕。
2.借防毒軟體之名,假稱在用戶系統發現了安全威脅,令用戶感到恐慌,從而購買所謂的“防毒軟體”。
3.計算機螢幕彈出類似下圖的提示訊息,稱用戶檔案被加密,要求支付贖金。
分類
根據勒索軟體所使用的勒索方式,主要分為以下三類:1.影響用戶系統的正常使用。比如PCCyborg、QiaoZhaz(Trojan/Win32.QiaoZhaz)等,會採用鎖定系統螢幕等方式,迫使系統用戶付款,以換取對系統的正常使用。
2.恐嚇用戶。比如FakeAV(Trojan[Ransom]/Win32.FakeAV)等,會偽裝成反病毒軟體,謊稱在用戶的系統中發現病毒,誘騙用戶付款購買其“反病毒軟體”。又如Reveton(Trojan[Ransom]/Win32.Foreign),會根據用戶所處地域不同而偽裝成用戶所在地的執法機構,聲稱用戶觸犯法律,迫使用戶支付贖金。
3.綁架用戶數據。這是近期比較常見的一種勒索方式,最典型的是CTB-Locker家族(Trojan[Ransom]/Win32.CTBLocker),採用高強度的加密算法,加密用戶文檔,只有在用戶支付贖金後,才提供解密文檔的方法。
典型家族
已知最早的勒索軟體出現於1989年,名為“愛滋病信息木馬”(Trojan/DOS.AidsInfo,亦稱“PCCyborg木馬”),其作者為JosephPopp。該木馬程式以“愛滋病信息引導盤”的形式進入系統,採用替換AUTOEXEC.BAT(DOS系統檔案,位於啟動盤根目錄,檔案為檔案格式,用於描述系統啟動時自動載入執行的命令)檔案的方式,實現在開機時記數。一旦系統啟動次數達到90次時,該木馬將隱藏磁碟的多個目錄,C糟的全部檔案名稱也會被加密(從而導致系統無法啟動)。此時,螢幕將顯示信息,聲稱用戶的軟體許可已經過期,要求用戶向“PCCyborg”公司位於巴拿馬的信箱寄去189美元,以解鎖系統。作者在被起訴時曾為自己辯解,稱其非法所得用於愛滋病研究。2001年,專門仿冒反病毒軟體的惡意代碼家族(Trojan[Ransom]/Win32.FakeAV)出現,2008年左右開始在國外流行。該惡意代碼家族的界面內容為英文,又因為當時國內部分反病毒廠商已經開始採用免費的價格策略,所以該惡意代碼家族在國內不容易得逞,對國內影響相對較小。FakeAV在偽裝成反病毒軟體欺騙用戶的過程中,所使用的窗體標題極具迷惑性。據安天CERT統計,其標題有數百種之多,常用標題如下表所示:AntiSpyWare2008反間諜軟體2008;
AntiVirus2013反病毒軟體2013;
SecurityDefender安全衛士;
ScannRepair掃描修復工具;
VirusDoctor病毒醫生;
SpywareCleaner間諜軟體清除者/終結者;
SystemCareAntivirus系統護理防毒;
DataRecovery數據恢復;
AVDefender2014反病毒衛士2014;
AVSecurity2015反病毒安全2015;
AdwareChecker廣告軟體清除者/終結者。
2005年出現了一種加密用戶檔案的木馬(Trojan/Win32.GPcode)。該木馬在被加密檔案的目錄生成具有警告性質的txt檔案,要求用戶購買解密程式。所加密的檔案類型包括:.doc、.html、.jpg、.xls、.zip及.rar。2006年出現的Redplus勒索木馬(Trojan/Win32.Pluder),是國內首個勒索軟體。該木馬會隱藏用戶文檔和包裹檔案,然後彈出視窗要求用戶將贖金匯入指定銀行賬號。據國家計算機病毒應急處理中心統計,來自全國各地的該病毒及其變種的感染報告有581例。在2007年,出現了另一個國產勒索軟體QiaoZhaz,該木馬運行後會彈出“發現您硬碟內曾使用過盜版了的我公司軟體,所以將您部分檔案移動到鎖定了的扇區,若要解鎖將檔案釋放,請電郵liugongs19670519@yahoo.com.cn購買相應軟體”的對話框。
