阅读与解答 | 比特币勒索攻击细目（一）

勒索软件攻击的演变

自2005年以来，勒索软件攻击至少经历了四次技术形态的“演变”：

· 2005-2009：盗版应用软件兴起；

· 2010-2011：假冒杀毒软件泛滥；

· 2013-2014：“锁和勒索”攻击猖獗；

2015年至今：进入以“比特币”支付赎金为主的“加密勒索”时代。

1、“创业”期：假冒应用软件、假冒杀毒软件

2005年，市面上出现了很多辅助电脑运行的第三方工具，黑客们借此编写了能够导致电脑异常的第三方系统工具。 一旦不知情的客户使用了此类“假冒应用软件”，就会导致操作系统出现各种问题，进而黑客向客户收取电脑维护费和安全检查费，以骗取钱财。

2009年，杀毒软件大规模兴起，不少黑客开始编写可以伪造安全题的“假杀毒软件”。 使用这种“杀毒软件”的客户自然会发现很多根本不存在的安全问题，然后“假杀毒软件”就会以修复安全问题为借口向蒙在鼓里的客户收费——处理每个假安全问题的成本高达 40-100 美元！ 同时，为了防止被骗客户起疑心，黑客伪造的杀毒软件在界面设计和风格上都会与当时主流杀毒软件保持一致。

但是，以上两种方式都有一个“缺点”，那就是在欺骗的过程中，黑客无法完全置身事外，必然会接触到受害人，从而留下蛛丝马迹； 很容易顺着线索，最终抓到作案的黑客。

2.“成熟”期：锁加密勒索病毒

2012年后，对黑客来说更“安全”的锁勒索和加密勒索开始成为主流。 这两种勒索攻击大多使用TOR网络和比特币赎金，有效隐藏了执法人员在收款过程中留下的追踪链，大大降低了犯罪分子被抓获的几率。 但是锁勒索和加密勒索也有明显的区别，因为它们是基于不同的层次来阻止用户访问数据。

锁定勒索软件

Locker 勒索软件，也称为 Computer locker。 它通常会锁定受害人电脑或手机的操作系统界面（多为锁屏）攻击比特币，然后以“恢复正常访问”为威胁，勒索比特币赎金。 一般来说，锁定勒索相对容易破解，黑客的勒索接口大多是伪装成司法机关进行“恐吓”。

以手机为例，锁定勒索的方式主要有两种：

第一种方式，黑客在操作界面（覆盖界面）之上加一个顶框，以防止用户正常操作。 事实上，这种方法并没有对系统中的底层文件做任何改动，只是增加了一层“屏蔽”接口，因此大部分都可以通过技术手段解锁，无需向黑客支付赎金。

第二种方式，黑客利用一些系统漏洞获取root权限，设置屏保或修改锁屏密码，以此来敲诈受害者。 这种方法也可以在丢失一定数据量的前提下攻击比特币，通过手机的找回方式解锁。

加密勒索软件

加密勒索软件也称为数据锁。 该类勒索软件专门在用户机器上寻找有价值的数据，然后对数据进行高强度加密（如AES 256等），并在加密的同时删除原有数据； 加密勒索软件攻击一般不会影响操作界面。 、鼠标、键盘等，虽然数据文件被加密，但通常不会导致操作系统出现异常，受害人仍然可以使用电脑，但很难通过纯技术手段破解加密文件。 如果受害者没有事先备份他们的数据，他们很可能会被迫向黑客支付比特币赎金。

3.“商业”时期：勒索软件即服务

如今，勒索软件攻击的定义已不再是单纯的黑客技术或恶意软件，它已经形成了成熟的商业模式——“勒索软件即服务”（RaaS：Ransomware as a service），并围绕比特币勒索建立了完整的产业链. 例如：暗网上有大量出售比特币勒索软件服务的黑客团体，他们会提供模块化的比特币勒索软件服务组件，可以定制生成勒索软件工具包，从而“帮助”那些不懂的人或有特殊需求的恶意分子完成比特币勒索攻击，恶意分子只需支付一定的相关服务费用，并指定接收钱包和赎金金额即可。 凭借各种“优势”，比特币勒索从2013年开始进入发展“快车道”，越来越多的黑客团伙从传统的恶意软件、银行木马、间谍软件、网络犯罪转向比特币勒索。

比特币勒索软件攻击目标

1、“定点攻击”勒索偏向企业级目标

这样一来，黑客只追求高质量的目标，而不是制造更多的受害者，单笔交易勒索的比特币金额往往超过10000美元。

2、偏向个人目标的“乱射”勒索方式

这样，黑客主要攻击个人目标，攻击的最终点是个人数据，并快速、广泛、大量传播，感染更多的受害者，进而骗取比特币赎金； 这类勒索病毒大多隐藏在各种广告或来历不明的信息中，感染源具有极强的自动复制能力。 虽然看起来单次勒索金额不高，但对个人电脑和手机用户的危害却丝毫不亚于此。 在前者。

比特币勒索软件攻击模型

比特币勒索软件是一个相当复杂的攻击过程，可以攻击多种平台和软件。 主流的比特币勒索病毒可以根据不同的软硬件环境做出各种自适应变化。 比特币勒索病毒虽然千变万化，但其核心依然遵循“感染、下载、执行、勒索、支付”五个步骤。

1.感染

感染是整个比特币勒索的第一步，也是最关键的一步，主要包括：网络安全漏洞、垃圾邮件、下载器、僵尸网络、社会工程学、自我传播； 其中，不同的传输方式通常适用于不同的目标环境，当然还有大量的组合用例。 例如：社会工程学辅助的垃圾邮件一直是各种网络恶意软件传播的首选方式，比特币勒索软件也不例外。 据统计，超过 70% 的比特币勒索攻击都是从含有恶意附件或恶意 URL 的垃圾邮件开始的。 为了保护自己不被跟踪，黑客通常使用属于僵尸网络的服务器来发送垃圾邮件。

2. 下载

当毫无戒心的用户打开带有“感染源”的邮件、网站等时，恶意软件就会开始收集当前机器的信息，主要目的有两个：

首先，识别当前机器的操作系统，直接选择一个“适合”对应操作系统的恶意软件开始下载；

其次，识别当前机器是否是虚拟机。 如果确定是虚拟机或虚拟化环境，一些勒索软件为了避免被发现，会选择终止攻击； 如果确定是物理机，勒索软件会将收集的信息发送到黑客准备的服务器，并自动从服务器下载“适合”目标机器的恶意软件。

3.勒索

在真正执行勒索软件之前，恶意软件会先尝试利用漏洞获取一定的用户权限，同时尝试关闭系统自带的一些安全保护机制； 部分勒索软件还会判断是否继续进行攻击。 勒索病毒在目标机器上成功部署后，接下来就是开始正式实施勒索病毒攻击，而勒索病毒攻击的方式与勒索病毒使用的技术有关，例如：两大类勒索病毒attacks - lock ransomware和encryption Blackmail（前面已经讲过，这里不再赘述）。

4.扩散

这一步和勒索软件攻击往往是同时进行的。 勒索病毒的扫描模块会通过被感染机器的网卡和驱动自动检测网络中的其他机器和机器上的其他电子设备。 一旦发现可访问的设备，它就会尝试将“感染源”复制到这些新机器或电子设备上，然后在新机器或电子设备上不断重复这组动作——感染、下载、勒索、传播，直到勒索软件传播到它可以触及的整个网络范围。

5.收藏

与其他货币不同，比特币不依赖于特定的货币机构发行，而是基于特定的算法通过大量计算产生的。 更重要的是，比特币采用密码学设计，保证了货币在流通和交易中的安全性和匿名性。 勒索成功后，黑客出于“安全”的考虑，要求受害人用比特币支付赎金。 可以说，比特币“无意间”的出现，为黑客实施勒索攻击打开了一条更加隐秘的通道，值得所有企业和个人的关注和重视。

攻击类型

保护建议

攻击趋势

攻击目标：数据库