勒索軟件的歷史悠久，甚至可以追溯到1980年代后期。如今，勒索軟件正為其背后的犯罪集團創造數十億美元的收入。

根據Sophos報告數據，2020年勒索軟件攻擊的平均受害成本驚人。對于支付了贖金的受害組織而言損失接近150萬美元，未支付贖金的組織損失約為73.2萬美元。。

在經濟利益的驅使之下，勒索軟件團伙和惡意軟件激增。能夠開發和交付代碼的勒索軟件運營者數量高達數百個，而分發者，即從勒索軟件作者手上購買RaaS服務并分發獲益的惡意分子更是數不勝數。

本文總結了主要的勒索軟件及運營團伙，盡管其中一些組織活躍度下降，但并不保證它們會大規模卷土重來。

[[383934]]

Cerber

Cerber是一個RaaS平臺，于2016年首次出現，并且在當年7月就為攻擊者凈賺200,000美元。

工作原理：Cerber利用Microsoft漏洞感染網絡。其功能與其他勒索軟件類似，主要使用AES-256算法對文件進行加密，攻擊覆蓋多種文件類型，包括文檔、圖片、音頻文件、視頻、檔案和備份。即使未映射到計算機中的驅動器號，也可以掃描和加密可用的網絡共享。攻擊成功后，Cerber會將三個文件放到受害者的桌面上，其中包含贖金要求以及付款說明。

目標受害者：All

歸因：Cerber的創作者在一個私人俄語論壇上出售服務。

Conti

Conti RaaS平臺于2020年5月首次出現，被認為是Ryuk勒索軟件的后繼產品。截至2021年1月，Conti已感染了150多個組織，并為其網絡犯罪開發商和分支機構賺取了數百萬美元。目前至少發現了三個新版本。

工作原理：Conti使用了雙重威脅策略，即保留解密密鑰并出售或泄露受害者的敏感數據。實際上，Conti團伙還經營著一個名為Conti News的網站，該網站列出了受害名單并公開泄露竊取數據。​一旦惡意軟件感染了受害系統，它會嘗試橫向移動以訪問更敏感的內容。此外，Conti通過使用多線程來快速加密文件。

目標受害者：2021年1月的最新一輪感染似乎針對政府組織，但作為RaaS行動，對任何組織/個人都構成威脅。

歸因： Conti是獨立團伙運作，其成員身份不明。

CryptoLocker

CryptoLocker于2013年首次被發現，開啟了現代勒索軟件時代，并在其高峰期感染了多達500,000臺Windows計算機，也被稱為TorrentLocker。2014年7月，美國司法部宣布已取締 CryptoLocker。

工作原理：CryptoLocker是一種木馬程序，在受感染的計算機、任何內部或網絡連接的存儲設備中搜索要加密的文件。通常是通過網絡釣魚電子郵件進行分發，郵件帶有包含惡意鏈接的文件附件。一旦打開文件，就會激活下載程序，從而感染計算機。

目標受害者：似乎沒有針對任何特定實體。

歸因： CryptoLocker是由犯罪團伙成員創建的，該犯罪團伙還開發了銀行木馬Gameover Zeus。

CryptoWall

CryptoWall又名CryptoBit或CryptoDefense，于2014年首次出現，并在CryptoLocker關閉后開始流行。據悉，該惡意軟件經歷了幾次改動。

工作原理：通過垃圾郵件或漏洞利用工具包進行分發。CryptoWall的開發人員似乎避免使用復雜的方法，更傾向于簡單但有效的經典勒索軟件方法。在運營的前六個月，它感染了625000臺電腦。

目標受害者：該勒索軟件已經損害全球數以萬計的組織，但避開了俄語環境的國家。

歸因： CryptoWall開發人員很可能來自講俄語的國家。此外，CryptoWall 3.0能夠檢測它是否在白俄羅斯、烏克蘭、俄羅斯、哈薩克斯坦、亞美尼亞或塞爾維亞的計算機上運行，是的話會自行卸載。

CTB-Locker

CTB-Locker于2014年被首次報道，以高感染率而聞名。2016年，以web服務器為目標的新版本的CTB-Locker發布。

工作原理：勒索軟件會員必須向CTB-Locker開發人員支付月費，才能訪問托管的勒索軟件代碼。該勒索軟件使用橢圓曲線密碼來加密數據。它還以多語言能力而聞名，這使得潛在受害者遍布全球。

目標受害者：鑒于其RaaS模式，CTB Locker對任何組織都是一個威脅，尤其是來自西歐、北美和澳大利亞等國家，并且曾支付過贖金的組織。

DoppelPaymer

DoppelPaymer于2019年6月首次出現，至今仍然活躍。最值得注意的是，2020年9月，DoppelPaymer勒索軟件攻擊了一家德國醫院，導致該醫院被迫將患者送往另一家醫院，引發患者死亡。

工作原理：DoppelPaymer團伙使用不同尋常的戰術，即通過偽造的美國電話號碼打給受害者，要求支付贖金，一般贖金為50比特幣左右(最初為60萬美元)。他們聲稱自己來自朝鮮，并威脅會泄露或出售被盜數據。在某些情況下，他們還會威脅受害公司的員工。

據悉，DoppelPaymer似乎是基于BitPaymer勒索軟件的變種，不過兩者存在一些關鍵區別，例如DoppelPaymer會使用線程文件加密來提高加密率，并且使用一個名為Process Hacker的工具來終止安全措施、電子郵件服務器、備份和數據庫進程等，以此削弱受害者的防御能力并避免加密過程被打斷。

目標受害者：醫療保健、緊急服務和教育等關鍵行業。

歸因：疑似由Dridex特洛伊木馬背后的一個分支TA505負責​。

Egregor

Egregor出現在2020年9月。直到2021年2月9日，美國、烏克蘭和法國當局在聯合行動中逮捕了Egregor的集團成員和附屬機構成員，使其網站下線。

工作原理： Egregor遵循“雙重勒索”趨勢，既加密數據又威脅如果不支付贖金就泄露敏感信息。它的代碼庫相對復雜，并且能夠通過使用混淆和反分析技術來避免檢測。

目標受害者： 截至11月下旬，Egregor破壞了全球19個行業的至少71個組織。

歸因：Egregor的崛起與Maze勒索軟件團伙的關閉相吻合，因此判斷Maze的分支機構似乎轉移到了Egregor。此外，Egregor也是Sekhmet勒索軟件系列的變體，與Qakbot惡意軟件相關聯。

FONIX

FONIX是一種RaaS產品，于2020年7月首次發現。經歷了許多代碼修訂后于2021年1月突然關閉。FONIX運營團伙隨后釋放了其主要密鑰。

工作原理： FONIX運營團伙在網絡犯罪論壇和暗網上宣傳其服務。FONIX的購買者將向該團伙發送電子郵件地址和密碼。然后，該團伙將定制的勒索軟件有效載荷發送給買方。攻擊成功后，運營團伙收取25%的贖金作為報酬。

目標受害者：All

歸因：未知

GandCrab

GandCrab可能是有史以來最賺錢的RaaS產品。GandCrab于2018年1月首次被發現，而截至2019年7月，其開發商聲稱受害者賠償金超過20億美元。

工作原理： 該惡意軟件通常通過網絡釣魚電子郵件發送的惡意Microsoft Office文檔傳遞的。目前，GandCrab的變體通過利用Atlassian’s Confluence等軟件中的漏洞注入惡意模板，從而完成遠程代碼​執行。

目標受害者：GandCrab已經在全球多個行業感染了系統，但避免在俄語地區的活動。

歸因：與俄羅斯有聯系。

GoldenEye

GoldenEye出現在2016年，疑似基于Petya勒索軟件開發的。

工作原理： GoldenEye最初瞄準人力資源部門，以投遞虛假的求職信和簡歷發動攻擊。一旦其有效負載感染計算機，就會執行一個宏來加密計算機上的文件，并在每個文件的末尾添加一個隨機的8個字符擴展名。然后，勒索軟件使用自定義啟動加載程序修改計算機的硬盤主啟動記錄。

目標受害者：以說德語的用戶為目標。

歸因：未知

Jigsaw

Jigsaw于2016年首次出現，但很快研究人員就公布了解密工具。

工作原理： Jigsaw最特別之處在于它加密了一些文件后會索要贖金，然后逐步刪除文件，直到受害者支付贖金為止。基本每小時刪除一個文件，一般會持續72個小時，超過這個時間，將刪除所有剩余文件。

目標受害者：不針對特定目標

歸因：未知

KeRanger

2016年發現的KeRanger被認為是第一個旨在攻擊Mac OS X應用程序的可運行勒索軟件。

工作原理：通過合法但受感染的BitTorrent客戶端進行分發，該客戶端具有有效的證書，能夠逃避檢測。

目標受害者： Mac用戶

歸因：未知

Leatherlocker

Leatherlocker于2017年在兩個Android應用程序中被發現：Booster&Cleaner和Wallpaper Blur HD。發現后不久，Google便從商店中刪除了這些應用。

工作原理：當受害者下載似乎合法的應用程序后，該應用會請求權限，以授予執行所需的惡意軟件訪問權限。該勒索軟件不加密文件，而是鎖定設備主屏幕禁止受害者訪問數據。

目標受害者：下載受感染應用程序的Android用戶

歸因：未知

LockerGoga

LockerGoga在2019年針對工業公司的攻擊中活躍。盡管攻擊者要求贖金，但LockerGoga似乎在設計上很難讓受害者真的支付贖金。這使一些研究人員認為其意圖是搞破壞而不是單純的經濟利益。

工作原理：LockerGoga使用包含惡意文檔附件的網絡釣魚活動來感染系統。有效負載使用有效證書簽名，從而使它們可以繞過安全性。

目標受害者：歐洲的制造業公司，其中最著名的受害者是Norsk Hydro公司，攻擊導致該公司全球IT系統癱瘓。

Locky

Locky于2016年開始傳播，并使用類似于銀行惡意軟件Dridex的攻擊模式。據悉，Locky激發了包括Osiris、Diablo6在內的多個變種。

工作原理：向受害者發送一封帶有Microsoft Word文檔的電子郵件，聲稱為發票，其中包含惡意宏。一般情況下，Microsoft會禁用宏，但如果啟用了宏，則文檔會運行宏，并下載Locky(Dridex也使用相同的技術來竊取帳戶憑據)。

目標受害者：早期針對醫院，后期沒有針對性。

歸因：Locky背后的網絡犯罪組織疑似隸屬于Dridex背后的組織。

Maze

Maze是一個相對較新的勒索軟件組織，于2019年5月被發現。如果受害者不支付解密費用，它就會向公眾發布被盜數據。2020年9月，Maze宣布將關閉其運營。

工作原理：Maze攻擊者通常使用可以通過網絡釣魚活動來猜測或獲取有效憑據，遠程進入網絡。然后，該惡意軟件會使用開源工具掃描網絡，以發現漏洞。接著會在整個網絡中橫向移動，以尋找更多可用于特權升級的憑據。找到域管理員憑據后，就可以訪問和加密網絡上的任何內容。

目標受害者：遍及全球所有行業。

歸因：擁有共同專長的多個犯罪集團，而非單一團伙。

Netwalker

Netwalker自2019年以來一直活躍，它使用雙重威脅，即扣留解密密鑰和出售或泄露被盜數據。然而，在2021年1月下旬，美國司法部宣布了一項全球行動，擾亂了Netwalker的運作。

工作原理：從技術角度來看，Netwalker是相對普通的勒索軟件，利用網絡釣魚電子郵件獲得據點，對數據進行加密和滲漏，并發送贖金要求。據悉，該公司發布被盜數據的方法是將數據放在暗網上的受密碼保護的文件夾中，然后公開釋放密鑰。

目標受害者：醫療保健和教育機構

歸因：由Circus Spider運營

NotPetya

首次出現于2016年，實際上是數據破壞惡意軟件(“刮水器”)，但其偽裝成了勒索軟件。

工作原理：NotPetya與Petya類似，都會加密文件并要求以比特幣支付贖金。但不同的是，Petya要求受害者點擊惡意郵件，從而啟動惡意軟件并獲取管理員權限，但NotPetya可以在沒有人工干預的情況下進行傳播。

最初的感染媒介似乎是通過MEDoc中植入的后門程序實現的，該文件幾倍被所有烏克蘭公司使用。攻擊者通過Medoc服務器感染了計算機之后，使用多種技術的NotPetya也可以感染到其他計算機，包括 EternalBlue和EternalRomance。它甚至還可以利用Mimikatz在受感染機器的內存中查找網絡管理憑據，然后使用Windows PsExec和WMIC工具遠程訪問并感染本地網絡上的其他計算機。

目標受害者：集中在烏克蘭

歸因： 俄羅斯GRU內的Sandworm小組

Petya

Petya惡意軟件的初始版本于2016年3月開始傳播。這個名字來自于1995年007電影《黃金眼》中的一顆衛星。而一個疑似該惡意軟件作者的推特賬號使用了扮演反派的演員艾倫-卡明的照片作為頭像。

工作原理：Petya通過一封聲稱是求職者簡歷的郵件發送，其中包含兩個文件：一個年輕男子的圖像和一個可執行文件。當受害者點擊該文件時，Windows用戶訪問控制警告會告訴他們，該可執行文件將對計算機進行更改。一旦受害者接受更改，惡意軟件就會加載，然后通過攻擊存儲介質上的低級結構拒絕訪問。

目標受害者：任何Windows系統都是潛在的目標，但烏克蘭是這次攻擊的重災區。

歸因：未知

Purelocker

在2019年發現的PureLocker RaaS平臺，目標是運行Linux或Windows的企業生產服務器。因為它是用PureBasic語言編寫的，因此得名。

工作原理：PureLocker依靠more_eggs后門惡意軟件獲得訪問權，而非釣魚嘗試。攻擊者針對已經被入侵的計算機，有選擇地對數據進行加密。

目標受害者：只有少數犯罪團伙能夠負擔得起PureLocker的費用，因此更針對高價值目標。

歸因：惡意軟件即服務提供商可能是PureLocker的幕后黑手。

RobbinHood

RobbinHood是使用EternalBlue的勒索軟件變體。

工作原理：RobbinHood最獨特的地方在于其有效載荷如何繞過終端安全。它有五個部分：殺死安全產品的進程和文件的可執行文件、部署有簽名的第三方驅動和惡意的無簽名內核驅動的代碼、有漏洞的舊版本Authenticode-signed驅動、殺死內核空間的進程和刪除文件的惡意驅動，以及一個包含要殺死和刪除的應用程序列表的文本文件。

目標受害者：Baltimore和Greenville的地方政府是重災區。

歸因：未知

Ryuk

Ryuk于2018年8月首次出現，是基于2017年在地下網絡犯罪論壇上出售的一個名為Hermes的舊勒索軟件程序開發的。

工作原理：通常與TrickBot等其他惡意軟件結合使用。Ryuk運營團伙以使用手動黑客技術和開源工具在專用網絡中橫向移動，并在啟動文件加密之前獲得盡可能多的系統管理訪問權而聞名。

一般Ryuk攻擊者要求受害者支付高額贖金，即15至50比特幣(約100,000至500,000美元) 。

目標受害者：企業、醫院和政府組織

歸因：最初歸因于朝鮮拉撒路集團(Lazarus Group)，該集團在2017年10月使用Hermes攻擊中國臺灣遠東國際銀行(FEIB)。后期Ryuk被認為是一個俄語網絡犯罪集團所創造，他們同樣獲得了Hermes的訪問權限。此外，Ryuk運營團伙也經營TrickBot。一些研究人員認為，Ryuk可能是Hermes的原作者或CryptoTech旗下的作者創建的。

SamSam

SamSam自2015年以來活躍至今，主要針對醫療保健組織，并在接下來的幾年中大幅提升。

工作原理： SamSam的控制器探測預選目標的弱點，利用從IIS到FTP到RDP的一系列漏洞。一旦進入系統，攻擊者就會升級特權，以確保在開始加密文件時，攻擊具有極大的破壞性。

目標受害者：醫療保健和政府組織

歸因：最初被認為起源于東歐。2018年底，美國司法部起訴兩名伊朗人，聲稱是他們是攻擊的幕后黑手。

SimpleLocker

2014年出現的SimpleLocker是第一個廣泛針對移動設備(尤其是Android設備)的勒索軟件。

工作原理：當受害者下載惡意應用程序時，SimpleLocker會感染設備。隨后，惡意軟件會在設備的SD卡上掃描某些文件類型，并進行加密。最后，顯示贖金和有關付款方式的說明。

目標受害者：由于贖金票據是俄文并要求以烏克蘭貨幣付款，因此推測攻擊者最初的目標是該地區。

歸因：由開發其他俄羅斯惡意軟件(例如SlemBunk和GM Bot)的同一位黑客編寫的。

Sodinokibi/REvil

Sodinokibi是一個RaaS平臺，于2019年4月首次出現，并在2019年除夕關閉了英國貨幣兌換服務Travelex。該勒索軟件與GandCrab有關，并且代碼不在俄羅斯和幾個鄰國以及敘利亞執行。

工作原理：Sodinokibi以多種方式傳播，包括利用Oracle WebLogic服務器或Pulse Connect Secure 虛擬專用網中的漏洞 。它的目標是微軟Windows系統，并對除配置文件外的所有文件進行加密。如果受害者不支付贖金，他們的敏感數據將被出售或公布在地下論壇上。

目標受害者：其所排除地區以外的全球不同組織。

歸因： Sodinokibi在GandCrab關閉后嶄露頭角。一名據稱是該集團成員的人，證實該勒索軟件是建立在一個舊的代碼庫之上。

TeslaCrypt

TeslaCrypt是Windows勒索軟件木馬，2015年首次出現，主要針對計算機游戲玩家。2016年5月，開發者關閉了運營并發布了主密鑰。

工作原理：在受害者訪問了運行漏洞工具包的黑客網站之后，TeslaCrypt會查找并加密游戲文件，如游戲保存、錄制的重播和用戶配置文件。然后索要價值500美元的比特幣來解密文件。

目標受害者：電腦游戲玩家

歸因：未知

Thanos

Thanos出現在2019年末，是第一個使用RIPlace技術，可以繞過大多數反勒索軟件策略的勒索軟件。

工作原理：Thanos一般在地下論壇和其他封閉渠道發布廣告，作為一個定制的工具，其附屬機構使用它來創建勒索軟件有效載荷。目前Thanos提供的許多功能都是為了逃避檢測而設計的，其開發人員也已經發布了多個版本，如增加了禁用第三方備份、刪除Windows Defender簽名文件、使響應團隊更難進行取證的多個功能。

目標受害者：All

歸因：未知

WannaCry

由于美國國家安全局(NSA)開發的永恒之藍漏洞被黑客竊取，2017年5月，WannaCry蠕蟲通過計算機網絡迅速傳播，感染了數百萬臺Windows電腦。

工作原理： WannaCry由多個組件組成，以dropper的形式到達受感染的計算機。dropper作為一個自帶程序，可以提取嵌入自身的其他應用組件，包括：加解密的應用程序、包含加密密鑰的文件、Tor的副本 。

一旦啟動，WannaCry將嘗試訪問硬編碼的URL。如果不能，它將繼續搜索和加密重要格式的文件，包括Microsoft Office文件、MP3和MKV。然后顯示贖金通知，要求比特幣解密文件。

目標受害者：攻擊影響了全球范圍的公司，但在醫療保健、能源、運輸和通訊領域的企業受到的打擊更為嚴重。

歸因：朝鮮的拉撒路集團(Lazarus Group)。

WastedLocker

WastedLocker是最近出現的一種勒索軟件，于2020年5月開始攻擊。該勒索軟件相對復雜，且其創造者以索要高額勒索費而聞名。

工作原理：該惡意軟件使用基于JavaScript的攻擊框架SocGholish，該框架在一個感染的網站上以虛假更新的方式，通過ZIP文件形式進行分發 。一旦激活WastedLocker，然后下載并執行PowerShell腳本和一個名為Cobalt Strike的后門。該惡意軟件就會探索網絡，并部署工具以竊取憑證并訪問高價值系統。最后使用AES和RSA加密技術對數據進行加密。

目標受害者：最有可能支付高贖金的高價值目標，主要在北美和西歐。

歸因：知名的犯罪團伙Evil Corp。

WYSIWYE

WYSIWYE(所看到的就是所加密的)是針對Windows系統的RaaS平臺，于2017年被發現。

工作原理：在網絡上掃描打開的遠程桌面協議(RDP)服務器，然后使用弱憑據執行登錄嘗試。購買所見即所得服務的犯罪分子一般可以選擇要加密的文件類型以及加密后是否刪除原始文件。

掃描web查找開放式遠程桌面協議(RDP)服務器，然后使用默認或弱憑據執行登錄嘗試，以訪問系統并在網絡中移動。購買WYSIWYE服務的犯罪分子可以選擇要加密的文件類型，以及加密后是否刪除原始文件。

目標受害者：最初出現在德國、比利時、瑞典和西班牙。

歸因：未知

Zeppelin

Zeppelin首次出現在2019年11月，是Vega或VegasLocker RaaS產品的后代，據悉該勒索軟件使俄羅斯和東歐的會計公司蒙受了損失。

工作原理：Zeppelin擁有豐富的功能(尤其是在可配置性方面)，該勒索軟件可以通過多種方式部署，包括作為EXE、DLL或PowerShell加載程序進行部署，不過它的一些攻擊仍然是通過被入侵的托管安全服務提供商來實現的。

目標受害者：Zeppelin比Vega更具針對性，即不在俄羅斯、烏克蘭、白俄羅斯或哈薩克斯坦運行的計算機上執行，更多針對北美和歐洲的醫療保健及技術公司。

歸因：疑似來自俄羅斯的攻擊者通過Vega的代碼庫開發了Zeppelin。

參考來源：csoonline