勒索軟件的加密方式通常包括對稱加密、非對稱加密和混合加密，這些方式在勒索軟件中都有可能被采用。加密趨勢方面，隨著技術的不斷發展和攻擊者的不斷創新，勒索軟件的加密方式也在不斷演變和變化。加密趨勢方面，隨著加密技術的不斷發展和加密算法的更新換代，勒索軟件的加密方式也在不斷演進。攻擊者可能會嘗試使用更高級的加密算法或者將多種加密方式組合使用，以增加加密的復雜度和安全性，使得受害者更難以解密文件而被迫支付贖金。

此外，隨著量子計算等新技術的發展，未來加密方式可能面臨新的挑戰和變革。因此，加密技術和勒索軟件的加密方式都需要不斷關注和研究，以應對不斷變化的威脅。

一、基礎加密  

基礎加密是指以一種極其簡單的運算方式來修改原始文件的數據，而沒有特定數學算法參與，比較典型的方式比如異或運算、加法運算、減法運算或者結合起來使用，最初的勒索軟件由于技術水平不成熟，加密算法技術未普及等諸多原因會使用這種運算符操作數據的方式修改文件的數據，解密這樣的文件只需要進行運算符暴力枚舉，文件數據碰撞或者逆向勒索軟件運算時使用的密鑰就能直接對數據內容進行還原    

二、對稱加密  

對稱加密算法在勒索軟件中常用的包括AES（Advanced Encryption Standard）、Blowfish和DES（Data Encryption Standard）等。其中，AES是目前最為流行和廣泛使用的對稱加密算法之一。

勒索軟件隨技術發展強化加密手段，初期依賴對稱加密算法（AES、DES、3DES、RC4、Salsa20、TEA等），其特點為使用單一密鑰完成加密與解密，雖加密快速，但密鑰易泄漏且可能通過文件分析或逆向工程找回。部分攻擊者選擇將對稱密鑰遠程發送至服務器并刪除本地記錄，此舉雖提高解密難度，但也令服務器成為攻擊目標，增加風險。

1.對稱加密算法

DES（Data Encryption Standard）：這是一種早期的對稱加密標準，但因其密鑰長度較短（56位），對于現代計算機來說破解相對較易，所以目前較少被新型勒索軟件直接采用。

3DES（Triple DES）：為增強DES的安全性而設計，通過三次DES運算進行加密，有效密鑰長度達到168位，安全性有所提升。不過，由于計算效率問題以及AES的普及，3DES在勒索軟件中的應用也逐漸減少。

AES（Advanced Encryption Standard）：是最常見的對稱加密算法之一，以其高效性和足夠的安全性（密鑰長度可選128位、192位或256位）受到廣泛認可。眾多勒索軟件如WannaCry、CryptoLocker、LockerGoga等都采用了AES算法。    

2.具體實現過程及原理

AES加密過程中涉及到密鑰調度、輪密鑰生成、SubBytes、ShiftRows、MixColumns和AddRoundKey等操作。這些步驟循環執行多輪，最終得到加密后的數據。

（1）實現原理

AES算法采用固定的塊大小（128位），并支持不同的密鑰長度（128位、192位或256位）。AES算法通過替代、置換和線性變換等操作來混淆和擾亂數據，從而實現強大的加密保護。

（2）實現過程

密鑰調度：根據輸入的密鑰生成每一輪加密需要的輪密鑰。

SubBytes：將字節替換為另一個字節，通過S盒來實現。

ShiftRows：按照特定規則對行進行移位。

MixColumns：對列進行線性變換。

AddRoundKey：將輪密鑰與數據進行按位異或操作。

3.勒索軟件中對稱加密的應用

（1）勒索軟件侵入受害者系統后，會生成一個隨機的對稱密鑰（AES密鑰為例）。

（2）使用該密鑰通過AES加密算法對受害者的敏感文件進行加密，使得未經解密無法訪問文件內容。

（3）加密完成后，通常會將密鑰信息通過非對稱加密的方式（如RSA）加密，并上傳至攻擊者服務器或者保存在本地加密文件中。    

（4）然后向受害者展示勒索通知，要求支付贖金以換取解密密鑰。

（5）受害者支付贖金后，攻擊者提供私鑰用于解密之前用RSA加密過的AES密鑰。

（6）受害者使用解密后的AES密鑰對文件進行解密恢復。

整個過程中，對稱加密算法用于快速大量地加密用戶文件，而非對稱加密則用于保證對稱密鑰的安全傳輸。

三、非對稱加密  

非對稱加密算法（公鑰加密）不同于對稱加密，需一對密鑰：公鑰公開用于加密，私鑰保密僅作解密。攻擊者利用公鑰嵌入勒索軟件加密文件，私鑰緊握手中，導致無私鑰即難以解密。盡管非對稱加密較慢，勒索軟件結合兩者優勢：快速使用對稱算法加密文件，再用非對稱算法加密對稱密鑰，實現安全與效率兼顧。RSA與ECC是非對稱加密在勒索軟件中的主流選擇。

1.非對稱加密算法簡介

非對稱加密算法，又稱公鑰加密算法，是一種現代密碼學的重要組成部分，其基本思想在于使用一對密鑰而非單個密鑰進行加密和解密操作。這一對密鑰具有互不相同但相互關聯的特性：

公鑰（Public Key）：任何人都可以獲得并使用此密鑰。公鑰可以用于加密數據，也可以用于驗證數字簽名，但不能用于解密由相應私鑰加密的內容。    

私鑰（Private Key）：與公鑰一一對應，但必須嚴格保密，只有擁有私鑰的實體才能對其進行解密操作，或者對數據進行簽名以證明數據的真實性和完整性。

（1）非對稱加密的主要流程

當一方（比如Alice）想向另一方（比如Bob）發送加密信息時，Bob會將自己的公鑰提供給Alice。

Alice使用Bob的公鑰對消息進行加密，加密后的消息只能由Bob持有的私鑰解密。

同樣，Bob也可以用自己的私鑰對消息進行簽名，Alice收到后使用Bob的公鑰驗證簽名，確認消息確實來源于Bob且未經篡改。

（2）非對稱加密算法的優點

安全性高：即使公鑰被截獲，由于缺乏對應的私鑰，攻擊者也無法解密信息。

密鑰分配方便：無需預先建立安全通道就能分享公鑰，解決了對稱加密中密鑰交換的安全問題。

（3）常見的非對稱加密算法包括

RSA（Rivest-Shamir-Adleman）

ECC（Elliptic Curve Cryptography）

DSA（Digital Signature Algorithm）

ElGamal加密算法

2.勒索軟件中非對稱加密的應用

勒索軟件經常采用非對稱加密技術來加密受害者的數據，以確保除非支付贖金得到解密密鑰，否則數據無法解密。其中，RSA是最著名的非對稱加密算法之一，被多種勒索軟件所采用，例如CryptoLocker、WannaCry、NotPetya、REvil（Sodinokibi）和LockBit等。    

非對稱加密在勒索軟件中的實現過程和原理大致如下：

（1）感染階段

勒索軟件首先入侵受害者的計算機系統。

（2）密鑰生成

勒索軟件會在受害者的設備上生成一個隨機的對稱密鑰（如AES密鑰），這個密鑰用于快速高效地加密受害者的文件。

（3）文件加密

使用上述對稱密鑰通過AES等對稱加密算法加密受害者的重要文件，確保數據無法直接讀取。

（4）非對稱加密保護對稱密鑰

為了避免對稱密鑰在本地被找到和使用，勒索軟件接著會使用非對稱加密算法（如RSA）加密這個對稱密鑰。攻擊者擁有非對稱加密算法的一對密鑰，其中公鑰會被嵌入到勒索軟件中，私鑰則保留在攻擊者手中。勒索軟件使用公鑰加密對稱密鑰后，將其存儲在受害者的計算機上或是通過網絡發送給攻擊者。

（5）支付贖金與解密

受害者收到勒索通知，被告知要支付贖金以獲取私鑰。支付贖金后，攻擊者提供私鑰，受害者用這個私鑰解密之前用RSA加密過的對稱密鑰。最后，受害者使用解密出來的對稱密鑰對被加密的文件進行解密。    

這樣，即便受害者獲得了加密后的文件和加密對稱密鑰，但在沒有攻擊者的私鑰的情況下，仍然無法解密原始文件。同時，由于非對稱加密的特性，攻擊者可以在不泄露私鑰的情況下向多個受害者傳播他們的公鑰，實施大規模的勒索攻擊。

四、混合加密類  

混合加密通常是指結合了對稱加密和非對稱加密兩種加密技術的方案，以便利用各自的優勢：對稱加密算法速度快，適合大量數據加密；而非對稱加密算法提供了安全的密鑰交換機制。在實際應用中，常見的混合加密流程可能包括以下步驟：

（1）對稱加密算法（如AES）生成一個會話密鑰（Session Key）用來加密數據。

（2）非對稱加密算法（如RSA）則用于加密這個會話密鑰，確保即使在傳輸過程中密鑰被盜也不會導致數據泄露。

（3）發送方用接收方的公鑰加密會話密鑰，并將加密后的會話密鑰和使用該會話密鑰加密的數據一同發送給接收方。

（4）接收方收到數據后，用自己的私鑰解密出會話密鑰，然后使用這個會話密鑰解密原始數據。

1.采用混合加密的勒索軟件    

在勒索軟件領域，許多惡意軟件也采用了混合加密策略來加密受害者的文件，例如CryptoLocker、WannaCry、NotPetya、REvil（Sodinokibi）、LockBit、Cerber、GandCrab、DarkSide等

2.勒索軟件實現混合加密過程

（1）勒索軟件會在受害者的計算機上生成一個隨機的對稱密鑰（如AES密鑰）。

（2）使用這個對稱密鑰對受害者的所有敏感文件進行快速加密。

（3）勒索軟件生成一個非對稱密鑰對（比如RSA密鑰對）或者從其服務器獲取公鑰。

（4）使用公鑰加密剛才生成的對稱密鑰，并將加密后的對稱密鑰保存在本地或上傳至攻擊者的服務器。

（5）向受害者顯示勒索通知，聲稱只有通過攻擊者提供的私鑰才能解密那個對稱密鑰，進而解密所有被加密的文件。

通過這種方式，勒索軟件既保證了數據加密的速度，又利用了非對稱加密的強安全性，使得攻擊者可以在保持私鑰保密的前提下，迫使受害者付費獲取解密密鑰。

3. RSA+Salsa20混合加密實例

現代勒索軟件不會使用單一加密手段對文件進行直接加密，那樣的方式要么是效率十分低下，要么是安全性不足，在這種情況下混合加密成為了勒索軟件主流的運用手法，以GandCrab的RSA+Salsa20為例，RSA公鑰用于加密第一個salsa20的Key和Iv ，之后使用第一個salsa20加密程序生成的RSA私鑰    

使用程序RSA公鑰加密第二個salsa20的Key和Iv，之后使用第二個Salsa20算法來加密磁盤文件

被加密的文件隱藏著能夠解密文件的salsa20密鑰，但是這將需要作者的RSA私鑰才能夠進行解密，使用兩次RSA的好處是作者不需要暴露自己的私鑰，交給用戶一個程序生成的RSA私鑰來針對不同的受害機器執行單獨解密的操作。    

參考文章：

https://xz.aliyun.com/t/13044?time__1311=mqmxnDBDu7qqlxGgx%2BxCq%3D8xcergAqx