十类典型勒索软件家族

  2017年Petya大规模爆其表现与“魔窟”（WannaCry）很类似，但破坏性更大，全球多国都有遭受Petya攻击的案例。后来根据安全技术人员调查，Petya也是通过“永恒之蓝”漏洞发动进行攻击和传播。

  “永恒之蓝”漏洞修复后不久，NotPetya现身。虽然它源于Petya，但从攻击方式到破坏力，都有了非常大的提升。它利用了一个能够远程控制其他系统的工具PsExec进行传播。NotPetya可以在其他电脑上远程执行恶意代码进行感染，如果一台受感染计算机拥有网络的管理员权限，那么这个网络中的所有电脑都会被感染。

  更重要的是，NotPetya不但可以攻击一些老旧的操作系统漏洞，就连打了补丁的Windows 10系统也能够直接进行传播，威胁指数急剧上升。

  2017年5月，WannaCry在全球大规模爆发，其制造者利用“永恒之蓝”漏洞进行传播，通过恶意代码打开微软基于445端口，进而传播扩散的SMB漏洞MS17-010，实现远程代码执行。

  据了解，“永恒之蓝”原本是美国国家安全局（NSA）“武器库”中的工具，它利用Windows系统的SMB漏洞能获取系统最高权限，但却因不慎被泄漏成为了不法分子利用的武器。

  后来据统计，此次事件至少造成了全球150多个国家约30万台设备受到感染，爆发后仅3天内就造成了高达80亿美元的经济损失。

  注：在“魔窟”（WannaCry）重大勒索攻击响应过程中，安天率先发布全网首篇长篇分析报告《安天紧急应对新型“蠕虫”式勒索软件“wannacry”全球爆发》[3]，快速提供了专杀免疫工具，提供了周一开机指南，向政企机构分发了数千张应急响应处置光盘，后又研发了基于内存密钥获取的解密工具等，获得多个主管部门好评[2]。

  GlobeImposter首次出现于2017年，通过垃圾邮件、远程桌面协议（RDP）暴力破解（以下简称“RDP暴力破解”）和恶意软件等方式来进行传播。为了更好的提高加密速度，GlobeImposter使用了对称加密算法AES加密文件，并用本地生成的RSA公钥，将AES算法的密钥加密。其开发者也在黑客论坛中开启了RaaS（勒索即服务）模式。

  GlobeImposter勒索软件家族已然浮现了许多变种版本，包括十二主神系列和十二生肖系列等版本[5]。

  GandCrab于2018年1月首次被发现，短短数月便历经3个版本的更迭，并快速地发展成为2018年第三大流行勒索软件家族。此后GandCrab又出现了多个变种，感染范围进一步扩大。

  GandCrab家族主要是通过RDP暴力破解、钓鱼邮件、捆绑恶意软件、僵尸网络以及漏洞利用传播。其本身不具有蠕虫传播能力，但会通过枚举方式对网络共享资源进行加密，同时攻击者往往还会通过内网人工渗透方式，利用口令提取、端口扫描、口令爆破等手段对其他主机进行攻击。

  GandCrab团伙曾在2021年7月短暂解散过一段时间，并公开了旧版本的解密密钥；但两个多月后，该团队部分成员卷土重来，继续制作新的变种。2021年11月4日，一名GandCrab成员在科威特被捕。在此之前，曾有GandCrab的RaaS会员在韩国被捕[7]。

  Ryuk最早于2018年出现，是一种通过大规模垃圾邮件活动以及漏洞利用工具包进行传播的家族。Ryuk的前身是Hermes勒索软件家族，它是由黑客组织GRIM SPIDER幕后操作运营，GRIM SPIDER是一个网络犯罪集团，至今一直活跃。

  Ryuk的攻击目标大多分布在在大中型企业，其目的自然是索要巨额赎金。譬如：2019年6月11日，Bonfiglioli公司遭到Ryuk勒索攻击，要求赎金高达2400万欧元；到了2020年，有数个大型工控企业包括钢铁、采矿、工业建筑等行业受到Ryuk勒索软件攻击，导致企业部分服务器瘫痪、系统下线]。

  最早这款勒索软件被称为Sodinokibi，后来国外有一些安全研究人员基于Sodinokibi的解密工具又称这款勒索软件为REvil勒索软件，于是这款勒索软件就有两个名字。

  2019年，REvil出现时被视作GandCrab的继任者，因为根据一些安全专家的研究，REvil与GandCrab在功能上有着许多相似之处。REvil早期同样以邮件、伪装Flash插件等形式入侵，后来又新增了“多重勒索”手段。

  作为勒索软件领域最臭名昭著的家族之一，REvil的攻击目标通常是企业，尤其是大规模的公司，索要的金额从几百万美元到上千万美元不等。譬如：2021年7月2日，REvil使用Kaseya零日漏洞，攻击了全球60家托管服务提供商和1500多家企业。在成功加密企业数据后，REvil要求受害者支付高达7000万美元的巨额赎金，以换取解密密钥，并保证不会曝光数据。

  2021年11月8日，欧洲刑警组织发布的一份声明显示，罗马尼亚当局于11月4日逮捕了两名涉嫌与REvil有所关联的人士。此外，今年上半年还有另外三名REvil团伙嫌疑人落入法网，因此目前共有五人被缉拿归案[11]。

  DoppelPaymer最早于2019年6月被发现，主要是通过RDP暴力破解和垃圾邮件进行传播，邮件附件中带有一个自解压文件，运行后释放勒索软件程序并执行。

  LockBit最早被发现于2019年9月，主要是通过RDP暴力破解进行传播侵入，2021年发布了2.0版本。攻击者通进入系统后会首先使用网络扫描器找到域控制器，得到域控制器权限后通过横向渗透释放并运行勒索软件。LockBit采用AES+RSA加密算法组合的形式加密文件，目前被加密的文件暂无法解密。

  LockBit会在受感染的组织内进行自我传播，而无需人工定向，还可以做到在几个小时内影响一个公司的网络，并部署勒索软件加密数百台设备；LockBit还可以更改系统的桌面背景、唤醒离线设备、通过联网打印机反复打印勒索信以引起受害者的注意。

  同时，LockBit组织声称提供“全世界”最快的加密和文件窃取(StealBit)工具，一般的情况下，可以在20分钟内窃取100GB的文件，并上传到云端。

  Avaddon首次出现在2020年6月，由来自俄罗斯的某地下黑客论坛出售，由C++语言编写，采用RSA-2048和AES-256加密算法对文件进行加密。在安全研究人员于2021年2月发布了公开解密器后，Avaddon组织者又迅速支持其合作成员进行了更新。从那时起，Avaddon的活动激增，其开发者正在积极地为这个活跃的RaaS（勒索即服务）平台研发下一代工具。

  2021年5月，保险巨头安盛位于泰国、马来西亚、中国香港、菲律宾的分公司遭受Avaddon勒索攻击。Avaddon在其数据泄露网站上称，已经从安盛亚洲业务中窃取3TB的敏感数据，包括客户的医疗报告、身份证复印件、银行账户报表、索赔表格、付款记录、合同信息等。

  Avaddon的传播方式多种多样，前期主要是通过垃圾邮件附件JS/PowerShell恶意脚本等无文件技术进行传播，后期则通过Phorpiex僵尸网络进行传播；同时安全技术人员还发现，该勒索软件通过垃圾邮件附带Excel 4.0宏恶意代码进行传播。

  DarkSide组织开发的勒索软件于2020年8月首次出现，具有RaaS（勒索即服务）模式，即除DarkSide自运营外，还存在别的的合作攻击者。

  DarkSide勒索软件采用多线程等技术加密，加密速度较快，加密相同文件的用时较少；此外，DarkSide可以感染Windows和Linux系统。DarkSide采用“窃密+勒索”的组合形式对受害者发起攻击，这在某种程度上预示着攻击者不仅会加密数据，而且还会以窃取的数据威胁受害者：如果不支付赎金就将其数据公开。

  DarkSide的组织者会在发起攻击前评估企业的财力，然后再决定勒索的金额。2020年8月10日，该组织在其暗网论坛中声明，根据他们的“组织原则”，医疗、教育、殡葬、非营利团体及政府等机构不在他们的攻击范围内。

  当地时间2021年11月4日，美国国务院宣布最高悬赏1000万美元，奖励任何“能够识别或定位在DarkSide勒索软件跨国有组织犯罪集团中担任关键领导职务者”的信息。原因有可能是该组织在2021年5月发动的针对美国最大成品油管道运营商Colonial Pipeline的攻击，该攻击导致了美国东部沿海主要城市输送油气的管道系统被迫下线]

  本篇主要对部分勒索软件家族情况做介绍，实际上各式各类的勒索软件及其相关变种还有很多；今年7月，美国联邦调查局(FBI)的官员就曾表示，该机构正在追踪的活跃勒索软件团伙就有超过100多个；而网络安全公司Emsisoft的分析师也指出，被研究人员发现的勒索软件团伙已有超过1000个返回搜狐，查看更加多