1、 1 勒索软件综合报告 北京瑞星网安技术股份有限公司 2 总述 本报告由北京瑞星网安技术股份有限公司发布，综合瑞星安全研究院的数据及资料进行收集和整理，针对勒索软件的历史、分类、加密技术、主要攻击手法、典型家族等内容进行统计和详细分析，提出相应防范建议，并对勒索软件的未来发展趋势提出观点，以供给广大用户作为参考。3 目录 一、勒索软件的历史.4 二、勒索软件的分类.6 1.加密勒索软件.6 2.锁定屏幕勒索软件WinLocker.6 3.主引导记录（MBR）勒索软件.7 4.勒索软件加密 Web 服务器.7 三、勒索软件的加密技术分类.8 1.基础加密.8 2.对称加密.8 3.非对称加密.9

2、 4.混合加密技术.9 四、勒索软件的主要攻击手法.10 1.RDP 爆破.10 2.钓鱼邮件.12 3.漏洞攻击.12 五、勒索软件的典型家族分类.14 1.CrySiS.14 2.WannaCry.14 3.GlobeImposter.15 4.Phobos.16 5.GandCrab.16 6.LockBit.17 7.Maze.17 8.DarkSide.18 9.Makop.19 10.BlackCat.19 11.Hive.20 12.BlackBasta.20 六、针对勒索软件的防范建议.21 1.针对 RDP 弱口令攻击的防范建议.21 2.针对钓鱼邮件攻击的防范建议.22 3

3、.针对系统漏洞攻击的防范建议.22 七、总结/趋势.22 附：2021 年-2022 年勒索软件攻击事件.23 一、2021 年 1-12 月勒索软件攻击事件.23 二、2022 年 1-7 月勒索软件攻击事件.37 4 一、勒索软件的历史 1989 年：第一个已知的勒索软件名 AIDS（PC Cyborg），由哈佛大学毕业的 Joseph Popp创建。这是一种替换 AUTOEXEC.BAT 文件的特洛伊木马程序，当潜伏 AIDS 的计算机启动次数到达第 90 次时，会隐藏目录并加密驱动器 C:上的所有文件的名称（是系统无法使用），随后会要求用户“更新许可证”并联系 PC Cyborg Co

4、rporation 付款（将 189 美元寄到巴拿马的一个邮政信箱内）。作者称其非法所得费用用于艾滋病研究。2005 年：出现了一种加密用户文件的木马（Trojan/Win32.GPcode）。该木马在被加密文件的目录下生成，具有警告性质的 txt 文件，要求用户购买解密程序。所加密的文件类型包括：.doc、.html、.jpg、.xls、.zip 及.rar。2006 年：首次出现使用 RSA 加密算法的勒索软件 Archievus，RSA 是一种非对称加密算法，让加密的文档更加难以恢复。同年，国内出现首个勒索木马 Redplus，该木马会隐藏用户文档和包裹文件，然后弹出窗口要求用户将赎金汇

5、入指定银行账号。2011 年：出现模仿 Windows 产品激活通知的勒索软件蠕虫。2013 年：广为人知的勒索软件 CryptoLocker 出现，其通过受感染的电子邮件附件分发，受害者可以通过比特币或 GreenDot MoneyPak 支付赎金，黑客威胁受害者如果未能在 72 小时内付款，将删除私钥无法进行解密。2015 年，勒索即服务(RaaS)出现，这种商业模式使得勒索攻击的发起者无需任何专业技 5 术知识就可以轻易地发起网络敲诈活动。勒索开发团队在这种模式下坐享其成，不需要直接对受害者发起攻击，而在 RaaS 中扮演服务供应商，提供客户需要的定制化攻击方案，为客户提供有限的攻击技术

6、支持从而赚取一部分佣金或分成。勒索即服务(RaaS)模式时至今日仍被推崇，这种低门槛的运作方式时常活跃在互联网背后的暗网交易平台里。图：可配置的勒索软件分发器 2016 年：被称为勒索软件元年，是国际网络范围中勒索软件活跃的首个鼎盛时期，据业内数据表明同比增长达 752%，Locky、Goldeneye、Crysis、CryLocker 等勒索软件所造成的损失超过 10 亿美元。2017 年：全球爆发著名的电脑勒索软件 WannaCry，涉及多达 150 个国家 7.5 万多台的电脑被感染，有 99 个国家遭受到直接攻击，其中包括英国、美国、中国、俄罗斯、西班牙和意大利等。图：WannaCry