一文了解勒索軟件---黑客組織的主要盈利方式-ODAILY_比特幣

2021年6月，巴西肉類加工巨頭JBSSA美國子公司JBSUSAHoldings遭受勒索軟件攻擊，導致公司負責加工全美近五分之一肉類供應量的多家工廠被關閉，該公司隨后向犯罪分子支付了價值1100萬美元的比特幣贖金，以解決被攻擊事件。

近年來，勒索軟件攻擊事件頻發，計算機被劫持除了會對個人造成損失還可能會破壞能源、電力等領域的關鍵基礎設施，危及社會公共安全。

據2020年虛擬貨幣犯罪統計顯示，2020年勒索攻擊案件超140起，案件數量對比2019年增長了近兩倍，向勒索軟件支付的虛擬貨幣贖金超過4.16億美元。

勒索軟件的前世今生

勒索軟件，又稱勒索病，是一種特殊的惡意軟件，與其他病最大的不同在于攻擊手法和中方式，部分勒索軟件僅是單純地將受害者的電腦鎖起來，而也有部分勒索軟件會系統性地加密受害者硬盤上的文件，所有的勒索軟件都會要求受害者繳納贖金以取回對電腦的控制權，或是取回受害者根本無從自行獲取的解密密鑰以解密文件。

1、起源

1989年，世界上出現了首例勒索軟件，名為“艾滋病信息木馬”，其開發者是1989年獲得哈佛大學博士學位名為約瑟夫·波普的生物學家，他向世界衛生組織艾滋病會議的參加者分發了20,000張受到感染的磁盤，并且以"艾滋病信息-入門軟盤”命名，當軟盤被插入電腦，就會顯示以下消息:

美國總統參選人小羅伯特?肯尼迪譴責拜登提出的比特幣挖礦稅:5月4日消息，美國2024年總統參選人小羅伯特?肯尼迪 (Robert F. Kennedy Jr.) 譴責了拜登提出的30%比特幣挖礦稅，并回應了人們對加密貨幣的擔憂。肯尼迪在推特上表示：“比特幣等加密貨幣以及其他加密技術是主要的創新引擎。美國政府阻礙該行業并推動其他地方的創新是錯誤的。拜登提議對加密貨幣挖礦征收30%的稅不是一個好主意。能源使用雖然是一個問題（盡管有些夸大），但比特幣挖礦的能源消耗與電子游戲差不多，而沒有人呼吁禁止它們。環境方面的爭論是一個選擇性的借口，用來壓制任何威脅精英權力結構的東西，比如比特幣。一些人提倡嚴格控制加密貨幣以防止它們被犯罪分子使用。但想要隱私的不僅僅是罪犯。持不同政見者和普通公民也是如此。政府通過控制銀行賬戶和支付平臺來騷擾敵人并鎮壓異議。”[2023/5/4 14:42:34]

勒索信息要求用戶必須在巴拿馬的郵政郵箱向PCCyborgCorporation發送189美元，以解鎖訪問權限，歷史上第一款勒索病就此誕生。

2006年，國內出現了首款勒索軟件——Redplus勒索木馬，該木馬會隱藏用戶文檔，然后彈出窗口勒索贖金，金額從70-200元不等，但實際上用戶的文件并未丟失，只是被移動到一個具有隱藏屬性的文件夾中。

HALO已開放空投申領，現報0.38美元:3月6日，據相關頁面信息，HALO已開放空投申領。據行情數據，HALO已于18時開放交易，現報0.38美元。[2023/3/6 12:45:24]

2、發展

隨著08年比特幣的誕生，勒索軟件攻擊邁入新的發展階段——比特幣贖金階段，2013年下半年，出現了一種名為CryptoLocker的特洛伊木馬，是以勒索軟件的形式出現的惡意軟件，以Windows操作系統為主要攻擊目標。

通常通過郵件附件傳播，附件執行后會對特定類型的文件進行加密，之后彈出付款消息窗口。

勒索信息表示如果在規定的期限內支付比特幣贖金，就能夠解密這些文件，否則私人密鑰將會被銷毀，再也不能打開這些文件。

該惡意軟件還會提供一個由惡意軟件控制的線上服務提供解密，但要付出高額的比特幣。也就是從這款惡意軟件開始，黑客開始使用比特幣支付贖金。據消息稱，此惡意軟件為黑客組織帶來了近41000枚比特幣的收入。

3、爆發

2017年4月14日晚，黑客組織ShadowBrokers公布一大批網絡攻擊工具，其中包含“永恒之藍”工具，“永恒之藍”利用Windows系統的SMB漏洞可以獲取系統最高權限。

AavegotchiDAO周一投票支持推出Forge:金色財經報道，AavegotchiDAO的社區成員周一投票支持推出Forge，這是加密收藏品游戲的新升級，致力于改善Aavegotchi的可穿戴設備市場。正如其主頁所述，Aavegotchi是一個“開源、社區擁有的NFT游戲協議”，用戶可以在其中與Aavegotchi元宇宙進行交互，并將他們的NFT與Aave產生興趣的aTokens進行抵押。

現在通過的提案完全集中在可穿戴設備上，這是Aavegotchi協議的一項基礎資產，它為每個NFT幽靈提供了時尚的裝備，并有更好的機會在游戲中表現更好。根據升級的白皮書，Forge旨在通過標記可穿戴設備的不同經濟價值，為可穿戴設備市場引入更大的多樣性和實用性，從而使AavegotchiDAO能夠“精細地控制通貨膨脹并引入通貨緊縮機制，同時仍然創造新內容”。借助Forge，玩家可以通過熔煉不需要的可穿戴設備并將它們與新材料重新組合來創建新的可穿戴設備，從而進一步增加協議資產的可組合性。該提案背后的動機源于可穿戴設備二級市場價值和銷量的持續下降。[2023/2/14 12:05:02]

WannaCry鎖屏界面

5月12日，不法分子通過改造“永恒之藍”制作了WannaCry勒索病，在全球范圍感染電腦和服務器。五小時內，英國、俄羅斯、烏克蘭、西班牙、法國整個歐洲都遭遇攻擊，包括政府、銀行、電力系統、通訊系統、能源企業、機場等重要基礎設施都被波及，國內也有部分高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金才能解密恢復文件，造成嚴重損失。

數據：加密市場出現底部信號，但宏觀環境仍然不穩定:金色財經報道，市場情報平臺 IntoTheBlock 表示，盡管鏈上數據暗示加密資產熊市底部，但整體宏觀環境仍然不穩定。IntoTheBlock發現，長期比特幣持有者或擁有 BTC 至少一年的交易者的數量在 2022 年激增，并指出投資者階層以購買BTC在熊市期間并創造支撐位。此外，目前有一半的比特幣持有者處于虧損，最近幾次比特幣找到熊市底部就是這種情況。[2023/1/23 11:26:41]

4、平臺化

2015年，一款名為Tox的勒索軟件開發包在年中發布，通過注冊服務，任何人都可創建勒索軟件，管理面板會顯示感染數量、支付贖金人數以及總體收益，Tox的創始人收取贖金的20%，一些黑客將勒索軟件開源，任何人都可以操作和修改勒索軟件，其支付工具有比特幣，還有更難追蹤匿名幣。

5、多元化

近年來，一些酒店、企業或者醫院等“拖庫”事件頻發，黑客組織除了勒索遭受攻擊的企業外，一方面在暗網黑市上售賣竊取來的用戶隱私數據，以此來獲利；另一方面也勒索被泄露隱私的用戶，稱會大范圍傳播用戶的隱私，以此來恐嚇用戶獲取贖金。

勒索軟件的幾種形式

勒索軟件的攻擊形式多樣，主要可以分為：加密數據、鎖定系統、數據泄露、恐嚇用戶。

加密數據：這種形式最為多見，因為這種形式是受害群體數量最多、社會影響最廣的攻擊形式，攻擊者通常使用非對稱加密算法對被攻擊者系統內重要的數據、資料文檔等進行加密，如果沒有攻擊者的私鑰，無法解密被鎖定的文件。然后通知用戶想要打開資料數據，則必須通過支付虛擬貨幣來完成解密。

期權協議Lyra啟動針對Avalon版本的激勵計劃:8月4日消息，期權協議Lyra已于北京時間8月3日9:00啟動針對Avalon版本的激勵計劃，用戶可以通過質押LYRA代幣獲得stkLYRA，stkLYRA持有者將可以每年按比例分配1500萬枚stkLYRA的質押獎勵，并提升做市商Vault的獎勵。此外，Lyra的流動性提供者將在每14天的周期內分享3.75萬枚OP獎勵，該獎勵數量將取決于sUSD的份額以及stkLYRA帶來的獎勵提升。[2022/8/4 12:01:56]

鎖定系統：鎖定系統之后連系統都無法登錄，比如：篡改系統開機密碼，被攻擊者在沒有特定數字密鑰的情況下無法訪問服務器，攻擊者以此為要挾對用戶進行勒索。

2019年5月初，黑客就入侵并控制了美國馬里蘭州巴爾的摩市大約1萬臺政府電腦，并索要13個比特幣(價值10萬美元)，不過該市政府拒絕交付這一筆贖金，結果就是使得政府部門在沒有特定數字密鑰的情況下無法訪問服務器，政府公務員無法訪問他們的電子郵件帳戶，普通市民無法使用基本市政服務，包括交水費、財產稅和停車票等等。

數據泄漏：此類形式主要是針對酒店、企業、醫院等實施，黑客通過入侵系統竊取到企業內相關機密數據，要求企業支付一定的金額進行數據贖回，否則會在某一時間公開這批數據。

恐嚇用戶：主要通過對用戶的隱私進行攻擊，勒索者通過大量群發勒索郵件，利用社會工程學，攻擊人性弱點，聲稱自己已經入侵并控制了收件人的電腦，發現了不可告人的隱私秘密，如果不交付贖金就把你的秘密發到網上或者群發給你的好友，從而達到勒索錢財目的。

勒索軟件的傳播

勒索軟件正在快速地演變，融合了很多惡意軟件的傳播特性，新的勒索病能夠在企業中快速地傳播和感染整個網絡，對能夠訪問的各種數據進行加密，甚至很多企業因此造成了業務的中斷，這對企業的安全防御帶來了巨大的挑戰。

電子郵件

攻擊者通過發送電子郵件的形式傳播勒索軟件，這種電子郵件看起來與某些知名的機構、品牌或者社交網站的界面極度相似，減輕被攻擊者的戒備，攻擊者將惡意鏈接直接放在郵件中或者放在電子郵件的附件中，只要被攻擊者點擊了這個鏈接或打開了這個附件，包含勒索軟件的文件就會被自動下載、觸發。

案例：2019年3月11日起，境外某黑客組織對我國有關政府部門開展勒索病郵件攻擊。郵件內容為“你必須在3月11日下午3點向警察局報到！”，附件名為“03-11-19.rar”。

研究發現，該勒索病版本號為GANDCRABV5.2，是國內最活躍的勒索病之一，郵件傳播是他們最廣泛使用的傳播方式，而且由于使用了RSA+Salsa20的加密方式，受害用戶無法拿到病作者手中私鑰，無法解密。該病運行后將對用戶主機硬盤數據全盤加密，要求受害用戶繳納贖金。

網站和下載

用戶瀏覽受感染的網站并下載軟件，讓用戶誤以為這是一個真正的軟件，但它實際上是包含勒索病的勒索軟件。

案例：2016年，首個針對蘋果操作系統的勒索軟件KeRanger被發布，它通過已經遭受感染的TransmissionBitTorrent客戶端的安裝程序進行迅速傳播。在2016年3月4日和5日下載Transmission的MacOSX的用戶都有可能面臨該惡意軟件的威脅。

用戶一旦安裝該勒索軟件，KeRanger將會搜索大約300個不同的文件類型，并對其發現的任意文件進行加密。隨后，該勒索軟件會彈出要求受害者支付1比特幣贖金的勒索通知單，并要求被攻擊者通過暗網完成贖金支付。

利用漏洞傳播

攻擊者抓住很多人認為打補丁沒用還會拖慢系統的錯誤認識，從而利用剛修復不久或大家重視程度不高的漏洞進行傳播。

如果用戶未及時更新系統或安裝補丁，那么即便用戶未進行任何不當操作，也有可能在完全沒有預兆的情況下中勒索病。此類勒索軟件在破壞功能上與傳統勒索軟件無異，但因為傳播方式不同，導致更加難以防范，需要用戶自身提高安全意識，盡快更新有漏洞的軟件或安裝對應的安全補丁。

案例：WannaCry是一種“蠕蟲式”的勒索病軟件，大小3.3MB，由不法分子利用NSA泄露的危險漏洞“EternalBlue”進行傳播。

該病感染計算機后，會導致電腦大量文件被加密。受害者電腦被黑客鎖定后，病會提示支付當時價值約300美元的比特幣才可解鎖。

虛擬貨幣作為贖金

從技術層面上來看，我們不得不承認，勒索病和虛擬貨幣二者的結合非常完美，在虛擬貨幣被廣泛使用之前，病的制造者想通過勒索病直接獲利并不是太容易的事情，他們除了要挾持受害者的計算機設備或文件，還得讓受害者支付現金或銀行轉帳才能獲得收益，這種方式太容易被抓獲。

所以在過去的幾十年中，雖然勒索病很早就存在，但并沒有大規模的爆發，造成巨大影響。而虛擬貨幣的出現打破了這一平衡，受害人通過虛擬貨幣的形式支付，虛擬貨幣的匿名性和全球流通性不僅可以極為快捷地跨境交易，更可以一定程度的躲避監管。

被勒索軟件攻擊的企業會收到勒索贖金通知單，通知單中要求被攻擊者使用虛擬貨幣支付贖金，通常還包括如何從交易所購買虛擬貨幣的指南。

虛擬貨幣雖然給黑客組織帶來了“新通道”，但是目前能夠使用虛擬貨幣直接支付的場景非常少，所以攻擊者得到虛擬貨幣贖金之后必然將其兌現為法幣，那么通過分析資金流向就可能追蹤到犯罪分子的蹤跡。

止損和預防措施

當我們已經確認被勒索軟件攻擊后，應當及時采取必要的止損措施，避免損失的進一步擴大。

當確認服務器已經被感染勒索病后，應立即隔離被感染主機。一方面是為了防止感染主機自動通過連接的網絡繼續感染其他服務器；另一方面是為了防止黑客通過感染主機繼續操控其他服務器。

隔離常用的操作方法是斷網和關機。斷網主要操作步驟包括：拔掉網線、禁用網卡，如果是筆記本電腦還需關閉無線網絡。

在已經隔離被感染主機后，應對局域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，并檢查備份系統是否被加密等，以確定感染的范圍。

另外，備份系統如果是安全的，就可以避免支付贖金，順利地恢復文件。

所以，當確認服務器已經被感染勒索病后，并確認已經隔離被感染主機的情況下，應立即對核心業務系統和備份系統進行排查。

基于勒索軟件可防可控不可治的特點，知帆科技安全專家提醒大家：

企業用戶：構建網絡安全防護體系，加強數據安全保護，設置防火墻，及時更新病庫，廣泛獲取威脅情報，建立企業病預警機制。

個人用戶：提高網絡安全意識，定期給操作系統打補丁，不要點擊來源不明的郵件、鏈接和軟件，重要的數據和文檔及時備份。

Tags：比特幣AVEAAVELYRA比特幣最新價格行情美元走勢The Paradox Metaverseaave幣值得投資不lyra幣怎么樣

幣安幣