比特币勒索的经济效益

比特币勒索的飞速发展和它背后的经济利益是密不可分的。2016年负责编写勒索软件负载的黑客团体一年营收产值预计6000万美元，而这种黑客团体有200多个，保守估计2017年比特币勒索将是一个100亿级别的市场。

2017年比特币勒索软件逐渐呈现两种不同的发展方向。一种方式偏向企业级目标，采用“定点打击式”。这种方式黑客只追求高质量的受害者，而不是更多的受害者，往往单笔勒索赎金在一万美金左右。和这种“定点打击式”相反的是“乱枪打鸟式”，这种主要类型的比特币勒索以快速、广泛、大量传播为目，主要依靠更多的感染者来诈取赎金。这种方式主要是针对个人目标进行攻击，他们攻击的最终点是个人数据，多在恶意广告、恶意信息中夹带，感染源有很强的自动复制能力，单笔赎金较低，在300美金左右。

　　比特币勒索的类型

比特币勒索从1989年至今，历经二十余年的发展。逐渐从只针对DOS单一平台的数据勒索软件发展成横扫DOS、Windows、Android 、Mac、关系型数据库、NoSQL数据库等多种数据存储平台的勒索软件。其中Windows和Android发展时间较长变化较多，而针对Mac、关系型数据库和NoSQL数据库的比特币勒索都是在2016年才发现首例样本。

　　DOS比特币勒索

第一款比特币勒索软件PC Cyborg 就是以当年流行的操作系统DOS为目标。PC Cyborg的传播方式是软盘分发的形式。软盘名称写成“艾滋病信息”来诱导用户读取其中信息。一旦用户使用该软盘，软盘会偷偷替换DOS系统目录下的AUTOEXEC.BAT文件。该文件会记录用户开关机次数，一旦满足90次，PC Cyborg 就隐藏用户文件，提出信息提示用户软件许可过期，要求用户给不法分子通过邮政寄去 189 美金。

由于DOS当时缺乏有效的传播方式，所以用户不使用来历不明的软盘就可以避免被感染，甚至用户熟悉DOS系统，可以通过手动的方式改回被不法分子隐藏的文件。DOS阶段由于传播方式所限，比特币勒索并没有大规模传播的土壤，所以影响并不大。

　　Windows 比特币勒索

Windows 是比特币勒索变化最多的平台。针对 Windows 平台的勒索软件有 200 多种，分别采用不同的方式阻止用户正常访问数据。基本可以分成锁定系统屏幕、伪装杀毒软件、伪装当地执法机构、隐藏用户文件、删除用户文件和加密用户文档数据等多种方式。大部分勒索软件会采取其中多种方式联合使用。由于 Windows 系统多被用于生活和个人工作场景，垃圾邮件、恶意广告、系统漏洞等都给 Windows 系统遭受比特币勒索感染提供了机会。最近席卷全球的比特币勒索就是利用 Windows 的 443 端口的远程执行漏洞，将比特币勒索感染到目标机器。

由于Windows平台感染方式较多，安华金和攻防实验室建议做好以下五点防护措施：

• 　　平时做好重要文件的异地备份；
• 　　开启系统防护墙；
• 　　对于不使用的服务或端口进行手动关闭；
• 　　打开系统自动更新，积极更新最新补丁；
• 　　不使用微软停止支持的操作系统(xp、sever2003)。

　　Android比特币勒索

安卓比特币勒索起步比Windows比特币勒索稍晚，但勒索软件种类和攻击方式并不比Windows少多少。自从2013年发现首例冒充杀毒软件的安卓比特币勒索软件后，安卓比特币勒索就开始大量出现。安卓平台的比特币勒索攻击方式可以分为锁定系统屏幕、拦截手机来电、伪装杀毒软件、删除用户文件、加密通讯录等。

安卓比特币勒索的传播方式主要是通过恶意应用，很多安卓勒索软件会伪装成游戏的外挂、刷赞、刷钻、刷人气的软件。由于大量安卓软件商城允许第三方开发，在上线软件的时候并未做严格审查，使得恶意应用堂而皇之的挂在商城出售。恶意软件冒充高排名软件被受害人大量下载，受害人执行恶意软件后，导致手机被勒索。

安华金和攻防实验室对预防安卓比特币勒索建议做到以下三点：

• 　　从可信软件源下载应用；
• 　　关键数据定时备份；
• 　　提高辨别勒索软件的能力。

勒索软件有两个特征，一是.勒索软件一般小于1MB；二是勒索软件会申请 “SYSTEM_ALERT_WINDOW” 权限或诱导用户激活设备管器。

　　Mac比特币勒索

由于Mac严格的商店审核流程，在安卓比特币勒索泛滥的情况下，Mac就是移动端的一片净土，无一例Mac比特币勒索样例。然而2016年3月份这片净土被打破，Mac发现首例比特币勒索软件。

知名BT软件Transmission中被恶意植入了包含恶意代码的General.rtf文件。该文件虽然使用正常的RTF图标，但实际上却是一个可执行文件，下载到恶意软件的用户在执行该软件后会加密目标文档向客户实施勒索。由于此事在发生四小时后就被发现，苹果第一时间下架存在恶意代码的Transmission，所以此次比特币勒索并未给用户带来太多影响。

　　NoSQL比特币勒索

NoSQL数据库作为一种新型的数据库，因自身特性，在云上大放异彩，数以万计的NoSQL数据库在云上运行。由于NoSQL在安全上还不够成熟，所在默认的NoSQL存在安全漏洞和安全错误配置。2016年12月到转年1月份的不足一个月时间里，mongodb、ElasticSearch、Cassandra、redis、hadoop、CounchDB 等多个NoSQL数据库遭到多组黑客轮番比特币勒索攻击。

安华金和攻防实验室建议用户：

• 　　对NoSQL数据库进行安全配置(不要使用默认配置)并积极升级修复存在漏洞；
• 　　同时要做好关键数据对的备份工作；
• 　　或者采用NoSQL数据库防火墙可以有效的保护NoSQL数据库免受比特币勒索攻击。

　　关系型数据库比特币勒索

关系型数据库自身的安全设计已趋于完善，处于内网的环境中有效的减少了被勒索软件攻击的可能。除去针对操作系统的加密勒索会对数据库文件进行加密，造成数据库不可用外。2016年发现有专门针对数据库的勒索软件出现。

专门针对数据库的勒索软件，多采用恶意代码注入数据库专用工具的方式。为了防止被发现，恶意代码还对自己采用warp做加密处理(一种oracle支持的加密方式)。恶意代码跟随数据库专用工具感染每一个被访问的数据库。恶意代码对每种不同的数据库账号分别使用不同的方式，以保证能控制受害者数据，达到勒索效果。

安华金和攻防实验室建议用户：

• 　　对数据库访问工具做安全检查防止带入恶意代码；
• 　　做好关键数据对的备份工作；
• 　　实时采用数据库防火墙对每个访问数据库的包进行审查，阻止恶意代码进入数据库。相信做到以上几条可以帮助，数据库免受比特币勒索攻击。

　　比特币勒索原理模型

比特币勒索是一个相当复杂的攻击流程，可以对多种平台和软件发动攻击。主流比特币勒索软件可以根据不同的软硬间环境做出各种适应性变化，虽然各种比特币勒索软件千变万化，但核心依然符合感染，下载，执行，勒索，收款的的整体流程。

 

比特币勒索是一个相当复杂的攻击流程

　　感染

感染是整个比特币勒索的第一步，也是最关键的一步。这一步有多种处理方法，主要可以分为：网络安全漏洞、垃圾邮件、下载器、僵尸网络、社会工程学和自我传播。每种传播分别适合不同的环境，同时也有大量组合使用的样例。

社会工程学辅助下的垃圾邮件一直是分发各种网络恶意软件的首选方法，比特币勒索也不例外。七成以上的比特币勒索攻击都是从垃圾邮件的附件开始，为了保护自己不被追踪，发送垃圾邮件的服务器一般都使用属于僵尸网络的服务器进行发送，垃圾邮件通常包含恶意附件或恶意 URL，来对服务器进行感染。

　　下载

当恶意 URL 或恶意软件在被害者机器上打开时，会收集当前机器的信息。收集当前机器信息有两个目的：1、识别被害机器操作系统，选择符合操作系统的恶意软件下载；2、识别当前机器是否为虚拟机，如果是虚拟机或虚拟化环境，为了逃避被发现，部分勒索软件会选择，停止所有后续行为，终止此次比特币勒索攻击。此举有效的保护黑客所控制的 C&C 服务器，避免 C&C 服务器被发现，而被列入通讯黑名单。如果确定为一台实体机，在收集完信息后会把信息发送到黑客准备好的C&C服务器上，同时从 C&C 服务器上自动下载一款适合目标机的恶意软件。

　　勒索

在真正执行勒索软件之前，恶意软件会先尝试利用漏洞来获取一定的用户权限，尝试去关闭一些系统自带的安全保护机制，部分勒索软件会根据关闭情况，判断是否继续攻击，但也有直接进行勒索攻击的样例。

勒索软件被部署到目标机器上，下一步就要开始实施勒索。勒索的手法和勒索软件使用的技术有关。前文提到现在主流的勒索有两种类型，一种是锁勒索，另一种是加密勒索。

锁勒索主要是采用锁定用户屏幕的策略，勒索软件显示一个全屏幕窗口，覆盖整个桌面以显示其勒索信息，后台会有一个进程时刻监视勒索窗口是否被关闭，一旦被关闭就立马重启一个，给受害者一种一直被锁定的错觉。除了可以调用Windows API实现外，还发现有使用浏览器锁定桌面的。分析后台发现，其实一直置顶的窗口是个浏览器，这种类型的锁，只要杀死浏览器和辅助进程就可以破解，但这种方式提供了一种跨操作系统平台的锁方式，不光PC端容易遭到这种勒索攻击，移动端也会。安卓系统主要是通过调用 Android ExecutorService objects来定期检查置顶的活动窗口，指定窗口一旦被关闭立马重启，最终给用户造成手机被锁屏的错觉。

实际上，锁勒索没有修改底层的数据，只是通过一些手段防止用户使用而已。单纯的锁勒索会有很多方式破解，但加密勒索就没那么容易了，加密勒索对底层文件进行了修改。比特币勒索多采用对称秘钥和非对称密钥相结合的方式，对称加密能保证加密的效率，非对称加密能保证密码不被受害者获得。基于这两种加密方法的优点，现在基本加密模型均综合使用两种方法。

 

现在基本加密模型均综合使用两种方法

首先，用户的文件会被随机生成的Key用AES-256进行加密，接着会把Key用RSA公钥进行加密。加密后存储于被加密的文件中，最后把原始文件删除。不同的勒索软件在处理RSA公钥的时策略不同，主要分两种，一种是直接在勒索软件中写死RSA公钥，保证即便当时无法和黑客的C&C服务器通讯也可以顺利完成整个加密过程，但缺点是需要每次生成不同的勒索软件。另一种是RSA公钥来自当时的C&C服务器，其优点是勒索软件不需要生成不同的勒索软件，提高了自传播的成功率，但在加密的过程中如果无法正常访问黑客的C&C服务器，会导致加密失败。

　　扩散

这一步是和勒索步骤往往是同时进行的。勒索软件有扫描模块，会自动通过被感染机器的网卡、驱动来探测网络中的其他机器和机器上的其他电子设备，发现可以访问的设备后会尝试把感染部分复制到有权限的其他机器或电子设备中。其他设备如果被感染，就又会重复感染、下载、勒索、扩散的过程，直至勒索软件蔓延至整个内网之中。

(责任编辑：安博涛)