查看: 20825|回复: 24
收起左侧

[讨论] 【卡饭首发】PC勒索软件发展史&趋势(14~16年)

  [复制链接]
白露为霜
发表于 2016-6-28 14:17:39 | 显示全部楼层 |阅读模式
本帖最后由 root1605 于 2016-6-30 08:58 编辑

KSN报告
PC平台勒索程序演化&发展趋势(14~16年)



目录

Ⅰ报告摘要及主要结论
Ⅱ介绍:勒索程序发展简史
①Blocker的流行
②加密的勒索程序回归
Ⅲ从Blocker到加密勒索程序
①加密勒索程序的主要成员
②受到勒索程序攻击用户的类型
③地理位置
Ⅳ结论和预测



报告来源:securelist,有删改
转载请注明来自卡饭论坛
By root1605

评分

参与人数 8经验 +30 原创 +1 人气 +6 收起 理由
jasonliul + 1
愤怒の葡萄 + 1 版区有你更精彩: )
ikimi + 30 版区有你更精彩: )
dongwenqi + 1 版区有你更精彩: )
翼风Fly + 1 版区有你更精彩: )

查看全部评分

白露为霜
 楼主| 发表于 2016-6-28 14:32:02 | 显示全部楼层
本帖最后由 root1605 于 2016-6-30 02:45 编辑

Ⅰ报告摘要及主要结论
       勒索程序是一种恶意程序,它一旦感染设备,用户将不能访问设备或存储在其中的一些数据。不管想要解锁数据还是设备,用户必须(向勒索者)支付赎金,通常使用比特币或其他被广泛使用的电子货币。本报告讲述了此类威胁在近两年的演化。
(研究)方法
       本报告使用了KSN的数据(这些数据不能用来标识个人身份),报告中的数据指标是在特定时间段(2014~2016年)里至少受到过一次勒索软件攻击且开启了KSN的用户的数量。''Ransom''这个词包含两种恶意程序:一种被称作"Windows Blocker"(突然弹出窗口提示系统被锁住),另一种即''Encryption Ransom''(加密勒索),有些''Trojan-Downloader''也传播加密勒索程序,在下载后运行勒索程序感染计算机。如今,加密勒索程序几乎是''Ransom''的同义词,但根据卡巴斯基的统计数据,仍有很多用户感染过''Blocker''。

*加密勒索,Locky

主要结论
       •在2015年4月-2016年3月,所有遇到勒索程序的用户的数量比过去12个月(2014年4月-2015年4月)上升了17.7%,从1967784上升到2315931。
       •相比2014-2015年,2015-2016年至少遇到一次勒索程序的用户占所有遇到恶意程序的用户的比例上升了0.7%,从3.63%上升到了4.34%。
       •在遇到勒索程序的用户中,遇到Cryptors的用户的比例显著上升,上升了25%,从2014-2015年的6.6%上升到2015-2016年的31.6%。
       •受Cryptors攻击的用户数量上升到原来的5.5倍,从2014-2015年的131111上升到2015-2016年的718536。
       •受Win-Locker攻击的用户数减少了13.03%,从2014-2015年的1836673减少到了2015-2016年的1597395。


Ⅱ介绍:勒索软件发展简史
       虽然现在勒索才开始广泛引起媒体和安全界的关注,勒索(包括加密勒索)作为一个恶意程序已经被知道了很久了,至少在1989年,第一个能够加密文件名称的恶意程序(AIDS Trojan)就被发现了。
       另一个很久之前被安全研究员发现的勒索程序的时间是在2005年,它叫Gpcode,能够在受感染的计算机上用自己的加密算法加密文件。在Gpcode之后,出现了几个其他的家族,比如Krotten,Cryzip等等。不时有Gpcode的变种(相似或有的完全不同)出现。这种程序看起来只会造成相对较小的事件,不会出现大面积的传播。
       多年以来,这种情况不变。

①Blocker的流行
       第一次勒索程序的大面积传播是在2010年,那时在俄罗斯及俄罗斯周边国家的成千上万个家庭用户遇到了神秘的窗口,它覆盖了桌面上其他所有的窗口。这些神秘的窗口经常包含来自犯罪分子要求受害者给特定的号码发送短信(付费短信)来解锁。在俄罗斯,事件如此变得重大,受害者数量之多,使得执法机构介入,且媒体也进行了大量的报道(从电视到博客都有)。通信公司尽其所能打击该威胁,引入注册和使用premium-rate号码的新规则,封锁了曾经进行诈骗活动的账户,还通知了他们的客户关于这种欺诈活动的消息。
       在2010年8月下旬,几个人因制造这种Blocker在莫斯科被捕。根据俄罗斯内务部的消息,该犯罪团伙因此获得的非法收入约为5亿卢布(约1250万欧元)。
       Blocker数量的增长这一事实主要是因为制造这种恶意程序不需要高超的编程技能,而且能有可观的收入。在地下市场,有很多简单的DIY Blocker的套装工具,这吸引了一大批低水平的网络犯罪分子。
       安全业(指安全厂商)以及执法机构做出了快速反应,结合了大量的服务,提供免费的解锁服务,使犯罪分子敲诈钱财更有风险,得到更少的利益。
       在2010年末,卡巴斯基实验室的研究员预言道,尽管逮捕(犯罪分子),这个问题不会就此消失。专家预言说,网络犯罪分子,会用其他(更安全更具匿名性的)支付方式让受害者付钱解锁,比如使用电子货币系统。
       这就是几年后确确实实发生的事:勒索程序“重出江湖”。

②加密的勒索软件回归
       两种勒索程序的最大区别是,Blocker的操作是完全可逆的,即使在最坏的情况下,受感染的计算机的使用者可以仅仅通过简单的重装系统来让他们的文件回到手中。此外,分析Blocker运作的方式帮助研究人员研发即使在受感染的情况下能对抗Blocker的自动化技术。这种技术集成在了卡巴斯基的产品中,基本上把Blocker挡在了安装了卡巴斯基产品的客户端之外。
       然而,一旦是加密勒索程序运作事情就变得复杂多了,因为,如果没有特定的Key,不可能解密被加密的文件,这个Key一般只存在于网络犯罪分子的服务器上。采取一种主动的保护措施显得比以前更重要了。
       成功感染后果的严重性(以及网络犯罪分子得到的利益)是勒索程序持续增长的原因之一。当然,这不是仅有的一个原因。本报告中的分析试图评估该问题的严重性,突出在第一个勒索程序出现几乎10年后大规模出现的可能原因。


Ⅲ从Blocker到加密勒索软件
       你不需要看统计数字,仅仅阅读或者看新闻,就能发现勒索程序的问题是多么的严重。然而,统计数据会显示出更多的问题,有些问题你不会从新闻或者勒索软件感染的故事中看清。
       从2015年4月到2016年3月,所有遇到勒索程序的用户数上升了17.7%,相比2014年4月到2016年三月。从1967784到了2315931。相比2014-2015年,2015-2016年至少遇到一次勒索程序的用户占所有遇到恶意程序的用户的比例上升了0.7%,从3.63%上升到了4.34%。

       下面的图表说明在报告所述的24个月受到勒索程序攻击的用户数量的变化。如图中所示,中勒索程序的几率的增长一会儿上升一会儿下降。而而crypto-malware的上升趋势几乎是连贯的:受攻击的用户持续上升,特别是2015年3月到12月达到了顶点。更有趣的事,在2015年10月起,所有其他类型的勒索软件的数量在大幅度下降,只有极少的用户被老旧的Blocker或者没有加密的勒索程序攻击。
        

*2014年4月-2016年3月,至少遇到一次勒索软件(包括encryptors和下载encryptors的下载器)的用户数量
       下降并未持续多久,在2016年2月,感染这两个类别的用户数量开始上升,而1月份在下降。
      
*受到恶意程序攻击的用户数量(任何恶意程序,不单指勒索软件)
       正如上图所示,勒索程序的变化趋势不能反映所有威胁的变化趋势。要查清这勒索程序的趋势,我们需要深入分析。
       勒索程序的第一次高峰是2014年7月,超过27.4万用户遇到了勒索程序。这个激增的主要原因是由于Trojan-Ransom.JS.SMSer.pn,一个Locker,占据了当月收勒索软件攻击的用户数量约31%,遇到encryptors用户的数量占据占了11.63%。
       接下来的高峰为2015年4月,28.25万用户被勒索程序攻击。这是由几组勒索程序造成的,加密勒索占据了其中10%。
       2015年10月是惊人的,42.84万用户遭到勒索软件攻击。所有受感染的人中,9.38%是由于加密勒索,他们最倒霉。在2016年3月,另一股勒索软件发动攻势,情况十分不同,在受勒索程序攻击的人中,超过一半(51.9%)是由于加密勒索程序。这主要是由于几个勒索程序团伙的活动,比如臭名昭著的TeslaCrypt。

       2016年4月及6月的结果,尽管超出了报告所属的范围,证明了这个趋势:受加密勒索程序威胁的用户占所有收了所程序危害的用户的54%,在5月,这个数据是35.7%,仍然高于过去11个月的平均水平。
②受到勒索软件攻击用户的类型
       看看在报告所述期间活跃的恶意程序,为加密勒索负责的犯罪嫌疑人名单很短。在第一段时期里,从2014年4月到2015年3月,传播最疯狂的加密勒索程序由以下组成,CryptoWall, Cryakl, Scatter, Mor, CTB-Locker, TorrentLocker, Fury, Lortok, Aura,以及Shade。它们攻击了世界上101568个用户,占据了所有受加密勒索程序攻击的用户的77.48%。
      
*2014-2015年加密勒索程序分布
       一年后这种情况大大改变,被TeslaCrypt,CTB-Locker,Scatter,Cryakls攻击的用户占据了收加密勒索程序攻击的用户的79.21%。

*2015-2016年,攻击用户的勒索程序分布
       在2015-2016年,“Others”类别下降至2.41%,而一年前是22.55%。这种现象可以反映出犯罪分子使用基础套件作案的趋势(意思是直接购买现成的准备好的勒索程序),不需要自行开发勒索程序。让我们继续看看被勒索程序攻击的用户的类型。

②受到勒索程序攻击用户的类型
       大多数勒索程序攻击针对家庭用户。这是2010年Blocker的情况,也是本报告第一时期的情况。93.2%遇到勒索程序的用户是家庭用户,其余6.8%是企业用户。第二时期,针对企业的攻击翻倍至13.13%,上升超过6个百分点,一切都“归功于”加密勒索。

*2014-2016年,受勒索程序攻击的用户类型

③地理位置
       当分析受攻击用户的地理位置时,必须考虑卡巴斯基用户在世界的分布情况。
       因此,为了准确理解哪里的用户更容易受到了所程序侵袭,我们使用特殊指标:百分比,计算方法是(百分比=该国家/地区受勒索程序攻击的用户数/该国家/地区受恶意程序攻击的用户数x100%)。我们相信,这能更明确客观画出全局威胁图,而不是仅比较客观数字(指受勒索程序攻击的用户数)的大小。

      
*2014-2015年比例最大的国家(该国家/地区受勒索程序攻击的用户数/该国家/地区受恶意程序攻击的用户数x100%)
       哈萨克斯坦,阿尔及利亚,乌克兰,意大利,俄罗斯领先,都超过了4%。
       一年之后,情况显著变化,印度从第7到了第1,9.6%。俄罗斯的比例也升到了6.41%,其次是哈萨克斯坦,意大利,德国,越南,和阿尔及利亚。在前一年,这些国家都在列表的前一半的位置。

*2015-2016年比例最大的国家(该国家/地区受勒索程序攻击的用户数/该国家/地区受恶意程序攻击的用户数x100%)
       其中,印度,巴西,俄罗斯,德国被攻击的用户增长最大,而美国,越南,阿尔及利亚,乌克兰却大幅度降低。

*两年被勒索程序攻击的用户数量的变化      
       这些数字是Trojan-Ransom家族变化的证据,如果将数据换成被加密勒索程序攻击的用户的份额,将会显著不同。
       以上的10个国家占据了所有受勒索程序攻击的用户数的64.14%,52.83%遇到了cryptor。在2015-2016年,这两项数据变为64.57%和61.32%。
       很清楚地看出:2014-2015年,加密勒索程序相对在每个国家占的份额较小(美国除外),一年后,加密勒索程序发展迅速,数量增多,在一些国家份额甚至超过了20%(美国,巴西,哈萨克斯坦,乌克兰,越南和俄罗斯)。甚至在一些国家,如德国和意大利,加密勒索程序几乎占了所有勒索程序的份额。
       最后,我们总结地理问题。整体来看,被勒索程序攻击的用户所占份额基本上没有发生变化。在一些国家,被勒索程序攻击的用户份额在下降,但是,没有一个在列表里的国家收加密勒索程序攻击的份额下降。这个事实未给问题一个明确的答案:加密勒索程序上升的份额可以简单认为是Blocker下降的份额吗?在下面的图中,答案是肯定的。像一些国家,比如德国,巴西,乌克兰,哈萨克斯坦,意大利,(加密勒索程序)增长率是十分高的。在这些国家的用户,在网上冲浪时一定要小心。

*被加密勒索程序攻击用户比例年增长率最高的国家Top10
       最后提一下,如果你是勒索程序的受害者,可以到https://noransom.kaspersky.com/寻求解密工具或者更多的了解。

Ⅳ结论和预测

      
基于报告里的数据和所描述的趋势,我们能够得出以下结论:
      
•从全局威胁图来看,在PC上,加密勒索几乎取代了Blocker的位置,使得“勒索程序”基本上等同于“加密勒索程序。

       •移动勒索威胁几乎都是锁屏类的,在短时间内,不太可能发展成为PC上那样的加密勒索程序。
       •虽然统计数据表明,加密勒索程序发动了大规模攻击,但只是几个组织应负责任,大多数勒索都是通过affiliate programs传播的(http://baike.baidu.com/view/689906.htm
       •加密勒索数量飞速上升的原因之一是制作加密勒索的成套工具的出现,正如Blocker和银行木马一样,加密勒索成了地下黑色市场中一个交易品。
       •支付和网络传输的匿名(如使用洋葱匿名网络)使得犯罪分子暴露的风险相对较低。很多傻瓜化的勒索程序(指制作工具等)引来了一批“菜鸟级”犯罪分子。
       除了根据客观事实做出的结论,我们还可以由此做几个关于勒索威胁以后如何发展的预测:
       •这种勒索程序的基本模型会保留下来。PC出现勒索后,移动端就成了勒索的第二个目标了,将来智能手表,智能电视和其他智能系统如家庭或车内娱乐系统,都会被勒索盯上。针对其他智能设备的勒索程序只是时间问题。
       •使用法律武器是阻止勒索团伙的方法之一,将会有更多的犯罪分子被逮捕。在2015年,卡巴斯基实验室协助荷兰警方调查CoinVault勒索的攻击。结果是,警方逮捕了两名嫌疑人,出现了解密该加密勒索的在线服务。
       不断逮捕犯罪嫌疑人提高了作案成本和风险,有效打击了加密勒索。
       •更多防御加密勒索的技术将会被研发出来。卡巴斯基产品可以检测到一个未知的程序加密文件的行为,并且会随机做好文件的备份,保障数据安全。我们希望其他安全软件提供商也尽快研发此类技术。

评分

参与人数 2人气 +2 收起 理由
ikimi + 1 版区有你更精彩: )
dongwenqi + 1 版区有你更精彩: )

查看全部评分

白露为霜
 楼主| 发表于 2016-6-30 01:23:07 | 显示全部楼层
本帖最后由 root1605 于 2016-6-30 08:44 编辑

Mobile Ransomware
https://securelist.com/analysis/ ... mware-in-2014-2016/
刚翻译完又出另一相关报告>_<就不开第二帖了。
关于分析勒索程序本身的中文分析报告有很多,这里就不再重复劳动了,
所以对于第二篇只完成“结论/预测”部分,相关内容已整合到第一篇。
dongwenqi
发表于 2016-6-29 09:19:40 | 显示全部楼层
root1605 发表于 2016-6-28 14:32
Ⅰ报告摘要及主要结论
       勒索程序是一种恶意程序,它一旦感染设备,用户将不能访问设备或存储在其中 ...

感谢对卡巴斯基的支持
lai001lai007
发表于 2016-6-29 19:11:25 | 显示全部楼层
感谢楼主,学习了!
每顿需吃三大碗
发表于 2016-6-29 19:26:45 | 显示全部楼层
哎呦,不错哦!
蓝核
发表于 2016-6-30 16:45:02 | 显示全部楼层
话说是不是at了我……少点击来源不明文件 安装安全软件……是唯一的法子

评分

参与人数 1人气 +1 收起 理由
白露为霜 + 1 为啥翻译贴总是没人呢=.=

查看全部评分

ask007
发表于 2016-7-1 18:19:47 | 显示全部楼层

写过翻译帖,结果被扔回收站了,就再也不高兴翻了
q_651
发表于 2016-7-2 06:36:49 | 显示全部楼层
不错 学习了
嗡索得
发表于 2016-7-8 10:28:13 | 显示全部楼层
  这就是几年后确确实实发生的事:勒索程序“重出江湖”。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-29 09:15 , Processed in 0.123279 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表