2016年的十大勒索木马

近日哈勃分析系统捕获到一类由C#语言编写的新的敲诈勒索木马。之前出现 的C#语言编写的木马只是简单地调用了一些C#库来辅助开发。与之相比这次的变种增加了多层嵌套解密、动态反射调用 等复杂手段外加多种混淆技术提升了分析难度。

HadesLocker是10月份新爆发的一个敲诈勒索类木马会加密用户 特定后缀名的文件包括本地驱动器和网络驱动器 加密后文件后缀为.~HL外加5个 随机字符然后生成txthtml、png三种形式的文件来通知用户支付 赎金桌面背景也会被改为生成的png文件。

二、Zepto(Lock变种)

Zepto病毒是6月底该勒索软件与知名勒索软件家族“Locky”有紧密联系。”Zepto”通过钓鱼邮件传播邮件中附带一个“.zip”格式的压缩包其中包含恶意的“.js”javascript脚本文件一旦执行受害者的文件资料会被勒索软件使用RSA算法加密并会在后缀名中增加“.zepto”字符串。

三、Petya

Petya最初被安全公司趋势科技发现。它的标志就是“死亡红屏”。在成功渗透进入 Windows 系统之后木马会强迫用户重启电脑。而重启之后电脑就再也进入不了 Windows 了而是会自动加载一个勒索页面向受害者索要 0.99 比特币的赎金。

然而这个时候如果急于支付赎金就太冤了。经过分析安全人员发现了这个木马是由“偷懒的黑客”设计的。它虽然看起来凶恶得无以复加但实际上只修改了系统的引导记录以及加密了主文件表主文件表是一个描述所有文件体积、位置和目录结构的东东。而真正的文件还原封不动地躺在磁盘里。

四、Jigsaw

Jigsaw翻译成中文就是德州电锯杀人狂。制造他的黑客应该是个电锯迷。不得不说Jigsaw的用户体验非常完美

中招之后屏幕上会出现一个经典的面具——电锯杀人狂。在左上角辅以骇客帝国版本的文字“I want to play a game…”

这个游戏的玩法是用户必须在一个小时之内支付赎金否则就会自动删除一个用户的文件。以此类推每过一个小时木马都会“撕票”一个文件。只是这样还不够刺激如果你试图逃离游戏——例如重启电脑神马的——黑客会立刻删掉1000个文件以示惩戒。

五、Autolocky

Locky 在勒索界是泰斗级的木马。于是有黑客相信向经典致敬的最佳方法就是抄袭。Autolocky 就是山寨版的 Locky它对于 Locky 的模仿可谓达到了登峰造极的地步。从名字上来看Autolocky 似乎是 Locky 的“加强版”Autolocky 在目标文件的选择上和 Locky 完全相同连锁定之后的扩展名都采用了和原版一模一样的“.locky”看起来就是这么专业。但是山寨之所以被称为山寨就是没有掌握“核心科技”所以他们的宿命往往是在现实面前遭遇可耻的失败。Autolocky 费劲心机地生成了一个密钥却迫于渣到爆的编码水平把密钥用 IE 明文回传到黑客的服务器上。而黑客可能忘记了IE 对于数据传输是有历史记录的。

所以安全研究员只要翻翻历史记录就可以轻易地找到这个密钥。不用麻烦黑客就得到了解锁密码。得知这个“秘密”之后制作解锁工具甚至不需要五分钟。

六、Cerber

Cerber它使用了 AES 加密计算法将受害者的文件编码。与其他的“勒索软件”类型病毒一样用户可以将它从含有恶意执行文件的恶意垃圾邮件里下载。关于这个病毒有趣的一件事情是如果你居住在阿塞拜疆、亚美尼亚、格鲁吉亚、白俄罗斯、吉尔吉斯斯坦、哈萨克斯坦、摩尔多瓦、土库曼斯坦、塔吉克斯坦、俄罗斯、乌兹别克斯坦或乌克兰它就不会攻击你的计算机但如果以上都不是你正在居住的国家病毒将会攻击你的计算机。当它成功进入计算机后它会在你下次重新开启计算机时自动运行并随机发送错误讯息然后将你的计算机重新开启到“带有网络的安全模式”。过后这个病毒会再次重新开启你的计算机这次计算机重回正常的运行但不幸的是它就在这个时候启动了加密过程。

七、Maktub Locker

Maktub Locker是一款勒索软件GUI界面设计的很漂亮并且有着一些有趣的特征。勒索软件的原始名字来源于阿拉伯语言”maktub”意思是  “这是写好的”或者”这是命运”。作者很可能想通过这样的引用来描述勒索软件的行为暗示这是不可避免的就像命运一样。

Maktub Locker显然是由专业人士开发的。从完整的产品的复杂性可以看出它是一个团队的不同专业领域成员的合作成果甚至包括包装业务的网站这一切都是精心打磨。我们不知道是否crypter / FUD是由同一团队设计 – 它也可能是在黑市上被纳为可用的商业解决方案。但是防御其的唯一途径 – 核心DLL也被模糊处理了并且可以这肯定是由经验非常丰富的人编写的。

八、Locky

2016年2月互联网遭到一种最新的被称为Locky木马(卡巴斯基实验室产品将其检测为Trojan-Ransom.Win32.Locky)的勒索软件攻击。截止到目前这种木马仍旧在网络上大肆传播。卡巴斯基实验室产品在全球114个国家都发现了这种木马试图感染用户的行为。

我们对Locky木马样本进行分析后发现这种木马是一种全新的勒索软件威胁是从头开始编写的。那么Locky木马到底是什么我们应当如何保护自己避免遭受其危害呢?为了传播这种木马网络罪犯发送大量包含恶意附件的垃圾邮件信息。最初这些恶意垃圾邮件包含一个DOC文件附件DOC文件中包含一个宏能够从远程服务器中下载Locky木马并执行它。

九、Globe

来自AVG公司的国外研究人员发现一种新型的勒索软件Fantom该勒索软件运行后会弹出一个伪造的Windows更新界面用户可以关闭这个界面但受害者系统的文件仍然会被加密被加密的文件扩展名被改为“.fantom”并

修改系统的桌面背景图片显示勒索信息。

要求受害者与fantomd12@yandex.ru 或fantom12@techemail.com 联系支付赎金。

十、SkidLocker

SkidLocker勒索软件使用AES-256加密算法通过检索文件信息的内容来加密不同类型的文件勒索金额需要付款0.500639比特币208.50美元。