深度 | 和木马撕X的三场战役(2)

勒索木马已经学会了这样的策略：一封包含勒索木马附件的邮件，即使被下载和打开，它也不一定会让你中招——这台机子看着很像虚拟机呢！万一被安全人员发现，大家又不都是 locky 那个二货，随时变来变去，这样的代价似乎付不起。

刘桂泽称，他们常常也有一种“长见识了”的感觉。但安全人员做对抗，也可以诱敌深入。

“上来赤裸裸的干危害不太大，勒索木马，难弄的就是这些狡猾的，狡猾了的必然有漏洞。所以，我们也会帮助用户伪装成不是受害者，让勒索木马找不到可用的受害者。”刘桂泽说。

• 升级招式二：武器玩出更多花样
  

这一年，勒索木马的代码语言更多样化了，使用到的编程语言包括 JavaScript，Python，C#等。

开发语言越来越多，刘桂泽指出：一是语言变幻越多，防御就会越困难，增加了防御工作量；二是以前大部分 C++ 和 C语言的编程语言，现在编程语言种类越多，意味着勒索软件从业人员越来越多，新人加入了。

这些新增的高级编程语言很多有现成的模式，大大降低了勒索木马的开发难度。这意味着，勒索木马这个邪恶的对手将有更多的武器和弹药投入战场。

• 升级招式三：手段更多，有可能找人背黑锅

2016年，勒索木马传播方式除邮件中的恶意文档外，新增了网站漏洞挂马、服务器黑客入侵等多种手段。

刘桂泽提醒，有些视频网站或者客户端软件内嵌了广告位，在广告位招商时，有一些小公司买了，但是不幸的是，小公司的网站被黑客入侵，加上了勒索木马。也就是说，视频网站和客户端成了勒索木马的跳板，在根本不之情的情况了，用户点击广告位中了勒索木马，视频网站和客户端就背了黑锅。

• 升级招式四：让解密难上云端

勒索木马的加密算法，以前是对称加密的，比如AES， key保存在本地，现在过渡到了非对称加密RSA，key 保存在云端。

勒索木马的加密最早没有和云端联系，当解密放在本地时，安全人员做比较详细的分析还是有可能的，但是到了2016年，勒索木马的key保存在云端，这就让解密难上加难了。

刘桂泽还特别提醒，2016年他们发现了一些用简体中文勒索的木马，说明至少有中国的木马作者参与进去，专门针对中国地区进行攻击。

1.小编：哪些人容易成为勒索木马的受害者？

刘桂泽：受攻击的企业和个人用户比大概是 3:7 ，但是企业用户受到的危害往往更大，支付赎金的比率也更高。企业中使用邮箱进行日常办公的专业职务人员，比如hr、会计等，更容易点击邮件中的带宏文档并成为受害者。

企业用户对勒索木马而言更有价值，但成功率偏低，因为很多公司实行内外网隔离。

2.小编()：接下来对勒索木马的预测，比如，有人说勒索软件将对云实施攻击，互联汽车将成为勒索软件的攻击目标……

刘桂泽：勒索木马的趋势之一，是针对高端目标进行精准攻击，比如，开发针对企业环境或服务器环境的专用勒索软件，以图勒索收益的最大化。

3.小编：勒索软件的黑产链条是什么样的？

刘桂泽：看上去可以这么分——【制作者】-出售（成品或工具箱）->【利用者】-分发->【传播者】-传播->【受害者】-支付赎金->【利用者】-（可能分成）->【制作者，传播者】

事实上，就是一波人，根本就没有生态链，只有坏蛋和受害者。当然，团伙内部有分工，但一个团队内部分工还达不到生态，人家没有精力浪费在层级沟通上。

4.小编：有没有发现什么特别的事？

刘桂泽：你有没有发现，所有的勒索软件都屏蔽了俄语和俄罗斯的机器，这说明：要么是俄罗斯干的，要么就是容易被俄罗斯砍杀，因为有卡巴斯基。

文/李勤 （微信ID：qinqin0511，关心安全圈发生的事儿）

，。

（编辑：ASP站长网）