2016年十大勒索木馬

一、 HadesLocker

近日哈勃分析系統捕獲到一類由C#語言編寫的新的敲詐勒索木馬。之前出現 的C#語言編寫的木馬只是簡單地調用了一些C#庫來輔助開發。與之相比，這次的變種增加了多層嵌套解密、動態反射調用 等複雜手段，外加多種混淆技術，提升了分析難度。

HadesLocker是10月份新爆發的一個敲詐勒索類木馬，會加密用戶 特定後綴名的文件，包括本地驅動器和網路驅動器， 加密後文件後綴為.~HL外加5個 隨機字元，然後生成txt，html、png三種形式的文件來通知用戶支付 贖金，桌面背景也會被改為生成的png文件。

二、Zepto(Lock變種)

Zepto病毒是6月底該勒索軟體與知名勒索軟體家族「Locky」有緊密聯繫。」Zepto」通過釣魚郵件傳播，郵件中附帶一個「.zip」格式的壓縮包，其中包含惡意的「.js」javascript腳本文件，一旦執行，受害者的文件資料會被勒索軟體使用RSA演算法加密，並會在後綴名中增加「.zepto」字元串。

三、Petya

Petya，最初被安全公司趨勢科技發現。它的標誌就是「死亡紅屏」。在成功滲透進入 Windows 系統之後，木馬會強迫用戶重啟電腦。而重啟之後，電腦就再也進入不了 Windows 了，而是會自動載入一個勒索頁面，向受害者索要 0.99 比特幣的贖金。

然而，這個時候如果急於支付贖金，就太冤了。經過分析，安全人員發現了這個木馬是由「偷懶的黑客」設計的。它雖然看起來兇惡得無以復加，但實際上只修改了系統的引導記錄以及加密了主文件表（主文件表是一個描述所有文件體積、位置和目錄結構的東東）。而真正的文件還原封不動地躺在磁碟里。

四、Jigsaw

Jigsaw，翻譯成中文就是德州電鋸殺人狂。製造他的黑客應該是個電鋸迷。不得不說，Jigsaw的用戶體驗非常完美：

中招之後屏幕上會出現一個經典的面具——電鋸殺人狂。在左上角輔以駭客帝國版本的文字：「I want to play a game...」

這個遊戲的玩法是用戶必須在一個小時之內支付贖金，否則就會自動刪除一個用戶的文件。以此類推，每過一個小時，木馬都會「撕票」一個文件。只是這樣還不夠刺激，如果你試圖逃離遊戲——例如重啟電腦神馬的——黑客會立刻刪掉1000個文件以示懲戒。

五、Autolocky

Locky 在勒索界是泰斗級的木馬。於是有黑客相信：向經典致敬的最佳方法就是抄襲。Autolocky 就是山寨版的 Locky，它對於 Locky 的模仿可謂達到了登峰造極的地步。從名字上來看，Autolocky 似乎是 Locky 的「加強版」，Autolocky 在目標文件的選擇上和 Locky 完全相同；連鎖定之後的擴展名都採用了和原版一模一樣的「.locky」，看起來就是這麼專業。但是，山寨之所以被稱為山寨，就是沒有掌握「核心科技」，所以他們的宿命往往是：在現實面前遭遇可恥的失敗。Autolocky 費勁心機地生成了一個密鑰，卻迫於渣到爆的編碼水平，把密鑰用 IE 明文回傳到黑客的伺服器上。而黑客可能忘記了，IE 對於數據傳輸是有歷史記錄的。

所以安全研究員只要翻翻歷史記錄，就可以輕易地找到這個密鑰。不用麻煩黑客就得到了解鎖密碼。得知這個「秘密」之後，製作解鎖工具甚至不需要五分鐘。

六、Cerber

Cerber它使用了 AES 加密計演算法將受害者的文件編碼。與其他的「勒索軟體」類型病毒一樣，用戶可以將它從含有惡意執行文件的惡意垃圾郵件里下載。關於這個病毒有趣的一件事情是如果你居住在亞塞拜然、亞美尼亞、喬治亞、白俄羅斯、吉爾吉斯斯坦、哈薩克、摩爾多瓦、土庫曼、塔吉克、俄羅斯、烏茲別克或烏克蘭，它就不會攻擊你的計算機，但如果以上都不是你正在居住的國家，病毒將會攻擊你的計算機。當它成功進入計算機後，它會在你下次重新開啟計算機時自動運行並隨機發送錯誤訊息，然後將你的計算機重新開啟到「帶有網路的安全模式」。過後，這個病毒會再次重新開啟你的計算機，這次計算機重回正常的運行，但不幸的是它就在這個時候啟動了加密過程。

七、Maktub Locker

Maktub Locker是一款勒索軟體，GUI界面設計的很漂亮，並且有著一些有趣的特徵。勒索軟體的原始名字來源於阿拉伯語言」maktub」，意思是 「這是寫好的」或者」這是命運」。作者很可能想通過這樣的引用來描述勒索軟體的行為，暗示這是不可避免的，就像命運一樣。

Maktub Locker顯然是由專業人士開發的。從完整的產品的複雜性可以看出，它是一個團隊的不同專業領域成員的合作成果，甚至包括包裝業務的網站，這一切都是精心打磨。我們不知道是否crypter / FUD是由同一團隊設計 – 它也可能是在黑市上被納為可用的商業解決方案。但是，防禦其的唯一途徑 – 核心DLL也被模糊處理了，並且可以這肯定是由經驗非常豐富的人編寫的。

八、Locky

2016年2月，互聯網遭到一種最新的被稱為Locky木馬(卡巴斯基實驗室產品將其檢測為Trojan-Ransom.Win32.Locky)的勒索軟體攻擊。截止到目前，這種木馬仍舊在網路上大肆傳播。卡巴斯基實驗室產品在全球114個國家都發現了這種木馬試圖感染用戶的行為。

我們對Locky木馬樣本進行分析後發現，這種木馬是一種全新的勒索軟體威脅，是從頭開始編寫的。那麼，Locky木馬到底是什麼，我們應當如何保護自己，避免遭受其危害呢?為了傳播這種木馬，網路罪犯發送大量包含惡意附件的垃圾郵件信息。最初，這些惡意垃圾郵件包含一個DOC文件附件，DOC文件中包含一個宏，能夠從遠程伺服器中下載Locky木馬並執行它。

九、Globe

來自AVG公司的國外研究人員發現一種新型的勒索軟體Fantom，該勒索軟體運行後，會彈出一個偽造的Windows更新界面，用戶可以關閉這個界面，但受害者系統的文件仍然會被加密，被加密的文件擴展名被改為「.fantom」並

修改系統的桌面背景圖片，顯示勒索信息。

要求受害者與fantomd12@yandex.ru 或fantom12@techemail.com 聯繫支付贖金。

十、SkidLocker

SkidLocker勒索軟體使用AES-256加密演算法，通過檢索文件信息的內容來加密不同類型的文件，勒索金額需要付款0.500639比特幣（208.50美元）。