2016年的十大勒索木马

近日哈勃分析系统捕获到一类由C#语言编写的新的敲诈勒索木马。之前出现 的C#语言编写的木马只是简单地调用了一些C#库来辅助开发。与之相比，这次的变种增加了多层嵌套解密、动态反射调用 等复杂手段，外加多种混淆技术，提升了分析难度。

HadesLocker是10月份新爆发的一个敲诈勒索类木马，会加密用户 特定后缀名的文件，包括本地驱动器和网络驱动器， 加密后文件后缀为.~HL外加5个 随机字符，然后生成txt，html、png三种形式的文件来通知用户支付 赎金，桌面背景也会被改为生成的png文件。

二、Zepto(Lock变种)

Zepto病毒是6月底该勒索软件与知名勒索软件家族“Locky”有紧密联系。”Zepto”通过钓鱼邮件传播，邮件中附带一个“.zip”格式的压缩包，其中包含恶意的“.js”javascript脚本文件，一旦执行，受害者的文件资料会被勒索软件使用RSA算法加密，并会在后缀名中增加“.zepto”字符串。

三、Petya

Petya，最初被安全公司趋势科技发现。它的标志就是“死亡红屏”。在成功渗透进入 Windows 系统之后，木马会强迫用户重启电脑。而重启之后，电脑就再也进入不了 Windows 了，而是会自动加载一个勒索页面，向受害者索要 0.99 比特币的赎金。

然而，这个时候如果急于支付赎金，就太冤了。经过分析，安全人员发现了这个木马是由“偷懒的黑客”设计的。它虽然看起来凶恶得无以复加，但实际上只修改了系统的引导记录以及加密了主文件表（主文件表是一个描述所有文件体积、位置和目录结构的东东）。而真正的文件还原封不动地躺在磁盘里。

四、Jigsaw

Jigsaw，翻译成中文就是德州电锯杀人狂。制造他的黑客应该是个电锯迷。不得不说，Jigsaw的用户体验非常完美：

中招之后屏幕上会出现一个经典的面具——电锯杀人狂。在左上角辅以骇客帝国版本的文字：“I want to play a game…”

这个游戏的玩法是用户必须在一个小时之内支付赎金，否则就会自动删除一个用户的文件。以此类推，每过一个小时，木马都会“撕票”一个文件。只是这样还不够刺激，如果你试图逃离游戏——例如重启电脑神马的——黑客会立刻删掉1000个文件以示惩戒。

五、Autolocky

Locky 在勒索界是泰斗级的木马。于是有黑客相信：向经典致敬的最佳方法就是抄袭。Autolocky 就是山寨版的 Locky，它对于 Locky 的模仿可谓达到了登峰造极的地步。从名字上来看，Autolocky 似乎是 Locky 的“加强版”，Autolocky 在目标文件的选择上和 Locky 完全相同；连锁定之后的扩展名都采用了和原版一模一样的“.locky”，看起来就是这么专业。但是，山寨之所以被称为山寨，就是没有掌握“核心科技”，所以他们的宿命往往是：在现实面前遭遇可耻的失败。Autolocky 费劲心机地生成了一个密钥，却迫于渣到爆的编码水平，把密钥用 IE 明文回传到黑客的服务器上。而黑客可能忘记了，IE 对于数据传输是有历史记录的。

所以安全研究员只要翻翻历史记录，就可以轻易地找到这个密钥。不用麻烦黑客就得到了解锁密码。得知这个“秘密”之后，制作解锁工具甚至不需要五分钟。

六、Cerber

Cerber它使用了 AES 加密计算法将受害者的文件编码。与其他的“勒索软件”类型病毒一样，用户可以将它从含有恶意执行文件的恶意垃圾邮件里下载。关于这个病毒有趣的一件事情是如果你居住在阿塞拜疆、亚美尼亚、格鲁吉亚、白俄罗斯、吉尔吉斯斯坦、哈萨克斯坦、摩尔多瓦、土库曼斯坦、塔吉克斯坦、俄罗斯、乌兹别克斯坦或乌克兰，它就不会攻击你的计算机，但如果以上都不是你正在居住的国家，病毒将会攻击你的计算机。当它成功进入计算机后，它会在你下次重新开启计算机时自动运行并随机发送错误讯息，然后将你的计算机重新开启到“带有网络的安全模式”。过后，这个病毒会再次重新开启你的计算机，这次计算机重回正常的运行，但不幸的是它就在这个时候启动了加密过程。

七、Maktub Locker

Maktub Locker是一款勒索软件，GUI界面设计的很漂亮，并且有着一些有趣的特征。勒索软件的原始名字来源于阿拉伯语言”maktub”，意思是  “这是写好的”或者”这是命运”。作者很可能想通过这样的引用来描述勒索软件的行为，暗示这是不可避免的，就像命运一样。

Maktub Locker显然是由专业人士开发的。从完整的产品的复杂性可以看出，它是一个团队的不同专业领域成员的合作成果，甚至包括包装业务的网站，这一切都是精心打磨。我们不知道是否crypter / FUD是由同一团队设计 – 它也可能是在黑市上被纳为可用的商业解决方案。但是，防御其的唯一途径 – 核心DLL也被模糊处理了，并且可以这肯定是由经验非常丰富的人编写的。

八、Locky

2016年2月，互联网遭到一种最新的被称为Locky木马(卡巴斯基实验室产品将其检测为Trojan-Ransom.Win32.Locky)的勒索软件攻击。截止到目前，这种木马仍旧在网络上大肆传播。卡巴斯基实验室产品在全球114个国家都发现了这种木马试图感染用户的行为。

我们对Locky木马样本进行分析后发现，这种木马是一种全新的勒索软件威胁，是从头开始编写的。那么，Locky木马到底是什么，我们应当如何保护自己，避免遭受其危害呢?为了传播这种木马，网络罪犯发送大量包含恶意附件的垃圾邮件信息。最初，这些恶意垃圾邮件包含一个DOC文件附件，DOC文件中包含一个宏，能够从远程服务器中下载Locky木马并执行它。

九、Globe

来自AVG公司的国外研究人员发现一种新型的勒索软件Fantom，该勒索软件运行后，会弹出一个伪造的Windows更新界面，用户可以关闭这个界面，但受害者系统的文件仍然会被加密，被加密的文件扩展名被改为“.fantom”并

修改系统的桌面背景图片，显示勒索信息。

要求受害者与fantomd12@yandex.ru 或fantom12@techemail.com 联系支付赎金。

十、SkidLocker

SkidLocker勒索软件使用AES-256加密算法，通过检索文件信息的内容来加密不同类型的文件，勒索金额需要付款0.500639比特币（208.50美元）。