ETH:一文了解勒索軟件---黑客組織的主要盈利方式-ODAILY_比特幣

2021年6月，巴西肉類加工巨頭JBSSA美國子公司JBSUSAHoldings遭受勒索軟件攻擊，導致公司負責加工全美近五分之一肉類供應量的多家工廠被關閉，該公司隨后向犯罪分子支付了價值1100萬美元的比特幣贖金，以解決被攻擊事件。

近年來，勒索軟件攻擊事件頻發，計算機被劫持除了會對個人造成損失還可能會破壞能源、電力等領域的關鍵基礎設施，危及社會公共安全。

據2020年虛擬貨幣犯罪統計顯示，2020年勒索攻擊案件超140起，案件數量對比2019年增長了近兩倍，向勒索軟件支付的虛擬貨幣贖金超過4.16億美元。

勒索軟件的前世今生

勒索軟件，又稱勒索病，是一種特殊的惡意軟件，與其他病最大的不同在于攻擊手法和中方式，部分勒索軟件僅是單純地將受害者的電腦鎖起來，而也有部分勒索軟件會系統性地加密受害者硬盤上的文件，所有的勒索軟件都會要求受害者繳納贖金以取回對電腦的控制權，或是取回受害者根本無從自行獲取的解密密鑰以解密文件。

1、起源

1989年，世界上出現了首例勒索軟件，名為“艾滋病信息木馬”，其開發者是1989年獲得哈佛大學博士學位名為約瑟夫·波普的生物學家，他向世界衛生組織艾滋病會議的參加者分發了20,000張受到感染的磁盤，并且以"艾滋病信息-入門軟盤”命名，當軟盤被插入電腦，就會顯示以下消息:

Lymex因“技術錯誤”資金池完全耗盡，LYM價格下跌99.93%:12月5日消息，去中心化金融衍生品交易平臺Lymex于4個小時前在推特上表示：“Lymex網絡出現嚴重異常失誤導致大量的LYM已經被轉移到0x00e6開頭的地址，這一這一事件是由一個“技術錯誤”引起,已經完全耗盡了資金池，Lymex團隊正在采取一切必要措施立即進行全面恢復。”

此外，據派盾監測數據，LYM價格下跌99.93%，此筆轉移的資金已流入幣安。[2022/12/5 21:23:10]

勒索信息要求用戶必須在巴拿馬的郵政郵箱向PCCyborgCorporation發送189美元，以解鎖訪問權限，歷史上第一款勒索病就此誕生。

2006年，國內出現了首款勒索軟件——Redplus勒索木馬，該木馬會隱藏用戶文檔，然后彈出窗口勒索贖金，金額從70-200元不等，但實際上用戶的文件并未丟失，只是被移動到一個具有隱藏屬性的文件夾中。

2、發展

隨著08年比特幣的誕生，勒索軟件攻擊邁入新的發展階段——比特幣贖金階段，2013年下半年，出現了一種名為CryptoLocker的特洛伊木馬，是以勒索軟件的形式出現的惡意軟件，以Windows操作系統為主要攻擊目標。

Komainu獲得迪拜虛擬資產監管局的MVP許可證:金色財經報道，數字資產托管提供商Komainu宣布從迪拜虛擬資產監管局(VARA)獲得了最小可行產品(MVP)許可證，該許可證于2022年7月頒發。

從今年早些時候獲得的臨時批準過渡到MVP許可證，意味著Komainu可以為阿聯酋的機構客戶提供:

-虛擬資產托管服務，虛擬資產管理服務。（finextra）[2022/11/23 7:57:57]

通常通過郵件附件傳播，附件執行后會對特定類型的文件進行加密，之后彈出付款消息窗口。

勒索信息表示如果在規定的期限內支付比特幣贖金，就能夠解密這些文件，否則私人密鑰將會被銷毀，再也不能打開這些文件。

該惡意軟件還會提供一個由惡意軟件控制的線上服務提供解密，但要付出高額的比特幣。也就是從這款惡意軟件開始，黑客開始使用比特幣支付贖金。據消息稱，此惡意軟件為黑客組織帶來了近41000枚比特幣的收入。

3、爆發

2017年4月14日晚，黑客組織ShadowBrokers公布一大批網絡攻擊工具，其中包含“永恒之藍”工具，“永恒之藍”利用Windows系統的SMB漏洞可以獲取系統最高權限。

Lido：以太坊合并后不計劃支持ETH PoW:金色財經消息，流動性質押協議Lido表示，在以太坊合并后不計劃支持ETH PoW，除非有提議，否則Lido將不支持將ETH PoW代幣分配給stETH持有者。此外，Lido稱，合并不會影響在信標鏈中質押的ETH，在合并后的PoS以太坊中，驗證者將獲得優先費用和潛在的MEV獎勵。這兩種獎勵都將由Lido驗證者進行質押，以增加用戶可獲得的stETH獎勵，因此，額外的質押獎勵將在合并后累積給質押者。[2022/9/11 13:22:31]

WannaCry鎖屏界面

5月12日，不法分子通過改造“永恒之藍”制作了WannaCry勒索病，在全球范圍感染電腦和服務器。五小時內，英國、俄羅斯、烏克蘭、西班牙、法國整個歐洲都遭遇攻擊，包括政府、銀行、電力系統、通訊系統、能源企業、機場等重要基礎設施都被波及，國內也有部分高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金才能解密恢復文件，造成嚴重損失。

4、平臺化

2015年，一款名為Tox的勒索軟件開發包在年中發布，通過注冊服務，任何人都可創建勒索軟件，管理面板會顯示感染數量、支付贖金人數以及總體收益，Tox的創始人收取贖金的20%，一些黑客將勒索軟件開源，任何人都可以操作和修改勒索軟件，其支付工具有比特幣，還有更難追蹤匿名幣。

5、多元化

近年來，一些酒店、企業或者醫院等“拖庫”事件頻發，黑客組織除了勒索遭受攻擊的企業外，一方面在暗網黑市上售賣竊取來的用戶隱私數據，以此來獲利；另一方面也勒索被泄露隱私的用戶，稱會大范圍傳播用戶的隱私，以此來恐嚇用戶獲取贖金。

V神：未來加密貨幣的波動性與黃金或股市一樣:金色財經消息，Watcher.Guru發推稱，以太坊創始人Vitalik Buterin表示，在未來，加密貨幣的波動性將與黃金或股市差不多。[2022/9/2 13:05:17]

勒索軟件的幾種形式

勒索軟件的攻擊形式多樣，主要可以分為：加密數據、鎖定系統、數據泄露、恐嚇用戶。

加密數據：這種形式最為多見，因為這種形式是受害群體數量最多、社會影響最廣的攻擊形式，攻擊者通常使用非對稱加密算法對被攻擊者系統內重要的數據、資料文檔等進行加密，如果沒有攻擊者的私鑰，無法解密被鎖定的文件。然后通知用戶想要打開資料數據，則必須通過支付虛擬貨幣來完成解密。

鎖定系統：鎖定系統之后連系統都無法登錄，比如：篡改系統開機密碼，被攻擊者在沒有特定數字密鑰的情況下無法訪問服務器，攻擊者以此為要挾對用戶進行勒索。

2019年5月初，黑客就入侵并控制了美國馬里蘭州巴爾的摩市大約1萬臺政府電腦，并索要13個比特幣(價值10萬美元)，不過該市政府拒絕交付這一筆贖金，結果就是使得政府部門在沒有特定數字密鑰的情況下無法訪問服務器，政府公務員無法訪問他們的電子郵件帳戶，普通市民無法使用基本市政服務，包括交水費、財產稅和停車票等等。

數據泄漏：此類形式主要是針對酒店、企業、醫院等實施，黑客通過入侵系統竊取到企業內相關機密數據，要求企業支付一定的金額進行數據贖回，否則會在某一時間公開這批數據。

礦企Argo Blockchain 6月產出179枚比特幣，目前持有1953枚比特幣:7月7日消息，由于在德克薩斯州的新Helios設施的運營加快，比特幣礦企Argo Blockchain 6月份產出179枚比特幣，高于5月份的124枚和4月份的166枚。

該公司表示，這反映了其不斷增加的總算力，以及比前一個月更長的正常運行時間，因為有更多S19J Pro礦機交付并部署，保持了其按照協議安裝所有2萬臺礦機的計劃。

另外，根據與Core Scientific的互換協議，截至今年6月也安裝了5000臺S19J Pro礦機。

6月份挖礦收入為338萬英鎊（435萬美元），以現行價格計算，高于5月份的307萬英鎊。Argo表示，這主要是受比特幣價格下跌和Helios電力成本上漲的推動，5月份的挖礦利潤率為55%，本月下降至50%。

Argo表示，自2021年底以來，該公司一直在使用衍生品來限制下行風險，并在6月份為其團隊聘請了一名全職衍生品交易員。

截至6月底，Argo資產負債表上有1953枚比特幣，其中210枚為比特幣等價物，其中637枚比特幣在6月份以24500美元的平均價格售出。（Proactive Investors）[2022/7/7 1:57:41]

恐嚇用戶：主要通過對用戶的隱私進行攻擊，勒索者通過大量群發勒索郵件，利用社會工程學，攻擊人性弱點，聲稱自己已經入侵并控制了收件人的電腦，發現了不可告人的隱私秘密，如果不交付贖金就把你的秘密發到網上或者群發給你的好友，從而達到勒索錢財目的。

勒索軟件的傳播

勒索軟件正在快速地演變，融合了很多惡意軟件的傳播特性，新的勒索病能夠在企業中快速地傳播和感染整個網絡，對能夠訪問的各種數據進行加密，甚至很多企業因此造成了業務的中斷，這對企業的安全防御帶來了巨大的挑戰。

電子郵件

攻擊者通過發送電子郵件的形式傳播勒索軟件，這種電子郵件看起來與某些知名的機構、品牌或者社交網站的界面極度相似，減輕被攻擊者的戒備，攻擊者將惡意鏈接直接放在郵件中或者放在電子郵件的附件中，只要被攻擊者點擊了這個鏈接或打開了這個附件，包含勒索軟件的文件就會被自動下載、觸發。

案例：2019年3月11日起，境外某黑客組織對我國有關政府部門開展勒索病郵件攻擊。郵件內容為“你必須在3月11日下午3點向警察局報到！”，附件名為“03-11-19.rar”。

研究發現，該勒索病版本號為GANDCRABV5.2，是國內最活躍的勒索病之一，郵件傳播是他們最廣泛使用的傳播方式，而且由于使用了RSA+Salsa20的加密方式，受害用戶無法拿到病作者手中私鑰，無法解密。該病運行后將對用戶主機硬盤數據全盤加密，要求受害用戶繳納贖金。

網站和下載

用戶瀏覽受感染的網站并下載軟件，讓用戶誤以為這是一個真正的軟件，但它實際上是包含勒索病的勒索軟件。

案例：2016年，首個針對蘋果操作系統的勒索軟件KeRanger被發布，它通過已經遭受感染的TransmissionBitTorrent客戶端的安裝程序進行迅速傳播。在2016年3月4日和5日下載Transmission的MacOSX的用戶都有可能面臨該惡意軟件的威脅。

用戶一旦安裝該勒索軟件，KeRanger將會搜索大約300個不同的文件類型，并對其發現的任意文件進行加密。隨后，該勒索軟件會彈出要求受害者支付1比特幣贖金的勒索通知單，并要求被攻擊者通過暗網完成贖金支付。

利用漏洞傳播

攻擊者抓住很多人認為打補丁沒用還會拖慢系統的錯誤認識，從而利用剛修復不久或大家重視程度不高的漏洞進行傳播。

如果用戶未及時更新系統或安裝補丁，那么即便用戶未進行任何不當操作，也有可能在完全沒有預兆的情況下中勒索病。此類勒索軟件在破壞功能上與傳統勒索軟件無異，但因為傳播方式不同，導致更加難以防范，需要用戶自身提高安全意識，盡快更新有漏洞的軟件或安裝對應的安全補丁。

案例：WannaCry是一種“蠕蟲式”的勒索病軟件，大小3.3MB，由不法分子利用NSA泄露的危險漏洞“EternalBlue”進行傳播。

該病感染計算機后，會導致電腦大量文件被加密。受害者電腦被黑客鎖定后，病會提示支付當時價值約300美元的比特幣才可解鎖。

虛擬貨幣作為贖金

從技術層面上來看，我們不得不承認，勒索病和虛擬貨幣二者的結合非常完美，在虛擬貨幣被廣泛使用之前，病的制造者想通過勒索病直接獲利并不是太容易的事情，他們除了要挾持受害者的計算機設備或文件，還得讓受害者支付現金或銀行轉帳才能獲得收益，這種方式太容易被抓獲。

所以在過去的幾十年中，雖然勒索病很早就存在，但并沒有大規模的爆發，造成巨大影響。而虛擬貨幣的出現打破了這一平衡，受害人通過虛擬貨幣的形式支付，虛擬貨幣的匿名性和全球流通性不僅可以極為快捷地跨境交易，更可以一定程度的躲避監管。

被勒索軟件攻擊的企業會收到勒索贖金通知單，通知單中要求被攻擊者使用虛擬貨幣支付贖金，通常還包括如何從交易所購買虛擬貨幣的指南。

虛擬貨幣雖然給黑客組織帶來了“新通道”，但是目前能夠使用虛擬貨幣直接支付的場景非常少，所以攻擊者得到虛擬貨幣贖金之后必然將其兌現為法幣，那么通過分析資金流向就可能追蹤到犯罪分子的蹤跡。

止損和預防措施

當我們已經確認被勒索軟件攻擊后，應當及時采取必要的止損措施，避免損失的進一步擴大。

當確認服務器已經被感染勒索病后，應立即隔離被感染主機。一方面是為了防止感染主機自動通過連接的網絡繼續感染其他服務器；另一方面是為了防止黑客通過感染主機繼續操控其他服務器。

隔離常用的操作方法是斷網和關機。斷網主要操作步驟包括：拔掉網線、禁用網卡，如果是筆記本電腦還需關閉無線網絡。

在已經隔離被感染主機后，應對局域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，并檢查備份系統是否被加密等，以確定感染的范圍。

另外，備份系統如果是安全的，就可以避免支付贖金，順利地恢復文件。

所以，當確認服務器已經被感染勒索病后，并確認已經隔離被感染主機的情況下，應立即對核心業務系統和備份系統進行排查。

基于勒索軟件可防可控不可治的特點，知帆科技安全專家提醒大家：

企業用戶：構建網絡安全防護體系，加強數據安全保護，設置防火墻，及時更新病庫，廣泛獲取威脅情報，建立企業病預警機制。

個人用戶：提高網絡安全意識，定期給操作系統打補丁，不要點擊來源不明的郵件、鏈接和軟件，重要的數據和文檔及時備份。

Tags：比特幣LYMETHIDO比特幣價格今日行情價格美元olympus幣前景PETH18CIDO價格

世界幣