勒索软件不赚钱，黑客换了4种姿势

最近，雷锋网看到了好几则关于勒索软件（病毒）的消息，一是火绒说，国内勒索病毒疫情严重，每日十多万台电脑被感染。

好像很可怕的样子。。。

然后，腾讯和360说，他们发现了一款奇葩的勒索病毒，用户中招之后其电脑文件被加密，却无需缴纳数字货币赎金，而是被要求玩 1 小时的吃鸡游戏，之后被加密的文件将自动解锁。

咦，等等，画风有点不对，说好的“以牟利为出发点”呢？现在，黑客都有闲情逸致干这个了？

偶然间，雷锋网向一位做过市场调查的安全研究员咨询“勒索病毒这么多，损失是不是很大”时，对方愣了一下，实诚地跟我说：“虽然勒索病毒这么多，你听说过很多成功付款的案例吗？”

。。。。编辑陷入了深深的思考中。

直到 4 月 12 日，编辑去了赛门铁克的《互联网安全威胁报告》发布会，他们提到的趋势与观点竟与上述安全研究员的结论类似，我才发现，很多事情原来就是从黑客靠“纯勒索”赚不到钱开始的。。。

**这是为了赚钱，黑客丧心病狂转变的分界线**

1.赚不到钱没关系，加密货币劫持攻击走起

如果你对之前的“纯勒索”稍微有点了解，就会发现黑客大概率是要求以比特币形式支付赎金的，过去一年，加密货币价值激增，“纯勒索”生意不景气怎么办？

黑客的选择

加密货币劫持攻击——“淘金”

2017年，在全球终端计算机上所检测到的恶意挖矿程序暴增 8500 %。在加密货币挖矿攻击中，中国在亚太区排名第13位，全球排名第40位。

即便是 Mac 电脑也未能幸免此类攻击，针对 Mac 操作系统的挖币攻击增长了 80 %。这是由于通过利用基于浏览器的攻击手段，攻击者无需将恶意软件下载到受害者的 Mac 或个人电脑上，便能轻松发动网络攻击。

哦，对了，挖比特币划不来，大家又瞅准了更隐蔽的门罗币。。。

这其中，三分之二的受害者是个人消费者，但针对企业的攻击也在逐渐增加。

赛门铁克大中华区首席运营官罗少辉预测，加密货币劫持有三个趋势：

僵尸网络

将企业作为目标

云端劫持

为什么是这三种趋势？

当然是为了赚更多的钱。

第一，利用已经感染恶意软件的计算机与物联网设备所组成的传统僵尸网络或基于浏览器的网页恶意挖矿程序，进行分布式挖矿，这意味着黑客能建立更大的挖矿规模，并且统一、快速找到更多的“矿工”。

第二，对企业进行攻击，可以得到服务器与超级计算机的控制权，拥有更强的运算能力。

第三，云服务为高强度挖矿提供了可能性。

2.用勒索攻击做幌子，其实搞的是针对性攻击

出于多种原因，针对性攻击组织同样对勒索软件产生兴趣，他们或将利用勒索软件提升外币价值，又或利用虚假勒索软件，为其他攻击进行掩护。

我们来看看其中的典型代表：

KillDisk

KillDisk 是由一个叫「TeleBots」的团伙开发，该团体也开发了同名的后门木马，并为 2016 年破坏乌克兰公司的网络攻击负责。除此之外，乌克兰银行也被使用包含该木马的恶意电子邮件攻击。

点评：KillDisk 是针对性攻击的完美掩盖，勒索软件攻击非常常见，并且不容易引起怀疑；加密或格式化计算机能够为入侵系统打掩护。

WannaCry 

WannaCry 勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。

点评：财政困难政府的外币来源。

NotPetya

NotPetya 是源自类似 Petya 的全新形式勒索病毒，可以将硬盘整个加密和锁死，从内存或者本地文件系统里提取密码。此前，欧洲再度爆发大规模网络安全事件，包括全球最大的广告公司WPP在内的欧洲企业以及乌克兰基辅机场的网络系统受到攻击，陷入瘫痪，相关用户被要求支付300美元的加密式数字货币以解锁电脑。

点评：利用勒索软件作为伪装，掩饰真正的破坏性攻击行为。

3.勒索软件成为“商品”

2016年，勒索软件的丰厚利润让无数攻击者趋之若鹜，市场一度饱和。于是，颇具商业头脑的黑客就开始调整勒索软件市场，将勒索软件作为“商品”出售。

4.植入式恶意软件增长 200 %，黑客转向软件供应链

前不久，雷锋网宅客频道还报道过，某组织在世界范围内进行了一个PIP软件仓库的实验，，不需要其他投入，只要一个免费的邮箱，一台能连上互联网的机器，就能对程序员进行这场网络安全的测试。

普通的程序员要用一些工具去做××软件，可能会先查询一下，程序员是非常单纯的，比如，他可能要个pip install zlib，但是事实上这个东东的正经名字叫做zlib3，很多程序员敲的时候，没有意识到，就敲了zlib 开始搜索。所以，XXXX就在 python pip 源上传“恶意测试”包 zlib，总数约 20 个。

然后实验者就开始等待了……

100 天之内这场测试获得了全球X0000台主机的控制权，其中XX000台是最高权限。

还好只是一次实验。

但事实上，2017 年植入软件供应链的恶意软件攻击出现了 200 %的增长，与2016年平均每月发生4次攻击相比，相当于2017年每个月都发生1次攻击。

通过劫持软件更新链，攻击者以此为攻破口，破坏防卫森严的网络。Petya勒索软件的爆发成为软件供应链攻击的典型案例。Petya 攻击以乌克兰的财务软件作为切入点，通过使用多种方式在企业网络中进行大肆传播，部署恶意载荷。

宅客频道注：上述结论部分出自《互联网安全威胁报告》。