尽管勒索软件问题直到现在才受到媒体和安全公司的广泛关注，事实上自第一款我们所知的勒索软件（AIDS Trojan）诞生至今已经过去了27年。卡巴斯基实验室分析了2014~2016年间卡巴斯基用户所反应的被勒索数据发现——勒索软件正在飞速增长，基于locker的勒索软件一如既往地令人担忧。

从2014年到2015年，勒索软件的增长可以说是爆发式的，这一年中勒索软件数量相对于2014年整整翻了5倍，且支付金额也在快速增加。

勒索软件作为一种恶意软件常常感染人们的设备，勒索软件会锁定被勒索者的重要文件或是操作系统，致使设备中的文件无法被打开或访问，并且伴随着钱款勒索信息出现，支付方式以比特币为主。勒索者通常会在被勒索者的屏幕上显示交付赎金的方式和地址，甚至会手把手教你如何购买比特币来提高勒索成功率。

如果不幸遭遇勒索软件也不要慌张，有很多免费的工具能够帮助你解锁文件，尝试失败过后再交赎金也不迟。当然，也不要太过爽快地交付赎金，勒索者可能会因为你强大的支付能力再次实施勒索。

一些主要发现

自2014年4月到2015年3月，全球范围内受到勒索软件敲诈的用户数量一年之内上涨了17.7%（从1,967,784 例上升到 2,315,931例）

遭遇勒索软件一次以上的用户数量上升0.7个百分点。2014年-2015年遭遇多次勒索软件攻击的用户占总受害者人数的3.63%，2015-2016占4.34%。

在这些受害者中，遭到加密型勒索软件的用户比例爆发式增长，达到25个百分点，从2014年的6.6%到2015年的31.6%。数量整整增加了5.5倍，从2014年的 131,111 例增加到2015年的718,536例。

遭到Win-locker型勒索软件敲诈的用户数量下降13.03%，从2014年的1,836,673例下降到2015年的1,597,395例。

勒索软件简史

一个勒索软件的命运要靠自我奋斗，也要考虑到历史的行程。勒索软件并不新鲜，已经以各种形态存在了近20年，它可以分为两种性质的勒索：

1、基于locker的勒索软件。顾名思义，这种勒索软件会阻止受害者访问目标文件。

2、基于加密的勒索软件，他们给受害者的重要文件加密使得受害者不得不交出赎金才能访问文件。

基于locker的勒索软件

第一起真正意义上的勒索软件“疫情”发生在2010年，数以千计的俄罗斯以及周边国家的家庭用户受到了影响。他们的电脑屏幕被勒索窗口占满，对方要求给受害者给指定的手机号发送指定的内容，就会解除浏览器锁定。

这个事件的规模越来越大，受害者数量剧增，甚至俄罗斯的司法机构开始介入，从电视到博客都经过媒体的大肆报道。

2010年8月，在莫斯科抓捕了数个罪犯，这几个罪犯都是制作locker软件的开发人员。据悉，该组织的非法收入大约有5亿卢布（约1250万欧元）。

基于locker的勒索软件的崛起是必然的，因为编写这种勒索软件并不需要很强的编程能力，而且还能获得不菲的收入，因此地下论坛中这种locker随处可见，如此简单的获利方式成功地吸引了大批的低水平网络犯罪者。

2010年底，卡巴斯基实验室的研究人员预测：

尽管逮捕了这些勒索软件的开发者，但是并没有从根本上解决勒索软件的问题。网络犯罪者会从其他渠道向受害者索取赎金，比如说电子货币系统。

几年后勒索软件的大逆转验证了这位研究员的预测。

基于加密的勒索软件

数年之前，风云突变。比特币的诞生给勒索软件带来又一春。比特币具有无法被追踪的特点的同时还拥有健全的支付系统，因此被广泛运用在网络犯罪中，基于加密的勒索软件如雨后春笋般涌现，深受网络犯罪者的喜爱。这个时期的勒索软件迎来了一次转变：它们不再锁住受害者的操作系统转而开始加密硬盘中的文件。

转变的原因很简单，因为加密文件的效率啊，efficiency。个人的文件是独一无二的，对于用户来说被加密的文件如果是无可替代的，那么他支付赎金的概率就会很高。随着基于加密的勒索软件的出现，解密工具也应运而生，加密与解密技术之间的对抗从未停止。如果犯罪者想要加强加密算法的强度，那么他可能需要花数百到数千美元向勒索软件的开发人员或是公司购买。

这两种勒索软件的最大的区别就在于：locker的加密勒索的损伤是可逆的。即使在最坏的情况下，一个受感染的PC的所有者可以简单地重新安装操作系统，来夺回文件的所有权。而基于加密的勒索软件远比基于locker的复杂，因为要解密已加密的文件必须有加密密钥，而加密密钥通常在加密者手中。强行解密很有可能损坏文件，造成巨大的损失，这也是勒索软件被企业用户所厌恶的原因之一，因此自觉主动地保护文件显得格为重要。

　　成功感染的后果的严重性也是为什么加密勒索受网络犯罪分子追捧的原因之一。

一时间，年轻人加密相对于长者locker来说并不普遍，但是精明的犯罪分子们并没有花太多的时间就做出了转变——由locker转向加密。一直到2015年底，勒索攻击的数量真正迎来了一次高潮。

据统计，在这一年中基于加密的勒索软件增幅达到5.5倍，从2014年的 131,111 例增加到2015年的718,536例。

全球范围内活跃的勒索软件家族

受勒索人数排名前10位的国家为是印度，俄罗斯，哈萨克斯坦，意大利，德国，越南，阿尔及利亚，巴西，乌克兰和美国。

然而，印度、阿尔及利亚、俄罗斯、越南、哈萨克斯坦、乌克兰和巴西的勒索是仍然是基于locker的勒索软件且版本较低。

2015年-2016年，以下四个勒索软甲家族最为活跃：TeslaCrypt（独占半壁江山，不过已经有针对的解密工具，文章回顾传送门）、CTB-Locker、Scatter、Cryakl（已有解密工具）。这四个家族几乎占了80%的勒索软件市场。

值得一提的是，勒索软件的目标也随着它的成长在发生转变，基于加密的勒索软件更多地瞄准企业。据统计，2015年遭到勒索软件攻击的企业比例较2014年翻了一番，从6.8%上涨到13.13%。

　　Reference To

http://www.theinquirer.net/inquirer/news/2462564/ransomware-attacks-increase-fivefold-in-just-one-year

https://securelist.com/analysis/publications/75145/pc-ransomware-in-2014-2016/

http://www.securityweek.com/history-and-statistics-ransomware?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A%20Securityweek%20%28SecurityWeek%20RSS%20Feed%29

https://blog.kaspersky.com/ransomware-blocker-to-cryptor/12435/

*本文作者：bimeover，转载请注明来自FreeBuf（FreeBuf.COM）