勒索软件进化史：揭秘全球百亿损失的幕后黑手

责任编辑：cres

作者：D1net编译

2025-03-17 11:44:23

来源：企业网D1Net

原创

勒索软件通过加密数据、双重勒索（威胁泄露信息）和RaaS模式，成为全球最猖獗的网络犯罪之一。

本文列出的勒索软件团伙及其恶意软件已经使数百万家公司受害，并造成了数十亿美元的损失。

勒索软件有着悠久的历史，可追溯到20世纪80年代末。仅在过去一年里，它就为背后的犯罪集团带来了8.11亿美元的收益。即使受害者支付了赎金，也会产生恢复成本。

鉴于攻击者能从中获得经济利益，勒索软件团伙和恶意软件的激增也就不足为奇了。能够开发和交付勒索软件代码的勒索软件威胁行为者(ransomware threat actors)的数量可能数以百计。这还不包括从某些威胁行为者那里购买勒索软件即服务(RaaS)产品的所谓“附属人员”。

以下是一份历史上关键的勒索软件恶意软件和团伙的清单，其中一些至今仍活跃。它们的入选是基于其影响或创新特性。这并不是一份详尽无遗的清单，而且虽然其中大多数已不再活跃，但这并不能保证它们将来不会以更大、更恶劣的形式重新出现，这种情况经常发生。

要了解当前活跃的恶意行为者的最新情况，请参阅“当今最活跃的12个勒索软件团伙：肮脏十二人”。

Cerber

历史：Cerber是一个RaaS平台，于2016年首次出现，当年7月便为攻击者带来了20万美元的收益。

工作原理：Cerber利用微软漏洞感染网络。它的工作原理与其他勒索软件威胁类似。它使用AES-256算法加密文件，并针对包括文档、图片、音频文件、视频、档案和备份在内的多种文件类型。它还可以扫描并加密可用的网络共享，即使它们未在计算机上映射到驱动器号。之后，Cerber会在受害者的桌面上留下三个文件，其中包含赎金要求和支付说明。

目标受害者：作为RaaS平台，Cerber对任何人都是威胁。

归因：Cerber的创建者在一个私人的俄语论坛上出售该平台。

当前状态：据报道，Cerber至今仍活跃。

Conti

历史：Conti RaaS平台首次出现于2020年5月，被认为是Ryuk勒索软件的后继者。截至2021年1月，Conti据信已感染超过150家组织，并为其犯罪开发者和附属人员赚取了数百万美元。自其出现以来，已发现至少三个新版本。

工作原理：Conti采用双重威胁手段，即扣留解密密钥并出售或泄露受害者的敏感数据。它甚至运营一个名为Conti News的网站，列出其受害者并发布被盗数据。一旦恶意软件感染系统，它会花时间横向移动以访问更多敏感系统。Conti以其使用多线程快速加密文件而闻名。

目标受害者：作为RaaS运营，Conti对任何人都是威胁，尽管2021年1月的一轮感染似乎针对的是政府组织。据信，Wizard Spider团伙在针对爱尔兰国家医疗服务以及至少16家美国医疗保健和应急网络的勒索软件攻击中使用了Conti。

归因：Conti是单个团伙的作品，其成员身份仍未知。

当前状态：据报道，Conti于2022年5月解散，但其附属人员仍可以使用和分发该勒索软件。

CryptoLocker

历史：CryptoLocker首次发现于2013年的一次攻击中，它开启了现代勒索软件时代，并在其高峰期感染了多达50万台Windows机器。它也被称为TorrentLocker。2014年7月，美国司法部宣布已“中和”CryptoLocker。

工作原理：CryptoLocker是一种木马，会在受感染的计算机中搜索要加密的文件，包括任何内部或网络连接的存储设备。它通常通过包含恶意链接的钓鱼邮件附件进行传播。一旦打开文件，就会激活下载器，从而感染计算机。

目标受害者：CryptoLocker似乎没有针对任何特定实体。

归因：CryptoLocker由开发Gameover Zeus(一种银行木马)的犯罪团伙成员创建。

当前状态：CryptoLocker于2014年5月通过托瓦行动(Operation Tovar)有效关闭，该行动拆除了用于分发该恶意软件的Gameover ZeuS僵尸网络。

CryptoWall

历史：CryptoWall(也称为CryptoBit或CryptoDefense)首次出现于2014年，并在原始CryptoLocker关闭后变得流行起来。它经历了多次修订。

工作原理：CryptoWall通过垃圾邮件或漏洞利用工具包进行传播。其开发者似乎避免使用复杂手段，而是采用简单但有效的经典勒索软件方法。在其运营的前六个月里，它感染了62.5万台计算机。

目标受害者：这种勒索软件已经使全球数万种类型的组织受害，但避免针对俄语国家。

归因：CryptoWall的开发者可能是一个来自俄语国家的犯罪团伙。CryptoWall 3.0会检测它是否正在白俄罗斯、乌克兰、俄罗斯、哈萨克斯坦、亚美尼亚或塞尔维亚的计算机上运行，然后自行卸载。

当前状态：CryptoWall在2014年至2018年期间是一个主要的勒索软件威胁，但目前似乎已不再活跃。

CTB-Locker

历史：CTB-Locker首次报告于2014年，是另一种以高感染率而闻名的RaaS产品。2016年，CTB-Locker的一个新版本瞄准了Web服务器。

工作原理：附属人员每月向CTB-Locker开发者支付费用，以获得托管勒索软件代码的访问权限。该勒索软件使用椭圆曲线密码学加密数据。它还以其多语言功能而闻名，这增加了全球潜在受害者的数量。

目标受害者：鉴于其RaaS模式，CTB-Locker对任何组织都是威胁，但西欧、北美和澳大利亚的一级国家最常受到攻击，尤其是那些已知支付过赎金费用的国家。

当前状态：CTB-Locker在2014年至2015年期间特别活跃，但目前似乎已不再活跃。

DarkSide

历史：DarkSide自2020年8月至少就已开始运营，并在2021年5月因导致Colonial Pipeline瘫痪的勒索软件攻击而跃入公众视野。

工作原理：DarkSide通过附属计划采用RaaS模式。它使用数据加密和数据泄露的双重勒索威胁。它通常通过手动黑客技术部署。DarkSide的运营商似乎很懂媒体。他们运营一个网站，记者可以在该网站上注册以提前获取有关漏洞和非公开信息，并承诺快速回复任何媒体问题。

目标受害者：DarkSide背后的团伙声称，他们不会攻击医疗机构、COVID疫苗研究和分销公司、殡葬服务、非营利组织、教育机构或政府组织。在Colonial Pipeline攻击之后，该团伙发表声明称，他们将在附属人员发动攻击之前审查其潜在受害者。

归因：据信，DarkSide团伙在俄罗斯运营，并可能是REvil团伙的前附属人员。

当前状态：一些专家认为，DarkSide已重新命名为BlackCat(ALPHV)勒索软件团伙，该团伙在2024年3月Change Healthcare攻击后据报道已关闭。

DoppelPaymer

历史：DoppelPaymer首次出现于2019年6月，至今仍活跃且危险。美国联邦调查局(FBI)网络司在2020年12月对其发出了警告。2020年9月，它首次被用于导致死亡的勒索软件攻击，当时一家受害的德国医院被迫将一名患者转移到另一家医院。

工作原理：DoppelPaymer背后的团伙使用不寻常的手段，即使用伪造的美国电话号码致电受害者，要求支付通常约为50个比特币(在其首次出现时约为60万美元)的赎金。他们声称来自朝鲜，并发出泄露或出售被盗数据的双重威胁。在某些情况下，他们更进一步，威胁受害公司员工的生命安全。

DoppelPaymer似乎基于BitPaymer勒索软件，尽管它有一些关键差异，例如使用线程文件加密以获得更好的加密速度。与BitPaymer不同，DoppelPaymer使用名为Process Hacker的工具来终止安全、电子邮件服务器、备份和数据库进程及服务，以削弱防御并避免干扰加密过程。

目标受害者：DoppelPaymer针对医疗保健、紧急服务和教育等关键行业。

归因：尚不清楚，但一些报告表明，Dridex木马背后的团伙的一个分支(称为TA505)是DoppelPaymer的幕后黑手。

当前状态：DoppelPaymer于2023年2月被德国和乌克兰警方捣毁。在其被捣毁之前，从2021年5月左右开始，DoppelPaymer的活动显著减少，一些专家得出结论认为，该威胁背后的主要参与者已将其勒索软件重新命名为Grief，该团伙至今仍活跃。

Egregor

历史：Egregor于2020年9月出现，并迅速壮大。它的名字来自神秘世界，被定义为“一群人(尤其是当他们的目标一致时)的集体能量”。2021年2月9日，美国、乌克兰和法国当局联合行动，逮捕了多名Egregor团伙成员和附属人员，并将其网站关闭。

工作原理：Egregor遵循数据加密和如果不支付赎金就威胁泄露敏感信息的“双重勒索”趋势。其代码库相对复杂，能够通过使用混淆和抗分析技术来避免被检测。

目标受害者：截至11月底，Egregor在全球范围内19个行业的至少71个组织中被利用。

归因：Egregor的崛起恰逢Maze勒索软件团伙宣布停止运营。Maze团伙的附属成员似乎已转投Egregor。它是Sekhmet勒索软件家族的一个变种，与Qakbot恶意软件有关联。

当前状态：在Maze勒索软件团伙宣布关闭后不久，Egregor便浮出水面。该勒索软件在2020年9月至2021年初最为活跃，之后被FBI和乌克兰当局取缔。

FONIX

历史：FONIX是一种勒索软件即服务(RaaS)，首次发现于2020年7月。它迅速经历了多次代码修订，但在2021年1月突然关闭。之后，FONIX团伙释放了其主解密密钥。

运作方式：FONIX团伙在网络犯罪论坛和暗网上宣传其服务。购买FONIX的人需要向团伙发送一个电子邮件地址和密码。团伙随后向买家发送定制的勒索软件有效载荷。FONIX团伙会从任何支付的赎金中抽取25%的份额。

目标受害者：由于FONIX是RaaS，任何人都有可能成为受害者。

归因：一个未知的网络犯罪团伙

当前状态：FONIX从未达到主要参与者的地位，自2021年起便已不复存在。

GandCrab

历史：GandCrab可能是有史以来最赚钱的RaaS。截至2019年7月，其开发者声称已从受害者那里获得了超过20亿美元的支付。GandCrab首次发现于2018年1月。

运作方式：GandCrab是面向网络犯罪分子的附属勒索软件程序，这些犯罪分子需要向其开发者支付他们收取的赎金的一部分。该恶意软件通常通过包含恶意内容的Microsoft Office文档通过钓鱼邮件发送。GandCrab的不同变种利用了诸如Atlassian的Confluence等软件中的漏洞。在这种情况下，攻击者利用漏洞注入一个恶意模板，从而能够远程执行代码。

目标受害者：GandCrab感染了全球多个行业的系统，但它被设计为避开俄罗斯语区的系统。

归因：GandCrab与俄罗斯国民Igor Prokopenko有关联。

当前状态：GandCrab在2018年1月至2019年5月期间是一个主要的勒索软件威胁。研究人员怀疑其背后的团伙转移了焦点，开发了一种名为REvil或Sodinokibi的勒索软件变种。Sodinokibi/REvil至今仍很活跃。

GoldenEye

历史：GoldenEye出现在2016年，似乎基于Petya勒索软件。

运作方式：GoldenEye最初是通过针对人力资源部门发起的一项活动传播的，活动中使用了虚假的求职信和简历。一旦其有效载荷感染了一台计算机，它便会执行一个宏，该宏会加密计算机上的文件，并在每个文件末尾添加一个随机的8个字符的扩展名。然后，该勒索软件会修改计算机的硬盘主引导记录，用一个自定义的引导加载程序替换。

目标受害者：GoldenEye的钓鱼邮件最初针对的是德语用户。

归因：未知

当前状态：GoldenEye在2017年6月重新浮出水面，对乌克兰发起攻击，但目前似乎已不再活跃。

Grief

历史：Grief勒索软件，也被称为“Pay or Grief”，被认为是DoppelPaymer的继任者，出现于2021年5月。在5月至10月期间，该团伙声称已攻破了41家公司和其他组织，其中大多数位于欧洲和英国。据估计，在该时间段内，该团伙获利超过1100万美元。10月底，该团伙声称已攻破美国全国步枪协会(NRA)，并窃取数据以勒索赎金。

运作方式：Grief是一个RaaS运营组织，与附属机构合作，这些附属机构执行入侵并安装勒索软件程序，以换取从赎金支付中获得的佣金。该团伙通过从被攻破的组织中窃取数据并进行双重勒索(如果受害者不支付赎金，就威胁要泄露数据)来实现其目的。Grief维护了一个泄露网站，发布有关受害者的信息。最近，它开始警告受害者，如果他们联系执法部门、勒索软件谈判专家或数据恢复专家，他们将清除他们有权限访问的系统，使受害者即使愿意支付解密密钥的费用也无法恢复其文件。

DoppelPaymer和Grief之间的代码差异很小。DoppelPaymer用来终止各种进程的嵌入式ProcessHacker二进制文件已被删除，用于加密例程的RC4密钥已从40字节增加到48字节。否则，加密算法保持不变：2048位RSA和256位AES。

目标受害者：Grief已攻破了多家制造商、药店、食品和酒店服务提供商、教育机构以及市政当局和至少一个政府辖区。该团伙并未在其泄露网站上公布其声称攻破的所有受害者的身份。

归因：Grief勒索软件据信由Evil Corp运营，这是一个网络犯罪团伙，此前因运营Dridex僵尸网络和WastedLocker以及DoppelPaymer勒索软件而闻名。Evil Corp是被财政部列入制裁名单的网络犯罪团伙之一，与该团伙相关的两名个人也被列入FBI的最想通缉名单。

当前状态：Grief至今仍很活跃。

Jigsaw

历史：Jigsaw首次出现在2016年，但研究人员在其被发现后不久便发布了一个解密工具。

运作方式：Jigsaw最引人注目的特点是它会加密一些文件，要求支付赎金，然后逐步删除文件，直到支付赎金为止。它每小时删除一个文件，持续72小时。到那时，它会删除所有剩余的文件。

目标受害者：Jigsaw似乎没有针对任何特定的受害者群体。

归因：未知

当前状态：Jigsaw已不再以其原始形式活跃，但其源代码是公开可用的，这允许威胁行为者修改和适应该恶意软件。

KeRanger

历史：KeRanger于2016年被发现，被认为是首款针对Mac OS X应用程序的勒索软件。

运作方式：KeRanger是通过一个合法但被破解的BitTorrent客户端分发的，该客户端能够躲避检测，因为它有一个有效的证书。

目标受害者：Mac用户

归因：未知

当前状态：KeRanger已不再被认为活跃。

Leatherlocker

历史：Leatherlocker首次发现于2017年，存在于两款Android应用程序中：Booster & Cleaner和Wallpaper Blur HD。谷歌在发现后不久便从应用商店中移除了这些应用程序。

运作方式：受害者下载看似合法的应用程序。然后，该应用程序会请求权限，这些权限授予恶意软件执行所需的访问权限。Leatherlocker不会加密文件，而是锁定设备主屏幕，以防止访问数据。

目标受害者：下载受感染应用程序的Android用户。

归因：一个未知的网络犯罪团伙。

当前状态：Leatherlocker似乎已不再活跃。

LockerGoga

历史：LockerGoga于2019年出现，在对工业公司的攻击中被发现。尽管攻击者要求支付赎金，但LockerGoga似乎故意设计得难以支付赎金。这导致一些研究人员认为其意图是破坏而非获利。

运作方式：LockerGoga使用包含恶意附件的钓鱼邮件来感染系统。这些有效载荷使用了有效的证书进行签名，从而能够绕过安全系统。

目标受害者：LockerGoga攻击了欧洲的制造公司，其中最引人注目的是Norsk Hydro，在那里它导致了全球范围内的IT系统关闭。

归因：一些研究人员认为LockerGoga可能是一个国家所为。

当前状态：LockerGoga对工业公司造成了严重的破坏和财务损失，包括对Norsk Hydro在2019年3月的攻击。欧洲刑警组织逮捕了LockerGoga、MegaCortex和Dharma勒索软件攻击的嫌疑人，从而遏制了这一威胁。

Locky

历史：Locky于2016年开始传播，其攻击模式与银行恶意软件Dridex相似。Locky激发了包括Osiris和Diablo6在内的多种变种。

运作方式：受害者通常会收到一封包含声称是发票的Microsoft Word文档的电子邮件。该发票包含恶意宏。Microsoft出于安全考虑默认禁用宏。如果启用了宏，文档将运行宏，该宏会下载Locky。Dridex使用相同的技术来窃取帐户凭据。

目标受害者：Locky早期的攻击针对医院，但随后的攻击更为广泛且没有特定目标。

归因：由于Locky和Dridex之间的相似性，人们怀疑Locky背后的网络犯罪团伙与Dridex背后的团伙有关联。

当前状态：Locky在2016年至2017年期间是一个重大威胁，但现已不再活跃。

Maze

历史：Maze是一个相对较新的勒索软件组织，于2019年5月被发现。如果受害者不支付解密费用，该组织就会将窃取的数据公之于众，因此臭名昭著。Maze组织于2020年9月宣布停止运营。

运作方式：Maze攻击者通常使用可能已被猜测到、默认或通过钓鱼活动获得的有效凭据远程进入网络。然后，该恶意软件使用开源工具扫描网络，以发现漏洞并了解网络情况。之后，它会在整个网络中横向移动，寻找可用于权限提升的更多凭据。一旦找到域管理员凭据，它就可以访问并加密网络上的任何内容。

目标受害者：Maze在全球范围内针对所有行业进行活动。

归因：据信，Maze背后的操作者不是单一的犯罪团伙，而是多个分享各自专长的犯罪团伙。

当前状态：Maze已于2020年停止运营。

Mespinoza(又称PYSA)

历史：Mespinoza组织于2019年首次被发现，以狂妄和古怪而闻名。根据Palo Alto Networks下属的Unit 42部门的一份报告，该团伙将受害者称为“合作伙伴”，并提供建议以说服管理层支付赎金。Mespinoza使用自己的工具，如MagicSocks和HappyEnd.bat。

运作方式：尽管古怪，但据Unit 42称，Mespinoza在行动方面相当有纪律。该团伙会对潜在受害者进行深入研究，以锁定拥有最有价值资产的受害者。然后，他们会在文档中查找如社会保险号、驾驶证或护照等关键词，以识别最敏感的文件。该攻击使用远程桌面协议(RDP)获得网络访问权限，然后使用开源和内置系统工具横向移动并收集凭据。它安装名为Gasket的恶意软件来创建后门。Gasket具有一个名为MagicSocks的功能，该功能可创建用于远程访问的隧道。该团伙采用双重勒索手段，包括如果不支付赎金就威胁泄露敏感数据。

目标受害者：Mespinoza在全球范围内活动，并针对许多行业的大型企业进行攻击。最近，它攻击了美国和英国的K-12学校、大学和神学院。

归因：未知

当前状态：Mespinoza似乎仍在活动，但其活动水平远低于2020年至2021年的高峰期。

Netwalker

历史：自2019年以来一直活跃，Netwalker是另一种勒索软件行动，它采用扣留解密密钥和出售或泄露窃取数据的双重威胁手段。然而，2021年1月底，美国司法部宣布了一项全球行动，破坏了Netwalker的运营。

运作方式：从技术角度来看，Netwalker是一种相对普通的勒索软件。它利用钓鱼邮件获得立足点，加密并渗出数据，并发送勒索要求。但威胁曝光敏感数据的第二重手段使其更加危险。据悉，它通过将窃取的数据放入暗网上的密码保护文件夹中，然后公开密钥来释放这些数据。

目标受害者：Netwalker主要针对医疗保健和教育机构。

归因：据信，Circus Spider团伙创建了Netwalker。

当前状态：在COVID-19大流行期间，Netwalker因针对医疗保健、教育和政府组织发动攻击而声名狼藉。2021年1月的一次执法行动破坏了Netwalker的基础设施，导致逮捕和加密货币被没收。2023年2月，出现了一种名为Alpha的新勒索软件变种，它与Netwalker在技术上显示出明显的相似性。

NotPetya

历史：NotPetya首次出现于2016年，实际上是一种名为wiper的数据销毁恶意软件，伪装成勒索软件。

运作方式：NotPetya病毒在表面上与Petya相似，因为它会加密文件并要求以比特币支付赎金。Petya需要受害者从垃圾邮件中下载它、启动它并给予管理员权限。而NotPetya可以在没有人为干预的情况下传播。最初的感染途径似乎是通过植入在M.E.Doc中的后门，M.E.Doc是乌克兰几乎所有公司都使用的会计软件包。在感染了Medoc服务器的计算机后，NotPetya使用包括EternalBlue和EternalRomance在内的多种技术传播到其他计算机。它还可以利用Mimikatz在受感染机器的内存中查找网络管理凭据，然后使用Windows PsExec和WMIC工具远程访问并感染本地网络上的其他计算机。

目标受害者：该攻击主要针对乌克兰。

归因：据信，俄罗斯GRU旗下的Sandworm组织是NotPetya的幕后黑手。

当前状态：在发动迄今为止最具破坏性的网络攻击后，NotPetya似乎已不再活跃。

Petya

历史：这个名字来源于1995年詹姆斯·邦德电影《黄金眼》中一个邪恶阴谋中的卫星。一个疑似属于该恶意软件作者的Twitter账户使用扮演片中恶棍的演员艾伦·卡明的照片作为头像。Petya恶意软件的初始版本于2016年3月开始传播。

运作方式：Petya会作为声称是求职者简历的电子邮件附件到达受害者的计算机。它是一个包含两个文件的软件包：一张年轻男子的库存图片和一个可执行文件，文件名中通常包含“PDF”字样。当受害者点击该文件时，Windows用户访问控制警告会告诉他们，该可执行文件将对计算机进行更改。一旦受害者接受更改，恶意软件就会加载，然后通过攻击存储媒体上的低级结构来拒绝访问。

目标受害者：任何Windows系统都可能是潜在目标，但乌克兰受到的打击最为严重。

归因：未知

当前状态：Petya因其与更具破坏性的NotPetya wiper的相似性而备受瞩目，但如今已不再活跃。

Purelocker

历史：PureLocker RaaS平台于2019年被发现，针对运行Linux或Windows的企业生产服务器。它使用PureBasic语言编写，因此得名。

运作方式：PureLocker依靠more_eggs后门恶意软件来获得访问权限，而不是通过钓鱼尝试。攻击者瞄准已经被攻破的机器，并且他们了解这些机器。然后，PureLocker分析这些机器并有选择地加密数据。

目标受害者：研究人员认为，只有少数犯罪团伙能够支付PureLocker的费用，因此其使用仅限于高价值目标。

归因：more_eggs后门背后的恶意软件即服务(MaaS)提供商很可能是PureLocker的幕后黑手。

当前状态：过去五年中，几乎没有报告与Purelocker相关的攻击。

RobbinHood

历史：RobbinHood是另一种使用EternalBlue的勒索软件变种。2019年，它使马里兰州巴尔的摩市陷入瘫痪。

运作方式：RobbinHood最独特之处在于其有效载荷如何绕过端点安全。它包含五个部分：一个可执行文件，用于终止安全产品的进程和文件;用于部署已签名的第三方驱动程序和恶意未签名内核驱动程序的代码;一个已过时的Authenticode签名驱动程序，存在漏洞;一个恶意驱动程序，用于终止进程并从内核空间删除文件;以及一个包含要终止和删除的应用程序列表的文本文件。

该过时的已签名驱动程序有一个已知漏洞，恶意软件利用该漏洞来避免检测，然后在Windows 7、Windows 8和Windows 10上安装自己的未签名驱动程序。

目标受害者：巴尔的摩和北卡罗来纳州格林维尔等地方政府似乎是RobbinHood打击最严重的目标。

归因：一个身份不明的犯罪团伙

当前状态：RobbinHood在2019年声名狼藉，但近年来很少见到该恶意软件的踪迹。

Ryuk

历史：Ryuk首次出现于2018年8月，但基于2017年在地下网络犯罪论坛上出售的较旧勒索软件程序Hermes。

运作方式：它通常与其他恶意软件(如TrickBot)结合使用。Ryuk团伙以使用手动黑客技术和开源工具在私有网络中横向移动并获得尽可能多的系统管理员访问权限而闻名，然后才启动文件加密。

Ryuk攻击者向受害者索取高额赎金，通常介于15到50个比特币之间(大约10万美元到50万美元)，尽管据报道也曾支付过更高的赎金。

目标受害者：企业、医院和政府组织(通常是那些最易受攻击的组织)是Ryuk最常见的受害者。

以下是将文件内容翻译成中文的结果，同时确保了翻译的准确性和流畅性，以及保留了原文的意图和语境：

Ryuk

历史：Ryuk最初被认为是由朝鲜的Lazarus组织开发的，该组织在2017年10月使用Hermes对台湾远东国际银行(FEIB)发动了攻击。但现在人们认为，Ryuk是由一个获得Hermes访问权限的讲俄语的网络犯罪集团创建的。Ryuk团伙，有时也被称为Wizard Spider或Grim Spider，还运营着TrickBot。一些研究人员认为，Ryuk可能是以CryptoTech为绰号的Hermes原始作者或作者团队开发的。

现状：作为一种复杂的勒索软件变种，Ryuk截至2025年2月仍然活跃。

SamSam

历史：SamSam自2015年出现以来，主要针对的是医疗保健组织，并在接下来的几年里显著增加了攻击力度。

工作原理：SamSam是一个勒索软件即服务(RaaS)运营平台，其控制者会探测预先选定的目标以寻找漏洞。它利用了从IIS到FTP再到RDP等一系列漏洞。一旦进入系统，攻击者就会提升权限，以确保当他们开始加密文件时，攻击会造成特别大的破坏。

目标受害者：受害最严重的是美国的医疗保健和政府组织，包括科罗拉多州交通部和亚特兰大市。

归因：最初一些人认为SamSam起源于东欧，但SamSam主要针对的是美国机构。2018年底，美国司法部起诉了两名伊朗人，声称他们是这些攻击的幕后黑手。

现状：SamSam于2015年12月首次出现，截至2025年2月仍然活跃。

SimpleLocker

历史：SimpleLocker于2014年被发现，是第一个针对移动设备(特别是Android设备)的广泛传播的勒索软件攻击。

工作原理：当受害者下载恶意应用程序时，SimpleLocker会感染设备。然后，该恶意软件会扫描设备SD卡上的特定文件类型并对它们进行加密。之后，它会显示一个屏幕，要求支付赎金，并提供支付说明。

目标受害者：由于赎金说明是用俄语写的，并要求用乌克兰货币支付，因此人们认为攻击者最初是针对该地区的。

归因：SimpleLocker被认为是由开发其他俄罗斯恶意软件(如SlemBunk和GM Bot)的同一批黑客编写的。

现状：SimpleLocker目前被认为已不再活跃。

Sodinokibi/REvil

历史：Sodinokibi(也称为REvil)是另一个勒索软件即服务(RaaS)平台，于2019年4月首次出现。它显然与GandCrab有关，并且其代码还包含防止在俄罗斯和几个相邻国家以及叙利亚执行的功能。它曾导致22多个德克萨斯州的小镇关闭，并在2019年新年前夕使英国货币兑换服务Travelex瘫痪。最近，REvil勒索软件还被用于攻击肉类加工公司JBS，暂时扰乱了美国的肉类供应。它还对向托管服务提供商(MSP)提供软件的Kaseya发动了攻击，影响了数千名MSP客户。在Kaseya攻击后不久，REvil的网站就从互联网上消失了。

工作原理：Sodinokibi通过多种方式传播，包括利用Oracle WebLogic服务器或Pulse Connect Secure VPN中的漏洞。它针对Microsoft Windows系统，并加密除配置文件之外的所有文件。如果受害者不支付赎金，他们将面临双重威胁：无法找回数据，并且其敏感数据将被出售或在地下论坛上发布。

目标受害者：Sodinokibi感染了全球许多不同地区的组织，但排除了它明确不攻击的区域。

归因：在GandCrab关闭后，Sodinokibi开始崭露头角。该组织的一名据称成员(使用Unknown作为绰号)证实，该勒索软件是在该组织获取的旧代码库的基础上构建的。

现状：Sodinokibi/REvil至今仍然活跃。

TeslaCrypt

历史：TeslaCrypt是一种针对计算机游戏玩家的Windows勒索软件木马，于2015年首次被发现。虽然接连出现了几个新版本，但开发人员于2016年5月停止了运营，并发布了主解密密钥。

工作原理：一旦感染计算机(通常是在受害者访问运行了利用工具包的被黑客入侵的网站后)，TeslaCrypt就会查找并加密游戏文件，如游戏存档、录制回放和用户配置文件。然后，它要求支付500美元的比特币费用以解密文件。

目标受害者：计算机游戏玩家

归因：未知

现状：自2016年5月起已不再活跃

Thanos

历史：Thanos勒索软件即服务(RaaS)平台相对较新，于2019年底被发现。它是第一个使用RIPlace技术的平台，该技术可以绕过大多数反勒索软件方法。

工作原理：Thanos在地下论坛和其他封闭渠道上进行宣传，是一种定制工具，其附属机构使用该工具创建勒索软件有效载荷。它所提供的许多功能都是为了逃避检测。Thanos开发人员发布了多个版本，增加了禁用第三方备份、删除Windows Defender签名文件以及使响应团队取证更加困难等功能。

目标受害者：作为RaaS平台，Thanos可以攻击任何组织。

归因：未知

现状：Thanos RaaS至今仍然活跃。

WannaCry

历史：得益于美国国家安全局(NSA)开发的后来被黑客窃取的EternalBlue漏洞利用工具，WannaCry蠕虫在2017年5月迅速通过计算机网络传播，并迅速感染了数百万台Windows计算机。

工作原理：WannaCry由多个组件组成。它以一个名为“dropper”的自包含程序的形式出现在受感染的计算机上，该程序会提取嵌入在其自身内部的其他应用程序组件，包括用于加密和解密数据的应用程序、包含加密密钥的文件以及Tor的副本。一旦启动，WannaCry会尝试访问一个硬编码的URL。如果无法访问，它就会搜索并加密重要格式的文件，从Microsoft Office文件到MP3和MKV等格式的文件。然后，它会显示一个勒索通知，要求支付比特币以解密文件。

目标受害者：WannaCry攻击影响了全球的公司，但医疗保健、能源、交通和通信领域的高知名度企业受到的打击尤为严重。

归因：人们认为朝鲜的Lazarus组织是WannaCry的幕后黑手。

现状：安全研究人员Marcus Hutchins通过注册一个与恶意软件相关的域名而意外激活了一个终止开关，从而阻止了WannaCry的传播。

WastedLocker

历史：WastedLocker勒索软件是最近才出现的一种，自2020年5月开始攻击组织。它是勒索软件中较为复杂的一种，其创建者以要求高额赎金而闻名。

工作原理：该恶意软件使用基于JavaScript的攻击框架SocGholish，该框架以ZIP文件的形式通过出现在合法但被入侵的网站上的虚假浏览器更新进行分发。一旦激活，WastedLocker就会下载并执行PowerShell脚本和一个名为Cobalt Strike的后门。然后，该恶意软件会探索网络，并使用“本地存活”工具来窃取凭据并获得对高价值系统的访问权限。它使用AES和RSA加密技术的组合来加密数据。

目标受害者：WastedLocker主要针对最有可能支付高额赎金的高价值目标，主要集中在北美和西欧。

归因：一个名为Evil Corp的知名犯罪团伙是WastedLocker的幕后黑手。该团伙还因运营Dridex恶意软件和僵尸网络而闻名。

现状：截至2025年2月，WastedLocker仍然活跃。

WYSIWYE

历史：WYSIWYE(What You See Is What You Encrypt，所见即所加密)于2017年被发现，它是一个针对Windows系统的RaaS(Ransomware as a Service，勒索软件即服务)平台。

工作原理：它在网络上扫描开放的远程桌面协议(RDP)服务器。然后，它使用默认或弱密码尝试登录以访问系统，并在网络中传播。购买WYSIWYE服务的犯罪分子可以选择要加密的文件类型，以及是否在加密后删除原始文件。

受害者：WYSIWYE攻击首先出现在德国、比利时、瑞典和西班牙。

归责：未知

当前状态：WYSIWYE似乎已经停止运行。

Zeppelin

历史：Zeppelin于2019年11月首次出现，是Vega或VegasLocker RaaS的后继产品，这些RaaS曾使俄罗斯的会计公司以及东欧的公司受害。

工作原理：Zeppelin的功能比其前身更为强大，尤其是在可配置性方面。Zeppelin可以以多种方式部署，包括作为EXE文件、DLL文件或PowerShell加载器，但其中的一些攻击是通过被攻陷的托管安全服务提供商发起的。