【MottoIN】2018勒索软件威胁态势安全报告

一.前言

去年5月,关注互联网安全的朋友们可能都听说过WannaCry勒索病毒事件,至今至少150多个国家遭受攻击,其中包括英国、美国、中国、俄罗斯、西班牙和意大利。那次攻击影响到金融,能源,医疗等行业,造成了严重的危机管理问题。中国部分Window操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密,其影响力已经不下于十余年前大名鼎鼎的“熊猫烧香”病毒事件了。

十年间,除了网络安全专业研究人员,我们听到的“电脑中毒了”的惊恐似乎越来越少。这个网络世界难道已经安全到无须防护?那些善于制造麻烦的黑客都销声匿迹了?答案是“怎么可能!”黑客们从未停止他们的步伐,甚至随着技术的发展而更加猖狂。那些自以为裸奔无毒的“豪放派”可能早已中毒而不自知,勒索病毒WannaCry(想哭)的攻击想必已经狠狠地打了我们的脸,也许真的哪一天落到了我们头上,想哭的就是我们了。

二.勒索软件简介

勒索软件(也称敲诈者病毒)是近年数量增加最快的网络安全威胁之一,是不法分子通过锁屏、加密文件等方式劫持用户资产或资源以此向用户敲诈钱财的一种恶意软件。勒索软件一词涵盖了两种主要类型的恶意软件:即所谓的窗口阻断器(通过弹出式窗口阻止对系统或浏览器的访问)和加密器(用于加密用户的数据)。该术语还涵盖了一类特定的下载器——木马病毒,即用于感染用户计算机后下载勒索软件的程序。不法分子往往通过网络钓鱼等方式,向计算机植入勒索病毒来加密硬盘上的文件甚至所有数据,随后向受害企业或个人要求数额不等的赎金(如比特币等)。

已知最早的敲诈者病毒出现于1989年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo),最近几年随着用户使用终端方式的改变、比特币等电子货币的发明和匿名通信网络的兴起,敲诈者病毒的传播、劫持和敲诈方式也发生了很大的变化。如今敲诈者病毒的攻击范围已经涵盖了Windows、Mac、Android、iOS和虚拟桌面。如果已被感染的设备连接了企业的网络共享存储,那么共享存储中的文件也可能会被加密。攻击目标涉及大型企业、政府、银行、教育、私营企业等所有类型的企业和个人。

2.1攻击流程

实际上,自从受害者点击了钓鱼邮件中的一个恶意链接,或者下载了含有恶意附件的文件之后,勒索软件就已经“登堂入室”了。

勒索软件攻击从恶意链接或恶意附件开始:

第一步,勒索软件会先将自己复制到电脑用户的资料夹内,通常是以可执行文件的格式。在Windows环境下,恶意软件往往将文件存储在“/APPDATA”或“/TEMP”资料夹里,因为进入这些资料夹无须管理员权限。接着,勒索软件便开始悄悄地在后台展开后续攻击了。

第二步,连网至特定网站收发信息。一旦勒索软件进入操作系统,它会尝试连接互联网并且联通特定服务器。在这个阶段,勒索软件会与命令和控制(C&C)服务器发送和接收文件。

第三步,搜索特定类型的文件进行加密。接下来,勒索软件会进入受感染系统的资料夹,搜索特定类型的文件进行加密。当然,被加密的文件类型也取决于勒索软件的种类分支,会删除镜像文件和备份的勒索软件家族也会在加密过程前完成。

第四步,生成加密密钥。在开始加密文件前,勒索软件会先生成用来加密的密钥。根据勒索软件种类的不同,加密受感染系统文件的方式也会有所差别,可能会使用AES、RSA或合并使用等情况。另外,加密文件所需要花费的时间也会根据文件数量、系统处理能力和加密方法而有所差异。许多勒索软件会建立自动启动机制来继续加密操作,防止在加密过程由于系统关机而中止执行。

第五步,向用户发送勒索通知和付款指示。对于绝大多数的勒索软件来说,出现勒索通知即代表文件的加密过程已经成功。有些勒索通知是在加密过程完成后马上出现,而有些会更改启动磁区的勒索软件则会在系统重新启动后出现通知。不过,也有些勒索软件则不会显示勒索通知,至少不会自动显示。还有些则会在受感染的资料夹内生成勒索通知或显示HTML页面来告知勒索要求和付款指示。更有一些锁屏幕勒索软件则会用勒索通知锁定屏幕,让用户无法操作电脑。

2.2感染征兆

勒索攻击防不胜防,那么感染勒索软件后一般有哪些可疑的征兆呢?应该说,勒索软件的攻击行为依据其病毒家族或变种而各有不同,不过,当然还是有些蛛丝马迹可以让用户或IT管理员察觉到勒索软件的感染情况。

例如,首先在勒索软件的加密过程中,由于其在后台不断执行操作,受害者可能会发觉操作系统无故变慢。其次,即便没有执行任何程序,硬盘指示灯还是会狂闪,这表示电脑硬盘正在被执行读写操作中,而这很可能是中招勒索软件后,搜索和加密文件程序开始的一个标志。

2.3操作形式

2.3.1锁定屏幕

通过设置电脑开机密码、登录密码等对电脑锁屏,影响用户系统的正常使用:比如WinLocker、PC Cyborg等,会采用锁定系统屏幕等方式,迫使系统用户付款,以换取系统的正常使用,这种类型的勒索软件相对危害较小。今年4月一名微软网络工程师在佛罗里达州遭联邦指控,因涉嫌帮助Reventon勒索软件的运营商从受害者那里收取赎金并将赎金通过兑换成加密货币进行转移。其中,Reveton勒索软件是最早出现的屏幕锁定勒索软件之一,它出现在比特币尚处于起步阶段的时期。从当时价值来看,比特币还没有成为勒索软件运营商在赎金选择方面的首选加密货币。

【MottoIN】2018勒索软件威胁态势安全报告

2.3.2伪装为权威机构

根据用户所处地域伪装成用户所在地的执法机构,声称用户计算机受到攻击并被用于非法活动,用户需要支付罚款才能解锁系统。

【MottoIN】2018勒索软件威胁态势安全报告

2.3.3加密文件数据

加密用户文件和数据,要求支付赎金:最典型的是CTB-Locker家族,采用高强度的加密算法,加密用户文档等其他文件。只有在用户支付赎金后,才提供解密文档的方法。近期流行的CryptoLocker、VirLock、Locky等也都属于这一类。由于病毒对文档采用RSA等高强度非对称加密,一旦中招就几乎不可能恢复,除非给黑客交赎金购买解密密钥。

【MottoIN】2018勒索软件威胁态势安全报告

【MottoIN】2018勒索软件威胁态势安全报告

2.3.4感染计算机系统

篡改磁盘MBR,制造计算机蓝屏重启,之后加密电脑整个磁盘敲诈赎金。曾经的Petya勒索病毒会感染电脑系统,覆盖整个硬盘MBR,使Windows崩溃并显示蓝屏,而当用户重启计算机时,已修改的MBR会阻止Windows的正常加载,加密整个磁盘,之后显示一个ASCII骷髅图像,提示支付一定数量的比特币,否则将失去文件和计算机的访问权限。Petya感染的电脑有明显的中招症状,而且因为修改MBR,任何具有主动防御功能的安全软件都会报警,所以容易防御。

2.4传播方式

根据调查,接近半数的受害者不知道是如何感染上勒索软件病毒的,可见勒索软件病毒的隐蔽性极强,受害者难以察觉。

【MottoIN】2018勒索软件威胁态势安全报告

2.4.1网络钓鱼和垃圾邮件

钓鱼邮件是目前勒索软件传播的主要方式,其与勒索软件的“组合拳”杀伤力巨大!网络罪犯通过伪造邮箱的方式向目标发送邮件,这些邮件中会包含具有威胁的附件或在邮件正文中加入钓鱼网址链接。

案例1

今年9月6日,美国司法部起诉了一名朝鲜黑客Park Jin Hyok,指控他近年来主导的多宗网络攻击罪行,包括:

2017年WannaCry勒索软件爆发;

2016年尝试入侵美国国防承包商洛克希德马丁公司;

2016年孟加拉国中央银行网络劫案,数额达8000万美元;

2014年索尼电影娱乐入侵活动;

2014年入侵美国连锁影院AMC Theatres与Mammoth Screen;

多年来针对韩国新闻媒体、银行与军事实体的一连串黑客攻击;

2015年至2018年期间进行的一系列全球银行黑客活动。

美国司法部方面表示,Park Jin Hyok为政府资助的黑客组织中的活跃成员。该组织在私营网络安全领域被称为拉撒路(Lazarus)集团。在这一系列犯罪活动中,他采用的主要手段就是利用鱼叉式网络钓鱼电子邮件入侵其他系统。

【MottoIN】2018勒索软件威胁态势安全报告

Park Jin Hyok通过IP地址或电子邮件地址

与拉撒路集团的黑客行动及相关受害者进行联系

案例2

去年8月的一次勒索事件中,攻击者利用名为Defray的勒索软件,通过定制钓鱼邮件针对美国和英国的教育、医疗行业实施攻击,然而针对制造业和技术部门的攻击也开始出现。此外,其他类型的组织(如水族馆)也开始受到该勒索软件影响。像许多其他类型的勒索软件攻击一样,该运动也是使用包含 Microsoft Word 恶意附件的网络钓鱼电子邮件,以分发恶意的有效载荷。但是,与其他形式的勒索软件不同的是,该勒索软件并未使用大量的垃圾邮件,而是使用为特定目标设计的定制钓鱼邮件以及少量的垃圾邮件。

研究人员在去年8月15日和8月22日分别观察到了两次针对性攻击,并且都是针对具体组织实施的。8月15日的攻击主要针对医疗保健和教育行业,涉及包含嵌入式可执行文件(特别是 OLE 包装器 shell 对象)的 Microsoft Word 文档的消息。该附件上设有英国医院标志,并自称来自医院信息管理与技术总监。

【MottoIN】2018勒索软件威胁态势安全报告

8月22日,攻击者试图使用类似的手段来感染制造业和技术部门,发送包含“订单 / 报价”等交易相关主题的钓鱼邮件,再次在 Microsoft Word 文档中嵌入可执行文件。

Defray 勒索软件的幕后开发者甚至专门定制了一款针对英国水族馆的钓鱼邮件,该邮件自称是来自水族馆的代表,以此针对水族馆实施勒索软件攻击。

【MottoIN】2018勒索软件威胁态势安全报告

2.4.2坑式攻击

有时候网络犯罪分子也会使用比网络钓鱼更复杂的勒索方法,例如“水坑”攻击,攻击者将勒索软件代码植入到企业或个人经常访问的某个网站,用户访问该网站时,恶意程序会利用设备上的漏洞对其进行感染,这一代码就会被下载到用户个人的设备上。一旦入了坑,想全身而退就没那么容易了!

案例3

去年10月,媒体报道俄罗斯、乌克兰、保加利亚、土耳其、日本和其它多国的组织机构遭受一款被称为“坏兔子”(Bad Rabbit)的加密勒索软件攻击,导致一些计算机文件被加密勒索,这款软件被广泛认定为Petya勒索软件的新变种。已经证实的受害公司包括基辅地铁,敖德萨机场在内的一些乌克兰公司及一些俄罗斯公司。

攻击者首先通过入侵新闻媒体类网站,随后利用这些新闻类网站发起水坑攻击。当用户浏览这些网站时,用户浏览器就会弹出伪装的Adobe flash player升级的对话框,当用户点击了install按钮后,就会下载勒索软件。根据受害用户的数量来看,可以推测很多用户都运行了下载的伪升级程序。

其中一个被水坑攻击的新闻网站,界面如下:

【MottoIN】2018勒索软件威胁态势安全报告

在网页源代码中看到插入的js代码:

【MottoIN】2018勒索软件威胁态势安全报告

js代码的功能为:向185.149.120[.]3请求数据,将请求到的数据以div的方式展示在用户的当前页面上,在攻击的过程中,攻击者将构造的flash升级的对话框以数据的形式返回给用户的浏览器。

js返回的内容大体如下:

【MottoIN】2018勒索软件威胁态势安全报告

当点击INSTALL后,就会从hxxp://1dnscontrol.com/flash_install.php 下载假冒的flash升级程序(实质上为勒索软件)。

2.4.3捆绑传播发布

借助其他恶意软件传播渠道,与其他恶意软件捆绑发布传播,或者捆绑正常的软件进行传播。比如曾经发现的首个针对苹果电脑的勒索病毒KeRanger就是通过Transmission网站下载一些与正常软件捆绑在一起的病毒。

案例4

今年5月,趋势科技发现了BlackRouter勒索软件的一个变种(由趋势科技检测为RANSOM_BLACKHEART.THDBCAH),该变种正将其恶意负载通过合法的远程控制软件AnyDesk下载并执行。值得注意的是,这并非首次BlackRouter勒索软件利用类似的工具进行传播。根据相关报道显示,之前的BlackRouter变种与TeamViewer捆绑在一起,这是一款拥有超过2亿用户的远程控制软件。

尽管新的Blackheart变种是如何进入系统的具体细节目前尚不清楚,但趋势科技的研究人员表示,他们的确可以肯定受害者在访问某些恶意网站时可能会不知不觉地下载到该勒索软件。

一旦下载完成,勒索软件将下载两个文件(ANYDESK.exe和BLACKROUTER.exe)并它们保存到用户临时文件夹(User Temp),然后执行。

【MottoIN】2018勒索软件威胁态势安全报告

第一个文件便包含了AnyDesk,这是一个功能强大的应用程序,可在不同桌面操作系统(包括Windows、MacOS、Linux和FreeBSD)之间进行双向远程控制,并可在Android和iOS上单向访问。另外,它还可以执行文件传输、充当聊天客户端以及记录会话。

需要指出的是,攻击者利用的是AnyDesk的旧版本,而不是当前版本。在执行时,它将通过CMD命令(“cmd.exe” /c vssadmin.exe delete shadows /all /quiet)来删除卷影副本。

【MottoIN】2018勒索软件威胁态势安全报告

第二个文件则是实质上的勒索软件恶意负载。根据趋势科技的分析,它会加密各种不同扩展名的文件,完整列表如下所示:

【MottoIN】2018勒索软件威胁态势安全报告

它将在以下文件夹中搜索并对以上提到的扩展名文件进行加密:

%Desktop%

%Application Data%

%AppDataLocal%

%Program Data%

%User Profile%

%System Root%\Users\All Users

%System Root%\Users\Default

%System Root%\Users\Public

以及除%System Root%之外的所有驱动器。

一旦它找到并加密了一个文件,它就会将.BlackRouter扩展名附加到被加密的文件。当它完成加密进程后,将在所有驱动器和桌面上放置一个命名为“ReadME-BlackRouter.txt”的赎金票据。根据赎金票据展示的信息来看,攻击者要求受害者支付50美元或0.006164 BTC作为用于解密文件的赎金。

【MottoIN】2018勒索软件威胁态势安全报告

我们认为,与AnyDesk捆绑在一起似乎是为了逃避安全检测所使用的一种策略。一旦下载BlackRouter勒索软件,AnyDesk就会开始在受感染系统的后台运行,这会掩盖勒索软件执行的加密过程。

除了以上三种主要的传播方式,黑客们还采取其他方式传播勒索软件或病毒,如借助移动存储:U盘、移动硬盘、闪存卡等可移动存储介质传播。但是比起上述三种方式,这种方法操作起来相对难度更大,且对黑客们自身的安全性也存在威胁,因为需要物理接触。

三.勒索软件汇总

今年年初发布的《2017年度网络空间安全报告》,全球约6300个平台提供勒索软件交易,勒索软件在2016-2017年期间的销售量增长了约2502%,这项研究报告监测了全球21个顶级暗网平台,然后再将收集到的数据进行推算得出了这个一结果。恶意分子倾向于加密被感染设备的数据,向受害者勒索加密货币(以比特币为主),2017年加密货币市场价格也因此一路飙升。WannaCry勒索软件、 “坏兔子”(Bad Rabbit)等勒索软件等在全球迅速蔓延,使多国遭遇网络攻击。勒索软件市场的不断扩大,一部分原因是由于一些工具让匿名变得更加轻松(比如比特币和Tor代理等),另一部分原因是因为勒索软件不断扩散,让许多人都可以轻松发起非法交易,去勒索别人。

3.1勒索软件

MottoIN整理了2017年至今曾出现在网络攻击中的部分勒索软件,如下图所示:

【MottoIN】2018勒索软件威胁态势安全报告

【MottoIN】2018勒索软件威胁态势安全报告

2017年至2018年至今部分勒索软件(按首字母排列)

其中加密类勒索软件在所有软件中数量最多,仔细观察近一两年内的恶意软件活动发现,加密类勒索软件的家族包含多个软件及其变种。在2017—2018期间,大多数攻击都是来自于Wannacry、Locky、CryptXXX、Zerber、Shade、Crusis、Cryrar、Snocry、Cryakl、Cryptodef、Onion和Spora,这些勒索软件家族占据了此期间加密类勒索软件攻击的大多数。其中WannaCry占据主导地位,其它主要勒索软件(如Locky、Zerber等)在数量上也有一定的规模。

【MottoIN】2018勒索软件威胁态势安全报告

3.2勒索对象

勒索事件时有发生,那么谁是勒索软件攻击的目标呢?答案很简单,那就是“所有人”!勒索软件背后的黑客们最直接的目的都是为了经济利益,那么可想而知,他们的勒索对象除了基数庞大的普通用户,必然还包括了企业公司乃至国家机构,个人用户是遭受勒索软件最多的人群,原因在于其数目庞大且防范意识弱,易被攻击。

2017年初出现了一个危险的趋势:网络犯罪分子开始将其注意力从针对个人用户的攻击转移到针对企业的有针对性的勒索软件攻击。勒索软件攻击者主要针对全球的金融机构,他们正在寻找新的更有利可图的受害者。

3.2.1地理分布

以移动端勒索软件为例,据卡巴斯基实验室统计,其检测到的移动端勒索软件安全包数量在持续增长,2017年共发现544,107个,是2016年的2倍,比2015年增长了17倍。另外,2017年全球161个国家的110,184个用户遭到移动勒索软件的攻击。下图显示了移动勒索软件攻击的全球地理分布:

【MottoIN】2018勒索软件威胁态势安全报告

【MottoIN】2018勒索软件威胁态势安全报告

2017年遭移动端勒索软件攻击最多的前十个国家

而在国内,根据360安全中心统计的数据,2017年遭遇勒索软件攻击的用户遍布全国所有省份,其中广东占比最高,浙江、江苏紧随其后。排名前十的省份占到了国内所有攻击量的64.1%。

【MottoIN】2018勒索软件威胁态势安全报告

【MottoIN】2018勒索软件威胁态势安全报告

3.2.2行业分布

银行机构

勒索软件的黑客们似乎格外“青睐”世界各地的银行机构,原因不言而喻。黑客们的疯狂行为甚至连银行都感到害怕,2016年曾有报道称,几家大型伦敦银行计划囤积比特币,以防这种勒索攻击袭击他们。然而不知道银行有没有意识到这种“此地无银三百两”的做法只会引来更多的勒索攻击。

教育机构

勒索软件的目标之一是教育机构,特别是高等院校,其内部资料数据涉及到数量庞大的学生群体的学籍、个人信息、家庭信息等。事实上根据调查结果统计,每十家教育机构就有大约一家遭遇勒索软件攻击。

医疗机构

医疗行业对于网络罪犯而言也特别有吸引力,黑客和攻击者们的确正有意地攻击着医疗行业。原因可能在于医疗机构拥有很多高价值的数据。医疗记录包括大量的个人历史、社保账号、出生日期、亲属名称、地址、医保账户号和其它数据,这很容易吸引身份窃贼和医保诈骗者。对于医疗机构而言,无法正常操作系统可能成为生死攸关的事情。对于其它企业而言,员工接触系统是为了销售产品。但是对医院而言,如果医生无法及时访问病人的医疗信息,可能会影响病人的生命安全。如果支付赎金能够带来恢复数据的可能性,或者能够让系统重新运转,医疗行业的从业者可能会更乐意支付赎金。

2016年2月,美国好莱坞长老会医院的电脑系统因为遭受到了勒索攻击,离线超过一周。尽管当时医院方面声明日常业务没有受到影响,但医院的内网无法使用,医院员工需要连接其他医院网络才能继续工作。据知情人士透露,黑客勒索9000比特币(340万美元,约240万欧元)才会提供代码解锁被盗数据。

企业公司

今年8月3日晚间,台积电位于台湾新竹科学园区的12英寸晶圆厂和营运总部,遭遇勒索软件攻击且生产线全数停摆的消息。几个小时之内,台积电位于台中科学园区的Fab 15厂,以及台南科学园区的Fab 14厂也陆续传出同样消息,这代表台积电在台湾北、中、南三处重要生产基地,同步因为勒索软件入侵而导致生产线停摆。

自去年“5.12”勒索软件爆发以来,工业企业已经成为勒索攻击的重灾区,罗马尼亚汽车企业(Dacia)、日产汽车桑德兰工厂、西班牙电厂和天然气企业等,国内外已经有多个行业的众多大型工业企业因为遭遇勒索软件攻击而停产,在国内仅仅360企业处理过的勒索软件感染事件,就涉及汽车生产、智能制造业、电子加工业、烟草等领域十余家单位。这些受害企业普遍遭遇的现象是工业生产网络的主机出现蓝屏,反复重启,存储生产资料的服务器被加密或文件丢失,从而影响生产,甚至造成停产。

最近的Ryuk勒索软件通过鱼叉式网络钓鱼电子邮件入侵某些企业公司的内部系统,并以比特币的形式获取了超过64万美元的赎金。

政府机构

除了这些“民间机构”,政府机构也无法幸免。政府机构是黑客们另一个主要攻击目标,且这一现象有愈演愈烈的趋势,该行业的勒索软件发生率从2015年秋季到2016年秋季增长了三倍多。根据卡巴斯基实验室的调查,在2016年9月,Marsjoke勒索软件就瞄准了美国各州和地方政府机构,警察部门也多次遭受勒索软件攻击。其中一起涉及美国德克萨斯州警察局,勒索软件攻击导致该部门损失8年来存储的各项数据,包括摄像机视频以及内部监控视频。

其他

今年8月,美国高尔夫协会PGA受到BitPaymer勒索软件攻击,受到感染的工作机构因此被迫使用老式打字机长达一周的时间。

【MottoIN】2018勒索软件威胁态势安全报告

在中国,情况也有些类似,各行各业也都不同程度的遭受勒索软件的袭击。2017年遭勒索软件攻击的所有行业中,能源、医疗卫生以及金融是受攻击次数最多的三个行业。对于攻击这三大行业的勒索软件家族,360安全中心做了部分统计。可以发现,针对不同行业,攻击者们所使用的勒索软件也有区别。

【MottoIN】2018勒索软件威胁态势安全报告

【MottoIN】2018勒索软件威胁态势安全报告

3.3勒索目的

勒索软件既然名为勒索,不难看出其攻击的最主要目的就是获取经济利益。以类Petya勒索病毒为例,根据相关报道,仅仅是它给四家全球知名公司造成的损失就已经超过了十亿美金。

【MottoIN】2018勒索软件威胁态势安全报告

经济损失的不断提高也将促使更多的政企机构向攻击者支付赎金,更多的支付赎金也让攻击者们看到了牟取暴利的机会,这样就陷入了恶性循环。鉴于很多组织机构即便承受巨额损失也没有交纳夸张到离谱的高额赎金,将来攻击者还可能会开展“针对性服务”,让感染者支付其“能力范围内”的赎金。例如攻击者就与韩国Web托管公司Nayana进行了漫长的谈判,将赎金从最初的440万美元降至100万美元,才出现了2017年的单笔最高赎金事件。

未来迫不得已支付赎金的政企机构中招者可能会越来越多,也会出现更多类似Nayana这样支付100万美元赎金的大户,攻击者获得的赎金总额将持续升高。

对于勒索行动的真实目的,也有人持不同的看法。著名的电脑黑客凯文·米特尼克(Kevin Mitnick)称,“别以黑客入侵电脑系统只是为了勒索,勒索软件只是他们的伪装,真正的目的是恶意摧毁目标系统。”越来越多的专家认为,黑客只是以勒索之名窃取数据,即使支付了赎金,也未必能找回文件。“Petya勒索行动背后是一个盈利的犯罪组织,到那时勒索只是障眼法,比起筹资,他们更在意摧毁系统和数据。”与米特尼克持相同观点的还有俄罗斯安全公司卡巴斯基实验室以及网络安全公司Comae。

四.赎金支付

早期的勒索软件采用传统的邮寄方式接收赎金(比如 Trojan/DOS.AidsInfo),会要求受害者向指定的邮箱邮寄一定数量的赎金。也有要求受害者向指定银行账号汇款(比如 Trojan/Win32.Pluder)和向指定号码发送可以产生高额费用的短信(比如 Trojan[rog,sys,fra]/Android.Koler)的勒索软件。直到比特币这种虚拟货币支付形式出现后,由于它可以为勒索软件提供更为隐蔽的赎金获取方式,2013 年以来,勒索软件逐渐采用了比特币为代表的虚拟货币的支付方式。可以说,虚拟货币的出现,加速了勒索软件的泛滥。

加密货币(英文:Cryptocurrency)是一种使用密码学原理来确保交易安全及控制交易单位创造的交易媒介。加密货币是数字货币(或称虚拟货币)的一种 。比特币在2009年成为第一个去中心化的加密货币,这之后加密货币一词多指此类设计。自此之后数种类似的加密货币被创造,它们通常被称作altcoins。比特币以外的密码货币,又称为山寨币、竞争币,部分是参考比特币思想、原理、源代码产生的,与比特币相似的虚拟货币,目前有800种以上的密码货币在流通。

4.1比特币

比特币(BitCoin)的概念最初由中本聪在2009年提出,根据中本聪的思路设计发布的开源软件以及建构其上的P2P网络。比特币是一种P2P形式的数字货币。点对点的传输意味着一个去中心化的支付系统。与大多数货币不同,比特币不依靠特定货币机构发行,它依据特定算法,通过大量的计算产生,比特币经济使用整个P2P网络中众多节点构成的分布式数据库来确认并记录所有的交易行为,并使用密码学的设计来确保货币流通各个环节安全性。P2P的去中心化特性与算法本身可以确保无法通过大量制造比特币来人为操控币值。基于密码学的设计可以使比特币只能被真实的拥有者转移或支付。这同样确保了货币所有权与流通交易的匿名性。比特币与其他虚拟货币最大的不同,是其总数量非常有限,具有极强的稀缺性。该货币系统曾在4年内只有不超过1050万个,之后的总数量将被永久限制在2100万个。

4.1.1比特币的特征

去中心化:比特币是第一种分布式的虚拟货币,整个网络由用户构成,没有中央银行。去中心化是比特币安全与自由的保证 。

全世界流通:比特币可以在任意一台接入互联网的电脑上管理。不管身处何方,任何人都可以挖掘、购买、出售或收取比特币。

专属所有权:操控比特币需要私钥,它可以被隔离保存在任何存储介质。除了用户自己之外无人可以获取。

低交易费用:可以免费汇出比特币,但最终对每笔交易将收取约1比特分的交易费以确保交易更快执行。

无隐藏成本:作为由A到B的支付手段,比特币没有繁琐的额度与手续限制。知道对方比特币地址就可以进行支付。

跨平台挖掘:用户可以在众多平台上发掘不同硬件的计算能力。

4.1.2比特币的优点与缺点

优点

1.完全去处中心化,没有发行机构,也就不可能操纵发行数量。其发行与流通,是通过开源的P2P算法实现的。

2.匿名、免税、免监管。

3.健壮性。比特币完全依赖p2p网络,无发行中心,所以外部无法关闭它。比特币价格可能

4.波动、崩盘,多国政府可能宣布它非法,但比特币和比特币庞大的P2P网络不会消失。无国界、跨境。跨国汇款,会经过层层外汇管制机构,而且交易记录会被多方记录在案。但如果用比特币交易,直接输入数字地址,点一下鼠标,等待p2p网络确认交易后,大量资金就过去了。不经过任何管控机构,也不会留下任何跨境交易记录。

5.山寨者难于生存。由于比特币算法是完全开源的,谁都可以下载到源码,修改些参数,重新编译下,就能创造一种新的P2P货币。但这些山寨货币很脆弱,极易遭到攻击。任何个人或组织,只要控制一种P2P货币网络51%的运算能力,就可以随意操纵交易、币值,这会对P2P货币构成毁灭性打击。很多山寨币,就是死在了这一环节上。而比特币网络已经足够健壮,想要控制比特币网络51%的运算力,所需要的cpu/gpu数量将是一个天文数字。

缺点

1.交易平台的脆弱性。比特币网络很健壮,但比特币交易平台很脆弱。交易平台通常是一个网站,而网站会遭到黑客攻击,或者遭到主管部门的关闭。

2.交易确认时间长。比特币钱包初次安装时,会消耗大量时间下载历史交易数据块。而比特币交易时,为了确认数据准确性,会消耗一些时间,与P2P网络进行交互,得到全网确认后,交易才算完成。

3.价格波动极大。由于大量炒家介入,导致比特币兑换现金的价格如过山车一般起伏。使得比特币更适合投机,而不是匿名交易。

4.大众对原理不理解,以及传统金融从业人员的抵制。活跃网民了解P2P网络的原理,知道比特币无法人为操纵和控制。但大众并不理解,很多人甚至无法分清比特币和Q币的区别。“没有发行者”是比特币的优点,但在传统金融从业人员看来,“没有发行者”的货币毫无价值。

4.1.3比特币汇率

【MottoIN】2018勒索软件威胁态势安全报告

使用比特币的第一步是拥有一个比特币钱包,如果没有比特币钱包,你就不能接收、存储或者消费比特币。可以把比特币钱包理解为对接比特币网络的个人接口,就像你的网上银行账户是对接正规货币系统的接口一样。比特币钱包包含私人密钥;通过密码指令你可以消费比特币。实际上,需要被储存或者需要受到保护的不是比特币,而是私钥,它给了你管理比特币的权限。简而言之:比特币钱包是一个简单的app、网站或者设备,它为你管理了比特币私钥。

4.1.4比特币钱包类型

硬件钱包(又称冷钱包)是一个实体电子设备,仅仅是为了比特币安全而创建。其核心创新是在消费比特币之前,必须要将比特币钱包连上你的电脑、电话或者平板设备。

目前三个最流行的硬件钱包是:Ledger Nano S、TREZOR和KeepKey。

【MottoIN】2018勒索软件威胁态势安全报告

如果你对比特币的安全、便捷性、可靠的比特币储存很关心在意的话,硬件钱包是一个不错的选择。硬件钱包能使你的私钥和易受攻击的联网设备保持分离。你所有重要的私钥都被维护在硬件钱包的一个安全的离线环境中,即使将这个设备被插上一台感染了恶意软件的计算机上,其也能完全受到保护。因为比特币是数字货币,数字犯罪能偷偷地将你电脑的“软件钱包”作为攻击目标并通过获取你的私钥从而将比特币偷走。使用硬件钱包来离线生成和存储私钥可以确保黑客无法偷走你的比特币。黑客必须要偷走硬件钱包,即使如此,它也被个人识别码所保护。不要担心你的硬件钱包会被偷、丢失、或者被损毁;只要你创建一个私钥备份,你就可以重新找回你的比特币。

硬件钱包优点:1.安全存储比特币的简单方式;2.备份简便且安全;3.误差较小,设置便捷,即使是对技术懂得较少的用户;4.硬件钱包缺点;5.收费。

热钱包(又称软件钱包)也是一种比特币钱包,其运行在联网的设备上,比如电脑、移动电话或者平板设备。私钥是一串加密代码。因为热钱包是在联网设备上生成私钥,所以这些私钥不能被认为是百分之百的安全。

在线比特币钱包(网页钱包)在线存储你的私钥,并且它们通过用户自定义的密码进行加密。尽管它们只提供了最低的安全性,但网页钱包却有–可以从任何联网设备获取到的优势。

GreenAddress是一个具备多重签名的比特币钱包,其可在网络、桌面、Android和 iOS上使用。GreenAddress能和硬件钱包(例如TREZOR, Ledger Nano, and the HW.1)等兼容协作。“多重签名”是指网站需要您手动确认比特币的转移,这大大提高了安全性。

安卓钱包,有大量可供选择的安卓比特币钱包。因为比特币钱包最初是被苹果公司禁止的,所以开发者们将大量的时间用来开发安卓钱包。

iOS和iPhone钱包,苹果公司在2014年2月份 禁止比特币钱包 发布在苹果商店,但在几个月后又撤销了这一禁令。幸运的是,现在iOS用户已经有了很多比特币钱包的选择了。

桌面钱包,桌面钱包需要下载,并被安装在你的电脑上。如果隐私性是你主要的考虑因素,比特币核心钱包是一个好的选择,因为它不依赖于任何第三方数据。

Electrum是一个轻便的比特币钱包,可适用于Mac、Linux和Windows平台。它发布于2011年11月份。它的主要特性有:支持硬件钱包(例如:TREZOR, Ledger Nano 和 KeepKey)并且通过使用离线电脑可以安全存储比特币。不管是初学者,还是高级用户,Electrum都是一个不错的选择。

热钱包优点:1.存储少量比特币的简单方式;2.便捷;消费和接收比特币方便且快捷;3.一些热钱包允许通过多个设备来管理资金。

热钱包缺点:对于大量比特币的存储缺乏安全性。

4.2达世币

达世币(DASH)原名叫做暗黑币,是在比特币的基础上做了技术上的改良,具有良好的匿名性和去中心化特性,是第一个以保护隐私为要旨的数字货币。DASH在2014年发布白皮书,发行总量为1890万个。DASH问世之后,就被网友们奉为最能实现中本聪梦想的币种。

达世币的主要特点如下:1.双层奖励制网络,或者称为主节点网络技术 ;2.即时支付功能,到账及时,且手续费较低。达世币使用X11算法,具有有及时支付和匿名的特性。达世币的支付速度是秒级确认,而比特币确认时间为10分钟。

4.2.1达世币的特点

去中心化

达世币核心由独特的激励制P2P网络构成。矿工们维护区块链安全得到奖励;而主节点持有者则是为用户验证交易、存储数据以及提供多种服务而获得奖励。

即时交易

进入DASH网络的新客户端必须发现当前全网活跃的主节点,这样才可以使用它们的服务。一旦它们加入网状网络,它们的节点就会收到请求主节点列表的指令。设置缓存的目的是让客户端记录主节点及其当前状态,因此当客户端重新启动时,他们只需简单加载该文件,不需重新请求主节点的完整列表。

匿名性高

当使用比特币时,交易都会被写到数据块链中,您可以查询到接收和发送双方。然而达世币通过匿名技术,使得交易无法被追踪查询。达世币通过独创的去中心化网络服务器“主节点”混淆交易,实现匿名。无需第三方,有效的避免了因第三方介入所带来的不稳定性。

4.2.2达世币汇率

【MottoIN】2018勒索软件威胁态势安全报告

4.2.3达世币钱包

钱包是用于发送、接收和存储达世币的软件. 钱包操作简单, 您还可以通过匿名发送功能实现匿名支付.达世币钱包分为桌面钱包、移动钱包、硬件钱包、纸钱包和网页钱包,这些钱包在其官网上都可以下载(https://www.dash.org/zh/wallets/)。

桌面钱包:桌面钱包的功能多样和安全性高,用户可根据自己的需要下载。

【MottoIN】2018勒索软件威胁态势安全报告

移动钱包:达世币移动钱包可在手机或平板电脑等移动设备上进行操作,功能多样,安全性高。

【MottoIN】2018勒索软件威胁态势安全报告

硬件钱包:硬件钱包是一种安全的设备, 它能保护您的达世币资产不受黑客和窃贼的侵扰. 它借助您在电脑上安装的钱包软件运行, 可接管私钥生成和保管, 以及交易签署。

【MottoIN】2018勒索软件威胁态势安全报告

纸钱包:纸钱包属于冷钱包的一种, 其实质是一种不记名票券。

【MottoIN】2018勒索软件威胁态势安全报告

网页钱包:网址为 https://mydashwallet.org/

【MottoIN】2018勒索软件威胁态势安全报告

今年年初国外网络安全专家发现了一种新型的勒索病毒,在虚拟货币盛行的今天,网络勒索病毒层出不穷,GandCrab在众多病毒中“脱颖而出”引起各界关注。有趣的是,这种病毒之所以引人注目有很大一部分原因是因为它的赎金。不同于其他勒索病毒提出的比特币,门罗币等赎金要求,GandCrab要求受害者以达世币作为赎金来解救已被加密的文件,这也使得它成为了首个接受达世币作为赎金的勒索软件。

【MottoIN】2018勒索软件威胁态势安全报告

然而,达世币相较于比特币而言非常小众,可能是GanCrab的病毒制造者发现只通过达世币这种相对小众的币种不足以赚到足够多的钱,GandCrab V2.1开始接受比特币和达世币作为赎金。

4.3以太坊

以太坊区块链上的代币称为以太币(Ether),代码为ETH,可在许多加密货币的外汇市场上交易,它也是以太坊上用来支付交易手续费和运算服务费的媒介。以太币对其他实体货币的汇率可能在短时间内大幅变化,例如 The DAO 网站被黑时,以太币对美元的汇率从$21.50跌至$15。截至2018年2月,以太币是市值第二高的加密货币,仅次于比特币。

4.3.1以太坊特定

相较于较大多数其他加密货币或区块链技术,以太坊的特点包括下列:

1.智能合约(smart contract):存储在区块链上的程序,由各节点运行,需要运行程序的人支付手续费给节点的矿工或权益人;

2.叔块(uncle block):将因为速度较慢而未及时被收入母链的较短区块链并入;

3.权益证明(proof-of-stake):相较于工作量证明,可节省大量在挖矿时浪费的电脑资源,并避免特殊应用集成电路造成网络中心化(尚未实现);

4.闪电网络(lightning network):可提升交易速度、降低区块链的负担,提高可扩展性(尚未实现);

5.开发社区稳固,不断成长,勇于使用硬分叉(hard fork)。

4.3.2以太坊钱包

Mist

【MottoIN】2018勒索软件威胁态势安全报告

说到以太坊钱包,第一个要说的就是Ethereum官方钱包+浏览器 Mist。Mist是一个全节点钱包(全节点钱包通俗的来说就是同步了全部的以太坊区块信息的钱包)。也就是说打开钱包后,电脑会自动同步全部的以太坊区块信息。

优势:安全度高,不需要经过第三方发起交易,节点未同步完成之前无法查看地址余额。

劣势:无法调整Gas Price,对网络要求高,需要连接节点,才能发起交易。

下载地址: http://ethfans.org/wikis/Mist-Mirror

Parity

【MottoIN】2018勒索软件威胁态势安全报告

原以太坊基金会部分成员,开发的钱包。功能强大,也是一个全节点钱包。

优势:安全度高,不需要经过第三方发起交易。

劣势:对网络要求高,需要连接节点才能发起交易。

下载地址: http://ethfans.org/wikis/Ethcore-Parity-Mirror

MyEtherWallet

【MottoIN】2018勒索软件威胁态势安全报告

MyEtherWallet 作为一个轻钱包,上手难道不大,无需下载,在直接在网页上就可以完成所有的操作。在MyEtherWallet上生成的私钥由用户自我保管,平台方并无备份。

优势:方便快捷,连网即可发起交易。

劣势:交易时需要上传私钥(使用时认准唯一网址: https://www.myetherwallet.com 谨防钓鱼网站 )。

imToken

【MottoIN】2018勒索软件威胁态势安全报告

移动端钱包,操作简便,容易上手,功能齐全,在imToken上生成的钱包私钥保存在手机本地,平台方并无备份。

优势:移动端钱包,操作界面十分友好,连网即可发起交易。中国团队,客服好沟通,反应速度快。

劣势:未开源。

下载地址: https://token.im/

MetaMask

【MottoIN】2018勒索软件威胁态势安全报告

MetaMask的钱包属性偏弱,更多的是起到使Chrome浏览器兼容以太坊网络的作用。

优点:通过添加钱包插件将Chrome变成兼容以太坊的浏览器。

缺点:不支持自动显示Erc20代币(需要用户添加代币的智能合约地址)。

下载地址: https://metamask.io/

Legder

【MottoIN】2018勒索软件威胁态势安全报告

硬件钱包,安全性颇高的钱包,官方提供的软件功能较为局限,可以配合MyEtherWallet使用。

优点:安全性高。

缺点:官方软件功能差,无法调整gas limit 和 gas price,且价格贵并且较难买到。

4.3.3以太坊支付流程

【MottoIN】2018勒索软件威胁态势安全报告

先由发送方(sender)将钱包里的以太币发送给以太坊网络,再由后者将一定数量的以太币分配给接收方(recipient)。 还有额外一部分以太币——交易费——是用来支付服务费的,即上图中发送方连同交易额一起发送的少量以太币。

4.3.4以太币汇率

【MottoIN】2018勒索软件威胁态势安全报告

2017年年末,安全研究人员发现了一种名为“HC7”的新型勒索软件,那些运行Windows远程桌面服务且可公开访问的计算机成为了它的受害者。当HC7加密一个文件时,它会在加密文件的文件名后加上.GOTYA扩展名。从下面的赎金票据可以看出,黑客依然给出了两种赎金支付形式:单台计算机,700美元;整个计算机网络,5000美元。但有一点值得注意的是,HC7 Planetary的赎金票据不仅表示可以通过比特币进行支付,受害者还可以选择使用以太坊(Ethereum)和门罗币(Monero)作为赎金,这使得HC7 Planetary成为首款接受以太坊作为赎金的勒索软件。

【MottoIN】2018勒索软件威胁态势安全报告

4.4门罗币

门罗币(Monero,代号XMR)是一个创建于2014年4月开源加密货币,它着重于隐私、分权和可扩展性。门罗币原名为BitMonero,意指Bit(如Bitcoin)和Monero(字面意思是“世界语”中的“硬币”)。在五天后,社区选择将名称缩减至Monero。与从比特币衍生的许多加密货币不同,门罗币基于CryptoNote协议,并在区块链模糊化方面有显著的算法差异,运行在区块链上,模糊了与每笔交易相关的数据。这意味着交易不能追溯到个人用户,也使得它成为了比特币的完美替代品,因为它能够阻止执法机构追查犯罪交易。它是第一个基于CryptoNote货币之Bytecoin的分支,但有着两个主要差别。首先,目标块时间从120秒减少到60秒;其次,发行速度减速50%(后来Monero恢复到120秒的停留时间,同时保持发行时间,使每个新块的块奖励翻倍)。门罗币的模块化代码结构得到了比特币核心维护者之一的Wladimir J. van der Laan的赞赏。门罗币在2016年经历了市值(从5百万美元至1.85亿美元)和交易量的快速增长,这部分是因为它在2016年夏季末期得到了主要的暗网市场AlphaBay的采用。截至2017年,门罗币是交易量排行第六的加密货币,市值超过3亿美元。

门罗币采用环形签名加密技术,地址、交易金额、交易时间、发送方和接收方等信息完全隐匿,无法查询与追踪。

4.4.1门罗币的优势与劣势

优势:

1.隐私性最好的几个加密货币之一;

2.交易之间不可联系;

3.交易不可跟踪;

4.区块链没有区块限制,并且可动态扩展;

5.即使当门罗币的供应耗尽,也会有 0.3 XMR/min 的供应量激励矿工;

6.经济上已经获得了巨大增长;

7.其透明性实可选的。如果有人想要交易对某些人可见,比如给审计人员查看密钥。这也使得门罗币是可审计的加密货币;

8.有一个非常有能力的强大开发团队领导工作。

劣势:

尽管门罗币已经被设计为防 ASIC 来避免中心化,但是门罗币接近 43% 的算力仍然为 3 个矿池所有:

【MottoIN】2018勒索软件威胁态势安全报告

比起其他加密货币,由于涉及了很多的加密操作,门罗币的交易大小要大得多。门罗币的钱包兼容性不强。事实上,门罗币至今没有硬件钱包(截止成文之时)。

门罗币入门有难度,并且尚未被广泛接纳。因为它并非是基于比特币的货币,门罗币面临的问题是向其中加入一些元素相对更困难。

4.4.2门罗币汇率

【MottoIN】2018勒索软件威胁态势安全报告

门罗币可通过交易所购买获得,也可以通过挖矿方式获得。XMR采用Croptonight算法,支持CPU、GPU挖矿。目前能够以法币甚至直接以USDT来购买XMR的交易所还是偏少一些,大多数还是主要以ETH或BTC兑换为主。列举部分支持门罗币的交易所,如下图:

【MottoIN】2018勒索软件威胁态势安全报告

4.4.3门罗币钱包

与所有的加密货币一样,要想使用门罗币,首先要创建一个门罗币钱包。获取门罗币钱包的方法有三种:

Monero客户端

访问链接https://getmonero.org/downloads/ ,下载Monero客户端,生成本地钱包,获取钱包地址。

打开 getmonero,根据自己的电脑系统选择。

【MottoIN】2018勒索软件威胁态势安全报告

打开钱包,选择语言。

【MottoIN】2018勒索软件威胁态势安全报告

创建钱包。

【MottoIN】2018勒索软件威胁态势安全报告

设置密码。

【MottoIN】2018勒索软件威胁态势安全报告

保存私钥。

【MottoIN】2018勒索软件威胁态势安全报告

如果要创建自己的钱包,目前最简单的应该是使用mymonero.com的网络钱包,网址为:https://mymonero.com

【MottoIN】2018勒索软件威胁态势安全报告

点进去之后,账号就已经建立,输入私人密钥之后就可以登录。

【MottoIN】2018勒索软件威胁态势安全报告

【MottoIN】2018勒索软件威胁态势安全报告

登录支持XMR交易的交易所,点击充值XMR,获取钱包地址。

安卓钱包:monerujo

monerujo的github release下载链接:

https://github.com/m2049r/xmrwallet/releases

google play:

https://play.google.com/store/apps/details?id=com.m2049r.xmrwallet

ios钱包: cake wallet for monero

2017年3月,研究人员发现一款新的勒索软件变种,以星际迷航当中人物Kirk的名字命名,这款勒索软件用Python编写的。被伪装为称为低轨道离子炮应用程序,后者是一款网络压力测试应用程序。与典型的勒索软件不同,Kirk勒索软件要求受害者以Monero付钱,这使它成为第一个使用门罗币作为付款货币的勒索软件。

4.5莱特币

莱特币Litecoin(简写:LTC,货币符号:Ł)是目前仅次于比特币全球流通市值第二的加密数字货币,诞生于2011年11月9日,被称为是“数字白银”。莱特币是一种基于“点对点”(peer-to-peer)技术的网络货币,也是MIT/X11许可下的一个开源软件项目。它可以帮助用户即时付款给世界上任何一个人。

莱特币受到了比特币(BTC)的启发,并且在技术上具有相同的实现原理,莱特币的创造和转让基于一种开源的加密协议,不受到任何中央机构的管理。莱特币旨在改进比特币,与其相比,莱特币具有三种显著差异。第一,莱特币网络每2.5分钟(而不是10分钟)就可以处理一个块,因此可以提供更快的交易确认。第二,莱特币网络预期产出8400万个莱特币,是比特币网络发行货币量的四倍之多。第三,莱特币在其工作量证明算法中使用了由Colin Percival首次提出的scrypt加密算法,这使得相比于比特币,在普通计算机上进行莱特币挖掘更为容易。每一个莱特币被分成100,000,000个更小的单位,通过八位小数来界定。当然,莱特币也有着比特币所有的特点,它并不会为其所有者提供任何额外的安全保障。像比特币一样,莱特币交易是完全透明的。

莱特币的最大优点是能更快确认真伪,该虚拟货币由 Charles Lee 设计和维护。比特币的交易需要验证,验证的时间平均在10分钟以上,大多数交易网站验证需要1个小时。Litecoin 交易确认平均为2.5分钟,开发者声称缩短验证增加了虚拟货币的实用性。定制机器和 AMD GPU 的比特币采矿效率最高,令使用 CPU 采矿的矿工几乎无利可图。Litecoin 的采矿排除了 GPU 和定制处理器,因此不过于依赖少量专业矿工。

4.5.1莱特币汇率

【MottoIN】2018勒索软件威胁态势安全报告

4.5.2莱特币钱包

所有现行可用的钱包都包含加密算法,你可以随时浏览交易记录或者查看账户余额,但是在花费莱特币时必须输入密码。这样可以保护你的账号不被病毒或木马攻击而失去莱特币。

目前有几种钱包可供下载,包括:

桌面版钱包,你可以在电脑里下载桌面版钱包,莱特币官方钱包的客户端支持Windows、GNU/Linux和Mac OS系统。

移动版钱包,你也可以下载移动版钱包到你的手机上。移动版钱包支持扫描二维码购买物品或在合作网点使用手机进行支付。

线上钱包,线上钱包由基于网络的第三方钱包供应商提供交易功能。

安装好钱包之后,有以下几种方式可以获得莱特币:

1.在加密货币交易平台用法定货币购买;

2.出售产品或服务来赚取莱特币;

3.用其他加密货币兑换;

4.又或者使用电脑挖矿来获得莱特币。

目前比较出名的矿池包括:BTCC(原比特币中国)矿池、 waltc.net 鱼池(F2POOL)、WeMineLTC、Coinotron、SilverFish、LiteGuardian、LitecoinPool.org等。但目前收益最高的是F2POOL,近期推出莱特币理论收益+矿池补贴 10%=实际收益,受到很多矿工和业内的关注。

4.6瑞波币

瑞波币是由OpenCoin公司于2011年发行的虚拟货币,称作Ripple Credits,又称作XRP。Ripple是世界上第一个开放的支付网络,通过这个支付网络可以转账任意一种货币,简便易行快捷,交易确认在几秒以内完成,交易费用几乎是零,没有所谓的跨行异地以及跨国支付费用。Ripple开放式支付系统是一个虚拟货币网络(分布式的P2P清算网络)、未来的电子支付平台。2004年,RyanFugger就推出了Ripple的第一个实现版本,它的目标是构建一个去中心化的、准许任何人创建自家货币的虚拟货币系统。目前Ripple由OpenCoin公司(目前改名为RippleLabs)开发、运行、维护。

瑞波币是ripple系统中唯一的通用货币,其不同于ripple系统中的其他货币,其他货币比如CNY、USD不能跨网关提现的,换句话说,A网关发行的CNY只能在A网关提现,若想在B网关提现,必须通过ripple系统的挂单功能转化为B网关的CNY才可以到B网关提现。而瑞波币完全没有这方面的限制,它在ripple系统内是通用的。2018年1月1日,瑞波币(ripple)交易价格在上周五暴涨近56%,创历史新高,市值一举超越以太币,成为第二大加密货币。

Ripple总共发行一千亿瑞波币。瑞波币目前可精确到6位小数,最小的单位称为一滴(drop),1000000滴等于1 XRP。但每次交易都将销毁少量瑞波币,所以瑞波币的数量会逐渐减少。

4.6.1瑞波币的特点

1.交易费用低

不同法币之间的交易,通常会收取百分之几,再加上交易费用。Ripple的任何交易都低于0.01$。

2.匿名

Ripple网络不需要用户提供电子邮件,名字,或其他任何信息,为消费者提供隐私。

3.安全

发送瑞波币就像发送现金一样,接收完毕后,没有任何其他费用,用信用卡和支票付款,付款人必须提供个人信息,这样可能会导致欺诈。

4.可靠

由于ripple交易不可逆,商户可以同任何人进行交易,而不用担心反悔。

4.6.2瑞波币汇率

【MottoIN】2018勒索软件威胁态势安全报告

4.7比特币现金

2017年比特币发生了一次“硬分叉”,产生了比特币现金(Bitcoin Cash,简称BCC)。2017年8月1日,比特币现金开始挖矿,每个比特币投资者的账户上将出现于比特币数量相同的比特币现金。比特币现金修改了比特币的代码,执行新代码,支持大区块(将区块大小提升至8M),不包含SegWit功能,是BitcoinABC方案产生的区块链资产。比特币现金的前世就是比特币,在分叉之前它存储的区块链中的数据以及运行的软件是和所有比特币节点兼容的,而到了分叉那一刻以后,它开始执行新的代码,打包大区块,形成新的链。

4.7.1比特币与比特币现金的区别

1.两者的传输方式相同

比特币现金和比特币两者是完全分散的,中央银行不发行,也不需要第三方来操作,而是通过互联网来传输的电子现金。

比特币现金的前世就是比特币。在分叉之前它存储的区块链中的数据以及运行的软件是和所有比特币节点兼容的,而到了分叉那一刻以后,它开始执行新的代码,打包大区块,形成新的链。

2.记录交易信息的区块容量不同

比特币的区块容量是1MB,而比特币现金删除了隔离验证(SegWit),取消了区块大小1M的限制,最大可支持8M区块大小,坚持的是链上扩容路线。是BitcoinABC方案产生的区块链资产,具有更大的稳定性、安全性。在特定的时间内也可以支持更多的交易。比特币现金被挖出的第一块BCC区块,大小就已经超过了1MB。

3.两者的算法难度不同

比特币的上限是2100万个,随着被挖的量越来越多,算法难度就会有所增加。而比特币现金是采用动态难度调节模式,生产难度会随着整个比特币现金网络中的算力来调节。加入的节点越多,难度越高,反之则下降难度。因为比特币现金出块时间很长,比特币现金在8月8日开始调整了采矿难度,并且提升了出块的速度。

4.比特币现金缺乏支持

比特币现金需要矿工来验证交易,这就需要大量的计算能力。验证的过程大概需要10分钟,但可用的计算能力越少,流程耗时就越长。因此很多国外知名的比特币交易所都表示不支持BCC交易,包括Coin 、GDAX、Poloniex、Bitmex和ExodusBitstamp等。但是也有公司表示如果Bitcoin Cash进展顺利,不排除予以支持的可能性。

5.比特币现金具有稀缺性

在比特币分叉时,一些比特币现金并没有进入到日常流通中。原因是用户无法从不支持的交易所和钱包中获得比特币现金。这意味着比特币现金实际上都比传统的比特币更稀缺。比特币作为加密数字资产龙头,早已深入人心,基于利益机制的不同,各方对比特币现金的态度也大大不同。

4.7.2比特币现金汇率

【MottoIN】2018勒索软件威胁态势安全报告

五.勒索攻击发展趋势

5.1勒索软件威胁在一年内有所下降

过去一年中最引人注目的勒索软件趋势是Wannacry和Badrabbit等威胁的迅速传播。它们就像是全球流行的瘟疫一样,在很短的时间内引发了勒索软件受害者数量的巨大增长。仔细观察之后,会发现勒索软件也被高级威胁攻击者用来进行数据破坏攻击,而非追求纯粹的经济利益。

根据卡巴斯基安全实验室的报告,勒索软件威胁在2018年内处于下降趋势:

1.遭勒索软件攻击的用户总数下降了约30%,从2016-2017年的2,581,026下降到了2017-2018年的1,811,937;

2.至少遭到一次勒索软件攻击的用户在遭恶意软件攻击的用户总数中的占比下降了约1个百分点,从2016-2017年的3.88%下降到了2017-2018年的2.80%;

3.在遭勒索软件攻击的用户中,遭加密类软件攻击的用户占比下降了约3个百分点,从2016-2017年的44.6%下降到了2017-2018年的41.5%;

4.遭加密类勒索软件攻击的用户数量几乎减半,从2016-2017年的1,152,299下降到了2017-2018年的751,606;

5.遭移动勒索软件攻击的用户数量下降了22.5%,从2016-2017年的130,232下降到了2017-2018年的100,868;

6.遭恶意矿工攻击的用户总数增长了约44.5%,从2016-2017年的1,899,236增长到了2017-2018年的2,735,611;

7.恶意矿工在整体威胁中的占比同样有所增长,从2016-2017年的约3%增长到了2017-2018年的超过4%;

8.恶意矿工在整体灰色软件中的占比同样有所增长,从2016-2017年的超过5%增长到了2017-2018年的约8%;

9.遭移动恶意矿工攻击的用户总数同样有所增长,并且步伐更为稳健,从2016-2017年的4,505增长到了2017-2018年的4,931,增长了9.5%。

【MottoIN】2018勒索软件威胁态势安全报告

【MottoIN】2018勒索软件威胁态势安全报告

对比以上两张图可以发现勒索软件攻击的数量正在减少。但是,它仍然是一个危险的威胁。

5.2攻击目标转向政企机构

过去的一年里,勒索软件的攻击进一步聚焦在高利润目标上,其中包括高净值个人、连接设备和企业服务器。特别是针对中小企业网络服务器的攻击急剧增长,已经成为2017年勒索软件攻击的一大鲜明特征。据不完全统计,2017年,约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击,尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。

客观的说,中小企业往往安全架构单一,相对容易被攻破。同时,勒索软件以企业服务器为攻击目标,往往也更容易获得高额赎金。例如:针对Linux服务器的勒索软件Rrebus,虽然名气不大,却轻松从韩国Web托管公司Nayana收取了100万美元赎金,是震惊全球的永恒之蓝全部收入的7倍之多。Nayana所以屈服,是因为超150台服务器受到攻击,上面托管着3400多家中小企业客户的站点。这款勒索病毒的覆盖面有限,韩国几乎是唯一的重灾区。

5.3攻击目标为关键信息基础设施

以WannaCry、类Petya为代表的勒索软件,则是将关键信息基础设施作为了主要攻击目标,这在以往是从未出现过的严峻情况。关键基础设施为社会生产和居民生活提供公共服务,保证国家或地区社会经济活动正常进行,其一旦被攻击将严重影响人们的日常生活,危害巨大。

5.4攻击目的开始多样化

顾名思义,勒索软件自然就是要勒索钱财。但这种传统认知已经在2017年被打破。以网络破坏、组织破坏为目的的勒索软件已经出现并开始流行。其中最为典型的代表就是类Petya。与大多数勒索软件攻击不同,类Petya的代码不是为了向受害者勒索金钱,而是要摧毁一切。类Petya病毒的主要攻击目的就是为了破坏数据而不是获得金钱。此外,以Spora为代表的窃密型勒索软件在加密用户文档时,还会窃取用户账号密码和键盘输入等信息,属于功能复合型勒索软件。

这些不仅以“勒索”为目的的“勒索软件”,实际上只是结合了传统勒索软件对文件进行加密的技术方法来实现其数据破坏、信息窃取等其他攻击目的。相比于勒索金钱,这种攻击将给对手带来更大的破坏和更大的威胁。这不仅会引发网络犯罪“商业模式”的新变种,而且会反过来刺激网络保险市场的进一步扩张。

5.5勒索软件平台化运营

2017年,勒索软件已经不再是黑客单打独斗的产物,而是做成平台化的上市服务,形成了一个完整的产业链条。在勒索软件服务平台上,勒索软件的核心技术已经直接打包封装好了,小黑客直接购买调用其服务,即可得到一个完整的勒索软件。这种勒索软件的生成模式我们称其为RaaS服务,而黑市中一般用“Satan Ransomware(撒旦勒索软件)”来指代由RaaS服务生成的勒索软件。

RaaS服务允许任何犯罪者注册一个帐户,并创建自己定制版本的撒旦勒索软件。一旦勒索软件被创建,那么犯罪分子将决定如何分发勒索软件,而RaaS服务平台将处理赎金支付和增加新功能。对于这项服务,RaaS服务平台的开发者将收取受害者所支付赎金的30%,购买RaaS服务者将获取剩余70%的赎金。

5.6境外攻击活动更多

2017年,勒索软件的攻击源头以境外为主。绝大多数的勒索软件攻击者基本都是境外攻击者,国内攻击者较少,而且国内攻击者技术水平也相对较低,制作水平也不高。有些国内攻击者编写的勒索软件程序甚至存在很多漏洞,因此也比较容易被破解。比如:MCR勒索病毒,我们可以直接获取到密钥从而恢复文件。

六.勒索攻击防范措施

当前,勒索软件已经成为重要的互联网地下黑色产业之一,个人、企业、甚至国家层面的政府机构都是勒索软件的攻击目标和勒索对象。面对这种勒索软件的攻击,安全专家提出了以下几条防范建议:

1.安全意识培训:对员工和广大计算机用户进行持续的安全教育培训是十分必要的,应当让用户了解勒索软件的传播方式,如社交媒体、社会工程学、不可信网站、不可信下载源、垃圾邮件和钓鱼邮件等。通过案例教育使用户具备一定的风险识别能力和意识。

2.电子邮件安全:钓鱼邮件是目前勒索软件传播的主要方式,有条件的单位和用户应该部署电子邮件防护产品,对所有的电子邮件附件进行病毒扫描。

3.采用多层防护的网络安全策略:很多勒索软件与高级网络攻击相结合,单一的防护手段无法抵御,应该采取多种防护手段相结合方式搭建多层的网络安全防护体系,如:高级威胁防护、网关防病毒、入侵防御以及其他基于网络的安全防护手段。

4.网络隔离:目前勒索软件已经可以通过局域网传播,为了防止勒索软件的扩散,应该采取有效的网络隔离措施,将关键的业务服务程序、数据和设备隔离到独立的网络中,防止来自网络的感染。

5.数据备份和恢复:可靠的数据备份可以将勒索软件带来的损失最小化,但同时也要对这些数据备份进行安全防护,避免被感染和损坏。

6.对加密网络流量的监测:当前采用SSL/TLS加密的Web服务越来越多,如果勒索软件通过加密的Web服务传播,就能够绕过传统的防护手段。因此,必须采取支持SSL监测的防护手段,检测SSL加密会话中存在的威胁。

七.总结

过去的几年里,互联网科技正处于高速发展阶段,但与此同时,黑客们一直致力于寻找各种安全漏洞以谋求某些利益。无论是国家、企业还是个人,往往谈及黑客攻击、网络勒索,无不“谈虎色变”,恶意勒索软件已经成为了悬在头上的达摩克利斯之剑。

一直以来,网络安全研究人员与黑客们“斗智斗勇”,就像大卫与歌利亚之间的战斗。然而,这场战斗不会轻易结束,我们希望通过各方的努力,能够在未来还互联网一片净土。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/sole/view/114277.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code