目录
威胁的演变及其未来
执行摘要和主要调查结果
勒索软件是一种恶意软件,在感染设备时会阻止对其的访问或对其中存储的部分或全部信息的访问。为了解锁设备或数据,用户需要支付赎金,通常是比特币或其他广泛使用的电子货币。本报告涵盖了过去两年威胁的演变。
方法:
本报告是使用卡巴斯基安全网络(KSN)处理的非个性化数据编写的。这些指标基于卡巴斯基实验室产品的不同用户数量,这些用户启用了KSN功能,在特定时间段内至少遇到过一次勒索软件。勒索软件一词主要涵盖两种类型的恶意软件:所谓的Windows阻止程序(它们用弹出窗口阻止操作系统或浏览器)和加密勒索软件。该术语还包括选定的特洛伊木马下载程序组,即那些在感染PC时倾向于下载加密勒索软件的程序。如今,加密勒索软件被广泛认为是勒索软件的代名词,但根据卡巴斯基实验室的统计数据,经常遇到阻截者的用户数仍然很高。
主要发现:
- 2015年4月至2016年3月期间遇到勒索软件的用户总数与前12个月(2014年4月至2015年3月)相比增长了17.7% - 从全球1,967,784 到2,315,931用户;
- 从遇到恶意软件的用户总数中至少一次遇到勒索软件的用户比例从2014 - 2015年的3.63%上升到2015 - 2016年的4.34%上升0.7个百分点;
- 在遇到勒索软件的人中,遇到密码的比例急剧上升 - 从 2014 - 2015年的6.6%上升到2015 - 2016 年的31.6%,上升了25个百分点;
- 受密码攻击的用户数量增加了5.5倍,从 2014 - 2015年的131,111增加到 2015 - 2016年的718,536 ;
- 受Win- lockers攻击的用户数量从2014 - 2015年的1,836,673减少到2015 - 2016年的1,597,395,减少了13.03% ;
简介:勒索软件的简史
虽然它现在才开始引起媒体和安全界的广泛关注,但勒索软件(包括加密勒索软件)作为一种恶意软件已被人们所了解多年:至少从1989年以来第一个已知的恶意软件能够加密文件名(艾滋病木马)被发现。
早在2000年代中期,安全研究人员就发现了勒索恶意软件的另一个例子。这是Gpcode恶意软件,能够使用自己的加密算法加密受感染计算机上的文件。Gpcode之后是其他几个家族,如Krotten,Cryzip等。有时会出现另一个模仿或稍微不同版本的Gpcode。这些程序的出现会引发相对较小的事件,但从未导致看起来像流行病的东西。
这种情况多年来保持不变。
阻拦者流行
第一次真正的勒索软件流行于2010年开始,俄罗斯和一些邻国的成千上万的家庭用户遇到了覆盖其桌面上所有其他窗户的神秘窗户。这些窗口通常包含来自犯罪分子的消息,要求受害者将钱汇入给定的Premium-SMS号码,以解锁其受感染PC的屏幕或浏览器。
问题的严重程度如此之大,受害者数量如此之大,以至于它促使执法机构参与并在俄罗斯从电视到博客圈获得了广泛的媒体报道。移动电话运营商尽其所能抵御威胁,引入新的规则来注册和运营高价(短)号码,阻止曾经用于进行欺诈的账户,并告知客户此类欺诈行为。
2010年8月下旬,莫斯科有几人被捕并被指控制造阻截者。据俄罗斯内政部称,犯罪集团产生的非法收入估计为5亿卢布(约合1250万欧元)。
所谓的拦截器的兴起主要是由于能够阻止OS浏览器或桌面的恶意软件的创建不需要大量的编程技能并且为犯罪者创造了相对可靠的收入。在地下论坛上可以找到比较容易制作阻挡者的DIY套装,这吸引了很多低级别的网络犯罪分子。
安全行业和执法机构迅速做出反应:该集团的逮捕,以及释放锁定系统免费解锁的一系列服务,使得以这种方式勒索金钱的犯罪行为既风险更大,利润也更低。尽管如此,截至目前,阻截者仍然处于威胁状态 - 如本报告所示。
截至2010年底,卡巴斯基实验室的研究人员预测,尽管遭到逮捕,但这个问题不太可能消失。专家们预测,网络犯罪分子只会使用其他方法来接收“解锁”受害者计算机的费用,例如电子货币系统。
这正是几年后勒索软件大规模复苏开始时所发生的事情。
勒索软件以加密方式返回
两种类型的勒索软件之间的最大区别是:拦截器和加密勒索软件是阻挡器损坏是完全可逆的。即使在最糟糕的情况下,受感染PC的所有者也可以简单地重新安装操作系统以获取所有文件。此外,阻截者的工作方式允许安全研究人员开发自动化技术,即使在感染后也能帮助抵抗阻滞剂。卡巴斯基实验室的产品实现了一项这样的专利技术,它基本上阻止了卡巴斯基实验室客户的阻截威胁。
然而,当涉及到加密勒索软件时,事情要复杂得多,因为如果没有特殊密钥(通常存储在网络犯罪分子的服务器上),加密文件就无法解密。这使得采取积极主动的保护措施比以往任何时候都更加重要。
成功感染后果的严重性是加密勒索软件在网络犯罪分子中越来越受欢迎的原因之一。但是,它不是唯一的一个。本报告中的分析试图评估问题的严重程度,并强调在第一次加密勒索软件出现在威胁环境中近十年后重新出现的可能原因。
PC勒索软件:从拦截器到加密勒索软件
人们不需要查看统计数据,看看勒索软件再次成为互联网用户的主要问题。您只需要阅读或观看新闻。尽管如此,统计数据有助于显示问题的严重程度以及是否存在问题的某些方面,您不会从另一个关于另一个勒索软件感染的新闻报道中学到这些问题。
在2015年4月至2016年3月的12个月期间遇到勒索软件的用户总数与上一年相比增长了17.7%:2014年4月至2015年3月 - 全球1,967,784 至2,315,931用户
从遇到恶意软件的用户总数中至少一次遇到勒索软件的用户比例从2014 - 2015年的3.63%上升到2015 - 2016年的4.34%,上升0.7个百分点。
下图说明了在报告涵盖的24个月内至少遇到勒索软件一次的用户数量的变化。从图1中可以看出,勒索软件的流行程度是零星的,每隔几个月就会出现上升和下降。使用加密恶意软件的情况越来越一致:受到攻击的用户数量稳步增长,特别是2015年3月,在2015年12月达到顶峰之前。有趣的是,从2015年10月起,所有其他类型的勒索软件都在下降数量急剧增加,到今年年初,只有极少数用户遇到了旧学校拦截器和其他非加密勒索软件。
图1:2014年4月至2016年3月期间至少遇到勒索软件(包括加密加密器的加密器和下载器)的用户数量
这种下降并没有持续多久。2016年2月,这两个类别从1月的急剧下降开始恢复,并且数量继续上升。
图2:使用任何恶意软件2014-2016攻击的用户数
如图2所示,勒索软件的行为并不反映整体攻击趋势。为了发现高峰和低谷背后的可能原因,我们需要深入了解勒索软件攻击统计数据。
在调查期间的第一个主要峰值是在2014年7月登记的,超过274,000个用户遇到了某种形式的勒索软件。造成这种激增的主要原因是Trojan-Ransom.JS.SMSer.pn,这是一个浏览器锁定器,攻击当月受勒索软件影响的人数超过三分之一(31%)。在所有面临Trojan-Ransom类别恶意软件的人中,十分之一(11.63%)遇到加密者。
下一个峰值是在2015年4月登记的,当时有28.25万用户遭到勒索软件攻击。这是由几组恶意软件引起的,大约10%的受影响的人遇到了加密勒索软件。
2015年10月,勒索软件达到历史最高水平,受到攻击的用户超过428.4万。受影响的人中,有9.38%受到加密勒索软件的攻击。在2016年3月,当又发生了另一次勒索软件攻击时,情况非常不同:超过一半(51.9%)遇到过Trojan-Ransom恶意软件的人正在处理加密器。这主要是由于臭名昭着的TeslaCrypt加密勒索软件导致少数勒索软件集团的活动。
2016年4月和5月的结果 - 虽然超出了本报告的范围 - 证实了这一趋势:加密勒索软件在2016年4月影响了54%的受攻击用户,5月份影响了35.7%,仍远高于前12个月的平均水平。
加密勒索软件的主要参与者
查看本报告所涉期间活跃的恶意软件组,似乎有一个相当短的嫌疑人名单是由加密勒索软件造成的大部分麻烦的原因。在2014年4月至2015年3月的第一期中,最活跃的加密器是以下恶意软件组:CryptoWall,Cryakl,Scatter,Mor,CTB-Locker,TorrentLocker,Fury,Lortok,Aura和Shade。在他们之间,他们能够攻击全球101,568名用户,占该期间受密码勒索软件攻击的所有用户的77.48%。
图3:2014 - 2015年受到不同加密勒索软件攻击的用户分布情况
一年后情况发生了很大变化。TeslaCrypt与CTB-Locker,Scatter和Cryakl共同负责攻击79.21%遇到任何加密勒索软件的人。
图4:2015-2016中受到不同加密勒索软件攻击的用户分布情况
有趣的是,在2015 - 2016年,“其他”类别下降到受攻击用户的2.41%,而一年前它占22.55%。这种下降可能是犯罪 - 犯罪基础设施发展的标志。犯罪分子开始购买现成的,随时可用的恶意软件,而不是开发自己独特的加密勒索软件。您可以在本报告的“如何完成”部分中阅读有关此过程的更多信息。但在此之前,让我们看看勒索软件背后的恶意行为者是什么类型的用户。
使用勒索软件攻击的用户类型
大多数勒索软件攻击都针对家庭用户。在苏联后地区,以及本报告所涉及的第一个时期,2010年的阻截者流行病就是这种情况。遇到勒索软件的用户中有93.2%是家用产品的用户,剩下的6.8%是企业用户。然而,在第二阶段,遭受勒索软件攻击的企业用户比例增加了一倍多,达到13.13%,增幅超过6个百分点。所有“感谢”加密勒索软件。
图5:2014 - 2016年遭遇勒索软件的用户类型
在查看加密勒索软件时,情况有所不同:在报告涵盖的24个月中,受加密器攻击的企业用户份额保持稳定在20%左右(2015 - 2016年仅略微上升至22.07%)。但这种明显的稳定性并未反映在实际数字中。
使用加密勒索软件攻击的企业用户数量增加了近六倍(5.86倍):从2014 - 2015年的2.7万增加到2015 - 2016年的158.6万,家庭用户几乎同样受到打击:上升5.37倍。
地理
在分析受攻击用户的地理位置时,请务必记住这些数字受卡巴斯基实验室全球客户分布的影响。
因此,为了准确理解大多数使用勒索软件攻击的用户所处的位置,我们使用特殊指标:使用勒索软件攻击的用户占任何类型恶意软件攻击用户的比例。我们相信,与在每个地区使用勒索软件的用户之间的直接比较相比,这可以更准确地描述威胁情况。
2014 - 2015年,遭受勒索软件攻击的用户比例最高的国家名单如下所示。
| 国家 | 在 遇到恶意软件的所有用户中,遭受勒索软件攻击的用户百分比 |
| 哈萨克斯坦 | 6.99% |
| 阿尔及利亚 | 6.23% |
| 乌克兰 | 5.87% |
| 意大利 | 4.69% |
| 俄罗斯联邦 | 4.63% |
| 越南 | 3.86% |
| 印度 | 3.77% |
| 德国 | 3.00% |
| 巴西 | 2.60% |
| 美国 | 2.07% |
图6:遭受勒索软件攻击的用户所占比例最高的国家/地区列表,占2014 - 2015年受到任何恶意软件攻击的所有用户的比例
哈萨克斯坦,阿尔及利亚,乌克兰,意大利和俄罗斯的受访用户比例超过4%。
一年后,情况发生了变化显著:从印度搬到7 日至1 日的地方,用户的9.6%。俄罗斯用户的比例也上升至6.41%,其次是哈萨克斯坦,意大利,德国,越南和阿尔及利亚。在过去的一年中,这些国家都进入前十名的下半年。
| 国家 | 所有遇到恶意软件的用户中使用勒索软件攻击的用户百分比 |
| 印度 | 9.60% |
| 俄罗斯联邦 | 6.41% |
| 哈萨克斯坦 | 5.75% |
| 意大利 | 5.25% |
| 德国 | 4.26% |
| 越南 | 3.96% |
| 阿尔及利亚 | 3.90% |
| 巴西 | 3.72% |
| 乌克兰 | 3.72% |
| 美国 | 1.41% |
图7 2015 - 2016年遭受勒索软件攻击的用户占受攻击的所有用户比例最大的国家/地区列表
其中,印度,巴西,俄罗斯和德国在受攻击用户数量增长最快的国家中名列前茅,而美国,越南,阿尔及利亚,乌克兰和哈萨克斯坦的数量则显着减少。
| 国家 | 2014-2015 | 2015-2016 | Y-to-Y改变 |
| 俄罗斯联邦 | 562190 | 867651 | 上涨54.33% |
| 印度 | 143973 | 325638 | 上涨126.18% |
| 美国 | 107755 | 55679 | 下跌48.33% |
| 德国 | 102289 | 138750 | 上涨35.65% |
| 越南 | 96092 | 89247 | 下跌7.12% |
| 乌克兰 | 69220 | 39246 | 下降43.3% |
| 哈萨克斯坦 | 62719 | 39179 | 下跌37.53% |
| 阿尔及利亚 | 61623 | 38530 | 下跌37.43% |
| 意大利 | 49400 | 59130 | 上涨19.7% |
| 巴西 | 43674 | 70078 | 上涨60.46% |
图8用任何类型的勒索软件攻击的用户数量的逐年变化
以上数字证明了整个Trojan-Ransom类别的变化。如果我们更深入地了解受到使用加密勒索软件攻击的Trojan-Ransom攻击用户的比例,那么图片就会大不相同。
| 国家 | 2014 - 2015年受到加密勒索软件攻击的用户百分比 | 2015 - 2016年,使用加密勒索软件攻击用户的百分比 |
| 俄罗斯联邦 | 6.09% | 20.43% |
| 印度 | 3.34% | 6.93% |
| 美国 | 14.27% | 39.79% |
| 德国 | 4.64% | 94.41% |
| 越南 | 2.32% | 22.87% |
| 乌克兰 | 1.34% | 28.86% |
| 哈萨克斯坦 | 1.14% | 25.59% |
| 阿尔及利亚 | 1.18% | 13.48% |
| 意大利 | 8.93% | 89.7% |
| 巴西 | 2.56% | 31.83% |
| 其他 | 41.16% | 46.3% |
图09:受加密勒索软件攻击的用户所占比例同比变化为受到任何类型勒索软件攻击的用户比例
上述十个国家在遇到任何类型勒索软件的用户中占64.14%,在遇到密码的用户中占52.83%。2015 - 2016年这些数字分别上升至64.57%和61.32%。
从图09中可以清楚地看出,在2014 - 2015年期间,加密勒索软件在大多数国家(美国除外)是另一种类型的勒索软件,其受攻击用户的比例相对较小。一年之后,加密勒索软件在威胁领域变得更加明显,在一些国家(美国,巴西,哈萨克斯坦,乌克兰,越南和俄罗斯),其攻击比例增加了20%以上。对于一些国家,如德国和意大利,加密勒索软件几乎成为Trojan-Ransom类别的同义词。
为了总结地理问题,我们可以说,总体而言,受Trojan-Ransom恶意软件攻击的用户比例几乎没有变化,实际受攻击用户数增加了两位数。虽然在某些国家/地区,使用任何类型的勒索软件攻击用户的确切数量都有所减少,但列表中没有任何国家/地区显示受加密勒索软件攻击的用户所占比例有所下降。这当然没有给出一个明确的答案:在这些国家,受加密勒索软件攻击的实际用户数实际上是否增加,或者用加密攻击用户的比例增加是否仅仅是用户数量下降的结果被拦截者袭击?从图10中可以看出,答案是肯定的,在一些国家,如德国,巴西,乌克兰,哈萨克斯坦和意大利,
| 国家 | 2014-2015 | 2015-2016 | 年度变化(次) |
| 俄罗斯联邦 | 34226 | 177249 | +5,18 |
| 印度 | 4803 | 22572 | +4,70 |
| 美国 | 15380 | 22155 | +1,44 |
| 德国 | 4744 | 96566 | +20,36 |
| 越南 | 2230 | 20409 | +9,15 |
| 乌克兰 | 925 | 11257 | +12,17 |
| 哈萨克斯坦 | 716 | 10025 | +14,00 |
| 阿尔及利亚 | 728 | 5195 | +7,14 |
| 意大利 | 4412 | 53039 | +12,02 |
| 巴西 | 1116 | 22307 | +19,99 |
| 其他 | 61853 | 277962 | +4,49 |
图10:前10个国家受加密勒索软件攻击的用户同比增长率较高的用户比例
未完待续。
转载自原文链接, 如需删除请联系管理员。
原文链接:[转]KSN报告:2014 - 2016年的PC勒索软件,转载请注明来源!