卡巴斯基2016-2018年勒索軟體和惡意挖礦的趨勢報告

執行摘要及主要發現

勒索軟體不是一個陌生的威脅。在過去的幾年裡，它一直在影響網路安全世界，感染設備和文件並阻止用戶的訪問，如果用戶想要重新獲得其設備和文件的訪問許可權，就必須要支付一筆贖金（通常以比特幣支付或者其他通用加密貨幣）。

勒索軟體一詞涵蓋了兩種主要類型的惡意軟體：即所謂的窗口攔截器（通過彈出式窗口阻止對系統或瀏覽器的訪問）和加密器（用於加密用戶的數據）。該術語還涵蓋了一類特定的木馬下載器，即用於感染PC後下載勒索軟體的程序。

卡巴斯基實驗室有報告勒索軟體演變趨勢的傳統-您可以在這裡和這裡找到之前的與此威脅有關的報告。

然而，今年我們遇到了繼續這一傳統的巨大難題。我們發現勒索軟體正在迅速消失，而惡意挖礦軟體正在取而代之。

加密貨幣的體系結構存在如下假設，除了購買加密貨幣之外，用戶還可以通過安裝在設備上的專用「挖礦」軟體，利用機器的計算能力來創建新的貨幣（或硬幣）。

挖礦是創建這些加密貨幣的過程-當加密貨幣交易被驗證並添加到區塊鏈賬本時，這一過程就會發生。反過來說，區塊鏈就是包含交易記錄（如誰做了交易、交易了多少貨幣、交易給誰）的一系列連續區塊的鏈條。加密貨幣網路中的所有參與者都存儲了完整的區塊鏈，其中包含了有史以來所有交易的詳細信息，並且參與者們不斷地將新的區塊添加到該鏈的末尾。

那些向鏈條末尾添加新區塊的人（節點）被稱為礦工，而在比特幣世界中，作為創建一個新區塊的獎勵，礦工目前可以獲得12.5比特幣。根據2017年7月1日的交易價格計算，差不多是30000美元。您可以在這裡找到有關挖礦過程的更多信息。

根據上述情況，本報告將詳細研究勒索軟體即將消失的情況，以及惡意挖礦軟體的崛起。本報告涵蓋了2017年4月至2018年3月期間的數據，並與2016年4月至2017年3月的數據進行了對比。

1.研究方法:

本報告基於卡巴斯基安全網路（KSN）的去個人化處理的數據而編製。度量指標是基於啟用了KSN功能的卡巴斯基用戶的數據（這些用戶在指定期間內至少遭到一次勒索軟體和惡意挖礦軟體的攻擊）以及卡巴斯基實驗室專家對威脅趨勢的研究。

2.主要發現:

?遭勒索軟體攻擊的用戶總數下降了約30%，從2016-2017年的2,581,026下降到了2017-2018年的1,811,937

?至少遭到一次勒索軟體攻擊的用戶在遭惡意軟體攻擊的用戶總數中的佔比下降了約1個百分點，從2016-2017年的3.88%下降到了2017-2018年的2.80%

?在遭勒索軟體攻擊的用戶中，遭加密類軟體攻擊的用戶佔比下降了約3個百分點，從2016-2017年的44.6%下降到了2017-2018年的41.5%

?遭加密類勒索軟體攻擊的用戶數量幾乎減半，從2016-2017年的1,152,299下降到了2017-2018年的751,606

?遭移動勒索軟體攻擊的用戶數量下降了22.5%，從2016-2017年的130,232下降到了2017-2018年的100,868

?遭惡意挖礦軟體攻擊的用戶總數增長了約44.5%，從2016-2017年的1,899,236增長到了2017-2018年的2,735,611

?惡意挖礦軟體在整體威脅中的佔比同樣有所增長，從2016-2017年的約3%增長到了2017-2018年的超過4%

?惡意挖礦軟體在整體灰色軟體中的佔比同樣有所增長，從2016-2017年的超過5%增長到了2017-2018年的約8%

?遭移動惡意挖礦軟體攻擊的用戶總數同樣有所增長，並且步伐穩健，從2016-2017年的4,505增長到了2017-2018年的4,931，增長了9.5%

正在消失的威脅

2017年初出現了一個危險的趨勢：網路犯罪分子開始將其注意力從針對個人用戶的攻擊轉移到針對企業的有針對性的勒索軟體攻擊。主要針對全球的金融機構，勒索軟體攻擊者正在尋找新的更有利可圖的受害者。一方面，這一變化導致勒索軟體成為年度焦點。另一方面，這一變化更像是一個孤立的激增而不是一個整體的趨勢。

過去一年中最引人注目的勒索軟體趨勢是Wannacry和Badrabbit等威脅的迅速傳播。它們就像是全球流行的瘟疫一樣，在很短的時間內引發了勒索軟體受害者數量的巨大增長。仔細觀察之後，我們發現勒索軟體也被高級威脅攻擊者用來進行數據破壞攻擊，而非追求純粹的經濟利益。

無論怎樣，我們的季度分析也向我們展示了勒索軟體大幅下降的情況。

這一發現促使我們推測勒索軟體的商業模式是否已開始崩潰。對於想要賺錢的網路犯罪分子來說，還有更有利可圖的替代方案嗎？會是什麼呢？ 我們的猜測是，犯罪分子開始拋棄勒索軟體，轉而專註於加密貨幣的挖掘。

卡巴斯基實驗室對2018年加密貨幣的威脅預測表明，以安裝惡意挖礦軟體為目的的針對性攻擊不斷增長。雖然勒索軟體可以為網路犯罪分子提供潛在的大額、一次性的收入（風險較高），但惡意挖礦軟體可以以一種更持續的、長期的模式從受害者身上賺錢（數額較小）。

1.PC勒索軟體

在指定期間內觀察到的數據證實了上述理論。

2017年4月至2018年3月期間遭到勒索軟體攻擊的全球用戶總數與上一年同期（2016年4月至2017年3月）相比下降了近30％：從2,581,026下降至1,811,937。當考慮到勒索軟體2015年4月至2016年3月期間增長了17.7%，以及在2016年4月至2017年3月期間增長了11.4%（詳細信息請參考之前的報告），這一變化就顯得更加驚人。

在遭到惡意軟體攻擊的用戶總數中，至少遭到一次勒索軟體攻擊的用戶比例也在穩步下降：2015-2016年為4.34％，2016-2017年為3.88％，2017-2018年為2.80％。

下圖說明了在本報告覆蓋的24個月內至少遇到一次勒索軟體攻擊的用戶數量的變化。從圖1中可以看出，勒索軟體攻擊的數量一直在穩步下降，僅僅超過35萬/月。5月和7月的兩個高峰很顯然是勒索軟體Locky的活躍導致的。

圖1：2016年4月至2017年3月期間至少遭到一次勒索軟體攻擊的用戶數量

圖中6月份的下降趨勢是由幾個勒索軟體家族的活動減緩導致的。接下來的一年中這一曲線與圖1十分相似，但數值更低，為20-25萬/月。

圖2：2017年4月至2018年3月期間至少遭到一次勒索軟體攻擊的用戶數量

圖中2017年5月的輕微高峰是受WannaCry以及SynAck爆發的影響。SynAck是使用了Doppelg?nging技術的有針對性的勒索軟體，也在春季爆發。7月份的下降趨勢是由Locky、Jaff和ExPetr的活動減緩導致的。

上述兩張圖都顯示勒索軟體攻擊的數量正在減少。但是，它仍然是一個危險的威脅。

2.主要的加密類勒索軟體

仔細觀察指定期間內的惡意軟體活動發現，加密類勒索軟體的「元兇」包含多個嫌犯。在2016-2017期間，大多數攻擊都是來自於Locky、CryptXXX、Zerber、Shade、Crusis、Cryrar、Snocry、Cryakl、Cryptodef、Onion和Spora，這些勒索軟體家族佔據了此期間全部加密類勒索軟體攻擊的約1/3。

圖3：2016-2017加密類勒索軟體家族的分布

一年之後，情況又變得不一樣了。主要的變化是WannaCry佔據主導地位，其它主要勒索軟體（如Locky、Zerber和Shade）的份額保持不變。

圖4：2017-2018加密類勒索軟體家族的分布

還有什麼改變了嗎？好吧，受主流勒索軟體攻擊的受害者比例從33%增長到了50%（儘管同一期間攻擊的數量下降了很多）。因此，我們可以說，雖然比例增長了，但數字下降了-這意味著威脅變得更加集中和惡意競爭下降。

有趣的是，並不是每一個勒索軟體家族的攻擊數量都下降了-例如，受Zerber和Shade影響的用戶數量保持不變（分別是4萬和2萬）。

3.地理分布

在分析遭受攻擊的用戶的地理分布時，我們始終考慮到以下情況：這些數字受卡巴斯基實驗室全球用戶的分布的影響。

這就是我們採取特殊度量指標的原因，即遭勒索軟體攻擊的用戶占遭任意惡意軟體攻擊的用戶的比例。為了保證統計數據的代表性，下面的國家/地區列表是指包含超過3萬個卡巴斯基用戶的地區。

在2016-2017年遭勒索軟體攻擊的用戶佔比最高的國家/地區名單如下：

圖5：2016-2017年遭勒索軟體攻擊的用戶占惡意軟體攻擊的用戶的比例最高的國家/地區列表（每一個國家/地區都包含超過3萬個卡巴斯基用戶）

在這一周期內，許多新的國家，如土耳其、孟加拉國、日本、伊朗和西班牙等進入了這一名單。這一變化可能意味著攻擊者已經轉向針對以前未受影響的地區，這些地區的用戶還未做好防護勒索軟體的準備，而且這些地區犯罪分子之間的競爭還不激烈。一年之後情況再次發生了變化。

圖6：2017-2018年遭勒索軟體攻擊的用戶占惡意軟體攻擊的用戶的比例最高的國家/地區列表（每一個國家/地區都包含超過3萬個卡巴斯基用戶）

我們可以看到，該列表看起來與前一年十分相似，或多或少地包含了相同的國家/地區。然而，值得注意的是土耳其從第一位跌至第十位，而日本則完全離開了榜單。這是由於Crusis和Locky活動的減緩導致的。阿聯酋進入了排名，排在第二位，而伊朗位列前三。讓我們仔細看一看這些變化是如何發生的。

圖7：年-年之間遭任意勒索軟體攻擊的用戶數量的變化

有趣的是，儘管這些國家/地區的遭勒索軟體攻擊的用戶的比例排名靠前，但如果我們查看精確的數字，這一排名會有所不同-越南、印度和阿爾及利亞等國家遭勒索軟體攻擊的用戶數字要高於其它國家。它們的比例被遭任意惡意軟體攻擊的用戶總數稀釋了。

根據我們的統計數據，中國、伊朗和泰國的數據增長也受幾個勒索軟體家族的活動推動 – 舉中國為例，WannaCry就是一個遊戲規則改變者。

上面的數字突出了全球勒索軟體威脅的橫向變化。但是，如果我們再深入一下，觀察遭木馬-勒索軟體攻擊的用戶比例，以及遭加密類勒索軟體攻擊的用戶，這一情況又會略有不同。

圖8：年-年之間遭加密類勒索軟體攻擊的用戶占勒索軟體攻擊的用戶的比例的變化

我們可以看到，2017年至2018年的比例在大多數情況下都較高，這解釋了為什麼例如泰國、阿聯酋和伊朗在這一時期排名達到了前三位。與此同時，排名前10的國家/地區的總體比例沒有顯著變化-在總體勒索軟體活動減少的情況下，它略微增長了約7個百分點。

上面的章節清楚地表明，雖然勒索軟體攻擊在全球範圍內正在減少，但我們仍然可以看到其全球地理分布的變化。這顯然意味著用戶，特別是在這些受影響的國家/地區內的用戶，在網上衝浪時應該保持謹慎。

4.移動勒索軟體

2017年-2018年，受移動勒索軟體攻擊的用戶數量下降了22.5％，從2016年-2017年的130,232下降至2017年-2018年的100,868。這一變化加速了去年的趨勢（去年這一數字是4.62%）。

然而，儘管受影響的用戶總數有所下降，但移動勒索軟體仍然是一個嚴重的威脅，因為它們已經變得比以前技術更先進，而且更危險。

例如，Trojan-Ransom.AndroidOS.Svpeng獲得設備的管理員許可權，每當用戶試圖回收這些許可權時，它就會鎖定智能手機的屏幕，要求用戶輸入他們的PIN碼。如果不能正確輸入，用戶就無法訪問該設備。在這種情況下，用戶恢復設備的唯一方法是返回出廠設置。

拉長時間表來看，移動勒索軟體的活動很有趣。多年來，移動勒索軟體不斷發展，使得許多用戶無法有效防護。從2014年4月到2015年3月，卡巴斯基實驗室的安卓解決方案保護了35,413名用戶。次年，這一數字增加了近四倍，達136,532名用戶。2017年的前幾個月我們看到了這一數字進一步增長的可能：移動勒索軟體活動在2017年初飆升，共存在218,625個移動木馬-勒索軟體安裝包-這比上一季度增加了3.5倍。

圖9：2015年4月至2017年3月至少遭到一次移動勒索軟體攻擊的用戶數量

但是，你可能已經猜到了接下來會發生什麼。

圖10：2017年4月至2018年3月至少遭到一次移動勒索軟體攻擊的用戶數量

這就是接下來所發生的，這一數字下降了；遵循PC勒索軟體相同的模式，這一數字在夏季達到低谷。事實上，2017年7月是整個觀察期內移動勒索軟體最不活躍的月份。這主要是由於所有的勒索軟體家族的活動都在減緩。儘管在8月份又有所回復，這一趨勢仍然不變-移動勒索軟體活動正在減少，達到2017年3月以來的新低。

值得注意的是，遭移動勒索軟體攻擊的用戶所佔比例（在遭任意類型的惡意軟體攻擊的用戶總數中）在早期經歷了一些反彈：2014-2015為2.04％，但2015-2016增長至4.63％，然後在2016-2017再次下降至2.78％。這一趨勢與PC勒索軟體相同，這意味著整體惡意軟體的增長速度超過勒索軟體。這一 情況在2017-2018再次發生了變化，其比例下降至0.65％。因此，顯然我們正在目睹這一網路犯罪威脅的整體衰退。

移動勒索軟體的地理分布與PC勒索軟體的地理分布顯著不同。以下列表包含了擁有超過2500個卡巴斯基用戶的國家/地區的2016-2017的數據。

圖11：2016年4月-2017年3月遭移動勒索軟體攻擊的用戶占移動惡意軟體攻擊的用戶的比例最高的10個國家/地區列表（每一個國家/地區都包含超過2500個卡巴斯基用戶）

美國排名第一，其次是加拿大和德國。同時俄羅斯在排名中佔據最後一位，這可以通過整體惡意軟體攻擊的同步增長以及該地區勒索軟體攻擊的減少來解釋。

下一個周期看起來有很大不同-由於其衰退的大趨勢，我們甚至不得不將卡巴斯基用戶的最小數量增加到10,000。此外，最高比例從18.65％下降至1.64％。

圖12：2017年4月-2018年3月遭移動勒索軟體攻擊的用戶占移動惡意軟體攻擊的用戶的比例最高的10個國家/地區列表（每一個國家/地區都包含超過10,000個卡巴斯基用戶）

在美國保持領先位置的同時，哈薩克和德國的排名上升，進入前三。俄羅斯離開榜單，被中國以幾乎相同的情況取代-0.66％的比例。

然而，主要問題仍然是相同的-儘管移動惡意軟體攻擊整體減緩和下滑，但這種威脅仍然以發達或大型發展中國家為目標。

原因很簡單：它們不僅具有更高的收入水平，而且還具有更先進和更廣泛使用的移動和電子支付基礎設施。您可以在之前的報告中找到有關此趨勢的更多詳細信息。

5.主要的移動勒索軟體

2016年至2017年，我們產品的用戶最常遇到以下移動勒索軟體家族：

圖13：2016-2017最活躍的移動勒索軟體家族的分布

「其它」類別顯著下降，從2015年至2016年的22％下降至僅1％，這主要是由於Fusob家族的擴張（從47％增加到65％）和Svpeng活動的回歸（從1％增加至14％））。再加上SMALL，這些就是這一周期最活躍的移動勒索軟體家族。

一年之後，其分布圖變化為：

圖14：2017-2018最活躍的移動勒索軟體家族的分布

正如您所看到的，SMALL和Svpeng繼續鞏固其在移動勒索軟體領域的主導地位-最活躍的家族數量從四個減少到三個，而「其它」部分則保持在最低水平。新的家族是Zebt，一個相當簡單的木馬，它主要用於鎖定設備並要求勒索贖金。Zebt主要攻擊歐洲和墨西哥的用戶，我們已經介紹過了它們的活動。Zebt在第一季度成為最廣泛傳播的移動勒索軟體-超過一半的用戶遭到攻擊。

總之，雖然移動勒索軟體攻擊已經減少，但它也顯示出與前一年相同的趨勢-它主要關注富裕國家，並且少數勒索軟體家族壟斷了市場。這意味著它們背後的攻擊者專註而又有紀律性，並採取有針對性的方法來賺錢。

聲明：本資訊由啟明星辰維他命安全小組編譯和整理

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！