勒索病毒的技术门槛是如何降低的

自勒索病毒被大家官方熟知以来，为了能在这个“有着光明前途的事业”中分一杯羹，越来越多的黑客也是八仙过海各显神通，尽自己所能的制作自己的勒索病毒。

继之前我们发现的使用PHP、Python等语言编写勒索病毒之后，近期，另一种简单易用的脚本语言——AutoIt语言也被发现用于编写一种名为CryptoWire的勒索病毒。

加上前段时间出现的使用AxCrypt加密工具来加密文件进而达到勒索目的的病毒，可以说勒索病毒的“技术准入门槛”越来越低已是大势所趋。

如果说以上这些还算是有“门槛”可言的话，另外一种被称作RaaS的方式则可以说是完全没有“门槛”了。所谓RaaS即Ransomware-as-a-Service，如360互联网安全中心前不久检测到的Saturn RaaS和Data Keeper RaaS就允许任何人注册该勒索服务并生成自己的勒索病毒。

会脚本语言就能写勒索病毒

AutoIt勒索病毒CryptoWire

AutoIt是一种简单易学的脚本语言，功能强大并且不需要运行系统中安装特定的运行环境，这都导致了即便是编程0基础的新手也能快速上手，并且让自己所编写的程序顺利在他人的机器上正常运行。前文所述的这款CryptoWire勒索病毒就是用AutoIt脚本语言编写。

该病毒会尝试加密机器中可访问的所有位置中的文件，包括网络驱动器、网络共享目录、移动磁盘、外部磁盘、内部磁盘，甚至是云存储应用程序中的文件都不会漏过。 CryptoWire使用AES-256算法对文件进行加密操作，会对282种格式的文件进行加密。此外，如果检测到机器接入到了域中（多为企业内部机器），赎金将会乘4。

282种待加密文件格式

检测到机器接入域中则赎金乘4

加密完成后的勒索信息

不会脚本语言也能写勒索病毒

RaaS了解下？

所谓RaaS即Ransomware-as-a-Service，可能很多人还不了解这套机制。简单的说，就是病毒作者开发了一款勒索病毒，但并不自己传播，而是邀请其他人来传播，并从每次成功赎金付款的抽成。

为了吸引更多的客户，勒索病毒作者通常还会创建在线管理平台，以便尽可能轻松地部署和跟踪勒索软件。

许多RaaS平台还提供定制选项，类似于勒索金额、加密文件格式、勒索信息语言等均可定制，某些平台甚至还很贴心的提供了在线的技术支持。

以Data Keeper RaaS为例，在客户提供了收取勒索赎金用的比特币钱包地址勒索赎金金额后，会生成勒索病毒本体和对应的解密程序（但不含解密密钥）。

Data Keeper RaaS在线配置页面

此外，Data Keeper RaaS允许每个会员选择要加密的文件类型，这意味着不同版本的Data Keeper所加密的文件类型会有所不同。

Data Keeper RaaS默认提供的待加密文件类型（可自定义）

Saturn RaaS与Data Keeper RaaS情形类似，但提供的自定义项目略少一些：

Saturn RaaS的自定义赎金页面

Saturn RaaS的自定义病毒行为页面

传播也有简便方法——Exploit Kit的使用

与上述两款勒索病毒不同，GandCrab勒索病毒虽然也通过RaaS提供服务，但却并不像公众开放，而是仅局限于一个相对较小的圈子中使用。

GandCrab RaaS管理后台登录界面

网传的GandCrab RaaS管理后台数据统计页面

虽然GandCrab RaaS并没有对降低勒索病毒的制作技术门槛，但其传播方式却提供了一种降低传播技术门槛的方法——利用现成的漏洞利用套件（Exploit Kit，简称EK）来方便自身的传播。

GandCrab本身便是利用Rig EK通过Flash Player的CVE-2018-4878漏洞进行大规模传播的。

RIG EK传播GandCrab流程图

而新版的GandGrab勒索病毒，又换用了Magnitude EK以图更好的传播：

Magnitude EK传播新版GandGrab流程图

从传播的速度来看，较之去年同期开始爆发的Spora勒索病毒而言，合理利用了EK进行自身“推广”的GandGrab也必然有着明显的优势。

鉴于勒索病毒无论是制作还是传播，其技术门槛都越来越低，这势必会造成勒索病毒数量的进一步增长甚至是爆发。所以建议企业用户：

（1）提升新兴威胁对抗能力。传统基于合规的防御体系对于勒索软件等新兴威胁的发现、检测和处理已经呈现出力不从心的状态。而通过对抗式演习，从安全的技术、管理和运营等多个维度出发，对企业的互联网边界、防御体系及安全运营制度等多方面进行仿真检验，可以持续提升企业对抗新兴威胁的能力。

（2）及时给办公终端和服务器打补丁修复漏洞，包括操作系统以及第三方应用的补丁。

如果没有使用的必要，应尽量关闭不必要的常见网络端口，比如445、3389等。

（3）采用足够复杂的登录密码登陆办公系统或服务器，并定期更换密码。

（4）对重要数据和文件及时进行备份。

（5）提高安全运维人员职业素养，除工作电脑需要定期进行木马病毒查杀外，如有远程家中办公电脑也需要定期进行病毒木马查杀。

为了帮助政企客户免受勒索软件困扰，360企业安全早在2016年就推出了“360天擎敲诈先赔服务”，并做出郑重承诺：只要政企用户开启了360天擎敲诈先赔功能，如果依然感染了敲诈者病毒，360企业安全将负责赔付赎金，为政企用户做出百万先赔保障。