解釋：勒索軟件類型和變體

Explained : Ransomware Types & Variants

在 IT 勒索軟件的世界中，這是一個備受爭議的話題。隨著勒索軟件的不斷發展，跟踪幾種勒索軟件變得越來越困難。但可以看出，每種勒索軟件都呈現出一些獨特的傳播方式。

全面了解不同類型的勒索軟件變體。因此，您可以輕鬆識別並巧妙地處理它。

勒索軟件的類型

主要勒索軟件分為兩類：

1：Locker Ransomware：Locker Ransomware 鎖定受害者的設備，以防止他們使用它。鎖定後，網絡犯罪分子要求贖金來解密設備。

2：加密勒索軟件： 加密勒索軟件通過加密來防止用戶訪問他們的文件或數據。之後，網絡犯罪分子要求錢來取回他們的文件。

現在您已經了解了勒索軟件的主要類別。現在是時候探索您對這些勒索軟件類別下的不同類型勒索軟件的了解了。

讓我們知道每種類型的勒索軟件有多麼不同和多麼危險。

勒索軟件類型和變體的分層表示

Explained : Ransomware Types & Variants

讓我們了解每種勒索軟件類型的完整細節……！

儲物櫃勒索軟件

Explained : Ransomware Types & Variants

1. Reveton 勒索軟件：

姓名	雷夫頓
威脅類型	儲物櫃勒索軟件
症狀	這種勒索軟件類型通過阻止用戶登錄來鎖定用戶的設備。之後，它顯示了一條由國家警察部隊或聯邦調查局聲稱的虛假官方信息。
分配方式	通過 Torrent 網站，惡意廣告。
損害	整台電腦都是加密的，不支付贖金就無法打開它。此外，惡意軟件感染和密碼竊取木馬可以與勒索軟件感染一起安裝。

Reveton Ransomware的屏幕截圖：

Explained : Ransomware Types & Variants

Reveton Ransomware 於 2012 年底出現。這種勒索軟件類型通過阻止用戶登錄來鎖定用戶的設備。之後，它顯示了一條由國家警察部隊或聯邦調查局聲稱的虛假官方信息。

這條虛假的官方消息包括關於用戶參與非法活動（如軟件盜版或兒童色情製品）的聲明。遇到此類勒索軟件後，受害者無法再控制他們的設備。

2. Locky 勒索軟件：

姓名	洛基
威脅類型	儲物櫃勒索軟件
症狀	感染 Locky Ransomware 的 PC 會以文本文件或桌面牆紙的形式顯示勒索要求說明。 Locky Ransomware 加密文件包括以下擴展名：.loptr、.asasin、.diablo6、.aesir、.locky、.odin、.zepto、.osiris、.shit、.thor、.ykcol、
分配方式	該勒索軟件種類通過漏洞利用工具包 (EK) 和惡意垃圾郵件傳播。過去，Neutrino、RIG 和 Nuclear EK 都分發過這種 Locky 勒索軟件
損害	Locky Ransomware 攻擊的系統變得無法使用，因為所有主要用於常規操作的文件都已加密。

Locky 勒索軟件截圖：

Explained : Ransomware Types & Variants

Locky 是另一種非常討厭的勒索軟件，在 2016 年由一個組織良好的黑客組織發起的攻擊中首次推出。這種勒索軟件變種主要用於鎖定受害者的設備並阻止其訪問，直到完全支付贖金。

這種勒索軟件類型能夠加密大約160 種不同的文件類型，這些文件類型主要由測試人員、工程師、設計師和開發人員等使用。

它通過帶有惡意附件的虛假電子郵件誘騙受害者安裝這個令人毛骨悚然的勒索軟件，從而攻擊受害者的設備。好吧，這種惡意軟件傳輸技術通常被稱為“網絡釣魚”。

該惡意軟件使用一種偽裝成發票的電子郵件。當用戶自動打開此類電子郵件附件時，發票就會消失。之後，系統會要求用戶啟用宏以讀取文檔。一旦用戶啟用宏，Locky Ransomware 就會開始使用 AES 加密來加密多種文件類型。

除了上面提到的勒索軟件列表之外，Petya、NotPetya、TeslaCrypt、TorrentLocker、ZCryptor等是其他一些以其惡意活動而聞名的勒索軟件變種。

加密勒索軟件

Explained : Ransomware Types & Variants

1.CryptoLocker 勒索軟件

姓名	密碼鎖
威脅類型	加密勒索軟件
症狀	您完全無法打開任何系統存儲的文件。功能文件擴展名似乎已更改為您，例如：my.docx.locked。在您的桌面上，會出現一條贖金支付消息。網絡犯罪分子要求以“比特幣”支付贖金以解鎖您的加密文件。
分配方式	CryptoLocker 通常通過 UPS 跟踪通知和虛假 FedEx 聲稱來自合法企業的虛假電子郵件進行傳播。
損害	勒索軟件能夠搜索和加密保存在外部硬盤驅動器、共享網絡驅動器、網絡文件共享、USB 驅動器或云存儲驅動器上的數據中的文件。

CryptoLocker 勒索軟件的屏幕截圖：

Explained : Ransomware Types & Variants

CyptoLocker 勒索軟件於 2013 年發布，當時黑客在勒索軟件中使用了CryptoLocker 殭屍網絡（最古老的網絡攻擊形式）方法。

它是最具破壞性的勒索軟件類型之一，因為它使用強大的加密算法。因此，幾乎不可能在不提交贖金的情況下取回受 Crypto Ransomware 感染的設備和文件。

該勒索軟件遵循不熟悉的加密用戶數據的路徑。對於每個文件，CyptoLocker Ransomware 隨機創建一個對稱密鑰。之後，使用公共非對稱密鑰對該對稱密鑰進行加密。最後，它被添加到文件中。

成功加密文件後，勒索軟件會向用戶發出勒索請求消息。因此，如果受害者想要私有非對稱密鑰來解密應用於每個加密文件的對稱密鑰，他們必須支付這筆錢。

如果在截止日期之前完成付款，那麼黑客將刪除對稱密鑰。之後數據恢復幾乎是不可能的。

2.壞兔子勒索軟件

姓名	壞兔子
威脅類型	加密勒索軟件
症狀	這是基於 bootkit 的勒索軟件，例如 Petya 和 NotPetya。通常，通過網站用戶必須手動執行此操作，可以看到在主機上插入了一個名為“ install_flash_player.exe ”的文件。執行此操作後，它將開始加密目標設備上存在的文件。很快，它在 MBR 中安裝了自己的引導加載程序，還設置了系統重新啟動的時間表。重新啟動系統後，它將在用戶顯示屏上顯示贖金記錄。
分配方式	該勒索軟件種類通過 Adobe Flash 更新傳播，通過對 Flash 播放器更新發出錯誤警告。這是誘使用戶單擊可疑鏈接進行更新的技巧。
損害	壞兔子非常有能力通過 SMB 進行增殖。該勒索軟件尋找開放共享並執行 Mimikatz 軟件以獲取Windows 憑據。之後，該病毒利用硬編碼的登錄名和密碼列表通過 SMB 破壞網絡上的其他 PC。

壞兔子勒索軟件截圖：

Explained : Ransomware Types & Variants

Bad Rabbit 就是這樣一種勒索軟件，它嚴重感染了東歐和俄羅斯的組織。該勒索軟件種類利用受感染網站上的虛假 Adobe Flash 更新進行分發。

3. Cerber 勒索軟件

姓名	賽伯
威脅類型	加密勒索軟件
症狀	在此勒索軟件通過電子郵件和 JavaScript 附件進行干預後，它開始執行。該腳本與互聯網連接並開始下載實際負責加密過程的有效負載。下載的有效負載攻擊系統文件並將桌面壁紙轉換為勒索要求說明。您將在幾乎每個感染此勒索軟件物種的文件夾中收到此勒索信。
分配方式	黑客通過兩種方式向受害者提供 Cerber Ransomware： 1. 通過帶有Windows 腳本文件的雙壓縮文件的惡意電子郵件。 2. 釣魚郵件底部有退訂鏈接。這種新的破壞技術是由 Rig 和 Magnitude 漏洞利用工具包完成的。這兩個漏洞利用工具包都使用了 0-day 漏洞。
損害	受影響的系統無法使用，因為主要用於常規操作的所有文件都已加密。即使在支付了贖金之後，黑客也不會將被扣為人質的數據歸還給受害者。網絡犯罪分子要么在黑市上出售它，要么複製用戶的個人資料以進行欺詐活動。

Cerber Ransomware 的屏幕截圖：

Explained : Ransomware Types & Variants

另一種勒索軟件類型是Cerber，主要針對基於雲的 Office 365 受眾。數百萬 Office 365 客戶已經捲入了由Cerber Ransomware執行的網絡釣魚活動。

4. 孤島危機勒索軟件

姓名	孤島危機
威脅類型	加密勒索軟件
症狀	進入 PC 後，CrySiS Ransomware 開始文件加密，很快您的所有文檔、圖像、數據庫、音樂視頻和其他內容都會被加密。最初，您會注意到所有加密文件似乎都附加了 .CrySis 擴展名。後來，使用了不同的擴展名。之後，像 README.txt、解密指令.txt、Infohta 等贖金記錄也會被刪除，以告知受害者他們的系統文件發生了什麼。此贖金記錄包含有關解密文件和贖金支付的詳細信息。
分配方式	這種惡意軟件種類利用惡意網絡釣魚電子郵件、受保護較弱的 RDP 連接，有時還提供下載以安裝遊戲或合法軟件。
損害	Ransom.Crysis 通過執行vssadmin delete shadows /all /quiet 命令開始刪除還原點。如果您的備份計劃包含這些還原點，則此勒索軟件的執行很快就會開始將其刪除。
加密演算法	孤島危機勒索軟件使用 RSA、AES 的組合。而在某些情況下，DES 密碼用於鎖定個人數據。
贖金票據	黑客最初以 README.txt 的形式給出贖金記錄；後來又在系統上刪除了兩個贖金要求單，例如 FILES ENCRYPTED.txt 和 Info.hta

孤島危機勒索軟件截圖：

Explained : Ransomware Types & Variants

另一種非常獨特的勒索軟件變種是孤島危機。此勒索軟件僅加密某些固定驅動器空間、可移動驅動器或網絡驅動器中的文件。

該勒索軟件種類利用具有雙文件擴展名的惡意電子郵件附件進行分發。Crysis Ransomware無法解密加密文件，因為它使用了強大的加密算法。

5. 拼圖勒索軟件

姓名	拼圖
威脅類型	加密勒索軟件
症狀	在 Jigsaw Ransomware 干預後，您會看到您的所有個人文件都被.pleaseCallQQ、.jes、.booknish、.paytounlock、.fun、.choda、.black007、.tedcrypt、.pay、.dat、.hacked 加密。由.Snaiparul、.FUCKMEDADDY、.lockedgood、.venom 之類的擴展名。很快你的桌面壁紙就會變成勒索字條，並為你解決系統速度變慢、CPU 消耗過高等問題。
分配方式	一般來說，jigsaw Ransomware 通過惡意垃圾郵件傳播。該病毒通過使用 AES 密碼加密數據並附加上述擴展之一。此外，這將與一個非常受歡迎的角色“鋸”的形像一起丟棄贖金票據。贖金記錄包含對當前情況和贖金金額的完整說明。
損害	Jigsaw Ransomware使用 AES 加密算法加密大約 226 種不同的文件類型，這些文件類型帶有擴展名.FUN、.BTC 和 .KKK擴展名。您會在贖金票據上看到一個 60 分鐘的計時器，該計時器倒計時至零。達到 0 後，黑客將刪除某些文件。

Jigsaw Ransomware的屏幕截圖：

Explained : Ransomware Types & Variants

在最具破壞性的勒索軟件變種類型列表中， “Jigsaw Ransomware”是第一個。該勒索軟件會加密受害者的數據文件，如果不盡快清除贖金，則會迅速開始刪除它。如果沒有支付贖金，文件的刪除會在 1 小時的間隙中逐漸開始。

6. CryptoWall 勒索軟件

姓名	加密牆
威脅類型	加密勒索軟件
症狀	首先，您會收到來自網絡犯罪分子的垃圾郵件，其中包含偽造的標題信息，這使您相信它來自像DHL 或 FedEx 這樣的運輸公司。這封垃圾郵件包含有關包裹遞送或您訂購的商品無法發貨的消息。避免這些電子郵件被打開幾乎是不可能的。一旦你點擊打開它，你的系統就會感染 CryptoWall 病毒。
分配方式	CryptoWall 通過各種方式分發，例如路過式下載瀏覽器、漏洞利用工具包和惡意郵件附件。
損害	CryptoWall Ransomware 利用強大的公鑰加密技術通過向文件附加特定擴展名來扭曲文件。

CryptoWall 勒索軟件截圖：

Explained : Ransomware Types & Variants

首先，CryptoWall Ransomware 變種出現在2014 年。之後，它以各種名稱和版本出現，例如CryptorBit、CryptoWall 2.0、CryptoWall 3.0、CryptoDefense 和 CryptoWall 4.0。

該勒索軟件的一個非常吸引人的特點是，黑客只為一個文件提供一次性可用的解密服務。這只是為了讓受害者相信他們實際上保留了解密密鑰。

這個勒索軟件使用了很多技巧來分發自己，其中一些常見的包括：

聲稱獲得金融機構批准的電子郵件中的惡意附件。
漏洞利用工具包的干預，利用受害者軟件中的漏洞
通過惡意網頁和惡意廣告的贖金展示。
某些類型的 CryptoWall Ransomware 還會給你一個虛假的便條聲明，例如：

“恭喜！！！您已成為大型社區 CryptoWall 的一員。我們一起讓互聯網成為一個更好、更安全的地方。”

7. KeRanger 勒索軟件

姓名	遊俠
威脅類型	加密勒索軟件
症狀	當任何用戶安裝並執行傳輸應用程序的惡意版本時，一個名為General.rtf的包含文件會自動複製到 ~/Library/kernel_service 位置並開始執行。在位置 kernel_service 上複製此文件後，它開始執行，它將創建兩個文件，稱為~/Library/.kernel_pid 和 ~/Library/.kernel_time。文件kernel_pid具有用於執行 kernel_service 進程的進程 ID。另一方面，文件名.kernel_time包括有關首次執行勒索軟件執行的時間戳。
分配方式	This Ransomware comes included within a Trojanized version of one very popular BitTorrent installer Transmission. To make victims foolish as it appears properly signed by the genuine Apple developer certificate.
Damage	KeRanger Ransomware is designed in such a way that it starts encrypting the files present on the infected PC after passing of 3 days of the original infection.

Screenshot Of KeRanger Ransomware:

Explained : Ransomware Types & Variants

KeRanger Ransomware variant was rolled out in the year 2016. It is found that it is the first type of Ransomware that has successfully infected a Mac OS X PC. This Ransomware is injected within the installer of the open-source bit torrent client. The user who downloads such an infected installer easily caught into the trap made by KeRanger Ransomware.

After infecting your device, this Ransomware waits for only 3 days after that it encrypts around 300 file types. In the next steps, it starts sending you a text file in which there is a demand for Bitcoin along with the method to pay seems mentioned.

Conclusion:

Even though, Ransomware is counted as a most hazardous threat for the device and your data. But by following a habit of safe computing and using updated security software, it’s become too easy to stay protected from any kind of Ransomware. You just make your portion of the task i.e always being attentive while surfing and install trusted security software.

Unfortunately, if your system is already hijacked with malware species then try Malware Removal Tool for easy removal of virus from your PC.