7、勒索软件活动的法医调查与分析

勒索软件活动的法医调查与分析

1. 勒索软件的演变

勒索软件攻击主要分为两种类型：
- 锁机勒索软件攻击 ：完全锁定受害者的机器，使其无法使用。
- 加密勒索软件攻击 ：加密受害者文件系统上的文件，使其无法访问。通常会加密特定扩展名的文件，如 .doc 和 .jpg，而不是加密磁盘上的每个文件，以最大化影响，提高受害者支付赎金的可能性，机器其他功能仍可正常运行。

最早有记录的勒索软件是 1989 年的 AIDS Trojan，它通过软盘传播，使用对称加密对 C 盘上所有文件的名称进行加密，受害者被要求向巴拿马的一个邮政信箱支付赎金。1996 年，两名研究人员发布了一篇名为“Cryptovirology”的论文，创建了一个概念验证的勒索软件，能够使用 RSA 和 TEA 加密对受害者文件系统上的文件进行加密。不过，直到 2005 年，勒索软件威胁才开始在现实中出现。

2012 年，Reveton 这种锁机勒索软件的出现标志着勒索软件的兴起。Reveton 使用社会工程技术，向受害者显示声称来自执法部门的警告信息，称其计算机被用于非法活动，如下载儿童色情内容。在其高峰期，18 天内有 50 万次感染尝试。国际执法机构联合行动，逮捕了网络犯罪分子。

2013 年，全球勒索软件攻击数量呈指数级增长，与 2012 年相比增加了 500%。威胁情报公司 SonicWall 检测到，勒索软件攻击尝试从 2014 年的 320 万次增加到 2015 年的 380 万次，2016 年更是达到惊人的 6.38 亿次。自 2016 年 1 月以来，美国计算机应急响应小组（US CERT）