加密勒索家族的主要行為分類

    Ransomware 勒索軟體，根據其行為可以區分為 螢幕遮蔽勒索(Splash Screen, 稱為 Screen Locker Ransomware), 開機變更勒索(Change MBR, 稱為Boot Locker Ransomware), 竊密公布勒索(Steal Info, 稱為 Leakware 或 Doxware), 檔案加密勒索(Encrypt Files, 稱為Crypto Ransomware) 等等種類。目前為止，除少數案例之外，勒索軟體多為檔案加密勒索型態佔極大多數。
    當然，為了彰顯網路犯罪者的技術實力與公信力，目前加密勒索攻擊者，多半會在暗網公布被駭公司機構的失竊檔案，或者要求被駭人提供若干被加密檔案，讓攻擊者將檔案解密還原給被駭人看看，以此表示攻擊者確實有相當技術實力。
    從2016年開始，檔案型態的加密勒索，被駭人越來越多。除了歐美知名大型公司機構之外，在2020年開始，亞洲的中小企業也逐漸成為檔案加密勒索的攻擊目標。在2018年到2021年間，加密勒索攻擊成為新興網路犯罪型態，並逐漸發展成為產業鏈規模，稱為加密勒索雲端服務(Ransomware as a Service, RaaS)。這些加密勒索犯罪家族(或犯罪組織家族)在國際知名的有下列名稱：[1][2]

• Sodinokibi           16.2%
• Maze                     13.6%
• Netwalker             9.9%
• Phobos                  5.0%
• DopplePaymer    4.3%
• Snatch                   4.0%
• Conti                      4.0%
• Lockbit                  3.6%
• Dharma                 2.3%
• Nephilim               2.0%
• Avaddon                2.0%
• WastedLock           ----
• WanaCrypto          ----
• Nemty                     ----
• GlobeImposter      ----
• GandCrab               ----
• RansomExx            ----
• MountLock             ----

2013年至2021年, 全美各地累計遭受加密勒索攻擊案例[3]

    除了少數加密勒索攻擊程式之外，多數的攻擊程式在作業系統的執行程序清單中，都會明顯出現並且有極為明顯的三項特徵:

1. 加密勒索程式會造成 I/O寫入位元組與I/O讀取位元組的數值，持續同步增加 (一般正常程式的磁碟I/O數值為「讀多寫少」，而少數程式屬於「讀少寫多」，更少數的程式才會有讀寫數值接近並同步增加)
2. 該攻擊程式，會造成CPU使用量遽增
3. 該攻擊程式會對網路磁碟機(分享目錄，或分享磁碟)進行特殊網路行為，包括探測、異常權限存取、異常檔案名稱寫入、大量網路讀取寫入封包。(其主要通訊協定為SMB) 

    當然，極少數的加密勒索會省略攻擊網路磁碟機的動作，例如WastedLock，這個省略的動作會大幅加快該程式的整個加密時間。而其他加密勒所攻擊程式，會耗費許多時間，完成全部加密動作。
    除了加密動作的耗時之外，另外一方面，也會產生許多網路異常封包，我們可以早期偵測得到這些異常封包，並關閉該受害電腦主機。
    此外，有些加密勒索攻擊程式，會有更獨特的網路異常封包，例如被駭主機突然產生暗網TOR通訊封包，也是一種早期偵測異常的方式之一。像是LooCipher, WanaCrypto就有這種明顯的異常暗網通訊特徵。

    後面幾篇，我將針對幾個典型加密勒索程式，使用NSPA-Skills(NSPA技巧)，進行封包分析。
    在網路攻擊與防守的戰場，NSPA/NTPA 網路封包分析協會與各位會員同在 !!

[1] https://www.coveware.com/blog/q3-2020-ransomware-marketplace-report, "Q3 Ransomware Demands rise: Maze Sunsets & Ryuk Returns (coveware.com)"
[2] https://app.any.run/submissions
[3] https://statescoop.com/ransomware-map/