这是从2016年5月至2017年6月间的勒索软件事件的综合报告。这些事件在视觉上分为几类，包括新的勒索软件，现有家族的更新，解密器的发布以及其他值得注意的消息。对勒索软件主题感兴趣的安全研究人员和用户现在可以使用这种一体化知识库，而不必从多个不同的来源收集数据。

表示新的勒索软件发布            

表示旧勒索软件更新            

表示被解密的勒索软件            

表示其他重要的勒索软件相关事件            

针对说俄语的受害者。追加.enigma扩展名。创建enigma_encr.txt赎金提示。

卡巴斯基的免费解密器被击败。添加.crypt扩展名。赎金提示以受害人身份命名。

只针对中国有受害者。非常复杂的解密程序。使用“文件解密帮助.txt”赎金提示。

指定德国和荷兰用户。添加.locked扩展名。UNLOCK_FILES_INSTRUCTIONS.txt（为其赎金提示）手册。

以Hitman视频游戏为主题。附加.porno扩展名，并在屏幕上使用X级图片显示警告。

使用.encrypted扩展名并删除READ_THIS_TO_DECRYPT.html帮助手册。可免费解密。

如果覆写MBR的Petya无法获得管理员权限，则会安装Mischa，它是一种典型的文件加密木马程序。

Ransomware-as-a-Service（勒索软件即服务）平台推出，允许骗子在联盟基础上传播Petya和Mischa。

卡巴斯基实验室更新了CryptXXX勒索软件的免费解密器，现已涵盖2.0版本。

新样本。添加.8lock8扩展名并创建READ_IT.txt赎金提示。通过电子邮件进行交互。

Shade（又名Troldesh）勒索软件的新变体使用.da_vinci_code扩展名来锁定文件。

研究人员解密了GhostCrypt 勒索软件（.Z81928819扩展名，READ_THIS_FILE.txt赎金注）。

新变体。利用AES密码，附加.RSNSlocked扩展名，并要求价值$300的比特币。

Emsisoft发行的Xorist家族解密器。需要一个加密文件及其原始副本。

追加._[timestamp]_$[email]$.777扩展名。由Emsisoft的Fabian Wosar解密。

一个GNL Locker的衍生。使用.locked扩展名并删除UNLOCK_FILES_INSTRUCTIONS.html/txt手册。

TeslaCrypt勒索软件作者关闭该项目并发布了主解密密钥。

新的感染利用Drupal漏洞。受影响站点约400个。要求1.4 BTC（注：应是指比特币）以解密内容。

不修改文件名。创建Cryptinfo.txt赎金手册和勒索1.5 BTC。

修补了加密缺陷，卡巴斯基的解密器不再能够恢复文件。

对于失效的TeslaCrypt，骗子提供了一个链接到专家定制的解码器的Tor付款站点。

文件重命名格式如下：[攻击者邮件]-[原始文件名].odcodc。不可免费解密。

新的。追加.zcrypt字符串。利用在记忆棒和网络驱动器上的autorun.inf文件传播。

新的ZYKLON版本从.locked扩展名切换到.zyklon字符串。其它没有更改。

新的BadBlock勒索软件没有将任何扩展名附加到文件。赎金大小是2 BTC。

另一个Jigsaw勒索软件版本。除非受害人支付赎金，否则删除文件。可免费解密。

发现了JobCrypter勒索软件被修改了的变体。使用.css扩展名。

新样本告知受害人发送电子邮件至 support@juicylemon.biz以获取说明。要求1000欧元。

赎金提示和付款页面的多种设计小调整。解密器现在被称为UltraDeCrypter。

BadBlock家族，其破坏数据文件和Windows EXE，被解密（感谢Emsisoft）。

此JIGSAW勒索的后代显示NSFW壁纸，并使用.paybtc扩展名。

针对说英语和俄语的用户，追加了.silent扩展名，要求$30。

此示例使用对称AES密码系统，将.herbst扩展名附加到文件并敲诈$50。

攻击讲俄语的受众，将.criptokod扩展名添加到锁定文件。可免费解密。

新的JIGSAW变体使用.paymst，.payms，.pays，.paym，.paymrs，.payrms和.paymts扩展。

另一个Crysis勒索后代给文件附加.centurion_legion.aol.com.xtbl扩展名。

根据ESET的一项研究，Crysis勒索软件正在网络骗子手上获得能量。

研究人员击败了使用.crypted扩展名的Nemucod勒索软件的新一代。

思科的Talos Group发布了解密所有已知版本的TeslaCrypt勒索软件的工具。

新的CryptXXX（UltraCrypter）版本使用.cryptz扩展名标记加密的条目。

Emsisoft研究人员为Apocalypse勒索软件定制解密器，它使用.encrypted扩展名。

使用JavaScript构建，RAA勒索软件（.locked扩展名）还安装了Pony密码窃取器。

这个讨人厌的“FLocker”针对Android设备（包括智能电视），并敲诈价值$200的iTunes礼品卡。

为文件附加.ded扩展名，用电子邮件与攻击者交互，并要求2 BTC。

匿名形式的Jigsaw勒索变体将.epic字符串添加后到抢到的文件名中。

指示受害者通过电子邮件在48小时内联系开发者，否则威胁擦除文件。

针对俄罗斯用户，将.crypt38追加到文件中，并要求值$15的卢布。免费解密器已发布。

新样本使用AES算法并附加.locked扩展。专家们找到了解决方法。

发现新的LOCKY扩散活动，利用Necurs僵尸网络来产生有害的垃圾邮件。

研究人员为使用高级反VM功能的ApocalypseVM勒索软件创建一个解密器。

使用非对称RSA加密。受害人被指示通过电子邮件发送给kozy.jozy@yahoo.com。

使用AES算法，使用.crptrgr扩展名，并创建!Where_are_my_files!.html的赎金提示。

CryptXXX勒索软件开始将随机的5字符扩展附加到文件，而不是.crypz。

基于Python家族。瞄准Zimbra开源电子邮件平台。勒索达3 BTC。

附加.SecureCrypted扩展名。Emsisoft Apocalypse Decryptor已更新以恢复文件。

告诉受害者，请发送电子邮件给开发者至towerweb@yandex.com以获取指示。要求值100美元的比特币。

基于开源教学代码的勒索软件。将.kratos扩展名连接到文件。

将文件存储在受密码保护的ZIP文件夹中，而不是加密它们。要求3 BTC。

加密文件并严重破坏主引导记录。显示一个要求0.5 BTC的锁屏。

锁定受害者的个人资料，但不要求赎金。在隐藏的.TXT文件中有解密密码。

新的Locky变体附加.zepto扩展名并将文件重命名为32个十六进制字符。

使用DES，并要求惊人的48.48 BTC。分析师已解密。

Shade新一代从.da_vinci_code改为使用.Windows10扩展名。

这些工具可以恢复由TeslaCrypt, Apocalypse, BadBlock, Crypt888, Legion,和SZFLocker加密的文件。

针对讲俄语的用户。电子邮件通信：unlock92@india.com。可免费解密。

可能是Zyklon的仿制。主要在荷兰和比利时流通。追加.wflx扩展名。

Alfa(又名Alpha)勒索软件使用.bin扩展名，似乎由Cerber开发者创建。

Emsisoft的解密器现在处理Apocalypse勒索软件的.leepYourFiles版本。

新版本会创建README.html（.bmp，.txt）赎金提示，并售卖一个名为“Microsoft Decryptor”的工具。

请求0.2 BTC解锁文件，但却不可逆地删除数据。

将.bitstak扩展名附加到抢到的文件。研究员Michael Gillespie创建了一个解密器。

使用.id-[唯一受害者ID]-maestro@pizzacrypts.info扩展名来标记所有编码的文件。

保持休眠几个月后，PadCrypt勒索软件（.padcrypt扩展名）重新出现。

新变体使用RSA-2048密码系统，无法解密。追加.CCCRRRPPP扩展名。

绰号为CTB-Faker的样本将文件移动到受密码保护的存档ZIP。是可破解的。

研究人员通过处理BloodDolly提出了一种解密ODCODC文件编码的方法。

虽然此示例使用.cerber扩展名，但它只是一个模仿。未链接到Tor的解密器页面。

根据OpenDNS，WildFire Locker通过Kelihos僵尸网络进行分布的趋势有所上升。

附加.locked扩展名。犯罪分子可以在暗网购买一份只需39美元的副本。

不管出于什么原因，CryptXXX Tor支付站点提供免费密钥来解密.cryp1和.crypz文件。

Petya作者改进了Salsa20算法实现，更加可靠地加密主文件表。

新鲜的CryptXXX版本替换32位十六进制字符的文件名，并附加随机扩展名。

用Python编写，HolyCrypt示例将所有组件作为单个的Windows可执行文件进行安装。

ODCODC勒索软件受害者现在可以使用一个自动免费的解密器。用于感染的C＆C服务器已经挂掉。

AVG的免费恢复工具允许Bart勒索软件受害者破解ZIP存档密码。

PowerWare勒索软件将自己伪装成Locky。感谢Michael Gillespie提供解密器。

Emsisoft团队成员Fabian Wosar为相对较新的Stampado病毒创建了免费的解密工具。

CrypMIC与CryptXXX非常相似。研究人员对此进行了比较。

样本新使用.~文件扩展名，并创建_RECOVER_INSTRUCTIONS.ini赎金提示。

在打击勒索软件上的真正突破。由执法机构和安全公司创建。

Petya和Mischa 勒索软件的作者发布了一个针对叫作Chimera的家族的约3500个解密密匙。

Petya和Mischa背后的骗子使他们的勒索即服务平台开放给公众。

从价值100美元的比特币开始增加随机数量的赎金。启动后不久C＆C服务器就挂了。

将.locked扩展名追加到抢夺到的文件。土耳其语的赎金提示要求2 BTC。

“We Are Anonymous”Jigsaw勒索变体带有新的警告背景。可被解密。

卡巴斯基实验室的RakhniDecryptor解决方案使用以前泄漏的密钥来解密被Chimera锁定的文件。

新血统，使用AES加密并连接.razy扩展名。即使开发人员也无法解密文件。

Zepto版本的Locky勒索软件通过带有恶意软件的WSF电子邮件附件进行传播。

日本研究人员创建了称为ShinoLocker的教学勒索软件。这是另一个有争议的举措。

Osterman Research透露，过去12个月，50％的美国公司被勒索软件瞄准。

切换到.cerber2扩展并使用新的桌面背景。赎金提示没变。

EDA2 PoC诞生了一个新的现实世界家族。使用AES-256标准并附加.venusf扩展名。

此奇怪样本删除扩展名，而不是加密文件。要求价值25欧元的Vodafone卡。

使用带有一些修改的开源的Hidden Tear的代码。附加.rekt扩展名的文件。

研究人员在DEFCON活动中展示了可行的进攻恒温器的勒索软件。

假装是CryptoWall的骗子。通过RDP手动安装。将.encrypted扩展名附加到文件。

昵称为BloodDolly的勒索软件分析师为PizzaCrypts和JuicyLemon家族创建了一个免费解密器。

附加.locked扩展名。创建一个Windows用户帐户（Hack3r）后门，以便将来访问PC。

又名Crypt0L0cker。使用.enc文件扩展名。通过电子邮件发送的流氓电费单来感染电脑。

新的RAAS平台，允许广泛的勒索软件定制。开发者的收入减少20％。

Check Point发布了一个用于.cerber和.cerber2变体的解密工具。虽然只起了1天的作用。

根据调查研究，Cerver开发者的年度收入约为100万美元。

基于教学用Hidden Tear的代码。发现与CripMIC勒索软件的明显联系。

这个骗子不断地侮辱破解了其每个新版勒索软件的Fabian Wosar。

Cerber勒索软件背后开发者使得Check Point的自动解密器变得不好用。

研究人员发布Smrss32.exe勒索软件的免费解密工具。

一个EDA2的衍生。设置带有Fsociety黑客组logo的Mr. Robot电视剧主题壁纸。

开始实际加密文件并附加.bart扩展名，而不是简单地对其进行密码保护。

有效载荷假装是PokemonGO游戏。对Windows屏幕截图来达到恐吓目的。

通过RIG漏洞利用套件进行传播。使用Tor C＆C服务器。要求在5天内提交1 BTC的赎金。

另一个CTB-Locker仿制，使用类似的赎金提示和配色方案。要求0.5 BTC。

以向净化电影致敬为风格的桌面壁纸。将.purge扩展名附加到文件。

荷兰警方和NHTCU机构抓住WildFire Locker 勒索软件的C＆C服务器。免费解密器发布。

据PhishLabs说，Alma Locker的私钥可以在攻击时用网络嗅探器获得。

基于EDA2的新家族品种。显示一个虚假的的Windows更新屏幕来模糊加密过程。

基于教学性的Hidden Tear代码。有效载荷伪装成KMSPico。（注：原文此处语法似乎有问题）

Locky勒索软件的别名Zepto开始利用DLL安装程序，而不是可执行文件传播。

新的Smrss32垃圾邮件运动传送伪装成美国选举新闻的文件。

针对塞尔维亚和克罗地亚的用户。不修改文件名。要解密，需50欧元。

敌手会破坏Linux服务器，擦除Web文件夹并敲诈2 BTC进行恢复。

指示受害者发送电子邮件至raaconsult@mail2tor.com以进行解密步骤。

Apocalypse勒索软件开发者将他们的新变种命名为“Fabiansomware”，以侮辱研究员Fabian Wosar。

新版的Cerber勒索软件将.cerber3扩展名连接到锁定的文件

据报道，骗子们使用不安全的Redis服务器来用Fairware勒索软件感染Linux机器。

新的Stampado变体用十六进制字符替换文件名，并使用.locked扩展名。

假装成一个PokemonGO机器人应用。要求0.1 BTC。由Michael Gillespie解密。

冒充不存在的“Central Security Treatment Organization（中央安全应对组织）”。追加.cry扩展名

CryLocker通过Sundown攻击套件传播，并通过UDP将受害者的详细信息发送到其C2服务器。

新的Locky样品附有内置的RSA密钥，不与C＆C服务器进行通信。

瞄准俄罗斯用户。将文件移动到受密码保护的RAR存档，创建RarVault.htm赎金提示。

攻击俄罗斯受害者。创建“How Decrypt Files.txt”赎金手册。免费的解密器已发布。

新的Stampado版本在暗网中以400美元出售。特点是有一个“仁慈按钮”。

追加.locked扩展名并要求0.5 BTC。攻击者的电子邮件地址是flyper01@sigaint.org。

使用AES加密，添加.cry扩展名并丢出README_FOR_DECRYPT.txt帮助文件。

Emsisoft的Fabian Wosar为PHILADELPHIA病毒开发了一个免费的解密器。

新的Crysis勒索软件以帮助无家可归者的幌子欺骗用户。

新的勒索软件，对所有受害者使用相同的加密密钥。分析师已发布解密密钥。

利用AES-256算法，将.locklock扩展名附加到文件中，并创建READ_ME.txt赎金提示。

Shark RaaS更名为Atom勒索软件联盟计划。在公共互联网上可用。

Fabian Wosar发布了一个解密工具来处理Stampado勒索软件的新变体。

Locky勒索软件的自动驾驶加密得到改进，以防止AV检测。

新版本加密已被其他勒索软件家族锁定的文件，因此这是双重麻烦。

Razy要求价值10欧元的PaySafeCard来解锁文件。赎金屏幕类似于Jigsaw勒索软件。

新版本可以离线加密数据，与Locky类似。现在瞄准网络共享。

FenixLocker勒索软件开发者被发现在每个加密文件中留下“FenixIloveyou !!”消息。

一个非常危险的样本，通过覆盖MBR将受害者锁在计算机外。

Emsisoft发布免费的FenixLocker解密工具，该工具为加密文件添加了秘密的混搭注释。

新版随机设置桌面壁纸，并从有效负载名称中导出赎金大小。

Fabian Wosar持续忙碌于用其更新的免费解密器来干扰勒索软件制造者。

根据Avira的说法，新的Locky样本切回使用C＆C基础设施进行加密。

Cerber勒索软件的分布大幅增加：日常感染达到80,000。

由GData发现，CYBER SPLITTER VBS要求1个BTC，但未真正加密任何文件。

新样本，丢出“Files encrypted.txt”赎金手册，要求0.18 BTC进行解密。

与CTB-LOCKER非常相似。主要针对美国政府和教育机构。

警告屏幕包含“伏地魔”（Lord Voldemort）的形象，这是哈利·波特电影中的邪恶角色。

以其赎金提示“help_dcfile.txt”命令。追加扩展名为.XXX的文件。

此样本处于开发中，其GUI带有Donald Trump的照片。

新变体将.odin扩展名添加到文件中，并创建_HOWDO_text.html/bmp赎金提示。

Michael Gillespie，又名@demonslay335，为DXXD赎金木马创建一个解密器。

名为CryptoTrooper的新型教学用Linux勒索软件获得安全社区的负面反馈。

解密器页面类似于Cerber的页面。赎金是3 BTC（约2200美元），超期后翻番。

追加.unavailable扩展名。Emsisoft为此样本创建一个自动解密工具。

新版本瞄准德国用户。以PaySafeCard敲诈赎金。截止期限为72小时。

卡巴斯基的一篇文章分析了针对企业和医院的巴西TeamXRat勒索软件。

新样本。使用AES标准并创建!!_RECOVERY_instructions _!!.html/txt赎金提示。

Apocalypse勒索软件开始在BleepingComputer论坛上发文章，侮辱研究员Fabian Wosar。

卡巴斯基更新了他们的RannohDecryptor解决方案，以便它可以破解MarsJoke 勒索软件。

Trend Micro勒索软件文件解密器工具现在能够解码全球的勒索软件。

该工具可以破解Globe勒索软件使用的Blowfish密码。

该家族附加带有.rip扩展名的文件，并显示一个吓人的小丑的图像。

将.realfsociety@sigaint.org.fsociety扩展名连接到文件并丢出fsociety.html赎金提示。

滥用教学勒索软件代码的另一个犯罪例子。没野外传播。

新变体添加一个随机的4个字符的扩展名，并创建README.hta赎金提示>>>            

Hades Locker占据了WildFire Locker商机，这是由荷兰执法部门拿下的。

Globe开发者发布了多个新衍生，附加了.encrypted，.raid10和.globe扩展。

追加.kostya扩展名。2000 CZK（约合78美元）的赎金在12个小时后会加倍。

将.comrade扩展名添加到文件并显示RESTORE-FILES![ID]赎金提示。

新版附加.1txt扩展名，并留下enigma_info.txt赎金手册。

使用AES-256算法，并要求相当于一个500美元的比特币。配置为在2017年加密数据。

使用VenisRansom@protonmail.com进行沟通。启用RDP并窃取密码。

检测为Trojan.Encoder.6491，它附加了.enc扩展名。由Doctor Web破解。

研究人员为DXXD勒索软件的第二代创建了一个解密器。

新的Nuke变种在野外发现。将.nuclear55扩展名连接到编码后的文件。

Cisco Talos创建LockyDump，这是一个具有所有Locky版本的配置参数的数据聚合。

开发的处理是EvilTwin。加密目标计算机上的所有数据，包括可执行文件。

Malwarebytes发布解密DMALocker最新的!XPTLOCK5.0版本的工具。

NoobCrypt 2.0需要$ 50。攻击者决定坚持用研究者给出的勒索软件名称。

基于EDA2勒索软件。追加.coded扩展名，攻击者的电子邮件是support.code@aol.com。

只锁定屏幕，而不加密任何东西。要求10欧元PaySafeCard解锁。

昵称为“hasherezade”的Malwarebytes研究员提供了一个免费的7ev3n勒索软件解密器。

使用有趣的“请点我”游戏来掩饰加密过程。

基于PHP的勒索软件加密的Web服务器上的数据。似乎来源于印度尼西亚。

Cisco Talos的MBRFilter工具阻止勒索木马尝试覆盖主引导记录。

粗糙的样本。将.lock93扩展名附加到文件并请求1000 RUR。可解密。

使用.adk扩展名来命名受影响的文件。要求10个BTC的巨额赎金。

该变体使用不同的文件标记（999999），并留下“decrypt explainments.html”赎金提示。

新版本附加.shit扩展名到文件，并创建_WHAT_is.html/bmp恢复手册。

现在添加.perl扩展名。赎金提示被称为recover.bmp和recover.txt。

连接.thor扩展名，而不是.shit字符串。赎金提示没变。

绰号为“Hucky”（Hungarian Locky），样品模仿了Locky的壁纸和赎金提示。

一个奇怪的家族，要求受害者在解锁计算机之前完成赞助的调查。

Emsisoft的Fabian Wosar拒绝了“realfs0ciety”网络帮派提议廉价购买解密密钥的报价。

GData专家发现并击败使用cuzimvirus@yahoo.com电子邮件进行交互的锁屏器。

又多一个教学性的勒索软件，CryptoWire，产生了一个真实世界的样本。

赎金信息是用格鲁吉亚语写的。警告屏幕上有一张无脸动漫角色的图像。

留下IFN643_Malware_Readme赎金提示。请求价值1000美元的比特币。

没有机制用来联系攻击者。要求3 BTC，但提供Litecoin地址而不是Bitcoin。

基于EDA2开源项目。丢出的赎金提示叫做CreatesReadThisFileImportant.txt。

不编码任何数据，而是锁定屏幕。要求1 BTC否则威胁删除文件。

由Michael Gillespie发现，又名@demonslay335。Malwarebytes分析师创建一个解密器。

追加.alcatraz扩展名，并留下ransomed.html赎金提示。赎金大小为0.5BTC。

Cerber勒索软件开发者开始在v4.1.0及更高版本中显示版本号。

显示一个“杀死文件倒计时”窗口与滑稽的超级蘑菇图片。不真的删除任何文件。

加密数据并锁定受害者的屏幕。文件附有.dCrypt扩展名。

加密文件后，zScreenLocker勒索软件显示“禁止伊斯兰教”图片。

附加.enc扩展名，并创建“如何recover.enc.txt”赎金提示。

在命令提示符下显示赎金提示。请求0.33 BTC的密码进行解密。

新出现的。将.rnsmwr扩展名连接到编码文件。

标题为“Cerber ... v4.1.x的演变”，该文章剖析了此勒索软件的新版本。

不加密任何数据，只显示一个锁屏。要求通过PayPal付款$20。

通过网络钓鱼邮件传播，附有伪造的发票。赎金提示中显示了版本号。

新版本使用过期的C＃混淆器构建。接受输入的随机解锁密钥，包括空白。

概念证明性的Hidden Tear的变体，假装是Cerber勒索软件。

可解密的样本，将.encrypted扩展名附加到文件中，并留下法语的赎金提示。

基于RemindMe勒索软件。使用.dll扩展名并丢出DECRYPT_YOUR_FILES.html赎金提示。

使用假的PaySafeCard生成器窗口来掩饰文件加密。为扩展名添加“.cry_”后缀。

将._AiraCropEncrypted扩展名附加到文件。由TeamXRat网络犯罪团伙分发。

样本可以通过地下资源购买。将.Locked扩展添加到数据条目。

用PHP编写的针对网络服务器的概念证明性软件。由巴西研究员创建。

该示例利用电报通信协议与其C2基础架构进行交互。

一个新的样本使用流行的俄罗斯“Kolobok”童话主题作为桌面背景。

伪装成美国人事管理局的警报的垃圾邮件来传播Locky有效载荷。

CrySiS勒索软件的作者为他们的感染者设置了一个带有主解密密匙的Pastebin页面。

新的勒索软件伪装成“Windows-TuneUp”应用程序。通过“pay-per-install”网络传播。

现在可以在Ransomware-as-a-Service的基础上分发更新的PadCrypt 3.0版本。

在赎金提示中显示Angela Merkel的照片。要求相当于1200欧元的BTC。

锁定桌面，而不是加密文件。用在电脑上发现的敏感内容的敲诈用户。

CryptoLuck模仿CryptoLocker的警告画面。通过RIG-E漏洞利用套件增殖。

绰号为“Demo”的勒索软件，它只编码JPG并追加.encrypted扩展名。

Apocalypse勒索软件开发者中的一人与Emsisoft的Fabian Wosar联系，要求帮助解决一个代码bug。

CryptoLocker的模仿。在几乎2年不活动后回归。要求1比特币以进行解密。

昵称为“hasherezade”的研究人员接近破解Princess Locker勒索软件。

Fabian Wosar发布了Globe2（.zendr4，.raid10，.blt，.globe和.encrypted扩展名）的解密器。

被发现通过流氓Flash播放器更新站点传播的Locky勒索软件的变体。

使用RSA和AES算法的混合来锁定文件并要求0.2至2 Bitcoin来进行解密。

又一个用.NET编程语言编写的样例。添加.L0cked文件扩展名。

Dharma勒索软件是已故的CrySiS的新变种。使用.[email_address].dharma扩展名。

MalwareHunterTeam的勒索软件ID服务现在包括238个勒索软件家族。

称为CHIP勒索软件的新样本依赖于RIG-E攻击套件进行扩散。

破坏受害者的数据，并且没有办法恢复它们，因为一个错误的密钥保存例程。

使用流氓Visa信用卡生成器来伪装有效载荷执行。

通过Facebook的即时消息系统发送的恶意.svg图像安装Nemucod木马和Locky。

新变体声称删除AES-256密钥，除非在36小时内发送赎金。由Avast解密

追加.aesir扩展名，并留下_[random_number]-INSTRUCTION.html/bmp赎金提示。

新的勒索告诉受害者打电话给一个“微软支持技术人员”。附加.vindows扩展名。

安全分析师@hasherezade击败Princess Locker的加密并发布了一个解密工具。

Malwarebytes发布了Telecrypt勒索软件的免费解密程序，它使用了Telegram API。

Cisco Talos发现了一个Locky垃圾邮件浪潮，传播诱骗装置的MHT电子邮件附件。

新出现的勒索软件在其警告屏幕上显示火鸡的图像。

使用.Locked扩展和Santa_helper@protonmail.com电子邮件进行通信。有可用解密器。

另一版本的Locky勒索软件将.zzzzz扩展名附加到加密文件。

通过RIG-V漏洞利用工具包和垃圾邮件增殖。仍然附加一个随机的4个字符的扩展名。

基于开放源码的HIDDEN TEAR的概念证明性代码。使用Jigsaw电影为主题的背景。

CryptoWire教学性勒索软件项目的副产品。要求价值相当于500美元的比特币。

似乎是一个开发中的勒索软件样本。将.hannah扩展名附加到锁定的文件。

Cerber勒索软件的新变体创建_README_.hta赎金提示。

声称发现病毒并显示“您的电脑被锁定！”警告。解锁密码已发布。

攻击仅限巴西。重命名文件，而不是加密文件。要求1个比特币进行恢复。

显示“您的Windows已被禁止”消息。解密密码为123456。

Apocalypse勒索软件的衍生。加密文件并在Windows启动之前显示警告屏幕。

安全研究人员为Vindows Locker创建了一个解密器，它使用了技术支持骗局策略。

HDDCryptor勒索软件瘫痪旧金山市政中心的IT基础设施。

这个基于PowerShell的示例使用ps2exe脚本并覆盖原始文件。

HTCryptor的代码是基于开源的HIDDEN TEAR勒索软件。尝试禁用的Windows防火墙。

旧金山Muni的官员否认有关公司数据被勒索软件开发者窃取的指控。

Emsisoft分析师Fabian Wosar为NMoreira/XPan勒索软件创建了一个免费解密器。

不明身份的勒索软件样本攻陷加拿大的卡尔顿大学，要求39 BTC。

新的Jigsaw变体使用虚假的Electrum Coin Adder应用程序的GUI屏蔽勒索软件的安装。

新版Zeta勒索软件使用.rmd扩展名和# HELP_DECRYPT_YOUR_FILES #.txt赎金提示。

最新版本的TorrentLocker，也就是Crypt0L0cker，附加6个随机字符到文件。

新一代使用4-6个字符的随机扩展名和!_HOW_TO_RESTORE_[random].txt赎金提示。

该示例使用OpenPGP加密标准的免费GnuPG实现来锁定数据。

Avast为CrySiS，Globe，NoobCrypt和Alcatraz Locker勒索软件家族提供了4种免费的解密工具。

想成为骗子的可以在地下论坛上以$ 65购买新的基于C＃的Alpha Locker勒索软件。

此更新的勒索的代码包含一条给破解其前一版的Fabian Wosar的消息。

基于Hidden Tear POC代码。将.R.i.P扩展名附加到文件和丢出Important!.txt赎金提示。

PadCrypt勒索软件的3.1.2版已经出来了。此版本不具有任何值得注意的改变。

昵称为“Pornopoker”的男子被指控创建并分发Ransomlock.P警察勒索软件。

Emsisoft的Fabian Wosar为Nemucod勒索软件的最新变体创建了一个解密工具。

更新的Apocalypse木马留下*md5*.txt赎金提示和一个带有国家/地区代码的新扩展名。

新样本添加.8lock8扩展名并创建READ_IT.txt赎金提示。通过电子邮件进行交互

新Shade（又名Troldesh）勒索软件变体（.no_more_ransom扩展名）使用Kelihos僵尸网络传播。

它应该锁定屏幕并编码文件（.encrypted扩展名），但是加密部分不起作用。

新的Locky勒索软件变体附加.osiris扩展名并丢出OSIRIS-[4_chars].htm赎金提示。

影响主引导记录（MBR）并加密主文件表（MFT），从而完全阻止PC访问。

受害者被指示再感染两个用户，从而免费得到解密密钥。

新的Jigsaw勒索软件具有“HACKED”标志。赎金大小从0.25 BTC开始。

追加.VforVendetta文件扩展名，并留下000-PLEASE-READ-WE-HELP.html赎金提示。

一个网络犯罪团队调整了开源的EDA2/Hidden Tear代码，现在在暗网上销售。

骗子使用新的称为CryptoWire的POC（proof-of-concept 概念证明）勒索软件来创建Lomix和Ultralocker家族。

带着恶意的微软Word（注：原文是Wod）文件进入PC。要求相当于1000美元的BTC来解密。

Cyber SpLiTTer Vbs勒索软件版本2.0已经出来了。基于Hidden Tear POC。要求0.5 BTC。

赎金提示称为RESTORE_CORUPTED_FILES.html。付款截止日期设定为15天。

现在使用.dale扩展名并留下DALE_FILES.txt赎金提示。

使用动画矩阵式锁屏。要求相当于$ 400的比特币。

除了新版本号，与上一版本没有显著差异。

锁定屏幕并要求0.3 BTC。解锁码是“suckmydicknigga”。

据Palo Alto Networks称，Samas团伙在2016年的利润超过45万美元。

一个Hidden Tear的衍生。使用.sexy扩展和留下!!!!!ATEN??O!!!!!.html的葡萄牙语赎金提示。

将.Locked扩展名附加到加密文件，并要求0.25 BTC。同时窃取密码。

将文件重命名为的base64字符串，添加.kraken扩展名，并创建_HELP_YOUR_FILES.html赎金提示。

声称由于违规使用受害者的电脑已被禁。解锁码是“nvidiagpuareshit”。

使用.lesli扩展名。赎金提示被称为INSTRUCTION RESTORE FILE.txt。

Michael Gillespie（@demonslay335）为Locked-In勒索软件发布免费解密器。

Cerber勒索软件有效载荷与流氓信用卡报告一起出现，欺骗用户打开一个Word附件。

新版Xorist勒索软件将.antihacker2017字符串附加到文件。可免费解密

唯一的调整是为破坏的文件加上新的unlockvt@india.com扩展名。要求1.5比特币。

使用新背景的M4N1F3STO屏幕锁的克隆。解锁码是一样的（见上文）。

留下“help to decrypt.txt”赎金手册，并提供thedon78@mail.com电子邮件地址来获取付款方式。

此样本目前正在开发中。只能在目标计算机上的测试路径中掠夺数据。

Bitdefender，Emsisoft，Trend Micro和Check Point现在加入队伍中。也添加了32个新的解密器。

新的BandaChor勒索软件通过在X级网站上和电子商务网页上的恶意广告传播。

研究人员发现一个名叫CHRIS的骗子的一个通过调整Hidden Tear得到的样本。

使用.ENC扩展名的新样本。只是重新命名文件，而没对它们进行编码。

分析人员发现了一个附加了.crypt扩展名的Globe克隆，并留下了HOW_OPEN_FILES.hta提示。

据MalwareHunterTeam称，CERBER开始使用几个新的IP范围进行UDP统计。

更新的感染体切换到使用rescuers@india.com电子邮件地址与受害者交互。

新Dharma版本指导受害者通过amagnus@india.com电子邮件地址联系攻击者。

研究人员发现CryptoBlock家族的赎金提示类似于CERBER的。还没有实际的加密。

Android的银行恶意软件的新变体符合勒索软件属性。

Cybereason的RansomFree应用程序检测并阻止了40多种广泛传播的的勒索木马。

创建*MD5*.txt赎金提示，并使用cryptcorp@inbox.ru与受害者进行交互。

M4N1F3STO屏幕锁的新版本在过程中一直加密数据。解密程序有错误。

留下RESTORE_YOUR_FILES.txt赎金手册，并使用alex.vas@dr.com电子邮件地址进行通信。

RannohDecryptor现在能够处理使用.crypt，.crypz和.cryp1扩展的CryptXXX勒索软件变体。

追加.theworldisyours扩展名，并创建CHECK-IT-HELP-FILES.html赎金提示。

用GO写的，此家族使用.braincrypt扩展和!!! HOW TO DECRYPT FILES !!!.txt赎金手册。

又名IDRANSOMv3，针对印度尼西亚的用户。由Michael Gillespie解密（@demonslay335）。

在加密数据时模拟Windows更新。要求0.2 BTC进行解密。

新样本将。追加.crypted扩展名到文件中，并要求1个BTC。由Michael Gillespie解密。

研究人员发现了一个打败PadLock屏幕锁的方法。解锁码是ajVr/G\RJzoR

来自Free-freedom勒索软件的警告说，这是一名13岁的男孩编码的。解锁码是“adam”。

BleepingComputer的研究人员发表了关于勒索软件保护的综合指南。

新的Cerber版本不会删除卷影副本，主要针对微软件Office文档

Winnix Cryptor团伙的勒索软件通过BAT文件在服务器上执行，并使用GPG加密。

Cerber开始使用115.22.15.0/27,114.23.16.0/27和91.239.24.0/23的IP范围来收集UDP统计信息。

新样本。用激怒人的显示和声音来警告受害者。附加.locked扩展名。

由已被熟知孩子Adam编码。附加.madebyadam扩展名。解密密码是“adamdude9”。

如果受害者读了几篇关于勒索软件的文章，Koolova开发中的新版本将免费解密文件。

另一个自称CryptoLocker的样本将.cryptolocker字符串连接到加密的条目。

这些坏人们正准备好开始庆祝了。Cerber 使用的几个C2域在其URL中具有“christmaas”。

Venus Locker勒索软件的新变体需要1个BTC，并设定72小时的最后期限。

该示例仍然是调试版本，因此不能完全正常运行。此时已提供免费解密密钥。

一个使用.crypt扩展和HOW_OPEN_FILES.hta赎金提示的Globe勒索软件仿制。由Emsisoft解密。

要求$30。受害者必须联系叫作“Arizonacode”的Skype用户询问付款步骤。该代码包含一个“unlock all”命令。

更新因统计目的带来了新的IP范围，以及_[random]_README.hta/jpg赎金提示。

将.bript扩展名附加到被破坏的文件，并留下一个名为More.html的恢复指导。

添加到文件中的新的.hush扩展是在此更新过程中对Jigsaw进行的唯一更改。

Emsisoft的Fabian Wosar对其NMoreira解密器进行了更改，该解密器现在可以处理.maktub扩展变体。

创建HOW_TO_RESTORE_FILES.txt赎金提示，并使用C-email-[attacker_email_address]-[filename].odcodc扩展名。

Android勒索软件攻击LG智能电视，生成以FBI为主题的锁屏，并要求$ 500解锁。

发现一个新的家族，将-opentoyou@india.com扩展名附加到文件和留下!!!.txt赎金提示。

名为KillDisk的会删除文件的病毒现在可以对数据进行编码。赎金相当于数百比特币。

GoldenEye勒索软件的样品被发现通过一个假的ESET反病毒安装程序来增殖。

mkgoro@india.com版的Dharma勒索软件使用HTA格式的赎金提示（Info.hta）>>>            

新Samas勒索软件更新使用.whereisyourfiles扩展名和WHERE-YOUR-FILES.html帮助文件。

MalwareTech博客上发表的一篇文章解释了为什么开源勒索软件是一个坏主意。

将.dgel扩展名连接到被破坏的文件。赎金为0.1 BTC。

附加的扩展名为.helpmeencedfiles。现在创建HELP-ME-ENCED-FILES.html赎金手册。

虽然在外面一样，Globe现在用C/C++编码。使用.locked扩展名。

该可执行文件是firstransomware.exe。附加.locked扩展名，并留下READ_IT.txt赎金提示。

开源Hidden Tear的一个衍生勒索软件。显示“Your Files Has [sic.] Been Blocked（您的文件[sic.]已被阻止）”提醒。

另一个Hidden Tear衍生。将“.кибер разветвитель”扩展名附加到加密的条目。

全新的样品基于EDA2证明概念的勒索软件。使用.L0CKED扩展名和DecryptFile.txt赎金提示。

称为“кибер разветвитель”（俄语为“网络分路器”）的N-SpLiTTer副本。扩展名和名称是一样的。

此血统瞄准MongoDB服务器。绰号“Harak1r1”的威胁者要求0.2 BTC以归还被绑架的数据库。

一群自称FSociety的骗子一直在忙于打造多个屏幕锁和加密勒索软件样本。

使用.MRCR1，.PEGS1或.RARE1文件扩展名，并创建YOUR_FILES_ARE_DEAD.hta 赎金手册。

伪Darkleech网络犯罪网络被发现在2016年进行多次勒索活动。

Emsisoft的Fabian Wosar破解Globe勒索软件版本3，它使用.decrypt2017或.hnumkhotep扩展名。

附加.firecrypt扩展名并丢下[random] -READ_ME.html赎金提示。还用垃圾文件完满硬盘。

CERT Polska团队发布CryptoMix/CryptFile2勒索软件活动的详细分析。

加利福尼亚州通过的一项法律将勒索软件分发定义为独立重罪，而不是洗钱类的一部分。

现在攻击Linux机器以及运行Windows的那些机器。赎金大小高达222 BTC（超过20万美元）。

留下“WARNING OPEN-ME.txt”赎金提示（也有俄语版）。单独的文件加密器、实时聊天和TOR。

开发中Hidden Tear POC衍生。针对捷克受害者，要求1000捷克克朗（约40美元）进行解密。

也称为MafiaWare，Depsex勒索软件使用.Locked-by-Mafia扩展和READ_ME.txt解密手册。

研究人员发现恶意代码添加了多个桌面快捷方式，一旦点击，就执行勒索软件。

将.locked后缀连接到文件并创建的README.txt赎金提示。配备了一个远程shell。

称为Ocelot Locker的示例是有启发性的，因为它不会进行加密，而是演示了真正的攻击可以有多糟糕。

被MongoDB Apocalypse勒索软件攻击的可在线访问的MongoDB数据库的数量高达10,000。

罪犯假装是政府官员在英国给英国的学校打电话，欺骗员工安装勒索软件。

新的“CryptoRansomeware”样本显示的警告屏幕被填满了不好的语言。

用Visual Basic .NET编写，此血统使用.VBRANSOM文件扩展名。它还在开发中，此时没有实际的加密。

自从克鲁肯网络犯罪团伙加入后，被勒索的MongoDB数据库的数量就达到了28000。

新的Ransomeer样品正在开发中。配置要求0.3169 BTC，并提出48小时的付款截止日期。

最新版的Merry X-Mas加密勒索软件也安装DiamondFox，这是一种收获受害者敏感信息的病毒。

将.file0locked扩展名附加到加密文件，并指示受害者发送电子邮件至r6789986@mail.kz以进行恢复步骤。

唯一的改变是Cerber现在留下赎金提示_HELP_DECRYPT_[A-Z0-9]{4-8}_.hta/jpg。

Los Angeles Valley学院选择赎金路线从加密勒索软件攻击中恢复，被迫掏出28,000。

新Spora勒索软件可以离线操作，具有无与伦比的加密功能和专业量身定制的支付服务。

Kraken网络犯罪集团以$200销售其MongoDB勒索软件脚本。消息发布在GitHub上。

Emsisoft为Merry X-Mas勒索软件发布了解密器，其附加了.MRCR1，.PEGS1，.RARE1或.RMCM1扩展名。

以垃圾邮件出现，将.oops扩展名连接到文件，并创建_HELP_Recover_Files_.html赎金手册。

研究了Marlboro勒索软件的代码后，Emsisoft的Fabian Wosar在不到一天的时间内就创建了一个解密工具。

MongoDB的数据库攻击背后的团伙将重点转移到用勒索软件感染ElasticSearch服务器。

昵称为“BloodDolly”的研究人员更新了他的ODCODCDecoder，可以恢复新的ODCODC勒索软件变体锁定的文件。

目前正在开发中。使用.kencf扩展名附加文件。由于加密实现的缺陷，无法对数据进行编码。

Avast研究人员访问了包含Cerber勒索软件全球感染统计数据片段的服务器。

将.powerfulldecrypt扩展名附加到加密文件，并丢出一个名为WE-MUST-DEC-FILES.html的赎金提示。

新的CryptoSearch实用程序可以查找残缺的文件，并允许将其复制或移动到备份驱动器以便将来进行解密。

据安全分析师透露，1974年12月至1月份，通过垃圾邮件广告活动分发的Locky约减少了80％。

新版本的Cerber将赎金提示叫做_HELP_HELP_HELP_ [random] .hta / jpg，并使用新的IP范围进行UDP统计。

发现Spora勒索软件运动的威胁者使用与Cerber相同的增殖站点。

美国印第安纳州的一家癌症服务机构遭受了勒索软件的攻击，骗子要求50 BTC（约46,000美元）的赎金。

新的SamSam/Samas变体使用.noproblemwedecfiles扩展和000-No-PROBLEM-WE-DEC-FILES.html ransom手册。

身份不明的网络犯罪团伙劫持Hadoop和CouchDB数据库，要求赎金进行恢复，否则擦除数据。

复杂的Spora勒索软件利用依赖于.LNK文件的感染向量，因此它表现得像是个蠕虫快捷方式。

Emsisoft的Fabian Wosar为Merry X-Mas勒索软件调整他的解密器，现在可以解码.MERRY扩展文件。

分析师看到垃圾邮件在Necurs僵尸网络暂时不活动期间传播Locky勒索软件的情况大大减少。

使用.id- [victim_ID] _garryweber@protonmail.ch文件扩展名和HOW_OPEN_FILES.html赎金手册。

作为另一个调整的一部分，Cerber勒索软件已经开始放出_HOW_TO_DECRYPT_ [random_chars] [4-8] _.hta / jpg赎金提示。

俄语Android勒索软件锁定设备屏幕，并指示用户交出信用卡详细信息。

此RAAS允许骗子构建他们的自定义版本的撒旦，它使用.STN扩展名和HELP_DECRYPT_FILES.html赎金提示。

此开发中的勒索软件应该是针对土耳其的受害者，并附加了.sifreli扩展名的加密文件。

基于 Hidden Tear POC。将.doomed扩展名添加到文件中，并留下LEER_INMEDIATAMENTE.txt ransom手册。

16个圣卢斯公共图书馆分行的700多台机器受到勒索软件的打击，需要约35000美元。

Emsisoft更新解密器以支持使用.crypt扩展名和HOW_OPEN_FILES.hta赎金提示的变体。

称为DNRansomware的新家族使用.fucked文件扩展名。解密码为83KYG9NW-3K39V-2T3HJ-93F3Q-GT。

使用与DNRansomware相同的源代码。追加.killedXXX扩展名。解密程序是错误的。

研究人员发现在开发中的CloudSword示例中，它们会丢出警告Warning??.html赎金提示，并设置5天付款截止日期。

使用crypt32@mail.ru电子邮件地址进行与受害者的互动，赎金提示和文件名格式不变。

由与CERBER，Locky和Spora背后骗子相同的人所创建。使用.sage扩展名和！Recovery_EMf.html赎金单。

将.weareyourfriends扩展名附加到加密文件，并留下TRY-READ-ME-TO-DEC.html赎金手册。

连接.paytounlock文件扩展名。专家制作的免费解密器已经支持这种变体。

使用[original_filename] .email [email_address] _id [victim_ID] .rdmk文件格式和“INSTRUCTION RESTORE FILE.txt”赎金提示。

虽然Spora勒索软件最初只在东欧激增，但是它开始瞄准全球的受害者。

Philadelphia家族的衍生。要求赎金0.3 BTC（约270美元）用于数据解密。

这个新的加密勒索家族的名字源自被附加到夺取文件的.vxLock扩展。

Charger勒索软件变种（EnergyRescue）通过Google Play商店作为电池优化器分发了一段时间。现已被移出。

从2017年2月13日起，Gmail中一个更改将生效，该服务将阻止.js文件附件以阻止勒索软件的攻击。

新萨Samas/SamSam迭代添加了.otherinformation扩展，并丢下000-IF-YOU-WANT-DEC-FILES.html赎金提示。

将.potato扩展连接到编码数据，并留下README.png/html赎金支付指令。

得克萨斯州的科雷尔山警察局承认受到勒索软件的袭击。骗子们要求4,000美元价值的比特币。

夺取文件名，而不是正确地加密文件。留下“如何解密files.hta”赎金注。

在劫持电脑的同时假装执法机关。研究人员发现解锁码是64个0。

分析师指出MRCR（就是Merry X-Mas）勒索软件的传播开始飞速发展。

研究员Michael Gillespie为CryptConsole赎金木马（“unCrypte@outlook.com_ [random]”文件名）创建了一个免费解密器。

Emsisoft的MRCR解密器现在支持最新的变体，它留下了MERRY_I_LOVE_YOU_BRUCE.hta赎金。

新变体将.uk-dealer @ sigaint.org扩展名连接到编码文件。可免费解密

骗子将其标注为“Hitler勒索的最终版本。” 通过诱捕的YOUR-BILL.pdf电子邮件附件分发。

将.encrypted扩展名添加到锁定文件。指示受害者通过andresaha82@gmail.com与攻击者联系。

勒索软件破坏了在奥地利“浪漫Seehotel Jagerwirt”酒店的电子门锁系统。要求2 BTC。

这个新家族创建了包含西里尔文本的Xhelp.jpg的赎金提示。受害者被告知要使用ICQ联系罪犯。

在供应商更新其Merry X-Mas勒索软件的免费解密器之后，Emsisoft的官方网站遭受了DDoS攻击。

瑞士政府CERT发布了关于Sage 2.0勒索软件的综合报告，解释其主要特征。

Zyka勒索软件将.locked扩展名附加到文件，并要求一个等于$170的比特币。

新的Netix赎金特洛伊木马作为名为“Netflix的登录生成器1.1版”的流氓应用程序增长。要求在比特币支付100美元。

研究人员发现一个Spora勒索软件分发活动，涉及到虚假的Chrome字体包更新。

CryptoMix家族的复制品。CryptoShield 1.0通过RIG EK（漏洞利用套件）进入计算机。

唯一值得注意的变化是.gefickt扩展被附加到被夺取的文件。

最新版本的Evil-JS将.evillock字符串附加到文件中，并提供gena1983@mbx.kz电子邮件地址与开发人员联系。

Malwarebytes研究人员根据骗子后端服务器的统计数据发布Locky Bart勒索软件的详细信息。

新Samas/SamSam勒索软件版使用.letmetrydecfiles扩展和LET-ME-TRY-DEC-FILES.html赎金提示。

Avast分析师为Hidden Tear, Jigsaw和Stampado勒索软件家族发布免费的自动解密工具。

俄亥俄州舔县政府服务的一些IT系统受到身份不明的勒索软件的影响。

一月中旬，伦敦警方逮捕了一男和一女，他们用勒索软件感染了华盛顿的闭路电视网络。

安全研究人员偶然发现了一个名为Ranion的新型低成本勒索即服务平台。

使用.yourransom扩展名附加文件，并使用README.txt赎金提示。作者（i@bobiji.com）承诺免费解密。

LambdaLocker使用.lambda_l0cked文件扩展名和READ_IT.html解密方法。赎金的大小是0.5BTC。

事实证明，PadCrypt家族背后有一个勒索即服务平台，所以它是一个完整联盟网络。

有人借用YourRansom的概念证明性代码来感染真实的用户，还提供三次免费解密。

与听上去一样奇怪，Spora勒索软件背后的运营商在回应受害者的询问时提供优质的客户服务。

发现Android.Lockdroid.E病毒在部署正确的有效载荷之前使用了一个检查受感染设备的dropper。

CryptoShield 1.1采用新的电子邮件地址，即res_reserve@india.com，res_sup@india.com和res_sup@computer4u.com。

新样本。在获取管理员权限时绕过UAC（User Account Control）提示。赎金量相当少，有90美元。

JobCrypter勒索软件在一段时间不活动后返回。其代码没有特别的修改。

研究人员发现Aw3s0m3Sc0t7赎金木马，由名叫Scott的人创建。使用.enc文件扩展名。

未命名的家族，被发现偷窃.ie5，.key，.pem和.ppk文件（私钥和证书），并要求1 BTC的赎金。

使用.id-[random]_steaveiwalker@india.com_文件扩展名和COMO_ABRIR_ARQUIVOS.txt赎金提示。

MalwareHunterTeam编写的ID勒索软件现在确定了300种不同的文件加密威胁。

大概是一个Hades Locker衍生。使用.serpent扩展名和HOW_TO_DECRYPT_YOUR_FILES_ [random].html/txt提示。

新的DynA-Crypt感染编码受害者的数据并窃取各种个人身份信息。要求值$50的BTC。

基于开源Hidden Tear。将[A-Za-z0-9]{3}.x扩展名添加到文件并丢出“Digisom Readme[0-9].txt”赎金提示。

赎金警告包含生化危机系列的雨伞公司的标志。要求0.33 BTC进行数据解密。

将.velikasrbija扩展名连接到文件，并每3分钟随机删除一个文件。要求价值500美元的比特币。

将.wcry后缀追加到加密文件中，并要求0.1 BTC进行解密。

TrendMicro发现传播CrySiS勒索软件的RDP暴力破解攻击数量在2017年急剧增长。

专家们发现，SerbRansom 2017开发者带着其对 科威特和克罗地亚的仇恨，倡导超国家主义思想。

发现此家族将受害者的文件移动到受密码保护的RAR归档中，并要求0.35BTC的解锁密码。

另一个Samas/SamSam衍生使用.encryptedyourfiles扩展和001-READ-FOR-DECRYPT-FILES.html赎金提示。

显示一个联邦调查局主题警告，说“你的电脑被锁定！” 赎金达到0.5BTC。

佐治亚理工学院的研究人员在RSA会议上提出了针对ICS/SCADA系统的POC勒索软件。

据卡巴斯基实验室报道在2016年流通的所有勒索软件家族中有75％是由说俄语的骗子创造的。

出现两个新的CyberSplitterVBS版本，其中一个模拟“Saher Blue Eagle”远程管理工具。

新的JobCrypter版本使用一组新的电子邮件地址：frthnfdsgalknbvfkj@outlook.fr（...@yahoo.com，...@gmail.com）。

当为数据文件扫描感染的计算机，Cerber勒索软件的一个新变体忽略与安全套件相关的文件。

更改包括一个新的文件标记（333333333333）和不同的解密服务Tor地址。

Emsisoft的Fabian Wosar设立了一个流媒体会话，在那里他逆向了新的Hermes勒索软件并发现其弱点。

Princess Locker勒索软件的最新版本丢出了一个新的赎金手册@_USE_TO_FIX_JJnY.txt。

这个新的西班牙语样本使用[KASISKI]前缀标记加密文件，并留下INSTRUCCIONES.txt赎金。

新的XYZWare是Hidden Tear POC的一个种衍生，最有可能来自印度尼西亚。丢出README.txt赎金提示。

与以前版本相比，唯一的改变是使用了一个新的电子邮件地址：something_ne@india.com。

Emsisoft的Fabian Wosar更新了用于Merry X-Mas勒索软件的解密器，以便它可以处理新版本的瘟疫。

ESET发布了一份关于Android勒索软件自2014年以来已经突变和增长的白皮书。

除了新版本的名称，Sage 2.2勒索软件将在桌面和内部文件夹中创建！HELP_SOS赎金提示。

将.weencedufiles扩展名连接到加密文件，并留下READ_READ_READ.html恢复操作方法。

Avast与CERT.PL合作，为离线版CryptoMix勒索软件发布免费解密器。

使用两个不同的扩展名（.TheTrumpLockerf和.TheTrumpLockerp）并丢出“What happen to my files.txt”赎金提示。

新的Crypt888变体显示海滩视图而不是赎金提示，并将“Lock.”前缀放在原始文件名之前。

Avast的研究人员发现一个新的基于Python的家族，将.d4nk字符串附加到加密文件。

有效载荷被伪装成各种Mac OS应用程序的补丁。丢出README！.txt赎金注。文件无法免费解密。

不提供联系方式。在提交赎金解锁文件之前，会指示受害者解决一个数学问题。

新的Lockdroid勒索软件衍生在受害者发出付款后获得的解锁码声音后可解锁设备。

用Python编写。用[random].EnCrYpTeD扩展名追加文件，并创建READ_ME_TO_DECRYPT.txt赎金提示。

新的Vanguard勒索软件是用Google的Go编程语言编写的。在这一点上不太活跃。

CryptoMix的最新版本使用.CRYPTOSHIEL扩展名来污染文件的名称。

敲诈者劫持世界各地的许多MySQL数据库，清除其内容，并要求赎金0.2 BTC。

新样本将.damage字符串连接到加密文件，因此是勒索软件的名称。

这是一个Hidden Tear的衍生，附加了.BarRax后缀的文件。奇怪的是它有一个常规的支持论坛。

Unlock26木马现在以勒索即服务为基础分发。运营商获得受害者提交赎金的50％。

一个使用.enc扩展名的开发中的勒索软件，将加密密码发送到sardoninir@gmail.com。

意大利安全专家发现，Crypt0L0cker开发者通过合法的“posta elettronica certificata”（PEC）签名其垃圾邮件。

约翰霍普金斯大学密码学家兼教授马修·格林（Matthew Green）撰写了关于勒索软件进化密码学的文章。

新的FileLocker勒索软件用捷克语显示赎金提示，使用.ENCR文件扩展名，并要求0.8 BTC。

Malwarebytes团队设计一种方法来恢复由称为Findzip的Mac OS X勒索软件加密的文件。

Crypt0L0cker，又名TorrentLocker，经过将近一年的停滞，再次活跃起来。更新的感染主要针对欧洲。

事实证明，Locky的.osiris变体是由Comodo CA颁发的数字证书签名的。

昵称为“gektar”的人在BleepingComputer论坛上提供了一个引擎收录链接，导向至Dharma的主解密密钥。

一个名为KRider的新样本正在酝酿中。将.kr3扩展名连接到加密文件。

被一个新的家族所添加的“.SN- [random_numbers] -info@kraken.cc_worldcza@email.cz”中的两个电子邮件令人困惑。

ID勒索软件服务架构师Michael Gillespie在FightRansomware播客中提供了有用的安全提示。

ASN1赎金木马通过RIG漏洞套件进入计算机。这个样品丢出“!!!!!readme!!!!!.htm“赎金提示。

卡巴斯基，其次是ESET和Avast，基于泄露的主密钥，为Dharma勒索软件发布免费解密器。

分析师发现CERBER赎金提示README.hta被嵌入在几个官方的Android应用程序的代码中。

据报有人根据MafiaWare威胁的源代码正在开发一种新的勒索软件样本。

发现一个称为FabSysCrypto的家族，它会丢出与Locky的相同的赎金提示，并使用Hidden Tear POC的代码。

新来者的特点是更新了警告屏幕，需要价值150美元的比特币，并提供了24小时的截止期限。

宾夕法尼亚州参议院民主党核心小组的计算机网络由于勒索事件而被关闭。

更新的FadeSoft勒索软件使用不再是“生化危机”电影的警告屏幕。没有更多的调整。

新的CryptoJacky勒索软件的赎金提示是西班牙文。害虫使用Aescrypt.exe应用程序来扰乱文件。

最初在2012年发现的臭名昭着的Shamoon磁盘擦除蠕虫现在配备了勒索软件组件。

新Enjey Crypter勒索软件与RemindMe家族相似。它使用'contact_here_me@india.com'电子邮件地址。

与前一版本相比，唯一明显的变化是新的赎金提示名字- READ_ME_!.txt。

留下赎金提示！_RECOVERY_HELP_！txt或HELP_ME_PLEASE.txt。结果夺取了不可恢复的文件。

研究人员发现了一个由法国人Paul开发的粗糙的基于“Hidden Tear POC”的样本。

Emsisoft为Crypton赎金木马创建了一个免费解密器，否则需要0.5 BTC（$620）进行文件恢复。

思科的Talos Intelligence Group发布了Crypt0L0cker/TorrentLocker新版本的综合报告。

CryptoLocker 1.0.0使用RSA加密算法，并显示土耳其语中的赎金操作。从臭名昭着的原型借来的名字。

在中东一个国家蔓延，具有明显的政治影响。使用加密层并添加.zZz扩展名。

Cerber勒索软件的新变体不会修改原始文件名。但是仍然附加一个PC特定的4字符扩展。

将.aes扩展名连接到加密文件，并丢出ODSZYFRUJ-DANE.txt（“DECRYPT-DATA”）赎手册。

新的VapeLauncher勒索软件是基于CryptoWire POC代码。要求200美元的比特币。

RSA Security的Kevin Douglas发表了一篇文章，深入分析了Spora开发商使用的HTA污染载体。

研究人员发现了一个新的PadCrypt勒索软件 v3.4.0的示例。它使用与前身相同的构造和活动ID。

Samas勒索软件使用蠕虫般的策略来影响所有连接的服务器和备份。其开发商在一年内赚了45万美元。

Malwarebytes实验室将Spora勒索软件顶级技术细节的总体聚合为一个单一的帖子中。

分析师发现Sage勒索软件运动与8月份偷盗恶意软件分发之间的联系。

预装的勒索软件和广告软件在38台的Android智能手机上被发现了，被运往两家大型科技公司。

MalwareHunterTeam的ID勒索软件资源现在能够识别Spora勒索软件加密的文件。

新的SamSam的变体使用.iaufkakfhsaraf文件扩展名和IF_YOU_WANT_FILES_BACK_PLS_READ.html赎金提示。

Emsisoft的CTO（Fabian Wosar）在另一个实时流媒体会话中击败了Damage勒索软件的加密。

RozaLocker将.ECN扩展名附加到文件中，以俄罗斯语丢出赎金提示，并要求10,000卢布（$ 173）进行恢复。

发现一种新的赎金木马，以法语显示其称为“Verrouille”的恢复方式。

Enjey勒索软件的操作员在发布ad hoc解密器后针对ID勒索软件站点发起一系列DDoS攻击。

研究人员发现一个称为“?l?t?г? г???????г?”，似乎是Vortex家族的衍生。

尽管PadCrypt勒索软件没有在活动，但作者不断推出新版本，现在是3.4.1。

分析师宣布对Project34勒索软件进行了一项举措，此勒索软件“project34@india.com”添加到锁定的文件中。

新的PetrWrap勒索软件利用Windows PsExec工具来感染企业网络，并完全拒绝对机器的访问。

Malwarebytes研究人员破解了FileCrypter商店，它是即将要诞生的勒索软件即服务的资源。

Spora员工注册了一个新的C2域torifyme[dot]com，并开始使用它达到受害者交互的目的。

最新版本的Jigsaw勒索软件将.nemo-hacks.at.sigaint.org扩展名连接到编码文件。

Hermes（曾经是Emsisoft的Fabian Wosar在现场视频中破解的一个勒索软件家族），现在到了2.0版。

研究员Michael Gillespie与Fabian Wosar合作发布了Hermes勒索软件的免费解密器。

一个俄罗斯屏幕锁被发现，只要受害者阅读完勒索软件的危机就可以很容易恢复。

恶意软件观察者发现一个名为Karmen的新勒索软件即服务门户，该门户正在开发中。

Revenge勒索软件通过RIG利用套件传播，使用.REVENGE文件扩展名和＃！HELP_FILE！＃.txt赎金提示。

新的CTB-Locker仿制显示土耳其语的Beni Oku.txt赎金手册，并将.encrypted扩展名附加到文件。

Hidden Tear POC后代出现，要求受害者在Facebook上发布特定消息以获得修复。

微软发现威胁者的趋势，通过操纵Nullsoft Scriptable Install System（NSIS）来分发勒索软件。

使用Star Trek主题警告和Monero支付系统。追加.Kirked扩展名并留下RANSOM_NOTE.txt手册。

Lick勒索软件类似于Kirk，使用相同的解密方法（RANSOM_NOTE.txt）和.Licked文件扩展名。

CryptoDevil的反向工程揭示了其作者的昵称是“Mutr0l”。“kjkszpg”代码可解锁屏幕。

将数据移动到受密码保护的RAR存档，并创建一个名为“All Your Files in Archive!.txt”的赎金提示。

Emsisoft CTO（Fabian Wosar）发布CryptON的更新解密器，支持最新版本的感染。

将.ZINO扩展名连接到加密文件，并创建ZINO_NOTE.txt ransom手册。

将.crptxxx字符串附加到夺取的文件，并将HOW_TO_FIX _！txt文件丢了， ，指示受害者以恢复。

新版的Jigsaw加密感染对其警告窗口使用新的背景，并追加.fun文件扩展名。

分析师发现Doddy Hackman 2016称为DH_File_Locker的工具适用于构建自定义勒索软件。

发现另一个勒索软件的构建器。称为Trident构建器，它允许骗子容易地生成自己的有效载荷。

基于Hidden Tear的MacAndChess勒索软件告诉受害者在他们的Facebook墙上发布“我已被anony黑了”短语。

使用.[braincrypt@india.com].braincrypt扩展名附加到锁定的文件。有一个免费的解密器可用。

将.enc扩展名连接到加密文件，并丢出一个名为motd.txt的赎金提示。

目前，只能在一个托管其可执行文件的文件夹的子目录中夺取数据。将.devil扩展名附加到文件。

臭名昭着的Jigsaw家族变种用越南语留下了一个解密方法。在这时仍然是一个在开发中的样品。

由于Necurs僵尸网络停止使用Locky勒索软件有效载荷来生成垃圾邮件，其活动一直在减少。

最近印第安纳州法案的要点是使勒索软件分发成为独立重罪，导致1至6年的监禁。

分析师发现了一种新的PadCrypt勒索软件变体，现在已经到了v3.4.4。没有值得注意的功能变化。

新版本使用.cifgksaffsfyghd文件扩展名和READ_READ_DEC_FILES.html赎金手册。

又名LLTP勒索软件。研究人员发现，其代码基于VenusLocker家族。

安全专家发现SAP Windows客户端中的一个漏洞，可能允许骗子远程部署勒索软件。

一篇文章发布在巴克利博客上，预测勒索软件以优质的客户服务将成为未来的发展趋势。

使用.zorro后缀附加文件，并创建一个名为Take_Seriously（您的保存格式）的.txt的赎金提示。

AngleWare似乎是“Hidden Tear”POC的新衍生产物。使用.AngleWare文件扩展名。

有效载荷隐藏在迫在眉睫的Monitor RAT的安装程序中。提供恢复步骤就在添加至文件的扩展名里。

留下赎金提示，名为where_are_your_files.txt或readme_your_files_have_been_encrypted.txt。

Emsisoft更新了Globe3勒索软件的免费解密器，以便它恢复被最新版本锁定的文件。

称为“纪念碑”版的Jigsaw勒索软件现在以成人主题的屏幕传播。

MalwareHunterTeam提供了属于646 Spora受害者的大量（48466020）勒索文件的详细信息。

Hidden Tear POC派生集合被新的LK Encrypter补充，LK Encrypter使用.locked文件扩展名。

与CrptXXX样本具有共同特征。要求0.5 BTC（约$500）进行数据解密。

SADStory指示受害者发送电子邮件至tuyuljahat@hotmail.com以获取恢复步骤，并每6小时随机删除一个文件。

Michael Gillespie的CryptoSearch实用程序现在可以识别受Spora勒索软件影响的文件。

更新的WCry（又名WANNACRY）勒索软件丢出“！WannaCryptor！.BMP”和“！Please Read Me！.txt”赎金提示。

该家族针对西班牙语的受众群体，使用Smart Install Maker解决方案，并显示流氓Windows Update屏幕。

研究人员发现一个新的赎金木马，叫做MemeLocker，它仍在开发中。显示亮红色警告窗口。

被称为“Mafia Malware Indonesia”的网络犯罪组织负责创建CryPy，MafiaWare，SADStory等等。

最新的iOS 10.3更新包含针对Safari安全问题的修复程序，将解决越来越多的警察勒索软件活动。

新的基于Python的PyCL勒索软件通过RIG exploit工具包传播，并显示类似于CTB-Locker的赎金提示。

命名为“R”，这个赎金木马留下了一个不言而喻的Ransomware.txt操作方式，并要求2个BTC进行解密。

称为AnDROid的新样本将.android扩展名附加到文件，并在其赎金提示中显示骷髅头的动画图像。

Michael Gillespie，又名@demonslay335，宣称追捕.pr0tect文件（READ ME about DECRYPTION.txt）勒索软件。

Malwarebytes实验室发布了一篇解析Sage勒索软件的多个方面的文章，目前它已经是版本2.2。

HappyDayzz家族可以在不同的加密算法之间切换。使用blackjockercrypter@gmail.com电子邮件联系。

要求$250解密，并警告受害者更改加密文件的名称将无法恢复。

名为FILE FROZR的新型Ransomware-as-a-Service门户开始运行。每月要求100美元，对第一个月有50美元的折扣。

另一个好人的胜利 -  Michal Gillespie为最近发布的DoNotChange家族创建了一个免费解密器。

据谷歌说，感染Android设备的勒索软件是极稀少的，而且这个问题是不成比例的。

FadeSoft勒索软件受害者现在可以使用CryptoSearch工具检测加密文件并将其移动到新的位置。

ID勒索软件在线资源已被更新，以通过文件和/或赎金提示识别FadeSoft赎金木马程序。

发现一个新的Android勒索软件样本，利用模糊机制来逃避AV检测。

新的LanRan感染显示一个看起来很棒的警告屏幕，要求0.5 BTC用于声称的恢复服务。

最新版本的Fantom用base64编码的字符串替换文件名，并使用RESTORE-FILES.[random].hta赎金提示。

通过垃圾邮件传播虚假的简历，并使用helplovx@excite.co.jp电子邮件地址与受害者进行互动。

这一次，研究人员将试图追踪“Cradle勒索软件”（.cradle扩展和_HOW_TO_UNLOCK_FILES_.html注释）。

制裁勒索软件扎根了。它将.wallet扩展名附加到文件，且用漫画讽刺美国对俄罗斯的制裁。

Cylance的研究人员发现一个固件安全漏洞，可能会将Gigabyte Brix设备暴露于勒索软件攻击。

GX40勒索软件（.encrypted扩展）是一个代码库，研究人员预测它被用于制造恶意衍生品。

发现基于GX40勒索软件代码的新样本。最新鲜的一个使用geekhax@gmail.com联系地址。

AngryKite争夺文件名并用.NumberDot字符串追加它们。还指示受害者打一个电话。

由DeathNote黑客团队操作，将.f*cked扩展名连接到加密文件。可免费解密。

追加.lock75文件扩展名，需要0.039BTC（约50美元）进行解密，并使用Tor网关进行通信。

使用新的赎金提示名（_READ_THI$_FILE_[random].hta/jpeg/txt or _READ_THIS_FILE_[random].hta/jpeg/txt）。

安全专家一直非常关注一个名叫“Paul”的骗子，他为他的勒索软件想出了“Amadeous”这个名字。

新出现的Faizal勒索软件基于Hidden Tear POC。它将.gembok字符串附加到编码文件。

在TorCrypt勒索软件活动中使用的Tor站点表明，受害者给予良好的反馈可以获得部分赎金。

Bitdefender制作了解密工具，支持Bart勒索软件的所有变体，它们使用.bart.zip，.bart或.perl扩展名。

最新的一个请求0.02BTC，并指示受害者通过ransomwareinc@yopmail.com联系骗子。

将“.I'WANT MONEY”扩展名连接到文件名，并使用ewsc77@mail2tor.com电子邮件地址。

ID勒索软件的作者Michael Gillespie声称他可以解密Vortex家族锁定的文件。受害者可直接与他联系。

新版本使用.skjdthghh扩展名和009-READ-FOR-DECCCC-FILESSS.html赎金操作方法。

MalwareHunterTeam发现了一个全新的PadCrypt版本，现在已是V3.5.0。

最新的Fantom勒索软件版本的代码包含“partnerid”属性，因此相关的RaaS可能正在起步中。

最新的CryptoWire版本称为“realfs0ciety@sigaint.org.fs0ciety”。有效载荷为AA_V3.exe文件。

这一个对受害者施加很大的压力，因为它指示他们在3小时内支付0.3个BTC。

安全研究人员遇到了一个名为Dikkat（英语中的“Attention(注意）”）的新Hidden Tear衍生物。赎金提示用土耳其语。

LMAOxUS勒索软件基于开源EDA2 POC。然而，它的制造商在原始代码中去掉了一个后门。

一名十九岁的奥地利公民因为使用Philadelphia勒索软件感染林茨的组织被捕。

一个名为RansenWare的示例告诉受害者在TH12游戏中得分超过2亿，这是恢复文件的唯一方法。

据报道，仅一个网络犯罪团伙通过利用Apache Struts 0day漏洞就获得了超过10万美元的收益。

Emsisoft为Cry9勒索木马创建了一个解密器，它是一种使用AES，RSA和SHA-512加密算法的CryptON衍生。

专家批评Security Affairs发布一项名为Clear Energy的SCADA勒索软件的分析报告。

据报道，Matrix勒索软件通过RIG漏洞套件进行分发，因此正在变成一个严重的问题。

名为Cerberos的新密码麻烦制造者是CyberSplitterVBS家族血统的后代，与CERBER无关。

MalwareHunterTeam发现了一个开发中的样本，配置为将.kilit扩展名附加到文件。到目前为止没有赎金提示。

新版Serpent使用.serp文件扩展名和README_TO_RESTORE_FILES.txt赎金操作方式。

Emsisoft更新其Cry9解密器以提高其性能并扩大勒索软件版本覆盖率。

使用图形用户界面，以葡萄牙语显示警告消息，并将.locked字符串连接到被劫持的文件。

BTCWare家族的新变体指示受害者通过新的电子邮件地址lineasupport@protonmail.com联系攻击者。

被称为“至今最好的勒索软件”，它锁定文件，并在受害者在线观看安全视频后解密它们。

使用.MOLE文件扩展名和INSTRUCTION_FOR_HELPING_FILE_RECOVERY.txt解密方法。

根据研究人员的分析，有个叫（或昵称是）Anthony的人正在开发.rekt文件勒索软件。

最新的Jigsaw勒索软件变体显示法语的赎金提示，并将.crypte字符串连接到锁定的文件。

MHT发现了一个称为El-Diablo的在开发中的样品。其代码包含对作者姓名的引用 -  SteveJenner。

新的Globe v3勒索软件版模仿Dharma家族。文件扩展名为.[no.torp3da@protonmail.ch].wallet。

新的Jigsaw变体使用.lcked字符串标记夺取的文件，并显示新的桌面背景以警告受害者。

虽然这个实用程序是相当原始的，它仍然向想当骗子的人提供了可用于创造可行勒索软件的源代码。

Cradle勒索软件背后的执行者开始销售他们称为CradleCore的源代码。价格从0.35BTC开始。

根据Malwarebytes的说法，Cerber勒索软件是当今的顶级加密威胁，目前的市场份额为86.98％。

据报道，来自泰国的一个ne’er-do-well正在开发一个使用了READ_IT_FOR_GET_YOUR_FILE.txt提示的“Hidden Tear”变体。

新Hidden Tear后代随机选择文件扩展名.ranranranran，.okokokokok，.loveyouisreal和.whathefuck。

pyCL操作者现在使用恶意的Word文档来传播木马。锁定文件的扩展名为.crypted。

最新版的Dharma勒索软件将.onion字符串连接到加密文件。

新的德国屏幕锁在其赎金提示中显示Jigsaw电影人物的图像。解锁代码是HaltStopp！或12344321。

Schwerer是德国语中的“harder(更难)”，这个新的勒索软件是用AutoIt写的。根据ESET，它可能是可解密的。

新Troldesh家族代表将.dexter扩展名加上加密文件。赎金提示仍然是README[random_number].txt。

研究人员发现一个称为C_o_N_F_i_c_k_e_r的样本。它附加.conficker后缀的文件，并使用Decrypt.txt赎金提示。

Malabu勒索软件需要500美元的比特币才能进行文件恢复。赎金数量在48小时内翻番。

安全分析人员遇到了一个名为SnakeEye勒索软件的示例。其开发归功于SNAKE EYE SQUAD。

MHT发现一个土耳其人做的勒索软件家族，它完全抹去文件而不是加密文件。

名为Karmen的勒索即服务门户提供给潜在网络犯罪分子。代码是基于Hidden Tear。

将.ATLAS扩展连接到受加密影响的文件，并留下一个解密方法，称为ATLAS_FILES.txt。

这个名字拼写为“LOLI RanSomeWare”，它使用.LOLI字符串来玷污夺取的文件。

这个Jigsaw版本显示了一张带有小丑和蝙蝠侠图像的赎金提示。文件扩展名为.fun。

自4月18日以来，已经以RaaS为基础分发的Karmen勒索软件更名为Mordor。

New Hidden Tear版本被发现用带有.locked的扩展名来污染文件。它有bug，所以加密不会一路有效。

据报道，新的AES-NI勒索软件的操作员使用称为ETERNALBLUE的NSA漏洞来污染Windows服务器。

Locky勒索软件开发人员通过一个具有假付款收据的一大波垃圾邮件来恢复他们的勒索活动。

据报道，就像去年一样，一波传播Locky的大规模恶意垃圾邮件是由Necurs僵尸网络产生的。

Locky后面的执行者们仍在分发OSIRIS版本的勒索软件，这是去年十二月份运作的版本。

来自巴西的新JeepersCrypt勒索软件用.jeepers字符串污染文件，并要求0.02 BTC进行解密。

MHT的ID勒索软件服务现在允许通过电子邮件、比特币地址或赎金提示的URL识别勒索软件家族。

这个将.aes_ni_0day扩展名附加到锁定的文件并丢出!!! READ THIS – IMPORTANT !!!.txt赎金提示。

使用.encrypted扩展名。警告屏幕标题为“Sem Solução”，这是‘Hopeless(绝望)’的葡萄牙语。密码是123。

卡巴斯基实验室设计了一个解决方法来恢复由XPan勒索软件变体加密的.one扩展名的文件。

Michael Gillespie，又名Demonslay335，发现了一个使用.getrekt扩展的Jigsaw勒索软件变体。他的解密器能处理它。

将.psh字符串连接到加密文件的新样本很容易解密。只需输入HBGP序列号就能发现奇迹。

Michael Gillespie的StupidDecryptor击败了使用.FailedAccess扩展的开发中家族的密码。

将.CTF后缀附加到文件名，并显示一个幻想风格的背景，说：“你好......是我......”

发现pyteHole勒索软件的新分支，将.adr扩展连接到夺取的数据条目。

此家族为文件附加扩展名.MOLE，并通过托管流氓MS Office插件的虚假Word站点进行传播。

有问题的示例使用.NM4字符串来污染编码文件，并留下“Recovers your files.html”恢复操作方法。

Cerber现在利用CVE-2017-0199漏洞传播并丢出“_!!!_README_!!!_[random]_.hta/txt”赎金提示。

假冒IPA，将文件移动到受密码保护的ZIP存档，并使用“.locked”扩展名。密码是ddd123456。

最新的Jigsaw变体用.Contact_TarineOZA@Gmail.com后缀追加夺取的文件。仍可解密。

此文章详细地描述了新的一波恶意垃圾邮件分发Cerber勒索软件，使用CVE-2017-0199漏洞。

新的基于Mordor（又名Milene）勒索软件Hidden Tear使用.mordor文件扩展名和READ_ME.html赎金手册。

一个Hidden Tear变体被发现使用.maya文件扩展名和印尼语的READ ME.txt赎金提示。

新的RSAUtil样品使用.helppme@india.com.ID[8_chars]后缀进行文件污染，并拖放How_return_files.txt帮助文档。

发现了巴西的开发中的名为DeadSec-Crypto v2.1家族。它使用cracker0day@gmail.com电子邮件令牌。

CryptoMix勒索木马的最新迭代使用.wallet扩展名和#_RESTORING_FILES_＃.txt赎金提示。

将.MIKOYAN扩展名连接到每个勒索的文件，并使用mikoyan.ironsight@outlook.com电子邮件令牌。

新的Extractor勒索软件的妥协指标包括.xxx扩展名和ReadMe_XXX.txt解密帮助文件。

开发中Ruby害虫使用.ruby字符串附加文件，并丢了， 一个恢复操作方法，名为rubyLeza.html。

Troldesh家族的新变体使用.crypted000007扩展名来锁定文件，并使用的README.txt赎金提示。

使用.[maykolin1234@aol.com]字符串标记编码数据，并留下一个名为README.maykolin1234@aol.com.txt的帮助文件。

拒绝访问个人文件，将.amnesia扩展名附加到每个文件，并丢出TXT赎金提示。

全新的FileFrozr勒索软件有数据擦除功能。丢出一个名为READ_ME.txt的操作方法恢复手册。

Emsisoft的Fabian Wosar为Cry12ON版CryptON勒索软件创建了一个免费的解密工具。

Amnesia勒索软件衍生混乱文件名并用.cryptoboss扩展名将它们污染。

发现GlobeImposter勒索软件变体使用.keepcalm文件扩展名和keepcalmpls@india.com电子邮件地址。

它在设计和加密方面是相当原始的。将.anon扩展名连接到锁定的文件。

vCrypt赎金木马瞄准对于说俄语的用户。它将.vCrypt1扩展名附加到每个劫持的数据对象。

意大利PEC 2017家族将.pec字符串附加到文件名，并丢下一个名为AIUTO_COME_DECIFRARE_FILE.html的帮助文件。

将.haters扩展名连接到加密条目。有允许成功免费解密的加密缺陷。

锁定屏幕并使用.xncrypt扩展名污染文件。解锁码是20faf12b60854f462c8725b18614deac。

来自G Data的研究人员发现了一种新的开发中的赎金木马，其将常规敲诈与间谍软件功能相结合。

最新的Cerber勒索软件版本具有改进的加密，AV闪避，防沙箱及其它一些新功能。

作为此更新的一部分，对BTCWare进行的唯一显着更改是将.cryptowin字符串添加到文件名。

安全分析师发现一个新的未命名的开发中屏幕锁定木马。解锁密码是KUrdS12 @!＃。

ShellLocker勒索软件，出现于2016年11月，产生了自从那时起的称为X0LZS3C以来的第一个新变种。

研究人员为BTCWare创建一个解密器。该工具可以免费恢复.cryptowin，.cryptobyte和.btcware扩展文件。

为每个文件生成一个单独的加密密钥，不会在任何地方存储这些密钥。连接.cloud扩展名。

所谓的“Blank Slate”恶意垃圾邮件运动开始了，传播最新版的GlobeImposter勒索软件。

Rans0mLocked感染会用.owned扩展名附加文件，并要求0.1 BTC进行解密。

这个基于开源勒索软件的样品是屏幕锁定器和文件编码器的组合。以Anti-DDos.exe文件的形式到来。

俄罗斯骗子开始一个地下营销活动，支持名为Fatboy的新的勒索即服务平台。

这种新的Jigsaw衍生的有效载荷伪装成信用卡生成器。这个害虫将.fun扩展名添加到文件名。

NewHT，可能代表“New Hidden Tear”，使用.htrs文件扩展名和readme.txt文件帮助文件。

ZipLocker将文件移动到受密码保护的ZIP存档（密码为“Destroy（消灭）”），并添加UnlockMe.txt赎金提示。

新的Enjey变体切换到为劫持文件使用.encrypted.decrypter_here@freemail.hu.enjey扩展。

Emsisoft安全厂商为Amnesia赎金木马创建免费的解密工具。

最新版本的Jigsaw勒索软件使用.PAY扩展名标记加密文件。仍可解密。

骗子们将称为File Frozr的勒索软件即服务宣传为“伟大的安全工具”。使用费用是$220。

出现了叫作 Crypto-Blocker的粗糙的赎金木马，要求10美元或欧元。研究人员检索解锁码，是01001。

IT分析师发现，ThunderCrypt勒索软件正在使用台湾论坛作为传播的跳板。

来自罗德岛州的律师事务所试图从保险公司获得70万美元的由赎金损失导致的赔偿金。

除非付款，将.bitkangoroo扩展名附加到文件的BitKangoroo勒索软件将每小时删除一个文件。

称为Gruxer的新样本以加载器的形式到来，它由基于Hidden Tear的代码、屏幕锁定器和图版掠夺模块组成。

BTCWare加密害虫的另一种变体将.[sql772@aol.com].theva字符串连接到每个赎金文件。

事实证明，新发现的NemeS1S RaaS支持最近一波的PadCrypt勒索软件攻击。

使用.helppme@india.com扩展的RSAUtil勒索软件通过敲诈勒索者破解的RDP服务进入PC。

针对俄罗斯用户，将.vCrypt1后缀添加到文件中，并丢出一个名为КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt的赎金提示。

发现在其警告屏幕上显示韩国选举候选人的图版的勒索软件。

在Locky勒索软件的Osiris版本之后，出现另一个可能的衍生，使用.loptr文件扩展名。

Emsisoft的首席技术官Fabian Wosar发布了支持所有Amnesia勒索软件变体的解密器的更新。

发现一个Locky外观，附加.jaff扩展名的文件，要求高达2 BTC，或大约$3500。

Emsisoft对新的Jaff勒索软件进行了一个写作，分析了它与Locky瘟疫的明显联系。

Android勒索软件之后的一个名为“SLocker”的网络犯罪集团在长时间的中断之后产生了400个新的衍生。

更新的Gruxer家族显示Matrix电影式警告屏幕，但未完成加密例程。

该血统以vCrypt开始，然后更改为aCrypt，跟着是bCrypt。那个骗子显然一定是没有了创造力。

又名WannaCry，它用.WNCRY扩展名标记锁定的文件。攻击西班牙电信提供商Telefonica，破坏其运营。

.WNCRY文件勒索软件（Wana Decrypt0r）使用之前泄露的NSA漏洞来感染全球各地的大量电脑。

样本继续影响家庭用户和大型公司，其中大部分在英国，西班牙，俄罗斯，乌克兰和台湾。

大多数感染实例涉及ETERNALBLUE（永恒之蓝），由最近的Shadow Brokers黑客团伙泄露。

纽约时报汇总了有关报告的WannaCry感染实例的信息，并创建了一个实时全球热图。

Malwarebytes安全公司发布了有关Wana Decrypt0r 2.0威胁新闻报道的综合技术报告。

研究人员通过别名MalwareTech注册了涉及WannaCry爆发的域，从而将这波攻击中断了一段时间。

该公司推出了WindowsXP/8/Server2003的补丁，以前对较新的操作系统版本做了相同的操作。

安全专家遇到一个新的开发中的血统，它被配置为将.tdelf字符串连接到劫持的文件。

使用.slvpawned扩展名来标记加密数据。由Michael Gillespie制作的StupidDecryptor工具可以破解。

与之前的几个调整类似，对vCrypt勒索软件进行的唯一更改是不同的第一个字母，因此现在是xCrypt。

Stampado家族的一个称为Zelta的新变种出现。它将.locked后缀加入到加密文件中。

来自法国的安全分析师故意设置了蜜罐服务器，并在一个半小时内被WannaCry攻击了6次。

微软首席法务官写了一篇文章，他指责美国国家安全局未能妥善保护发现的漏洞。

该像是Jigsaw的家族使用.fun扩展名锁定文件。解密密码是FAKEJIGSAWRansomware。

新的GlobeImposter版本学习了Dharma，它使用了.wallet扩展名。赎金提示是how_to_back_files.html。

另一个版本的相对较新的GruXer勒索软件出现。就像它的前身，它有加密的缺陷。

WannaCry的几个仿制品在野外被发现，包括一个叫DarkoderCrypt0r和一个可定制的勒索构建器。

WannaCry家族开始使用新的域作为杀戮开关。研究人员及时注册该域名，从而中断这一波攻击。

据说有人试图推出一个不使用杀戮开关的WannaCry变种。幸运的是，尝试失败了。

PHILADELPHIA家族的新变体以及小马信息窃取病毒通过RIG漏洞利用套件进入计算机。

被称为Onyonlock的BTCWare版本将.onyon后缀附加到加密文件并丢出！#_DECRYPT _＃！inf赎金方法。

名为May勒索软件的样本使用.locked或.maysomware扩展名和Restore_your_files.txt帮助文件。

它显示一个名为@kee的警告窗口，并没有提供恢复数据的机会，甚至不能通过付款来恢复。

该家族用.FartPlz扩展名污染文件，并创建一个名为ReadME_Decrypt_Help_.html的赎金提示。

一个被称为Adylkuzz的Monero加密数字货币挖矿机阻止了SMB端口，因此它有效地防止了WannaCry感染计算机。

人们制作关于WannaCry木马的网络文章，发布自制的各种设备上的赎金屏幕图片。

有人发布BTCWare感染的主解密密钥。研究人员很快就做出了一个免费的解密器。

这个基于Java的的WannaCry仿制不会做任何加密，而是指示受害者订阅指定的YouTube的频道。

发现了Xorist家族的全新后代。它将.SaMsUnG字符串附加到编码数据条目。

Jigsaw勒索软件的迭代诞生，用.die扩展名污染受害者的文件。

将.Lockout扩展名追加到文件中，丢出Payment-Instructions.txt赎金提示，并在启动前显示警告消息。

ID勒索软件的服务发现，尽管Spora赎金活动最近放缓，但正在恢复势头。

一些研究人员声称WannaCry代码与北韩网络犯罪集团Lazarus集团使用的恶意软件类似。

两个新版本的GlobeImposter勒索软件浮出水面。他们为加密文件加上.hNcrypt和.nCrypt扩展名。

据报道，新的Uiwix勒索软件（.UIWIX扩展名_DECODE_FILES.txt赎回方法）通过EternalBlue漏洞利用扩散。

某匿名人员在BleepingComputer论坛上发布Wallet勒索软件的主解密密钥。Avast发布免费的修复程序。

Haters勒索软件的作者发布了一种假装是WannaCry的印尼版本。包括PayPal赎金选项。

在Emsisoft博客上发布了一个条目，研究人员揭示了WannaCry勒索软件活动的细节。

被称为WannaCry Decryptor v0.2，它进一步删除受害者的文件而没有恢复选项。

安全分析师Benjamin Delpy创建了一个名为WanaKiwi的工具，在一定条件下解密WannaCry勒索软件。

据报道，WannaCry勒索软件感染了在美国医院的基于Windows的医疗放射设备。

这个使用.~xdata~文件扩展名和HOW_CAN_I_DECRYPT_MY_FILES.txt赎金。主要分布在乌克兰。

BTCWare的免费解密工具现在支持该应变的.onyon和.theva文件扩展变体。

这个新的屏幕锁会显示一条警告信息，表示“由Yuriz MA袭击”。幸运的是，它可以通过Alt + F4关闭。

被称为Wana Decrypt0r 3.0的另外一个酷似WannaCry的勒索软件在野外被发现。它无法加密任何文件。

此样本使用.VisionCrypt扩展名，不会更改原始文件名。攻击者的电子邮件是VisionDep@sigaint.org。

MHT发现了一个样本，它将一个将受害者的图像文件传输到攻击者的电子邮件地址，然后从电脑中删除它们。

与其他仿制不同，这个人的警告屏幕的标题仿照原始勒索软件（Wana Decryptor 2.0）。到目前为止没有加密。

该样本的开发仍在进行中。它被设置为将.pwned字符串连接到加密的条目。

另一个未完成的勒索计划。虽然迄今没有加密，但硬编码的密码是215249148。

虽然这个屏幕锁还没有上市，但研究人员却能够抓住将要解锁的密码。

即使无法检索解密密钥，最新版本也可解密最多1270896个字节的.onyon扩展文件。

针对安全专家的裁定，北韩在联合国的代表声称他的国家与WannaCry无关。

WannaCry的另一个复制品叫Wana DecryptOr 2.0出现。警告画面与原作相同。

研究人员开启一个针对使用（Encrypted_By_VMola.com）文件扩展名令牌的样本的勒索软件猎杀。

新版本切换到将.WLU字符串用于编码文件。它仍然使用垃圾邮件传播。

这一个正在开发中。它被配置为删除受害者的文件，除非在指定的期限内发送付款。

Widia的警告说它已经加密了数据，但实际上它们只是一个原始的屏幕锁，可以通过Alt+F4关闭。

绰号MemeWare，这个屏幕锁假装来自联邦调查局。接受MoneyPak上的赎金。解锁代码是290134884。

锁屏莫名其妙地说：“你的电脑已被非常粘的Elmers Glue锁住”。可在安全模式下移动。

绰号Deos的另一个Hidden Tear POC衍生物需要0.1BTC进行解密。它有严重缺陷，不能正确地加密。

此示例是CryptoWall赎金木马的.NET版本。它使用.wtdi文件扩展名，并以俄语显示警告消息。

关于越来越多的技术支持欺诈行为发布了一个骗局警报，这些欺诈手段围绕大肆剥夺轻信用户的WannaCry的烦恼。

这里所说的恶意软件是Hidden Tear POC的第无数次个后代。追加带有.H_F_D_locked扩展名的文件。

Avast为BTCWare设计了一个免费的解密工具，支持这种加密骗局的所有变体。

Xorist勒索软件的一个版本出来了，模仿了最近的XData感染。与其原型类似，它使用.xdata文件后缀。

用AutoIT编码，Adonis勒索软件声称加密数据，但实际上并没有。然而，它留下DE.html和EN.html提示。

此开发中的示例不使用任何扩展来标记勒索的文件。替换桌面背景并要求0.5BTC。

使用“mother of all viruses.exe（所有病毒的母亲）”进程的勒索软件会擦除所有硬盘卷，而不是对数据进行编码。

4rw5w加密病毒也使用一个杀戮开关原则和类似的附加文件名。扩展名为.4rwcry4w。

AES-NI勒索软件的作者发布解密密钥，以便受害者可以免费恢复他们的文件。

语言学家仔细研究了WannaCry赎金方法文件，他们得出结论，其制作者的第一语言最可能是汉语。

这种新的家族有适度的要求，要求0.17BTC。将.lightning扩展名附加到赎回的数据条目。

CrystalCrypt是Lightning Crypt的一个重制。它将受害者的文件附加.blocked扩展名。

Mancros+AI4939的样例实际上是一个实际上不加密的屏幕锁。它要求$50的比特币。

BTCWare赎金木马已经切换到使用.xfile后缀来标记劫持文件。现有的解密器已经支持它了。

DMA Locker勒索软件的这个新鲜衍生使用!Encrypt!文件标记，data0001@tuta.io电子邮件地址，并要求1个BTC。

Avast的安全供应商使用先前发布的AES-NI的主解密密钥创建了一个免费的解密器。

它是基于有bug的开源勒索代码。将.WINDIE字符串附加到加密文件。可用StupidDecryptor破解。

Michael Gillespie（@demonslay335）的StupidDecryptor解决方案已更新，以支持.fucking和.WINDIE扩展程序。

分析师碰到使用.crying文件扩展名和READ_IT.txt赎金指示的开发中的样本。

开发中的Roblocker X声称加密了Roblox游戏文件，但只是锁定屏幕。解锁密码当前是“PooPoo”。

GlobeImposter勒索软件的最新版本将.write_us_on_email字符串连接到每个加密文件。

具有奇怪名称“Dviide”的示例附加带有.dviide扩展名的加密文件。使用原始警告窗口。

锁屏用中文写的。这种低影响的木马也显示QR码来简化赎金支付流程。

它使用XOR加密和用随机扩展名污染的劫持文件。由于字体颜色，赎金提示很难阅读。

一名名为“vicswors baghdad”的人正在尝试部署Houdini RAT和MoWare HFD赎金特洛伊木马。

称为BlackSheep的勒索软件将.666扩展名连接到文件，并要求$500的BTC。它没什么特别的。

这个新的应用程序会混乱文件名，并将.ADR字符串附加到它们。使用AES-256密码系统。

不明身份的骗子使用Hidden Tear PoC的开源代码来创建另一个名为DolphinTear（.dolphin扩展）的衍生。

新样本不将文件加密，而是将数据移动到加密的WinRAR的存档。目前正在开发中。

来自的GData的研究人员发现了一个名叫SintaLocker的CryPy衍生。它使用README_FOR_DECRYPT.txt赎金提示。

发现一个示例，显示一个窗口画面，“您的文件已被阻止。” 要求50美元的比特币。

Jigsaw勒索勒索软件的制作人员为他们的警告屏幕切换到一个新的主题，现在描绘的是一个可怕的小丑。

将.imsorry字符串连接到加密文件，并添加一个名为“Read me for help thanks.txt”的赎金单。

MalwareHunterTeam的ID勒索软件服务现在能够识别400个勒索软件家族。赞MHT。

Avast和CERT Polska为AES-NI，BTCWare和Mole勒索软件提供免费的解密工具。

该标本使用.r3store文件扩展名和READ_IT.txt赎金提示。要求价值450美元的比特币。

DMA Locker勒索软件的副本放出。使用稍微修改的二进制文件和除了名称属性外相同的GUI。

根据新的研究，中国用户 - 不是俄罗斯人 - 遭受了WannaCry勒索软件的最大打击。

XData勒索软件开发者发布了主解密密钥。安全厂商，包括Avast，ESET和卡巴斯基，都创建了解密器。

它声称编码数据，但实际上没有。使用常见的AV工具很容易删除，这会解决问题。

只能加密桌面上的数据，使用.andonio扩展名和名为READ ME.txt的帮助文件。它是Hidden Tear的一个变体。

新的GrodexCrypt木马是基于Crypt888的勒索软件，但另外使用GUI。要求价值$50的BTC。可解密。

与其应用加密，称为OoPS Ramenware的勒索软件家族将文件移动到具有.ramen扩展名的密码保护ZIP存档。

最新的Amnesia版本使用.TRMT文件扩展名和如何恢复加密FILES.txt赎金操作方法。

将.brickr后缀连接到加密文件，并丢出名为READ_DECRYPT_FILES.txt的恢复手册。

将.resurrection扩展名附加到文件并使用README.html赎金提示。还播放音乐盒似的旋律。

名为KILLSWITCH的在开发中的示例将.switch扩展名附加到勒索文件。在这此时相当粗糙。

骗子使用EDA2 POC代码来创建Luxnut勒索软件，它将.locked扩展名连接到文件。

这个新样本的赎金提示标题为“Microsoft Security Essentials”。它要求400美元的比特币进行解密。

提供72小时的付款期限，要求0.2 BTC并显示QR码，以方便提交赎金的过程。

由于Emsisoft，Amnesia2变体的受害者现在可以通过使用ad hoc的免费解密工具解密他们的数据。

据报道，全球约有200台Hadoop服务器仍然被劫持 - 由于臭名昭着的1月份活动或当前的活动。

被称为CainXPii的家族很可能代表了与老的Hitler勒索软件相同的血统。通过PaySafeCard要求20欧元。

Joksy用立陶宛语的警告信息锁定屏幕。PayPal支付赎金，这意味着骗子糟糕的OPSEC。

此感染会为文件附加受害者ID，后跟.lock字符串，并丢出一个称为ReadMe.txt的赎金操作。

 
一个正在进行中的列表...        

新的勒索软件发布            

旧勒索软件更新            

被解密的勒索软件            

其他重要的勒索软件相关事件            

译注：好长啊。。。事又多。。。有点晚了。。。  编辑器不支持相关的样式表，显示有问题，可直接看附件chinese.html

来源：http://t.cn/Raelu6p

本文由 看雪翻译小组 hanbingxzy 编译

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)