2016到2017年，勒索軟件市場經(jīng)歷了2,502%的增長率。此數(shù)值指的是罪犯花在勒索軟件上的錢，不是受害者支付的贖金。該市場的驅(qū)動(dòng)因素很多，包括：勒索軟件的技術(shù)簡單性、勒索軟件即服務(wù)(RaaS)的興起、罪犯投資回報(bào)的保障、以Tor和加密貨幣潛蹤匿跡的可用性，以及受害者基本安全控制的缺乏。

2017年8月到9月間，安全公司Carbon Black監(jiān)視了21個(gè)交易勒索軟件的大型暗網(wǎng)市場（據(jù)估計(jì)約有6,300+此類暗網(wǎng)市場）。結(jié)果令人十分震驚，竟有超過4.5萬個(gè)活躍產(chǎn)品列表，從1美元的安卓鎖屏勒索軟件，到超過1000美元的定制代碼，應(yīng)有盡有。而勒索軟件產(chǎn)品的平均要價(jià)，僅為10.5美元。

涉案贖金的總金額同樣十分驚人。據(jù)FBI統(tǒng)計(jì)，2016年的贖金支付約在10億美元左右；比2015年的2400萬美元多了很多。Carbon Black的研究發(fā)現(xiàn)，勒索軟件開發(fā)者每年平均能掙到約10萬美元。而合法軟件開發(fā)者的平均稅前薪酬是6.9萬美元。在惡意軟件興盛的東歐國家里，這一差距甚至更大。勒索軟件在暗網(wǎng)上的銷售額，從2016年的不到40萬美元，增長到了2017年的625萬美元。

Carbon Black安全策略師里克·麥克羅伊預(yù)測，該地下生意會(huì)像合法產(chǎn)業(yè)一樣進(jìn)化發(fā)展。“我預(yù)計(jì)，我們將看到開發(fā)人員與其產(chǎn)品間的整合。”

事實(shí)很簡單，就是勒索軟件產(chǎn)業(yè)因其有利可圖而大幅增長。取締該產(chǎn)業(yè)的工作，也就應(yīng)將重點(diǎn)放在移除這一盈利性上。Carbon Black認(rèn)為該產(chǎn)業(yè)有5點(diǎn)供應(yīng)鏈：創(chuàng)建、分發(fā)、加密、支付、命令與控制。

如果防御者能打破或中斷其中一環(huán)，整個(gè)攻擊鏈就會(huì)分崩離析。

在年輕程序員無法找到合法工作，且能通過開發(fā)勒索軟件賺取客觀收入的情況下，打破勒索軟件創(chuàng)建環(huán)是不可能的。破壞分發(fā)這一環(huán)節(jié)也同樣艱難，因?yàn)槭袌隹梢圆厣戆稻W(wǎng)。類似的，加密環(huán)節(jié)也無法控制——公共領(lǐng)域有強(qiáng)大的加密系統(tǒng)可供使用。支付是其中最弱的一環(huán)，是供應(yīng)鏈中對(duì)所付贖金的收集和跟蹤——但如果沒有贖金被支付，整個(gè)產(chǎn)業(yè)也就崩潰了。

Carbon Black 的報(bào)告稱：“我們需要阻止贖金支付。這一體系只有在受害者選擇支付的情況下才有效。除非人們決意拒不支付，否則該問題只會(huì)繼續(xù)發(fā)酵。”但是，該工作是一項(xiàng)很難達(dá)成的任務(wù)。而且，即便某國或某個(gè)目標(biāo)行業(yè)的受害者拒絕支付贖金，罪犯也只會(huì)換個(gè)更有錢途的地方或行業(yè)繼續(xù)下手。這不能從根本上解決問題，只是在把問題導(dǎo)出到別的地方而已。

遏止需要支付贖金的情況發(fā)生，可以達(dá)到相同的效果。而且可以通過改善安全控制措施相對(duì)容易地達(dá)成——但即便不是不可能，讓公司企業(yè)或個(gè)人設(shè)置好這些安全控制措施也是相當(dāng)難的。

這種背景下，勒索軟件產(chǎn)業(yè)只會(huì)繼續(xù)增長，而且將會(huì)持續(xù)進(jìn)化。目前為止，勒索軟件已經(jīng)很大程度上被技術(shù)含量不怎么高的程序員掌握了；復(fù)雜性不再必要。Carbon Black 看出了這種轉(zhuǎn)變。某種程度上，這些標(biāo)志已經(jīng)顯而易見：WannaCry和NotPetya就是例子。前者的案例中，勒索軟件本身不復(fù)雜，而后者，壓根兒就沒打算為受害者解密。然而，經(jīng)由NSA被泄漏洞利用程序進(jìn)行傳播，是一種新的發(fā)展。

Carbon Black認(rèn)為此種勒索軟件的使用是一種煙霧彈。

利用已存在的卷硬拷貝刪除技術(shù)（刪除潛在的文件備份），以及對(duì)Windows事件日志的清除，對(duì)手可通過將響應(yīng)人員的目光轉(zhuǎn)移到解密文件而不是調(diào)查數(shù)據(jù)及憑證滲漏上，來挫敗大多數(shù)事件響應(yīng)工作。

勒索軟件，或者更具體講，勒索軟件的加密部分，將被用于隱藏并模糊到更傳統(tǒng)的網(wǎng)絡(luò)盜竊和網(wǎng)絡(luò)間諜活動(dòng)的蹤跡。

所有這些，隨著勒索軟件產(chǎn)業(yè)的進(jìn)化，是很有可能出現(xiàn)的。麥克羅伊稱，開發(fā)人員與產(chǎn)品的整合指日可待。其效果，就是將勒索軟件集中到更為老練的程序員手中。支付贖金的效果之一，就是告訴攻擊者，受害人可以被強(qiáng)迫。

Carbon Black預(yù)測，會(huì)看到更高明的開發(fā)者利用更先進(jìn)的變形和駐留技術(shù)，在解密之后還繼續(xù)留在受害者網(wǎng)絡(luò)中——以便未來再勒索一次。