McAfee在暗网中发现了一款专门制作勒索软件的工具，使用这款软件，3步你就能制作勒索软件了。

地下犯罪市场很容易找到这些恶意软件生成器，它们能让你通过现有模板制作恶意软件。McAfee的研究人员发现了新趋势是这种工具现在被用来制作勒索软件了。勒索软件这种类型的恶意软件在犯罪分子的生态圈中越来越流行，骗子想要抓住这种新的机遇。

勒索软件制作工具

被叫做Tox的勒索软件制作工具5月19日出现在暗网上，而且提供免费下载。提供软件的地址为:

toxicola7qwv37qj.onion

该款勒索软件一旦在Windows系统打开，就会加密所有文件。一旦整个过程完成，它就会显示一条信息，要求机主支付赎金到一个比特币地址，才能解密文件。”

作者解释道，制作一款勒索软件只需几步:

1、决定赎金数量
2、输入“缘由”
3、提交验证码

赎金73分成分配

Tox的作者要从受害者支付的赎金中抽走一定比例，他们通过使用比特币和Tor网络来确保支付与恶意软件传播的匿名性。Tox的作者们保证他们所生成的恶意软件被杀毒软件检测到的概率非常低。

关于恶意软件的传播，最常见的方法就是把它作为邮件附件大量发送。当受害者支付的比特币会转到买家的账户上。恶意软件作者会从中收取30%的费用——就是说，如果你收到了100美元的赎金，你拿70元，作者拿30元……

Tox的关键特性:

Tox免费。你只需在网站上注册。
Tox依赖Tor和比特币，这保证了一定程度的匿名性。
生成的恶意软件跟宣传中的一样。
恶意软件对反病毒软件的规避能力较强，也就是说受害者得要有额外的手段(如HIPS、白名单、沙盒)才能捕捉到恶意软件。

Tox这种犯罪即服务(crime-as-a-service)的形式简单而有效，恶意软件生成器会生成一个大概2MB大小的可执行文件，伪装成.scr文件。

Tox的用户可以凭自己喜好传播恶意软件，但是Tox的隐藏服务会跟踪任何安装行为和相关的转账行为。Tox用户在他们注册时提供的比特币地址受到他们的赎金。

软件分析

McAfee安全专家认为这款恶意软件似乎不够复杂，因为开发者的代码中有几处标识字串：

“Tox恶意软件生成器是通过MinGW编译的，通过Crypto++库对客户端文件进行AES加密。微软的CryptoAPI被用来生成密钥。”

Tox的恶意软件先会下载必要组件，包括Curl和Tor客户端。专家指出，很多其他的犯罪分子也会使用这种赚钱的模式，他们还估计，恶意软件作者会改进他们软件的免杀能力，还会对流量进行加密。

* 参考来源SecurityAffairs，vulture翻译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）