近年來�,因感染敲詐類木馬而被迫支付贖金的事時常發(fā)生,更有甚者損失高達(dá)數(shù)萬美元����。因此,敲詐木馬已逐漸成為安全領(lǐng)域內(nèi)的重點(diǎn)關(guān)注對象��,據(jù)安全公司統(tǒng)計���,敲詐木馬在所有惡意軟件中所占比例�,從2015年的第三位上升到了2016年的首位�,形勢十分嚴(yán)峻��。
據(jù)騰訊安全專家介紹��,雖然最早的敲詐木馬可以追溯到1989年的“PC Cyborg”����,但隨著加密算法的完善�,當(dāng)前的敲詐木馬已與之前大不相同�,主要以高強(qiáng)度密碼學(xué)算法加密受害者電腦上的文件,并要求其支付贖金以換取文件解密為主����,因此在部分場合也被稱為密鎖類木馬。除此之外�,近年來在Android手機(jī)上也逐漸流行一種鎖屏類敲詐木馬,這類木馬同樣是通過鎖定受害者手機(jī)屏幕����,使受害者無法正常使用手機(jī),借機(jī)進(jìn)行敲詐�。
針對近兩年此類木馬的爆發(fā),騰訊安全專家除了持續(xù)跟進(jìn)�,通過分析眾多木馬樣本輸出針對性方案,向用戶提供防御手段�,保障上網(wǎng)安全之外����,還在近期通過騰訊電腦管家旗下哈勃分析系統(tǒng)�����,詳細(xì)溯源和解密了這類危害極大的木馬����。
(騰訊電腦管家攔截“敲詐者”示意圖)
借助郵件傳播 敲詐者木馬加密破壞文件
在2013年,一個名為“CryptoLocker”木馬被曝入侵了超過25萬臺電腦�,成為較早引起人們關(guān)注的敲詐木馬之一。而在國內(nèi)最早產(chǎn)生反響的要數(shù)“CTB-Locker”敲詐木馬���,該木馬主要通過郵件附件傳播�,并在2015年年初����,隨一部分郵件流入國內(nèi),導(dǎo)致一批受害者被敲詐����。此外,還有針對游戲玩家的“TeslaCrypt”木馬,通過在網(wǎng)頁中植入惡意構(gòu)造的文件�����,利用Flash播放器�、pdf閱讀器等各種漏洞,在受害者不知情的情況下下載并執(zhí)行惡意payload�����,加密其電腦上的文件���。
不僅如此,目前安全界內(nèi)已先后發(fā)現(xiàn)曾敲詐某組織數(shù)萬美金的“Locky”����、首款使用簡體中文的“Shujin”、首款加密磁盤引導(dǎo)扇區(qū)的“Petya”����、簡體中文界面的以國內(nèi)受害者為目標(biāo)的“國產(chǎn)C#”以及已更新至第五代的“Cerber”等眾多敲詐木馬。
(“CTB-Locker”木馬敲詐界面)
騰訊安全專家表示��,當(dāng)前敲詐者木馬主要通過郵件的方式進(jìn)行傳播���,并使用成熟的����、高強(qiáng)度的加密算法,對受害者電腦上的文件進(jìn)行加密操作后��,刪除原文件�。一般來說,因比特幣使用者具有匿名性����,通過比特幣收款地址很難追蹤到對應(yīng)的擁有者,往往不法分子會要求受害者使用比特幣支付贖金����,以掩藏身份。此外��,為了進(jìn)一步防止被追蹤��,贖金支付說明指向暗網(wǎng)中的頁面�,暗網(wǎng)依托于現(xiàn)有的互聯(lián)網(wǎng)而建,只有使用特定的軟件���、協(xié)議或權(quán)限才能訪問���,給不法分子提供匿名性�����,防止通過正常的途徑追蹤到位置�、身份等信息��。
(敲詐者木馬偽造的應(yīng)聘簡歷郵件)
據(jù)了解�,敲詐者木馬在傳播時一般會使用大量以帶宏的Office文檔為代表的非PE載體,但近一段時間以來����,騰訊安全專家發(fā)現(xiàn)���,包括js��、vbs��、chm等在內(nèi)的其它非PE文件也被用于傳播敲詐木馬���。這樣的傳播方式可以避免木馬直接放在郵件中時被安全類軟件和網(wǎng)關(guān)直接攔截,同時通過不斷變換下載地址對應(yīng)的木馬文件����,也能躲過部分安全類軟件的檢測和查殺���。
事實(shí)上,敲詐木馬通常會結(jié)合使用非對稱加密算法���、對稱加密算法����,以充分利用二者各自的優(yōu)點(diǎn)�����。使用這樣的方法����,既可以迅速完成整個電腦大量文件的加密,又避免了對稱加密算法的密鑰進(jìn)行傳輸交換中存在被記錄和泄漏的風(fēng)險�����。經(jīng)騰訊安全專家分析發(fā)現(xiàn)���,如果加密算法使用得當(dāng)?shù)脑�,被加密的文件是無法在沒有密鑰的情況下恢復(fù)的;不過,各類敲詐木馬在具體的實(shí)現(xiàn)上��,可能遺留了一些漏洞�,如果發(fā)現(xiàn)了此類漏洞,就有可能可以使用一些較低的代價恢復(fù)文件���。
移動端敲詐木馬愈演愈烈 偽裝應(yīng)用致手機(jī)鎖屏
與Windows操作系統(tǒng)類似�,Android操作系統(tǒng)上的敲詐木馬在近幾年也有愈演愈烈的趨勢���。騰訊安全專家表示�����,一方面�,Android系統(tǒng)對應(yīng)用權(quán)限的嚴(yán)格限制�,使得未root的手機(jī)上,惡意應(yīng)用并沒有太多辦法去讀寫大量文件;另一方面��,由于手機(jī)的便攜性�����,使得手機(jī)系統(tǒng)的開發(fā)者需要更多地考慮手機(jī)在未授權(quán)的物理訪問場景下也能受到良好的保護(hù)���,這反過來又使得受害者在面對鎖屏敲詐的時候能夠用上的手段不多�����。
當(dāng)前Android敲詐木馬的傳播手段主要分為置頂對話框鎖屏敲詐木馬��、修改鎖屏密碼敲詐木馬兩類木馬�,大部分是偽裝成各類其它應(yīng)用�,例如工具類應(yīng)用、刷流量等非法應(yīng)用�����、色情類應(yīng)用等�����,在小型下載網(wǎng)站��、網(wǎng)盤�、社交網(wǎng)絡(luò)中進(jìn)行傳播,誘使受害者下載安裝�����。
(置頂對話框鎖屏敲詐木馬界面示例)
置頂對話框鎖屏敲詐木馬會彈出自定義的對話框窗口,將該窗口反復(fù)強(qiáng)制置頂�,使受害者無法正常使用手機(jī)的其它功能,同時在置頂對話框中提出敲詐需求和聯(lián)系方式�。對于這類敲詐木馬,如果手機(jī)已經(jīng)開啟了USB調(diào)試功能并給電腦授予了調(diào)試權(quán)限���,則可以在電腦上使用adb對手機(jī)進(jìn)行操作�����,清除木馬相關(guān)進(jìn)程�,除此之外����,也可以嘗試重啟手機(jī)并進(jìn)入安全模式,在避免木馬啟動的同時卸載對應(yīng)的惡意應(yīng)用����。而修改鎖屏密碼敲詐木馬則利用了Android系統(tǒng)設(shè)備管理器模塊的高級權(quán)限,可以直接修改系統(tǒng)鎖屏密碼��,然后使用提示框顯示敲詐內(nèi)容��。
“敲詐者”瞄上熱門影視作品資源 安全專家開出防范藥方
除了通過郵件�����、手機(jī)應(yīng)用等方式傳播�,近日,騰訊電腦管家發(fā)現(xiàn)有敲詐者病毒偽裝熱門電影《神奇動物在哪里》資源進(jìn)行傳播�����。據(jù)騰訊電腦管家分析發(fā)現(xiàn)�����,有用戶通過搜索關(guān)鍵詞“神奇動物在哪里下載”����,在某網(wǎng)站發(fā)現(xiàn)相關(guān)種子資源。用戶下載完成后卻無法運(yùn)行種子文件夾中的“AVI - Windows”標(biāo)準(zhǔn)視頻文件�����,轉(zhuǎn)而嘗試使用文件夾中提供的解碼工具“Ultra XVid Codec Pack.exe”程序安裝解碼器播放視頻��。實(shí)際上����,“Ultra XVid Codec Pack.exe”為敲詐者病毒����,用戶一旦點(diǎn)擊運(yùn)行�,電腦文件會被加密,并被提示需要到指定網(wǎng)站購買解密軟件����。
(文件被加密后,電腦彈出敲詐提示)
騰訊電腦管家安全專家表示��,敲詐木馬這兩年的爆發(fā)����,手段層出不窮,使用戶難以防范����,這與密碼學(xué)、暗網(wǎng)���、比特幣等多種技術(shù)的發(fā)展都是密不可分的�����。對于當(dāng)前的敲詐木馬�����,事前的預(yù)防遠(yuǎn)比事后的補(bǔ)救來得重要�,用戶需要養(yǎng)成良好的安全意識�����,不隨意打開不明來源的附件或鏈接�,也不要隨意下載運(yùn)行小網(wǎng)站和網(wǎng)盤上分享的電腦軟件或手機(jī)應(yīng)用。日常生活中��,建議使用騰訊電腦管家�����、騰訊手機(jī)管家等安全類產(chǎn)品���,實(shí)時保護(hù)電腦和手機(jī)的安全����。遇到不確定的文件���,也可以上傳到哈勃分析系統(tǒng)(https://habo.qq.com/)檢查是否安全���,可有效避免遭遇此類木馬���。
京公網(wǎng)安備 11010502041587號