企業(yè)中招敲詐者木馬 騰訊安全反病毒實(shí)驗(yàn)室破解陷阱

 　　“你的文件已被鎖定，在XX時(shí)間內(nèi)將錢(qián)打進(jìn)指定賬號(hào)，否則我們將銷(xiāo)毀所有文件”，近兩年，隨著敲詐者木馬的大規(guī)模爆發(fā)，這樣的字眼并不只存在電影中，且已給眾多個(gè)人、企業(yè)的電腦、財(cái)產(chǎn)安全造成嚴(yán)重?fù)p失。據(jù)安全公司統(tǒng)計(jì)，敲詐者木馬在所有惡意軟件中的占比，從2015年的第三位上升到了2016年的首位，形勢(shì)十分嚴(yán)峻。近期，騰訊安全聯(lián)合實(shí)驗(yàn)室聯(lián)合騰訊視頻推出的安全推理系列劇第五集《燒腦24小時(shí)之隱形的敲詐者》上線(xiàn)，以剖析真實(shí)案例的方式將安全廠(chǎng)商與敲詐者木馬作者的對(duì)抗過(guò)程還原在觀(guān)眾面前。而如何防御敲詐者木馬，已成為個(gè)人和企業(yè)面臨的重要課題。

　　Petya敲詐者木馬最新變種來(lái)襲 中招網(wǎng)民被迫交贖金恢復(fù)數(shù)據(jù)

　　據(jù)騰訊安全反病毒實(shí)驗(yàn)室專(zhuān)家介紹，敲詐者木馬簡(jiǎn)單來(lái)說(shuō)就是木馬界的“綁匪”，通過(guò)加密受害者電腦上的文件，索取贖金。而最早的敲詐者木馬可以追溯到1989年的“PC Cyborg”，但隨著加密算法的完善，當(dāng)前的敲詐者木馬已與之前大相徑庭，主要以高強(qiáng)度密碼學(xué)算法加密受害者電腦上的文件，因此在部分場(chǎng)合也被稱(chēng)為密鎖類(lèi)木馬。

　　2013年，一個(gè)名為“CryptoLocker”木馬被曝入侵了超過(guò)25萬(wàn)臺(tái)電腦，成為較早引起人們關(guān)注的敲詐者木馬之一。而在國(guó)內(nèi)最早產(chǎn)生反響的要數(shù)“CTB-Locker”敲詐者木馬，該木馬主要通過(guò)郵件附件傳播，2015年隨一部分郵件流入國(guó)內(nèi)，導(dǎo)致一批受害者被敲詐，在國(guó)際上甚至引發(fā)美國(guó)FBI關(guān)注。不僅如此，目前安全界內(nèi)已先后發(fā)現(xiàn)曾敲詐某組織數(shù)萬(wàn)美金的“Locky”、首款使用簡(jiǎn)體中文的“Shujin”、首款加密磁盤(pán)引導(dǎo)扇區(qū)的“Petya”以及已更新至第五代的“Cerber”等超過(guò)180種敲詐者木馬。

　　(CTB-Locker木馬敲詐界面)

　　而隨著智能手機(jī)的全民化普及，針對(duì)Android操作系統(tǒng)的敲詐者木馬在近幾年也有愈演愈烈的趨勢(shì)。與加密用戶(hù)電腦文件不同的是，手機(jī)側(cè)的敲詐者木馬主要通過(guò)鎖定受害者手機(jī)屏幕，使受害者無(wú)法正常使用手機(jī)，借機(jī)進(jìn)行敲詐。

　　更為嚴(yán)重的是，不法分子還會(huì)對(duì)敲詐者木馬進(jìn)行“版本升級(jí)”，生成變種。12月初，騰訊安全反病毒實(shí)驗(yàn)室就捕獲到修改磁盤(pán)引導(dǎo)扇區(qū)的Petya敲詐者木馬最新變種。事實(shí)上，早在今年4月份，該敲詐者木馬就曾大規(guī)模爆發(fā)，致使不少網(wǎng)民中招并被迫交贖金恢復(fù)數(shù)據(jù)。而針對(duì)Petya敲詐者木馬此次 “變裝”重來(lái)，騰訊電腦管家已可全面識(shí)別查殺。

　　算法加密 敲詐者木馬破解成難題

　　事實(shí)上，敲詐者木馬近兩年能持續(xù)地爆發(fā)，很大程度上與加密算法的日益完善有關(guān)。一個(gè)成熟的加密算法，可以做到在算法完全公開(kāi)的前提下，僅需要安全保存密鑰，便可以使加密后的密文無(wú)法被惡意破解，這就是“柯克霍夫原則(Kerckhoffs's principle )”。而不法分子也利用了這個(gè)特性，使得我們雖然知道了木馬的算法，但由于不知道作者使用的密鑰，也就沒(méi)有辦法恢復(fù)被惡意加密的文件。

　　不法分子用成熟的、高強(qiáng)度的加密算法，對(duì)受害者電腦上的文件進(jìn)行加密操作后，刪除原文件。當(dāng)圖片、文檔等資料文件都變得不可用，就有可能給受害者帶來(lái)不可估量的損失。最為致命的是，如果不法分子加密算法使用得當(dāng)?shù)脑?huà)，被加密的文件是無(wú)法在沒(méi)有密鑰的情況下恢復(fù)的。但各類(lèi)敲詐者木馬在具體的運(yùn)作中，也可能遺留了一些漏洞，如果發(fā)現(xiàn)了此類(lèi)漏洞，就有可能使用一些較低的代價(jià)恢復(fù)文件。  

　　正如《燒腦24小時(shí)之隱形的敲詐者》劇集中表現(xiàn)的那樣，騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松發(fā)現(xiàn)勒索某貴金屬公司的木馬漏洞，并利用該漏洞助力該公司化解此次危機(jī)。而普通的企業(yè)一旦不慎中招敲詐者木馬，如果沒(méi)有安全專(zhuān)家的介入，只能任憑不法分子擺布。

　　事前構(gòu)筑反“敲詐”防御 成行業(yè)共識(shí)

　　當(dāng)前，較為復(fù)雜的敲詐者木馬一旦感染網(wǎng)民電腦，很難通過(guò)其他技術(shù)手段恢復(fù)系統(tǒng)文件。在行業(yè)看來(lái)，敲詐者木馬的治理，事前預(yù)防遠(yuǎn)比事后補(bǔ)救來(lái)得重要。而世界上安全廠(chǎng)商近兩年來(lái)也在加大對(duì)敲詐者木馬及其變種的攔截、查殺力度。Fortinet、英特爾、Palo Alto Networks等世界安全廠(chǎng)商聯(lián)合成立網(wǎng)絡(luò)威脅聯(lián)盟(CTA)，采用共享威脅情報(bào)的方式追蹤和分析惡意軟件。

　　而國(guó)內(nèi)的安全廠(chǎng)商也緊鑼密鼓地構(gòu)建安全防御。《燒腦24小時(shí)之隱形的敲詐者》中扮演“拯救者”的騰訊安全反病毒實(shí)驗(yàn)室，一直以來(lái)致力于反木馬攔截和病毒修復(fù)，構(gòu)建云主防實(shí)時(shí)處理機(jī)制和運(yùn)營(yíng)體系，每天為超100萬(wàn)個(gè)用戶(hù)解除安全威脅，單日攔截木馬次數(shù)高達(dá)2000萬(wàn)次。除此之外，騰訊安全反病毒實(shí)驗(yàn)室自主研發(fā)的中國(guó)首個(gè)自主研發(fā)反病毒引擎TAV，成為騰訊電腦管家和騰訊手機(jī)管家連續(xù)獲得AV-C、AV-Test、VB100等國(guó)際權(quán)威評(píng)測(cè)中認(rèn)可的重要依托。

　　騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松表示，敲詐者木馬的作案方式相較于電信網(wǎng)絡(luò)詐騙，在時(shí)間、人力以及手段上大大縮減成本。不法分子只需通過(guò)誘導(dǎo)網(wǎng)民點(diǎn)擊感染了敲詐者木馬的鏈接、文件、郵件即可完成作案。網(wǎng)民需要養(yǎng)成良好的上網(wǎng)習(xí)慣，不隨意打開(kāi)不明來(lái)源的附件或鏈接，也不要隨意下載運(yùn)行小網(wǎng)站和網(wǎng)盤(pán)上分享的電腦軟件或手機(jī)應(yīng)用。如果遇到安全性不確定的文件，也可以上傳到哈勃分析系統(tǒng)(https://habo.qq.com/)檢查是否安全。日常生活中，建議使用騰訊電腦管家、騰訊手機(jī)管家等安全類(lèi)產(chǎn)品，實(shí)時(shí)保護(hù)電腦和手機(jī)的安全。