一封短短的郵件�����,卻可以被不法分子用來遠程加密受害者文件����,敲詐比特幣贖金。當前����,敲詐木馬日益猖獗���,其背后是成熟運轉(zhuǎn)的黑色產(chǎn)業(yè)鏈。從受害者信息的獲取��,到木馬的制作����、郵件的發(fā)送,每一個環(huán)節(jié)的不法分子都能從贖金中分得一杯羹����。未來,不法分子還會發(fā)動什么樣的攻擊?面對這樣的木馬又應該如何防范?近日����,騰訊安全聯(lián)合實驗室旗下的反病毒實驗室發(fā)布了“敲詐者”黑產(chǎn)研究報告,與騰訊電腦管家一起詳細揭秘“敲詐者”及其背后的黑色產(chǎn)業(yè)鏈��。
敲詐風暴愈演愈烈 企業(yè)核心數(shù)據(jù)頻頻遭竊
如果沒有點開那一封郵件�,汪為(化名)現(xiàn)在就不會忙于尋找丟失的文件,甚至也不用支付相當于幾個月工資的罰款����。
汪為在北京一家互聯(lián)網(wǎng)企業(yè)上班���,日常工作是在網(wǎng)上與客戶進行聯(lián)系,維護產(chǎn)品銷售渠道��。因公司準備出國參加一場展銷會���,汪為忙著跟幾家快遞公司通過郵件商量宣傳物資的郵遞事宜�。和往常一樣����,他在未讀郵件中挑出了與快遞相關(guān)的部分,逐一閱讀并打開其中的附件�����,直到他點開了一封主題為“Delivery Notification”的郵件��。一小時后��,他電腦中的文件被改成亂碼且無法打開����,被修改為敲詐內(nèi)容的桌面背景也顯示出來�。他才知道電腦中了“敲詐者”木馬。
像汪為這樣的遭遇并非個例。自2014年起���,陸續(xù)有人在打開郵件之后���,發(fā)現(xiàn)自己電腦中的文件被修改,其中不乏公司核心數(shù)據(jù)�����、有重要意義的圖片等內(nèi)容�,一旦丟失造成的損失難以估量,此外在電腦顯著位置上也會出現(xiàn)敲詐信息���。
敲詐木馬最初僅在國外傳播����,后來逐漸滲透到國內(nèi)��,受其影響不乏醫(yī)院�����、公交公司這樣的大型企業(yè)�����。目前,除了少部分敲詐木馬可以通過其漏洞進行破解外�����,仍有很多木馬難以治理����,而受害者往往需要支付贖金才能解鎖文件,對于一些重要數(shù)據(jù)被加密的公司而言�,這是無奈之中最后的辦法。此前��,美國好萊塢某醫(yī)院為了恢復患者病歷�����,被迫支付了相當于數(shù)萬美元的贖金����。經(jīng)過長時間的監(jiān)測�����,騰訊電腦管家在第一時間揭秘這類木馬。
財務(wù)會計類職工成攻擊目標 郵件成敲詐者主要傳播渠道
從以往騰訊電腦管家攔截情況來看����,當前敲詐木馬主要以郵件進行傳播,郵件的主題往往是快遞����、發(fā)票、費用確認等公務(wù)內(nèi)容并含有附件��,從而誘導財務(wù)���、會計����、對外關(guān)系等職位的員工打開�����。其中����,最常見的附件格式是Office文檔,還有一些如Powershell�����、js、vb�、JAR、CHM等文件格式被用于傳播����。木馬運行后,將導致電腦上用戶隱私(文件����、照片)等被加密。
為了謀求更多利益���,不法分子也在不斷變換手法��,如控制電腦隨意登陸訪問廣告�����、釣魚網(wǎng)站���,或是下載后門木馬��,實時監(jiān)控受害者上網(wǎng)行為并上傳隱私信息。其次��,不法分子也開始針對不同種類的電腦用戶開發(fā)相應的木馬�,連一向以安全著稱的MAC操作系統(tǒng)在不久前也遭到了敲詐木馬的攻擊。除此之外��,在一些針對政府�、軍隊等敏感目標的高等級、強對抗的網(wǎng)絡(luò)攻擊中����,也出現(xiàn)了敲詐木馬的身影。
郵箱賬號9.9元公開兜售 “敲詐者”黑色產(chǎn)業(yè)日趨成熟
圍繞著敲詐木馬�,不法分子已經(jīng)形成了“收集客戶郵箱賬戶—客戶身份信息分類—兜售客戶郵箱賬戶—專業(yè)發(fā)送郵件”的一整套黑色產(chǎn)業(yè)鏈。不同身份的不法分子在制作�����、傳播����、贖金交付等環(huán)節(jié)中分工合作,互相交換資源和數(shù)據(jù)����,企圖從受害者的損失中分得利益���。
在郵件信息獲取階段,騰訊安全和騰訊電腦管家研究人員發(fā)現(xiàn)�����,只要用戶使用郵箱賬號在BBS�、論壇、聊天室等網(wǎng)站上注冊過或者發(fā)表過言論����,那么黑產(chǎn)從業(yè)者就能使用爬蟲工具在網(wǎng)上抓取到相關(guān)郵箱信息,并通過用戶言論行為以及賬號信息進行身份分類�。被分類好的郵箱賬號會出現(xiàn)在各類平臺上進行兜售,其中一些行業(yè)類別的郵箱賬號信息兜售價為9.9元����。
(多個行業(yè)的郵箱賬號被兜售)
一旦不法分子獲取郵箱賬號信息后,就會著手發(fā)送垃圾郵件�����,而使用正規(guī)郵箱大量發(fā)送垃圾郵件��,很大概率會被封號,于是出現(xiàn)了“專業(yè)發(fā)送郵件”的產(chǎn)業(yè)環(huán)節(jié)���。據(jù)調(diào)查,該環(huán)節(jié)從業(yè)者多采取自搭建郵箱服務(wù)器的方式����,可以做到無限制的發(fā)送,就連發(fā)送總量��、點擊人數(shù)等都可以查看��。
贖金交付是另一個重要的環(huán)節(jié)���,它直接關(guān)系著整個黑色鏈條是否能從受害者那里攫取到足夠的利益。比特幣因在全球范圍內(nèi)可使用���,且其使用者具有匿名性�,難以追蹤��,常常被不法分子要求作為贖金�����。
防治敲詐木馬,事前防范顯得尤為重要���。騰訊安全反病毒實驗室專家馬勁松提醒用戶�����,不輕信任意陌生郵件中的內(nèi)容���,不要隨意開啟郵件附件,不管是可執(zhí)行文件�、Office文檔,還是后綴名不熟悉的其他格式文件����。同時開啟Office、WPS等文檔軟件安全防護功能���,不要設(shè)置默認運行宏��,也不要受陌生文檔的引誘臨時開啟宏運行��。在生活中�����,使用騰訊電腦管家等安全類軟件�����,開啟實時保護并及時更新版本�����。目前����,騰訊電腦管家旗下的哈勃分析系統(tǒng)也發(fā)布了數(shù)個解密工具���,受害者只需要根據(jù)工具的指示進行操作���,無需支付贖金即可恢復被敲詐木馬加密的文件。對于不放心的文件����,也可以使用哈勃分析系統(tǒng)(https://habo.qq.com/)對文件進行檢測。
京公網(wǎng)安備 11010502041587號