如果說欺詐木馬是網絡世界的騙子,敲詐木馬就是其中的綁匪。近期,這種直接向受害用戶要錢的病毒頻繁出現,受害者如果不提供黑客想要的贖金,就無法使用重要文件,甚至無法使用電腦,危害極大。
猖狂黑客從欺詐到勒索
近期出現的一款“vvv木馬”就是典型的加密勒索木馬,主要通過郵件方式傳播,欺騙用戶打開附件,從而下載惡意程序并運行,將電腦中文檔、圖片、音樂等文件進行加密,最后要求用戶支付贖金以解鎖文件。
圖1:2月vvv木馬相關病毒呈爆發態勢
據騰訊電腦管家統計,從去年12月起,vvv木馬相關病毒呈爆發態勢,估計全網受影響的用戶數月均1.3萬左右。同時,更多衍生的變種木馬也不斷被發現。例如春節期間開始爆發的新密鎖木馬,除了加密后的擴展名從“vvv”改成了其它名稱以外,敲詐說明也變成了繁體。
與vvv木馬勒索方式類似的CTB-Locker木馬(比特幣敲詐者),也是通過加密電腦硬盤文件后像受害者勒索比特幣作為贖金,在2015年年初爆發后甚至引發美國FBI關注。有消息稱,FBI建議CTB-Locker木馬受害者支付贖金以恢復文件,足以證明該類病毒難以對付。而從這類敲詐木馬的作惡流程,其實可以歸納出一些共性:
一、大部分通過郵件進行傳播,郵件不直接附加用戶警惕性高的可執行文件,而是通過普通用戶不熟悉、容易忽視的腳本、宏等手段完成下載。
二、黑客加密手段升級,保證加密文件無法通過暴力手段恢復。黑客制作的惡意軟件每次運行會在本地生成一次性密鑰,保證了木馬作者對于受害者文件的控制力。
三、黑客要求的支付贖金方式隱秘,不易追查黑客蹤跡。目前看來,黑客通常要求受害者通過比特幣等高匿名性的方式進行交易,使得通過贖金環節追蹤黑客難度極高。
PC端敲詐趨勢:引誘手段隱蔽性高 惡意敲詐產業化
除了上述木馬外,國內還有另外一種更接地氣的敲詐木馬,在網盤、群文件等地方進行傳播,通過充鉆、色情、外掛等吸引受害者運行,運行后立刻修改Windows登錄密碼,等用戶重啟或強制用戶重啟電腦后,在登錄界面通過用戶名或提示信息要求受害者聯系指定的QQ號,要求用戶付款換取Windows登錄密碼。由于技術要求低,這類木馬經常出現,但是熟悉電腦的技術人員能解決這種問題,因此這類木馬無法形成大規模的爆發。
圖2:改系統登錄密碼木馬數量快速增長
目前電腦管家平均每月能捕獲約4000個類似的木馬,自15年8月起此類木馬有明顯的爆發趨勢。而針對CTB-Locker和vvv木馬這類病毒,也可以看出此類敲詐木馬這一年中在PC端的進化方向:
一、CTB-Locker的欺詐郵件中還是可運行程序,而vvv木馬中,郵件附件已經變成普通人接觸少的非可執行程序,躲避安全檢查的能力也更強。
二、CTB-Locker傳播以歐美地區為主,vvv木馬的受害者大部分是日本人,最近出現的繁體敲詐說明則顯示,敲詐木馬的目標對象已轉向東亞地區。
三、類似vvv木馬的差別更小,意味著可能出現惡意軟件作者生成定制化敲詐木馬,另一批不法分子散播病毒木馬,并從勒索的金額中進行分成的非法利益鏈,預計更多類似敲詐木馬將在接下來的時間集中爆發。
移動端敲詐趨勢: 強制置頂和鎖屏為主要作惡手段
除了Windows系統之外,近年來針對智能手機安卓系統的敲詐類木馬同樣出現上升的趨勢。由于手機端的屏幕較小,運行的任務比較聚焦,缺乏豐富的進程管理工具,大部分木馬將自身窗口強制置頂,使受害者無法正常使用手機的其它功能,然后在置頂窗口中提出敲詐需求和聯系方式。2015年,騰訊反病毒實驗室平均每月能夠捕獲約500個類似木馬。
圖3:手機鎖屏敲詐成為移動端新威脅
此外,也有一些新型的作惡手段進入我們的視野。例如某一類鎖屏木馬,先引誘用戶將其設置為設備管理器,然后通過接口直接修改系統鎖屏密碼。這樣的案例雖然出現的不多,仍顯示出惡意木馬作者在移動端正不停探索新敲詐手法,進一步說明了對敲詐類木馬保持關注的必要性。
防范為主 三招避免黑客“綁架”
vvv敲詐木馬的爆發,標志著敲詐類木馬已經發展為復雜化、專業化、產業化的暴利斂財工具。面對這類病毒,首先需要對文件及時備份,由于大部分敲詐木馬在受害者中招以后都難以自行恢復,因此事前防范是對付此類木馬的一個重要環節。
圖4:哈勃分析系統專殺工具
其次,用戶需要養成良好的上網習慣,不要從不可信的網站、郵件、陌生人、手機短信等處接收和運行文件,對于可疑的文件可以使用哈勃分析系統(habo.qq.com)進行掃描,哈勃分析系統也推出一系列專殺工具,便于用戶查殺。
最后,在上網時需要開啟安全類軟件的防護功能,例如騰訊電腦管家和手機管家,以防范各種風險。
京公網安備 11010502049343號