顶部背景图片(1920*656)

        在恶意软件的各类家族中,“敲诈木马”是非常特别的一类。它的目标非常明确——直接要钱!它既不是直接盗取受害者的真实或虚拟财产获利,也不是向受害者的电脑中关联第三方服务(篡改主页或者下载推广软件)从而向第三方收费,而是明目张胆地告诉受害者:给我钱,否则就撕票(让受害者无法使用重要的文件,甚至无法正常使用整个电脑)。目前已知最早的敲诈木马是1989年的PC Cyborg。该木马通过加密C盘中文件名阻止系统正常工作,从而向受害者索要189美元赎金以恢复系统。很长一段时间以来,敲诈木马一直不是恶意软件中的主流,也较少被普通用户所遇到,但这一情况从去年起发生了变化。

标题1图标(57*57)引起FBI关注的CTB-Locker木马

        2015年年初,有一类敲诈木马已闹得鸡犬不宁,甚至引发了美国FBI的关注,那就是CTB-Locker木马。查看相关新闻
        此木马在加密受害者硬盘上的资料文件后,向受害者勒索比特币作为赎金。有消息说FBI建议受害者支付赎金以恢复文件。
        最近也出现了好莱坞一家医院被敲诈木马勒索,要求支付300多万美元才肯“释放”医院网络系统的报道。这些案例足以证明这种敲诈方式确实让人无可奈何。
        据统计,在去年CTB-Locker爆发的高峰期,电脑管家单月捕捉到的样本影响用户数约1.9万左右。

段落图片1(478*288)
段落图片2(478*288)

标题2图标(57*57)更隐秘狡猾的绑匪——vvv木马

        vvv木马得名于其将加密后的文件扩展名改为vvv。像vvv这样的加密勒索木马,典型的作恶流程是:发送邮件—下载病毒—加密文件—索要赎金。vvv木马作案手法有几个明显特征:
        一、大部分通过邮件进行传播,且邮件不直接附加可执行文件,而是通过脚本、宏等手段完成下载,从而躲避安全检查。
        二、加密时使用高级的算法,例如RSA-4096等高强度加密算法,保证加密后的文件无法通过暴力手段恢复;又例如ECDH密钥协商算法,此算法的重点在于无需联网交换数据,每次运行时会在本地生成一次性的加密密钥,一旦加密完成后就丢弃,此后只能通过服务器数据进行恢复,保证了木马作者对于受害者文件的控制力。
        三、支付赎金方式隐秘,通常要求受害者通过比特币和Tor网络进行交易,这二者的共同特点就是高度匿名性,保证了通过赎金环节也无法追踪到黑客。
        由此可以看出,加密敲诈木马在近一年内的爆发,是与计算机技术的飞速发展分不开的,尤其是密码学和数字货币技术的进步,成为了这类木马稳定的基石。“技术是一把双刃剑”,这个断言用在此处还是非常合适的。
        根据腾讯电脑管家统计,从去年12月起,管家捕捉到的vvv相关木马呈爆发态势,到目前估计全网受影响的用户数月均1.3w左右。

标题3图标(57*57)新绑匪层出不穷,地下黑产让敲诈木马激增

        通过对比CTB-Locker和vvv木马,可看出此类敲诈木马在近期的演进方向:
        一、CTB-Locker的欺诈邮件中,下载器还是以scr等文件名伪装的方式进行传播,本质上还是可执行程序;而vvv木马中,邮件附件已经变成了脚本、宏这类格式,其变化更多,躲避安全检查的能力也更强。
        二、CTB-Locker的传播以欧美地区为主,而vvv木马的受害者已经大部分是日本人,再加上新密锁木马中繁体的敲诈说明,可以看到此类敲诈木马的目标对象已经转向了东亚地区。
        三、与CTB-Locker相比,vvv及类似木马之间的差别更小,呈现出明显的模块化的特征,很像是通过配置不同的参数、图片等即可生成。
        事实上,去年也有这样的传闻,在地下黑产中流传着这样的服务,真正的恶意软件作者按照需求生成定制化的敲诈木马,交由另一批人进行木马的分发(如发送欺诈邮件),并从比特币的账户中获取分成。如果这种CaaS(Crime as a Service)的方式已经开始在黑产中大规模应用,说明这种敲诈方式的利润已经高到足以养活一整条利益链的程度,同时更多类似的敲诈木马将会在接下来的时间内继续集中爆发。

段落图片3(478*288)
段落图片4(478*288)

标题4图标(57*57)中国 “接地气”的绑匪,劫持Windows

        除了上述所说的木马家族外,在中国还有另外一种更接地气的敲诈木马,它们在网盘、群文件等地方进行传播,通过充钻、色情、外挂等种种诱惑性的名称吸引受害者运行,运行起来之后立刻修改Windows登录密码,然后等待用户重启或强制重启电脑,在登录界面通过用户名或提示信息要求受害者联系指定的QQ号,进而在联系上之后要求用户付款换取Windows登录密码。
        除了传播方式外,木马作者留QQ号,以及通常要求使用Q币支付赎金等细节,都表明这是一类熟悉中国互联网特征的敲诈木马。由于技术要求低,这类木马始终持续地在网络上出现,但是熟悉电脑的技术人员也有一些手段能解决这种问题,因此这类木马无法形成大规模的爆发。
        目前电脑管家平均每月能捕获约4000个类似的木马,自15年8月起此类木马有明显的爆发趋势。

标题1图标(57*57)屏霸木马,无耻之极

        除了Windows系统之外,近年来敲诈类木马在智能手机上的安卓系统也有抬头趋势。与电脑相比,手机端的屏幕较小,运行的任务比较聚焦,同时缺乏丰富的进程管理工具。因此,大部分木马的作恶手段是将自身窗口反复强制置顶,使受害者无法正常使用手机的其它功能,同时在置顶窗口中提出敲诈需求和联系方式。去年1年内,腾讯反病毒实验室平均每月能够捕获约500个类似木马。
        此外,也有一些新型的作恶手段进入我们的视野。例如某一类锁屏木马,先引诱用户将其设置为设备管理器,然后通过接口直接修改系统锁屏密码。这样的案例虽然出现得不多,然而代表木马作者在移动端也在不停尝试新的作恶手法,这也进一步说明了对敲诈类木马保持关注的必要性。

段落图片1(478*288)
段落图片2(478*288)

标题2图标(57*57)远离敲诈木马,预防是关键

        vvv敲诈木马的爆发,标志着敲诈类木马已经发展为复杂化、专业化、产业化的暴利敛财工具。在这个类别中,不同技术手段、不同平台的各类样本层出不穷,能够覆盖当前互联网的各类使用人群,因此正在成为一个新的毒瘤。
        由于大部分敲诈木马在受害者中招以后都难以自行恢复,因此事前防范是对付此类木马的一个重要环节。腾讯电脑管家建议大家需养成良好的上网习惯,不要从不可信的网站、邮件、陌生人、手机短信等处接收和运行文件,对于可疑的文件可以使用哈勃分析系统进行扫描。在上网时需要开启安全类软件,如腾讯电脑管家和手机管家的防护功能,以防范各种风险。
        另外,当不幸遭遇此类木马,也可用哈勃文件问题进行专杀,哈勃针对窗口置顶的敲诈木马开发了一系列专杀工具,同时对于修改系统锁屏密码的样本也能进行识别和密码提取。