• <tt id="se6o6"><strong id="se6o6"></strong></tt>
    <xmp id="se6o6">
    <xmp id="se6o6"><tt id="se6o6"></tt>
  • <xmp id="se6o6">
  • 熱門搜索:  賴仲達  科普  科技  尾猿會  磕幻  自然奧秘

    現在的綁架者能變成電子從網線中出來!

    時間:2016-03-05 13:48 轉載請尊重版權注明來源和作者

       尾猿會網轉載:在惡意軟件的各類家族中,“敲詐木馬”是非常特別的一類。它的目標非常明確——直接要錢!它既不是直接盜取受害者的真實或虛擬財產獲利,也不是向受害者的電腦中關聯第三方服務(篡改主頁或者下載推廣軟件)從而向第三方收費,而是明目張膽地告訴受害者:給我錢,否則就撕票(讓受害者無法使用重要的文件,甚至無法正常使用整個電腦)。目前已知最早的敲詐木馬是1989年的PC Cyborg。該木馬通過加密C盤中文件名阻止系統正常工作,從而向受害者索要189美元贖金以恢復系統。很長一段時間以來,敲詐木馬一直不是惡意軟件中的主流,也較少被普通用戶所遇到,但這一情況從去年起發生了變化。
    引起FBI關注的CTB-Locker木馬
       2015年年初,有一類敲詐木馬已鬧得雞犬不寧,甚至引發了美國FBI的關注,那就是CTB-Locker木馬。查看相關新聞,
    此木馬在加密受害者硬盤上的資料文件后,向受害者勒索比特幣作為贖金。有消息說FBI建議受害者支付贖金以恢復文件。
    最近也出現了好萊塢一家醫院被敲詐木馬勒索,要求支付300多萬美元才肯“釋放”醫院網絡系統的報道。這些案例足以證明這種敲詐方式確實讓人無可奈何。
    據統計,在去年CTB-Locker爆發的高峰期,電腦管家單月捕捉到的樣本影響用戶數約1.9萬左右。
    更隱秘狡猾的綁匪——vvv木馬
       vvv木馬得名于其將加密后的文件擴展名改為vvv。像vvv這樣的加密勒索木馬,典型的作惡流程是:發送郵件—下載病毒—加密文件—索要贖金。vvv木馬作案手法有幾個明顯特征:
    一、大部分通過郵件進行傳播,且郵件不直接附加可執行文件,而是通過腳本、宏等手段完成下載,從而躲避安全檢查。
    二、加密時使用高級的算法,例如RSA-4096等高強度加密算法,保證加密后的文件無法通過暴力手段恢復;又例如ECDH密鑰協商算法,此算法的重點在于無需聯網交換數據,每次運行時會在本地生成一次性的加密密鑰,一旦加密完成后就丟棄,此后只能通過服務器數據進行恢復,保證了木馬作者對于受害者文件的控制力。
    三、支付贖金方式隱秘,通常要求受害者通過比特幣和Tor網絡進行交易,這二者的共同特點就是高度匿名性,保證了通過贖金環節也無法追蹤到黑客。
       由此可以看出,加密敲詐木馬在近一年內的爆發,是與計算機技術的飛速發展分不開的,尤其是密碼學和數字貨幣技術的進步,成為了這類木馬穩定的基石。“技術是一把雙刃劍”,這個斷言用在此處還是非常合適的。
       根據騰訊電腦管家統計,從去年12月起,管家捕捉到的vvv相關木馬呈爆發態勢,到目前估計全網受影響的用戶數月均1.3w左右。

    新綁匪層出不窮,地下黑產讓敲詐木馬激增
       通過對比CTB-Locker和vvv木馬,可看出此類敲詐木馬在近期的演進方向:
    一、CTB-Locker的欺詐郵件中,下載器還是以scr等文件名偽裝的方式進行傳播,本質上還是可執行程序;而vvv木馬中,郵件附件已經變成了腳本、宏這類格式,其變化更多,躲避安全檢查的能力也更強。
    二、CTB-Locker的傳播以歐美地區為主,而vvv木馬的受害者已經大部分是日本人,再加上新密鎖木馬中繁體的敲詐說明,可以看到此類敲詐木馬的目標對象已經轉向了東亞地區。
    三、與CTB-Locker相比,vvv及類似木馬之間的差別更小,呈現出明顯的模塊化的特征,很像是通過配置不同的參數、圖片等即可生成。
       事實上,去年也有這樣的傳聞,在地下黑產中流傳著這樣的服務,真正的惡意軟件作者按照需求生成定制化的敲詐木馬,交由另一批人進行木馬的分發(如發送欺詐郵件),并從比特幣的賬戶中獲取分成。如果這種CaaS(Crime as a Service)的方式已經開始在黑產中大規模應用,說明這種敲詐方式的利潤已經高到足以養活一整條利益鏈的程度,同時更多類似的敲詐木馬將會在接下來的時間內繼續集中爆發。

    中國 “接地氣”的綁匪,劫持Windows
      除了上述所說的木馬家族外,在中國還有另外一種更接地氣的敲詐木馬,它們在網盤、群文件等地方進行傳播,通過充鉆、色情、外掛等種種誘惑性的名稱吸引受害者運行,運行起來之后立刻修改Windows登錄密碼,然后等待用戶重啟或強制重啟電腦,在登錄界面通過用戶名或提示信息要求受害者聯系指定的QQ號,進而在聯系上之后要求用戶付款換取Windows登錄密碼。
       除了傳播方式外,木馬作者留QQ號,以及通常要求使用Q幣支付贖金等細節,都表明這是一類熟悉中國互聯網特征的敲詐木馬。由于技術要求低,這類木馬始終持續地在網絡上出現,但是熟悉電腦的技術人員也有一些手段能解決這種問題,因此這類木馬無法形成大規模的爆發。
       目前電腦管家平均每月能捕獲約4000個類似的木馬,自15年8月起此類木馬有明顯的爆發趨勢。

    屏霸木馬,無恥之極
      除了Windows系統之外,近年來敲詐類木馬在智能手機上的安卓系統也有抬頭趨勢。與電腦相比,手機端的屏幕較小,運行的任務比較聚焦,同時缺乏豐富的進程管理工具。因此,大部分木馬的作惡手段是將自身窗口反復強制置頂,使受害者無法正常使用手機的其它功能,同時在置頂窗口中提出敲詐需求和聯系方式。去年1年內,騰訊反病毒實驗室平均每月能夠捕獲約500個類似木馬。
       此外,也有一些新型的作惡手段進入我們的視野。例如某一類鎖屏木馬,先引誘用戶將其設置為設備管理器,然后通過接口直接修改系統鎖屏密碼。這樣的案例雖然出現得不多,然而代表木馬作者在移動端也在不停嘗試新的作惡手法,這也進一步說明了對敲詐類木馬保持關注的必要性。

    遠離敲詐木馬,預防是關鍵
      vvv敲詐木馬的爆發,標志著敲詐類木馬已經發展為復雜化、專業化、產業化的暴利斂財工具。在這個類別中,不同技術手段、不同平臺的各類樣本層出不窮,能夠覆蓋當前互聯網的各類使用人群,因此正在成為一個新的毒瘤。
       由于大部分敲詐木馬在受害者中招以后都難以自行恢復,因此事前防范是對付此類木馬的一個重要環節。騰訊電腦管家建議大家需養成良好的上網習慣,不要從不可信的網站、郵件、陌生人、手機短信等處接收和運行文件,對于可疑的文件可以使用哈勃分析系統進行掃描。在上網時需要開啟安全類軟件,如騰訊電腦管家和手機管家的防護功能,以防范各種風險。
       另外,當不幸遭遇此類木馬,也可用哈勃文件問題進行專殺,哈勃針對窗口置頂的敲詐木馬開發了一系列專殺工具,同時對于修改系統鎖屏密碼的樣本也能進行識別和密碼提取。


    本文節選自騰訊電腦管家

      相關內容

      熱點新聞

      免费观看120秒男女做受
    • <tt id="se6o6"><strong id="se6o6"></strong></tt>
      <xmp id="se6o6">
      <xmp id="se6o6"><tt id="se6o6"></tt>
    • <xmp id="se6o6">