近年來,因感染敲詐類木馬而被迫支付贖金的事時常發生,更有甚者損失高達數萬美元。因此,敲詐木馬已逐漸成為安全領域內的重點關注對象,據安全公司統計,敲詐木馬在所有惡意軟件中所占比例,從2015年的第三位上升到了2016年的首位,形勢十分嚴峻。
據騰訊安全專家介紹,雖然最早的敲詐木馬可以追溯到1989年的“PC Cyborg”,但隨著加密算法的完善,當前的敲詐木馬已與之前大不相同,主要以高強度密碼學算法加密受害者電腦上的文件,并要求其支付贖金以換取文件解密為主,因此在部分場合也被稱為密鎖類木馬。除此之外,近年來在Android手機上也逐漸流行一種鎖屏類敲詐木馬,這類木馬同樣是通過鎖定受害者手機屏幕,使受害者無法正常使用手機,借機進行敲詐。
針對近兩年此類木馬的爆發,騰訊安全專家除了持續跟進,通過分析眾多木馬樣本輸出針對性方案,向用戶提供防御手段,保障上網安全之外,還在近期通過騰訊電腦管家旗下哈勃分析系統,詳細溯源和解密了這類危害極大的木馬。
騰訊電腦管家攔截“敲詐者”示意圖
借助郵件傳播 敲詐者木馬加密破壞文件
在2013年,一個名為“CryptoLocker”木馬被曝入侵了超過25萬臺電腦,成為較早引起人們關注的敲詐木馬之一。而在國內最早產生反響的要數“CTB-Locker”敲詐木馬,該木馬主要通過郵件附件傳播,并在2015年年初,隨一部分郵件流入國內,導致一批受害者被敲詐。此外,還有針對游戲玩家的“TeslaCrypt”木馬,通過在網頁中植入惡意構造的文件,利用Flash播放器、pdf閱讀器等各種漏洞,在受害者不知情的情況下下載并執行惡意payload,加密其電腦上的文件。
不僅如此,目前安全界內已先后發現曾敲詐某組織數萬美金的“Locky”、首款使用簡體中文的“Shujin”、首款加密磁盤引導扇區的“Petya”、簡體中文界面的以國內受害者為目標的“國產C#”以及已更新至第五代的“Cerber”等眾多敲詐木馬。
“CTB-Locker”木馬敲詐界面
騰訊安全專家表示,當前敲詐者木馬主要通過郵件的方式進行傳播,并使用成熟的、高強度的加密算法,對受害者電腦上的文件進行加密操作后,刪除原文件。一般來說,因比特幣使用者具有匿名性,通過比特幣收款地址很難追蹤到對應的擁有者,往往不法分子會要求受害者使用比特幣支付贖金,以掩藏身份。此外,為了進一步防止被追蹤,贖金支付說明指向暗網中的頁面,暗網依托于現有的互聯網而建,只有使用特定的軟件、協議或權限才能訪問,給不法分子提供匿名性,防止通過正常的途徑追蹤到位置、身份等信息。
敲詐者木馬偽造的應聘簡歷郵件
據了解,敲詐者木馬在傳播時一般會使用大量以帶宏的Office文檔為代表的非PE載體,但近一段時間以來,騰訊安全專家發現,包括js、vbs、chm等在內的其它非PE文件也被用于傳播敲詐木馬。這樣的傳播方式可以避免木馬直接放在郵件中時被安全類軟件和網關直接攔截,同時通過不斷變換下載地址對應的木馬文件,也能躲過部分安全類軟件的檢測和查殺。
事實上,敲詐木馬通常會結合使用非對稱加密算法、對稱加密算法,以充分利用二者各自的優點。使用這樣的方法,既可以迅速完成整個電腦大量文件的加密,又避免了對稱加密算法的密鑰進行傳輸交換中存在被記錄和泄漏的風險。經騰訊安全專家分析發現,如果加密算法使用得當的話,被加密的文件是無法在沒有密鑰的情況下恢復的;不過,各類敲詐木馬在具體的實現上,可能遺留了一些漏洞,如果發現了此類漏洞,就有可能可以使用一些較低的代價恢復文件。
移動端敲詐木馬愈演愈烈 偽裝應用致手機鎖屏
與Windows操作系統類似,Android操作系統上的敲詐木馬在近幾年也有愈演愈烈的趨勢。騰訊安全專家表示,一方面,Android系統對應用權限的嚴格限制,使得未root的手機上,惡意應用并沒有太多辦法去讀寫大量文件;另一方面,由于手機的便攜性,使得手機系統的開發者需要更多地考慮手機在未授權的物理訪問場景下也能受到良好的保護,這反過來又使得受害者在面對鎖屏敲詐的時候能夠用上的手段不多。就愛閱讀www.92to.com網友整理上傳,為您提供最全的知識大全,期待您的分享,轉載請注明出處。
歡迎轉載:http://www.kanwencang.com/bangong/20161214/70543.html
文章列表
留言列表
