BAT似乎從來沒有像今年這樣重視網絡安全,以安全起家的360自然也不甘落後。
今日,360網際網路安全中心發布了《2016敲詐者病毒威脅形式分析報告》,報告顯示作為新型網絡犯罪生力軍的敲詐者病毒已經泛濫成災。今年以來,全國至少有497萬多臺電腦遭遇其攻擊,下半年達到高峰,360安全產品單日攔截到的攻擊次數超過2萬次。
所謂敲詐者病毒,就是一類特殊形態的木馬,它們通過給用戶電腦或手機中的系統、屏幕或文件加密的方式,向目標用戶進行敲詐勒索。
如果要追溯敲詐者病毒的歷史,至少有十多之久,之前的敲詐方式是加密或隱藏文件後要求轉帳或者購買指定商品,傳播量和影響力並不高。
如今,流行的比特幣敲詐者病毒,在2014年時已經開始在國外流行了,到2015 年開始大量流入國內。在國內大量傳播的主流敲詐者家族有TeslaCrypt、Locky、Cerber、CryptXXX、XTBL等多個家族,每個家族在傳播對抗過程中又產生多個分支版本。目前捕獲的敲詐者病毒和敲詐者病毒變種超過200個版本,傳播量和影響力都非常大。
然而,就在今年敲詐者在全球的攻擊量瘋長了3倍,平均每40秒就有一家企業被感染;個人端的情況更糟,平均每10秒就有一個無辜者中招。龐大的病毒攻擊量也帶來了驚人的利潤收入,2015年僅一個病毒家族CryptoWall攫取的贖金就高達3.25億美元,如今全球肆虐著超過75種這樣的病毒家族,該病毒涉及的黑色產業已經成長為一個數十億美元的市場。
2016年九大敲詐者病毒攻擊事件
今年全球範圍內,出現的敲詐者病毒攻擊事件更是數不勝數,以下九大案例足以說明:
1、印度三家銀行被敲詐,面臨百萬美元損失
2016年1月,三家印度銀行和一家印度製藥公司的計算機系統感染了敲詐者病毒,每臺被感染的電腦索要1比特幣贖金。攻擊者滲透到計算機網絡,然後利用未保護的遠程桌面埠感染網絡中的其它計算機。因為被感染的計算機很多,被勒索的印度公司面臨數百萬美元的損失。
2、好萊塢長老教會遭敲詐,支付40比特幣贖金
2016年2月5日,美國好萊塢長老教會紀念醫學中心的電腦系統在遭受為期一星期的敲詐者病毒攻擊後,該中心宣布決定支付給黑客40比特幣(約17000美元)來修復這一問題。隨後加拿大渥太華的一家醫院和安大略省的一家醫院也被敲詐者病毒攻擊。
3、美國多所學校遭敲詐,支付20比特幣贖金
2016年2月,美國南卡羅來納州霍裡縣多所學校的電腦和伺服器遭遇敲詐者病毒攻擊,黑客控制了當地學校系統的網絡和伺服器,最終不得不支付價值8500美元的20比特幣給匿名黑客,以便讓受到勒索影響的電腦、伺服器和網絡恢復正常。
4、帶毒郵件傳播Locky,某央企一周三次中招
2016年2月中旬,一種名為「Locky」新型病毒開始偽裝成電子郵件附件的形式,在全世界各地迅速傳播,並很快成為最流行敲詐者病毒之一。一旦電腦用戶點擊攜帶病毒的附件,則計算機上的辦公文檔、照片、視頻等文件就會被惡意加密。用戶要想重新解開數據的密碼,就必須向這款病毒的發布者繳納一定數量的贖金。其中,國內某央企一周內連續三次中招,給該機構造成不可逆的嚴重損失。
5、美國國會為阻敲詐者病毒封殺谷歌、雅虎部分服務
2016年5月,據外媒報導,美國國會眾議院議員開始受到敲詐者病毒的攻擊,為了阻止該病毒的擴散,美國國會先後封殺了Google的Appspot.com域名和雅虎電郵服務Yahoo Mail,並警告議員注意網絡安全。
6、外國機構研究顯示35%的大型企業過去一年曾被敲詐
2016年8月,Malwarebytes公布的Osterman全球研究報告顯示,125家接受調查的加拿大企業中,44家在過去1年內公司網站被敲詐者病毒攻擊過,不少企業甚至因此被迫停業。為找回公司文件和恢復被病毒感染的IT系統,33家企業被迫向黑客支付贖金,金額均在在1000到5萬加元之間。
7、香港多家知名機構遭敲詐,被勒索贖金數萬元
2016年10月,中國香港地區電腦保安事故協調中心共接到277宗有關敲詐者病毒的報告,較去年同期激增5.6倍,受害者多為中小企業及非盈利機構。敲詐者病毒一般隱身於郵件附件內,偽裝成帳單、發票等誘使收件人點擊,執行後加密所有本地文件及部分共享伺服器中的文件。香港海事處電腦系統中招後遭遇黑客數萬元比特幣的贖金勒索,四大會計師事務所之一的德勤也成為受害者。
8、Locky病毒借Facebook等知名網站攻擊用戶
2016年11月,敲詐者病毒Locky攻擊國外多款主流社交網站,Facebook、LinkedIn等被植入含有惡意程序的圖片,用戶瀏覽時自動下載,點擊查看時敲詐者病毒便運行起來。國外多家媒體紛紛對此發布預警,提醒網民慎重點擊網絡及本地中的可疑圖片。
9、舊金山公交系統被敲詐,市民免費乘坐公交車
2016年12月,舊金山的公交售票系統也因敲詐者入侵而大面積癱瘓,市民得以免費乘坐公交車。負責當地公交運營的SF Muni公司電腦上出現了「你已被黑」的警告信息,想要恢復系統運行要繳納73萬美元的贖金。
值得注意的是,過去這個病毒主要在國外流行,如今開始向國內瘋狂蔓延。360網際網路安全中心大數據研究發現,今年全國至少有497萬多臺電腦遭遇了敲詐者病毒的攻擊,下半年達到高峰,單日攔截到的攻擊次數超2萬次,被感染者已經遍布全國所有省份,廣東被感染電腦數量最高,佔全國被感染總數的13.2%,其次是江蘇9.4%,山東5.8%,北京「受災」情況較低,但也有約16.9萬臺電腦遭受攻擊。
大規模爆發的敲詐者病毒向企業、醫院、銀行、政府機構、企事業單位及律師、作家等群體進行攻擊,竊取高價值文件。受害企業或個人被要求支付1—3個比特幣(約合人民幣5000—15000元)的贖金後才予以解密,否則將銷毀文件,大部分受害者損失超過萬元。
由於贖回文件需要國外購買比特幣、匿名洋蔥瀏覽器等國內網民不常使用的技術,再加上敲詐者反覆無常,交了贖金也可能「撕票」。據360發布的報告顯示,僅16.8%的受害者最終成功恢復了數據,絕大多數(83.2%)受害者將永遠失去包括辦公文檔、照片視頻、郵件聊天記錄等重要數據。
敲詐者病毒為什麼可怕?
「敲詐者病毒的技術模式和盈利模式都與以往任何一個傳統病毒不一樣,特別易於用於黑產」,360首席反詐騙專家裴智勇博士如此表示。
以往的病毒,拼的是技術,誰用的技術新、漏洞危害大,傳播得就廣,病毒製作者的獲利也大。而敲詐者病毒是將有幾十年歷史的非對稱加密技術、十幾年歷史的匿名網絡技術洋蔥頭(也叫Tor),七八年歷史的比特幣技術等進行排列組合,形成新的技術模式。這些技術難度低,很容易被複製學習。
在盈利模式上,此前的病毒想要獲得大筆收益,必須要感染大量終端,並在這些終端上持久地存活下來。但敲詐者只要瞄準幾個重要目標,不需要像以往病毒一樣想辦法修改用戶的系統以便於長期在電腦裡存活,不需要和遠端建立連接。
只要加密成功運行一次,就能在每個感染者身上賺到上萬元贖金,就算受害者回過神來使用殺毒軟體刪除病毒,仍然得乖乖交錢才能解密文件。這筆錢是以往的病毒感染千餘個終端才能賺到的。
不僅如此,敲詐者還在傳播模式上不斷「創新」。前兩天,國外發現了名為「Popcorn Time」的新型敲詐者病毒,受害者想解密除了支付贖金還要「為虎作倀」,需要向其他人發送惡意連結,再感染至少兩名新的受害者。這種策略就像「傳銷」一樣,將越來越多的無辜者拉入病毒產業黑網。
敲詐者病毒,可防不可「治」
根據裴智勇介紹,敲詐者病毒一般為不對稱加密方式,其核心特點是『可防不可治。因為大部分中招的電腦都是在「裸奔」的情況下隨意打開可疑網站、陌生郵件後造成的,對付敲詐者病毒最有效的手段就是做好事前防護。
事實上,為了對付敲詐者病毒的泛濫,各國安全廠商也緊鑼密鼓地進行部署。安全廠商飛塔、英特爾、Palo Alto Networks和賽門鐵克,成立網絡威脅聯盟(CTA),採用共享威脅情報的方式追蹤和分析惡意軟體。360公司也順勢推出敲詐者先賠服務,在用戶層面,使用360安全衛士的個人用戶開啟此項服務,在沒有看到360安全產品的任何風險提示的情況下感染敲詐者病毒,可以通過360反勒索服務申請賠付,360公司將替受害者支付最高3個比特幣(約13000元)的贖金。
與此同時,360還針對企業層面提供了安全維護的保障措施,只要是安裝了360天擎的企業用戶,如果用戶在開啟了敲詐先賠功能後仍然感染了敲詐者病毒,360企業安全集團負責賠付贖金,提供每個企業最高一百萬元的先賠保障。
但是,企業加碼歸加碼,也無法忽略一個可怕的事實,那就是造成敲詐者病毒「可防不可治」的主要原因是加密算法在數學上的不可逆。因為,敲詐者病毒通常來說也不會使用什麼特殊的加密算法,而是使用國際通行各種標準加密算法對電腦文件進行加密。而這些標準的加密算法已經被公認為是安全有效的,只有拿到密鑰才能夠進行解密,其算法依據是一些數學難題,密鑰在數學上是無法破解的。
這導致,一旦電腦感染了敲詐者病毒(不包括鎖屏木馬或採用對稱加密技術等簡單的敲詐者病毒),期望通過其他技術手段恢復系統文件的願望通常來說都是無法實現的。
所以目前看來,對於用戶來說,只能自覺養成良好的安全習慣來減少被攻擊的概率,比如電腦應當安裝具有雲防護和主動防禦功能的安全軟體,對安全軟體提示的各類風險行為不要輕易放行。而重要文檔數據應經常做備份,一旦文件損壞或丟失,也可以及時找回。
自 36kr