「你已經感染了我的私人木馬,我知道你的所有密碼和隱私信息(包括隱私視頻),唯一讓我停下來的方式就是三天內向我支付價值900美元的比特幣。」這是新型蠕蟲病毒Burimi郵件勒索時撂下的「狠話」。普通網友如果收到這樣的郵件,打算支付贖金還是撥打110?其實,騰訊電腦管家完全可以一招解除欺詐勒索!
近日,騰訊安全御見威脅情報中心捕獲到一例挖礦蠕蟲病毒攻擊事件,不法黑客通過VNC爆破伺服器弱口令,得手後下載門羅幣挖礦木馬,同時在被感染的電腦上分別驗證超過3300萬個郵箱帳號密碼,若驗證成功就向該郵箱發送欺詐勒索郵件,勒索內容正如前面所提,採用挖礦+勒索的「雙保險」方式,來實現非法收益最大化。
由於主模塊編寫者為「Burimi」,且該病毒具有內網傳播能力,安全技術專家將其命名為Burimi挖礦蠕蟲。騰訊安全技術專家提醒廣大企業用戶務必提高安全意識,建議儘快修改VNC遠程管理工具管理員密碼,同時減少使用弱口令配置遠程管理工具,推薦企業用戶部署騰訊御點終端安全管理系統,避免給企業造成難以挽回的經濟損失。目前,騰訊御點終端安全管理系統和騰訊電腦管家已全面攔截並查殺該病毒。
(圖:騰訊御點終端安全管理系統)
作為一款優秀的遠程控制管理工具,VNC主要應用於RFB協議進行屏幕畫面分享及遠程操作,具備高效實用的遠程控制能力。但如果使用者為圖方便僅設置了簡單密碼,就會給攻擊者提供了可乘之機。
據騰訊安全技術專家介紹,該病毒首先嘗試利用內容密碼列表爆破VNC伺服器,一旦得手後會在目標VNC伺服器下載挖礦木馬程序,若被攻擊的電腦沒有高價值的普通電腦,則會植入門羅幣挖礦木馬,淪為其礦工電腦。經分析,目前Burimi病毒已支持BTC、XMR等數字貨幣,進一步展示其超強的斂財能力。
(圖:病毒作者接收BTC錢包地址)
此外,該病毒還會根據已洩露的用戶密碼來「適配」郵箱帳號密碼。一旦驗證成功,則會向被感染用戶郵箱發送欺詐勒索郵件。截至目前,病毒作者掌握的郵箱帳戶數量已超3300萬,甚至包括Yahoo、Gmail、AOL、MSN、hotmail等知名郵箱服務均受不同程度影響。
值得一提的是,在騰訊安全官網發布詳細技術分析的第二天,該病毒用於提供病毒下載和下發勒索郵件群發任務的兩臺伺服器均已關閉。這意味著此次傳播的病毒都已失去攻擊能力,若想後續持續作惡,攻擊者必須更新伺服器,升級所有已傳播的病毒版本至最新版,才能繼續進行勒索郵件發送任務。
(圖:騰訊安圖高級威脅追溯系統溯源Burimi病毒家族圖譜)
伴隨著網際網路技術及數字貨幣的高速發展,攻擊技術不斷更新升級,挖礦與勒索病毒一體化、蠕蟲化攻擊趨勢愈發明顯,由此導致的網際網路安全形勢也更為嚴峻。騰訊安全反病毒實驗室負責人馬勁松提醒廣大企業網管務必高度重視安全防範工作,建議使用安全的密碼策略和高強度密碼,防止類似爆破攻擊再次發生;關閉不必要的網絡文件共享和U盤自動播放等功能,將中毒風險降至最低;同時推薦全網安裝騰訊御點終端安全管理系統,終端殺毒和修復漏洞統一管控,以及策略管控等全方位的安全管理功能,可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。
此外,對於已收到勒索郵件的用戶,馬勁松提醒無須恐慌,建議儘快修改個人關鍵服務密碼,並啟用密碼的雙重驗證機制,可大幅降低帳號遭入侵的風險。