“你的文件已被鎖定����,在XX時間內將錢打進指定賬號,否則我們將銷毀所有文件”�����,近兩年����,隨著敲詐者木馬的大規模爆發,這樣的字眼并不只存在電影中�����,且已給眾多個人���、企業的電腦�、財產安全造成嚴重損失���。據安全公司統計����,敲詐者木馬在所有惡意軟件中的占比�,從2015年的第三位上升到了2016年的首位,形勢十分嚴峻���。近期���,騰訊安全聯合實驗室聯合騰訊視頻推出的安全推理系列劇第五集《燒腦24小時之隱形的敲詐者》上線,以剖析真實案例的方式將安全廠商與敲詐者木馬作者的對抗過程還原在觀眾面前���。而如何防御敲詐者木馬�����,已成為個人和企業面臨的重要課題�。
Petya敲詐者木馬最新變種來襲 中招網民被迫交贖金恢復數據
據騰訊安全反病毒實驗室專家介紹��,敲詐者木馬簡單來說就是木馬界的“綁匪”�,通過加密受害者電腦上的文件,索取贖金�。而最早的敲詐者木馬可以追溯到1989年的“PC Cyborg”,但隨著加密算法的完善����,當前的敲詐者木馬已與之前大相徑庭���,主要以高強度密碼學算法加密受害者電腦上的文件,因此在部分場合也被稱為密鎖類木馬�。
2013年�,一個名為“CryptoLocker”木馬被曝入侵了超過25萬臺電腦���,成為較早引起人們關注的敲詐者木馬之一�����。而在國內最早產生反響的要數“CTB-Locker”敲詐者木馬���,該木馬主要通過郵件附件傳播,2015年隨一部分郵件流入國內���,導致一批受害者被敲詐����,在國際上甚至引發美國FBI關注�����。不僅如此����,目前安全界內已先后發現曾敲詐某組織數萬美金的“Locky”、首款使用簡體中文的“Shujin”、首款加密磁盤引導扇區的“Petya”以及已更新至第五代的“Cerber”等超過180種敲詐者木馬��。
(CTB-Locker木馬敲詐界面)
而隨著智能手機的全民化普及�����,針對Android操作系統的敲詐者木馬在近幾年也有愈演愈烈的趨勢�����。與加密用戶電腦文件不同的是��,手機側的敲詐者木馬主要通過鎖定受害者手機屏幕����,使受害者無法正常使用手機���,借機進行敲詐����。
更為嚴重的是�����,不法分子還會對敲詐者木馬進行“版本升級”���,生成變種�。12月初����,騰訊安全反病毒實驗室就捕獲到修改磁盤引導扇區的Petya敲詐者木馬最新變種。事實上����,早在今年4月份,該敲詐者木馬就曾大規模爆發�,致使不少網民中招并被迫交贖金恢復數據。而針對Petya敲詐者木馬此次 “變裝”重來��,騰訊電腦管家已可全面識別查殺��。
算法加密 敲詐者木馬破解成難題
事實上�����,敲詐者木馬近兩年能持續地爆發�����,很大程度上與加密算法的日益完善有關。一個成熟的加密算法����,可以做到在算法完全公開的前提下����,僅需要安全保存密鑰,便可以使加密后的密文無法被惡意破解�����,這就是“柯克霍夫原則(Kerckhoffs's principle )”��。而不法分子也利用了這個特性�,使得我們雖然知道了木馬的算法,但由于不知道作者使用的密鑰�����,也就沒有辦法恢復被惡意加密的文件�����。
不法分子用成熟的��、高強度的加密算法,對受害者電腦上的文件進行加密操作后���,刪除原文件。當圖片���、文檔等資料文件都變得不可用,就有可能給受害者帶來不可估量的損失�。最為致命的是�����,如果不法分子加密算法使用得當的話�����,被加密的文件是無法在沒有密鑰的情況下恢復的�。但各類敲詐者木馬在具體的運作中��,也可能遺留了一些漏洞��,如果發現了此類漏洞�����,就有可能使用一些較低的代價恢復文件����。
正如《燒腦24小時之隱形的敲詐者》劇集中表現的那樣,騰訊安全反病毒實驗室負責人馬勁松發現勒索某貴金屬公司的木馬漏洞���,并利用該漏洞助力該公司化解此次危機�����。而普通的企業一旦不慎中招敲詐者木馬����,如果沒有安全專家的介入����,只能任憑不法分子擺布。
事前構筑反“敲詐”防御 成行業共識
當前���,較為復雜的敲詐者木馬一旦感染網民電腦�,很難通過其他技術手段恢復系統文件���。在行業看來�����,敲詐者木馬的治理�����,事前預防遠比事后補救來得重要��。而世界上安全廠商近兩年來也在加大對敲詐者木馬及其變種的攔截���、查殺力度���。Fortinet��、英特爾、Palo Alto Networks等世界安全廠商聯合成立網絡威脅聯盟(CTA)���,采用共享威脅情報的方式追蹤和分析惡意軟件����。
而國內的安全廠商也緊鑼密鼓地構建安全防御��!稛X24小時之隱形的敲詐者》中扮演“拯救者”的騰訊安全反病毒實驗室���,一直以來致力于反木馬攔截和病毒修復�����,構建云主防實時處理機制和運營體系���,每天為超100萬個用戶解除安全威脅����,單日攔截木馬次數高達2000萬次。除此之外�,騰訊安全反病毒實驗室自主研發的中國首個自主研發反病毒引擎TAV���,成為騰訊電腦管家和騰訊手機管家連續獲得AV-C���、AV-Test、VB100等國際權威評測中認可的重要依托�。
騰訊安全反病毒實驗室負責人馬勁松表示,敲詐者木馬的作案方式相較于電信網絡詐騙��,在時間���、人力以及手段上大大縮減成本����。不法分子只需通過誘導網民點擊感染了敲詐者木馬的鏈接、文件�����、郵件即可完成作案����。網民需要養成良好的上網習慣����,不隨意打開不明來源的附件或鏈接���,也不要隨意下載運行小網站和網盤上分享的電腦軟件或手機應用��。如果遇到安全性不確定的文件���,也可以上傳到哈勃分析系統(https://habo.qq.com/)檢查是否安全。日常生活中����,建議使用騰訊電腦管家、騰訊手機管家等安全類產品���,實時保護電腦和手機的安全。
京公網安備 11010502041587號