2016年九大敲诈者病毒攻击事件出炉,国外流行的病毒开始向国内疯狂蔓延
BAT似乎从来没有像今年这样重视网络安全,以安全起家的360自然也不甘落后。
今日,360互联网安全中心发布了《2016敲诈者病毒威胁形式分析报告》,报告显示作为新型网络犯罪生力军的敲诈者病毒已经泛滥成灾。今年以来,全国至少有497万多台电脑遭遇其攻击,下半年达到高峰,360安全产品单日拦截到的攻击次数超过2万次。
所谓敲诈者病毒,就是一类特殊形态的木马,它们通过给用户电脑或手机中的系统、屏幕或文件加密的方式,向目标用户进行敲诈勒索。
如果要追溯敲诈者病毒的历史,至少有十多之久,之前的敲诈方式是加密或隐藏文件后要求转账或者购买指定商品,传播量和影响力并不高。
如今,流行的比特币敲诈者病毒,在2014年时已经开始在国外流行了,到2015 年开始大量流入国内。在国内大量传播的主流敲诈者家族有TeslaCrypt、Locky、Cerber、CryptXXX、XTBL等多个家族,每个家族在传播对抗过程中又产生多个分支版本。目前捕获的敲诈者病毒和敲诈者病毒变种超过200个版本,传播量和影响力都非常大。
然而,就在今年敲诈者在全球的攻击量疯长了3倍,平均每40秒就有一家企业被感染;个人端的情况更糟,平均每10秒就有一个无辜者中招。庞大的病毒攻击量也带来了惊人的利润收入,2015年仅一个病毒家族CryptoWall攫取的赎金就高达3.25亿美元,如今全球肆虐着超过75种这样的病毒家族,该病毒涉及的黑色产业已经成长为一个数十亿美元的市场。
今年全球范围内,出现的敲诈者病毒攻击事件更是数不胜数,以下九大案例足以说明:
1、印度三家银行被敲诈,面临百万美元损失
2016年1月,三家印度银行和一家印度制药公司的计算机系统感染了敲诈者病毒,每台被感染的电脑索要1比特币赎金。攻击者渗透到计算机网络,然后利用未保护的远程桌面端口感染网络中的其它计算机。因为被感染的计算机很多,被勒索的印度公司面临数百万美元的损失。
2、好莱坞长老教会遭敲诈,支付40比特币赎金
2016年2月5日,美国好莱坞长老教会纪念医学中心的电脑系统在遭受为期一星期的敲诈者病毒攻击后,该中心宣布决定支付给黑客40比特币(约17000美元)来修复这一问题。随后加拿大渥太华的一家医院和安大略省的一家医院也被敲诈者病毒攻击。
3、美国多所学校遭敲诈,支付20比特币赎金
2016年2月,美国南卡罗来纳州霍里县多所学校的电脑和服务器遭遇敲诈者病毒攻击,黑客控制了当地学校系统的网络和服务器,最终不得不支付价值8500美元的20比特币给匿名黑客,以便让受到勒索影响的电脑、服务器和网络恢复正常。
4、带毒邮件传播Locky,某央企一周三次中招
2016年2月中旬,一种名为“Locky”新型病毒开始伪装成电子邮件附件的形式,在全世界各地迅速传播,并很快成为最流行敲诈者病毒之一。一旦电脑用户点击携带病毒的附件,则计算机上的办公文档、照片、视频等文件就会被恶意加密。用户要想重新解开数据的密码,就必须向这款病毒的发布者缴纳一定数量的赎金。其中,国内某央企一周内连续三次中招,给该机构造成不可逆的严重损失。
5、美国国会为阻敲诈者病毒封杀谷歌、雅虎部分服务
2016年5月,据外媒报道,美国国会众议院议员开始受到敲诈者病毒的攻击,为了阻止该病毒的扩散,美国国会先后封杀了Google的Appspot.com域名和雅虎电邮服务Yahoo Mail,并警告议员注意网络安全。
6、外国机构研究显示35%的大型企业过去一年曾被敲诈
2016年8月,Malwarebytes公布的Osterman全球研究报告显示,125家接受调查的加拿大企业中,44家在过去1年内公司网站被敲诈者病毒攻击过,不少企业甚至因此被迫停业。为找回公司文件和恢复被病毒感染的IT系统,33家企业被迫向黑客支付赎金,金额均在在1000到5万加元之间。
7、香港多家知名机构遭敲诈,被勒索赎金数万元
2016年10月,中国香港地区电脑保安事故协调中心共接到277宗有关敲诈者病毒的报告,较去年同期激增5.6倍,受害者多为中小企业及非盈利机构。敲诈者病毒一般隐身于邮件附件内,伪装成账单、发票等诱使收件人点击,执行后加密所有本地文件及部分共享服务器中的文件。香港海事处电脑系统中招后遭遇黑客数万元比特币的赎金勒索,四大会计师事务所之一的德勤也成为受害者。
8、Locky病毒借Facebook等知名网站攻击用户
2016年11月,敲诈者病毒Locky攻击国外多款主流社交网站,Facebook、LinkedIn等被植入含有恶意程序的图片,用户浏览时自动下载,点击查看时敲诈者病毒便运行起来。国外多家媒体纷纷对此发布预警,提醒网民慎重点击网络及本地中的可疑图片。
9、旧金山公交系统被敲诈,市民免费乘坐公交车
2016年12月,旧金山的公交售票系统也因敲诈者入侵而大面积瘫痪,市民得以免费乘坐公交车。负责当地公交运营的SF Muni公司电脑上出现了“你已被黑”的警告信息,想要恢复系统运行要缴纳73万美元的赎金。
值得注意的是,过去这个病毒主要在国外流行,如今开始向国内疯狂蔓延。360互联网安全中心大数据研究发现,今年全国至少有497万多台电脑遭遇了敲诈者病毒的攻击,下半年达到高峰,单日拦截到的攻击次数超2万次,被感染者已经遍布全国所有省份,广东被感染电脑数量最高,占全国被感染总数的13.2%,其次是江苏9.4%,山东5.8%,北京“受灾”情况较低,但也有约16.9万台电脑遭受攻击。
大规模爆发的敲诈者病毒向企业、医院、银行、政府机构、企事业单位及律师、作家等群体进行攻击,窃取高价值文件。受害企业或个人被要求支付1—3个比特币(约合人民币5000—15000元)的赎金后才予以解密,否则将销毁文件,大部分受害者损失超过万元。
由于赎回文件需要国外购买比特币、匿名洋葱浏览器等国内网民不常使用的技术,再加上敲诈者反复无常,交了赎金也可能“撕票”。据360发布的报告显示,仅16.8%的受害者最终成功恢复了数据,绝大多数(83.2%)受害者将永远失去包括办公文档、照片视频、邮件聊天记录等重要数据。
敲诈者病毒为什么可怕?
“敲诈者病毒的技术模式和盈利模式都与以往任何一个传统病毒不一样,特别易于用于黑产”,360首席反诈骗专家裴智勇博士如此表示。
以往的病毒,拼的是技术,谁用的技术新、漏洞危害大,传播得就广,病毒制作者的获利也大。而敲诈者病毒是将有几十年历史的非对称加密技术、十几年历史的匿名网络技术洋葱头(也叫Tor),七八年历史的比特币技术等进行排列组合,形成新的技术模式。这些技术难度低,很容易被复制学习。
在盈利模式上,此前的病毒想要获得大笔收益,必须要感染大量终端,并在这些终端上持久地存活下来。但敲诈者只要瞄准几个重要目标,不需要像以往病毒一样想办法修改用户的系统以便于长期在电脑里存活,不需要和远端建立连接。
只要加密成功运行一次,就能在每个感染者身上赚到上万元赎金,就算受害者回过神来使用杀毒软件删除病毒,仍然得乖乖交钱才能解密文件。这笔钱是以往的病毒感染千余个终端才能赚到的。
不仅如此,敲诈者还在传播模式上不断“创新”。前两天,国外发现了名为“Popcorn Time”的新型敲诈者病毒,受害者想解密除了支付赎金还要“为虎作伥”,需要向其他人发送恶意链接,再感染至少两名新的受害者。这种策略就像“传销”一样,将越来越多的无辜者拉入病毒产业黑网。
敲诈者病毒,可防不可“治”
根据裴智勇介绍,敲诈者病毒一般为不对称加密方式,其核心特点是‘可防不可治。因为大部分中招的电脑都是在“裸奔”的情况下随意打开可疑网站、陌生邮件后造成的,对付敲诈者病毒最有效的手段就是做好事前防护。
事实上,为了对付敲诈者病毒的泛滥,各国安全厂商也紧锣密鼓地进行部署。安全厂商飞塔、英特尔、Palo Alto Networks和赛门铁克,成立网络威胁联盟(CTA),采用共享威胁情报的方式追踪和分析恶意软件。360公司也顺势推出敲诈者先赔服务,使用360安全卫士的个人用户开启此项服务,在没有看到360安全产品的任何风险提示的情况下感染敲诈者病毒,可以通过360反勒索服务申请赔付,360公司将替受害者支付最高3个比特币(约13000元)的赎金。
但是,一个可怕的事实上,造成敲诈者病毒“可防不可治”的主要原因是加密算法在数学上的不可逆。实际上,敲诈者病毒通常来说也不会使用什么特殊的加密算法,而是使用国际通行各种标准加密算法对电脑文件进行加密。而这些标准的加密算法已经被公认为是安全有效的,只有拿到密钥才能够进行解密,其算法依据是一些数学难题,密钥在数学上是无法破解的。
这导致,一旦电脑感染了敲诈者病毒(不包括锁屏木马或采用对称加密技术等简单的敲诈者病毒),期望通过其他技术手段恢复系统文件的愿望通常来说都是无法实现的。
所以目前看来,对于用户来说,只能自觉养成良好的安全习惯来减少被攻击的概率,比如电脑应当安装具有云防护和主动防御功能的安全软件,对安全软件提示的各类风险行为不要轻易放行。而重要文档数据应经常做备份,一旦文件损坏或丢失,也可以及时找回。