欢迎来到崇川新闻网!

设为首页 加入收藏
溯源解密2016恶意软件之首“敲诈木马” 如何防御更有效?
发稿时间:2016-12-02 11:23 来源:未知 作者:崇川新闻网

近年来,因沾染敲诈类木马而被迫支付赎金的事时常产生,更有甚者损失高达数万美元。因此,敲诈木马已逐渐成为保险范畴内的重点关注对象,据平安公司统计,敲诈木马在所有歹意软件中所占比例,从2015年的第三位回升到了2016年的首位,形势非常严峻。

据腾讯安全专家介绍,固然最早的敲诈木马可以追溯到1989年的“PC Cyborg”,但随着加密算法的完善,当前的敲诈木马已与之前大不相同,主要以高强度密码学算法加密受害者电脑上的文件,并要求其支付赎金以换取文件解密为主,因此在部分场所也被称为密锁类木马。除此之外,近年来在Android手机上也逐渐风行一种锁屏类敲诈木马,这类木马同样是通过锁定受害者手机屏幕,使受害者无法正常使用手机,借机进行敲诈。

针对近两年此类木马的爆发,腾讯安全专家除了连续跟进,通过火析众多木马样本输出针对性计划,向用户提供防御手段,保障上网安全之外,还在近期通过腾讯电脑管家旗下哈勃分析系统,详细溯源和解密了这类危害极大的木马。 

(腾讯电脑管家拦阻“敲诈者”示意图)

借助邮件传播 敲诈者木马加密损坏文件

在2013年,一个名为“CryptoLocker”木马被曝入侵了超过25万台电脑,成为较早引起人们关注的敲诈木马之一。而在国内最早发生反响的要数“CTB-Locker”敲诈木马,该木马主要通过邮件附件传播,并在2015年年初,随一部分邮件流入国内,导致一批受害者被敲诈。此外,还有针对游戏玩家的“TeslaCrypt”木马,通过在网页中植入恶意结构的文件,利用Flash播放器、pdf阅读器等各种漏洞,在受害者不知情的情况下下载并执行恶意payload,加密其电脑上的文件。

不仅如斯,目前安全界内已先后发现曾敲诈某组织数万美金的“Locky”、首款使用简体中文的“Shujin”、首款加密磁盘引导扇区的“Petya”、简体中文界面的以国内受害者为目标的“国产C#”以及已更新至第五代的“Cerber”等众多敲诈木马。 

(“CTB-Locker”木马敲诈界面)

腾讯安全专家表现,当前敲诈者木马主要通过邮件的方式进行流传,并应用成熟的、高强度的加密算法,对受害者电脑上的文件进行加密操作后,删除原文件。一般来说,因比特币使用者拥有匿名性,通过比特币收款地址很难追踪到对应的拥有者,往往不法分子会要求受害者使用比特币支付赎金,以掩安身份。此外,为了进一步防止被追踪,赎金支付解释指向暗网中的页面,暗网依托于现有的互联网而建,只有使用特定的软件、协议或权限才干拜访,给不法分子供给匿名性,预防通过正常的门路追踪到位置、身份等信息。


(敲诈者木马伪造的应聘简历邮件)

据懂得,敲诈者木马在传播时一般会使用大量以带宏的Office文档为代表的非PE载体,但近一段时间以来,腾讯安全专家发现,包含js、vbs、chm等在内的其它非PE文件也被用于传播敲诈木马。这样的传播方式可以避免木马直接放在邮件中时被安全类软件和网关直接拦截,同时通过不断变换下载地址对应的木马文件,也能躲过部分安全类软件的检测和查杀。

事实上,敲诈木马通常会联合使用非对称加密算法、对称加密算法,以充足利用二者各自的优点。使用这样的办法,既能够迅速完成整个电脑大批文件的加密,又防止了对称加密算法的密钥进行传输交流中存在被记载和泄漏的危险。经腾讯安全专家分析发现,如果加密算法使用得当的话,被加密的文件是无法在没有密钥的情形下恢复的,私彩平台;不外,各类敲诈木马在详细的实现上,可能遗留了一些破绽,假如发现了此类漏洞,就有可能可以使用一些较低的代价恢复文件。

移动端敲诈木马愈演愈烈 伪装应用致手机锁屏

与Windows操作系统相似,Android操作系统上的敲诈木马在近几年也有愈演愈烈的趋势。腾讯安全专家表示,一方面,Android系统对应用权限的严格限制,使得未root的手机上,恶意应用并没有太多方法去读写大量文件;另一方面,由于手机的便携性,使到手机系统的开发者需要更多地斟酌手机在未受权的物理访问场景下也能受到良好的保护,这反过来又使得受害者在面对锁屏敲诈的时候可以用上的手段不多。

当前Android敲诈木马的传播手腕主要分为置顶对话框锁屏敲诈木马、修改锁屏密码敲诈木马两类木马,大部分是伪装成各类其它应用,例如工具类应用、刷流量等非法应用、色情类应用等,在小型下载网站、网盘、社交网络中进行传布,诱使受害者下载装置。

 

(置顶对话框锁屏讹诈木马界面示例)

置顶对话框锁屏敲诈木马会弹出自定义的对话框窗口,将该窗口重复强迫置顶,使受害者无法正常使用手机的其它功能,同时在置顶对话框中提出敲诈需求和接洽方式。对于这类敲诈木马,如果手机已经开启了USB调试功能并给电脑授予了调试权限,则可以在电脑上使用adb对手机进行操作,消除木马相关过程,除此之外,也可以尝试重启手机并进入安全模式,在避免木马启动的同时卸载对应的恶意应用。而修改锁屏密码敲诈木马则利用了Android系统装备治理器模块的高等权限,可以直接修改系统锁屏密码,然后使用提示框显示敲诈内容。

“敲诈者”瞄上热门影视作品资源 安全专家开出防范药方

除了通过邮件、手机应用等方式传播,近日,腾讯电脑管家发现有敲诈者病毒伪装热点电影《神奇动物在哪里》资源进行传播。据腾讯电脑管家剖析发现,有用户通过搜寻要害词“神奇动物在哪里下载”,在某网站发现相关种子资源。用户下载完成后却无法运行种子文件夹中的“AVI - Windows”标准视频文件,转而尝试使用文件夹中提供的解码工具“Ultra XVid Codec Pack.exe”程序安装解码器播放视频。实际上,“Ultra XVid Codec Pack.exe”为敲诈者病毒,用户一旦点击运行,电脑文件会被加密,并被提示需要到指定网站购置解密软件。 

(文件被加密后,电脑弹出敲诈提示)

腾讯电脑管家安全专家表示,敲诈木马这两年的暴发,手段层出不穷,使用户难以防备,这与密码学、暗网、比特币等多种技巧的发展都是密不可分的。对于当前的敲诈木马,事先的预防远比事后的补救来得重要,用户需要养成良好的安全意识,不随意翻开不明起源的附件或链接,也不要随便下载运行小网站和网盘上分享的电脑软件或手机应用。日常生活中,提议使用腾讯电脑管家、腾讯手机管家等安全类产品,实时维护电脑和手机的安全。遇到不肯定的文件,也可以上传到哈勃分析系统(https://habo.qq.com/)检讨是否安全,可有效避免遭遇此类木马。

上一篇:亲加直播三大功能更新,助力企业多场景直播
下一篇:李楠:魅蓝X定位是年轻人的旗舰机 明年产品会更聚焦