張濤

近期敲詐者病毒異?；钴S，目前尚且沒有比較有效的解密軟件產(chǎn)生，如何做好技術(shù)防范，至關(guān)重要。

【關(guān)鍵詞】敲詐者病毒 技術(shù)防范

1 引言

近期敲詐者木馬病毒異?；钴S，據(jù)諸多用戶反映，計(jì)算機(jī)中文檔、圖片均無(wú)法打開，文件擴(kuò)展名全部被篡改為.crypt，并且需要給指定賬戶支付一定費(fèi)用才能獲取密鑰解鎖。出現(xiàn)類似情況的用戶是中了敲詐者病毒，是敲詐者病毒Locky的新變種，主要通過(guò)郵件傳播，或者嵌入在免費(fèi)的軟件中，用戶在不知情的情況下下載運(yùn)行后就會(huì)誘發(fā)病毒，該病毒會(huì)對(duì)宿主計(jì)算機(jī)包括但不限于以.wma、.avi、.rar、.DayZProfile、.doc、.odb、.forge、.cas、.map、.mcgame、.rgss3a、.big、.wotreplay、.xxx、.m3u、.png、.jpeg、.txt、.crt、.x3f、.ai、.eps、.pdf、.lvl、.sis、.gdb為后綴的文件進(jìn)行加密，并能通過(guò)文件共享快速傳播至公用終端，借此敲詐受害者支付贖金，才能恢復(fù)被病毒加密的文件。由于該病毒采用不對(duì)稱加密的方式對(duì)系統(tǒng)中的特定文件進(jìn)行高強(qiáng)度加密，使受害者完全不可能在不支付贖金的情況下自行解密被加密的文件。但是即便用戶支付了數(shù)據(jù)，也不一定能夠獲得密鑰解鎖被加密文件。

2 敲詐者病毒的演進(jìn)

最早發(fā)現(xiàn)的敲詐者病毒以惡意隱藏宿主計(jì)算機(jī)中的用戶文件，造成用戶數(shù)據(jù)丟失的假象，從而以恢復(fù)數(shù)據(jù)為由勒索錢財(cái)。經(jīng)過(guò)多重演進(jìn)，目前網(wǎng)絡(luò)上充斥著種類繁多的敲詐者木馬，單單360云安全中心已捕獲Virlock相關(guān)樣本近8萬(wàn)個(gè)。

騰訊反病毒實(shí)驗(yàn)室曾攔截到一個(gè)名為RAA的敲詐者木馬，其所有的功能均在Javescript腳本里完成。這有別于過(guò)往敲詐者僅把javascript腳本當(dāng)作一個(gè)下載器，去下載和執(zhí)行真正的敲詐者木馬。這種木馬使得混淆加密更加容易，并且增加了殺軟的查殺難度。最近還出現(xiàn)了由PHP語(yǔ)言編寫的敲詐者木馬，其偽裝成doc文檔的一個(gè)Javescript腳本，當(dāng)用戶執(zhí)行該腳本后，開始從指定的服務(wù)器下載文件，而下載的文件包括PHP腳本的解釋器和PHP木馬，PHP木馬負(fù)責(zé)對(duì)指定后綴名的文件進(jìn)行加密，最終實(shí)現(xiàn)對(duì)文件擁有者進(jìn)行欺詐。來(lái)自360互聯(lián)網(wǎng)安全中心的數(shù)據(jù)顯示，僅2016年上半年，我國(guó)國(guó)內(nèi)有超過(guò)58萬(wàn)臺(tái)電腦遭到了敲詐者木馬攻擊，且有多達(dá)5萬(wàn)多臺(tái)電腦最終感染了敲詐者木馬，平均每天有約300臺(tái)國(guó)內(nèi)電腦感染敲詐者木馬。

3 敲詐者木馬病毒主要攻擊方式

宿主一旦敲詐者木馬病毒，病毒會(huì)遍歷所有的磁盤和網(wǎng)絡(luò)共享路徑，會(huì)對(duì)當(dāng)前用戶賬戶進(jìn)行加密，禁用系統(tǒng)安全功能，使用戶賬戶控制功能失效，病毒感染全盤數(shù)據(jù)之后，會(huì)彈出勒索提示框，要求用戶支付一定數(shù)額的金錢。

近期的敲詐者病毒主要采用以下三種傳播方式：郵件釣魚、下載器掛馬、執(zhí)行器掛馬。釣魚郵件是一種比較經(jīng)典的木馬傳播方式，主要手法是將惡意程序以郵件附件的形式發(fā)送給攻擊目標(biāo)，攻擊范圍廣泛，一旦被攻擊者打開或者運(yùn)行了附件，惡意程序就會(huì)被執(zhí)行。就敲詐者木馬而言，最常見惡意附件形式主要有三種：JS腳本、可執(zhí)行文件和Office宏病毒文件等。下載器掛馬是一種比較傳統(tǒng)的網(wǎng)頁(yè)掛馬攻擊方式，主要方法是在頁(yè)面中嵌入惡意的JS腳步，一旦用戶使用有不安全的瀏覽器，掛在在網(wǎng)頁(yè)上的惡意JS腳本就會(huì)運(yùn)行，使用戶中招。執(zhí)行器掛馬是通過(guò)網(wǎng)頁(yè)掛馬程序注入瀏覽器，啟動(dòng)并執(zhí)行一個(gè)DLL類的木馬程序。目前釣魚郵件攻擊比例僅占比14%，執(zhí)行器掛馬攻擊占比超過(guò)60%。

4 敲詐者軟件防范措施

目前尚且沒有比較有效的解密軟件產(chǎn)生，如何做到有效防范是廣大用戶關(guān)注的重點(diǎn)。比較行之有效的做法是在郵件系統(tǒng)上部署安全網(wǎng)關(guān)、配置反垃圾郵件策略，為所有終端安裝必要的防病毒軟件。當(dāng)然，除了加強(qiáng)技術(shù)防范，提高商業(yè)用戶自身的安全意識(shí)至關(guān)重要。對(duì)于廣大商業(yè)用戶，需要注意的是郵件系統(tǒng)，由于郵件系統(tǒng)對(duì)惡意或垃圾郵件缺乏有效隔離，會(huì)導(dǎo)致用戶在不知情的情況下執(zhí)行惡意文件導(dǎo)致個(gè)人終端被感染。一旦中招最有效的辦法是立即拔掉網(wǎng)線，避免感染公共設(shè)備，斷開計(jì)算機(jī)電源，最大限度減少損失。對(duì)于敲詐者木馬，最為有效的應(yīng)對(duì)手段是事前防范，即在木馬的攻擊過(guò)程中對(duì)其進(jìn)行攔截和風(fēng)險(xiǎn)提示。筆者給出以下建議，以幫助用戶避免遭受敲詐者木馬的攻擊：

（1）不要輕易打開陌生人發(fā)來(lái)的郵件附件或正文中的網(wǎng)址鏈接。

（2）不要輕易打開后綴名為dll或者js的陌生文件。

（3）謹(jǐn)慎打開陌生人發(fā)來(lái)的格式為壓縮文件的附件。

（4）對(duì)于不確定安全性的文件，建議選擇在安全軟件的沙箱功能中打開運(yùn)行，避免木馬對(duì)實(shí)際系統(tǒng)的破壞。

（5）重要數(shù)據(jù)采用移動(dòng)存儲(chǔ)設(shè)備定期備份，確保數(shù)據(jù)安全。

參考文獻(xiàn)

[1]敲詐者木馬威脅形勢(shì)分析報(bào)告[R].2016.

[2]劉陽(yáng)富.計(jì)算機(jī)網(wǎng)絡(luò)安全與病毒防范[A].海南省通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集[C]，2008.

[3]司學(xué)斌.計(jì)算機(jī)維護(hù)維修與病毒防治策略研究[J].計(jì)算機(jī)安全技術(shù)，2011.

作者單位

中國(guó)信達(dá)資產(chǎn)管理股份有限公司海南省分公司 海南省?？谑?570100