揭秘黑客如何绑架用户文件
如果说欺诈木马是网络世界的骗子,敲诈木马就是其中的绑匪。近期,这种直接向受害用户要钱的病毒频繁出现,受害者如果不提供黑客想要的赎金,就无法使用重要文件,甚至无法使用电脑,危害极大。
猖狂黑客从欺诈到勒索
近期出现的一款“vvv木马”就是典型的加密勒索木马,主要通过邮件方式传播,欺骗用户打开附件,从而下载恶意程序并运行,将电脑中文档、图片、音乐等文件进行加密,最后要求用户支付赎金以解锁文件。
图1:2月vvv木马相关病毒呈爆发态势
据腾讯电脑管家统计,从去年12月起,vvv木马相关病毒呈爆发态势,估计全网受影响的用户数月均1.3万左右。同时,更多衍生的变种木马也不断被发现。例如春节期间开始爆发的新密锁木马,除了加密后的扩展名从“vvv”改成了其它名称以外,敲诈说明也变成了繁体。
与vvv木马勒索方式类似的CTB-Locker木马(比特币敲诈者),也是通过加密电脑硬盘文件后像受害者勒索比特币作为赎金,在2015年年初爆发后甚至引发美国FBI关注。有消息称,FBI建议CTB-Locker木马受害者支付赎金以恢复文件,足以证明该类病毒难以对付。而从这类敲诈木马的作恶流程,其实可以归纳出一些共性:
一、大部分通过邮件进行传播,邮件不直接附加用户警惕性高的可执行文件,而是通过普通用户不熟悉、容易忽视的脚本、宏等手段完成下载。
二、黑客加密手段升级,保证加密文件无法通过暴力手段恢复。黑客制作的恶意软件每次运行会在本地生成一次性密钥,保证了木马作者对于受害者文件的控制力。
三、黑客要求的支付赎金方式隐秘,不易追查黑客踪迹。目前看来,黑客通常要求受害者通过比特币等高匿名性的方式进行交易,使得通过赎金环节追踪黑客难度极高。
PC端敲诈趋势:引诱手段隐蔽性高 恶意敲诈产业化
除了上述木马外,国内还有另外一种更接地气的敲诈木马,在网盘、群文件等地方进行传播,通过充钻、色情、外挂等吸引受害者运行,运行后立刻修改Windows登录密码,等用户重启或强制用户重启电脑后,在登录界面通过用户名或提示信息要求受害者联系指定的QQ号,要求用户付款换取Windows登录密码。由于技术要求低,这类木马经常出现,但是熟悉电脑的技术人员能解决这种问题,因此这类木马无法形成大规模的爆发。
图2:改系统登录密码木马数量快速增长
目前电脑管家平均每月能捕获约4000个类似的木马,自15年8月起此类木马有明显的爆发趋势。而针对CTB-Locker和vvv木马这类病毒,也可以看出此类敲诈木马这一年中在PC端的进化方向:
一、CTB-Locker的欺诈邮件中还是可运行程序,而vvv木马中,邮件附件已经变成普通人接触少的非可执行程序,躲避安全检查的能力也更强。
二、CTB-Locker传播以欧美地区为主,vvv木马的受害者大部分是日本人,最近出现的繁体敲诈说明则显示,敲诈木马的目标对象已转向东亚地区。
三、类似vvv木马的差别更小,意味着可能出现恶意软件作者生成定制化敲诈木马,另一批不法分子散播病毒木马,并从勒索的金额中进行分成的非法利益链,预计更多类似敲诈木马将在接下来的时间集中爆发。
移动端敲诈趋势:强制置顶和锁屏为主要作恶手段
除了Windows系统之外,近年来针对智能手机安卓系统的敲诈类木马同样出现上升的趋势。由于手机端的屏幕较小,运行的任务比较聚焦,缺乏丰富的进程管理工具,大部分木马将自身窗口强制置顶,使受害者无法正常使用手机的其它功能,然后在置顶窗口中提出敲诈需求和联系方式。2015年,腾讯反病毒实验室平均每月能够捕获约500个类似木马。
图3:手机锁屏敲诈成为移动端新威胁
此外,也有一些新型的作恶手段进入我们的视野。例如某一类锁屏木马,先引诱用户将其设置为设备管理器,然后通过接口直接修改系统锁屏密码。这样的案例虽然出现的不多,仍显示出恶意木马作者在移动端正不停探索新敲诈手法,进一步说明了对敲诈类木马保持关注的必要性。
防范为主 三招避免黑客“绑架”
vvv敲诈木马的爆发,标志着敲诈类木马已经发展为复杂化、专业化、产业化的暴利敛财工具。面对这类病毒,首先需要对文件及时备份,由于大部分敲诈木马在受害者中招以后都难以自行恢复,因此事前防范是对付此类木马的一个重要环节。
图4:哈勃分析系统专杀工具
其次,用户需要养成良好的上网习惯,不要从不可信的网站、邮件、陌生人、手机短信等处接收和运行文件,对于可疑的文件可以使用哈勃分析系统(habo.qq.com)进行扫描,哈勃分析系统也推出一系列专杀工具,便于用户查杀。
最后,在上网时需要开启安全类软件的防护功能,例如腾讯电脑管家和手机管家,以防范各种风险。