“你的文件已被锁定,在XX时间内将钱打进指定账号,否则我们将销毁所有文件”,近两年,随着敲诈者木马的大规模爆发,这样的字眼并不只存在电影中,且已给众多个人、企业的电脑、财产安全造成严重损失。据安全公司统计,敲诈者木马在所有恶意软件中的占比,从2015年的第三位上升到了2016年的首位,形势十分严峻。近期,腾讯安全联合实验室联合腾讯视频推出的安全推理系列剧第五集《烧脑24小时之隐形的敲诈者》上线,以剖析真实案例的方式将安全厂商与敲诈者木马作者的对抗过程还原在观众面前。而如何防御敲诈者木马,已成为个人和企业面临的重要课题。
Petya敲诈者木马比较新变种来袭 中招网民被迫交赎金恢复数据
据腾讯安全反病毒实验室专家介绍,敲诈者木马简单来说就是木马界的“绑匪”,通过加密受害者电脑上的文件,索取赎金。而最早的敲诈者木马可以追溯到1989年的“PC Cyborg”,但随着加密算法的完善,当前的敲诈者木马已与之前大相径庭,主要以高强度密码学算法加密受害者电脑上的文件,因此在部分场合也被称为密锁类木马。
2013年,一个名为“CryptoLocker”木马被曝入侵了超过25万台电脑,成为较早引起人们关注的敲诈者木马之一。而在国内最早产生反响的要数“CTB-Locker”敲诈者木马,该木马主要通过邮件附件传播,2015年随一部分邮件流入国内,导致一批受害者被敲诈,在国际上甚至引发美国FBI关注。不仅如此,目前安全界内已先后发现曾敲诈某组织数万美金的“Locky”、新款使用简体中文的“Shujin”、新款加密磁盘引导扇区的“Petya”以及已更新至第五代的“Cerber”等超过180种敲诈者木马。
(CTB-Locker木马敲诈界面)
而随着智能手机的全民化普及,针对Android操作系统的敲诈者木马在近几年也有愈演愈烈的趋势。与加密用户电脑文件不同的是,手机侧的敲诈者木马主要通过锁定受害者手机屏幕,使受害者无法正常使用手机,借机进行敲诈。
更为严重的是,不法分子还会对敲诈者木马进行“版本升级”,生成变种。12月初,腾讯安全反病毒实验室就捕获到修改磁盘引导扇区的Petya敲诈者木马比较新变种。事实上,早在今年4月份,该敲诈者木马就曾大规模爆发,致使不少网民中招并被迫交赎金恢复数据。而针对Petya敲诈者木马此次 “变装”重来,腾讯电脑管家已可全面识别查杀。
算法加密 敲诈者木马破解成难题
事实上,敲诈者木马近两年能持续地爆发,很大程度上与加密算法的日益完善有关。一个成熟的加密算法,可以做到在算法完全公开的前提下,仅需要安全保存密钥,便可以使加密后的密文无法被恶意破解,这就是“柯克霍夫原则(Kerckhoffs's principle )”。而不法分子也利用了这个特性,使得我们虽然知道了木马的算法,但由于不知道作者使用的密钥,也就没有办法恢复被恶意加密的文件。
不法分子用成熟的、高强度的加密算法,对受害者电脑上的文件进行加密操作后,删除原文件。当图片、文档等资料文件都变得不可用,就有可能给受害者带来不可估量的损失。最为致命的是,如果不法分子加密算法使用得当的话,被加密的文件是无法在没有密钥的情况下恢复的。但各类敲诈者木马在具体的运作中,也可能遗留了一些漏洞,如果发现了此类漏洞,就有可能使用一些较低的代价恢复文件。
正如《烧脑24小时之隐形的敲诈者》剧集中表现的那样,腾讯安全反病毒实验室负责人马劲松发现勒索某贵金属公司的木马漏洞,并利用该漏洞助力该公司化解此次危机。而普通的企业一旦不慎中招敲诈者木马,如果没有安全专家的介入,只能任凭不法分子摆布。
事前构筑反“敲诈”防御 成行业共识
当前,较为复杂的敲诈者木马一旦感染网民电脑,很难通过其他技术手段恢复系统文件。在行业看来,敲诈者木马的治理,事前预防远比事后补救来得重要。而世界上安全厂商近两年来也在加大对敲诈者木马及其变种的拦截、查杀力度。Fortinet、英特尔、Palo Alto Networks等世界安全厂商联合成立网络威胁联盟(CTA),采用共享威胁情报的方式追踪和分析恶意软件。
而国内的安全厂商也紧锣密鼓地构建安全防御。《烧脑24小时之隐形的敲诈者》中扮演“拯救者”的腾讯安全反病毒实验室,一直以来致力于反木马拦截和病毒修复,构建云主防实时处理机制和运营体系,每天为超100万个用户解除安全威胁,单日拦截木马次数高达2000万次。除此之外,腾讯安全反病毒实验室自主研发的中国头个自主研发反病毒引擎TAV,成为腾讯电脑管家和腾讯手机管家连续获得AV-C、AV-Test、VB100等国际保障评测中认可的重要依托。
腾讯安全反病毒实验室负责人马劲松表示,敲诈者木马的作案方式相较于电信网络诈骗,在时间、人力以及手段上大大缩减成本。不法分子只需通过诱导网民点击感染了敲诈者木马的链接、文件、邮件即可完成作案。网民需要养成良好的上网习惯,不随意打开不明来源的附件或链接,也不要随意下载运行小网站和网盘上分享的电脑软件或手机应用。如果遇到安全性不确定的文件,也可以上传到哈勃分析系统(https://habo.qq.com/)检查是否安全。日常生活中,建议使用腾讯电脑管家、腾讯手机管家等安全类产品,实时保护电脑和手机的安全。
(推广)