近年來，因感染敲詐類木馬而被迫支付贖金的事時(shí)常發(fā)生，更有甚者損失高達(dá)數(shù)萬美元。因此，敲詐木馬已逐漸成為安全領(lǐng)域內(nèi)的重點(diǎn)關(guān)注對(duì)象，據(jù)安全公司統(tǒng)計(jì)，敲詐木馬在所有惡意軟件中所占比例，從2015年的第三位上升到了2016年的首位，形勢(shì)十分嚴(yán)峻。

據(jù)騰訊安全專家介紹，雖然最早的敲詐木馬可以追溯到1989年的“PC Cyborg”，但隨著加密算法的完善，當(dāng)前的敲詐木馬已與之前大不相同，主要以高強(qiáng)度密碼學(xué)算法加密受害者電腦上的文件，并要求其支付贖金以換取文件解密為主，因此在部分場(chǎng)合也被稱為密鎖類木馬。除此之外，近年來在Android手機(jī)上也逐漸流行一種鎖屏類敲詐木馬，這類木馬同樣是通過鎖定受害者手機(jī)屏幕，使受害者無法正常使用手機(jī)，借機(jī)進(jìn)行敲詐。

針對(duì)近兩年此類木馬的爆發(fā)，騰訊安全專家除了持續(xù)跟進(jìn)，通過分析眾多木馬樣本輸出針對(duì)性方案，向用戶提供防御手段，保障上網(wǎng)安全之外，還在近期通過騰訊電腦管家旗下哈勃分析系統(tǒng)，詳細(xì)溯源和解密了這類危害極大的木馬。

（騰訊電腦管家攔截“敲詐者”示意圖）

借助郵件傳播 敲詐者木馬加密破壞文件

在2013年，一個(gè)名為“CryptoLocker”木馬被曝入侵了超過25萬臺(tái)電腦，成為較早引起人們關(guān)注的敲詐木馬之一。而在國內(nèi)最早產(chǎn)生反響的要數(shù)“CTB-Locker”敲詐木馬，該木馬主要通過郵件附件傳播，并在2015年年初，隨一部分郵件流入國內(nèi)，導(dǎo)致一批受害者被敲詐。此外，還有針對(duì)游戲玩家的“TeslaCrypt”木馬，通過在網(wǎng)頁中植入惡意構(gòu)造的文件，利用Flash播放器、pdf閱讀器等各種漏洞，在受害者不知情的情況下下載并執(zhí)行惡意payload，加密其電腦上的文件。

不僅如此，目前安全界內(nèi)已先后發(fā)現(xiàn)曾敲詐某組織數(shù)萬美金的“Locky”、首款使用簡(jiǎn)體中文的“Shujin”、首款加密磁盤引導(dǎo)扇區(qū)的“Petya”、簡(jiǎn)體中文界面的以國內(nèi)受害者為目標(biāo)的“國產(chǎn)C#”以及已更新至第五代的“Cerber”等眾多敲詐木馬。

（“CTB-Locker”木馬敲詐界面）

騰訊安全專家表示，當(dāng)前敲詐者木馬主要通過郵件的方式進(jìn)行傳播，并使用成熟的、高強(qiáng)度的加密算法，對(duì)受害者電腦上的文件進(jìn)行加密操作后，刪除原文件。一般來說，因比特幣使用者具有匿名性，通過比特幣收款地址很難追蹤到對(duì)應(yīng)的擁有者，往往不法分子會(huì)要求受害者使用比特幣支付贖金，以掩藏身份。此外，為了進(jìn)一步防止被追蹤，贖金支付說明指向暗網(wǎng)中的頁面，暗網(wǎng)依托于現(xiàn)有的互聯(lián)網(wǎng)而建，只有使用特定的軟件、協(xié)議或權(quán)限才能訪問，給不法分子提供匿名性，防止通過正常的途徑追蹤到位置、身份等信息。

（敲詐者木馬偽造的應(yīng)聘簡(jiǎn)歷郵件）

據(jù)了解，敲詐者木馬在傳播時(shí)一般會(huì)使用大量以帶宏的Office文檔為代表的非PE載體，但近一段時(shí)間以來，騰訊安全專家發(fā)現(xiàn)，包括js、vbs、chm等在內(nèi)的其它非PE文件也被用于傳播敲詐木馬。這樣的傳播方式可以避免木馬直接放在郵件中時(shí)被安全類軟件和網(wǎng)關(guān)直接攔截，同時(shí)通過不斷變換下載地址對(duì)應(yīng)的木馬文件，也能躲過部分安全類軟件的檢測(cè)和查殺。

事實(shí)上，敲詐木馬通常會(huì)結(jié)合使用非對(duì)稱加密算法、對(duì)稱加密算法，以充分利用二者各自的優(yōu)點(diǎn)。使用這樣的方法，既可以迅速完成整個(gè)電腦大量文件的加密，又避免了對(duì)稱加密算法的密鑰進(jìn)行傳輸交換中存在被記錄和泄漏的風(fēng)險(xiǎn)。經(jīng)騰訊安全專家分析發(fā)現(xiàn)，如果加密算法使用得當(dāng)?shù)脑挘患用艿奈募菬o法在沒有密鑰的情況下恢復(fù)的；不過，各類敲詐木馬在具體的實(shí)現(xiàn)上，可能遺留了一些漏洞，如果發(fā)現(xiàn)了此類漏洞，就有可能可以使用一些較低的代價(jià)恢復(fù)文件。

移動(dòng)端敲詐木馬愈演愈烈 偽裝應(yīng)用致手機(jī)鎖屏

與Windows操作系統(tǒng)類似，Android操作系統(tǒng)上的敲詐木馬在近幾年也有愈演愈烈的趨勢(shì)。騰訊安全專家表示，一方面，Android系統(tǒng)對(duì)應(yīng)用權(quán)限的嚴(yán)格限制，使得未root的手機(jī)上，惡意應(yīng)用并沒有太多辦法去讀寫大量文件；另一方面，由于手機(jī)的便攜性，使得手機(jī)系統(tǒng)的開發(fā)者需要更多地考慮手機(jī)在未授權(quán)的物理訪問場(chǎng)景下也能受到良好的保護(hù)，這反過來又使得受害者在面對(duì)鎖屏敲詐的時(shí)候能夠用上的手段不多。

當(dāng)前Android敲詐木馬的傳播手段主要分為置頂對(duì)話框鎖屏敲詐木馬、修改鎖屏密碼敲詐木馬兩類木馬，大部分是偽裝成各類其它應(yīng)用，例如工具類應(yīng)用、刷流量等非法應(yīng)用、色情類應(yīng)用等，在小型下載網(wǎng)站、網(wǎng)盤、社交網(wǎng)絡(luò)中進(jìn)行傳播，誘使受害者下載安裝。

（置頂對(duì)話框鎖屏敲詐木馬界面示例）

置頂對(duì)話框鎖屏敲詐木馬會(huì)彈出自定義的對(duì)話框窗口，將該窗口反復(fù)強(qiáng)制置頂，使受害者無法正常使用手機(jī)的其它功能，同時(shí)在置頂對(duì)話框中提出敲詐需求和聯(lián)系方式。對(duì)于這類敲詐木馬，如果手機(jī)已經(jīng)開啟了USB調(diào)試功能并給電腦授予了調(diào)試權(quán)限，則可以在電腦上使用adb對(duì)手機(jī)進(jìn)行操作，清除木馬相關(guān)進(jìn)程，除此之外，也可以嘗試重啟手機(jī)并進(jìn)入安全模式，在避免木馬啟動(dòng)的同時(shí)卸載對(duì)應(yīng)的惡意應(yīng)用。而修改鎖屏密碼敲詐木馬則利用了Android系統(tǒng)設(shè)備管理器模塊的高級(jí)權(quán)限，可以直接修改系統(tǒng)鎖屏密碼，然后使用提示框顯示敲詐內(nèi)容。 

“敲詐者”瞄上熱門影視作品資源 安全專家開出防范藥方

除了通過郵件、手機(jī)應(yīng)用等方式傳播，近日，騰訊電腦管家發(fā)現(xiàn)有敲詐者病毒偽裝熱門電影《神奇動(dòng)物在哪里》資源進(jìn)行傳播。據(jù)騰訊電腦管家分析發(fā)現(xiàn)，有用戶通過搜索關(guān)鍵詞“神奇動(dòng)物在哪里 下載”，在某網(wǎng)站發(fā)現(xiàn)相關(guān)種子資源。用戶下載完成后卻無法運(yùn)行種子文件夾中的“AVI - Windows”標(biāo)準(zhǔn)視頻文件，轉(zhuǎn)而嘗試使用文件夾中提供的解碼工具“Ultra XVid Codec Pack.exe”程序安裝解碼器播放視頻。實(shí)際上，“Ultra XVid Codec Pack.exe”為敲詐者病毒，用戶一旦點(diǎn)擊運(yùn)行，電腦文件會(huì)被加密，并被提示需要到指定網(wǎng)站購買解密軟件。

（文件被加密后，電腦彈出敲詐提示）

騰訊電腦管家安全專家表示，敲詐木馬這兩年的爆發(fā)，手段層出不窮，使用戶難以防范，這與密碼學(xué)、暗網(wǎng)、比特幣等多種技術(shù)的發(fā)展都是密不可分的。對(duì)于當(dāng)前的敲詐木馬，事前的預(yù)防遠(yuǎn)比事后的補(bǔ)救來得重要，用戶需要養(yǎng)成良好的安全意識(shí)，不隨意打開不明來源的附件或鏈接，也不要隨意下載運(yùn)行小網(wǎng)站和網(wǎng)盤上分享的電腦軟件或手機(jī)應(yīng)用。日常生活中，建議使用騰訊電腦管家、騰訊手機(jī)管家等安全類產(chǎn)品，實(shí)時(shí)保護(hù)電腦和手機(jī)的安全。遇到不確定的文件，也可以上傳到哈勃分析系統(tǒng)（https://habo.qq.com/）檢查是否安全，可有效避免遭遇此類木馬。

 

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。