敲詐者病毒的技術(shù)防范

張濤

近期敲詐者病毒異常活躍，目前尚且沒有比較有效的解密軟件產(chǎn)生，如何做好技術(shù)防范，至關(guān)重要。

【關(guān)鍵詞】敲詐者病毒 技術(shù)防范

1 引言

近期敲詐者木馬病毒異常活躍，據(jù)諸多用戶反映，計算機中文檔、圖片均無法打開，文件擴(kuò)展名全部被篡改為.crypt，并且需要給指定賬戶支付一定費用才能獲取密鑰解鎖。出現(xiàn)類似情況的用戶是中了敲詐者病毒，是敲詐者病毒Locky的新變種，主要通過郵件傳播，或者嵌入在免費的軟件中，用戶在不知情的情況下下載運行后就會誘發(fā)病毒，該病毒會對宿主計算機包括但不限于以.wma、.avi、.rar、.DayZProfile、.doc、.odb、.forge、.cas、.map、.mcgame、.rgss3a、.big、.wotreplay、.xxx、.m3u、.png、.jpeg、.txt、.crt、.x3f、.ai、.eps、.pdf、.lvl、.sis、.gdb為后綴的文件進(jìn)行加密，并能通過文件共享快速傳播至公用終端，借此敲詐受害者支付贖金，才能恢復(fù)被病毒加密的文件。由于該病毒采用不對稱加密的方式對系統(tǒng)中的特定文件進(jìn)行高強度加密，使受害者完全不可能在不支付贖金的情況下自行解密被加密的文件。但是即便用戶支付了數(shù)據(jù)，也不一定能夠獲得密鑰解鎖被加密文件。

2 敲詐者病毒的演進(jìn)

最早發(fā)現(xiàn)的敲詐者病毒以惡意隱藏宿主計算機中的用戶文件，造成用戶數(shù)據(jù)丟失的假象，從而以恢復(fù)數(shù)據(jù)為由勒索錢財。經(jīng)過多重演進(jìn)，目前網(wǎng)絡(luò)上充斥著種類繁多的敲詐者木馬，單單360云安全中心已捕獲Virlock相關(guān)樣本近8萬個。

騰訊反病毒實驗室曾攔截到一個名為RAA的敲詐者木馬，其所有的功能均在Javescript腳本里完成。這有別于過往敲詐者僅把javascript腳本當(dāng)作一個下載器，去下載和執(zhí)行真正的敲詐者木馬。這種木馬使得混淆加密更加容易，并且增加了殺軟的查殺難度。最近還出現(xiàn)了由PHP語言編寫的敲詐者木馬，其偽裝成doc文檔的一個Javescript腳本，當(dāng)用戶執(zhí)行該腳本后，開始從指定的服務(wù)器下載文件，而下載的文件包括PHP腳本的解釋器和PHP木馬，PHP木馬負(fù)責(zé)對指定后綴名的文件進(jìn)行加密，最終實現(xiàn)對文件擁有者進(jìn)行欺詐。來自360互聯(lián)網(wǎng)安全中心的數(shù)據(jù)顯示，僅2016年上半年，我國國內(nèi)有超過58萬臺電腦遭到了敲詐者木馬攻擊，且有多達(dá)5萬多臺電腦最終感染了敲詐者木馬，平均每天有約300臺國內(nèi)電腦感染敲詐者木馬。

3 敲詐者木馬病毒主要攻擊方式

宿主一旦敲詐者木馬病毒，病毒會遍歷所有的磁盤和網(wǎng)絡(luò)共享路徑，會對當(dāng)前用戶賬戶進(jìn)行加密，禁用系統(tǒng)安全功能，使用戶賬戶控制功能失效，病毒感染全盤數(shù)據(jù)之后，會彈出勒索提示框，要求用戶支付一定數(shù)額的金錢。

近期的敲詐者病毒主要采用以下三種傳播方式：郵件釣魚、下載器掛馬、執(zhí)行器掛馬。釣魚郵件是一種比較經(jīng)典的木馬傳播方式，主要手法是將惡意程序以郵件附件的形式發(fā)送給攻擊目標(biāo)，攻擊范圍廣泛，一旦被攻擊者打開或者運行了附件，惡意程序就會被執(zhí)行。就敲詐者木馬而言，最常見惡意附件形式主要有三種：JS腳本、可執(zhí)行文件和Office宏病毒文件等。下載器掛馬是一種比較傳統(tǒng)的網(wǎng)頁掛馬攻擊方式，主要方法是在頁面中嵌入惡意的JS腳步，一旦用戶使用有不安全的瀏覽器，掛在在網(wǎng)頁上的惡意JS腳本就會運行，使用戶中招。執(zhí)行器掛馬是通過網(wǎng)頁掛馬程序注入瀏覽器，啟動并執(zhí)行一個DLL類的木馬程序。目前釣魚郵件攻擊比例僅占比14%，執(zhí)行器掛馬攻擊占比超過60%。

4 敲詐者軟件防范措施

目前尚且沒有比較有效的解密軟件產(chǎn)生，如何做到有效防范是廣大用戶關(guān)注的重點。比較行之有效的做法是在郵件系統(tǒng)上部署安全網(wǎng)關(guān)、配置反垃圾郵件策略，為所有終端安裝必要的防病毒軟件。當(dāng)然，除了加強技術(shù)防范，提高商業(yè)用戶自身的安全意識至關(guān)重要。對于廣大商業(yè)用戶，需要注意的是郵件系統(tǒng)，由于郵件系統(tǒng)對惡意或垃圾郵件缺乏有效隔離，會導(dǎo)致用戶在不知情的情況下執(zhí)行惡意文件導(dǎo)致個人終端被感染。一旦中招最有效的辦法是立即拔掉網(wǎng)線，避免感染公共設(shè)備，斷開計算機電源，最大限度減少損失。對于敲詐者木馬，最為有效的應(yīng)對手段是事前防范，即在木馬的攻擊過程中對其進(jìn)行攔截和風(fēng)險提示。筆者給出以下建議，以幫助用戶避免遭受敲詐者木馬的攻擊：

（1）不要輕易打開陌生人發(fā)來的郵件附件或正文中的網(wǎng)址鏈接。

（2）不要輕易打開后綴名為dll或者js的陌生文件。

（3）謹(jǐn)慎打開陌生人發(fā)來的格式為壓縮文件的附件。

（4）對于不確定安全性的文件，建議選擇在安全軟件的沙箱功能中打開運行，避免木馬對實際系統(tǒng)的破壞。

（5）重要數(shù)據(jù)采用移動存儲設(shè)備定期備份，確保數(shù)據(jù)安全。

參考文獻(xiàn)

[1]敲詐者木馬威脅形勢分析報告[R].2016.

[2]劉陽富.計算機網(wǎng)絡(luò)安全與病毒防范[A].海南省通信學(xué)會學(xué)術(shù)年會論文集[C]，2008.

[3]司學(xué)斌.計算機維護(hù)維修與病毒防治策略研究[J].計算機安全技術(shù)，2011.

作者單位

中國信達(dá)資產(chǎn)管理股份有限公司海南省分公司 海南省海口市 570100