返回目录:office365
李先生是南方一家科技公司的信息主管,办公室电脑内部网盘,遭cerber病毒感染,重要资料文件均遭感染无法正常使用,病毒作者要求支付1.25个比特比才给解密单个文件1.25。如果不支付,那么无法使用这些文件对公司损失很大。
Cerber是敲诈者病毒(也称勒索软件)的一种,近年数量增加最快的网络安全威胁之一,是不法分子通过锁屏、加密文件等方式劫持用户资产或资源以此向用户敲诈钱财的一种恶意软件。给用户的数据资产和信息安全造成严重的危害。
来自360互联网安全中心的数据显示,仅2016年上半年,我国国内有超过58万台电脑遭到了敲诈者木马攻击,且有多达5万多台电脑最终感染了敲诈者木马,平均每天有约300台国内电脑感染敲诈者木马。
不法分子往往通过网络钓鱼的方式,向受害电脑植入敲诈者病毒来加密硬盘上的文件甚至所有数据,随后向受害企业或个人要求数额不等的赎金(如比特币等)后才予以解密。
已知最早的敲诈者病毒出现于1989年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo),最近几年随着用户使用终端方式的改变、比特币等电子货币的发明和匿名通信网络的兴起,敲诈者病毒的传播、劫持和敲诈方式也发生了很大的变化。
如今敲诈者病毒的攻击范围已经涵盖了Windows、Mac、Android、iOS和虚拟桌面。如果已被感染的设备连接了企业的网络共享存储,那么共享存储中的文件也可能会被加密。攻击目标涉及大型企业、政府、银行、教育、私营企业等所有类型的企业和个人。
新一轮敲诈者病毒从2014年底开始蔓延,来自国外安全机构的报告显示,2015 年第三季度被勒索软件攻击的人数已经高达 500 万,是 2014 年同期的两倍;2015年第四季度,全球敲诈者病毒数量较上一季度增加了26%,发现有600万敲诈者病毒尝试安装。进入2016年敲诈者病毒开始大面积爆发,而且由于有利可图,敲诈者病毒攻击已从面向个人的攻击快速转向了医院、政府机构、企事业单位等各行业的IT基础设施,勒索软件会对公司业务造成严重的危害,导致核心数据出现丢失。
2016年2月以来,360威胁情报中心监测到一大波敲诈者病毒大规模爆发,国内单位组织陆续开始受到的冲击,公司对外的邮箱收到大量携带该木马的邮件。包括国家计算机病毒应急处理中心在内的国家机构也都发布了相应的计算机病毒疫情通报。自3月以来国内已有上万台电脑中招,淘宝上甚至已经出现了协助代付款解密的服务。其中国内某央企一周内连续三次中招,所安装的某国外安全软件无法防御,最终导致该企业部分终端用户中招,给该机构造成不可逆的严重损失。
敲诈者病毒主要危害及表现形式
1、通过设置电脑开机密码、登录密码等对电脑锁屏,影响用户系统的正常使用:比如WinLocker、PC Cyborg、敲竹杠木马等,会采用锁定系统屏幕等方式,迫使系统用户付款,以换取对系统的正常使用,这种类型的勒索软件相对危害较小。
2、通过威胁恐吓用户,实施敲诈:比如FakeAV敲诈者病毒会伪装成反病毒软件,欺骗在用户的系统中发现病毒,诱骗用户付款购买其“反病毒软件”。而Reveton敲诈者病毒会根据用户所处地域不同而伪装成用户所在地的执法机构,声称用户触犯法律,迫使用户支付赎金。2015年,一位名叫约瑟夫·爱德华兹的17岁中学生因电脑感染了Reveton被敲诈而自杀。
3、加密用户用户文件和数据,要求支付赎金:最典型的是CTB-Locker家族,采用高强度的加密算法,加密用户文档,只有在用户支付赎金后,才提供解密文档的方法。近期流行的CryptoLocker、VirLock 、Locky等敲诈者病毒也都是这个类型。由于病毒对文档采用RSA等高强度非对称加密,一旦中招就无法恢复,除非给黑客交赎金购买解密密钥。
4、篡改磁盘MBR,制造计算机蓝屏重启,之后加密电脑整个磁盘敲诈赎金:最近被发现的Petya敲诈者病毒会感染电脑系统,覆盖整个硬盘的MBR,使Windows崩溃并显示蓝屏,而当用户重启计算机时,已修改的MBR会阻止Windows的正常加载,加密整个磁盘,之后显示一个ASCII骷髅图像,提示支付一定数量的比特币,否则将失去文件和计算机的访问权限。Petya感染的电脑有明显的中招症状,而且因为修改MBR,任何具有主动防御功能的安全软件都会报警,所以容易防御。
敲诈者病毒的主要传播途径及方式
1、网络钓鱼和垃圾邮件:网络罪犯通过伪造邮箱的方式向目标发送邮件,这些邮件中会包含具有威胁的附件或在邮件正文中加入钓鱼网址链接。
2、坑式攻击:网络罪犯会将恶意软件植入到企业或个人经常访问的网站之中,一旦访问了这些网站,恶意程序会利用设备上的漏洞对其进行感染。
3、捆绑传播发布:借助其他恶意软件传播渠道,与其他恶意软件捆绑发布传播;或者捆绑正常的软件进行传播,比如最近发现的首个针对苹果电脑的敲诈者病毒KeRanger就是通过Transmission下载网站捆绑在一些正常的软件传播。
4、借助移动存储传播:借助U盘、移动硬盘、闪存卡等可移动存储介质传播。
近年来流行的敲诈者病毒
敲诈者病毒发展历史图
早在2013年,敲诈者病毒便引起了360威胁情报中心的关注,在第一时间发布相应防护方案的同时,也发布了一系列的通告、解决方案以及分析报告。以下依时间顺序列举出近年来在国内流行的敲诈者病毒:
●2013年10月10日,360安全响应中心监控到一类通过篡改Windows系统登录密码敲诈用户的木马在国内迅速升温。
●2014年6月6日,国外安全厂商发现一款基于移动设备的锁屏敲诈软件Simplocker。
●2015年1月20日,在美日等国流传并且造成很大危害的CTB-Locker敲诈者病毒首次传入中国。
●2015年1月23日,与CTB-Locker同类型的敲诈者病毒 VirLock同步传入中国。
●2015年1月30日,经过360QVM团队的分析研究,发现被VirLock病毒感染的文件可以通过技术手段恢复。
●2015年5月19日,国内木马作者基于Simplocker木马思路衍生出的手机锁屏敲诈者病毒被360移动安全部门截获。
●2015年5月27日,CTB-Locker病毒经过5个月的“本土化”过程,逐渐被国内木马作者学习和利用。并在此期间出现了国内的第一次大规模爆发和针对性变种。
●2015年8月12日,CTB-Locker近亲CryptoLocker在国内木马作者手中已经逐渐形成与安全软件进行常规对抗的木马。
●2016年2月18日,CryptoLocker再次从传播手段上出现新变种(即当前最新版的locky木马)。
●360天擎开发了针对Locky类的敲诈者病毒的文档保护功能(http://www.itbear.com.cn/n166537c89.aspx)。用户只要开启360天擎的实时防护功能,同时开启云安全查杀功能,并及时升级特征库,就可以有效防范这款家族名为“Locky”的敲诈者病毒。
●2016年3月4日,国外安全公司发现了首个针对苹果Mac电脑用户的敲诈者病毒“KeRanger”,该病毒通过一个名为“Transmission”的下载网站传播,会在进入用户电脑三天之后,对用户文件进行加密,然后开始索取赎金,苹果公司已经针对这一敲诈者病毒采取了措施。
●2016年4月初,名为Petya的新型敲诈者病毒开始泛滥。针对该病毒360安全卫士“主动防御”会发出报警提示,360用户无需升级就可拦截Petya木马。
●2016年4月,一款名为SamSam的敲诈者病毒在国外爆发。该病毒利用医院系统的服务器漏洞实施入侵再进行加密勒索钱财。SamSam的出现意味着敲诈者病毒攻击企业服务器,甚至攻击整个企业网络已经成为网络犯罪产业新的攻击方向。
敲诈者病毒的防范措施
从最近几年国内流行的敲诈者病毒的传播过程看,360安全卫士、天擎等安全软件对各类敲诈者病毒及其最新变种一直都能够进行防护和查杀,用户需要开启杀毒功能,并及时更新,确保企业免受敲诈者病毒侵害。同时用户需要养成正确的电脑使用习惯和采取相应的安全防护措施,从而远离敲诈者病毒攻击。
企业用户五大防护措施:
1、不要轻易打开陌生人的邮件,特别是主题和附件包含Payment、Invoice字样的邮件;
2、可以逐步部署云桌面,实现集中维护,彻底避免此类攻击;
3、开启安全软件的实时防护功能和云安全查杀功能,并及时升级特征库;
4、开启天擎针对敲诈者病毒开发的文档保护功能,主动阻止恶意加密文档和图片的行为;
5、在天擎终端安全管理系统上开启云QVM引擎能有效增强终端对敲诈者病毒的拦截和查杀。
6、360天擎推出了敲诈先赔服务。对于所有360天擎政企用户,360企业安全承诺,如果用户在开启了360天擎敲诈先赔功能后,仍感染了敲诈者病毒,360企业安全将负责赔付赎金,为政企用户提供百万先赔保障。
个人用户的九项注意:
1、定期备份重要文件,最好能在U盘、本地、云盘都拷贝一份,以防不测;
2、操作系统和IE、Flash等常用软件应及时打好补丁,以免病毒利用漏洞自动入侵电脑;
3、不要随意公开邮箱地址,邮箱密码不要使用弱密码,尽量定期修改;
4、切勿轻易打开陌生人发来的可疑文件及邮件附件;
5、切勿轻易打开来源不可靠的网址;
6、禁止Office宏功能,需要开启宏时,需要确认文件来源是否可信;
7、不要随意将来历不明的U盘、移动硬盘、闪存卡等移动存储设备插入电脑;
8、电脑中应安装并启用专业的安全软件,及时更新并定期进行安全扫描。
9、360安全卫士用户可以开启“360文档保护功能”和“360反勒索服务”可以对文档进行保护,而且同时开启这两个功能后,如果在没有看到安全卫士的任何风险提示的情况下感染敲诈者木马,360可以代替用户向黑客缴纳最高3个比特币(约13000元人民币)的赎金。