張濤
近期敲詐者病毒異常活躍,目前尚且沒有比較有效的解密軟件產生,如何做好技術防范,至關重要。
【關鍵詞】敲詐者病毒 技術防范
1 引言
近期敲詐者木馬病毒異常活躍,據(jù)諸多用戶反映,計算機中文檔、圖片均無法打開,文件擴展名全部被篡改為.crypt,并且需要給指定賬戶支付一定費用才能獲取密鑰解鎖。出現(xiàn)類似情況的用戶是中了敲詐者病毒,是敲詐者病毒Locky的新變種,主要通過郵件傳播,或者嵌入在免費的軟件中,用戶在不知情的情況下下載運行后就會誘發(fā)病毒,該病毒會對宿主計算機包括但不限于以.wma、.avi、.rar、.DayZProfile、.doc、.odb、.forge、.cas、.map、.mcgame、.rgss3a、.big、.wotreplay、.xxx、.m3u、.png、.jpeg、.txt、.crt、.x3f、.ai、.eps、.pdf、.lvl、.sis、.gdb為后綴的文件進行加密,并能通過文件共享快速傳播至公用終端,借此敲詐受害者支付贖金,才能恢復被病毒加密的文件。由于該病毒采用不對稱加密的方式對系統(tǒng)中的特定文件進行高強度加密,使受害者完全不可能在不支付贖金的情況下自行解密被加密的文件。但是即便用戶支付了數(shù)據(jù),也不一定能夠獲得密鑰解鎖被加密文件。
2 敲詐者病毒的演進
最早發(fā)現(xiàn)的敲詐者病毒以惡意隱藏宿主計算機中的用戶文件,造成用戶數(shù)據(jù)丟失的假象,從而以恢復數(shù)據(jù)為由勒索錢財。經(jīng)過多重演進,目前網(wǎng)絡上充斥著種類繁多的敲詐者木馬,單單360云安全中心已捕獲Virlock相關樣本近8萬個。
騰訊反病毒實驗室曾攔截到一個名為RAA的敲詐者木馬,其所有的功能均在Javescript腳本里完成。這有別于過往敲詐者僅把javascript腳本當作一個下載器,去下載和執(zhí)行真正的敲詐者木馬。這種木馬使得混淆加密更加容易,并且增加了殺軟的查殺難度。最近還出現(xiàn)了由PHP語言編寫的敲詐者木馬,其偽裝成doc文檔的一個Javescript腳本,當用戶執(zhí)行該腳本后,開始從指定的服務器下載文件,而下載的文件包括PHP腳本的解釋器和PHP木馬,PHP木馬負責對指定后綴名的文件進行加密,最終實現(xiàn)對文件擁有者進行欺詐。來自360互聯(lián)網(wǎng)安全中心的數(shù)據(jù)顯示,僅2016年上半年,我國國內有超過58萬臺電腦遭到了敲詐者木馬攻擊,且有多達5萬多臺電腦最終感染了敲詐者木馬,平均每天有約300臺國內電腦感染敲詐者木馬。
3 敲詐者木馬病毒主要攻擊方式
宿主一旦敲詐者木馬病毒,病毒會遍歷所有的磁盤和網(wǎng)絡共享路徑,會對當前用戶賬戶進行加密,禁用系統(tǒng)安全功能,使用戶賬戶控制功能失效,病毒感染全盤數(shù)據(jù)之后,會彈出勒索提示框,要求用戶支付一定數(shù)額的金錢。
近期的敲詐者病毒主要采用以下三種傳播方式:郵件釣魚、下載器掛馬、執(zhí)行器掛馬。釣魚郵件是一種比較經(jīng)典的木馬傳播方式,主要手法是將惡意程序以郵件附件的形式發(fā)送給攻擊目標,攻擊范圍廣泛,一旦被攻擊者打開或者運行了附件,惡意程序就會被執(zhí)行。就敲詐者木馬而言,最常見惡意附件形式主要有三種:JS腳本、可執(zhí)行文件和Office宏病毒文件等。下載器掛馬是一種比較傳統(tǒng)的網(wǎng)頁掛馬攻擊方式,主要方法是在頁面中嵌入惡意的JS腳步,一旦用戶使用有不安全的瀏覽器,掛在在網(wǎng)頁上的惡意JS腳本就會運行,使用戶中招。執(zhí)行器掛馬是通過網(wǎng)頁掛馬程序注入瀏覽器,啟動并執(zhí)行一個DLL類的木馬程序。目前釣魚郵件攻擊比例僅占比14%,執(zhí)行器掛馬攻擊占比超過60%。
4 敲詐者軟件防范措施
目前尚且沒有比較有效的解密軟件產生,如何做到有效防范是廣大用戶關注的重點。比較行之有效的做法是在郵件系統(tǒng)上部署安全網(wǎng)關、配置反垃圾郵件策略,為所有終端安裝必要的防病毒軟件。當然,除了加強技術防范,提高商業(yè)用戶自身的安全意識至關重要。對于廣大商業(yè)用戶,需要注意的是郵件系統(tǒng),由于郵件系統(tǒng)對惡意或垃圾郵件缺乏有效隔離,會導致用戶在不知情的情況下執(zhí)行惡意文件導致個人終端被感染。一旦中招最有效的辦法是立即拔掉網(wǎng)線,避免感染公共設備,斷開計算機電源,最大限度減少損失。對于敲詐者木馬,最為有效的應對手段是事前防范,即在木馬的攻擊過程中對其進行攔截和風險提示。筆者給出以下建議,以幫助用戶避免遭受敲詐者木馬的攻擊:
(1)不要輕易打開陌生人發(fā)來的郵件附件或正文中的網(wǎng)址鏈接。
(2)不要輕易打開后綴名為dll或者js的陌生文件。
(3)謹慎打開陌生人發(fā)來的格式為壓縮文件的附件。
(4)對于不確定安全性的文件,建議選擇在安全軟件的沙箱功能中打開運行,避免木馬對實際系統(tǒng)的破壞。
(5)重要數(shù)據(jù)采用移動存儲設備定期備份,確保數(shù)據(jù)安全。
參考文獻
[1]敲詐者木馬威脅形勢分析報告[R].2016.
[2]劉陽富.計算機網(wǎng)絡安全與病毒防范[A].海南省通信學會學術年會論文集[C],2008.
[3]司學斌.計算機維護維修與病毒防治策略研究[J].計算機安全技術,2011.
作者單位
中國信達資產管理股份有限公司海南省分公司 海南省??谑?570100