敲诈者病毒的技术防范
2017-02-23张涛
张涛
近期敲诈者病毒异常活跃,目前尚且没有比较有效的解密软件产生,如何做好技术防范,至关重要。
【关键词】敲诈者病毒 技术防范
1 引言
近期敲诈者木马病毒异常活跃,据诸多用户反映,计算机中文档、图片均无法打开,文件扩展名全部被篡改为.crypt,并且需要给指定账户支付一定费用才能获取密钥解锁。出现类似情况的用户是中了敲诈者病毒,是敲诈者病毒Locky的新变种,主要通过邮件传播,或者嵌入在免费的软件中,用户在不知情的情况下下载运行后就会诱发病毒,该病毒会对宿主计算机包括但不限于以.wma、.avi、.rar、.DayZProfile、.doc、.odb、.forge、.cas、.map、.mcgame、.rgss3a、.big、.wotreplay、.xxx、.m3u、.png、.jpeg、.txt、.crt、.x3f、.ai、.eps、.pdf、.lvl、.sis、.gdb为后缀的文件进行加密,并能通过文件共享快速传播至公用终端,借此敲诈受害者支付赎金,才能恢复被病毒加密的文件。由于该病毒采用不对称加密的方式对系统中的特定文件进行高强度加密,使受害者完全不可能在不支付赎金的情况下自行解密被加密的文件。但是即便用户支付了数据,也不一定能够获得密钥解锁被加密文件。
2 敲诈者病毒的演进
最早发现的敲诈者病毒以恶意隐藏宿主计算机中的用户文件,造成用户数据丢失的假象,从而以恢复数据为由勒索钱财。经过多重演进,目前网络上充斥着种类繁多的敲诈者木马,单单360云安全中心已捕获Virlock相关样本近8万个。
腾讯反病毒实验室曾拦截到一个名为RAA的敲诈者木马,其所有的功能均在Javescript脚本里完成。这有别于过往敲诈者仅把javascript脚本当作一个下载器,去下载和执行真正的敲诈者木马。这种木马使得混淆加密更加容易,并且增加了杀软的查杀难度。最近还出现了由PHP语言编写的敲诈者木马,其伪装成doc文档的一个Javescript脚本,当用户执行该脚本后,开始从指定的服务器下载文件,而下载的文件包括PHP脚本的解释器和PHP木马,PHP木马负责对指定后缀名的文件進行加密,最终实现对文件拥有者进行欺诈。来自360互联网安全中心的数据显示,仅2016年上半年,我国国内有超过58万台电脑遭到了敲诈者木马攻击,且有多达5万多台电脑最终感染了敲诈者木马,平均每天有约300台国内电脑感染敲诈者木马。
3 敲诈者木马病毒主要攻击方式
宿主一旦敲诈者木马病毒,病毒会遍历所有的磁盘和网络共享路径,会对当前用户账户进行加密,禁用系统安全功能,使用户账户控制功能失效,病毒感染全盘数据之后,会弹出勒索提示框,要求用户支付一定数额的金钱。
近期的敲诈者病毒主要采用以下三种传播方式:邮件钓鱼、下载器挂马、执行器挂马。钓鱼邮件是一种比较经典的木马传播方式,主要手法是将恶意程序以邮件附件的形式发送给攻击目标,攻击范围广泛,一旦被攻击者打开或者运行了附件,恶意程序就会被执行。就敲诈者木马而言,最常见恶意附件形式主要有三种:JS脚本、可执行文件和Office宏病毒文件等。下载器挂马是一种比较传统的网页挂马攻击方式,主要方法是在页面中嵌入恶意的JS脚步,一旦用户使用有不安全的浏览器,挂在在网页上的恶意JS脚本就会运行,使用户中招。执行器挂马是通过网页挂马程序注入浏览器,启动并执行一个DLL类的木马程序。目前钓鱼邮件攻击比例仅占比14%,执行器挂马攻击占比超过60%。
4 敲诈者软件防范措施
目前尚且没有比较有效的解密软件产生,如何做到有效防范是广大用户关注的重点。比较行之有效的做法是在邮件系统上部署安全网关、配置反垃圾邮件策略,为所有终端安装必要的防病毒软件。当然,除了加强技术防范,提高商业用户自身的安全意识至关重要。对于广大商业用户,需要注意的是邮件系统,由于邮件系统对恶意或垃圾邮件缺乏有效隔离,会导致用户在不知情的情况下执行恶意文件导致个人终端被感染。一旦中招最有效的办法是立即拔掉网线,避免感染公共设备,断开计算机电源,最大限度减少损失。对于敲诈者木马,最为有效的应对手段是事前防范,即在木马的攻击过程中对其进行拦截和风险提示。笔者给出以下建议,以帮助用户避免遭受敲诈者木马的攻击:
(1)不要轻易打开陌生人发来的邮件附件或正文中的网址链接。
(2)不要轻易打开后缀名为dll或者js的陌生文件。
(3)谨慎打开陌生人发来的格式为压缩文件的附件。
(4)对于不确定安全性的文件,建议选择在安全软件的沙箱功能中打开运行,避免木马对实际系统的破坏。
(5)重要数据采用移动存储设备定期备份,确保数据安全。
参考文献
[1]敲诈者木马威胁形势分析报告[R].2016.
[2]刘阳富.计算机网络安全与病毒防范[A].海南省通信学会学术年会论文集[C],2008.
[3]司学斌.计算机维护维修与病毒防治策略研究[J].计算机安全技术,2011.
作者单位
中国信达资产管理股份有限公司海南省分公司 海南省海口市 570100
