中國傳媒聯(lián)盟 據(jù) 上海熱線 訊：近年來，因感染敲詐類木馬而被迫支付贖金的事時常發(fā)生，更有甚者損失高達數(shù)萬美元。因此，敲詐木馬已逐漸成為安全領(lǐng)域內(nèi)的重點關(guān)注對象，據(jù)安全公司統(tǒng)計，敲詐木馬在所有惡意軟件中所占比例，從2015年的第三位上升到了2016年的首位，形勢十分嚴峻。

據(jù)騰訊安全專家介紹，雖然最早的敲詐木馬可以追溯到1989年的“PC Cyborg”，但隨著加密算法的完善，當(dāng)前的敲詐木馬已與之前大不相同，主要以高強度密碼學(xué)算法加密受害者電腦上的文件，并要求其支付贖金以換取文件解密為主，因此在部分場合也被稱為密鎖類木馬。除此之外，近年來在Android手機上也逐漸流行一種鎖屏類敲詐木馬，這類木馬同樣是通過鎖定受害者手機屏幕，使受害者無法正常使用手機，借機進行敲詐。

針對近兩年此類木馬的爆發(fā)，騰訊安全專家除了持續(xù)跟進，通過分析眾多木馬樣本輸出針對性方案，向用戶提供防御手段，保障上網(wǎng)安全之外，還在近期通過騰訊電腦管家旗下哈勃分析系統(tǒng)，詳細溯源和解密了這類危害極大的木馬。 

（騰訊電腦管家攔截“敲詐者”示意圖）

借助郵件傳播 敲詐者木馬加密破壞文件

在2013年，一個名為“CryptoLocker”木馬被曝入侵了超過25萬臺電腦，成為較早引起人們關(guān)注的敲詐木馬之一。而在國內(nèi)最早產(chǎn)生反響的要數(shù)“CTB-Locker”敲詐木馬，該木馬主要通過郵件附件傳播，并在2015年年初，隨一部分郵件流入國內(nèi)，導(dǎo)致一批受害者被敲詐。此外，還有針對游戲玩家的“TeslaCrypt”木馬，通過在網(wǎng)頁中植入惡意構(gòu)造的文件，利用Flash播放器、pdf閱讀器等各種漏洞，在受害者不知情的情況下下載并執(zhí)行惡意payload，加密其電腦上的文件。

不僅如此，目前安全界內(nèi)已先后發(fā)現(xiàn)曾敲詐某組織數(shù)萬美金的“Locky”、首款使用簡體中文的“Shujin”、首款加密磁盤引導(dǎo)扇區(qū)的“Petya”、簡體中文界面的以國內(nèi)受害者為目標(biāo)的“國產(chǎn)C#”以及已更新至第五代的“Cerber”等眾多敲詐木馬。 

（“CTB-Locker”木馬敲詐界面）

騰訊安全專家表示，當(dāng)前敲詐者木馬主要通過郵件的方式進行傳播，并使用成熟的、高強度的加密算法，對受害者電腦上的文件進行加密操作后，刪除原文件。一般來說，因比特幣使用者具有匿名性，通過比特幣收款地址很難追蹤到對應(yīng)的擁有者，往往不法分子會要求受害者使用比特幣支付贖金，以掩藏身份。此外，為了進一步防止被追蹤，贖金支付說明指向暗網(wǎng)中的頁面，暗網(wǎng)依托于現(xiàn)有的互聯(lián)網(wǎng)而建，只有使用特定的軟件、協(xié)議或權(quán)限才能訪問，給不法分子提供匿名性，防止通過正常的途徑追蹤到位置、身份等信息。

（敲詐者木馬偽造的應(yīng)聘簡歷郵件）

據(jù)了解，敲詐者木馬在傳播時一般會使用大量以帶宏的Office文檔為代表的非PE載體，但近一段時間以來，騰訊安全專家發(fā)現(xiàn)，包括js、vbs、chm等在內(nèi)的其它非PE文件也被用于傳播敲詐木馬。這樣的傳播方式可以避免木馬直接放在郵件中時被安全類軟件和網(wǎng)關(guān)直接攔截，同時通過不斷變換下載地址對應(yīng)的木馬文件，也能躲過部分安全類軟件的檢測和查殺。

事實上，敲詐木馬通常會結(jié)合使用非對稱加密算法、對稱加密算法，以充分利用二者各自的優(yōu)點。使用這樣的方法，既可以迅速完成整個電腦大量文件的加密，又避免了對稱加密算法的密鑰進行傳輸交換中存在被記錄和泄漏的風(fēng)險。經(jīng)騰訊安全專家分析發(fā)現(xiàn)，如果加密算法使用得當(dāng)?shù)脑挘患用艿奈募菬o法在沒有密鑰的情況下恢復(fù)的；不過，各類敲詐木馬在具體的實現(xiàn)上，可能遺留了一些漏洞，如果發(fā)現(xiàn)了此類漏洞，就有可能可以使用一些較低的代價恢復(fù)文件。

移動端敲詐木馬愈演愈烈 偽裝應(yīng)用致手機鎖屏

與Windows操作系統(tǒng)類似，Android操作系統(tǒng)上的敲詐木馬在近幾年也有愈演愈烈的趨勢。騰訊安全專家表示，一方面，Android系統(tǒng)對應(yīng)用權(quán)限的嚴格限制，使得未root的手機上，惡意應(yīng)用并沒有太多辦法去讀寫大量文件；另一方面，由于手機的便攜性，使得手機系統(tǒng)的開發(fā)者需要更多地考慮手機在未授權(quán)的物理訪問場景下也能受到良好的保護，這反過來又使得受害者在面對鎖屏敲詐的時候能夠用上的手段不多。

當(dāng)前Android敲詐木馬的傳播手段主要分為置頂對話框鎖屏敲詐木馬、修改鎖屏密碼敲詐木馬兩類木馬，大部分是偽裝成各類其它應(yīng)用，例如工具類應(yīng)用、刷流量等非法應(yīng)用、色情類應(yīng)用等，在小型下載網(wǎng)站、網(wǎng)盤、社交網(wǎng)絡(luò)中進行傳播，誘使受害者下載安裝。

（置頂對話框鎖屏敲詐木馬界面示例）

置頂對話框鎖屏敲詐木馬會彈出自定義的對話框窗口，將該窗口反復(fù)強制置頂，使受害者無法正常使用手機的其它功能，同時在置頂對話框中提出敲詐需求和聯(lián)系方式。對于這類敲詐木馬，如果手機已經(jīng)開啟了USB調(diào)試功能并給電腦授予了調(diào)試權(quán)限，則可以在電腦上使用adb對手機進行操作，清除木馬相關(guān)進程，除此之外，也可以嘗試重啟手機并進入安全模式，在避免木馬啟動的同時卸載對應(yīng)的惡意應(yīng)用。而修改鎖屏密碼敲詐木馬則利用了Android系統(tǒng)設(shè)備管理器模塊的高級權(quán)限，可以直接修改系統(tǒng)鎖屏密碼，然后使用提示框顯示敲詐內(nèi)容。

“敲詐者”瞄上熱門影視作品資源 安全專家開出防范藥方

除了通過郵件、手機應(yīng)用等方式傳播，近日，騰訊電腦管家發(fā)現(xiàn)有敲詐者病毒偽裝熱門電影《神奇動物在哪里》資源進行傳播。據(jù)騰訊電腦管家分析發(fā)現(xiàn)，有用戶通過搜索關(guān)鍵詞“神奇動物在哪里下載”，在某網(wǎng)站發(fā)現(xiàn)相關(guān)種子資源。用戶下載完成后卻無法運行種子文件夾中的“AVI - Windows”標(biāo)準(zhǔn)視頻文件，轉(zhuǎn)而嘗試使用文件夾中提供的解碼工具“Ultra XVid Codec Pack.exe”程序安裝解碼器播放視頻。實際上，“Ultra XVid Codec Pack.exe”為敲詐者病毒，用戶一旦點擊運行，電腦文件會被加密，并被提示需要到指定網(wǎng)站購買解密軟件。 

（文件被加密后，電腦彈出敲詐提示）

騰訊電腦管家安全專家表示，敲詐木馬這兩年的爆發(fā)，手段層出不窮，使用戶難以防范，這與密碼學(xué)、暗網(wǎng)、比特幣等多種技術(shù)的發(fā)展都是密不可分的。對于當(dāng)前的敲詐木馬，事前的預(yù)防遠比事后的補救來得重要，用戶需要養(yǎng)成良好的安全意識，不隨意打開不明來源的附件或鏈接，也不要隨意下載運行小網(wǎng)站和網(wǎng)盤上分享的電腦軟件或手機應(yīng)用。日常生活中，建議使用騰訊電腦管家、騰訊手機管家等安全類產(chǎn)品，實時保護電腦和手機的安全。遇到不確定的文件，也可以上傳到哈勃分析系統(tǒng)（https://habo.qq.com/）檢查是否安全，可有效避免遭遇此類木馬。