歡迎來到山東省大學生網絡安全技能大賽!
首頁 > 學習園地

360齊向東:敲詐者病毒將泛濫成災

發布人:admin 發布時間:2016-10-27 瀏覽數:1530

9月22日,首屆國際反病毒大會在天津召開,360公司創始人兼總裁、360企業安全集團董事長齊向東在大會做主旨演講時表示,當前,網絡威脅層出不窮,隨著匿名互聯網等技術的興起,病毒產業造成的危害也在不斷升級。他預警,當前正在爆發的敲詐者病毒創新的技術模式、盈利模式正在被大批病毒制造者學習復制,未來將泛濫成災。

說明: C:\Users\yuanbosong\Desktop\齊總演講.jpg

  敲詐者病毒猖獗 動輒勒索上萬元

  最近,南方一家科技公司的信息主管向360公司求助,他辦公室電腦內部網盤被Cerber病毒感染,重要的資料文件都不能正常使用了,病毒作者要求每個文件支付1.25個比特幣才給解密,按照現在比特幣的價錢,也就是說,每個文件都要被勒索6000多人民幣。他系統里一共有幾千個重要的文件,要是全部解密需要100多萬元。

  這個Cerber病毒是敲詐者病毒的一種,是不法分子通過對感染者的重要文件加密等方式,向用戶敲詐錢財才予以解密的一種惡意軟件。

說明: C:\Users\yuanbosong\Desktop\_r2_c2.png

  齊向東透露,從2014年開始,360就陸續收到類似求助,一開始,這個病毒基本上是國外比較流行,在中國范圍內,被感染的多是外貿相關的機構,屬于偶然性的中招。但現在,已經是對國內有針對性的進行攻擊了,被攻擊人數也在快速增長。有一家央企,曾在兩周之內中招三次。

  根據360威脅情報中心監測,全球范圍內,敲詐者病毒的多達80個家族,特別流行的是其中7個家族。2015年第四季度,全球敲詐者病毒數量較上一季度增加了26%,600萬敲詐者病毒嘗試安裝到電腦。僅2016年上半年,我國國內有超過58萬臺電腦遭到了敲詐者木馬攻擊,且有多達5萬多臺電腦最終感染了敲詐者木馬,平均每天有約300臺國內電腦感染敲詐者木馬。

說明: C:\Users\yuanbosong\Desktop\_r6_c3.png

  2016年2月以來,360威脅情報中心監測到,一大波敲詐者病毒大規模爆發,敲詐者病毒向企業、醫院、銀行、政府機構、企事業單位及律師、作家等群體進行攻擊,竊取高價值文件。目前,敲詐者病毒攻擊范圍也在不斷擴大,已經涵蓋了Windows、Mac、Android、iOS和虛擬桌面。如果被感染的設備連接了企業的網絡共享存儲,那么共享存儲中的文件也可能會被加密。

  創新的盈利模式和技術模式正在被復制

  以往的病毒傳播,拼的是技術,誰用的技術新,漏洞厲害,傳播就廣,病毒制作者獲利就大。但這類敲詐者病毒用的卻都是已經有很長時間的成熟老技術,例如已經有幾十年歷史的非對稱加密技術,十幾年歷史的匿名網絡技術洋蔥頭(也叫Tor),七八年歷史的比特幣技術等。

  但是,他們把這些傳播技術重新組合起來,形成了一個新的技術模式,只要一次運行,把文件加密了就能開始勒索,因為加密在這一次運行的時候就完成了,也就不需要修改系統來常駐,不用想辦法隱藏自己,也不用和遠端建立連接。殺毒軟件以前的層層防護在這種技術模式面前,就沒什么用了。因為就算殺毒軟件把它刪除了,用戶還是得乖乖交錢才能解密文件。在這個技術模式里,匿名技術的使用避免了對黑客的追蹤,讓這些犯罪分子有恃無恐,也加劇了敲詐者病毒的泛濫。

說明: C:\Users\yuanbosong\Desktop\_r4_c2.png

  同時,這個新的技術模式也構造了新的盈利模式,就是直接從終端用戶那里撈錢。之前的病毒也好,木馬也好,他們的盈利模式都是要感染很大的量,然后把這些終端當作“肉雞”,刷流量、裝軟件,一個終端賺十幾塊錢,要想盈利,一方面要感染很大的量,另一方面要能夠在這些終端上持久地存活下來。但是敲詐者只要感染幾個重要的用戶,讓他們交贖金,就能從一個終端上至少賺到幾個比特幣,折算下來就是一萬多塊錢,這筆錢以前是要感染一千個終端才能賺到的。

  齊向東說,因為這個商業模式很創新,技術門檻也不高,匿名互聯網技術又保證了自己不會暴露,大量的黑客開始學習敲詐者病毒的攻擊思路和技術手段,大量應用于黑產。比如,360威脅情報中心發現,出現了大量假的敲詐者病毒,他們對文件的加密方式實際上是可以解密的,但在他彈出的敲詐頁面上聲稱自己用的是敲詐者病毒使用的rsa4096結合aes的加密方式,讓用戶誤以為自己的文件無法解密而支付贖金。這個特點,很明顯就是技術能力并不高的黑客在學習敲詐者病毒的思路,“移花接木”,用于犯罪。

  正是因為黑產普遍都學到了這個套路,所以我們觀察到敲詐者病毒開始泛濫了,未來很可能會泛濫成災。

  每天攔截6000余次 “敲詐先賠”提供保障

  齊向東提到,為了治理敲詐者病毒,360成立了特別行動小組。360公司擁有13億終端用戶和全球最大的網址庫和第三方數據庫,目前樣本庫的總樣本已經超過了95億條,每天還在源源不斷地更新中。360利用大數據云安全技術,加上網民的協同,能多維度的進行安全數據監控,快速地捕獲樣本,對樣本進行快速的分析和機器學習,并迅速響應升級,從而做到360安全衛士、360天擎等安全軟件能對各類敲詐者病毒及其最新變種進行攔截和查殺,目前,每天攔截敲詐者病毒高達6千多次。

說明: C:\Users\yuanbosong\Desktop\_r4_c6.png

  360還獨家研發了獨有的文檔防護功能。這個功能是從源頭上保護用戶的重要數據,只要判斷為非正常地試圖修改文檔時,就會進行攔截。也就是說,不管敲詐者有多少種新的變種,也無法達到破壞重要數據的目的。

  “這套技術上線之后,取得了很好的效果,安裝了360的用戶幾乎沒有中招的?;趯ξ覀兗夹g的信心,今年9月初我們推出了敲詐先賠服務?!褒R向東告訴記者,對于所有安裝了360安全衛士的互聯網用戶,如果開啟“360文檔保護功能”和“360反勒索服務”,仍然感染了敲詐者木馬,360可以代替用戶向黑客繳納最高3個比特幣(大約13000元人民幣)的贖金。對于安裝了360天擎的企業用戶,如果用戶在開啟了敲詐先賠功能后仍然感染了敲詐者病毒,360企業安全集團負責賠付贖金,提供每個企業最高一百萬元的先賠保障。

說明: C:\Users\yuanbosong\Desktop\_r4_c6.png

  自從推出“敲詐先賠“服務以來,360公司已經收到了大約100起被敲詐者病毒加密的用戶案件,所有都是由于沒有安裝360或者退出360的防護導致中招,沒有一起是由于360沒有防住導致的。