小编近来经常会收到来自朋友的求助,说自己的电脑中了病毒,电脑中的重要数据被加密了,需要支付赎金后才能解密。经过询问才发现,他们大多数是因为打开了一封未知来源的邮件,然后就遇到了这样令人头痛的问题。不管是重装系统还是更换电脑,那些被加密的数据在不交付赎金的情况下,是无法找回来了。
一封短短的邮件,被不法分子用来远程加密受害者文件,敲诈比特币赎金;本来用于自动运行操作方便用户的宏命令,却成为了木马的“帮凶”。木马敲诈的背后,是成熟运转的黑色产业链。从恶意服务器的注册和建设,到木马的制作、邮件的发送,都能从受害者支付的赎金中分得一杯羹。
下面小编就带大家了解一下木马敲诈及其背后的黑色产业。
一、敲诈风暴愈演愈烈
北京的汪为(化名)周一上班后,和往常一样开始处理手头的工作。
汪为所在的公司是一家互联网企业,汪为日常的工作是在网上与客户进行联系,维护产品销售渠道。最近,公司准备出国参加一场展销会,汪为正跟几家快递公司通过邮件商量宣传物资的邮递事宜。汪为在未读邮件中挑出了与快递相关的部分,逐一阅读并打开其中的附件。他不知道的是,在这批邮件中,有一封主题为Delivery Notification的邮件,正悄悄地露出自己狰狞的爪牙。
一小时后,汪为看着自己电脑上被改成乱码无法打开的文件,以及被修改为敲诈内容的桌面背景,近乎绝望的心情占据了整个内心。
其实汪为的遭遇并非个例。自2014年起,陆续有人在打开邮件之后,发现自己电脑中的文件被修改,其中不乏公司核心数据、有重要意义的图片等内容,一旦丢失造成的损失难以估量。同时,这些受害者都发现,在显著位置上出现的敲诈文字,内容不外乎是“文件已被加密,如需恢复请按如下方式支付赎金……”。
哈勃分析系统是腾讯反病毒实验室依托多年技术积累自主研发的一套样本安全检测系统。凭借每日对真实环境中捕获的海量样本进行自动化分析,哈勃分析系统在第一时间捕获到了这类木马。
据哈勃分析系统长时间跟踪发现,敲诈木马最初仅在国外传播,后来逐渐渗透到国内,敲诈使用的语言也从单一的英语逐渐发展到了包括中文在内的多种语言。受到木马影响的公司不乏医院、公交公司这样的大型企业。
更为严重的是,除了一些自身含有漏洞的木马之外,还有很多木马并无有效的解决之道,如果事先防范措施没有做好,中招之后除了联系不法分子之外无计可施。虽然FBI曾经提示不要支付赎金,以免木马制作者尝到甜头,继续传播木马,然而对于一些重要的数据被加密的公司而言,这是无奈之中最后的办法,例如好莱坞某医院为了恢复患者病历,被迫支付了相当于数万美元的赎金。
二、木马传播途径
最常见的木马传播途径就是邮件附件。诱导用户开启并运行宏是文档木马的主要手段。
这些破坏力强大、影响恶劣的木马,是如何传播到受害者电脑上的呢?经哈勃分析系统的调查,木马的常用传播渠道是通过邮件进行传播,将木马伪装成邮件附件,吸引受害者打开。其中,最常见的附件格式是微软的Office文档,木马使用文档中的宏功能执行恶意命令,再从网上下载真正的恶意程序,对受害者电脑进行攻击。
哈勃分析系统研究发现,在木马入侵受害者电脑的每一步,都有一些固定的套路和模式。
在木马传播的第一步,即发送带木马的邮件时,不法分子通常会使用一些正常的公务主题进行伪装,诱使受害者打开附件。此前汪为遇到的假冒邮件,是假称快递除了问题;除此之外,常见的主题还包括发票、费用确认等。一个明显的现象是,处于财务、会计、对外关系等职位的员工,每日收发的同类邮件较多,对于这类邮件容易降低警惕心,因此容易成为不法分子发送邮件的目标。
如果受害者打开了带木马的宏文档,由于高版本Office中,默认是不开启宏的,所以木马会在文档正文中诱导用户启用宏,使得恶意代码得以执行。
除了在邮件附件中放置文档之外,还有一些其它的文件格式被用于木马的传播。这些格式有的是可以直接运行的脚本格式,例如Powershell、js、vbs等,有的是格式关联的可执行文件具有一定的任意执行能力,例如JAR、CHM等。
三、高度发达的产业链
木马交易、邮件传播等环节都已形成成熟稳定的黑色产业,而逐步发展起来的比特币市场为赎金交付提供了便利渠道。
围绕着这类木马,已经形成了包括制作、传播、赎金交付在内的一整套黑色产业链。不同身份的黑客在这个链条中分工合作,互相交换资源和数据,其目的只有一个,那就是从受害者的损失之中分得一部分利益。
以传播木马这个环节为例,既然木马是通过邮件的方式进行广泛传播,那么向谁发送邮件,如何发送邮件,都包含资源或利益的交换。目前已经形成了
【收集客户邮箱账户--->客户身份信息分类--->兜售客户邮箱账户--->专业发送邮件】
的黑色产业链。只要用邮箱账号在BBS、论坛、聊天室等网站上注册过或者发表过言论,都有可以被黑产从业者使用爬虫工具在网上抓取到,并通过言论行为以及账号信息进行身份分类。被分类号的邮箱账号会出现在各类平台上进行兜售。
四、矛与盾的对抗
通过邮件传播的敲诈木马自从被安全人员发现以来,安全行业从业人员始终没有放弃对其进行查杀的努力。到目前为止,已经为部分CryptXXX、TeslaCrypt、Jigsaw等木马变种开发了对应的解密工具,受害者只需要根据工具的指示进行操作,无需支付赎金即可恢复被这些木马加密的文件。哈勃分析系统也发布了数个解密工具。与此同时,很多安全厂商与政府部门联合起来,推出了www.nomoreransom.org网站,希望为敲诈木马的受害者提供一站式解决方案。
不过,受到木马算法原理的制约,没有一个工具能够一劳永逸地解决所有问题。同时,木马作者也在不断变换自己的手法,希望从文档木马中榨取更多的价值。
在这场矛与盾的对抗之中,可以肯定的是,如果事前对这类攻击手段有所防范,则可以有效降低损失。哈勃分析系统提出了如下的防范措施: