敲詐者病毒的技術防范

2017-02-23 12:34:27張濤

電子技術與軟件工程 2016年24期

張濤

近期敲詐者病毒異常活躍，目前尚且沒有比較有效的解密軟件產生，如何做好技術防范，至關重要。

【關鍵詞】敲詐者病毒技術防范

1 引言

近期敲詐者木馬病毒異常活躍，據諸多用戶反映，計算機中文檔、圖片均無法打開，文件擴展名全部被篡改為.crypt，并且需要給指定賬戶支付一定費用才能獲取密鑰解鎖。出現類似情況的用戶是中了敲詐者病毒，是敲詐者病毒Locky的新變種，主要通過郵件傳播，或者嵌入在免費的軟件中，用戶在不知情的情況下下載運行后就會誘發病毒，該病毒會對宿主計算機包括但不限于以.wma、.avi、.rar、.DayZProfile、.doc、.odb、.forge、.cas、.map、.mcgame、.rgss3a、.big、.wotreplay、.xxx、.m3u、.png、.jpeg、.txt、.crt、.x3f、.ai、.eps、.pdf、.lvl、.sis、.gdb為后綴的文件進行加密，并能通過文件共享快速傳播至公用終端，借此敲詐受害者支付贖金，才能恢復被病毒加密的文件。由于該病毒采用不對稱加密的方式對系統中的特定文件進行高強度加密，使受害者完全不可能在不支付贖金的情況下自行解密被加密的文件。但是即便用戶支付了數據，也不一定能夠獲得密鑰解鎖被加密文件。

2 敲詐者病毒的演進

最早發現的敲詐者病毒以惡意隱藏宿主計算機中的用戶文件，造成用戶數據丟失的假象，從而以恢復數據為由勒索錢財。經過多重演進，目前網絡上充斥著種類繁多的敲詐者木馬，單單360云安全中心已捕獲Virlock相關樣本近8萬個。

騰訊反病毒實驗室曾攔截到一個名為RAA的敲詐者木馬，其所有的功能均在Javescript腳本里完成。這有別于過往敲詐者僅把javascript腳本當作一個下載器，去下載和執行真正的敲詐者木馬。這種木馬使得混淆加密更加容易，并且增加了殺軟的查殺難度。最近還出現了由PHP語言編寫的敲詐者木馬，其偽裝成doc文檔的一個Javescript腳本，當用戶執行該腳本后，開始從指定的服務器下載文件，而下載的文件包括PHP腳本的解釋器和PHP木馬，PHP木馬負責對指定后綴名的文件進行加密，最終實現對文件擁有者進行欺詐。來自360互聯網安全中心的數據顯示，僅2016年上半年，我國國內有超過58萬臺電腦遭到了敲詐者木馬攻擊，且有多達5萬多臺電腦最終感染了敲詐者木馬，平均每天有約300臺國內電腦感染敲詐者木馬。

3 敲詐者木馬病毒主要攻擊方式

宿主一旦敲詐者木馬病毒，病毒會遍歷所有的磁盤和網絡共享路徑，會對當前用戶賬戶進行加密，禁用系統安全功能，使用戶賬戶控制功能失效，病毒感染全盤數據之后，會彈出勒索提示框，要求用戶支付一定數額的金錢。

近期的敲詐者病毒主要采用以下三種傳播方式：郵件釣魚、下載器掛馬、執行器掛馬。釣魚郵件是一種比較經典的木馬傳播方式，主要手法是將惡意程序以郵件附件的形式發送給攻擊目標，攻擊范圍廣泛，一旦被攻擊者打開或者運行了附件，惡意程序就會被執行。就敲詐者木馬而言，最常見惡意附件形式主要有三種：JS腳本、可執行文件和Office宏病毒文件等。下載器掛馬是一種比較傳統的網頁掛馬攻擊方式，主要方法是在頁面中嵌入惡意的JS腳步，一旦用戶使用有不安全的瀏覽器，掛在在網頁上的惡意JS腳本就會運行，使用戶中招。執行器掛馬是通過網頁掛馬程序注入瀏覽器，啟動并執行一個DLL類的木馬程序。目前釣魚郵件攻擊比例僅占比14%，執行器掛馬攻擊占比超過60%。

4 敲詐者軟件防范措施

目前尚且沒有比較有效的解密軟件產生，如何做到有效防范是廣大用戶關注的重點。比較行之有效的做法是在郵件系統上部署安全網關、配置反垃圾郵件策略，為所有終端安裝必要的防病毒軟件。當然，除了加強技術防范，提高商業用戶自身的安全意識至關重要。對于廣大商業用戶，需要注意的是郵件系統，由于郵件系統對惡意或垃圾郵件缺乏有效隔離，會導致用戶在不知情的情況下執行惡意文件導致個人終端被感染。一旦中招最有效的辦法是立即拔掉網線，避免感染公共設備，斷開計算機電源，最大限度減少損失。對于敲詐者木馬，最為有效的應對手段是事前防范，即在木馬的攻擊過程中對其進行攔截和風險提示。筆者給出以下建議，以幫助用戶避免遭受敲詐者木馬的攻擊：

（1）不要輕易打開陌生人發來的郵件附件或正文中的網址鏈接。

（2）不要輕易打開后綴名為dll或者js的陌生文件。

（3）謹慎打開陌生人發來的格式為壓縮文件的附件。

（4）對于不確定安全性的文件，建議選擇在安全軟件的沙箱功能中打開運行，避免木馬對實際系統的破壞。

（5）重要數據采用移動存儲設備定期備份，確保數據安全。

參考文獻

[1]敲詐者木馬威脅形勢分析報告[R].2016.

[2]劉陽富.計算機網絡安全與病毒防范[A].海南省通信學會學術年會論文集[C]，2008.

[3]司學斌.計算機維護維修與病毒防治策略研究[J].計算機安全技術，2011.

作者單位

中國信達資產管理股份有限公司海南省分公司海南省海口市 570100