360齊向東:警惕敲詐者病毒泛濫成災
責編:mhshi |2016-09-23 18:13:419月22日,首屆國際反病毒大會在天津召開,360公司創始人兼總裁、360企業安全集團董事長齊向東在大會做主旨演講時表示,當前,網絡威脅層出不窮,隨著匿名互聯網等技術的興起,病毒產業造成的危害也在不斷升級。他預警,當前正在爆發的敲詐者病毒創新的技術模式、盈利模式正在被大批病毒制造者學習復制,未來將泛濫成災。
敲詐者病毒猖獗 動輒勒索上萬元
最近,南方一家科技公司的信息主管向360公司求助,他辦公室電腦內部網盤被Cerber病毒感染,重要的資料文件都不能正常使用了,病毒作者要求每個文件支付1.25個比特幣才給解密,按照現在比特幣的價錢,也就是說,每個文件都要被勒索6000多人民幣。他系統里一共有幾千個重要的文件,要是全部解密需要100多萬元。
這個Cerber病毒是敲詐者病毒的一種,是不法分子通過對感染者的重要文件加密等方式,向用戶敲詐錢財才予以解密的一種惡意軟件。
據齊向東透露,從2014年開始,360就陸續收到類似求助,一開始,這個病毒基本上是國外比較流行,在中國范圍內,被感染的多是外貿相關的機構,屬于偶然性的中招。但現在,已經是對國內有針對性的進行攻擊了,被攻擊人數也在快速增長。有一家央企,曾在兩周之內中招三次。
根據360威脅情報中心監測,全球范圍內,敲詐者病毒的多達80個家族,特別流行的是其中7個家族。2015年第四季度,全球敲詐者病毒數量較上一季度增加了26%,600萬敲詐者病毒嘗試安裝到電腦。僅2016年上半年,我國國內有超過58萬臺電腦遭到了敲詐者木馬攻擊,且有多達5萬多臺電腦最終感染了敲詐者木馬,平均每天有約300臺國內電腦感染敲詐者木馬。
2016年2月以來,360威脅情報中心監測到,一大波敲詐者病毒大規模爆發,敲詐者病毒向企業、醫院、銀行、政府機構、企事業單位及律師、作家等群體進行攻擊,竊取高價值文件。目前,敲詐者病毒攻擊范圍也在不斷擴大,已經涵蓋了Windows、Mac、Android、iOS和虛擬桌面。如果被感染的設備連接了企業的網絡共享存儲,那么共享存儲中的文件也可能會被加密。
創新的盈利模式和技術模式正在被復制
據了解,以往的病毒傳播,拼的是技術,誰用的技術新,漏洞厲害,傳播就廣,病毒制作者獲利就大。但這類敲詐者病毒用的卻都是已經有很長時間的成熟老技術,例如已經有幾十年歷史的非對稱加密技術,十幾年歷史的匿名網絡技術洋蔥頭(也叫Tor),七八年歷史的比特幣技術等。
但是,他們把這些傳播技術重新組合起來,形成了一個新的技術模式,只要一次運行,把文件加密了就能開始勒索,因為加密在這一次運行的時候就完成了,也就不需要修改系統來常駐,不用想辦法隱藏自己,也不用和遠端建立連接。殺毒軟件以前的層層防護在這種技術模式面前,就沒什么用了。因為就算殺毒軟件把它刪除了,用戶還是得乖乖交錢才能解密文件。在這個技術模式里,匿名技術的使用避免了對黑客的追蹤,讓這些犯罪分子有恃無恐,也加劇了敲詐者病毒的泛濫。
同時,這個新的技術模式也構造了新的盈利模式,就是直接從終端用戶那里撈錢。之前的病毒也好,木馬也好,他們的盈利模式都是要感染很大的量,然后把這些終端當作“肉雞”,刷流量、裝軟件,一個終端賺十幾塊錢,要想盈利,一方面要感染很大的量,另一方面要能夠在這些終端上持久地存活下來。但是敲詐者只要感染幾個重要的用戶,讓他們交贖金,就能從一個終端上至少賺到幾個比特幣,折算下來就是一萬多塊錢,這筆錢以前是要感染一千個終端才能賺到的。
齊向東說,因為這個商業模式很創新,技術門檻也不高,匿名互聯網技術又保證了自己不會暴露,大量的黑客開始學習敲詐者病毒的攻擊思路和技術手段,大量應用于黑產。比如,360威脅情報中心發現,出現了大量假的敲詐者病毒,他們對文件的加密方式實際上是可以解密的,但在他彈出的敲詐頁面上聲稱自己用的是敲詐者病毒使用的rsa4096結合aes的加密方式,讓用戶誤以為自己的文件無法解密而支付贖金。這個特點,很明顯就是技術能力并不高的黑客在學習敲詐者病毒的思路,“移花接木”,用于犯罪。
正是因為黑產普遍都學到了這個套路,所以我們觀察到敲詐者病毒開始泛濫了,未來很可能會泛濫成災。
每天攔截6000余次 “敲詐先賠”提供保障
齊向東提到,為了治理敲詐者病毒,360成立了特別行動小組。360公司擁有13億終端用戶和全球最大的網址庫和第三方數據庫,目前樣本庫的總樣本已經超過了95億條,每天還在源源不斷地更新中。360利用大數據和云安全技術,加上網民的協同,能多維度的進行安全數據監控,快速地捕獲樣本,對樣本進行快速的分析和機器學習,并迅速響應升級,從而做到360安全衛士、360天擎等安全軟件能對各類敲詐者病毒及其最新變種進行攔截和查殺,目前,每天攔截敲詐者病毒高達6千多次。
360還獨家研發了獨有的文檔防護功能。這個功能是從源頭上保護用戶的重要數據,只要判斷為非正常地試圖修改文檔時,就會進行攔截。也就是說,不管敲詐者有多少種新的變種,也無法達到破壞重要數據的目的。
“這套技術上線之后,取得了很好的效果,安裝了360的用戶幾乎沒有中招的。基于對我們技術的信心,今年9月初我們推出了敲詐先賠服務。“齊向東告訴記者,對于所有安裝了360安全衛士的互聯網用戶,如果開啟“360文檔保護功能”和“360反勒索服務”,仍然感染了敲詐者木馬,360可以代替用戶向黑客繳納最高3個比特幣(大約13000元人民幣)的贖金。對于安裝了360天擎的企業用戶,如果用戶在開啟了敲詐先賠功能后仍然感染了敲詐者病毒,360企業安全集團負責賠付贖金,提供每個企業最高一百萬元的先賠保障。
據了解,推出“敲詐先賠“服務以來,360公司已經收到了大約100起被敲詐者病毒加密的用戶案件,所有都是由于沒有安裝360或者退出360的防護導致中招,沒有一起是由于360沒有防住導致的。(記者 侯云龍 北京報道)