一封短短的郵件,卻可以被不法分子用來遠程加密受害者文件,敲詐比特幣贖金。當前,敲詐木馬日益猖獗,其背后是成熟運轉的黑色產業鏈。從受害者信息的獲取,到木馬的制作、郵件的發送,每一個環節的不法分子都能從贖金中分得一杯羹。未來,不法分子還會發動什么樣的攻擊?面對這樣的木馬又應該如何防范?近日,騰訊安全聯合實驗室旗下的反病毒實驗室發布了“敲詐者”黑產研究報告,與騰訊電腦管家一起詳細揭秘“敲詐者”及其背后的黑色產業鏈。
敲詐風暴愈演愈烈 企業核心數據頻頻遭竊
如果沒有點開那一封郵件,汪為(化名)現在就不會忙于尋找丟失的文件,甚至也不用支付相當于幾個月工資的罰款。
汪為在北京一家互聯網企業上班,日常工作是在網上與客戶進行聯系,維護產品銷售渠道。因公司準備出國參加一場展銷會,汪為忙著跟幾家快遞公司通過郵件商量宣傳物資的郵遞事宜。和往常一樣,他在未讀郵件中挑出了與快遞相關的部分,逐一閱讀并打開其中的附件,直到他點開了一封主題為“Delivery Notification”的郵件。一小時后,他電腦中的文件被改成亂碼且無法打開,被修改為敲詐內容的桌面背景也顯示出來。他才知道電腦中了“敲詐者”木馬。
像汪為這樣的遭遇并非個例。自2014年起,陸續有人在打開郵件之后,發現自己電腦中的文件被修改,其中不乏公司核心數據、有重要意義的圖片等內容,一旦丟失造成的損失難以估量,此外在電腦顯著位置上也會出現敲詐信息。
敲詐木馬最初僅在國外傳播,后來逐漸滲透到國內,受其影響不乏醫院、公交公司這樣的大型企業。目前,除了少部分敲詐木馬可以通過其漏洞進行破解外,仍有很多木馬難以治理,而受害者往往需要支付贖金才能解鎖文件,對于一些重要數據被加密的公司而言,這是無奈之中最后的辦法。此前,美國好萊塢某醫院為了恢復患者病歷,被迫支付了相當于數萬美元的贖金。經過長時間的監測,騰訊電腦管家在第一時間揭秘這類木馬。
財務會計類職工成攻擊目標 郵件成敲詐者主要傳播渠道
從以往騰訊電腦管家攔截情況來看,當前敲詐木馬主要以郵件進行傳播,郵件的主題往往是快遞、發票、費用確認等公務內容并含有附件,從而誘導財務、會計、對外關系等職位的員工打開。其中,最常見的附件格式是Office文檔,還有一些如Powershell、js、vb、JAR、CHM等文件格式被用于傳播。木馬運行后,將導致電腦上用戶隱私(文件、照片)等被加密。
為了謀求更多利益,不法分子也在不斷變換手法,如控制電腦隨意登陸訪問廣告、釣魚網站,或是下載后門木馬,實時監控受害者上網行為并上傳隱私信息。其次,不法分子也開始針對不同種類的電腦用戶開發相應的木馬,連一向以安全著稱的MAC操作系統在不久前也遭到了敲詐木馬的攻擊。除此之外,在一些針對政府、軍隊等敏感目標的高等級、強對抗的網絡攻擊中,也出現了敲詐木馬的身影。
郵箱賬號9.9元公開兜售 “敲詐者”黑色產業日趨成熟
圍繞著敲詐木馬,不法分子已經形成了“收集客戶郵箱賬戶—客戶身份信息分類—兜售客戶郵箱賬戶—專業發送郵件”的一整套黑色產業鏈。不同身份的不法分子在制作、傳播、贖金交付等環節中分工合作,互相交換資源和數據,企圖從受害者的損失中分得利益。
在郵件信息獲取階段,騰訊安全和騰訊電腦管家研究人員發現,只要用戶使用郵箱賬號在BBS、論壇、聊天室等網站上注冊過或者發表過言論,那么黑產從業者就能使用爬蟲工具在網上抓取到相關郵箱信息,并通過用戶言論行為以及賬號信息進行身份分類。被分類好的郵箱賬號會出現在各類平臺上進行兜售,其中一些行業類別的郵箱賬號信息兜售價為9.9元。
(多個行業的郵箱賬號被兜售)
一旦不法分子獲取郵箱賬號信息后,就會著手發送垃圾郵件,而使用正規郵箱大量發送垃圾郵件,很大概率會被封號,于是出現了“專業發送郵件”的產業環節。據調查,該環節從業者多采取自搭建郵箱服務器的方式,可以做到無限制的發送,就連發送總量、點擊人數等都可以查看。
贖金交付是另一個重要的環節,它直接關系著整個黑色鏈條是否能從受害者那里攫取到足夠的利益。比特幣因在全球范圍內可使用,且其使用者具有匿名性,難以追蹤,常常被不法分子要求作為贖金。
防治敲詐木馬,事前防范顯得尤為重要。騰訊安全反病毒實驗室專家馬勁松提醒用戶,不輕信任意陌生郵件中的內容,不要隨意開啟郵件附件,不管是可執行文件、Office文檔,還是后綴名不熟悉的其他格式文件。同時開啟Office、WPS等文檔軟件安全防護功能,不要設置默認運行宏,也不要受陌生文檔的引誘臨時開啟宏運行。在生活中,使用騰訊電腦管家等安全類軟件,開啟實時保護并及時更新版本。目前,騰訊電腦管家旗下的哈勃分析系統也發布了數個解密工具,受害者只需要根據工具的指示進行操作,無需支付贖金即可恢復被敲詐木馬加密的文件。對于不放心的文件,也可以使用哈勃分析系統(https://habo.qq.com/)對文件進行檢測。
(新聞稿 2017-03-14)