正文
2.这类受害者每年大概有多少?干这个勾搭的黑帽子群体大概有多少?
王亮:今年上半年我们拦截的敲诈者攻击超过 44 万次,下半年由于国内挂马攻击的出现,曾经出现过单日拦截敲诈者木马超过 2 万次的情况,敲诈者木马的攻击规模还在不断刷新。
目前我们抓到的敲诈者的各类变种超过 200 种,积极传播与活跃对抗的就有8个家族。根据样本行为、代码分析、攻击溯源看,攻击者来自国内、俄罗斯、日韩、美国等地,参与其中的黑产组织至少有几十个。
另外,从制作门槛上来说,敲诈者病毒的制作门槛并不高,各类加密算法都有现成的源码和库代码可以使用,只要对其原理略知一二就可以做出一款简单的敲诈者。而网上也有很多公开的勒索软件源码,对其做一些修改就能做出一款可以使用的敲诈者病毒。高利润低门槛,使得敲诈者病毒的制作团体越来越多。
3.勒索木马到底是什么时候出现的?迄今为止有多少主流版本?
王亮:此类木马有十多年历史,之前的敲诈方式是加密或者隐藏文件后要求转账或者购买指定商品,传播量和影响力不高。
最近流行的比特币敲诈者其实在 2014 年就在国外流行了,到 2015 年大量流入国内。在国内大量传播的主流敲诈者家族就有 CryptoWall , CTB-Locker , TeslaCrypt , Cerber , Locky , CryptXXX , xtbl 等多个家族,每个家族在传播对抗过程中又产生有多个分支版本。目前捕获的敲诈者木马超过200个版本,传播量和影响力都非常大。
4.听说你拥有长达 9 年的恶意软件查杀经验,想听听你和勒索木马的斗争经验。
王亮:多年前制作病毒木马还有炫技的成分存在,现在市面传播的木马全部是利益驱使,互联网上哪里有利可图,哪里就有搞黑产、赚黑钱的网络黑手。敲诈者病毒也不例外,国内中招比较早的一批受害者是外贸相关的企业和个人。
攻击者发现能从国内赚到钱之后,也开始专门针对国内进行攻击,同时因为这一木马知名度的提示,也带动了一批黑产人员加入到敲诈者病毒的制作和传播中。以比特币为代表的各类匿名支付手段,也给敲诈者勒索赎金提供了方便,造成现在敲诈者木马家族多,变种多的情况。
随着信息化程度越来越高,不管是企业还是个人,对于信息系统的依赖度也越来越高,而勒索软件的主要危害就是破坏信息系统中的数据资源。企业个人的信息化程度越高,危害也越大。
前两年,这一波敲诈勒索木马刚刚兴起时,因为主要在国外传播,木马的演变主要也是针对的国外的杀软。那时我们可能只需要几个简单的技术手段,就能很好的查杀和防御这类木马,那时我们已经意识到,攻击者可能很快就会发现在中国也是有利可图的,会转过来专门攻击我们。在敲诈者木马刚刚开始在国外流行时,我们已经在实验我们的防护策略和手段,当时我们测试过对文件做备份,对文件写入内容做检测,对文件写入方法做检查,对数据操作流程做检查等十多种方案。
这中间有过不少尝试,比如刚刚测试文件格式拦截时,发现会误报发票打印程序,后来研究发现有些发票打印程序会改图片格式。我们测试备份方案的时候,发现磁盘IO太高,性能上划不来。我们就在这中间不断尝试,最后将其中比较有效且消耗合理的方案应用到了我们的产品中。
很快 2015 年就开始出现专门针对国内进行传播免杀的敲诈者木马,而且很多木马刚刚出现时都是免杀全球杀软的,在 VirusTotal 上扫描都是 0 检出的。我们之前已经准备了一套可行的防护方案,所以即使在引擎无法检出的情况下,仍能识别攻击保护数据安全。在这个对抗过程中,我们根据木马的传播特点和行为特征又补充增加了多个拦截方案。比如针对挂马传播,即使用户没打补丁,我们的引擎没检出,但在文件落地时我们仍然能将这类恶意程序报出,多层防御使我们有一个很高的拦截成功率。
到 2016 年,这个木马已经开始在国内大范围传播了,很多普通用户计算机因为访问挂马网页也造成感染。我们在今年 8 月开始推出“360 反勒索”服务,给用户承诺,开启这个服务后,如果正常开启我们的防护功能,仍然被敲诈者木马感染的话,我们帮用户支付赎金解密文档。
这个服务刚开的时候,我们压力还是很大的,当时一个比特币 4000 多人民币(现在已经涨到 5000 多了),我们承诺给用户最多赔付 3 个比特币,也就是 1.2 万。当时一天对这个木马有 1 万多次的拦截,如果没防住,可能一天就得赔出去几十万上百万去。我们陆续开始收到一批批反馈,结果发现中招用户很大一部分是裸奔用户,一直认为杀毒软件无用,平时机器都是裸奔状态,结果中招了,后悔莫及。
也有用户给我们提了不少建议,比如前不久有一位用户说:“那个木马确实拦截了,但是没看出来我们拦截的这玩意会加密他的文件”,所以他就给放了。用户给我们的反馈,也帮我们完善了产品,保护了更多用户不受伤害。
只要这类攻击仍然有利可图,这些攻击者就会继续对抗下去,我们和他们的攻防战争就不会停。
1.勒索木马有针对特定国家感染吗?国内和国外诞生的勒索木马有什么不一样?
王亮:有部分勒索木马是针对特定国家的,比如, Cerber 会避开俄语国家,XTBL主要针对中日韩。国内和国外的勒索木马很多是使用相同的技术手段,只是在传播方式和渠道上有所不同。不过国内出现过一些比较“本土化”的勒索木马属于黑客新人练手的作品,可能会显得比较另类,有些甚至留下QQ号敲诈Q币,这些木马很多并没有使用规范的加密方式,很大一部分可以通过技术手段破解。
比如,这款敲诈者就将密钥保存到了本地,详情请见:
《分享一款失败的国产加密勒索软件》
这里还有一个 php 编写的敲诈者,为了能够正常执行,本地还带了一个 php 的执行器,但是在加密上其实只是进行了异或操作,留给用户的信息谎称使用的 RSA 结合 AES 加密,详情请见:
《用世界上最好的编程语言写成的敲诈者木马》。
2.勒索木马到底是怎么瞄上受害者,又成功潜入受害者的电脑、手机……的?真的有人长着一张受害者的脸吗?
王亮:勒索木马主要的传播途径有两种:一类是通过网页挂马,这类木马属于撒网抓鱼式的传播,并没有特定的针对性,这类受害用户主要是裸奔用户,常年裸奔自认为很安全,哪成想一不留神打开一个网页甚至什么都没做就中招了。而另一类则是通过邮件传播,这类传播方式的针对性较强,主要瞄准公司企业,各类单位和院校,他们最大的特点是电脑中的文档往往不是个人文档,而是公司文档。这样文档一旦被加密,其损失往往不是个人能够承担的,无论是员工为了保住饭碗还是公司为了保住业务,都会更倾向于交付赎金减少损失。
