尾猿會

   尾猿會網轉載：在惡意軟件的各類家族中，“敲詐木馬”是非常特別的一類。它的目標非常明確——直接要錢！它既不是直接盜取受害者的真實或虛擬財產獲利，也不是向受害者的電腦中關聯第三方服務（篡改主頁或者下載推廣軟件）從而向第三方收費，而是明目張膽地告訴受害者：給我錢，否則就撕票（讓受害者無法使用重要的文件，甚至無法正常使用整個電腦）。目前已知最早的敲詐木馬是1989年的PC Cyborg。該木馬通過加密C盤中文件名阻止系統正常工作，從而向受害者索要189美元贖金以恢復系統。很長一段時間以來，敲詐木馬一直不是惡意軟件中的主流，也較少被普通用戶所遇到，但這一情況從去年起發生了變化。
引起FBI關注的CTB-Locker木馬
   2015年年初，有一類敲詐木馬已鬧得雞犬不寧，甚至引發了美國FBI的關注，那就是CTB-Locker木馬。查看相關新聞，
此木馬在加密受害者硬盤上的資料文件后，向受害者勒索比特幣作為贖金。有消息說FBI建議受害者支付贖金以恢復文件。
最近也出現了好萊塢一家醫院被敲詐木馬勒索，要求支付300多萬美元才肯“釋放”醫院網絡系統的報道。這些案例足以證明這種敲詐方式確實讓人無可奈何。
據統計，在去年CTB-Locker爆發的高峰期，電腦管家單月捕捉到的樣本影響用戶數約1.9萬左右。 更隱秘狡猾的綁匪——vvv木馬
   vvv木馬得名于其將加密后的文件擴展名改為vvv。像vvv這樣的加密勒索木馬，典型的作惡流程是：發送郵件—下載病毒—加密文件—索要贖金。vvv木馬作案手法有幾個明顯特征：
一、大部分通過郵件進行傳播，且郵件不直接附加可執行文件，而是通過腳本、宏等手段完成下載，從而躲避安全檢查。
二、加密時使用高級的算法，例如RSA-4096等高強度加密算法，保證加密后的文件無法通過暴力手段恢復；又例如ECDH密鑰協商算法，此算法的重點在于無需聯網交換數據，每次運行時會在本地生成一次性的加密密鑰，一旦加密完成后就丟棄，此后只能通過服務器數據進行恢復，保證了木馬作者對于受害者文件的控制力。
三、支付贖金方式隱秘，通常要求受害者通過比特幣和Tor網絡進行交易，這二者的共同特點就是高度匿名性，保證了通過贖金環節也無法追蹤到黑客。
   由此可以看出，加密敲詐木馬在近一年內的爆發，是與計算機技術的飛速發展分不開的，尤其是密碼學和數字貨幣技術的進步，成為了這類木馬穩定的基石。“技術是一把雙刃劍”，這個斷言用在此處還是非常合適的。
   根據騰訊電腦管家統計，從去年12月起，管家捕捉到的vvv相關木馬呈爆發態勢，到目前估計全網受影響的用戶數月均1.3w左右。

新綁匪層出不窮，地下黑產讓敲詐木馬激增
   通過對比CTB-Locker和vvv木馬，可看出此類敲詐木馬在近期的演進方向：
一、CTB-Locker的欺詐郵件中，下載器還是以scr等文件名偽裝的方式進行傳播，本質上還是可執行程序；而vvv木馬中，郵件附件已經變成了腳本、宏這類格式，其變化更多，躲避安全檢查的能力也更強。
二、CTB-Locker的傳播以歐美地區為主，而vvv木馬的受害者已經大部分是日本人，再加上新密鎖木馬中繁體的敲詐說明，可以看到此類敲詐木馬的目標對象已經轉向了東亞地區。
三、與CTB-Locker相比，vvv及類似木馬之間的差別更小，呈現出明顯的模塊化的特征，很像是通過配置不同的參數、圖片等即可生成。
   事實上，去年也有這樣的傳聞，在地下黑產中流傳著這樣的服務，真正的惡意軟件作者按照需求生成定制化的敲詐木馬，交由另一批人進行木馬的分發（如發送欺詐郵件），并從比特幣的賬戶中獲取分成。如果這種CaaS（Crime as a Service）的方式已經開始在黑產中大規模應用，說明這種敲詐方式的利潤已經高到足以養活一整條利益鏈的程度，同時更多類似的敲詐木馬將會在接下來的時間內繼續集中爆發。

中國 “接地氣”的綁匪，劫持Windows
  除了上述所說的木馬家族外，在中國還有另外一種更接地氣的敲詐木馬，它們在網盤、群文件等地方進行傳播，通過充鉆、色情、外掛等種種誘惑性的名稱吸引受害者運行，運行起來之后立刻修改Windows登錄密碼，然后等待用戶重啟或強制重啟電腦，在登錄界面通過用戶名或提示信息要求受害者聯系指定的QQ號，進而在聯系上之后要求用戶付款換取Windows登錄密碼。
   除了傳播方式外，木馬作者留QQ號，以及通常要求使用Q幣支付贖金等細節，都表明這是一類熟悉中國互聯網特征的敲詐木馬。由于技術要求低，這類木馬始終持續地在網絡上出現，但是熟悉電腦的技術人員也有一些手段能解決這種問題，因此這類木馬無法形成大規模的爆發。
   目前電腦管家平均每月能捕獲約4000個類似的木馬，自15年8月起此類木馬有明顯的爆發趨勢。

屏霸木馬，無恥之極
  除了Windows系統之外，近年來敲詐類木馬在智能手機上的安卓系統也有抬頭趨勢。與電腦相比，手機端的屏幕較小，運行的任務比較聚焦，同時缺乏豐富的進程管理工具。因此，大部分木馬的作惡手段是將自身窗口反復強制置頂，使受害者無法正常使用手機的其它功能，同時在置頂窗口中提出敲詐需求和聯系方式。去年1年內，騰訊反病毒實驗室平均每月能夠捕獲約500個類似木馬。
   此外，也有一些新型的作惡手段進入我們的視野。例如某一類鎖屏木馬，先引誘用戶將其設置為設備管理器，然后通過接口直接修改系統鎖屏密碼。這樣的案例雖然出現得不多，然而代表木馬作者在移動端也在不停嘗試新的作惡手法，這也進一步說明了對敲詐類木馬保持關注的必要性。

遠離敲詐木馬，預防是關鍵
  vvv敲詐木馬的爆發，標志著敲詐類木馬已經發展為復雜化、專業化、產業化的暴利斂財工具。在這個類別中，不同技術手段、不同平臺的各類樣本層出不窮，能夠覆蓋當前互聯網的各類使用人群，因此正在成為一個新的毒瘤。
   由于大部分敲詐木馬在受害者中招以后都難以自行恢復，因此事前防范是對付此類木馬的一個重要環節。騰訊電腦管家建議大家需養成良好的上網習慣，不要從不可信的網站、郵件、陌生人、手機短信等處接收和運行文件，對于可疑的文件可以使用哈勃分析系統進行掃描。在上網時需要開啟安全類軟件，如騰訊電腦管家和手機管家的防護功能，以防范各種風險。
   另外，當不幸遭遇此類木馬，也可用哈勃文件問題進行專殺，哈勃針對窗口置頂的敲詐木馬開發了一系列專殺工具，同時對于修改系統鎖屏密碼的樣本也能進行識別和密碼提取。


本文節選自騰訊電腦管家