原標(biāo)題:“勒索病毒”瞄準(zhǔn)“電腦裸奔族” 每次敲詐數(shù)千至萬(wàn)元
中新網(wǎng)2月29日電 知名安全公司火絨(www.huorong.cn)近日發(fā)出警報(bào),從2015下半年開(kāi)始�,國(guó)內(nèi)“勒索病毒”案例驟增�����,這類(lèi)病毒會(huì)將電腦文件惡意加密,然后索要錢(qián)財(cái)�,為了解鎖一些高價(jià)值文件資料,受害者必須交付數(shù)千至數(shù)萬(wàn)元的贖金���。那些不裝安全軟件�����,讓電腦“裸奔”的白領(lǐng)和政府辦公人群,是該類(lèi)病毒重點(diǎn)“瞄準(zhǔn)”的目標(biāo)���。
北京某互聯(lián)網(wǎng)公司的小A���,最近就遇到了這樣的麻煩���。上周他發(fā)現(xiàn)�,電腦中許多文件被加密�����,經(jīng)火絨工程師檢測(cè),這是一種來(lái)自歐洲的“勒索病毒”����,雖然安裝“火絨安全軟件”后順利清除了該病毒���,但是由于中毒在先,許多文件已經(jīng)被加密���,小A只能乖乖地繳納了3980元贖金���。
經(jīng)了解��,小A自恃上網(wǎng)習(xí)慣良好,電腦也僅用于辦公���,因此沒(méi)安裝安全軟件�。他表示,一些安全軟件太占系統(tǒng)資源����,還存在惡意捆綁����、侵占電腦資源等流氓行為���,因此他周?chē)S多同事都不裝安全軟件��,讓電腦“裸奔”����。這給”勒索病毒”創(chuàng)造了絕好的攻擊機(jī)會(huì),該類(lèi)病毒的目標(biāo)是存有高價(jià)值文件的電腦��,這樣才能勒索到贖金�����,因此政府職員����、公司白領(lǐng)是它們天然的“目標(biāo)人群”�。
火絨目前截獲的大量“勒索病毒”主要來(lái)自國(guó)外���,已經(jīng)在歐美流行了數(shù)年,最近一兩年開(kāi)始陸續(xù)收到中國(guó)大陸地區(qū)的受害者報(bào)告���。淘寶上已經(jīng)有專(zhuān)門(mén)的商家��,幫助受害者購(gòu)買(mǎi)比特幣����,向境外病毒制造者支付贖金���,可見(jiàn)該類(lèi)病毒的泛濫情況已經(jīng)相當(dāng)嚴(yán)重��。
根據(jù)火絨《中國(guó)大陸地區(qū)2015年度PC互聯(lián)網(wǎng)安全報(bào)告》���,僅在2015年火絨就截獲了6萬(wàn)多種“勒索病毒”�。該病毒通過(guò)郵件和染毒網(wǎng)頁(yè)傳播���,感染后會(huì)給受害者提供詳細(xì)的“繳納贖金”的方法,最終用“比特幣”來(lái)支付����,通常價(jià)值人民幣4000元上下,而最近部分病毒勒索額度暴漲��,已經(jīng)高達(dá)13比特幣(5000美元左右)。
火絨工程師強(qiáng)調(diào),由于自身技術(shù)特點(diǎn)��,這些“勒索病毒”能有效對(duì)抗國(guó)內(nèi)安全行業(yè)目前流行的“云查殺”,安全軟件的反病毒引擎必須擁有強(qiáng)大的深度代碼檢測(cè)能力�����,才能有效對(duì)抗“勒索病毒”�����。
需要強(qiáng)調(diào)的是���,對(duì)于“勒索病毒”來(lái)說(shuō)���,防治遠(yuǎn)遠(yuǎn)重于事后查殺���。如果事先沒(méi)有安裝安全軟件,中毒之后即使安裝安全軟件查殺了病毒�����,那些已經(jīng)被加密的文件資料依然無(wú)法恢復(fù)���,用戶(hù)只能考慮放棄這些文件還是交付贖金。
火絨工程師的安全建議是�����,1、安裝合格的安全軟件(www.huorong.cn)�;2�、及時(shí)給操作系統(tǒng)和流行軟件打補(bǔ)丁���;3、不要點(diǎn)開(kāi)來(lái)源不明的郵件附件�,條件允許的話(huà)可以交給安全廠商分析附件內(nèi)容。
小貼士:為什么“火絨安全軟件”能夠有效截殺“勒索病毒”���?
“勒索病毒”來(lái)勢(shì)洶洶���,一旦中招幾乎無(wú)解���。
但是,防治辦法也相當(dāng)簡(jiǎn)單:登陸火絨官網(wǎng)(www.huorong.cn)����,一鍵下載并安裝“火絨安全軟件”��,即可有效截殺各種“勒索病毒”(火絨的相關(guān)保護(hù)模塊是默認(rèn)開(kāi)啟的���,無(wú)需操作)���。
“勒索病毒”的黑色產(chǎn)業(yè)鏈
如圖所示的“勒索病毒“產(chǎn)業(yè)鏈�����,黑色產(chǎn)業(yè)鏈中有人負(fù)責(zé)編寫(xiě)、販賣(mài)原始病毒代碼��,有人則負(fù)責(zé)編寫(xiě)��、販賣(mài)病毒混淆器��,這就導(dǎo)致即使是初級(jí)病毒制造者也可以像“搭積木”一樣快速制造“勒索病毒”。另外�,這種批量生成變形病毒變種的模式,與傳統(tǒng)的感染型病毒具有非常大的相似性�。
國(guó)內(nèi)安全軟件流行的“云查殺”面臨極大的挑戰(zhàn)——“勒索病毒”對(duì)“云查殺“天然免疫,其批量變形制造并傳播的周期遠(yuǎn)遠(yuǎn)短于“云查殺”的”收集�����、分析�����、識(shí)別“的響應(yīng)周期�。因此�����,所以在國(guó)內(nèi)”云查殺“覆蓋率如此高的情況下���,此類(lèi)病毒仍然持續(xù)泛濫���。
火絨認(rèn)為���,提高安全軟件引擎核心技術(shù)(如啟發(fā)式掃描�、行為沙盒等)是解決“勒索病毒”以及感染型病毒的根本手段。無(wú)論混淆器如何變形偽裝病毒���,為了執(zhí)行病毒代碼,最終都要在內(nèi)存中解碼還原其代碼�����、數(shù)據(jù)或行為��,萬(wàn)變不離其宗。
火絨反病毒引擎的“行為沙盒”會(huì)監(jiān)控在其中虛擬執(zhí)行的代碼的每一步行為�,當(dāng)病毒混淆器完成解碼��,并執(zhí)行真正病毒體代碼時(shí)��,火絨“行為沙盒”即可識(shí)別到不同樣本的相同行為模式,進(jìn)而報(bào)毒����。即使混淆器不斷變形產(chǎn)生變種����,火絨都可以在第一時(shí)間做出同一性識(shí)別和查殺����。
