深度调查“比特币敲诈者”背后藏大型僵尸网络

作者:许天胜

背景

今年一月份首次现身中国的“比特币敲诈者”病毒如今呈指数级爆发,腾讯反病毒实验室日前发现,该病毒疯狂变种,仅 5 月 7 日当天新变种数就已达 13 万,不仅敲诈勒索用户,甚至还能盗取个人隐私。腾讯反病毒实验室分析,从攻击源来看,这是由黑客控制的僵尸网络以网络邮件为传播载体发起的一场风暴。

(“比特币敲诈者” 呈指数级爆发)

比特币是一种新兴的网络虚拟货币,因可兑换成大多数国家的货币而在全世界广受追捧。与此同时,一种名为“CTB-Locker”的“比特币敲诈者”病毒也肆虐全球,其通过远程加密用户电脑内的文档、图片等文件,向用户勒索赎金,否则这些加密的文档将在指定时间永久销毁。目前,腾讯电脑管家均能精准识别,并完美查杀,保障用户电脑安全。

僵尸网络助“比特币敲诈者”愈发猖狂

根据腾讯反病毒实验室监测,“比特币敲诈者”的攻击源大部分来自美国,其次是法国、土耳其等。从 IP 来看,这些攻击源来自一个黑客控制的僵尸网络,黑客利用这个僵尸网络发起邮件风暴。邮件内容大多是接收发票之类,诱导用户去点击下载附件。

(“比特币敲诈者”攻击源分布)

所谓僵尸网络 (Botnet) 是指采用一种或多种传播手段,将大量主机感染 bot 程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。

据了解,之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。

(僵尸网络助“比特币敲诈者”愈发猖狂)

“比特币敲诈者”向全球发起攻击,中国是其中目标之一,腾讯反病毒实验室监测,国内四川省,广东省,北京市是重灾区,占总比一半以上。而且受害目标大体都是企业,所以“比特币敲诈者”不仅是针对“高端”用户,而且针对企业单位的员工,因为企业员工的文档更具商业价值,会迫使交赎金。

(“比特币敲诈者”受害地区分布)

国家互联网应急中心监测的最新数据显示,仅 2014 年上半年,中国境内就有 625 万余台主机被黑客用作木马或僵尸网络受控端,1.5 万个网站链接被用于传播恶意代码,2.5 万余个网站被植入后门程序,捕获移动互联网恶意程序 3.6 万余个,新出现信息系统高危漏洞 1243 个。

腾讯反病毒实验室安全专家表示,僵尸网络构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。无论是对整个网络还是对用户自身,都造成了比较严重的危害。“比特币敲诈者”便是利用僵尸网络发起邮件风暴,进行各种各样的攻击。

“比特币敲诈者”疯狂变种 可窃取隐私

据了解,“比特币敲诈者”病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点。用户一旦中招,病毒将浏览所有文档(后缀为.txt、.doc、.zip 等文件)和图片(后缀为.jpg、.png 等文件),并将这些文件进行加密让用户无法打开,用户必须支付一定数量的“比特币”当做赎金才可以还原文件内容。

(用户必须支付赎金才可解锁文件)

腾讯反病毒实验室的监测数据显示,从今年 4 月开始,“比特币敲诈者”疫情最为严重,为了持久有效的攻击,躲避静态特征码的查杀,病毒也在不断地演变,图标多选用文档图标(如 doc,pdf 等),而自身的壳不断地变形变异。其中,5 月 7 日新变种达到最高值,单天就高达 13 万个!

(“比特币敲诈者”变异趋势)

同时从数据变化规律来看,在周末“比特币敲诈者”攻击大幅度下降,几乎掉零,而到了工作日,攻击疯狂上飙,数据的波动有规律,可以猜测出这是一个有组织有规模的攻击,黑客上班时间与我们白领相同,周一到周五上班,周六周日下班。

腾讯反病毒实验室安全专家表示,近期发现的“比特币敲诈者”病毒不仅敲诈用户,而且还新增了盗号的特性,会默默搜集用户电脑里的密码配置文件,如:电子邮箱、聊天工具、网银帐号、比特币钱包等等的密码,威胁用户财产安全。目前,腾讯安全团队已第一时间对该病毒进行了深入分析,并可完美查杀此类病毒以及所有变种。

赎回文件需数千元 安全专家支招防范技巧

据路透社报道,“比特币敲诈者”病毒出自俄罗斯的一名黑客,名字叫艾维盖尼耶·米哈伊洛维奇·波格契夫(Evgeniy Mikhailovich Bogachev),曾凭借这类勒索木马病毒令 12 个国家超过一百万计算机感染,经济损失超过 1 亿美元。美国联邦调查局(FBI)官网显示,波格契夫在 FBI 通缉十大黑客名单中排名第二,是某网络犯罪团体的头目。FBI 悬赏 300 万美元通缉波格契夫,这也是美国在打击网络犯罪案件中所提供的最高悬赏金。

专家强调,正因为危害较大,FBI 才会悬赏如此高的奖金缉拿病毒作者。用户一旦中招,意味着电子版的合同,多年老照片,刚刚写好的企划案,刚刚做成的设计图,统统在病毒的加密下无法打开。病毒制造者主要利用用户急切恢复文件的心理实施敲诈,成功率极高。据悉,比特币近期虽然行情低迷,但单个成交价也在 1391 元人民币左右(4 月 20 日更新数据),所以,虽然是几个比特币的勒索,对于用户来说也不是小数目。

(电脑管家拦杀提示)

专家提醒,不要轻易下载来路不明的文件,尤其是后缀为.exe,.scr 的可执行性文件,不要仅凭图标判断文件的安全性,安装腾讯电脑管家可有效识别文件安全性,并可实时保障电脑安全。另外,平时养成备份习惯,将一些重要文件备份到移动硬盘、网盘,一旦被木马感染,也可及时补救。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏王磊的博客

MySQL数据库工具类之——DataTable批量加入MySQL数据库(Net版)

MySQL数据库工具类之——DataTable批量加入数据库(Net版),MySqlDbHelper通用类希望能对大家有用,代码如下: using MySql....

3689
来自专栏菩提树下的杨过

基于sliverlight + wcf的web 文字版IM 示例

演示地址: http://task.24city.com/default.html 预览界面: ? 一、布局 采用Grid布局,5行2列 第一行:为登录/注册信...

3266
来自专栏技术之路

sqlserver 的事务和c#的事务

sql的事务 1 sql 2 create database model 3 go 4 use model 5 go 6 create table ...

1969
来自专栏田超学前端

【微信小程序】c# 实现获取openid、session_key 服务端

6160
来自专栏跟着阿笨一起玩NET

使用延迟的FileSystemWatcher来避免重复触发事件

  程序里需要监视某个目录下的文件变化情况: 一旦目录中出现新文件或者旧的文件被覆盖,程序需要读取文件内容并进行处理;但在实际处理中发现当一个文件产生变化时,C...

1062
来自专栏互联网开发者交流社区

STC-单片机控制系统

1163
来自专栏Golang语言社区

GO语言 TCP传输实例

package main import ( "net" "fmt" ) var ( maxRead = 1100 msgStop = []byt...

3436
来自专栏大内老A

开发自己的Data Access Application Block[下篇]

上接:[原创] 我的ORM: 开发自己的Data Access Application Block - Part I 4. Database 下面来介绍重中之重...

2286
来自专栏hbbliyong

socket 通信 多线程调用窗体(委托)的几个知识点,记录在案,以备查阅

1.socket 通信传输汉字的方法:Encoding.GetEncoding("GB2312").GetString(Receivebyte) 发送接收都这样...

2767
来自专栏我和未来有约会

Silverlight制作逐帧动画 v2 - part2

Silverlight制作逐帧动画 v2 - part2 在这里完善了一下算法,加入了fps的机制进去。 private string[] ...

1956

扫码关注云+社区