专栏首页云加头条深度调查“比特币敲诈者”背后藏大型僵尸网络
原创

深度调查“比特币敲诈者”背后藏大型僵尸网络

作者:许天胜

背景

今年一月份首次现身中国的“比特币敲诈者”病毒如今呈指数级爆发,腾讯反病毒实验室日前发现,该病毒疯狂变种,仅 5 月 7 日当天新变种数就已达 13 万,不仅敲诈勒索用户,甚至还能盗取个人隐私。腾讯反病毒实验室分析,从攻击源来看,这是由黑客控制的僵尸网络以网络邮件为传播载体发起的一场风暴。

(“比特币敲诈者” 呈指数级爆发)

比特币是一种新兴的网络虚拟货币,因可兑换成大多数国家的货币而在全世界广受追捧。与此同时,一种名为“CTB-Locker”的“比特币敲诈者”病毒也肆虐全球,其通过远程加密用户电脑内的文档、图片等文件,向用户勒索赎金,否则这些加密的文档将在指定时间永久销毁。目前,腾讯电脑管家均能精准识别,并完美查杀,保障用户电脑安全。

僵尸网络助“比特币敲诈者”愈发猖狂

根据腾讯反病毒实验室监测,“比特币敲诈者”的攻击源大部分来自美国,其次是法国、土耳其等。从 IP 来看,这些攻击源来自一个黑客控制的僵尸网络,黑客利用这个僵尸网络发起邮件风暴。邮件内容大多是接收发票之类,诱导用户去点击下载附件。

(“比特币敲诈者”攻击源分布)

所谓僵尸网络 (Botnet) 是指采用一种或多种传播手段,将大量主机感染 bot 程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。

据了解,之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。

(僵尸网络助“比特币敲诈者”愈发猖狂)

“比特币敲诈者”向全球发起攻击,中国是其中目标之一,腾讯反病毒实验室监测,国内四川省,广东省,北京市是重灾区,占总比一半以上。而且受害目标大体都是企业,所以“比特币敲诈者”不仅是针对“高端”用户,而且针对企业单位的员工,因为企业员工的文档更具商业价值,会迫使交赎金。

(“比特币敲诈者”受害地区分布)

国家互联网应急中心监测的最新数据显示,仅 2014 年上半年,中国境内就有 625 万余台主机被黑客用作木马或僵尸网络受控端,1.5 万个网站链接被用于传播恶意代码,2.5 万余个网站被植入后门程序,捕获移动互联网恶意程序 3.6 万余个,新出现信息系统高危漏洞 1243 个。

腾讯反病毒实验室安全专家表示,僵尸网络构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。无论是对整个网络还是对用户自身,都造成了比较严重的危害。“比特币敲诈者”便是利用僵尸网络发起邮件风暴,进行各种各样的攻击。

“比特币敲诈者”疯狂变种 可窃取隐私

据了解,“比特币敲诈者”病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点。用户一旦中招,病毒将浏览所有文档(后缀为.txt、.doc、.zip 等文件)和图片(后缀为.jpg、.png 等文件),并将这些文件进行加密让用户无法打开,用户必须支付一定数量的“比特币”当做赎金才可以还原文件内容。

(用户必须支付赎金才可解锁文件)

腾讯反病毒实验室的监测数据显示,从今年 4 月开始,“比特币敲诈者”疫情最为严重,为了持久有效的攻击,躲避静态特征码的查杀,病毒也在不断地演变,图标多选用文档图标(如 doc,pdf 等),而自身的壳不断地变形变异。其中,5 月 7 日新变种达到最高值,单天就高达 13 万个!

(“比特币敲诈者”变异趋势)

同时从数据变化规律来看,在周末“比特币敲诈者”攻击大幅度下降,几乎掉零,而到了工作日,攻击疯狂上飙,数据的波动有规律,可以猜测出这是一个有组织有规模的攻击,黑客上班时间与我们白领相同,周一到周五上班,周六周日下班。

腾讯反病毒实验室安全专家表示,近期发现的“比特币敲诈者”病毒不仅敲诈用户,而且还新增了盗号的特性,会默默搜集用户电脑里的密码配置文件,如:电子邮箱、聊天工具、网银帐号、比特币钱包等等的密码,威胁用户财产安全。目前,腾讯安全团队已第一时间对该病毒进行了深入分析,并可完美查杀此类病毒以及所有变种。

赎回文件需数千元 安全专家支招防范技巧

据路透社报道,“比特币敲诈者”病毒出自俄罗斯的一名黑客,名字叫艾维盖尼耶·米哈伊洛维奇·波格契夫(Evgeniy Mikhailovich Bogachev),曾凭借这类勒索木马病毒令 12 个国家超过一百万计算机感染,经济损失超过 1 亿美元。美国联邦调查局(FBI)官网显示,波格契夫在 FBI 通缉十大黑客名单中排名第二,是某网络犯罪团体的头目。FBI 悬赏 300 万美元通缉波格契夫,这也是美国在打击网络犯罪案件中所提供的最高悬赏金。

专家强调,正因为危害较大,FBI 才会悬赏如此高的奖金缉拿病毒作者。用户一旦中招,意味着电子版的合同,多年老照片,刚刚写好的企划案,刚刚做成的设计图,统统在病毒的加密下无法打开。病毒制造者主要利用用户急切恢复文件的心理实施敲诈,成功率极高。据悉,比特币近期虽然行情低迷,但单个成交价也在 1391 元人民币左右(4 月 20 日更新数据),所以,虽然是几个比特币的勒索,对于用户来说也不是小数目。

(电脑管家拦杀提示)

专家提醒,不要轻易下载来路不明的文件,尤其是后缀为.exe,.scr 的可执行性文件,不要仅凭图标判断文件的安全性,安装腾讯电脑管家可有效识别文件安全性,并可实时保障电脑安全。另外,平时养成备份习惯,将一些重要文件备份到移动硬盘、网盘,一旦被木马感染,也可及时补救。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 腾讯云大数据平台性能测试再得佳绩

    近日,工信部指导下的数据中心联盟公布第五批大数据产品评测结果。通过本次评测的产品包括16家大数据供应商的17款大数据产品,覆盖一线云厂商和传统大数据平台供应商。

    云加社区
  • TechWork技术工作坊学员准备 ——使用Tencent Hub工作流进行DevOps编排的应用实践

    2. 熟悉Docker,Kubernetes技术,有实际使用过Kubernetes更佳;

    云加社区
  • 为 “超级大脑”构建支撑能力,腾讯云聚焦AI技术落地

    5月24日,以“无界数据、无限智能”为主题的2018腾讯“云+未来”峰会AI大数据分论坛在广州拉开帷幕。

    云加社区
  • AutoLine源码分析之前端js代码分析

    html模板负责UI显示 - js负责前端逻辑 -python api负责后端逻辑

    苦叶子
  • 前端常见排序方式及其性能比较

    实验方法:随机生成1000条(0-999)整数数据。分别对其在不同数据量进行排序10次。统计平均时间。

    一粒小麦
  • [Leetcode][python]Longest Common Prefix/最长公共前缀

    将每个字符串和第一个字符串对比,而且从第一个字母开始遍历,一旦出现某个字符串结束了,或者字母不同,则直接输出第一个字符串的前N个字母

    后端技术漫谈
  • 一次性集中处理大量数据的定时任务,如何缩短执行时间?

    (2)用户会有分数流水,每个月要做一次分数统计,对不同分数等级的会员做不同业务处理;

    程序员追风
  • 《以太坊攻略》,小白如何逆袭成为技术大咖?要学的全在这里了

    ConsenSys产品经理认为,区块链新手和经验丰富的区块链开发人员,需要共享工具、开发模式和组件。

    区块链大本营
  • ggplot2 案例:使用 ggplot2 绘制绘制一幅气泡地图展示各国疫情状况

    新冠肺炎确诊患者们都分布在那里呢?约翰·霍普金斯大学提供了一份数据集,使用这份数据集我们可以绘制一幅气泡地图展示这些确诊患者的分布,代码比较简单:

    王诗翔呀
  • Unity地形基础

    ![Uploading 2016-05-02_20-09-56_318489.png . . .]](http://upload-images.jianshu....

    hrscy

扫码关注云+社区

领取腾讯云代金券