深度调查“比特币敲诈者”背后藏大型僵尸网络

作者:许天胜

背景

今年一月份首次现身中国的“比特币敲诈者”病毒如今呈指数级爆发,腾讯反病毒实验室日前发现,该病毒疯狂变种,仅 5 月 7 日当天新变种数就已达 13 万,不仅敲诈勒索用户,甚至还能盗取个人隐私。腾讯反病毒实验室分析,从攻击源来看,这是由黑客控制的僵尸网络以网络邮件为传播载体发起的一场风暴。

(“比特币敲诈者” 呈指数级爆发)

比特币是一种新兴的网络虚拟货币,因可兑换成大多数国家的货币而在全世界广受追捧。与此同时,一种名为“CTB-Locker”的“比特币敲诈者”病毒也肆虐全球,其通过远程加密用户电脑内的文档、图片等文件,向用户勒索赎金,否则这些加密的文档将在指定时间永久销毁。目前,腾讯电脑管家均能精准识别,并完美查杀,保障用户电脑安全。

僵尸网络助“比特币敲诈者”愈发猖狂

根据腾讯反病毒实验室监测,“比特币敲诈者”的攻击源大部分来自美国,其次是法国、土耳其等。从 IP 来看,这些攻击源来自一个黑客控制的僵尸网络,黑客利用这个僵尸网络发起邮件风暴。邮件内容大多是接收发票之类,诱导用户去点击下载附件。

(“比特币敲诈者”攻击源分布)

所谓僵尸网络 (Botnet) 是指采用一种或多种传播手段,将大量主机感染 bot 程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。

据了解,之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。

(僵尸网络助“比特币敲诈者”愈发猖狂)

“比特币敲诈者”向全球发起攻击,中国是其中目标之一,腾讯反病毒实验室监测,国内四川省,广东省,北京市是重灾区,占总比一半以上。而且受害目标大体都是企业,所以“比特币敲诈者”不仅是针对“高端”用户,而且针对企业单位的员工,因为企业员工的文档更具商业价值,会迫使交赎金。

(“比特币敲诈者”受害地区分布)

国家互联网应急中心监测的最新数据显示,仅 2014 年上半年,中国境内就有 625 万余台主机被黑客用作木马或僵尸网络受控端,1.5 万个网站链接被用于传播恶意代码,2.5 万余个网站被植入后门程序,捕获移动互联网恶意程序 3.6 万余个,新出现信息系统高危漏洞 1243 个。

腾讯反病毒实验室安全专家表示,僵尸网络构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。无论是对整个网络还是对用户自身,都造成了比较严重的危害。“比特币敲诈者”便是利用僵尸网络发起邮件风暴,进行各种各样的攻击。

“比特币敲诈者”疯狂变种 可窃取隐私

据了解,“比特币敲诈者”病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点。用户一旦中招,病毒将浏览所有文档(后缀为.txt、.doc、.zip 等文件)和图片(后缀为.jpg、.png 等文件),并将这些文件进行加密让用户无法打开,用户必须支付一定数量的“比特币”当做赎金才可以还原文件内容。

(用户必须支付赎金才可解锁文件)

腾讯反病毒实验室的监测数据显示,从今年 4 月开始,“比特币敲诈者”疫情最为严重,为了持久有效的攻击,躲避静态特征码的查杀,病毒也在不断地演变,图标多选用文档图标(如 doc,pdf 等),而自身的壳不断地变形变异。其中,5 月 7 日新变种达到最高值,单天就高达 13 万个!

(“比特币敲诈者”变异趋势)

同时从数据变化规律来看,在周末“比特币敲诈者”攻击大幅度下降,几乎掉零,而到了工作日,攻击疯狂上飙,数据的波动有规律,可以猜测出这是一个有组织有规模的攻击,黑客上班时间与我们白领相同,周一到周五上班,周六周日下班。

腾讯反病毒实验室安全专家表示,近期发现的“比特币敲诈者”病毒不仅敲诈用户,而且还新增了盗号的特性,会默默搜集用户电脑里的密码配置文件,如:电子邮箱、聊天工具、网银帐号、比特币钱包等等的密码,威胁用户财产安全。目前,腾讯安全团队已第一时间对该病毒进行了深入分析,并可完美查杀此类病毒以及所有变种。

赎回文件需数千元 安全专家支招防范技巧

据路透社报道,“比特币敲诈者”病毒出自俄罗斯的一名黑客,名字叫艾维盖尼耶·米哈伊洛维奇·波格契夫(Evgeniy Mikhailovich Bogachev),曾凭借这类勒索木马病毒令 12 个国家超过一百万计算机感染,经济损失超过 1 亿美元。美国联邦调查局(FBI)官网显示,波格契夫在 FBI 通缉十大黑客名单中排名第二,是某网络犯罪团体的头目。FBI 悬赏 300 万美元通缉波格契夫,这也是美国在打击网络犯罪案件中所提供的最高悬赏金。

专家强调,正因为危害较大,FBI 才会悬赏如此高的奖金缉拿病毒作者。用户一旦中招,意味着电子版的合同,多年老照片,刚刚写好的企划案,刚刚做成的设计图,统统在病毒的加密下无法打开。病毒制造者主要利用用户急切恢复文件的心理实施敲诈,成功率极高。据悉,比特币近期虽然行情低迷,但单个成交价也在 1391 元人民币左右(4 月 20 日更新数据),所以,虽然是几个比特币的勒索,对于用户来说也不是小数目。

(电脑管家拦杀提示)

专家提醒,不要轻易下载来路不明的文件,尤其是后缀为.exe,.scr 的可执行性文件,不要仅凭图标判断文件的安全性,安装腾讯电脑管家可有效识别文件安全性,并可实时保障电脑安全。另外,平时养成备份习惯,将一些重要文件备份到移动硬盘、网盘,一旦被木马感染,也可及时补救。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏ATYUN订阅号

【业界】网站恶意挖矿脚本暴增725%?互联网安全公司表示这可能有你一份

AiTechYun 编辑:xiaoshan 根据一项新的研究表明,在2017年底,托管加密货币挖矿脚本的域名数量增长了725%。这种对计算资源的消耗可能与恶意软...

3349
来自专栏区块链大本营

27亿美金被狂撸!这些年,被狠狠抽脸的8次区块链安全祸事儿

这个数字,来自近日刚刚出炉的《2018上半年区块链安全报告》,由知道创宇和腾讯安全联合发布。

952
来自专栏程序员的知识天地

程序员把电脑病毒当宠物养!网友:要不要这么可爱?

提起电脑病毒四个字,大家第一时间就会想到熊猫烧香,木马等等吧。很多电脑病毒破坏力惊人,熊猫烧香在当年也是让全国人民都陷入一种恐慌状态。但对于我们程序员来说,看过...

1361
来自专栏区块链

窃取银行数百万美元?黑客组织浮出水面

背景 疑似俄国的黑客组织 MoneyTaker 偷偷针对位于美国、英国和俄罗斯的银行、金融机构、律所发动攻击。发现该组织的安全公司 Group-IB 指出它至少...

2048
来自专栏玄魂工作室

安全快讯合集

1. PhishPoint网络钓鱼攻击:一种绕过Microsoft Office 365保护的新技术

831
来自专栏逸鹏说道

反击黑客勒索!这家网站帮你免费解密被黑文件

网站:https://www.nomoreransom.org ?   相信很多人都经历过被恶意病毒软件勒索的经历,尤其是臭名昭著的 Crypt 系列,对你电脑...

3188
来自专栏FreeBuf

2018年上半年中国网络安全报告

2018年上半年瑞星“云安全”系统共截获病毒样本总量2,587万个,病毒感染次数7.82亿次。新增木马病毒占总体数量的62.83%,依然是第一大种类病毒。灰色软...

891
来自专栏玄魂工作室

每日安全咨询

每日5分钟安全快讯(2018/4/2) 1. 捷克将被指控入侵LinkedIn的黑客引渡到美国 https://wp.me/p8snp4-op 2. 微软释出补...

2645

不雅曝光:Wi-Fi可能是你最薄弱的环节吗?

想象一下,你花了一大笔钱让你的家庭物理方面安全,却发现你被从未闯入你家的小偷悄悄地抢劫了。你以为你已经建造了一座堡垒,但没有发现栅栏上的间隙成为你家对入侵者敞开...

641
来自专栏区块链领域

306周鸿祎“恶意做空”EOS,为达目的不择手段?!

BM刚刚在eos开发者群里对360今天的发布做出了回应:今天中国的漏洞新闻是一个FUD即制造恐慌,因为该漏洞早在被发布前就已经修复了,而且是一个较为常见的漏洞,...

1023

扫码关注云+社区