深度调查“比特币敲诈者”背后藏大型僵尸网络

作者:许天胜

背景

今年一月份首次现身中国的“比特币敲诈者”病毒如今呈指数级爆发,腾讯反病毒实验室日前发现,该病毒疯狂变种,仅 5 月 7 日当天新变种数就已达 13 万,不仅敲诈勒索用户,甚至还能盗取个人隐私。腾讯反病毒实验室分析,从攻击源来看,这是由黑客控制的僵尸网络以网络邮件为传播载体发起的一场风暴。

(“比特币敲诈者” 呈指数级爆发)

比特币是一种新兴的网络虚拟货币,因可兑换成大多数国家的货币而在全世界广受追捧。与此同时,一种名为“CTB-Locker”的“比特币敲诈者”病毒也肆虐全球,其通过远程加密用户电脑内的文档、图片等文件,向用户勒索赎金,否则这些加密的文档将在指定时间永久销毁。目前,腾讯电脑管家均能精准识别,并完美查杀,保障用户电脑安全。

僵尸网络助“比特币敲诈者”愈发猖狂

根据腾讯反病毒实验室监测,“比特币敲诈者”的攻击源大部分来自美国,其次是法国、土耳其等。从 IP 来看,这些攻击源来自一个黑客控制的僵尸网络,黑客利用这个僵尸网络发起邮件风暴。邮件内容大多是接收发票之类,诱导用户去点击下载附件。

(“比特币敲诈者”攻击源分布)

所谓僵尸网络 (Botnet) 是指采用一种或多种传播手段,将大量主机感染 bot 程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。

据了解,之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。

(僵尸网络助“比特币敲诈者”愈发猖狂)

“比特币敲诈者”向全球发起攻击,中国是其中目标之一,腾讯反病毒实验室监测,国内四川省,广东省,北京市是重灾区,占总比一半以上。而且受害目标大体都是企业,所以“比特币敲诈者”不仅是针对“高端”用户,而且针对企业单位的员工,因为企业员工的文档更具商业价值,会迫使交赎金。

(“比特币敲诈者”受害地区分布)

国家互联网应急中心监测的最新数据显示,仅 2014 年上半年,中国境内就有 625 万余台主机被黑客用作木马或僵尸网络受控端,1.5 万个网站链接被用于传播恶意代码,2.5 万余个网站被植入后门程序,捕获移动互联网恶意程序 3.6 万余个,新出现信息系统高危漏洞 1243 个。

腾讯反病毒实验室安全专家表示,僵尸网络构成了一个攻击平台,利用这个平台可以有效地发起各种各样的攻击行为,可以导致整个基础信息网络或者重要应用系统瘫痪,也可以导致大量机密或个人隐私泄漏,还可以用来从事网络欺诈等其他违法犯罪活动。无论是对整个网络还是对用户自身,都造成了比较严重的危害。“比特币敲诈者”便是利用僵尸网络发起邮件风暴,进行各种各样的攻击。

“比特币敲诈者”疯狂变种 可窃取隐私

据了解,“比特币敲诈者”病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点。用户一旦中招,病毒将浏览所有文档(后缀为.txt、.doc、.zip 等文件)和图片(后缀为.jpg、.png 等文件),并将这些文件进行加密让用户无法打开,用户必须支付一定数量的“比特币”当做赎金才可以还原文件内容。

(用户必须支付赎金才可解锁文件)

腾讯反病毒实验室的监测数据显示,从今年 4 月开始,“比特币敲诈者”疫情最为严重,为了持久有效的攻击,躲避静态特征码的查杀,病毒也在不断地演变,图标多选用文档图标(如 doc,pdf 等),而自身的壳不断地变形变异。其中,5 月 7 日新变种达到最高值,单天就高达 13 万个!

(“比特币敲诈者”变异趋势)

同时从数据变化规律来看,在周末“比特币敲诈者”攻击大幅度下降,几乎掉零,而到了工作日,攻击疯狂上飙,数据的波动有规律,可以猜测出这是一个有组织有规模的攻击,黑客上班时间与我们白领相同,周一到周五上班,周六周日下班。

腾讯反病毒实验室安全专家表示,近期发现的“比特币敲诈者”病毒不仅敲诈用户,而且还新增了盗号的特性,会默默搜集用户电脑里的密码配置文件,如:电子邮箱、聊天工具、网银帐号、比特币钱包等等的密码,威胁用户财产安全。目前,腾讯安全团队已第一时间对该病毒进行了深入分析,并可完美查杀此类病毒以及所有变种。

赎回文件需数千元 安全专家支招防范技巧

据路透社报道,“比特币敲诈者”病毒出自俄罗斯的一名黑客,名字叫艾维盖尼耶·米哈伊洛维奇·波格契夫(Evgeniy Mikhailovich Bogachev),曾凭借这类勒索木马病毒令 12 个国家超过一百万计算机感染,经济损失超过 1 亿美元。美国联邦调查局(FBI)官网显示,波格契夫在 FBI 通缉十大黑客名单中排名第二,是某网络犯罪团体的头目。FBI 悬赏 300 万美元通缉波格契夫,这也是美国在打击网络犯罪案件中所提供的最高悬赏金。

专家强调,正因为危害较大,FBI 才会悬赏如此高的奖金缉拿病毒作者。用户一旦中招,意味着电子版的合同,多年老照片,刚刚写好的企划案,刚刚做成的设计图,统统在病毒的加密下无法打开。病毒制造者主要利用用户急切恢复文件的心理实施敲诈,成功率极高。据悉,比特币近期虽然行情低迷,但单个成交价也在 1391 元人民币左右(4 月 20 日更新数据),所以,虽然是几个比特币的勒索,对于用户来说也不是小数目。

(电脑管家拦杀提示)

专家提醒,不要轻易下载来路不明的文件,尤其是后缀为.exe,.scr 的可执行性文件,不要仅凭图标判断文件的安全性,安装腾讯电脑管家可有效识别文件安全性,并可实时保障电脑安全。另外,平时养成备份习惯,将一些重要文件备份到移动硬盘、网盘,一旦被木马感染,也可及时补救。

原创声明,本文系作者授权云+社区-专栏发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

1 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

Mirai僵尸网络 “元凶”落网

E安全12月15日讯 美国司法部(DOJ)当地时间12月13日公开的法庭文件显示,三名黑客承认创建Mirai恶意软件,并利用Mirai僵尸网络对多个目标发起DD...

2759
来自专栏软件开发

你不知道网络安全有多严峻

随着大数据、AI(人工智能)与互联网络的高速发展新的网络安全问题变得越来越严峻,自己身边时不时总有人被网络诈骗,为了更少的人被攻击写了这些文字。

1283
来自专栏企鹅号快讯

给人挖矿还不自知 电脑已变黑客肉鸡

日前,安全研究人员发现一自动被称为Digmine的恶意软件感染了全球的Facebook Messenger用户。这个恶意软件可以自我传播,并在用户使用Faceb...

1778
来自专栏安恒信息

攻击.CN域名黑客在青岛落网

8月25日凌晨,中国.CN域名解析出现大规模解析故障,国家域名解析节点受到拒绝服务攻击。国家互联网应急中心CNCERT/CC运行管理部处长王明华9月23日透露,...

2644
来自专栏FreeBuf

揭秘:短信拦截木马背后的黑色产业

0×01 概述 从2013年5月至今,AVL移动安全团队持续监测到了一类高活跃高危害的短信拦截类型木马。短信拦截马,顾名思义是一种可以拦截他人短信木马,就是让被...

2188
来自专栏安恒信息

电子香烟也能传播恶意软件,USB漏洞防不胜防

据国外媒体报道,电子香烟可帮助吸烟者戒烟,有助于健康,但不良厂商生产的电子香烟可能在充电时就会神不知鬼不觉地让用户的电脑感染上病毒。电子香烟或已成为恶意软件的携...

2998
来自专栏安恒信息

2014前网民有必要知道的十大网络威胁(下)

五、GSM(2G)短信可能被监听   这事2013年之前几乎没人知道,其实国内运营商对部分地区的GSM制式的数据通信没有加密,黑客可以监听自己所在基站覆盖范围内...

2555
来自专栏www.96php.cn

匿名者组织攻击Black Lives Matter网站长达六个月

5月1日,一个名为GhostSquad的匿名组织宣布使用拒绝服务攻击Black Lives Matter网站,在一天之内让blacklivesmatter.co...

32912
来自专栏企鹅号快讯

头条:1900万加利福尼亚州选民的记录被删除

18 Dec,2017 声明:本文由长城网际编译,转载请注明“转自长城网际”,并上微信号CECGW-weixin和二维码。 ※ 看!你比别人先知道这么多! Ⅰ ...

1885
来自专栏FreeBuf

瑞星2016年中国信息安全报告

免责声明 本报告综合瑞星“云安全”系统、瑞星客户服务中心、瑞星反病毒实验室、瑞星互联网攻防实验室、瑞星威胁情报平台等部门的统计、研究数据和分析资料,仅针对中国2...

2316

扫码关注云+社区