小編近來經常會收到來自朋友的求助，說自己的電腦中了病毒，電腦中的重要數(shù)據被加密了，需要支付贖金后才能解密。經過詢問才發(fā)現(xiàn)，他們大多數(shù)是因為打開了一封未知來源的郵件，然后就遇到了這樣令人頭痛的問題。不管是重裝系統(tǒng)還是更換電腦，那些被加密的數(shù)據在不交付贖金的情況下，是無法找回來了。

一封短短的郵件，被不法分子用來遠程加密受害者文件，敲詐比特幣贖金；本來用于自動運行操作方便用戶的宏命令，卻成為了木馬的“幫兇”。木馬敲詐的背后，是成熟運轉的黑色產業(yè)鏈。從惡意服務器的注冊和建設，到木馬的制作、郵件的發(fā)送，都能從受害者支付的贖金中分得一杯羹。

下面小編就帶大家了解一下木馬敲詐及其背后的黑色產業(yè)。

一、敲詐風暴愈演愈烈

北京的汪為（化名）周一上班后，和往常一樣開始處理手頭的工作。

汪為所在的公司是一家互聯(lián)網企業(yè)，汪為日常的工作是在網上與客戶進行聯(lián)系，維護產品銷售渠道。最近，公司準備出國參加一場展銷會，汪為正跟幾家快遞公司通過郵件商量宣傳物資的郵遞事宜。汪為在未讀郵件中挑出了與快遞相關的部分，逐一閱讀并打開其中的附件。他不知道的是，在這批郵件中，有一封主題為Delivery Notification的郵件，正悄悄地露出自己猙獰的爪牙。

一小時后，汪為看著自己電腦上被改成亂碼無法打開的文件，以及被修改為敲詐內容的桌面背景，近乎絕望的心情占據了整個內心。

其實汪為的遭遇并非個例。自2014年起，陸續(xù)有人在打開郵件之后，發(fā)現(xiàn)自己電腦中的文件被修改，其中不乏公司核心數(shù)據、有重要意義的圖片等內容，一旦丟失造成的損失難以估量。同時，這些受害者都發(fā)現(xiàn)，在顯著位置上出現(xiàn)的敲詐文字，內容不外乎是“文件已被加密，如需恢復請按如下方式支付贖金……”。

哈勃分析系統(tǒng)是騰訊反病毒實驗室依托多年技術積累自主研發(fā)的一套樣本安全檢測系統(tǒng)。憑借每日對真實環(huán)境中捕獲的海量樣本進行自動化分析，哈勃分析系統(tǒng)在第一時間捕獲到了這類木馬。

據哈勃分析系統(tǒng)長時間跟蹤發(fā)現(xiàn)，敲詐木馬最初僅在國外傳播，后來逐漸滲透到國內，敲詐使用的語言也從單一的英語逐漸發(fā)展到了包括中文在內的多種語言。受到木馬影響的公司不乏醫(yī)院、公交公司這樣的大型企業(yè)。

更為嚴重的是，除了一些自身含有漏洞的木馬之外，還有很多木馬并無有效的解決之道，如果事先防范措施沒有做好，中招之后除了聯(lián)系不法分子之外無計可施。雖然FBI曾經提示不要支付贖金，以免木馬制作者嘗到甜頭，繼續(xù)傳播木馬，然而對于一些重要的數(shù)據被加密的公司而言，這是無奈之中最后的辦法，例如好萊塢某醫(yī)院為了恢復患者病歷，被迫支付了相當于數(shù)萬美元的贖金。

二、木馬傳播途徑

最常見的木馬傳播途徑就是郵件附件。誘導用戶開啟并運行宏是文檔木馬的主要手段。

這些破壞力強大、影響惡劣的木馬，是如何傳播到受害者電腦上的呢？經哈勃分析系統(tǒng)的調查，木馬的常用傳播渠道是通過郵件進行傳播，將木馬偽裝成郵件附件，吸引受害者打開。其中，最常見的附件格式是微軟的Office文檔，木馬使用文檔中的宏功能執(zhí)行惡意命令，再從網上下載真正的惡意程序，對受害者電腦進行攻擊。

哈勃分析系統(tǒng)研究發(fā)現(xiàn)，在木馬入侵受害者電腦的每一步，都有一些固定的套路和模式。

在木馬傳播的第一步，即發(fā)送帶木馬的郵件時，不法分子通常會使用一些正常的公務主題進行偽裝，誘使受害者打開附件。此前汪為遇到的假冒郵件，是假稱快遞除了問題；除此之外，常見的主題還包括發(fā)票、費用確認等。一個明顯的現(xiàn)象是，處于財務、會計、對外關系等職位的員工，每日收發(fā)的同類郵件較多，對于這類郵件容易降低警惕心，因此容易成為不法分子發(fā)送郵件的目標。

如果受害者打開了帶木馬的宏文檔，由于高版本Office中，默認是不開啟宏的，所以木馬會在文檔正文中誘導用戶啟用宏，使得惡意代碼得以執(zhí)行。

除了在郵件附件中放置文檔之外，還有一些其它的文件格式被用于木馬的傳播。這些格式有的是可以直接運行的腳本格式，例如Powershell、js、vbs等，有的是格式關聯(lián)的可執(zhí)行文件具有一定的任意執(zhí)行能力，例如JAR、CHM等。

三、高度發(fā)達的產業(yè)鏈

木馬交易、郵件傳播等環(huán)節(jié)都已形成成熟穩(wěn)定的黑色產業(yè)，而逐步發(fā)展起來的比特幣市場為贖金交付提供了便利渠道。

圍繞著這類木馬，已經形成了包括制作、傳播、贖金交付在內的一整套黑色產業(yè)鏈。不同身份的黑客在這個鏈條中分工合作，互相交換資源和數(shù)據，其目的只有一個，那就是從受害者的損失之中分得一部分利益。

以傳播木馬這個環(huán)節(jié)為例，既然木馬是通過郵件的方式進行廣泛傳播，那么向誰發(fā)送郵件，如何發(fā)送郵件，都包含資源或利益的交換。目前已經形成了

【收集客戶郵箱賬戶--->客戶身份信息分類--->兜售客戶郵箱賬戶--->專業(yè)發(fā)送郵件】

的黑色產業(yè)鏈。只要用郵箱賬號在BBS、論壇、聊天室等網站上注冊過或者發(fā)表過言論，都有可以被黑產從業(yè)者使用爬蟲工具在網上抓取到，并通過言論行為以及賬號信息進行身份分類。被分類號的郵箱賬號會出現(xiàn)在各類平臺上進行兜售。

四、矛與盾的對抗

通過郵件傳播的敲詐木馬自從被安全人員發(fā)現(xiàn)以來，安全行業(yè)從業(yè)人員始終沒有放棄對其進行查殺的努力。到目前為止，已經為部分CryptXXX、TeslaCrypt、Jigsaw等木馬變種開發(fā)了對應的解密工具，受害者只需要根據工具的指示進行操作，無需支付贖金即可恢復被這些木馬加密的文件。哈勃分析系統(tǒng)也發(fā)布了數(shù)個解密工具。與此同時，很多安全廠商與政府部門聯(lián)合起來，推出了www.nomoreransom.org網站，希望為敲詐木馬的受害者提供一站式解決方案。

不過，受到木馬算法原理的制約，沒有一個工具能夠一勞永逸地解決所有問題。同時，木馬作者也在不斷變換自己的手法，希望從文檔木馬中榨取更多的價值。

在這場矛與盾的對抗之中，可以肯定的是，如果事前對這類攻擊手段有所防范，則可以有效降低損失。哈勃分析系統(tǒng)提出了如下的防范措施：

Miranda

收藏 海報分享