20160907_360_敲诈者木马威胁形势分析报告.pdf
《20160907_360_敲诈者木马威胁形势分析报告.pdf》由会员分享,可在线阅读,更多相关《20160907_360_敲诈者木马威胁形势分析报告.pdf(18页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 敲诈者木马威胁形势分析报告 2016 年 8 月 31 日摘 要 敲诈者木马是一类特殊形态的木马, 它们通过给用户电脑或手机中的系统、 屏幕或文件 加密的方式,向目标用户进行敲诈勒索。 根据 360 互联网安全中心的监测,仅 2016 年上半年,共截获电脑端新增敲诈者病毒变 种 74 种,涉及 PE 样本 40000 多个,涉及非 PE 文件 10000 多个,全国至少有 580000 多台用户电脑遭到了敲诈者病毒攻击,且有多达 50000 多台电脑最终感染敲诈者病毒, 平均每天有约 300 台国内电脑感染敲诈者木马。 监测显示,近期的敲诈者木马主要采用以下三种传播方式:邮件钓鱼、下载器挂马
2、(JS 挂马) 、执行器挂马(DLL 挂马) 。 通过对敲诈者木马的受害者的调研分析, 在敲诈者木马攻击的国内目标人群中, 有 19.7% 的人为企业用户,而另外 80.3%左右的国内被攻击者为普通个人用户。 感染敲诈者木马的国内电脑用户遍布全国所有省份,其中,广东占比最高,为 14.4%, 其次是浙江 8.2%, 北京 7.0%。 排名前十的省份的感染者总量占国内所有感染者的 62.2%。 用户反馈显示, 目前绝大多数的敲诈者木马均以比特币为赎金支付方式, 从而使资金流 向和攻击者本人都无法被追踪。赎金的金额一般为 2-3 个比特币。2016 年 4 月底-5 月 初,1 个比特币价格约为
3、2900 元,而到了 2016 年 6 月,1 个比特币的价格一度高涨到 了最高 5100 元。据此计算,2016 年 4 至今,如果有用户按照攻击者限定的时间支付赎 金,赎金额度应在 5800 -15300 元人民币。 统计显示,仅自 2015 年 4 月敲诈者木马开始大规模爆发至 2016 年 5 月 15 日,360 互 联网安全中心就已经累计监测到各类敲诈者木马 C&C 服务器 8000 余个。其中,com 域名被使用的最多, 超过了总量的一半, 为 51.4%, org 和 net 占比分别为 8.0%和 7.8%。 此外,欧洲国家的域名占比为 17.5%,在各大洲中占比最高。 在国
4、内曾有过不同规模爆发的 PC 端敲诈者木马家族主要是以下几个:CTB-Locker、 CryptoLocker、Cryptowall、Locky、Teslacrypt、VirLocker。 一旦电脑感染了敲诈者木马(不包括锁屏木马或采用对称加密技术等简单的敲诈者木 马) ,期望通过其他技术手段恢复系统文件的愿望通常来说都是无法实现的。 关键词:关键词:敲诈、比特币、赎金 目 录 第一章 敲诈者木马的大规模攻击 . 1 一、 敲诈者木马的感染量 . 1 二、 敲诈者木马的传播方式 . 2 三、 敲诈者木马的攻击对象 . 3 四、 受害者的地域分布 . 4 五、 受害者的经济损失 . 4 第二章
5、敲诈者木马的服务器分布 . 6 第三章 敲诈者木马的家族与发展 . 7 第四章 敲诈者木马的敲诈过程 . 9 第五章 敲诈者木马的应对措施 . 12 一、 敲诈者木马的不可解 . 12 二、 FBI 的撕票建议 . 12 三、 360 反勒索服务 . 13 四、 给用户的安全建议 . 13 附录 1 360 反勒索服务. 14 附录 2 敲诈者木马攻击事件 . 15 1 第一章 敲诈者木马的大规模攻击 敲诈者木马是一类特殊形态的木马, 它们通过给用户电脑或手机中的系统、 屏幕或文件 加密的方式, 向目标用户进行敲诈勒索。 早期比较简单的敲诈者木马会采用修改锁屏密码或 开机密码的方式来锁定目标设
6、备,但对于专业技术人员而言,要解锁此类木马通常并不太困 难。此类木马目前在 PC 端已经非常少见,但在手机端仍然比较常见。 而近期大规模流行的敲诈者木马则主要采用不对称加密的方式对系统中的特定文件, 如 文档、图片、视频等进行高强度加密,使受害者完全不可能在不支付赎金的情况下自行解密 被加密的文件。此类敲诈者木马,对于存储了大量机密或敏感文件的企业用户来说,威胁尤 其严重,以往也主要被用于攻击企业或机构用户。但是,2016 年以来,360 互联网安全中心 检测到大量针对普通网民的敲诈者木马攻击,并且在 4 月底至 5 月初达到攻击高峰,成为 4-5 月间,对网民直接威胁最大的一类木马病毒。 本
7、次报告重点分析个人电脑端的敲诈者木马威胁形势。 关于手机端的敲诈者木马威胁形 势,请参见 360 互联网安全中心早前发布的专题研究报告Android 勒索软件研究报告 , 参考链接:http:/ 一、 敲诈者木马的感染量 根据 360 互联网安全中心的监测, 根据 360 互联网安全中心的监测, 仅 2016 年上半年, 共截获电脑端新增敲诈者病毒变种 74 种,涉及 PE 样本 40000 多个,涉及非 PE 文件 10000 多个,全国至少有 580000 多台用户电脑遭到了敲诈者病毒攻击,且有多达 50000 多台电脑 最终感染敲诈者病毒,平均每天有约 300 台国内电脑感染敲诈者木马。
8、 下图给出了敲诈者木马 4 月 1 日至 5 月 15 日期间每日攻击用户数和最终感染用户数的 对比情况。从图中可见,在 4 月底至 5 月初的攻击高峰期,一天之内被攻击的电脑最多可达 4644 台,感染敲诈者木马的电脑最多可卡 2003 台。 造成攻击成功率如此之高的主要原因有以下两个方面: 一是电脑感染木马前用户未使用 安全软件, 或所使用安全软件不具备充分的主动防御能力, 不能准确识别此类木马或此类木2 马的攻击行为;二是在木马的表面诱惑下,很多用户无视安全软件的风险提示,手动放行了 木马程序。 二、 敲诈者木马的传播方式 监测显示,近期的敲诈者木马主要采用以下三种传播方式: 1) 钓鱼
9、邮件 这是一种比较经典的木马传播方式, 主要手法是将恶意程序以邮件附件的形式发送给攻 击目标。一旦被攻击者打开或运行邮件的附件,恶意程序就会被执行。 就敲诈者木马而言,最常见恶意附件形式主要有三种:JS 脚本、可执行文件和 Office 宏病毒文件等。而从近期的监测来看,敲诈者木马的钓鱼邮件中,已经很少使用 PE 文件或 Office 宏病毒文件这两种形式,主要攻击方法就是恶意的 JS 脚本附件。 2) 下载器挂马(JS 挂马) 这是一种比较传统的网页挂马攻击方式,主要方法是在页面中嵌入恶意的 JS 脚本,一 旦用户使用有漏洞的, 且不具备主动防御能力的浏览器或其他客户端软件访问该挂马网页时,
10、 恶意的 JS 脚本就会被运行。 3) 执行器挂马(DLL 挂马) 这是最近新出现的一种网页挂马传播方式, 而且已经成为了最主流的传播方式。 其主要 攻击方式是通过页面挂马程序注入浏览器,启动并执行一个 dll 类的木马程序。 下图给出了敲诈者木马的三类主要传播方式, 以及钓鱼邮件恶意附件的主要类型。 可以 看到,尽管传统的钓鱼邮件攻击仍然存在,但占比已经仅为 14%。而执行器挂马攻击则已 经成为最主要的攻击方式,占比超过了 60%,下载器挂马排第二,占比为 24%。由于微软 早前已经停止了对 IE 浏览器的更新,预计国内 IE 用户遭遇敲诈者木马的挂马攻击的风险还 会继续加大。 3 三、 敲
11、诈者木马的攻击对象 通过对敲诈者木马的受害者的调研分析, 在敲诈者木马攻击的国内目标人群中, 有 19.7% 的人为企业用户,而另外 80.3%左右的国内被攻击者为普通个人用户。 相比于普通个人用户, 企业用户的攻击价值往往要高得多, 因为企业用户电脑中所存储 的数据往往更具机密性和不可复制性, 因此企业用户为恢复文件而支付赎金的意愿也要比普 通个人用户强得多。 但从另一个角度来看, 普通个人用户在上网安全意识和防护技术水平等 方面都比较欠缺,因此也更容易被攻击并中招,攻击者一旦将普通用户设定为攻击目标,其 对整个互联网的危害也将更加严重。 下图给出了被攻击的企业用户的行业分布情况。 统计显示
12、, 能源行业是敲诈者木马排在 首位的重灾区,占受害企业用户总量的 36.0%,其次是金融业,占 28.2%。学校 7.6%,政府 及事业单位 4.3%和制造业 4.3%分列其后。 4 四、 受害者的地域分布 根据 360 互联网安全中心的监测, 在 2016 年 4 月 1 日至 5 月 15 日期间感染敲诈者木马 的国内电脑用户遍布全国所有省份,其中,广东占比最高,为 14.4%,其次是浙江 8.2%, 北京 7.0%。排名前十的省份的感染者总量占国内所有感染者的 62.2%。 而就感染敲诈者木马的企业用户而言,北京地区最多,占比为 13.1%,浙江、广东各占 11.9%,排在第二、第三位。
13、相比于普通个人电脑用户,企业用户的感染者更为集中,排名 前十的省份的感染者总量占国内所有感染者的 75.7%。 五、 受害者的经济损失 用户反馈显示, 目前绝大多数的敲诈者木马均以比特币为赎金支付方式, 从而使资金流 向和攻击者本人都无法被追踪。赎金的金额一般为 2-3 个比特币。2016 年 4 月底-5 月初,1 个比特币价格约为 2900 元, 而到了 2016 年 6 月, 1 个比特币的价格一度高涨到了最高 51005 元。据此计算,2016 年 4 至今,如果有用户按照攻击者限定的时间支付赎金,赎金额度应 在 5800-15300 元人民币。 按照前述分析, 每天有约 300 台国
14、内电脑感染敲诈者木马, 并假设所有受害者均支付了 赎金,则:2016 年 4 月-7 月间,攻击者每天可以从国内受害者手中获得约 174 万-459 万元 人民币的赎金。 而如果按照前述分析中给出的2016年4月底出现的单日感染量高峰2003台计算机计算, 如果所有受害者均支付赎金, 则攻击者们在这一天可以获得高达 1162 万-1743 万元人民币的 赎金。 6 第二章 敲诈者木马的服务器分布 敲诈者木马通常会使用 C&C 服务器,用于向木马发布加密公钥或记录感染者信息。这 些服务器往往在攻击成功后立即消失, 平均生命周期在 1-2 个小时, 而在对抗最激烈的时期, 某些木马的 C&C 服务
15、器会每 10-20 分钟就变化一次。 统计显示, 仅自 2015 年 4 月敲诈者木 马开始大规模爆发至 2016 年 5 月 15 日, 360 互联网安全中心就已经累计监测到各类敲诈者 木马 C&C 服务器 8000 余个。其中,绝大多数 C&C 服务器使用指定域名与木马联络,仅有 不足 1%的 C&C 服务器使用固定 IP。 我们针对近期最为活跃的部分敲诈者木马的 C&C 服务器域名进行了分析,结果显示: com 域名被使用的最多, 超过了总量的一半, 为 51.4%, org 和 net 占比分别为 8.0%和 7.8%。 此外,具有明显国家归属的域名,如 uk(英国) 、ru(俄罗斯
16、) 、au(澳大利亚)等,也占到 了总量的 25.5%左右,其中,属于欧洲国家的域名最多,占 17.5%,其次是亚洲国家 2.9%, 大洋洲国家 2.0%。 下表给出了 360 互联网安全中心在 4 月 1 日至 5 月 15 日期间监测到的敲诈者木马使用 的 C&C 服务器域名中,最常见的 20 个域名后缀及其出现的次数情况。 排名排名 域名后缀域名后缀 出现次数出现次数 排名排名 域名后缀域名后缀 出现次数出现次数 1 1 com(商业机构) 569 1111 de(德国) 13 2 2 org(非盈利组织) 89 1212 ca(加拿大) 12 3 3 net(网络组织) 86 1313
17、 jp(日本) 12 4 4 uk(英国) 54 1414 nl(荷兰) 12 5 5 ru(俄罗斯) 47 1515 ro(罗马尼亚) 7 6 6 info(网络信息组织) 41 1616 fr(法国) 6 7 7 biz(商业) 39 1717 it(意大利) 6 8 8 au(澳大利亚) 19 1818 at(奥地利) 5 9 9 br(巴西) 14 1919 hu(匈牙利) 5 1010 pl(波兰) 14 2020 ar(阿根廷) 4 表表 1 敲诈者木马敲诈者木马 C&C 服务器域名后缀服务器域名后缀 TOP20(2016 年年 4 月月 1 日日-5 月月 15 日)日) 7 第
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 20160907 _360_ 敲诈 木马 威胁 形势 分析 报告
限制150内